Nieuwe Europese regelgeving legt een duidelijke taak bij zorgaanbieders voor grensoverschrijdende gegevensuitwisseling. De European Health Data Space (EHDS) is een voorstel van de Europese Commissie om medische gegevens binnen de Europese Unie (EU) te kunnen uitwisselen en burgers toegang te geven tot hun gezondheidsgegevens. Op 1 oktober 2024 spraken wij over deze ontwikkelingen met juristen en dataprofessionals uit de zorg tijdens een rondetafelgesprek. In deze blog staan de belangrijkste punten op een rij.
Wat is de EHDS-verordening en status?
De EHDS-verordening moet zorgen voor veilige en efficiënte uitwisseling van elektronische gezondheidsgegevens binnen de EU. Er wordt een gemeenschappelijk kader gecreëerd voor zowel het delen als het gebruik van elektronische gezondheidsgegevens in de EU. Volgens de Europese Commissie zal de EHDS zowel burgers in staat stellen meer controle uit te oefenen over hun gezondheidsgegevens, als onderzoek naar baanbrekende geneesmiddelen op gang brengen. Hoewel de verordening nog in behandeling is, wordt verwacht dat deze eind 2024 of begin 2025 in werking zal treden, waarbij er een overgangsperiode zal zijn. Gelet op de impact van de EHDS-verordening doen zorgaanbieders er goed aan zich voor te bereiden op de komende veranderingen.
Hoe reguleert de EHDS primair en secundair gebruik?
De EHDS-verordening maakt onderscheid tussen primair gebruik en secundair gebruik van gezondheidsgegevens. Primair gebruik ziet op het delen van gezondheidsgegevens tussen zorgaanbieders en hun patiënten en tussen zorgaanbieders in verschillende EU-lidstaten onderling. Het delen is ten behoeve van de zorgverlening. Daarbij krijgen patiënten meer controle en zeggenschap over de toegang tot en het gebruik van hun gezondheidsgegevens door zorgverleners. Secundair gebruik ziet op het gebruik van gezondheidsgegevens voor onderzoek, innovatie, beleidsvorming en regelgeving. De EHDS stelt daarnaast eisen aan systemen voor elektronische patiëntendossiers (EPD-systemen) en fabrikanten van EPD-systemen.
Welke platformen worden gebruikt voor de uitwisseling van gegevens?
Elke lidstaat zal een nationaal contactpunt moeten oprichten waarmee wordt aangesloten op het MyHealth@EU-platform, het Europese platform voor gezondheidsgegevens uitwisseling voor primair gebruik. In Nederland is dat het nationaal contactpunt voor eHealth Nederland, NCPeH-NL. Voor het secundair gebruik zal de Europese Commissie het platform HealthData@EU oprichten.
Biedt de EHDS een opt-out mogelijkheid?
Lidstaten hebben de mogelijkheid om op basis van nationale wetgeving aan patiënten het recht van een opt-out te geven voor het primair gebruik van hun gezondheidsgegevens. Nederland is van plan dit opt-out recht toe te kennen. Daarnaast is in het voorlopige politieke akkoord overeengekomen dat burgers een opt-out-recht krijgen om hun gezondheidsgegevens niet beschikbaar te stellen voor secundair gebruik.
Welke instanties houden toezicht op de EHDS?
Ter ondersteuning van het toezicht, de uitvoering en de handhaving met betrekking tot het primaire gebruik van elektronische gezondheidsgegevens moet elke lidstaat een Digitale gezondheidsautoriteit instellen. Voor het toezicht op het secundair gebruik wijst elke lidstaat een Instantie voor toegang tot gezondheidsgegevens aan. De Autoriteit Persoonsgegevens blijft verantwoordelijk voor de handhaving van de rechten met betrekking tot persoonsgegevens die in de EHDS-verordening staan.
Hoe verhoudt de EHDS zich tot de AVG?
De EHDS-verordening laat de Algemene Verordening Gegevensbescherming (AVG) onveranderd. De AVG blijft als wettelijke basis voor de verwerking van persoonlijke gezondheidsgegevens gelden. In de praktijk zal dit betekenen dat bestaande verwerkingen op basis van de AVG kunnen worden voortgezet. De EHDS-verordening zal een nieuw systeem gaan vormen dat naast de AVG bestaat. Een van de doelen van de EHDS-verordening is om op termijn de veilige en transparante toegang tot elektronische gezondheidsgegevens te vergemakkelijken.
Wanneer geldt de EHDS niet voor zorgaanbieders?
Kleine zorgaanbieders die kwalificeren als micro-ondernemingen zijn uitgesloten van de verplichtingen uit de EHDS-verordening die zien op het secundair gebruik. Zorgaanbieders zijn micro-ondernemingen als zij minder dan tien werknemers hebben en een omzet of een balanstotaal hebben van ten hoogste EUR 2 miljoen.
Wat zijn de gevolgen voor zorgaanbieders?
De komst van de EHDS-verordening betekent dat zorgaanbieders hun EPD-systemen moeten aanpassen om gegevensuitwisseling voor zowel primair als secundair gebruik binnen de EU mogelijk te maken. In het kader van het secundair gebruik kunnen zorgaanbieders verzocht worden om bepaalde sets gezondheidsgegevens geanonimiseerd aan te leveren aan de Instantie voor toegang tot gezondheidsgegevens. Zorgaanbieders kunnen zo’n verzoek niet weigeren (maar kunnen wel hun kosten doorbelasten). Dit alles kan impact hebben op de ICT-infrastructuur, databases en bestaande procedures.
Welke onderdelen zijn nog in ontwikkeling?
Hoewel de EHDS-verordening duidelijke kaders biedt, is een groot aantal onderdelen nog in ontwikkeling. Zo moet de technische infrastructuur van de verschillende platformen, die cruciaal is voor de veilige en efficiënte uitwisseling van gegevens, nog nader worden uitgewerkt. Ook de praktische implementatie van beveiligingsstandaarden, interoperabiliteitseisen en het beheer van gebruikersrechten vereisen verdere specificatie. Deze punten zullen de komende jaren nader worden ingevuld.
Wat nu: projectteam opzetten, databases beoordelen, implementatie monitoren en analyseren EPD-contracten
Zorgaanbieders doen er goed aan voorbereidingen te treffen. Het opzetten van een projectteam, het beoordelen van bestaande databases, het monitoren van de invoering van nieuwe regelgeving, en het analyseren van eigen EPD-systemen en lopende contracten met EPD-leveranciers zijn belangrijke eerste stappen om klaar te zijn voor de implementatie van de EHDS-verordening.
Het BarentsKrans Zorg Team staat klaar om te helpen bij vragen over de implementatie van de EHDS-verordening.