Europese ruimte voor gezondheidsgegevens (EHDS) - Het potentieel van EU-gezondheidsgegevens benutten

Author info

Timelex had de eer om de Commissie bij te staan bij de voorbereiding van een studie ter ondersteuning van de effectenbeoordeling van beleidsopties voor een EU-initiatief inzake een EHDS. De Commissie heeft op 2 mei 2022 haar voorstel voor een EHDS-verordening bekendgemaakt.

De overkoepelende doelstellingen van de voorgestelde verordening zijn:
a) de rechten van patiënten betreffende gezondheidsgegevens versterken en
b) verzamelingen van gezondheidsgegevens zoveel mogelijk open te stellen voor de patiënten en voor de gemeenschap in ruimere zin.

De doelstellingen van de EHDS-verordening

De ontwerp-verordening voor een Europese ruime van gezondheidsgegevens is het eerste voorstel voor een domeinspecifieke gemeenschappelijke Europese dataruimte zoals die in de Europese datastrategie is geschetst. Belangrijk is te beklemtonen dat het voorstel niet tot doel heeft te regelen hoe de gezondheidszorg in de afzonderlijke lidstaten moet worden geregeld. Dat is namelijk, op grond van artikel 168(7) van het VWEU, een bevoegdheid van de lidstaten. De specifieke doelstellingen van het voorstel zijn onder meer:

  • versterking van de rechten van natuurlijke personen (patiënten) met betrekking tot de beschikbaarheid van, en de controle op hun elektronische gezondheidsgegevens;
  • voorzien in regels en mechanismen ter ondersteuning van onderzoek en op feiten gebaseerde beleidsvorming met gebruikmaking van elektronische gezondheidsgegevens;
  • vaststelling van geharmoniseerde normen voor systemen voor elektronische medische dossiers ("EHR") op de Europese-markt;
  • totstandbrenging van een verplicht te gebruiken grensoverschrijdende infrastructuur die het primaire en secundaire gebruik van elektronische gezondheidsgegevens in de gehele EU mogelijk moet maken.

De door de EHDS-verordening voorgestelde wijzigingen zullen van belang zijn voor iedereen die betrokken is inde levenscyclus van gezondheidsgegevens, m.a.w. patiënten, ziekenhuizen, aanbieders van softwarepakketten voor medisch dossierbeheer of voor opvolging van de eigen gezondheid- en daarnaast ook voor  onderzoekers en beleidsmakers die toegang nodig hebben tot die gegevens ("gegevensgebruikers").

Primair en secundair gebruik van elektronische gezondheidsgegevens

De belangrijkste term die in de EHDS-verordening wordt gebruikt, is “elektronische gezondheidsgegevens”. Er wordt een onderscheid gemaakt tussen:

  • persoonlijke elektronische gezondheidsgegevens: gegevens betreffende de  gezondheid en genetische gegevens zoals omschreven in de AVGAVG, alsmede gegevens die betrekking hebben op gezondheidsdeterminanten, of gegevens die worden verwerkt in verband met de verlening van diensten op het gebied van gezondheidszorg, verwerkt in een elektronische vorm; en
  • niet-persoonlijke elektronische gezondheidsgegevens: gegevens betreffende gezondheid en genetische gegevens in elektronisch formaat die buiten de definitie van persoonsgegevens in de AVG vallen (bijvoorbeeld gegevens over gemiddelde kost van een medische ingreep in de ziekenhuizen van een regio).

Deze ruime definitie is bedoeld om alle categorieën van gezondheidsgegevens te bestrijken, ongeacht de bron ervan (patiënt of een andere persoon, zoals een gezondheidswerker), en omvat ook afgeleide en afgeleide gegevens, zoals diagnoses, tests en medische onderzoeken, alsmede gegevens die met automatische middelen (bv. via medische apparatuur) worden waargenomen en geregistreerd.

De voorgestelde EHDS-verordening maakt een onderscheid tussen twee algemene contexten voor het gebruik van elektronische gezondheidsgegevens:

Primair gebruik van elektronische gezondheidsgegevens

Secundair gebruik van elektronische gezondheidsgegevens

  • gebruik van gegevens in het kader van de gezondheidszorg, onder meer voor:
    • behandeling van de patiënt;
    • het voorschrijven en verstrekken van geneesmiddelen en medische hulpmiddelen;
    • sociale zekerheid, administratieve of terugbetalingsdiensten.
  • gebruik van gegevens voor andere doeleinden die de samenleving ten goede komen, zoals:
    • onderzoek & innovatie
    • beleidsvorming
    • patiëntveiligheid
    • gepersonaliseerde geneeskunde
    • officiële statistieken
    • regelgevende activiteiten.

Opgemerkt moet worden dat deze term niet dezelfde is als het begrip "verdere verwerking" van persoonsgegevens in artikel 6, lid 4, van de AVGAVG. Onder de EHDS-verordening is het mogelijk dat elektronische gezondheidsgegevens specifiek worden verzameld voor secundair gebruik (bijv. opvraging bij ziekenhuizen in een regio over gemiddelde kost van een bepaalde medische ingreep).

 

Nieuwe patiëntenrechten inzake toegang tot en controle over gezondheidsgegevens die hen betreffen

De voorgestelde EHDS-verordening zal de rechten van patiënten op hun elektronische gezondheidsgegevens versterken, bovenop de rechten waarin de AVG reeds voorziet. Voortbouwend op de concepten van het recht op toegang, het recht op overdraagbaarheid en het recht op rectificatie, zullen de patiënten de volgende bijkomende rechten krijgen:

  • toegang tot hun persoonlijke elektronische gezondheidsgegevens die in het kader van het primair gebruik zijn verwerkt. Zij moeten hun gegevens onmiddellijk, kosteloos en in een gemakkelijk leesbare, geconsolideerde en toegankelijke vorm ontvangen. Om het welzijn van de patiënten te beschermen (bijvoorbeeld met betrekking tot informatie over ernstige diagnoses, die door de arts moet worden toegelicht), kunnen er echter enkele uitzonderingen op deze regel worden gemaakt;
  • de mogelijkheid om zelf gezondheidsgegevens in hun eigen elektronisch patiëntendossier (EPD) in te voeren, voor zover deze gegevens duidelijk worden gemarkeerd als zijnde toegevoegd door de patiënt . Dit kan nuttig zijn om onjuiste informatie door de patiënt zelf te laten corrigeren of gegevens van een wellness-app toe te voegen;
  • het recht om toegang te verlenen tot hun gegevens of die gegevens over te dragenaan een ontvanger van hun keuze, onmiddellijk, kosteloos en zonder belemmeringen. Indien de ontvanger van de gegevens uit een andere lidstaat komt, moet de meest relevante gezondheidsinformatie (waaronder bijvoorbeeldpatientenfiche, ontslagrapport, elektronische voorschriften en laboresultaten, m.a.w. de zogenaamde "prioritaire categorieën") worden overgedragen in het Europees  uitwisselingsformaat voor elektronische patiëntendossiers. Dit zal van belang zijn voor patiënten die de grens van een lidstaat oversteken om er te werken, te studeren, familie te bezoeken of die reizen en hun EPD beschikbaar moeten stellen aan artsen in een ander EU-land;
  • het recht om de toegang van gezondheidswerkers tot alle of een deel van hun elektronische gezondheidsgegevens te beperken. Met andere woorden, de patiënt kan beslissen hoeveel van zijn gezondheidsdossier aan een arts wordt vrijgegeven. De lidstaten kunnen de regels en specifieke waarborgen met betrekking tot dergelijke beperkingsmechanismen vaststellen;
  • informatiete verkrijgen over de zorgverleners en gezondheidswerkers die in het kader van de gezondheidszorg toegang hebben gehad tot hun elektronische gezondheidsgegevens.

Aan de andere kant, zullen gezondheidswerkers:

  • toegang hebben tot de elektronische gezondheidsgegevens van natuurlijke personen die bij hen in behandeling zijn, ongeacht de lidstaat van aansluiting en de lidstaat waar de behandeling plaatsvindt;
  • ervoor te zorgen dat de persoonlijke elektronische gezondheidsgegevens van de natuurlijke personen die zij behandelen, worden bijgewerkt met informatie betreffende de verstrekte gezondheidsdiensten.

Om deze doelstellingen te verwezenlijken, is de Europese Commissie voornemens de bestaande grensoverschrijdende infrastructuur uit te breiden ter ondersteuning van het primaire gebruik van gegevens (MyHealth@EU). De ontwerpverordening verleent de Commissie de bevoegdheid om een reeks uitvoeringsmaatregelen uit te vaardigen betreffende diverse aspecten van MyHealth@EU. De versterkte infrastructuur zal bestaan uit een centraal platform en door de lidstaten opgerichte nationale contactpunten, waarop de zorgaanbieders zullen worden aangesloten om de gegevens uit te wisselen. Tot slot zullen de instanties voor digitale gezondheidszorg verantwoordelijk zijn voor de uitvoering en handhaving in het kader van het primair gebruik.

Normen voor systemen voor elektronische patiëntendossiers (EPD) en interoperabiliteit van medische hulpmiddelen en AI-systemen

EPD-systemen vormen de ruggengraat van het systeem voor gegevensuitwisseling dat door de ontwerpverordening betreffende EHDS wordt beoogd, en hun interoperabiliteit met andere systemen is van cruciaal belang. Daarom bevat de voorgestelde verordening een aantal voorschriften voor EPD-systemen voor primair gebruik van prioritaire categorieën van elektronische gezondheidsgegevens. Zo mogen dergelijke EPDsystemen alleen in de EU op de markt worden gebracht of in gebruik worden genomen als zij voldoen aan de essentiële eisen die in de verordening zijn vastgesteld. De fabrikanten zullen een EU-conformiteitsverklaring moeten opstellen en de CE-markering moeten aanbrengen alvorens een EPD-systeem op de markt te brengen.

Het voorstel voorziet ook in een vrijwillige etiketteringsregeling voor wellness-toepassingen en AI-systemen met een hoog risico die interoperabiliteit met EPD-systemen claimen.

Beschikbaarstelling van gezondheidsgegevens voor onderzoek en beleidsdoeleinden

De bepalingen inzake secundair gebruik zijn bedoeld om gezondheidsonderzoek en -innovatie te stimuleren, zowel voor particuliere als voor overheidsinitiatieven, en om een geïnformeerde beleidsvorming mogelijk te maken. Het voorgestelde systeem zal steunen op drie actoren: organen die toegang hebben tot gezondheidsgegevens, houders van gegevens en gebruikers van gegevens. Hun respectieve rollen worden in onderstaande tabel samengevat.  

Organen voor de toegang tot gezondheidsgegevens

Houders van gegevens

Gegevensgebruikers

  • worden door de lidstaten opgezet om te zorgen voor een voorspelbare en vereenvoudigde toegang tot elektronische gezondheidsgegevens voor secundaire doeleinden;
  • treden op als intermediair tussen de houders van de gegevens, de potentiële gebruikers van de gegevens en - in sommige gevallen - de patiënten;
  • onderzoeken de aanvragen van potentiële gebruikers en verlenen gegevensvergunningen, d.w.z. administratieve besluiten die een gebruiker van gegevens toegang verlenen tot gegevens, indien die toegang vereist is voor in de EHDS-verordening omschreven doeleinden;
  • kunnen een vergoeding vragen voor hun diensten;
  • kunnen de gevraagde gegevens ook voorbewerken om ze voor te bereiden op secundair gebruik;
  • indien er tijdens het onderzoek een bevinding wordt gedaan die gevolgen kan hebben voor de gezondheid van een natuurlijke persoon, kunnen deze organen deze persoon en haar/zijn arts over deze bevinding inlichten;
  • houden een metagegevenscatalogus bij met een lijst van de beschikbare datasets, waarin elke dataset wordt beschreven, met inbegrip van: gegevensbron, reikwijdte van de gegevens, de belangrijkste kenmerken en de voorwaarden voor het beschikbaar stellen van de gegevens. De nationale catalogi zullen met elkaar worden verbonden door de EU Datasets Catalogue;
  • hebben de bevoegdheid om een boete op te leggen aan een houder van gegevens die zijn datasets niet voor secundair gebruik ter beschikking stelt.

 

  • zijn personen en instanties die beschikken over elektronische gezondheidsgegevens en verplicht zullen worden deze gegevens beschikbaar te stellen voor secundair gebruik, bijvoorbeeld: ziekenhuizen, instellingen voor gezondheidsonderzoek, nationale en Europese publieke instanties, maar ook particuliere bedrijven die bepaalde gegevens beheren, zoals: inhoud van EPD's, sociale en milieugedragsdeterminanten van gezondheid, elektronische gezondheidsgegevens uit biobanken en specifieke databanken, gezondheidsgerelateerde administratieve gegevens;
  • mogen een redelijke vergoeding vragen voor het beschikbaar stellen van elektronische gezondheidsgegevens voor secundair gebruik;
  • moeten afzien van het achterhouden van de gegevens, het vragen van ongerechtvaardigde vergoedingen die niet transparant zijn en niet in verhouding staan tot de kosten voor het beschikbaar stellen van de gegevens;
  • zullen de instanties die toegang hebben tot gezondheidsgegevens, moeten informeren over hun datasets en de kenmerken daarvan;
  • kunnen ook een EU-keurmerk voor gegevenskwaliteit en -bruikbaarheid op hun gegevensreeksen aanbrengen, indien die reeksen voldoen aan de in de verordening en de gedelegeerde uitvoeringsbesluiten vastgestelde beginselen. Voor sommige gegevensreeksen (bijv. die welke met overheidsfinanciering tot stand zijn gekomen) zal het naleven van die beginselen verplicht zijn;
  • kunnen rechtstreeks een gegevensvergunning verlenen indien het verzoek om toegang betrekking heeft op één enkele houder van gegevens. Zij bieden de gebruiker toegang tot gegevens in een beveiligde verwerkingsomgeving (hieronder beschreven).
  • zijn bijvoorbeeld onderzoekers of bedrijven die de gegevens voor hun O&O willen gebruiken, alsmede autoriteiten die gegevens nodig hebben om hun taken uit te voeren (voor hen gelden andere regels);
  • kunnen verzoeken om toegang tot gegevens, hetzij rechtstreeks door de houder van de gegevens, hetzij via de bemiddeling van organen voor de toegang tot gezondheidsgegevens. Daartoe moeten zij eerst een  gegevensvergunning aanvragen;.
  • moeten bij hun aanvraag voor een dergelijke vergunning, de volgende informatie verstrekken:
    • de doeleinden waarvoor de gegevens zouden worden gebruikt,
    • beschrijving van de gevraagde gegevens en mogelijke gegevensbronnen,
    • een beschrijving van de instrumenten die nodig zijn om de gegevens te verwerken, alsmede van de kenmerken van de beveiligde omgeving (hieronder nader beschreven) die nodig zijn;
    • wanneer gegevens in gepseudonimiseerde vorm worden gevraagd, moet de aanvrager van de gegevens uitleggen waarom dit nodig is en waarom anonieme gegevens niet zouden volstaan, en de rechtsgrondslag voor de verwerking aangeven (overeenkomstig artikel 6, lid 1, van de AVG);
  • hebben het recht om de elektronische gezondheidsgegevens in te zien en te verwerken overeenkomstig de hun op grond van de verordening verstrekte gegevensvergunning
  • dienen, uiterlijk 18 maanden na de voltooiing van de verwerking van de elektronische gezondheidsgegevens, de resultaten of output van het secundaire gebruik van elektronische gezondheidsgegevens openbaar te maken. Dit is mogelijk een belangrijke factor om rekening mee te houden bij het aanvragen van een vergunning, vooral voor particuliere bedrijven;
  • moeten de bronnen van de elektronische gezondheidsgegevens en het feit dat de elektronische gezondheidsgegevens in het kader van de EHDS zijn verkregen, vermelden bij de publicatie van hun resultaten;;
  • moeten, indien de gegevens worden verrijkt, de dataset met dergelijke verbeteringen en een beschrijving van de wijzigingen kosteloos ter beschikking van de oorspronkelijke houder van de gegevens.

 

 

Waarborgen voor de privacy van patiënten en grensoverschrijdende samenwerking binnen de EU

Gegevens voor secundair gebruik mogen in anonieme of gepseudonimiseerde vorm worden verstrekt (gepseudonimiseerde gegevens alleen indien het doel van de verwerking door de gegevensgebruiker niet kan worden bereikt met anoniem gemaakte gegevens). De informatie die nodig is om de pseudonimisering ongedaan te maken, is alleen beschikbaar voor het orgaan dat toegang heeft tot de gezondheidsgegevens.

De organen die toegang hebben tot gezondheidsgegevens zullen uitsluitend toegang verlenen tot elektronische gezondheidsgegevens via een beveiligde verwerkingsomgeving, die voorziet in technische en organisatorische maatregelen en die voldoet aan beveiligings- en interoperabiliteitseisen.

De gebruikers van de gegevens zullen alleen niet-persoonsgebonden elektronische gezondheidsgegevens uit de beveiligde verwerkingsomgeving kunnen downloaden. Voor specialisten op het gebied van gegevensbeschermingsrecht is het interessant om te lezen dat voor de verwerking van elektronische gezondheidsgegevens in het kader van een verleende vergunning de organen die toegang hebben tot gezondheidsgegevens en de gebruikers van de gegevens gezamenlijke verwerkingsverantwoordelijken  zullen zijn in de zin van artikel 26 van de AVG. Zoals hierboven vermeld, mogen ook houders van gegevens beveiligde verwerkingsomgevingen hosten waarin zij gebruikers toegang verlenen na een verzoek van één houder.  

Elke lidstaat zal een nationaal contactpunt moeten aanwijzen voor het secundaire gebruik van elektronische gezondheidsgegevens. Het nationaal contactpunt kan het orgaan voor toegang tot gezondheidsgegevens zijn. De lidstaten en de Commissie zetten HealthData@EU op, dat zal dienen om de grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik te ondersteunen en te vergemakkelijken, de nationale contactpunten voor secundair gebruik van elektronische gezondheidsgegevens van alle lidstaten te verbinden en de deelnemers aan die infrastructuur te machtigen.

Volgende stappen

Het ontwerp van de EHDS-verordening is onlangs door de Europese Commissie bekendgemaakt en zal nu volgens de gewone wetgevingsprocedure worden toegezonden aan, en besproken door het Europees Parlement en de Raad. Zodra de EHDS-verordening is aangenomen, zal zij in werking treden op de twintigste dag volgende op die van haar bekendmaking. Zij is van toepassing vanaf 12 maanden na haar inwerkingtreding, maar de handhaving van sommige bepalingen zal verder worden uitgesteld.

Wilt u meer weten?

Heeft u een specifieke vraag of wenst u ondersteuning in deze zaak? Wij helpen u graag. Boek een gratis 15-minuten call met Magdalena op magdalena.kogut.lawyer.brussels (voorbehouden voor organisaties).