Hoewel het vergemakkelijken van het gebruik van elektronische gezondheidsgegevens breed wordt toegejuicht, is er met de komst van de EHDS op Europees niveau vrees ontstaan voor een verzwakking van de (huidige) bescherming van het recht op privacy en bescherming van de gezondheidsgegevens van patiënten. Het lijkt daarom nodig om het voorstel van de EHDS te harmoniseren met het al bestaande rechtskader voor gegevensbescherming.

Secundair datagebruik

Zowel op Europees als nationaal niveau bestaat uitgebreide regelgeving voor bescherming van gezondheidsgegevens. Denk hierbij aan de AVG, de Data Governance Act en andere recente (concept) wet- en regelgeving, zoals de AI Act. Om uitwisseling van gezondheidsgegevens te vergemakkelijken, voegt de EHDS, boven op het bestaande rechtskader, een extra ‘laag’ toe aan bepalingen over de (verdere) verwerking van gezondheidsgegevens.
Zo maakt de EHDS onderscheid tussen primair en secundair datagebruik van elektronische gezondheidsgegevens. Secundair datagebruik beoogt gezondheidsgegevens van individuele personen open te stellen voor de samenleving en in te zetten voor doeleinden als betere zorgverlening, (wetenschappelijk) onderzoek, innovatie en beleidsvorming.

Het begrip van secundair datagebruik is niet gelijk aan het begrip ‘verdere verwerking’ onder de AVG. Een ‘verdere verwerking’ mag onder de AVG slechts plaatsvinden met toestemming van betrokkenen. Daarnaast moeten betrokkenen voordat de gegevens voor een ander doel worden verwerkt, worden geïnformeerd over de doeleinden van de verdere verwerking en hun de mogelijkheid worden geboden hiertegen bezwaar te maken. Onder de EHDS hebben patiënten niet het recht om toegang tot secundair datagebruik te beperken. Het ontbreken van dit recht om bezwaar te maken tegen verdere verwerking en daarmee de toegang tot hun gezondheidsgegevens te beperken, schuurt met het recht op informatie zoals geregeld in de AVG. Inconsistenties of tegenstrijdigheden kunnen leiden tot rechtsonzekerheid bij patiënten en het beschermingsniveau dat momenteel aan patiënten wordt geboden, aantasten.

EHDS in lijn brengen

De European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS), twee Europese toezichthouders voor gegevensbescherming, zijn van mening dat de complexiteit van de bepalingen van de EHDS dringend moet worden verminderd en in lijn moet worden gebracht met de AVG en andere specifieke wetgeving. Zij vinden het van groot belang dat de doeleinden voor secundair datagebruik afgebakend en verduidelijkt worden.
Ook geven de EDPB en EDPS aan dat de reikwijdte van de EHDS moet worden beperkt door wellness- en andere digitale gezondheidstoepassingen uit te sluiten van secundair datagebruik. Deze toepassingen genereren een enorme hoeveelheid gegevens die voor bijkomende doeleinden kunnen worden verwerkt. Deze gegevens zijn invasief en ingrijpend op het dagelijks leven van personen. Denk hierbij bijvoorbeeld aan gevoelige gegevens zoals (eet)gewoonten die herleidbaar zijn tot de gezondheid of religieuze oriëntatie van een individu.

Balans vinden

Hoewel de EHDS in onze optiek een belangrijke impuls voor gegevensdeling in de zorg vormt, zijn we, net als de EDPB en EDPS, van mening dat dit wel zorgvuldig dient te gebeuren. Binnen de EHDS zal een balans moeten worden gevonden tussen het stimuleren van gegevensdeling voor goede doeleinden en de gegevensbescherming van bijzonder gevoelige gezondheidsgegevens van patiënten. Hiertoe zal de EHDS in lijn moeten worden gebracht met de bestaande Europese en nationale wetgeving. Een heldere afbakening van definities en reikwijdte stimuleert gegevensuitwisseling voor de juiste doeleinden, biedt waarborging voor de bescherming van rechten van patiënten en maakt bovendien op Europees niveau doeltreffend toezicht mogelijk.

Door: Margriet Martin en Amy van der Maat, legal-healthcare experts PwC