Take 5: Verkenning van de laatste wetgevende ontwikkelingen in de Verordening betreffende de Europese ruimte voor gezondheidsgegevens

Na een periode van onzekerheid over het lot van de Verordening betreffende de Europese ruimte voor gezondheidsgegevens ("EHDS-Verordening"), hebben het Europees Parlement en de Raad eerder dit voorjaar een voorlopig politiek akkoord bereikt over het voorstel. Het compromisakkoord [link] heeft enkele nieuwe concepten geïntroduceerd en ook duidelijkheid verschaft over de relatie tussen de Algemene Verordening Gegevensbescherming (AVG) en de EHDS-Verordening. Hoewel de tekst nog formeel moet worden goedgekeurd door de Raad, schetst het gepubliceerde ontwerp duidelijk de richting die de EU-wetgevers willen inslaan. Deze blogpost richt zich op vijf belangrijke punten die het kader voor toegang tot en gebruik van elektronische gezondheidsinformatie in de EU aanzienlijk zullen beïnvloeden.

Als u geïnteresseerd bent in de ontwikkelingen van EHDS, kunt u onze eerdere blogposts lezen: European Health Data Space: The Debate Continues enEuropese ruimte voor gezondheidsgegevens (EHDS) - Het potentieel van EU-gezondheidsgegevens benutten | Timelex.

De auteurs van dit artikel nemen deel aan de volgende door de EU gefinancierde projecten:

• Flute, AI4Lungs - Magdalena Kogut-Czarkowska
• RES-Q+, TOLIFE - Anubhuti Sinha

Inleiding

Het voorstel voor de EHDS-Verordening, dat in mei 2022 werd geïntroduceerd, werd ontworpen met als overkoepelende doelstellingen om, naast andere doelstellingen, de rechten van patiënten met betrekking tot hun gezondheidsgegevens te versterken en het hergebruik van dergelijke gegevens voor wetenschappelijk onderzoek en innovatie te bevorderen. Zoals zo vaak het geval is, zit het venijn in de staart, en de EHDS-Verordening heeft door het compromisakkoord tussen de Raad van de EU en het Europees Parlement talrijke herzieningen van de tekst ondergaan. Hieronder gaan we in op vijf recente ontwikkelingen die voortkomen uit dit proces en die volgens ons van belang zijn voor bedrijven en onderzoekers die actief zijn in de gezondheidszorg.

1. Verplichte labeling van wellness-apps

De compromisovereenkomst verscherpt de verplichtingen van de fabrikanten van wellness-apps. Wellness-apps zijn in de EHDS-Verordening ruim gedefinieerd als "elk apparaat of elke software die door de fabrikant is bedoeld om door een natuurlijke persoon te worden gebruikt voor de verwerking van elektronische gezondheidsgegevens voor andere doeleinden dan gezondheidszorg, zoals welzijn en het nastreven van een gezonde levensstijl."

Om ervoor te zorgen dat gebruikers goed worden geïnformeerd over het feit dat de wellness-app kan worden aangesloten op en gegevens kan leveren aan systemen voor elektronische medische dossiers (EHR-systemen), introduceert de EHDS-Verordening verplichte labelingregelingen voor wellness-apps die interoperabiliteit met EHR-systemen claimen. Dit label zal worden uitgegeven door de fabrikant van de wellness-app voordat deze op de markt wordt gebracht. Bovendien moeten wellness-apps met een label worden geregistreerd in een EU-database.

Fabrikanten moeten er ook voor zorgen dat wellness-apps die interoperabiliteit met EHR-systemen claimen, voldoen aan de essentiële eisen en gemeenschappelijke specificaties die zijn uiteengezet in de EHDS-Verordening, waaronder de eisen die zijn gespecificeerd in bijlage II. Deze vereisten gelden ook voor medische hulpmiddelen en AI-systemen die dergelijke interoperabiliteit claimen. De lidstaten mogen andere aspecten van wellness-apps reguleren op voorwaarde dat ze in overeenstemming zijn met de EU-wetgeving.

Verder moeten fabrikanten ervoor zorgen dat het delen van gegevens vanuit de applicatie veilig en afhankelijk van de toestemming van de gebruiker is.

Belangrijk is dat de compromistekst gegevens van wellness-apps opneemt in de categorieën die in aanmerking komen voor secundair gebruik. Bijgevolg zullen bedrijven die dergelijke apparaten of software aanbieden, worden geclassificeerd als houders van gezondheidsgegevens (“Gegevenshouders”).

2. Recht op opt-out voor secundair gebruik van gezondheidsgegevens

De delicate balans tussen het recht van patiënten om het gebruik van hun gegevens voor onderzoek te controleren en de noodzaak voor de wetenschappelijke gemeenschap om toegang te krijgen tot de waardevolle maar vaak geïsoleerde medische gegevens in ziekenhuisdossiers is het onderwerp geweest van intense discussies.

Sinds de invoering van de EHDS-Verordening zijn verschillende benaderingen overwogen, variërend van verplichte toestemming van de patiënt (opt-in) tot opt-out-systemen en zelfs de volledige afwezigheid van inbreng van de patiënt. Ten slotte wordt in de compromistekst aan patiënten binnen de EU een omkeerbaar recht toegekend om af te zien van het secundaire gebruik van persoonlijke elektronische gezondheidsgegevens. De lidstaten moeten zorgen voor een duidelijk en toegankelijk mechanisme waarmee personen dit recht kunnen uitoefenen. Het compromis biedt de lidstaten echter ook de mogelijkheid om dit recht in specifieke nationale contexten terzijde te schuiven voor doeleinden die sterk verband houden met het openbaar belang.

De lidstaten kunnen er bijvoorbeeld voor kiezen om de beslissing van een patiënt om niet deel te nemen, naast zich neer te leggen in scenario's die van vitaal belang zijn voor de volksgezondheid, zoals het aanpakken van ernstige grensoverschrijdende bedreigingen van de gezondheid of het uitvoeren van wetenschappelijk onderzoek naar onvervulde medische behoeften, waaronder zeldzame ziekten of opkomende gezondheidsproblemen. Deze terzijdestelling is beperkt tot gebruikers van gezondheidsgegevens (“Gegevensgebruikers”) binnen de overheidssector, met inbegrip van relevante Europese instellingen, organen, agentschappen of entiteiten met verantwoordelijkheden op het gebied van de volksgezondheid, en alleen als de gegevens niet snel en doeltreffend via alternatieve middelen kunnen worden verkregen.

Deze genuanceerde benadering probeert zowel individuele privacy rechten als de bredere belangen van volksgezondheid en wetenschappelijke vooruitgang te beschermen, en erkent de complexiteit en het belang van het vinden van een balans tussen deze tegenstrijdige prioriteiten.

3. Duidelijkere definitie van gegevenshouders en een nieuw concept van 'vertrouwde gegevenshouders’

Krachtens de EHDS-Verordening moeten de gegevenshouders bepaalde elektronische gezondheidsgegevens beschikbaar stellen voor secundair gebruik. De definitie van houders van gezondheidsgegevens is geactualiseerd om specifiek het volgende te vermelden:

• overheidsinstanties, agentschappen of andere organen in de gezondheidszorg of de zorgsector, zoals terugbetalingsdiensten, evenals
• elke natuurlijke of rechtspersoon die zich bezighoudt met
• het ontwikkelen van producten of diensten voor de gezondheids-, gezondheidszorg- of zorgsector;
• de ontwikkeling of productie van wellness-apps; of
• het uitvoeren van onderzoek met betrekking tot de gezondheidszorg of zorgsectoren

die het recht of de plicht hebben om persoonlijke elektronische gezondheidsgegevens te verwerken voor de in de EHDS-Verordening genoemde doeleinden of de mogelijkheid hebben om niet-persoonlijke elektronische gezondheidsgegevens beschikbaar te stellen, waaronder het registreren, het verstrekken, de toegang daartoe te beperken of deze uit te wisselen. De compromistekst actualiseert ook de categorieën elektronische gegevens die beschikbaar moeten worden gesteld voor secundair gebruik en verduidelijkt bijvoorbeeld dat automatisch gegenereerde gegevens van medische hulpmiddelen, wellness-apps of gegevens over klinische proeven en klinische onderzoeken (zodra deze zijn beëindigd) hieronder vallen.  De lidstaten mogen ook aanvullende waarborgen en strengere maatregelen invoeren voor sommige categorieën, bijvoorbeeld voor menselijke genetische gegevens.

Tegelijkertijd stelt het EHDS-Verordening individuele onderzoekers, natuurlijke personen en micro-ondernemingen vrij van de verplichtingen van houders van gezondheidsgegevens.

Het kader voor het verlenen van toegang tot gegevens voor secundair gebruik is op tal van punten gewijzigd. Zo is er in de EHDS-Verordening een nieuw concept van 'vertrouwde houder van gezondheidsgegevens' geïntroduceerd om de bureaucratische en administratieve last van de organen voor toegang tot gezondheidsgegevens te helpen verminderen met betrekking tot aanvragen voor toegang tot gegevens en verzoeken om gegevens.

Een lidstaat kan vertrouwde houders van gezondheidsgegevens aanwijzen door te beoordelen of een houder van gezondheidsgegevens aan de volgende specifieke voorwaarden voldoet:

• toegang kan verlenen tot de gegevens die het bewaart via een beveiligde verwerkingsomgeving die voldoet aan de EHDS-normen,
• de nodige expertise heeft om aanvragen voor toegang tot gegevens en verzoeken om gegevens te beoordelen en
• de nodige garanties biedt voor naleving van de EHDS-Verordening.

De rol van vertrouwde houders van gezondheidsgegevens zal bestaan uit het beoordelen van aanvragen voor toegang tot de gegevens die zij beheren. De instantie voor toegang tot gezondheidsgegevens kan dergelijke aanvragen doorsturen naar deze vertrouwde houders van gezondheidsgegevens, die ze vervolgens beoordelen en aanbevelingen doen aan de instantie voor toegang tot gezondheidsgegevens. Het is belangrijk op te merken dat, hoewel de aanbevelingen van de vertrouwde houders van gezondheidsgegevens in overweging worden genomen, de instantie voor toegang tot gezondheidsgegevens uiteindelijk bevoegd blijft om de gegevensvergunning af te geven. Na goedkeuring van de vergunning zal de vertrouwde houder van de gezondheidsgegevens de gezondheidsgegevens voorbereiden voor de toegang, inclusief de compilatie en anonimisering of pseudonimisering ervan, en de gegevens in een veilige omgeving beschikbaar stellen voor verwerking door de gebruiker.

4. Administratieve boetes door organen voor de toegang tot gezondheidsgegevens

Het oorspronkelijke voorstel voor de EHDS-Verordening voorzag niet in krachtige handhavingsmaatregelen. Volgens de compromistekst zullen de organen voor de toegang tot gezondheidsgegevens de houders en gebruikers van gezondheidsgegevens kunnen straffen door middel van administratieve boetes in AVG-stijl. Meer in het bijzonder kunnen de houders en gebruikers van gezondheidsgegevens een boete krijgen tot 10.000.000 euro of, in het geval van een onderneming, tot 2% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, afhankelijk van welk bedrag hoger is, als zij hun verplichtingen niet nakomen. Hogere boetes tot 20 000 000 euro of, in het geval van een onderneming, tot 4% van de totale wereldwijde jaaromzet van het voorafgaande boekjaar, afhankelijk van welke van de twee het hoogst is, kunnen worden opgelegd voor grove schendingen die in de EHDS-Verordening zijn gespecificeerd.

De onderstaande tabel geeft een overzicht van de boetes die van toepassingen zijn op verschillende inbreuken.

De EHDS-Verordening stelt lidstaten in staat om passende regels op te stellen voor het opleggen van administratieve boetes aan overheidsinstanties, maar introduceert algemene voorwaarden die moeten worden gevolgd bij het opleggen van deze boetes. Deze algemene voorwaarden omvatten verschillende factoren van de inbreuk, zoals de ernst en de omvang van de inbreuk, waarmee rekening moet worden gehouden bij het bepalen van de hoogte van de boete. 

5. Toepasselijkheid van diverse bepalingen

De EHDS-Verordening wordt 2 jaar na inwerkingtreding van kracht en zal gefaseerd worden geïmplementeerd: het tijdschema varieert van 4 tot 10 jaar. De bepalingen met betrekking tot EHR-systemen worden bijvoorbeeld 4 tot 6 jaar na de inwerkingtreding van de EHDS-Verordening van kracht. De meeste bepalingen met betrekking tot secundair gebruik van elektronische gezondheidsgegevens worden pas na 4 jaar van kracht, terwijl bepaalde categorieën gegevens pas na 6 jaar beschikbaar worden gesteld voor secundair gebruik. Deze categorieën omvatten onder andere gegevens over factoren die van invloed zijn op de gezondheid, waaronder sociaaleconomische, milieu- en gedragsdeterminanten van gezondheid, menselijke genetische, epigenomische en genomische gegevens, gegevens van klinische proeven, klinische studies en klinische onderzoeken.

Interessant is dat de toegang tot de elektronische gezondheidsgegevens via de EHDS-Verordening voor secundair gebruik door derde landen of internationale organisaties naar verwachting pas na 10 jaar zal worden geïmplementeerd.

Conclusie

De Europese ruime voor gezondheidsgegevens betekent een belangrijke vooruitgang in het harmoniseren van regelgeving rond toegang tot en gebruik van gezondheidsgegevens. De compromisovereenkomst heeft innovatieve concepten geïntroduceerd zoals de digitale testomgeving en de vertrouwde houder van gezondheidsgegevens, terwijl ook de governanceregels voor elektronische persoonlijke gezondheidsgegevens zijn verfijnd. Ondanks deze vooruitgang behouden de lidstaten een aanzienlijke autonomie in de manier waarop gezondheidsgegevens worden verwerkt, wat kan leiden tot uiteenlopende regels en nationale uitzonderingen. Deze verschillen kunnen leiden tot hogere kosten en administratieve lasten voor belanghebbenden. Met name de voorwaarden voor het hergebruik van bepaalde soorten gezondheidsgegevens zullen waarschijnlijk gefragmenteerd blijven. Een succesvolle implementatie van het EHDS hangt af van de voortdurende samenwerking tussen de lidstaten om deze uitdagingen aan te pakken en te zorgen voor samenhangende regelgeving over de grenzen heen.

Volgende stappen

De EHDS-Verordening is in april 2024 goedgekeurd door het Parlement en moet nu worden aangenomen door de Raad. Zodra de Raad de nieuwe EHDS-Verordening heeft goedgekeurd, wordt deze naar verwachting in het najaar gepubliceerd in het Publicatieblad.

Flute, AI4Lungs, RES-Q+ en TOLIFE hebben financiering ontvangen uit de onderzoeks- en innovatieprogramma's Horizon Europe van de Europese Unie. De inhoud van dit artikel geeft echter de mening van de auteurs weer en vertegenwoordigt op geen enkele wijze de mening van de Europese Unie. De Europese Commissie is niet verantwoordelijk voor welk gebruik dan ook van de informatie die het artikel bevat.