vrijdag, 09 februari 2024 22:42

De jacht op uw medische gegevens via de Europese Dataruimte Gezondheidszorg /EU-e-Health Data Space (EHDS) dient een halt toe te worden geroepen.

Op 3 mei 2022 lanceerde de EU Commissie de concept versie voor een EU-e-Health Data Space wetsvoorstel.  Die beoogt een EU wijd infrastructuursysteem op te zetten voor het standaardiseren en uitwisselen van alle zorgdata van de 448,4 miljoen inwoners in de Europese Unie. Bij goedkeuring zou alle opgenomen wet- en regelgeving uit de Verordening integraal door alle 27 lidstaten geïmplementeerd dienen te worden.

Dat omvat wet- en regelgeving voor het grensoverschrijdend interoperabel primaire gebruik van alle zorg- en sociale data in de EU via het digitale uitwisselings systeem eHDSI . Evenals voor het EU breed secundair beschikbaar stellen van al deze gegevens aan derde partijen voor ander doeleinden dan de directe zorgverlening.

De voorstellen zijn in velerlei opzichten hoogst problematisch.

  • Omdat zij fnuikend zouden uitpakken voor de privacy van patiënten en behoud van het medisch beroepsgeheim.
  • Omdat het openstellen van medische en sociale data aan anderen dan dirécte zorgverleners niet in het belang is van de gezondheid van de betrokken patiënt/cliënt en het onethisch en onwettig is zolang daar geen toestemming van betrokkenen voor is gegeven.
  • Omdat het gebruik voor wetenschappelijk onderzoek, beleidsdoeleinden en commerciële doeleinden, zonder toestemming van betrokkenen en zonder hen daarvan in kennis te stellen, indruist tegen de fundamentele principes van hun privacy rechten en recht op lichamelijke integriteit.
  • Uit veiligheidsoverwegingen omdat deze data een goudmijn vormen voor onbevoegde partijen, zowel voor commerciële uitbuiting als voor criminele en terroristische activiteiten.
  • Uit rechtsordelijke overwegingen. Omdat de EU het mandaat ontbeert om zich met de gezondheidszorg te bemoeien; behoudens als coördinator bij uitzonderlijke volksgezondheidsbedreigingen.
  • Uit juridische overwegingen omdat de definities van de uit te wisselen data, de doeleinden waarvoor ze gebruikt zouden kunnen gaan worden en de partijen die daarover kunnen gaan beschikken niet helder omschreven zijn en feitelijk ongelimiteerd. Zelfs het gebruik van de data buiten de EU wordt niet uitgesloten waarmee het buiten de jurisdictie van de rechtsbescherming door de EU wetgeving komt te vallen.
  • Omdat het in strijd is met het belang van dataminimalisatie.
  • Uit milieuoverwegingen omdat de exploitatie van immense datastromen een extra belasting vormen op het energieverbruik.

EU mankeert bevoegdheid

Om te beginnen heeft de EU Commissie helemaal niet de bevoegdheid om zich te bemoeien de gezondheidszorg in de lidstaten. De EU mag formeel op dit gebied enkel een coördinerende rol spelen in het uitzonderlijke geval dat zich een grootschalig de EU volksgezondheid bedreigend probleem voordoet.

Dat de EU Commissie zich nu intensief wil gaan bemoeien met de wijze waarop zorginformatie geüniformeerd en uitgewisseld moet gaan worden, spuit voort uit de ambitie voor een sterke Europese gezondheidsunie als eerste gemeenschappelijke gegevensruimte van de EU op een specifiek gebied als gevolg van de Europese datastrategie. Maar de wettelijke grondslag daarvoor ontbreekt waar het om gezondheidsdata gaat. Al wringt de EU Commissie zich in de tekst van de voorstelde Verordening met kromme redeneringen in alle bochten om te doen voorkomen of dit niet het geval is. Een formele taakwijziging die door alle lidstaten zou dienen te worden goedgekeurd, na een procedure aangaande deze fundamentele machtsuitbreiding van de EU, zou tenminste vooraf dienen te gaan aan voorstellen tot inrichten van een e-Health Data Space.

Primair gebruik zonder toestemming

De opzet van de Verordening wordt in eerste instantie gepresenteerd als een service voor reizigers die in andere EU landen dan waar zij wonen zouden moeten kunnen beschikken over hun medische gegevens. Onder termen als versterking van de ‘eigen regie, eigen zeggenschap, zelfbestemming’ van de burger.  Maar in feite vormt de opzet voor een centraal uitwisselingssysteem voor die ‘service’ de basis voor een toekomstig grootschaliger uitwisselingssysteem (MyHealth@EU) ten behoeve van ‘het optimaliseren van het gebruik van zorgdata voor velerlei doeleinden’.

Want voor het realiseren van deze ‘service’ is het uiteraard noodzakelijk om een nieuwe infrastructuur te ontwerpen gebaseerd op EU-breed gestandaardiseerde wijze van vastlegging van de zorgdata. Aangezien er anders domweg, op geen ander niveau dan door de directe hulpverleners en hun patiënten, data uitwisseling mogelijk is in een EU gebied dat 27 lidstaten omvat waarin 24 officiële talen gebruikt worden en waarin de gezondheidszorg en de organisatie daarvan per lidstaat verschilt.

De EU duidt deze verregaande standaardisering aan als ‘geharmoniseerde dataverwerking’. Waarvan in de bijlage van de eerste Verordening exact te lezen valt welke vereisten dit EU systeem stelt aan de wijze waarop ‘zorgdata’ dienen te worden geregistreerd en uitwisselingssystemen dienen te voldoen aan de gewenste totale interoperabiliteit.

Waarbij het qua registreren van e-Health data niet alleen gaat om medische gegevens, maar om een schier oneindige set aan persoonsgegevens, medische data, genetische data, verzekeringsgegevens, zwangerschapsgeschiedenis, allergieën, zorgplan, vaccinaties t/m ‘observaties over iemands sociale geschiedenis m.b.t. de gezondheid’ die dienen te worden vastgelegd in Elektronische Patiëntgegevens Dossiers. De set ‘zorgdata’ kan zelfs data omvatten over dakloosheid, minimum inkomen, beroep, gedrag. Ook moedigt de verordening datagebruikers daarbij nog aan om deze bulk aan data te ‘verrijken’ met gegevens uit ander bronnen zoals verkregen door fitness apparatuur en draagbare elektronische apparaten die informatie kunnen verzamelen en verwerken over het menselijk lichaam.

Evenals bepaald de verordening de standaarden waaraan voldaan moet worden bij het voorschrijven van recepten voor medicatie, elektronische medicatieverstrekking. En bij de ’dataopslag en verwerking en medisch beeld’ omschreven als ‘Elektronische gezondheidsgegevens die verband houden met het gebruik van of verkregen zijn met behulp van technologieën waarmee het menselijk lichaam in beeld wordt gebracht met het oog op het voorkomen, diagnosticeren, monitoren of behandelen van medische aandoeningen’.

Dat het argument van service aan de reislustige EU inwoners een smoes vormt voor het kunnen introduceren van een systeem dat de optimalisering van het interoperabel gebruik en hergebruik van medische data ten doel heeft, is evident. Het blijkt alleen al uit de poging tot framing dat het hierbij zou gaan om de burger de regie over zijn eigen data te geven. Terwijl het voorstel juist behelst dat ieders uiterst gevoelige persoonlijke data automatisch beschikbaar zouden gaan worden gesteld, voor oneindig veel partijen en voor onoverzienbare doelen, zonder dat iemand daar toestemming voor heeft verleend. En het totaal onduidelijk is hoe degene die daar bezwaar tegen heeft dat kan voorkomen door bezwaar tegen aan te tekenen (bij?, gecontroleerd door?).

Secundair gebruik

De tweede pijler van de Verordening betreft het zogenaamde secundaire gebruik van de zorgdata. Medische en sociale persoonsgegevens dus die dan niet langer meer zouden zijn voorbehouden aan de patiënten en de zorgprofessionals die bij een bepaalde behandeling van hen betrokken zijn. Wat principieel indruist tegen het fundamentele recht op bescherming van de privacy van patiënten, zolang deze daar niet vooraf en wel geïnformeerd specifieke toestemming voor geven. En strijdig is met het medisch beroepsgeheim. Omdat zowel de vertrouwelijkheid van omgang van zorgverlener en patiënt/cliënt de das om wordt gedraaid en de zorgverlener door systeemdwang verplicht wordt om op een van bovenaf gedicteerde gestandaardiseerde wijze persoonlijke medische en sociale gegevens over iemands gezondheidstoestand te noteren in een EPD. Ook voor dit secundaire gebruik geldt dat de betrokkenen daar niet om toestemming voor gevraagd gaat worden volgens het voorstel en ook niet zal worden geïnformeerd over aan wie en met welk doel zijn uiterst persoonlijke gevoelige medische en sociale gegevens worden verstrekt.

Tegenstand

Het zou onoverzienbare consequenties hebben als het voorliggende Verordening voorstel zou worden ingevoerd. Zowel direct persoonlijk voor alle EU inwoners en zorgverleners als voor het complete veld aan instellingen, instanties, stichtingen, bedrijven en andere entiteiten binnen en rond de Zorgsector.

Toch blijken maar weinigen weet te hebben van deze vergevorderde plannen waarvan de besluitvorming zich in Brussel en Straatsburg afspeelt en pas concreet duidelijk wordt wat daarvan de kwalijke gevolgen zijn als de zaken daar beklonken zijn en een lidstaat weinig andere keus heeft dan het maar te slikken.

Vooralsnog is het met name EDRI-de Europese organisatie voor Digital Rights - die zich, samen met haar netwerk van meer dan 50 NGO’s, experts, advocaten en academici, hard maakt om de e-Health Verordening in deze vorm tegen te houden.

Vrijbit onderschrijft daarbij onderstaande vier speerpunten van het in april 2023 gepubliceerde EDRi position paper: voor minimale wijziging van de voorstellen:

 1- Vereis toestemming van de patiënt voor het uitwisselen van diens gezondheidsdata met anderen dan die bij hun directe zorgverlening zijn betrokken. Elke verplichting om dergelijke uiterst gevoelige gegevens te moeten laten registreren in een elektronisch patiënten dossier dient verworpen te worden.

2-Beperk de definitie van ‘health data tot gegevens die rechtstreeks zijn gerelateerd aan gezondheids- of medische zorg. Andere data betreffende iemands economische omstandigheden, sociaal en professioneel leven dienen niet als ‘gezondheids data’ gedefinieerd te mogen worden.

3- Omschrijf nauwgezet welke data voor welke doeleinden gebruikt zouden mogen worden. Waarbij de lijst van doeleinden beperkt dient te worden tot onafhankelijk wetenschappelijke onderzoek voor publiek belang.

4- De veiligheid van data opslag en verwerking dient topprioriteit te krijgen. Waarbij het van belang is dat een EU uitwisselingssysteem nauwgezette standaarden oplegt aan uitwisselingsorganen en data gebruikers voor secundair gebruik. Inclusief een helder en betrouwbare regeling waarin deze partijen verantwoordelijk worden gesteld in geval van misbruik van gezondheidsgegevens of wanneer deze data buiten de EU en in strijd met EU privacywetgeving (GDPR) terecht zouden komen.

Al blijft Vrijbit bij haar standpunt bij het meedoen aan de inhoudelijke onderhandelingen over de inhoud van het Verordening voorstel, de fase van legitimering over het mogen inrichten van een EU gezondheids data uitwisselingsstelsel wordt overgeslagen en de besluitvorming aangaande deze machtsuitbreiding van de EU wordt omzeild.

Onderhandelingsfase

EU rechtsorde

Wil de Verordening worden ingevoerd dan zal daarmee ingestemd moeten worden door het EU Parlement en de regeringsvertegenwoordigingen in de Raad van Europa.

Van een principieel standpunt dat eist dat er voorafgaand aan besprekingen over een EU Gezondheids Data Space een democratisch besluit dient te worden genomen over de noodzaak van een fundamentele mandaat-machtsuitbreiding in zake de gezondheidszorg, en in hoeverre de EU daar competent voor is, valt niets te bespeuren. Kennelijk gaan alle partijen daar aan voorbij om bij voorbaat in te calculeren dat met een eventuele invoering van de e-Health Verordening de rechtsorde van de Europese Unie zonder debat- en stemming daarover en met terugwerkende kracht fundamenteel gewijzigd kan worden.

De rol die de EU speelde in de Coronacrisis lijkt zo een ‘window of opportunity’ om geen slapende honden wakker te maken over de zeer uitzonderlijke situatie waarin de EU toen bevoegd was om op te treden.

Het EU Parlement heeft niet vooraf principieel ingegrepen aangaande de beperkte bevoegdheid van de EU op dit gebied. Men leek op 13 december 2023 zich al verzoend te hebben met het inhoudelijk behandelen van de voorstellen. Waarbij men zich ook nog voornamelijk beperkt druk lijkt te maken over het toestemmingsvereiste in het belang van het recht op privacy van patiënten en het medisch beroepsgeheim.

Inmiddels heeft EU parlementariër van de Christen Unie Anja Haga het initiatief genomen voor de petitie ‘beschermpatienetengegevensnuhetnogkan' Tot 18 april aanstaande kunt u deze mee ondertekenen. Alvorens deze oproep aan de minister om tijdens de onderhandelingen over de Europese Dataruimte Gezondheidszorg ervoor te pleiten dat de Nederlandse burger vooraf toestemming moet geven om opgenomen te worden in deze dataruimte. En wij als burgers de regie behouden over onze eigen gegevens, zodat we erop kunnen vertrouwen dat onze patiëntengegevens alleen gedeeld kunnen worden als wij hier zelf vooraf toestemming voor hebben gegeven wordt aangeboden aan de minister van VWS.

Dat is geen overbodige luxe, aangezien het ergste te vrezen valt voor de inbreng van de Nederlandse regering in de Raad van Europa.  Aangezien de regering de afgelopen jaren onder leiding van met name de VWS ministers Edith Schippers, Hugo de Jonge en Ernst Kuipers zich fervent voorstander betoonden van de ingevoerde marktwerking in de Zorg waarbij zorgbehoevenden als zorgobjecten worden beschouwd en voordelen worden gezien in een ‘data gedreven’ en verregaande digitalisering van de Zorgsector.

Daarbij komt dat er in de praktijk gewoon, mede vanuit het ministerie, al praktisch vooruitgelopen wordt op het e-Health systeem. Want hoewel dit zich nog in de onderhandelingsfase bevindt, is al gestart met het ontwerpen van een verplicht onderdeel uit deze wet: het opzetten van een Health Data Access Body (HDAB): een centrale organisatie die zich onder andere richt op het verwerken van data aanvragen, het afgeven van vergunningen voor toegang tot data en het beschikbaar stellen van de data.

Ook het invoeren van de Wet elektronische gegevensuitwisseling in de zorg (Wegiz), op 1 juli 2023, bereidde de weg voor een gedigitaliseerde EU Zorgdatamarkt.

Evenals het momenteel bij de Eerste Kamer voorliggende wetsvoorstel ‘Verzamelwet Gegevensverwerking VWS I’ https://www.eerstekamer.nl/wetsvoorstel/36444_verzamelwet over het gebruik van persoonsgegevens, zoals naam, geboortedatum, BSN, telefoonnummer en adres voor bepaalde doeleinden en over het verwerken van gevoelige gegevens waaronder die over de gezondheid.

Marktpartijen

Onder aanvoering van het ministerie is ook een consortium van VWS, het CBS, het RIVM en ICTU en de stichting Health-RI gestart met het uitdenken van functies die relevant zijn voor (zorg)data-aanvragen en -uitgifte.

Als voorschot op de in de Verordening aangekondigde verplichting voor de lidstaten om een orgaan in het leven te roepen voor het centraal te organiseren proces voor secundair gebruik van gezondheidsdata. Volgens dit in het leven geroepen Health Data Access Body (HDAB)gaat het in de voorbereidingen’ Hierbij over zaken als een publieke metadata catalogus, data access application management solutions en secure processing environments, en over onboarding processen, governancevraagstukken, publiekscommunicatie, training en de aansluiting op de Europese infrastructuur’.  

Geen twijfel is er voort mogelijk over de geweldige kansen die de Big Tech databedrijven zich in de schoot geworpen zien worden door de EU e-Health Data Space plannen met betrekking tot secundair gebruik van de medische en sociale data van alle EU burgers. Deze data vormen een goudmijn voor deze bedrijven die op dit moment al volop bezig zijn om zich te ontwikkelen tot wereldwijde machtsfactoren in de gezondheidsmarkt en daar via het Internet of Things gelieerde commerciële mogelijkheden van werables, ‘slimme’ huishoudelijke artikelen, digitale assistenten, sensoren enz.

Tot Slot

Het is de hoogste tijd dat alvorens de onderhandelingen over de concept Verordening losbarsten dit voorjaar algemene bekendheid aan te geven aan de intenties, inhoud en consequenties ervan. Waarbij het van belang is dat zowel de regering, het parlement en de leden van het EU Parlement ertoe gebracht worden om rigoureus in te grijpen op de onbegrijpelijke manier waarop de EU Commissie met dit voorstel alle fundamentele mensenrechten en minimale principes van databescherming over boord zet.

Vrijbit probeert daar een bijdrage aan te leveren.

Bronnen:

Voorstel eHealth Data Space Verordening 03-05-2022 

Digital Health data Space Infrastructure (eHDSI) https://digitalhealtheurope.eu/glossary/ehdsi/

Bijlage bij Verordening voorstel betreffende standaardisering en verplichte inrichting van de op te leggen nationale EPD systemen https://www.vrijbit.nl/onze-dossiers/dossier-gezondheidszorg/item/download/572_c0f73ee47e66b554e4fb0855a312d4c6

De EU is slechts beperkt bevoegd om ter bescherming van de volksgezondheid maatregelen te nemen https://ecer.minbuza.nl/ecer/dossiers/interne-markt/uitzonderingen-en-rechtvaardigingen/bescherming-van-de-volksgezondheid

EU gezondheidsunie https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/promoting-our-european-way-life/european-health-union_nl

EU Datastategie https://digital-strategy.ec.europa.eu/en/policies/strategy-data

EDRi https://edri.org/about-us/our-network/

13-04-2023 EDRi position paper https://edri.org/wp-content/uploads/2023/03/EHDS-EDRi-position-final.pdf

Bron stichting Health-RI https://www.health-ri.nl/nieuws/secundair-gebruik-van-gezondheidsdata-wat-betekenen-europese-ontwikkelingen-voor-nederland

18-12-2023 publicatie Stichting Health-RI over Secundair gebruik van gezondheidsdata https://www.health-ri.nl/nieuws/secundair-gebruik-van-gezondheidsdata-wat-betekenen-europese-ontwikkelingen-voor-nederland

Wegiz https://www.rijksoverheid.nl/actueel/nieuws/2023/04/18/eerste-kamer-stemt-voor-wetsvoorstel-elektronische-gegevensuitwisseling-in-de-zorg

Health Data Access Body https://icthealth.nl/nieuws/vws-start-programma-health-data-access-body-hdab-nl/

Wetsvoorstel ‘verzamelwet gegevensverwerking VWS I’ https://www.eerstekamer.nl/wetsvoorstel/36444_verzamelwet