De European Health Data Space Verordening (EHDS) zorgt voor een wijziging van het medisch beroepsgeheim zoals we dat nu in Nederland kennen. Dat meldde Security.nl onlangs. Diverse lezers schreven me met grote zorgen over, omdat dit een enorme inperking is van je rechten als patiënt. Kan Europa dit zomaar doen, was de teneur.
De recent aangenomen European Health Data Space is een Europese wet (een verordening) die hergebruik van medische persoonsgegevens regelt. Dit gaat met name over patiëntdossiers en zogeheten secundair gebruik van gezondheidsgegevens, zoals voor wetenschappelijk onderzoek. Ook krijgen patiënten daarbij specifieke rechten.
De EHDS is er niet zonder discussie gekomen. Een belangrijk punt is dat de wet een vorm van opt-out kent, in plaats van opt-in oftewel toestemming zoals nu uit de AVG volgt. Ook is er kritiek dat de wet eigenlijk alleen gaat over gegevensbescherming, en meer abstracte zorgen over privacy en patiënten niet adresseert. Zeker bij medische gegevens kan het ook gewoon een inbreuk op je privacy zijn als die anoniem rondzwerven.
Formeel-juridisch is er niets mis met de EHDS. Deze is volgens de normale Europese processen als wetsvoorstel ingediend, behandeld en uiteindelijk aangenomen. In het Europees Parlement stemden 445 leden voor en 142 tegen, wat toch een ruime meerderheid is ten opzichte van de 720 mensen dat het orgaan telt. Stemmingen over wetten hoeven nooit unaniem te zijn, ook niet als de wet iets regelt over grondrechten zoals toegang tot persoonsgegevens.
De EHDS is een verordening, dus er komt geen aparte implementatiewet. Net als de AVG geldt deze gewoon – vanaf 26 maart 2027, om precies te zijn. Je kunt haar rechten dan direct inroepen.
Het gaat om medische persoonsgegevens, veel gevoeliger dan dat is er niet. Kan dat dan überhaupt wel, een wet maken die het delen en verspreiden daarvan toestaat? Jazeker, want dit grondrecht is niet zo keihard als bijvoorbeeld het slavernijverbod. Als er een duidelijke maatschappelijke behoefte is én de wet adequaat rekening houdt met de belangen van betrokken mensen, dan kan de wet regelen hoe zo’n grondrecht wordt “ingeperkt”, oftewel “legaal geschonden” zo je wilt.
Op papier ziet de EHDS er prima uit. Zo eist artikel 86 dat je een “bijzonder hoog niveau van bescherming en beveiliging” van deze gegevens moet krijgen, en bevat artikel 73 een trits specifieke maatregelen. Dat wordt verbonden aan cybersecuritystandaarden waartegen getoetst kan worden. Maar iedere norm is zo zwak als haar implementatie, dus een datalek is niet uit te sluiten.
Het is mogelijk om de EHDS bij de rechter ter discussie te stellen, net zoals Max Schrems bij diverse aspecten van de AVG doet en in Nederland ooit is gebeurd met onze wet bewaarplicht. Dat vereist alleen wel een heel diepgravend betoog van het hoe en waarom. Enkel een paar abstracte bezwaren stellen en hypothetische zorgen opwerpen gaat niet genoeg zijn.
Arnoud
Nog los van de technische en organisatorische foutjes die gaan komen: er gaan vele vele miljoenen mensen toegang krijgen. Alleen al in Nederland staan er bijna 400k mensen in het BIG register en zijn er daarnaast nog een dik miljoen anderen in de zorg / welzijn aan het werk. En dat maal 30 landen.
Een ‘gevalletje Barbie’ waar zorgpersoneel even naar een interessant persoon kijkt is niet onwaarschijnlijk. Omkoping vast ook niet, lekker goedkoop als je dat doet via lagelonenland Bulgarije.
En dan zijn er nog de niet goed genoeg geanonimiseerde dossiers voor secundair datagebruik.
Ik had al nee gezegd tegen het delen van mijn info in een epd in nederland, dus tijd voor de volgende opt-out.
Als ik een patient ben mag de arts bij mijn dossier, de rest hoeft er geen toegang toe te hebben.
“Jazeker, want dit grondrecht is niet zo keihard als bijvoorbeeld het slavernijverbod.”
Men claimt dat alle grondrechten gelijk zijn. Maar dat is alleen een papieren werkelijkheid.
Lijkt me dat het slavernijverbod net zo slap is als het recht op privacy. Wanneer de EU een wet aanneemt voor slavernij ter behoeve van de volksgezondheid, nationale veiligheid of het financiele systeem dan staan we met zijn allen in het veld asperges te steken. Dat kan ik je garanderen.
Het slavernijverbod staat niet eens in de hoofd lijst van het EHVRM, privacy wel.
Klinkt mooi
Maar er staan natuurlijk een aantal uitzonderingen bij waardoor je vooral bij punt “d” toch wel makkelijk tot slaaf gemaakt kan worden mocht men daar zin in hebben. Wat zijn normale burgerplichten? En wie zegt wat die plichten over een aantal jaar zijn?
Als er echt een slavernijverbod is hoe kan je dan een taakstraf opgelegd krijgen??
Dat is de uitkomst van een maatschappelijk debat dat door de eeuwen heen geëvolueerd is. Je moet niet verwachten dat de wet altijd lekker harde lijnen heeft met duidelijk onderscheid. Soms vinden we A wel acceptabel en B niet, en is het een kwestie van smaak wat het verschil is. Zo werkt het recht en daar hebben wij mee te dealen. The law does not compute.
“Jazeker, want dit grondrecht is niet zo keihard als bijvoorbeeld het slavernijverbod.”
Does not compute, de wet is nooit keihard zoals je nu zelf ook aangeeft. Dus wat heb je dan aan “rechten” als ze zo flexibel zijn.
“Soms vinden we A wel acceptabel en B niet”
Dit kan binnen no time wisselen en wat “we vinden” is afhankelijk van wie “we” zijn.
Zie de situatie in de VS op het moment.
Dat klopt, zij het dat we allerlei waarborgen hebben ingebouwd. Ik durf wel te zeggen dat die in Europa sterker zijn dan in de VS. Dat verklaart ook het geëmmer over innovatie hinderen waarmee Amerikanen bedoelen dat ze onze wet niet mogen negeren.
Toch klopt er iets niet. Ik hoor in media met name gesproken worden over het primair gebruik, dat wil zeggen de mogelijkheid voor een arts in het buitenland om toegang te krijgen tot je medische informatie. Maar er is ook het secundair gebruik, waar veel minder over gesproken wordt. Dat secundair gebruik omvat de gebruikelijke zaken die we nu ook al doen, zoals bestrijding van epidemieën en het maken van beleid. Het omvat echter ook, zonder dat het heel nauwkeurig omschreven is hoe dan precies, en exact aan wie, en onder welke omstandigheden, en met welke mate van pseudonimisering, dingen als het ontwikkelen van producten en diensten, het aanbieden van gepersonaliseerde zorg en het trainen van AI.
Het kan toch niet zo zijn dat, met zo’n wetsvoorstel, iets wat je gisteren in vertrouwen aan je psychiater hebt opgebiecht in de wetenschap dat die gehouden is aan het medisch beroepsgeheim morgen overgedragen kan worden aan een commercieel bedrijf om diensten te ontwikkelen en AI te trainen? Het zijn commerciele bedrijven in de pharmaceutische industrie die producten en diensten als medicijnen en diagnose- en behandelapparatuur ontwikkelen, dat doen artsen niet zelf. Botst het niet met het legaliteitsbeginsel als jouw dossier, met daarin informatie die je hebt gedeeld in de wetenschap dat dat medisch beroepsgeheim er is, daarna alsnog beschikbaar gemaakt wordt aan derde partijen zoals pharmaceuten.
Daarbij komt dan ook nog dat de minister de mogelijkheid krijgt om die opt-out die er komt in te perken zodat die niet gaat gelden voor bepaalde soorten informatie. Welke dat dan precies zijn is, als ik de kritiek op de wet van privacyorganisaties goed begrepen heb, aan de minister zelf om te bepalen.
Misbruik kan redelijk worden ingeperkt door eventueel toestemingsvragen te stellen, en daarbij is het van groot belang dat er een audit log is (dat door de patient/betreffende persoon ook gezien kan worden – wellicht met afscherming van persoonsnaam). Door een audit log is er altijd te zien wie welke informatie raadpleegde. Bewijzen van het misbruik is dan het beschuldigen (ik was niet in het buitenland) en de medicus moet dan uitleggen wat de situatie was.
Ik heb het idee dat je het hier ook over dat primair gebruik hebt, i.e. het beschikbaar maken van informatie door artsen. Dat is niet waar ik het over had; ik geloof wel dat dat op een of andere manier redelijk geborgd kan worden. Het ging mij echt om het secundair gebruik, i.e. het gebruik door commerciele bedrijven van die informatie met als doel het ontwikkelen van producten, het trainen van AI etc.
Een ‘recht’ is niet meer of minder dan bepaalde categorie van beloftes en afspraken. Ze gelden tot de ander ze intrekt of zich er niet meer aan wil of kan houden.
Zolang je niks hebt om de wederpartij eraan te houden, kan je alleen maar hopen op zijn betrouwbaarheid.
Je patiëntenrechten worden niet opzij gezet maar wel aanzienlijk beperkt als het gaat om gebruik van je medische gegevens voor ‘secundair gebruik’.
Alle partijen in de zorg worden verplicht medische gegevens af te staan voor secundair gebruik tenzij de patiënt opt-out.
Iedereen die vindt dat hij daar een belang bij heeft en dat voldoende kan onderbouwen mag dan een verzoek doen om de medische gegevens te ontvangen. Die gegevens zijn niet anoniem, het mogen ook gespeudonimiseerde (dus herleidbare) gegevens zijn.
Voor primair gebruik geldt dat artsen buiten Nederland toegang krijgen tot jouw gegevens als dat noodzakelijk is voor jouw behandeling.
Wil je dit allemaal niet: blijf scherp en zorg dat je een opt-out indient. Je kunt ook daarna altijd aan je arts vragen of ze niet toch herkenbare gegevens hebben gedeeld.
Als deze wet niet echt gaat over privacy is het dan mogelijk om op grond van privacy wetgeving te blijven protesteren tegen het gebruik van deze gegevens als ze niet volledig geanonimiseerd zijn?