Arts die op een laptop kijkt en iets opschrijft, gezondheidsgegevens EHDS
Vernieuwing
Laatste update 26 mei 2025

Gezondheidsgegevens gebruiken in de EU, de EHDS regelt het

Door Hanneke A. Luth

EHDS. Al van gehoord? De afkorting staat voor European Health Data Space. Voor iedereen die werkt met gezondheidsgegevens voor zorg, onderzoek en onderwijs wordt de EHDS-verordening een heel belangrijke regelgeving. Daarom in dit artikel: wat brengt ons de EHDS, waar komt het vandaan, en wat levert het ons op?

Als je na het lezen van dit artikel meer wilt weten – kom naar de SURF Security & Privacy Conferentie op 25 en 26 juni, daar is een sessie gewijd aan de EHDS!

Wat is de EHDS?

Op 26 maart 2025 is de EHDS in werking getreden. De European Health Data Space (EHDS) is een initiatief van de EU dat de uitwisseling en het gebruik van gezondheidsgegevens bevordert, met als primair doel de zorg binnen de EU te verbeteren. Daarvoor moeten die medische data en gezondheidsgegevens van de Europese burgers op een veilige manier kunnen worden gebruikt.

Het is de eerste data space die is uitgewerkt in het kader van de Europese Datastrategie, de strategie vanuit de Europese Commissie om datagebruik en data-uitwisseling te bevorderen, op een veilige manier. De Data Act en de Data Governance Act zijn andere belangrijke onderdelen van de Europese Data Strategie. De EHDS is een invulling van de ruimte die de AVG biedt (in artikel 9 AVG) om in wetgeving een kader te stellen over gebruik van bijzondere persoonsgegevens, in dit geval gezondheidsgegevens.

De EHDS gaat in op:

  1. Primair gebruik – hoe gezondheidsgegevens kunnen worden ingezet in zorgverlening en door patiënten
  2. Secundair gebruik – hoe gegevens kunnen worden ingezet voor beleid, onderzoek en onderwijs en innovatie
  3. Eisen die worden gesteld aan zorginformatiesystemen om bovenstaande mogelijk te maken

Voor universiteiten, hogescholen en andere onderwijsinstellingen is vooral het tweede onderdeel interessant.

Gezondheidsgegevens delen, wat moet er komen?

Globaal geldt het volgende voor het EHDS:

  • In elke Europese lidstaat, en dus ook Nederland, moet per 26 maart 2029 een "dataloket” zijn ingericht waarbij gezondheidsdata kan worden aangevraagd voor projecten die verband houden met overheidsbeleid, onderzoek en onderwijs en innovatie. Dit loket heet de Health Data Access Body (de 'HDAB').
  • In principe kan iedereen de gegevens aanvragen, ook commerciële partijen. Je kunt ook allerlei gezondheidsgegevens opvragen. De crux is dat alle data-aanvragen vervolgens heel strikt worden getoetst.
  • Het dataloket (de HDAB) toetst of jouw project voldoet aan een aantal voorwaarden. Daarvan zijn de belangrijkste:
    • Het project is in algemeen belang
    • Het project voldoet qua doelstelling aan de beoogde doelen
    • Het project voldoet aan AVG vereisten zoals grondslag, dataminimalisatie
    • Het uitgangspunt is dat je anonieme gegevens opvraagt, maar met onderbouwing waarom dat nodig is kun je ook pseudonieme gegevens opvragen
  • Als jouw project wordt goedgekeurd, dan krijg je beschikking over de gevraagde gegevens in een beveiligde verwerkingsomgeving (BVO). En daar kun je je project uitvoeren. Pseudonieme gegevens mag je hier niet uit downloaden.
  • Je moet de resultaten van je project publiceren/publiekelijk beschikbaar maken – dit zal voor commercieel gebruik van de data een lastiger in te vullen voorwaarde zijn.
  • De HDAB houdt ook een openbaar transparantieregister bij, waarin duidelijk wordt welke data is verstrekt aan wie, voor welk doel

Burger en datahouder

Het interessante hierbij is de positie van de burger en die van de datahouder (de datahouder is bijvoorbeeld het ziekenhuis of de gemeente die de gezondheidsgegevens in haar systemen heeft staan). Wat nou als zij hier niet aan mee willen werken?

  • Je hebt als burger heeft recht op een opt-out. Dus als je niet wilt dat de gegevens die over jou gaan worden ingezet voor beleidsprojecten, voor onderzoek en onderwijs of innovatie, dan mag je 'nee' zeggen. De HDAB zorgt dan dat jouw data niet wordt uitgeleverd. Hoe en wat precies, dat regelt elke lidstaat zelf. Het ministerie van VWS moet voor de Nederlandse burger gaan uitwerken.
  • De datahouder heeft de verplichting om data aan te leveren. Als de HDAB positief besluit op de data-aanvraag, dan moeten de datahouders de gevraagde data aanleveren. Daar mogen wel kosten voor in rekening worden gebracht, maar alleen de kosten die daadwerkelijk gemaakt worden om te data op te leveren. Het is dus geen dataverdienmodel. 

Details EHDS nog niet helder

De EHDS beschrijft op hoofdlijnen wat er moet gaan komen. De details zijn nader uit te werken – en daar zitten nogal wat hete hangijzers in. Zowel op Europees niveau als in Nederland zijn op dit moment veel mensen in allerlei groepen bezig om die details verder in te vullen. Het wordt heel interessant wat daar uitkomt. We volgen het nauwgezet!

Als je meer wil weten over de EHDS, sluit dan zeker aan bij de EHDS-sessie op de SURF Security & Privacy Conferentie!

Lees ook de bijdrage van Piek Knijff Data-ethiek in onderwijs en onderzoek op deze site.

Hanneke is Functionaris Gegevensbescherming bij Erasmus MC in Rotterdam.

Gerelateerde artikelen

Compliance AVG: waar staan we 7 jaar na de invoering?

Organisaties kregen tot 25 mei 2018 de tijd om hun bedrijfsvoering met de AVG in overeenstemming brengen. Gisteren is het dat zeven jaar geleden. Wat heeft de wetgeving ons opgeleverd?

Geüpdatet op
20 mei 2025

Beheer en controle

Kaart van Europa met de sterren in een cirkel en een gesloten slotje in het midden - AVG 7 jaar