De European Health Data Space Verordening (EHDS) zorgt voor een wijziging van het medisch beroepsgeheim zoals we dat nu in Nederland kennen. Dat meldde Security.nl onlangs. Diverse lezers schreven me met grote zorgen over, omdat dit een enorme inperking is van je rechten als patiënt. Kan Europa dit zomaar doen, was de teneur.
De recent aangenomen European Health Data Space is een Europese wet (een verordening) die hergebruik van medische persoonsgegevens regelt. Dit gaat met name over patiëntdossiers en zogeheten secundair gebruik van gezondheidsgegevens, zoals voor wetenschappelijk onderzoek. Ook krijgen patiënten daarbij specifieke rechten.
De EHDS is er niet zonder discussie gekomen. Een belangrijk punt is dat de wet een vorm van opt-out kent, in plaats van opt-in oftewel toestemming zoals nu uit de AVG volgt. Ook is er kritiek dat de wet eigenlijk alleen gaat over gegevensbescherming, en meer abstracte zorgen over privacy en patiënten niet adresseert. Zeker bij medische gegevens kan het ook gewoon een inbreuk op je privacy zijn als die anoniem rondzwerven.
Formeel-juridisch is er niets mis met de EHDS. Deze is volgens de normale Europese processen als wetsvoorstel ingediend, behandeld en uiteindelijk aangenomen. In het Europees Parlement stemden 445 leden voor en 142 tegen, wat toch een ruime meerderheid is ten opzichte van de 720 mensen dat het orgaan telt. Stemmingen over wetten hoeven nooit unaniem te zijn, ook niet als de wet iets regelt over grondrechten zoals toegang tot persoonsgegevens.
De EHDS is een verordening, dus er komt geen aparte implementatiewet. Net als de AVG geldt deze gewoon – vanaf 26 maart 2027, om precies te zijn. Je kunt haar rechten dan direct inroepen.
Het gaat om medische persoonsgegevens, veel gevoeliger dan dat is er niet. Kan dat dan überhaupt wel, een wet maken die het delen en verspreiden daarvan toestaat? Jazeker, want dit grondrecht is niet zo keihard als bijvoorbeeld het slavernijverbod. Als er een duidelijke maatschappelijke behoefte is én de wet adequaat rekening houdt met de belangen van betrokken mensen, dan kan de wet regelen hoe zo’n grondrecht wordt “ingeperkt”, oftewel “legaal geschonden” zo je wilt.
Op papier ziet de EHDS er prima uit. Zo eist artikel 86 dat je een “bijzonder hoog niveau van bescherming en beveiliging” van deze gegevens moet krijgen, en bevat artikel 73 een trits specifieke maatregelen. Dat wordt verbonden aan cybersecuritystandaarden waartegen getoetst kan worden. Maar iedere norm is zo zwak als haar implementatie, dus een datalek is niet uit te sluiten.
Het is mogelijk om de EHDS bij de rechter ter discussie te stellen, net zoals Max Schrems bij diverse aspecten van de AVG doet en in Nederland ooit is gebeurd met onze wet bewaarplicht. Dat vereist alleen wel een heel diepgravend betoog van het hoe en waarom. Enkel een paar abstracte bezwaren stellen en hypothetische zorgen opwerpen gaat niet genoeg zijn.
Arnoud
