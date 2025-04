Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: "De European Health Data Space Verordening (EHDS) zorgt voor een wijziging van het medisch beroepsgeheim zoals we dat nu in Nederland kennen". Ik maak me hier grote zorgen over, omdat dit een enorme inbreuk is op je rechten als patiënt. Kan Europa dit zomaar doen, zeker nu er genoeg mensen tegen gestemd hebben? Ik voorzie nu al dat die data straks overal ligt en niet alleen waar het nu zogenaamd voor bedoeld is.

Antwoord: De recent aangenomen European Health Data Space is een Europese wet (een verordening) die hergebruik van medische persoonsgegevens regelt. Dit gaat met name over patiëntdossiers en zogeheten secundair gebruik van gezondheidsgegevens, zoals voor wetenschappelijk onderzoek. Ook krijgen patiënten daarbij specifieke rechten.

De EHDS is er niet zonder discussie gekomen. Een belangrijk punt is dat de wet een vorm van opt-out kent, in plaats van opt-in oftewel toestemming zoals nu uit de AVG volgt. Ook is er kritiek dat de wet eigenlijk alleen gaat over gegevensbescherming, en meer abstracte zorgen over privacy en patiënten niet adresseert. Zeker bij medische gegevens kan het ook gewoon een inbreuk op je privacy zijn als die anoniem rondzwerven.

Formeel-juridisch is er niets mis met de EHDS. Deze is volgens de normale Europese processen als wetsvoorstel ingediend, behandeld en uiteindelijk aangenomen. In het Europees Parlement stemden 445 leden voor en 142 tegen, wat toch een ruime meerderheid is ten opzichte van de 720 mensen dat het orgaan telt. Stemmingen over wetten hoeven nooit unaniem te zijn, ook niet als de wet iets regelt over grondrechten zoals toegang tot persoonsgegevens.

De EHDS is een verordening, dus er komt geen aparte implementatiewet. Net als de AVG geldt deze gewoon - vanaf 26 maart 2027, om precies te zijn. Je kunt haar rechten dan direct inroepen.

Het gaat om medische persoonsgegevens, veel gevoeliger dan dat is er niet. Kan dat dan überhaupt wel, een wet maken die het delen en verspreiden daarvan toestaat? Jazeker, want dit grondrecht is niet zo keihard als bijvoorbeeld het slavernijverbod. Als er een duidelijke maatschappelijke behoefte is én de wet adequaat rekening houdt met de belangen van betrokken mensen, dan kan de wet regelen hoe zo'n grondrecht wordt "ingeperkt", oftewel "legaal geschonden" zo je wilt.

Op papier ziet de EHDS er prima uit. Zo eist artikel 86 dat je een "bijzonder hoog niveau van bescherming en beveiliging" van deze gegevens moet krijgen, en bevat artikel 73 een trits specifieke maatregelen. Dat wordt verbonden aan cybersecuritystandaarden waartegen getoetst kan worden. Maar iedere norm is zo zwak als haar implementatie, dus een datalek is niet uit te sluiten.

Het is mogelijk om de EHDS bij de rechter ter discussie te stellen, net zoals Max Schrems bij diverse aspecten van de AVG doet en in Nederland ooit is gebeurd met onze wet bewaarplicht. Dat vereist alleen wel een heel diepgravend betoog van het hoe en waarom. Enkel een paar abstracte bezwaren stellen en hypothetische zorgen opwerpen gaat niet genoeg zijn.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.