Op deze pagina geven we antwoord op de meestgestelde vragen over de Health Data Access Body (HDAB) voor Nederland.
Een Health Data Access Body (HDAB) heeft als belangrijkste taak het toegankelijk en aanvraagbaar maken van gezondheidsgegevens voor secundair gebruik, voor beleid, onderzoek en innovatie. Dit in lijn met de voorwaarden die de EHDS daarvoor stelt. Een HDAB zorgt ervoor dat gegevens vindbaar zijn, neemt besluiten over vergunningaanvragen voor gebruik van gezondheidsdata en verzoeken om statistiek en zorgt ervoor dat gegevens beschikbaar in een beveligde verwerkingsomgeving komen en gebruikt worden volgens de vergunningsvoorwaarden.
De juridische aanwijzing van de Health Data Access Body (HDAB) vindt in de komende periode plaats. Deze juridische aanwijzing houdt het formele, wettelijke proces in waarbij een organisatie officieel wordt benoemd als de instantie die de toegang tot gezondheidsdata reguleert en faciliteert. De HDAB krijgt met deze aanwijzing specifieke wettelijke taken, zoals het beheren van de toegang tot gezondheidsdata, het beoordelen van aanvragen voor secundair datagebruik (bijvoorbeeld voor onderzoek), en het toezien op naleving van regels rondom privacy en beveiliging. De HDAB zal in één organisatie met de eveneens aan te wijzen Digitale GezondheidsAutoriteit (DGA) voor primair gebruik van gezondheidsgegevens ondergebracht worden.
De komende jaren worden de nodige technische en organisatorische voorbereidingen getroffen om de HDAB daadwerkelijk operationeel te maken. Dit omvat onder andere de ontwikkeling van een nationale metadata-catalogus, een data-aanvraagapplicatie en het gebruik van veilige verwerkingsomgevingen. De HDAB moet vóór maart 2029 klaar voor gebruik zijn.
Gegevens gaan niet naar een ‘Europese Cloud’ voor gezondheidsgegevens. Gegevens moeten zo vroeg mogelijk worden geanonimiseerd of bij uitzondering worden gepseudonimiseerd en zo dicht mogelijk bij de bron worden ontsloten in een beveiligde verwerkingsomgeving. Per lidstaat zullen individuele HDAB’s vergunningsaanvragen beoordelen. Alleen met een vergunning kan een gebruiker van gezondheidsgegevens, onder toezicht, toegang krijgen. De gegevens worden voor dat gebruik voor bepaalde tijd beveiligd beschikbaar gemaakt voor dat specifieke onderzoek waar vergunning voor verleend is. Er komt dus géén centrale database van Europese gezondheidsgegevens.
Nee, je kunt straks in één keer aangeven als je niet wilt dat gegevens over jou voor onderzoek, beleid en innovatie worden gebruikt. Wanneer je van mening verandert, kan je dit op elk gewenst moment aanpassen.
Een HDAB uit een ander land bepaalt niet wat er met gezondheidsgegevens over jou gebeurt. De Nederlandse HDAB is daarvoor exclusief bevoegd. De verschillende HDAB’s kunnen uiteraard wel nauw samenwerken om veilig, betrouwbaar en transparant secundair gebruik in heel Europa te bevorderen.
Nee bedrijven mogen data over jou niet doorverkopen. Bedrijven kunnen anonieme (niet herleidbare) uitkomsten aanvragen of een vergunning krijgen van een HDAB om onderzoek te mogen doen met datasets. Dan moeten ze voldoen aan strenge voorwaarden en vervolgens krijgen ze toegang tot de gegevens in een beveiligde omgeving onder toezicht van de HDAB. Het uitgangspunt is dat onderzoek wordt gedaan met geanonimiseerde gegevens, die zijn niet meer herleidbaar tot een specifieke persoon. Als dat echt niet kan voor het betreffende onderzoek dan mag onderzoek gedaan worden in de beveiligde omgeving met gepseudonimiseerde gegevens. Deze gegevens zijn niet meer direct herleidbaar tot jou, ze zijn bewerkt en identificerende gegevens zijn verwijderd of omgezet in een pseudoniem. De organisaties die onderzoek doen met deze gegevens in de beveiligde omgeving beschikken niet over de aanvullende gegevens die nodig zijn om de personen weer herleidbaar te maken. Het is voor bedrijven en andere organisaties zelfs verboden om dit te proberen.
Onderzoekcohorten, vragenlijsten en enquêtes moeten pas gedeeld worden na de eerste publicatie, bijvoorbeeld in een wetenschappelijk blad. Dan pas kunnen data opgevraagd worden. In het geval van klinische proeven, klinische studies, klinische onderzoeken en prestatiestudies, geldt dat de regels rondom gegevensdeling onder de verordeningen op het gebied van klinische proeven, lichaamsmaterialen en (in vitro) medische hulpmiddelen onverminderd van kracht zijn.
Als houder van gegevens met beschermde rechten kun je aan de HDAB aangeven welke delen van de datasets beschermd zijn en waarom. Regels die toezien op de bescherming van intellectueel eigendom en bedrijfsgeheimen zijn onverminderd van kracht. De HDAB is verantwoordelijk voor het bepalen welke maatregelen noodzakelijk en passend zijn om deze beschermde rechten te borgen. Door middel van juridische middelen (bv. overeenkomsten), organisatorische middelen (bv. tussenpersonen) of technische middelen (bv. versleuteling). De HDAB weigert een aanvraag als deze middelen niet voldoende blijken om ernstige risico’s op inbreuken te voorkomen en stelt daarvan de aanvrager op de hoogte. Het is de bedoeling dat de aanvrager, houder(s) en HDAB samen tot een oplossing komen.
De wet AVG blijft, voor zover het over persoonlijke data gaat, van toepassing. Het secundair gebruik van de data kan volgens de EHDS op twee manieren plaatsvinden:
- In het geval van een gegevensvergunning zal de geanonimiseerde of gepseudonimiseerde data toegankelijk worden gemaakt in een beveiligde verwerkingsomgeving onder toezicht.
- In het geval van een gegevensverzoek geeft de HDAB hierop een antwoord in geanonimiseerd statistisch format. De verzoeker krijgt dus geen toegang tot de data die gebruikt zijn om tot dat antwoord te komen, maar enkel tot het antwoord zelf.
Hierop is nu nog geen sluitend antwoord te geven, omdat dit onder meer afhankelijk is van de beleidskeuzes die de wetgever maakt over ethische toetsing. Wat we wel kunnen zeggen is dat het niet-WMO-toetsingskader en toetsing in het algemeen onderdeel zijn van de discussies over het aanvraagproces.
In het Quantum project worden kwaliteitslabels opgeleverd die we gaan hanteren om de kwaliteit van gedeelde datasets te kunnen labelen. Ook lage kwaliteit data moet gedeeld worden, maar voor de relevantie moet de datagebruiker goed kunnen zoeken naar data van voldoende kwaliteit voor diens doel.
De houder van de gezondheidsgegevens stelt de gevraagde elektronische gezondheidsgegevens ter beschikking binnen een door de HDAB bepaalde redelijke termijn van maximaal 3 maanden. In gerechtvaardigde gevallen, zoals in het geval van een complex en belastend verzoek, kan de HDAB deze termijn met maximaal 3 maanden verlengen.
De volgende belangrijke verantwoordelijkheden zijn onder andere van toepassing. De houder van gezondheidsgegevens zorgt ervoor dat de metadata en indien van toepassing de kwaliteitslabels over gehouden datasets beschikbaar komen bij de HDAB. Bij de verlening van een vergunning of de goedkeuring van een verzoek moeten de gegevens zelf door de houder beschikbaar worden gesteld aan de HDAB. De HDAB is verantwoordelijk voor het samenstellen van de nationale dataset catalogus en het in orde maken en klaarzetten van de data in een beveiligde verwerkingsomgeving. De gebruiker van gezondheidsgegevens dient de data te gebruiken volgens de afgegeven vergunning.
Er is op dit moment geen zicht op wat de kosten zullen zijn van een aanvraag of verzoek. Er bestaat nog geen operationele HDAB in Nederland en de functionele en technische processen worden nog ontworpen. Er mogen aan de aanvrager of verzoeker enkel kostendekkende vergoedingen worden gevraagd.
Allereerst zijn er termijnen opgenomen in de EHDS waarbinnen een besluit moet worden genomen en data moeten worden overgedragen door de datahouder aan de HDAB (zie ook de vraag over de termijn waarbinnen datahouders de data beschikbaar moeten stellen). Ook de HDAB is verplicht om binnen een bepaalde termijn de gegevens gebruiksklaar te hebben en te ontsluiten en kan daar alleen met een onderbouwing van afwijken. In de praktijk zal de tijd tussen aanvraag en levering ook afhangen van de compatibiliteit tussen data, systemen en processen en de tijd die het realistisch gezien kost om data klaar te maken voor veilig en betrouwbaar gebruik. Dit zijn zaken, deels van technische aard, waar onder andere binnen het HDAB-NL programma aan gewerkt wordt.
De HDAB wordt uiteindelijk verantwoordelijk voor de infrastructuur die beheerd en ontwikkeld wordt om secundair gebruik via een vergunning of een verzoek te faciliteren. Kortgezegd, om gezondheidsdata te vinden, aan te vragen en uiteindelijk te verwerken in een secure processing environment (beveiligde verwerkingsomgeving). De EHDS schrijft voor aan welke eisen die infrastructuur moet voldoen.
De verantwoordelijkheid voor de inrichting en aanwijzing van de Health Data Access Body (HDAB) in Nederland ligt bij het ministerie van VWS. VWS zet in op de aanwijzing van één HDAB in Nederland. Daarnaast zijn er andere rollen in het kader van de EHDS-stelselinrichting waar nog beleidskeuzes over gemaakt moeten worden, zoals de aanwijzing van betrouwbare houders (houders van gezondheidsgegevens die HDAB-taken voor hun eigen gegevens onder eindverantwoordelijk van de HDAB uitvoeren) en gezondheidsgegevens bemiddelingsentiteiten (dit zijn organisaties die gegevensverzoeken uitvoeren namens bijvoorbeeld een groot aantal kleine gegevenshouders maar zelf geen gegevenshouder zijn) .Of hiervan in Nederland gebruik gemaakt gaat worden en hoe het aanwijzingsproces hiervan gaat verlopen, dat zijn beleidskeuzes die nog gemaakt moeten worden. Binnen het HDAB-NL programma wordt gewerkt aan de technische componenten van de HDAB. Hierbij wordt met verschillende scenario's rekening gehouden, waaronder dat de taken van de HDAB door meerdere organen worden uitgevoerd.
Ja, maar de hoogte van het bedrag is nader te bepalen door de HDAB. De hoogte van elke compensatie moet in verhouding staan tot de kosten die worden gemaakt in het geschikt en beschikbaar maken van de data voor het specifieke verzoek waarvoor de HDAB een vergunning verleend heeft. Kosten voor het generen van de data zelf mogen niet in rekening gebracht worden.