EU-parlementariërs: bij delen data van patiënten is burger ondergeschikt aan industriebelangen

“Wij moeten het beste halen uit het potentieel van e-health om hoge standaarden van zorgverlening te kunnen aanbieden en ongelijkheden te beperken. Daarom wil ik u vragen om aan het opzetten van een European Health Data Space te gaan werken”, schreef Ursula von der Leyen, voorzitter van de Europese Commissie, in haar opdrachtbrief aan de Eurocommissaris voor Gezondheid en Voedselveiligheid in 2020. Twee jaar daarna diende deze laatste een eerste concept in bij de EU-wetgevers waarin het regelgevings- en governancekader van de EHDS werd geschetst. Op dinsdag 28 november jongstleden publiceerden de EP-comités verantwoordelijk voor het EHDS-dossier een initiële stelling over het wetsvoorstel (1).

Gezondheidsgegevens delen

Een kernpunt op de digitale agenda van de huidige Europese Commissie is de ontwikkeling van negen domein-specifieke data spaces. Het begrip ‘data space’ houdt een digitale oplossing in die het grensoverschrijdende delen van data uit diverse bronnen mogelijk maakt zonder de data centraal op te slaan. Daarom biedt een data space een hoger beschermingsniveau, vooral bij grootschalige dataprojecten. De EHDS is de eerste van deze reeks initiatieven van de EU.

Volgens de huidige compromistekst van het EP moeten lidstaten ervoor zorgen dat alle gezondheidsgegevens van Europese patiënten (zoals behandelingsgegevens, recepten, enzovoorts) in hun persoonlijke elektronische dossier worden opgeslagen. Dat moet patiënten in staat stellen om een overzicht van hun eigen gezondheidsdata in te zien. Anderzijds ziet de Europese Commissie de EHDS als de eerste naar om een Europese data-driven zorgmarkt, vrij van technische en juridische barrières. Daarom worden alle databronnen, zoals ziekenhuizen en andere zorginstellingen, wettelijk verplicht om hun patiëntendata beschikbaar te maken voor andere partijen die data willen gebruiken. Bijvoorbeeld zorgleveranciers mogen gegevens van individuele patiënten opeisen voor behandeldoelen. Verder mogen ook andere partijen, ook uit de private sector, gepseudonimiseerde datasets aanvragen voor onderzoeksprojecten die verband houden met de gezondheidssector.

Kritiek

Patrick Breyer, EP-lid van de Duitse Piratenpartei en van de minderheid binnen de comités die tegen de amendementen stemde, uit zich niet zo optimistisch over de goedaardigheid van de EHDS-voorstanders. “De EHDS werd niet voorgesteld in het belang van patiënten, eerder van de industrie. De huidige tekst voorziet niet in de mogelijkheid voor patiënten om zelf te bepalen of zorgverleners hun data elektronisch mogen verzamelen en vervolgens uitgebreid beschikbaar maken via de EHDS”, zegt hij in gesprek met PONT | Data&Privacy.. Zowel het opslaan van medische gegevens in een digitaal dossier als het verder delen met derde partijen mag volgens het voorstel zonder toestemming van patiënten plaatsvinden. Alleen door bezwaar aan te tekenen bij de bevoegde autoriteiten kunnen Europese burgers de doorgifte van hun data voorkomen.

Volgens Breyer is dit niet genoeg om de privacy van burgers en hun vertrouwen in de EHDS te waarborgen. “Een ‘opt-out’ optie is onvoldoende omdat patiënten niet over de juiste kennis en middelen beschikken om deze ontwikkelingen in de gaten te houden. Verder wordt een recht op bezwaar alleen aangeboden tegen het delen van data met derde partijen, maar niet tegen het opslaan in een digitaal medisch dossier”.

Breyer ziet hier twee uitdagingen. Allereerst worden de data van patiënten blootgesteld aan hogere cyberrisico’s. Ten tweede vreest hij dat patiënten ontmoedigd worden om zich te laten behandelen als ze geen zeggenschap meer hebben over de verwerking van hun gevoelige data. “Het gaat hier om mensen met ernstige ziektes die deze informatie nooit in vreemde handen zouden willen zien. Zulke grote aantasting van het medisch beroepsgeheim komt vooral ten nadele van de kwetsbaren.”

Niet de enige zorg

Sophie in ‘t Veld, een onafhankelijk Nederlands EP-lid, stemde ook tegen het rapport van de comités. In ’t Veld stelt dat het huidige voorstel de deuren wagenwijd openzet naar ongebreideld gebruik van persoonsgegevens voor puur commerciële doeleinden. Het voorstel van de EP-comités bevat een brede definitie van onderzoeksactiviteiten waarvoor patiëntengegevens mogen worden opgeëist, zoals de ontwikkeling van commerciële producten en diensten.

“Het probleem is natuurlijk dat medisch wetenschappelijk onderzoek zowel het algemeen belang als een commercieel belang kan dienen. Het is lastig dat in de wetgeving strikt te scheiden, maar juist daarom moet de bescherming van de rechten van het individu voorop staan en commerciële belangen zoveel mogelijk worden ingeperkt”, zegt In ’t Veld tegen PONT | Data&Privacy.

Volgens het parlementslid slaat deze balans in de EDS door naar het belang van bedrijven. “Wollige formuleringen” in de wet, zoals de klachtenregeling, zullen dit niet verhinderen. Deze kritiek wordt in de wetenschap gedeeld. Tamar Sharon, hoogleraar filosofie aan de Radboud Universiteit Nijmegen, ziet in de EHDS alleen maar een andere kans voor grote bedrijven, waaronder Amerikaanse BigTech, om hun invloed op de Europese publieke sector uit te breiden en hun winsten te verhogen zonder eerlijke rendementen voor Europese burgers. “Het louter naleven van de wet, zoals de AVG, neemt deze grotere risico’s niet weg.”

Europarlementariërs In ’t Veld en Breyer vinden dat zowel het EP als de Europese Commissie kritiekloos toegeven aan de druk van commerciële belangenbehartigers, zonder enige aandacht te tonen voor de adviezen van onafhankelijke deskundigen. Breyer legt uit dat dit ook het effect is van de slechte vertegenwoordiging van patiëntenbelangen tijdens de onderhandelingen, vergeleken met industrie- en zorgsectorlobbies. “Dit zagen wij al bij het onderhandelingsproces van de AVG,” merkt ook In ’t Veld op, “toen een zeer gunstige uitzondering voor onderzoeksdoelen werd goedgekeurd voor de (pharma)industrie, dikwijls met patiëntenorganisaties als vooruitgeschoven post, waarmee de direct commerciële belangen onzichtbaar blijven. Dat lijkt ook nu weer het geval”.

Het voorbeeld van Finland

Een universeel systeem voor het delen van alle patiëntengegevens zoals de EHDS, is geen volledig nieuw systeem in Europa. Sinds 2020 verleent Findata, een Finse overheidsinstantie, datavergunningen voor de verwerking van Finse patiëntengegevens en toegang tot een beveiligde en geauditeerde dataomgeving, waar externe partijen hun onderzoeksprojecten kunnen uitvoeren. Ook hier wordt geen toestemming gevraagd aan patiënten voor het delen van hun data.

Gevraagd naar haar ervaring met betrekking tot het vertrouwen van burgers, vertelt Johanna Seppänen, directeur van Findata, dat er eigenlijk geen bijzondere uitdagingen zijn voorgekomen in de afgelopen drie jaar. Dat komt volgens haar door de jarenlange ervaring van Finse burgers met het delen van hun data met de overheid. “Zoals het voorstel voor de EHDS nu voorziet, geeft Findata ook de optie aan burgers om hun data niet te delen met derde partijen via een opt-out. Wat wij zien in de praktijk is dat slechts 230 mensen zich hebben afgemeld, uit 5.5 miljoen inwoners. Het systeem werkt omdat burgers de meerwaarde van dit systeem zien.”

Findata’s datavergunningen zijn ook beschikbaar voor commerciële bedrijven, die 30 procent van haar klanten uitmaken. Toch vindt Seppänen de zorgen rondom de rol van de private sector niet goed onderbouwd. “Ik begrijp dit argument, maar anderzijds moeten wij erkennen dat de traditionele onderscheiding tussen publieke en private sector ouderwets is bij onderzoek. Veel projecten met data worden tegenwoordig in samenwerkingsverbanden uitgevoerd en ze leveren grote voordelen ook voor het publiek. Wel van belang is dat het delen van persoonsgegevens op een beveiligde en transparante manier plaatsvindt, zoals door ons systeem.” Vergeleken met het huidige voorstel voor de EHDS beperkt echter Finse wetgeving de toegang tot patiëntengegevens voor commerciële aanvragen tot geanonimiseerde statistische data.

Het vertrouwen van burgers

Europarlementariër Breyer is bekend met het Finse voorbeeld. Toch vindt hij dat het succes van Findata geen reden zou moeten zijn om minder wettelijke waarborgen in de EHDS te bouwen. “In Finland gaat het om 5 miljoen mensen, terwijl in de EHDS gegevens van bijna 500 miljoen EU-burgers worden gedeeld. De belangen en risico’s die op het spel staan, zijn heel anders.”

Verder benadrukt hij “aanzienlijke verschillen” in de diverse bestuursculturen van de Europese lidstaten en de bereidheid van Europese burgers om persoonsgegevens te delen. “De historische betrekkingen van het Finse volk met de overheid kunnen niet worden vergeleken met bijvoorbeeld die van de Duitsers, waar het recht op privacy en informatiezelfbeschikking een groter belang hebben. Dus als de EU-wetgevers het vertrouwen van burgers in de hele Unie echt belangrijk vinden bij de EHDS, moeten er universele minimumwaarborgen komen, met name een toestemmingsplicht of tenminste een ‘opt-in’ mogelijkheid voor het delen van data.”

In ’t Veld weet niet of mensen hun vertrouwen zullen verliezen in de EHDS als het zo doorgaat. Ze vreest wel dat veel EU-burgers aanvankelijk geen idee zullen hebben over wat de EHDS betekent. Pas als het “eens grondig mis gaat”, zullen ze zich verdiepen en beginnen met vragen stellen. “Ik denk dat we de 'slippery slope' wel voorbij zijn”.

Woensdag volgende week gaat het EP plenair stemmen over het rapport van de comités.

(1) https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/CJ43/AMC/2023/11-28/Item4-EHDS-compromiseamendments_EN.pdf