De European Health Data Space Act (EHDS) is sinds 26 maart 2025 van kracht. De Europese verordening moet veilige uitwisseling en hergebruik van gezondheidsgegevens binnen de EU mogelijk maken. De invoering gebeurt gefaseerd. Voor HR in de zorg betekent dit dat organisaties nu al moeten kijken naar datagovernance, verantwoordelijkheden en de digitale vaardigheden van medewerkers.
Alweer bijna een jaar geleden, op 26 maart 2025, is de European Health Data Space Act (EHDS) in werking getreden. Deze Europese verordening moet zorgen voor veilige, grensoverschrijdende uitwisseling van elektronische gezondheidsgegevens met als doel betere zorg, makkelijker onderzoek en versterkte patiënten rechten.
De verplichtingen worden de komende jaren gefaseerd ingevoerd. Dat betekent dat dat zorgaanbieders nu al moeten starten met het in kaart brengen van hun al hun datagovernance, gegevensstromen, interne verantwoordelijkheden en compliance-processen en waar nodig aanpassen.
De EHDS is rechtstreeks toepasselijk in alle EU-lidstaten en gaat voor op strijdige nationale wetgeving, zoals de Wet elektronische gegevensuitwisseling in de zorg (Wegiz). Daarnaast vormt de EHDS een sectorspecifieke aanvulling op de Algemene verordening Gegevensbescherming (AVG).
Wat regelt de EHDS?
De EHDS creëert het Europees kader voor de toegang tot en het gebruik van gezondheidsdata binnen de EU. Drie pijlers worden onderscheiden in de EHDS:
- Het primair gebruik van gegevens: verbeterde digitale toegang tot gezondheidsgegevens voor patiënten en veilige gegevensdeling tussen zorgverleners, ook grensoverschrijdend. Dit geeft patiënten meer controle over hun gegevens, zowel in eigen land als in andere EU-landen.
- Het secundair gebruik van gegevens: de EDHS zorgt ervoor dat gezondheidsdata betrouwbaar en consistent herbruikbaar worden voor wetenschappelijk onderzoek, innovatie en beleidsvorming en regelgeving. Dit gebeurt via beveiligde, door de overheid aangewezen instanties.
- Marktregulering van EPD-systemen: harmonisatie van veiligheid, interoperabiliteit en standaardisatie van EPD-systemen en interoperabele wellnessapps, inclusief markttoezicht. Dat betekent zoal dat alle EPD-systemen bepaalde gestandaardiseerde componenten moeten bevatten om ervoor te zorgen dat de systemen voldoen aan de vereiste voorwaarden.
Gevolgen van de EHDS die HR-professionals moeten kennen
Van expliciete toestemming naar opt-out structuur
Vooropgesteld staat dat “opt-out” de standaard wordt. In Nederland geldt nu nog de opt-in regeling, maar de opt-out zal de standaard worden voor zowel primair als secundair gebruik van gegevens. Kortgezegd betekent dit dat de patiënt geen toestemming hoeft te geven, maar dat het gebruik alsnog verboden kan worden als de patiënt bezwaar maakt.
Voor wat betreft het primair gebruik kan de lidstaat er voor kiezen om geen opt-out te bieden. Dan is er geen toestemming van de patiënt nodig en heeft de patiënt ook geen kans om het gebruik te verbieden. Nederland is voornemens dit opt-out-recht wel toe te kennen.
Wat betekent dit voor HR?
- Medewerkers moeten de nieuwe toestemmingsstructuur correct begrijpen en uitleggen.
- Interne protocollen en werkinstructies moeten worden aangepast.
- Scholing over patiëntencommunicatie en gegevensrechten wordt noodzakelijk.
Onjuiste toepassing kan leiden tot klachten of toezichtmaatregelen.
Europese grondslag voor secundair gebruik
De EHDS introduceert een zelfstandige Europese juridische basis voor hergebruik van gezondheidsgegevens, bijvoorbeeld voor onderzoek, innovatie en beleidsvorming. Dit gebeurt via aangewezen instanties (Health Data Access Bodies).
Zorgaanbieders worden daarbij aangemerkt als datahouders en kunnen verplicht worden gegevens gestructureerd aan te leveren.
HR-implicaties
- Nieuwe of uitgebreidere functies rond datagovernance en datakwaliteit.
- Heldere verantwoordelijkheidsverdeling binnen de organisatie.
- Scholing over datatoegang, beveiliging en doelbinding.
Uitbreiding en operationalisering van patiëntenrechten
De verordening versterkt bestaande rechten uit de Algemene verordening gegevensbescherming (AVG), zoals inzage en dataportabiliteit, en maakt grensoverschrijdende toegang tot gegevens mogelijk.
Dit betekent dat zorgprofessionals:
- Dataverzoeken tijdig en juridisch correct moeten afhandelen.
- Uitzonderingsgronden moeten kennen.
- Weten wanneer opschaling naar FG of privacy juristen nodig is.
Voor HR vraagt dit om structurele kennisborging in onboarding en permanente educatie.
Samenloop met de Wet elektronische gegevensuitwisseling in de zorg (Wegiz)
De EHDS en de nationale Wegiz hebben vergelijkbare doelen, maar verschillen in reikwijdte en normering. Nationale regels moet men waar nodig in lijn brengen met de EHDS.
Organisaties moeten dus rekening houden met zowel Europese als nationale verplichtingen. Dit verhoogt de complexiteit van compliance en vraagt om goede interne afstemming tussen HR, IT en juridische zaken.
Nieuwe toezichtstructuren en autoriteiten
De Europese verordening introduceert nieuwe rollen zoals:
- een Digital Health Authority (primair gebruik)
- een Health Data Access Body (secundair gebruik)
- markttoezichtautoriteiten voor EPD-systemen
Dit betekent meer toezicht, formele autorisatieprocedures en mogelijk externe audits.
Betekenis voor HR
Voor HR berekent dit dat:
- verantwoordelijken formeel moeten worden aangewezen;
- taken en mandaten duidelijk moeten worden vastgelegd;
- interne controle en documentatie structureel op orde moeten zijn.
Hogere eisen aan digitale vaardigheden
De Europese verordening stelt eisen aan standaardisatie, interoperabiliteit en datakwaliteit. Registratie moet correct, gestructureerd en uitwisselbaar zijn. Dit raakt direct aan het dagelijks werk van zorgprofessionals.
HR-aandachtspunt
Een aandachtspunt voor HR is dat digitale vaardigheden en datacompetentie kerncompetenties worden. De organisatie moet scholing en functieprofielen daarop aanpassen.
Strategische rol van HR
De EHDS is geen tijdelijk project, maar een structurele verandering in hoe zorgdata wordt beheerd en gebruikt. Voor HR betekent dit:
- Datagovernance opnemen in het strategisch personeelsbeleid.
- Functieprofielen actualiseren met dataverantwoordelijkheden.
- Compliance-kennis borgen in onboarding en bijscholing.
- Nauwe samenwerking organiseren met IT, juridische zaken en de Functionaris Gegevensbescherming.
Conclusie
De EHDS raakt de kern van de zorgorganisatie: informatiepositie van patiënten, datagebruik voor innovatie en de manier waarop zorgprofessionals registreren en communiceren.
Voor HR betekent dit een verschuiving van ondersteunende rol naar strategische partner in digitale transformatie en datacompliance. Zorgaanbieders die nu investeren in governance, scholing en heldere verantwoordelijkheden, zijn beter voorbereid op de gefaseerde invoering van de EHDS.
mr. Bente Brouwer is ondernemingsjurist bij The Legal Company
Heeft jouw organisatie behoefte aan ondersteuning bij de implementatie of voorbereiding op de EHDS?
De ondernemingsjuristen van The Legal Company ondersteunen zorgorganisaties onder andere bij:
- EHDS-impactanalyses voor HR-beleid, datagovernance en interne processen;
- Juridische toetsing van beleid en procedures aan de EHDS, AVG en relevante nationale regelgeving;
- Ontwikkeling of actualisering van interne protocollen en werkinstructies, bijvoorbeeld rond datatoegang, patiëntenrechten en secundair gebruik van gegevens;
- Advisering over governance en rolverdeling binnen de organisatie, inclusief verantwoordelijkheden rond data en compliance;
- Ondersteuning bij implementatietrajecten, in samenwerking met HR, IT, compliance en de Functionaris Gegevensbescherming.
Voor bovenstaande ondersteuning kun je contact opnemen met de ondernemingsjuristen van The Legal Company via info@thelegalcompany.nl of bel 020-3450152.
