Het lijkt er op dat de Europese Gezondheids Data Ruimte, oftewel de European Health Data Space, ‘EHDS’, veel breder is dan je zou denken.
In een financieel rapport [1] las ik dat het oorspronkelijke EHDS-voorstel ingrijpend is veranderd, doordat niet alleen gezondheidszorginstellingen (‘cure’) onder de regels vallen, maar ook ‘care’ instellingen. Voorts doen wellnessapps mee aan het systeem.

Zorg: verpleeg-, verzorgingshuizen en thuiszorginstellingen en vele anderen
In de EHDS-verordening [2] wordt ‘zorg’ gedefinieerd als:

een professionele dienst die bedoeld is om te voorzien in de specifieke behoeften van natuurlijke personen die wegens een handicap of andere lichamelijke of geestelijke aandoeningen bijstand, met inbegrip van preventieve en ondersteunende maatregelen, nodig hebben om essentiële activiteiten in het dagelijks leven uit te kunnen voeren ter ondersteuning van hen betreffende persoonlijke autonomie

Het zal me benieuwen wat er in de praktijk onder ‘zorg’ wordt verstaan. Het omvat in ieder geval alle verpleeg-, verzorgingshuizen en thuiszorginstellingen (VVT-instellingen). Mogelijk vallen ook organisaties die dagbesteding voor gehandicapten aanbieden er onder.
Deze zorginstellingen beschikken over elektronische gezondheidsgegevens [3], die zij als datahouder [4] aan de Europese database moeten overdragen voor secundair gebruik.

Wellnessapps
In de verordening worden ook ‘wellness’ apps genoemd, de definitie luidt:

elke software, of elke combinatie van hardware en software, die door de fabrikant is bedoeld om door een natuurlijke persoon te worden gebruikt, voor de verwerking van elektronische gezondheidsgegevens, specifiek voor de verstrekking van informatie over de gezondheid van natuurlijke personen of voor zorgverlening voor andere doeleinden dan de verstrekking van gezondheidszorg

Aan wellnessapps worden labelingeisen gesteld als ze interoperabel zijn met digitale patientendossiers (EPD-systemen) [5]. Ook de aanbieders van wellnessapps zijn datahouders. Dat betekent dat hardloopapps, zoals de Strava-app, onder de nieuwe regels gaan vallen.

Gegevens delen met Europese database
Datahouders zijn, behoudens een beperkt aantal uitzonderingen [6], verplicht de gezondheidsgegevens te leveren aan de Europese database ten behoeve van secundair gebruik, zoals wetenschappelijke analyse. Daar vallen wellnessapps ook onder [7].
Interessant is dat de levering van gezondheidsgegevens niet alleen medische gegevens omvat, maar ook gegevens over “factoren die van invloed zijn op de gezondheid, met inbegrip van sociaal-economische, milieu- en gedragsdeterminanten van gezondheid” [8]. Ik ben heel benieuwd wie die gegevens gaat aanleveren en of de betrokkene daar over wordt geïnformeerd.
Het begrip ‘gezondheidsgegevens’ is daarmee veel ruimer dan je zou verwachten. Ik vraag me af hoe verstandig dit is. Europese privacy instanties EDPS en EDPB [9] waren daar in het verleden niet voor.

Noten:

[1] Zie pagina 3 van dit financiële rapport van juli 2025: “De wijzigingen in het politiek akkoord hebben een grote (L) materiële impact op het bedrijfsleven. Dit wordt onder andere veroorzaakt door het schrappen van de care uitzondering in relatie tot secundair gebruik van elektronische gezondheidsgegevens. Dit betekent dat de verplichtingen van Hoofdstuk 4 ook van toepassing zijn op aanbieders in de caresector, waaronder VVT-instellingen.” Het wordt ook elders genoemd, o.a. pagina 39, par. 3.4.2.
[2] Verordening.
[3] Definitie: ““persoonlijke elektronische gezondheidsgegevens”: gegevens over gezondheid en genetische gegevens die in elektronische vorm worden verwerkt“.
[4] In artikel 2 van de verordening als ‘houder van gezondheidsgegevens’ aangeduid en gedefinieerd als: “een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan in de gezondheidszorg- of de zorgsector, met inbegrip van, indien noodzakelijk, vergoedingsdiensten, alsook elke natuurlijke of rechtspersoon die producten of diensten ontwikkelt die bestemd zijn voor de gezondheids-, de gezondheidszorg- of de zorgsector, die wellnessapps ontwikkelt of vervaardigt, die wetenschappelijk onderzoek verricht in verband met de gezondheidszorg- of de zorgsector of optreedt als sterfteregister, alsook instellingen, organen of instanties van de Unie die: i) het recht of de verplichting hebben om overeenkomstig het toepasselijke Unierecht of nationaal recht en in hun hoedanigheid van verwerkingsverantwoordelijke of medeverwerkingsverantwoordelijke persoonlijke elektronische gezondheidsgegevens te verwerken voor de verstrekking van gezondheidszorg of zorg of voor doelstellingen op het gebied van volksgezondheid, vergoedingen, onderzoek, innovatie, beleidsvorming, officiële statistieken of patiëntveiligheid of voor regelgevingsdoeleinden; ofwel ii) in staat zijn om niet-persoonsgebonden elektronische gezondheidsgegevens ter beschikking te stellen door controle op het technische ontwerp van een product en aanverwante diensten, met inbegrip van het registreren, verstrekken, beperken of uitwisselen van die gegevens“.
[5] Zie artikelen 47 en 48 verordening.
[6] Zie artikel 50 verordening.
[7] Artikel 51 lid 1 sub i) verordening.
[8] Aldus artikel 51 lid 1 sub b) verordening.
[9] Aankondiging van het advies bij EDPB, het advies staat hier. Zie in de aankondiging onder meer: “EDPS Supervisor Wojciech Wiewiórowski said: “Health data generated by wellness applications and other digital health applications are not of the same quality as those generated by medical devices. Moreover, these applications generate an enormous amount of data, can be highly invasive and may reveal particularly sensitive information, such as religious orientation. Wellness applications and other digital health applications should therefore be excluded from being made available for secondary use.”“