Europese regels die je zorgorganisatie gaan raken

De regelgeving is inmiddels vastgesteld en wordt in fases ingevoerd. Dat raakt de zorgpraktijk direct: van hoe systemen gegevens uitwisselen tot hoe je AI-toepassingen inzet bij diagnostiek of besluitvorming. Zorgorganisaties kunnen zich nog tijdig voorbereiden.

Wat verandert er rond medische gegevens?

• EHDS: medische gegevens uitwisselen volgens EU-standaarden
  De  European Health Data Space (EHDS) verplicht zorgaanbieders om medische gegevens veilig en gestandaardiseerd beschikbaar te stellen. Dit geldt voor samenvattingen, recepten, labuitslagen en beeldmateriaal. Dat moet technisch gebeuren via standaarden als FHIR en SNOMED CT, en via nationale toegangsloketten. Zo kan gegevensuitwisseling niet alleen nationaal, maar ook over de grenzen goed plaatsvinden.
  
  
• AI Act: medische AI-software moet aan eisen voldoen
  AI-toepassingen die worden ingezet in de zorg, vallen onder de nieuwe AI Act of AI-verordening. Bijvoorbeeld triage, beeldanalyse of behandeladviezen. De verordening stelt eisen op het gebied van veiligheid, transparantie en documentatie. Denk aan een CE-markering, een risicobeoordeling en duidelijke gebruiksinstructies. Ook moeten de AI-toepassingen worden geregistreerd in de Europese hulpmiddelendatabase EUDAMED, net als medische hulpmiddelen.
  
  
• Patiënten krijgen meer regie over hun gegevens
  Burgers krijgen onder de EHDS meer inzicht in en zeggenschap over hun medische gegevens. Ze mogen gegevens inzien, laten corrigeren, bezwaar maken tegen gebruik en bepalen wie toegang krijgt. Dat vraagt aanpassingen in de manier waarop je toestemmingen regelt, logt wie wat bekijkt, en gegevens corrigeert.

Welke risico’s zijn er bij gebruik van zorgdata en AI?

• Juridisch en privacy gerelateerd
  Als toestemmingsprocessen, logging (vastleggen van gegevens) of gegevensverwerking niet goed zijn geregeld, kunnen datalekken, klachten of zelfs boetes volgen. Zeker bij internationale uitwisseling is het belangrijk dat je voldoet aan zowel de AVG als de EHDS-verordening.
  
  
• Technisch
  Systemen die niet op tijd aangepast zijn aan de Europese standaarden, kunnen niet goed koppelen met andere systemen. Dat kan gegevensstromen blokkeren, met risico’s voor zorgcontinuïteit én compliance.
  
  
• Aansprakelijkheid
  Bij schade door AI-gebruik zonder CE-markering of risicobeoordeling, kunnen juridische complicaties ontstaan. Wie verantwoordelijk is, de aanbieder of de ontwikkelaar, hangt af van de situatie. Duidelijke afspraken en documentatie zijn nodig en belangrijk.

Zo bereid je je voor op Europese regels in de zorg

• Breng gegevensstromen in kaart
  Welke medische gegevens vallen straks onder de nieuwe regels? Hoe is toegang geregeld? En wie is waarvoor verantwoordelijk? Start met een EHDS-impactscan binnen je organisatie.
  
  

• Stem af met je EPD-leverancier
  Vraag of en wanneer je EPD-leverancier voldoet aan Europese interoperabiliteitsstandaarden (zoals FHIR). Kijk of samenvattingen en exportbestanden al in het juiste format staan, en of kerngegevens actueel en compleet zijn.
  
  

• Beoordeel je AI-gebruik
  Maak een overzicht van AI-toepassingen in de organisatie. Zijn ze CE-gemarkeerd? Is er een risicobeoordeling en technische documentatie aanwezig? Weten zorgverleners hoe ze ermee moeten werken? Leg verantwoordelijkheden en monitoring vast.
  
  

• Herzie contracten met leveranciers
  Leg afspraken vast over updates, beveiliging, incidentafhandeling en EUDAMED-registratie. Dat geldt voor leveranciers van EPD’s, AI-toepassingen en medische hulpmiddelen.

Werk vanuit wat er al is: IZA, NVS, Wegiz en AVG

De invoering van de EHDS en AI-verordening lijkt ingrijpend, maar sluit aan op bestaande trajecten in de zorg:

• Het Integraal Zorgakkoord (IZA).
• De Nationale Visie en Strategie voor het gezondheidsinformatiestelsel (NVS).
• De nationale wetgeving rondom digitale gegevensuitwisseling, zoals de Wegiz (Wet elektronische gegevensuitwisseling in de zorg).
• De al geldende privacywetgeving zoals de AVG.

Deze bestaande kaders vormen samen een stevig fundament voor verantwoorde gegevensuitwisseling. Door ze actief te benutten en goed op elkaar af te stemmen, voorkom je dubbel werk en kun je gerichter voldoen aan de nieuwe Europese verplichtingen.