menu
Nieuws
8 min read

Internetconsultatie Wet op het gezondheidsinformatiestelsel (EHDS tranche 1)

3 juni 2026

Het Ministerie van VWS heeft de Wet op het gezondheidsinformatiestelsel (Wet GIS) ter internetconsultatie aangeboden. Dit wetsvoorstel vormt de eerste tranche van de Nederlandse implementatie van de European Health Data Space Verordening (EHDS), die op 26 maart 2025 in werking is getreden maar gefaseerd van toepassing wordt. In dit nieuwsbericht lichten wij het wetsvoorstel op hoofdlijnen toe en stippen wij twee opvallende keuzes van de wetgever aan.

Wat regelt tranche 1?

De Wet GIS bereidt het stelsel voor op de bredere EHDS-implementatie en omvat drie hoofdelementen:

(i) De oprichting en aanwijzing van instanties die worden belast met taken op grond van de EHDS:

Het wetsvoorstel voorziet in de oprichting van een nieuw zelfstandig bestuursorgaan, de Gezondheidsdata-autoriteit (GDA). In de Gezondheidsdata-autoriteit worden de onder de EHDS in te richten Digital Health Authority (DHA) en Health Data Access Body (HDAB) en het Nationaal Contactpunt voor Secundair Gebruik (NCPSG) in één organisatie ondergebracht. Hierdoor komen de (toezicht)taken met betrekking tot zowel primair gebruik als secundair gebruik van gezondheidsgegevens samen onder één dak.

(ii) Het toezicht- en handhavingskader:

Daarnaast wordt de bestaande toezichtstructuur aangevuld: de Inspectie Gezondheidszorg en Jeugd (IGJ) respectievelijk de Minister van VWS krijgt taken op het gebied van markttoezicht op EPD-systemen en toezicht op primair gebruik. De Autoriteit Persoonsgegevens (AP) dient toe te zien op de privacyrechtelijke en burgerrechtelijke aspecten en de rechtmatigheid van gegevensverwerking door de Gezondheidsdata-autoriteit, als ook op de juiste toepassing van het opt-outrecht ten aanzien van secundair gebruik. De nieuwe Gezondheidsdata-autoriteit wordt verantwoordelijk voor toezicht en handhaving op de naleving van de vergunningsvoorwaarden door gegevensgebruikers en -houders. De bepalingen uit de EHDS waarop het toezicht van de IGJ en AP zich richt, treden overigens pas later in werking. Zorgaanbieders moeten er zelf voor zorgen dat cliënten bij elektronische gegevensverwerking gebruik kunnen maken van de verschillende aan hen toekomende rechten, zoals een inzagerecht of het verstrekken van een afschrift van iemands dossier.

(iii) Een (vroegtijdige) overgang van derdencertificering van EPD-systemen naar zelfbeoordeling:

In Nederland was parallel aan het EHDS-wetgevingstraject reeds de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) geïntroduceerd, gericht op het bereiken van volledige interoperabiliteit bij elektronische gegevensuitwisseling tussen zorgverleners, waaronder certificeringsverplichtingen voor leveranciers van EPD-systemen. Deze Wegiz wordt nu gewijzigd zodat leveranciers van EPD-systemen niet langer verplicht een derde partij hoeven in te schakelen voor certificering. In plaats daarvan is een zelfbeoordelingsverklaring voldoende. De verplichte interoperabiliteitstest in een digitale testomgeving blijft onderdeel van de beoordeling. De eisen aan de beoordelingsmethodiek worden vastgelegd in een NEN-conformiteitsbeoordelingsschema. Voor leveranciers levert dit een directe kostenbesparing op: de verplichte certificering door een onafhankelijke derde vervalt. Zorgaanbieders zouden ook hiervan moeten profiteren doordat de resultaten van de nieuwe systematiek daardoor beter vergelijkbaar zouden zijn tussen systemen, wat hun keuzevrijheid vergroot. Concreet vervallen de wettelijke definities rond certificering en worden deze vervangen door de ‘zelfbeoordelingsverklaring’, met een nieuwe wettelijke basis voor een digitale testomgeving die door de Minister van VWS wordt ingericht en beheerd.

Beoogde inwerkingtreding

De inwerkingtreding van de Wet GIS wordt bij koninklijk besluit vastgesteld en kan per artikel of onderdeel verschillen. Beoogd is dat de wet op 26 maart 2027 in werking treedt: de datum waarop de autoriteiten, contactpunten en het toezichtkader op grond van de EHDS operationeel moeten zijn. De meer inhoudelijke stelselwijzigingen – zoals het opt-outrecht voor primair gebruik en de procedures voor secundair gebruik – volgen in de tweede tranche van de implementatiewetgeving. De memorie van toelichting geeft daar alvast een voorschot op: bevestigd wordt dat IGJ-ambtenaren een wettelijke bevoegdheid krijgen om patiëntendossiers in te zien waarmee wordt voorzien in een wettelijke basis voor doorbreking van het medisch beroepsgeheim, en dat de regering voornemens is gebruik te maken van de opt-outmogelijkheid die de EHDS biedt. De uitwerking van de daarvoor benodigde waarborgen – zoals logging van inzage en de rechten van burgers om toegang te beperken – volgt in tranche 2.

Toezicht en handhaving

Het wetsvoorstel kent een gelaagd pakket handhavingsinstrumenten jegens zorgaanbieders en leveranciers:

  • Schriftelijke aanwijzing: de minister (in de praktijk wordt deze gemandateerd aan de IGJ) kan een zorgaanbieder, fabrikant, importeur of distributeur opdragen om binnen een redelijke termijn maatregelen te nemen, bijvoorbeeld omdat een EPD-systeem niet voldoet aan de gestelde eisen of niet goed is ingebed in de organisatie.
  • Schriftelijk bevel bij acuut gevaar: dit is een nieuw handhavingsinstrument dat wordt toegevoegd aan de huidige Wegiz. Bij een acuut gevaar voor informatiebeveiliging of de veiligheid dan wel gezondheid van patiënten kan de IGJ een onmiddellijk na te leven schriftelijk bevel uitvaardigen, bijvoorbeeld tot het direct van de markt halen van een EPD-systeem. Wordt het bevel niet nageleefd, dan kan de IGJ een last onder dwangsom opleggen of bestuursdwang toepassen.
  • Last onder dwangsom en bestuursdwang: klassieke instrumenten die ook onder de Wegiz en Wabvpz (Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg) bestaan, worden overgenomen.
  • Bestuurlijke boete: de wetgever kiest ervoor gebruik te maken van de mogelijkheid in de EHDS om ook aan overheidsinstanties en overheidsorganen (in de hoedanigheid van gegevensgebruiker of gegevenshouder) bestuurlijke boetes op te kunnen leggen wegens overtreding van de EHDS. Ten aanzien van het secundair gebruik van elektronische gezondheidsgegevens zal de Gezondheidsdata-autoriteit bevoegd zijn om toezicht te houden op de naleving van de EHDS en bij niet-naleving te handhaven en boetes op te leggen (tot maximaal 20 miljoen euro of, in het geval van een onderneming, 4% van de totale wereldwijde jaaromzet).

Nederland kiest voor één centrale autoriteit

Het is opvallend te noemen dat de DHA, de HDAB en het NCPSG – die lidstaten in beginsel ook aan afzonderlijke instanties kunnen toewijzen – door de Nederlandse wetgever in één nieuw zelfstandig bestuursorgaan worden ondergebracht: de Gezondheidsdata-autoriteit. Volgens de memorie van toelichting is de gedachte achter deze keuze dat primair en secundair gebruik van gezondheidsgegevens één ecosysteem vormen, en dat bundeling van de taken van de DHA, HDAB en het NCPSG versnippering voorkomt en een herkenbaar ankerpunt creëert voor burgers, zorgaanbieders en onderzoekers. Met deze keuze beoogt de wetgever tevens ’taakversnippering’ tussen diverse toezichthouders in het domein van digitalisering en data te voorkomen. Daarmee wordt rekening gehouden met de waarschuwing van de Afdeling Advisering van de Raad van State van 20 november 2024 gedaan in het kader van de Uitvoeringswet EU Dataverordening, inhoudende dat de cumulatie van Europese regelingen op het terrein van data leidt tot toename van de complexiteit van wetgeving en toezicht.

Wegiz wordt al vóór 2029 omgezet naar zelfbeoordeling

Voorts opvallend is dat hoewel de EHDS-verplichting tot zelfbeoordeling voor EPD-systemen in de praktijk pas per 26 maart 2029 relevant wordt voor de eerste categorieën gegevens, de Nederlandse wetgever in dit wetsvoorstel ervoor kiest de Wegiz-systematiek van certificering door een onafhankelijke derde al vóór die datum om te zetten naar zelfbeoordeling. De reden is pragmatisch: door de overgang niet te laten samenvallen met de inhoudelijke EHDS-verplichtingen per 2029, wordt voorkomen dat leveranciers en zorgaanbieders tijdelijk worden geconfronteerd met twee parallelle beoordelingsregimes met de bijbehorende administratieve lasten en kosten. De wetgever verwacht een structurele kostenverlaging doordat leveranciers geen verplichte externe certificerende instelling meer hoeven in te schakelen. Dit is daarmee een bewuste versnelling ten opzichte van het Europese tijdpad.

Planning

Voor de verdere implementatie gelden de volgende mijlpalen:

  • 1 juli 2026: het streven is dat het wetsvoorstel Nationaal Contactpunt voor eHealth al op 1 juli 2026 – of zo spoedig mogelijk daarna – in werking kan treden.
  • 26 maart 2027: de GDA en het nationale toezicht- en handhavingskader moeten operationeel zijn, tegelijk treedt de aanpassing van de Wegiz (zelfbeoordeling) in werking.
  • 26 maart 2029: de inhoudelijke rechten en verplichtingen voor burgers en zorgverleners worden van kracht en de verplichte uitwisseling start voor de eerste set prioritaire gegevenscategorieën (patiëntsamenvattingen, elektronische recepten en elektronische verstrekkingen van geneesmiddelen). Burgers moeten op deze datum toegang kunnen krijgen tot een digitale toegangsdienst. De procedures voor secundair gebruik starten ook: gegevenshouders moeten ten minste jaarlijks metadata aanleveren aan de GDA en in staat zijn om gegevens te verstrekken op basis van een gegevensvergunning. Verder wordt het opt-outrecht voor primair gebruik van kracht.
  • 26 maart 2031: de resterende prioritaire gegevenscategorieën – waaronder beeldgegevens, medische testresultaten en ontslagverslagen – moeten beschikbaar worden gesteld via het EHDS-stelsel voor primair gebruik.
  • 26 maart 2033: de Europese Commissie voert een gerichte evaluatie van de EHDS uit.
  • 2034: de Minister van VWS evalueert de doelmatigheid en doeltreffendheid van de GDA overeenkomstig de Kaderwet zelfstandige bestuursorganen.
  • 26 maart 2035: de Europese Commissie voert een algemene evaluatie van de EHDS uit.

Internetconsultatie

Tot en met maandag 8 juli 2026 kan worden gereageerd op de internetconsultatie. Wij houden u graag op de hoogte van de voortgang.

Wilt u meer weten over dit onderwerp of heeft deze voorgenomen wijziging potentieel invloed op uw organisatie en heeft u daar vragen over? Neem dan contact op met Willemien Bischot of Louis Jonker.

Willemien Bischot

Advocaat | Partner

Louis Jonker

Advocaat | Counsel
Gerelateerde artikelen
Jurisprudentie Alarm
8 min read
Jurisprudentie Alarm: Commercieel ziekenhuis geen aanbestedende dienst, ook niet als het een dochter van een universitair ziekenhuis is
3 juni 2026
Blog
6 min read
In een AI-first advocatenkantoor maken juist mensen het verschil
28 mei 2026
Artikel, Zaak
1 min read
Van Doorne adviseert Rockfield Real Estate bij de samenwerking met ABP voor de ontwikkeling van duurzame en betaalbare huurwoningen in Nederland.
27 mei 2026
Blog
6 min read
Perikelen bij gemeentegrens overschrijdende warmtekavels onder de Wcw
26 mei 2026
Nieuws
3 min read
Update: Implementatiewet kapitaalvereisten 2026: verduidelijking derde landen regime
26 mei 2026
Blog
4 min read
Bestuurders en toezichthouders zorgaanbieder persoonlijke aansprakelijkheid voor bijna EUR 3 miljoen
22 mei 2026
Terug
Internetconsultatie Wet op het gezondheidsinformatiestelsel (EHDS tranche 1)