De impact van de Europese Data Act op de Belgische gezondheidszorg - en vooral op ziekenhuizen

Inleiding: wat komt er precies aan?

De Europese Data Act (Verordening (EU) 2023/2854) is gepubliceerd op 22 december 2023 en wordt van toepassing op 12 september 2025. Ze legt spelregels vast voor toegang tot en gebruik van data uit “connected products” (zoals medische apparatuur en wearables), regelt eerlijkere contracten bij data-deling, cloud-switching en interoperabiliteit, en introduceert noodtoegang voor de overheid in uitzonderlijke situaties. De Data Act vult de Data Governance Act (DGA) (Verordening (EU) 2022/868) aan (van toepassing sinds 2023) en zal naast de European Health Data Space (EHDS) (Verordening (EU) 2025/327) gaan functioneren (EHDS is officieel gepubliceerd op 5 maart 2025; hoofdmoot van toepassing vanaf 26 maart 2027). 

Hieronder probeer ik een en ander op een rijtje te zetten.

1) Wat verandert er juridisch?

a) Recht op data uit medische apparatuur en wearables

Belangrijk wordt dat gebruikers (zowel natuurlijke personen als rechtspersonen) recht hebben op toegang tot de data die hun "connected product" en bijhorende diensten genereren, en die data mogen delen met een derde partij naar keuze. In de zorgpraktijk betekent dit: patiënten voor hun eigen wearables én ziekenhuizen als eigenaar/huurder van apparatuur (bv. MRI-, monitorings-, infuuspompsystemen) kunnen die apparaat-data opvragen en laten doorsturen naar derden (bv. een dataplatform of AI-leverancier). Dit is expliciet vastgelegd in Hoofdstuk II (o.a. art. 3 - 5) en de definities van “user” en “connected product”.

Let op de fasering: de ontwerp-/bouw-verplichtingen om data toegankelijk te maken gelden voor producten die na 12 september 2026 op de markt worden gebracht. 

Tegelijk blijft GDPR volledig gelden: als het om persoonsgegevens gaat, is een geldige rechtsgrond vereist en zijn o.a. de regels rond bijzondere gegevens (gezondheid) van toepassing. De Data Act creëert geen extra rechtsgrond om nieuwe persoonsgegevens te verzamelen; ze regelt toegang en gebruik van bestaande data. 

b) Eerlijke B2B-voorwaarden, handelsgeheimen en “gatekeepers”

Wanneer data B2B gedeeld moet worden, moet dat onder FRAND-voorwaarden (Fair, Reasonable, Non-Discriminatory), met ruimte voor kosten-gebaseerde compensatie (en plafonds als de ontvanger een KMO (SME) of non-profit onderzoeksorganisatie is). Unilateraal opgelegde oneerlijke contractclausules over data-toegang/-gebruik zijn niet bindend. Handelsgeheimen mogen worden beschermd via technische/contractuele maatregelen; in uitzonderlijke gevallen mag een datahouder zelfs weigeren als ernstige economische schade hoogstwaarschijnlijk is. Een Digital Markets Act (DMA)-gatekeeper mag geen data-ontvanger zijn via het gebruikersrecht. 

FRAND (Eerlijk, Redelijk, Niet-Discriminerend) is een principe dat van toepassing is op licentieovereenkomsten voor standaard-essentiële patenten (SEP's) in de technologie-industrie. Het principe houdt in dat een patenthouder licenties moet aanbieden tegen eerlijke en redelijke voorwaarden, die niet discrimineren ten opzichte van verschillende licentienemers. Dit bevordert innovatie en concurrentie door te voorkomen dat patenthouders hun macht misbruiken en innovatie belemmeren

2) Cloud & interoperabiliteit: grote IT-gevolgen voor zorgorganisaties

a) Wisselen van cloud-/data-verwerkingsdiensten

De Data Act verplicht aanbieders van “data processing services” (cloud, hosting, data-platformen) om switching te faciliteren. Switching charges (incl. data-egress) moeten volledig verdwijnen vanaf 12 januari 2027; tot dan zijn enkel kosten-gebaseerde, verlaagde kosten toegestaan. Voor ziekenhuis-IT en regionale netwerken betekent dit dat exit-strategieën en datamigraties contractueel afdwingbaarder worden. Egress wordt gedefinieerd als gegevens die van het ene netwerk naar het andere gaan.

De Commissie werkt tegen september 2025 aan modelclausules voor cloudcontracten; nuttig voor inkoop en heronderhandeling van bestaande raamcontracten. Daarnaast legt de Data Act interoperabiliteits-eisen en zelfs essentiële eisen voor smart contracts op om geautomatiseerde data-deling robuust en onderbreekbaar te maken. 

b) Internationale toegang tot (niet-persoons)data bij cloud

Cloudproviders moeten derdelands-toegangsverzoeken tot niet-persoonsdata aan EU-normen toetsen en klanten informeren – relevant voor internationale zorgleveranciers en multi-cloud-opstellingen van ziekenhuizen. 

3) Overheids­toegang bij “exceptionele nood” (o.a. volksgezondheid)

Bij publieke noodsituaties (waaronder expliciet een volksgezondheidsnood) kan de overheid (nationaal of EU) tijdelijk data opvragen bij private partijen. Niet-persoonsdata hebben voorrang; persoonsgegevens slechts indien noodzakelijk en gepseudonimiseerd waar mogelijk. Gratis bij publieke noodsituaties; redelijke compensatie in andere uitzonderingsgevallen. Voor Belgische ziekenhuizen impliceert dit dat databeheerders proces-klaar moeten zijn om (via hun datahouders/leveranciers) wettelijk gelegitimeerde verzoeken snel te honoreren, mét logging (audit-trail) en waarborgen. 

Voorbeelden van Business-to-Government (B2G)-noodscenario’s voor de Belgische ziekenhuispraktijk:

  • Acute uitbraak of pandemie: verzoek om real-time capaciteits- en doorstroomdata (INZO-bedden, beademingsapparatuur, triage) of apparaat-telemetrie (bv. monitorings-events) om zorgcapaciteit te sturen. Gratis en snel bij een officieel vastgestelde noodsituatie. 
  • Geneesmiddelen-/materiaaltekort of hittegolf: gericht verzoek om geaggregeerde data (verbruik, bezetting, wachttijden) wanneer de overheid een wettelijke taak uitvoert en kan aantonen dat dezelfde data niet anders verkrijgbaar zijn. Redelijke compensatie kan gelden. 
  • Grote cyberincidenten: tijdelijk opvragen van log- en incidentdata bij ziekenhuizen of hun cloud-/device-leveranciers om impact te beperken en herstel te coördineren. 

4) Governance & handhaving in België

Elke EU-lidstaat moet bevoegde autoriteiten en (bij meerdere autoriteiten) een “data coordinator” aanwijzen; toezicht op persoonsgegevens blijft bij de gegevensbeschermingsautoriteit. België zal deze aanwijzingen moeten vastleggen; tegen augustus 2025 is deze nationale inrichting nog in beweging. Voor de zorgsector ligt samenwerking met FOD Volksgezondheid, eHealth-platform en Sciensano voor de hand, mede gezien bestaande infrastructuren (Hubs-Metahub). 

Context België: de Hubs-Metahub-architectuur van het eHealth-platform ontsluit al jaren ziekenhuisdocumenten en resultaten; patiënten hebben inzage via MijnGezondheid. De Data Act schuift hiernaast: ze creëert extra rechten op apparaat- en servicedata (industrieel/operationeel), bovenop de klinische gegevensstromen. 

EHDS-link: de EHDS harmoniseert primaire (zorg) én secundaire (onderzoek/beleid) hergebruik van gezondheidsdata, met gefaseerde toepassing vanaf 2027. De Data Act en EHDS zijn complementair: de eerste opent (ook) industrieel/IoT-datakanaal; de tweede zorgdata-kanalen en toegang voor onderzoek/innovatie (HealthData@EU). 

5) Concreet: gevolgen voor Belgische zorg en ziekenhuizen

Voor patiënten

Meer zeggenschap over data uit wearables/thuismonitoring; mogelijkheid om data door te sturen naar eigen apps of zorgteams. In de praktijk zal de vraag naar gebruiksvriendelijke export (API’s) en conforme toestemmings-flows toenemen, in wisselwerking met MijnGezondheid en (later) EHDS-voorzieningen. 

Voor ziekenhuizen (als gebruiker én soms datahouder)

1. Inkoop & contracten

  • Veranker toegangs- en exportrechten in medische-apparatuurcontracten (voor nieuwe toestellen na 12-09-2026 verplicht toegankelijkheid); leg formaten, frequentie, latency en API-kwaliteit vast.
  • Heronderhandel cloud-/platformcontracten met switching-clausules, exit-plannen, portabiliteit, en nul data-egress na 12-01-2027. Neem alvast de komende modelclausules van de Commissie als referentie. 

2. Processen & loketten

  • Richt een datatoegangsloket in voor gebruikersverzoeken (patiënt/ziekenhuis) en derde-partij-deling op FRAND-basis; documenteer compensatie en anti-discriminatie.
  • Voor handelsgeheimen: werk met vertrouwelijkheids- en toegangsprotocollen; gebruik de weigeringsgrond alleen case-by-case en onderbouwd (ernstige economische schade). 

3. Architectuur & interoperabiliteit

  • Maak een data-catalogus van device/IoT-stromen (ICU-monitoring, beeldvorming, lab-instrumenten, telemonitoring, medische apps) met machine-leesbare beschrijvingen, API-specificaties en kwaliteitsindicatoren - een Data-Act-conforme basis.
  • Plan voor vendor-onafhankelijkheid: microservices, exporteerbare data, open specificaties; overweeg smart-contract tooling die voldoet aan de essentiële eisen (auditability, stop-knop). 

4. Compliance & security

  • Borg GDPR-rechtsgronden (bv. patiënttoestemming of andere grond) wanneer apparaatdata persoonsgegeven zijn; scheid persoons- en niet-persoonsdata waar zinvol.
  • Voor B2G-noodverzoeken: stel respons-playbooks op (identificatie, minimale dataset, pseudonimisering, logging (audit-trail), kostenregeling).

5. Onderzoek & innovatie

  • Eenvoudiger toegang tot operationele/industrieel gegenereerde data (bv. logbestanden, performance-metrics) onder FRAND ondersteunt med-tech cocreatie met universiteiten/scale-ups; EHDS opent parallel secundair gebruik van klinische data via HealthData@EU.

6) Risico’s en valkuilen

  • Persoonsgegevens & bijzondere categorieën: de Data Act is geen vrijbrief; GDPR blijft leidend (rechtsgrond, doelbinding, minimale gegevensverwerking). 
  • Handelsgeheimen: gebruik maatregelen (contractueel/technisch). Weigeren kan enkel uitzonderlijk en goed onderbouwd. 
  • Lock-in verschuift: juridisch minder, maar technisch nog mogelijk zonder interoperabele API’s en functionele equivalentie-plannen. 
  • Gatekeepers: let op het verbod om data aan een DMA-gatekeeper te leveren via het gebruikersrecht; check ketenafspraken met IT-partners. 

7) Actieplan 2025–2027 voor Belgische ziekenhuizen

  1. Gap-analyse: inventariseer alle connected devices en data-diensten; klasseer data (persoons/niet-persoons); map contracten en switching-risico’s. 
  2. Contract-update: neem Data-Act-clausules op voor data-toegang, FRAND, trade secrets, logging, API-SLA’s; cloud-exit incl. nul egress 2027. 
  3. Procesdesign: zet een dataverzoeken-desk op; standaardiseer toestemming en derde-partij-toegang; koppel aan Hubs-Metahub en MijnGezondheid waar relevant. 
  4. Techniek: publiceer machine-leesbare metadata en API-beschrijvingen; plan voor interoperabiliteit en (waar nuttig) smart contracts. 
  5. Business-to-Government (B2G)-noodscenario’s: maak SOP’s voor overheidsverzoeken (datasets, pseudonimisering, kosten, audit). 
  6. Vooruitblik op EHDS: monitor EHDS-uitrol en afstemming met HealthData@EU; plan time-to-comply richting 2027 en verder. 

Tot slot

Voor België - met zijn eHealth-infrastructuur en hoog digitaal maturiteitsniveau - zal de Data Act vooral praktische hefboomwerking geven: patiënten en zorginstellingen krijgen daadwerkelijke toegang tot industriële en IoT-data, en ziekenhuizen kunnen vrijer schakelen tussen cloud-diensten en eerlijkere data-voorwaarden afdwingen. Wie nu inzet op contractuele verankering, processen en interoperabele architectuur, vangt niet alleen de Data Act (2025/2026/2027), maar positioneert zich ook sterk voor de EHDS-fase. 

Bronnen:

Data Act explained (EU)

Data Governance Act explained (EU)

Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act) (Text with EEA relevance) (Data Act)

Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act) (Text with EEA relevance) (Data Governance Act)

Regulation (EU) 2025/327 of the European Parliament and of the Council of 11 February 2025 on the European Health Data Space and amending Directive 2011/24/EU and Regulation (EU) 2024/2847 (Text with EEA relevance) (EHDS)

EU Data Act: Significant New Switching Requirements Due to Take Effect for Data Processing Services (Latham & Watkins, 19/08/2025)

IT Systems of the European Health Data Space (EHDS) (EU)

HealthData@EU Central Platform (EU)

De zorgsector zit op een berg gezondheidsdata (24/03/2025)

De Europese Ruimte voor Gezondheidsgegevens (EHDS, Belgian Health Data Agency (BHDA))

Health Data Space (Departement Zorg)

Mijn Gezondheid (België)

eHealth-platform (België)

Sciensano (België)

Popular posts from this blog

Het Budget Financiële Middelen (BFM) budgettair type A (Acuut)

Belgische S2-centra voor acute beroertezorg met invasieve procedures

Hervorming van de Belgische ziekenhuisfinanciering - struikelblokken & mogelijke hervormingsscenario's en hun voor- en nadelen