Re: EHDS: Can we launch a joint statement to Council? - Edri-ehds

28 Jan 2024

deutsch unten

Hello Jan,

thanks for your mail and for promoting the EHDS topic. Unfortunately I have to tell you
"Patientenrechte und Datenschutz" currently cannot sign this. I personally am
not sure that we are on the point with your proposal.

Please correct me if I am wong. What we are talking about, are the following two EHDS
change proposals that are  subject of the Trilog:
Parliament:
https://www.europarl.europa.eu/RegData/seance_pleniere/textes_adoptes/defin…
Council: https://data.consilium.europa.eu/doc/document/ST-16048-2023-REV-1/en/pdf

Both drafts contain provisions about an opt-out for persons, relating to secondary usage
of their health data. In the EP's draft it is art. 33 par. 5, in the Council's
draft it is art. 35 F. The only difference is, in the Parliament's draft this right to
opt out is granted directly to citizens, in the Council's draft it is up to the member
states if they give their citizens this right or not, they may do so. This does not look
like a huge difference. In Germany, minister of health Prof Lauterbach already said that
this right will be granted. This opt-out right to secondary usage is already in the
current German draft law (Digital-Gesetz) that has already been passed by Bundestag and is
in the last stages of being enacted. So, in Germany, the relevance of this difference
between Parliament and Council is zero! And this is the only point in your letter.

Now I would like to know if there is any country where this difference is greater than
zero. What country or countries are we talking about? In which country do they intend no
national opt-out possibility for secondary usage, so that we have to save them from
Brussels by this letter? Remember, about half of Europe's data protection activists
are Germans - we are not concerned! Who is?

I see two other questions not addressed in your letter, that seem more relevant to me, and
where there may be a real possibility to make a difference.
- In the Parliaments's draft there is at least a stub for citizen's right to claim
damages in case of abuse of their health data by secondary usage (Art. 38 B). In the
Council's draft there isn't.
- In the Parliament's draft, the provisions relating to exchange of primary health
data can be interpreted as imposing an online system of direct access to these data, while
the Council's proposal is technically neutral and would allow a system of request and
sending, instead of direct access, which would be much less prone to attacs and abuse.

I propose to ask Ralf Bendrath and Patrick Breyer, where they might see a realistic chance
to influence things in the ongoing Trilog.

Another point is, in your introduction you do not mention that the principle of data
privacy is informed consent, which would mean opt-in. I am sure it would facilitate
signing such a petition if we refer to our principles.

Best regards, Jan

We are both Germans, so I translate it to German:

Hallo Jan,

danke für deine Mail und dafür, dass du das Thema EHDS vorantreibst. Leider muss ich dir
sagen, dass "Patientenrechte und Datenschutz" dies derzeit nicht unterschreiben
kann. Ich persönlich bin mir nicht sicher, ob wir mit deinem Vorschlag auf dem richtigen
Weg sind.

Bitte korrigiere mich, wenn ich falsch liege. Worüber wir reden, sind die folgenden zwei
EHDS-Änderungsvorschläge, die Gegenstand des Trilogs sind:
Parlament:
https://www.europarl.europa.eu/RegData/seance_pleniere/textes_adoptes/defin…
Rat: https://data.consilium.europa.eu/doc/document/ST-16048-2023-REV-1/en/pdf

Beide Entwürfe enthalten Bestimmungen über ein Opt-out für Personen in Bezug auf die
sekundäre Nutzung ihrer Gesundheitsdaten. Im Entwurf des EP ist dies in Art. 33 Abs. 5, im
Entwurf des Rates ist es Art. 35 F. Der einzige Unterschied besteht darin, dass im Entwurf
des Parlaments den Bürgern dieses Recht direkt eingeräumt wird, während es im Entwurf des
Rates den Mitgliedsstaaten überlassen bleibt, ob sie ihren Bürgern dieses Recht einräumen
oder nicht, sie können dies tun. Das sieht nicht nach einem großen Unterschied aus. In
Deutschland hat Gesundheitsministerin Prof. Lauterbach bereits gesagt, dass dieses Recht
eingeräumt werden soll. Dieses Opt-out-Recht aus der Sekundärnutzung ist bereits im
aktuellen deutschen Gesetzentwurf (Digital-Gesetz) enthalten, der bereits vom Bundestag
verabschiedet wurde und sich in den letzten Zügen der Verabschiedung befindet. Die
Relevanz dieses Unterschieds zwischen Parlament und Rat ist in Deutschland also gleich
Null! Und das ist der 
einzige Punkt in Deinem Brief.

Nun würde ich gerne wissen, ob es ein Land gibt, in dem dieser Unterschied größer als Null
ist. Um welches Land oder welche Länder handelt es sich? In welchem Land soll es keine
nationale Opt-Out-Möglichkeit für die sekundäre Nutzung geben, so dass wir sie mit diesem
Brief über  Brüssel retten müssen? Denk daran, etwa die Hälfte der europäischen
Datenschutz-AktivistInnen sind Deutsche - wir sind nicht betroffen! Wer ist es?

Ich sehe zwei andere Fragen, die in Deinem Brief nicht angesprochen werden, die mir
wichtiger erscheinen, und bei denen es eine echte Möglichkeit geben könnte, etwas zu
bewirken.
- Im Entwurf des Parlaments gibt es zumindest einen Ansatz für das Recht der Bürger, im
Falle des Missbrauchs ihrer Gesundheitsdaten durch Sekundärnutzung Schadensersatz zu
verlangen (Art. 38 B). Im Ratsentwurf gibt es das nicht.
- Im Entwurf des Parlaments können die Bestimmungen über den Austausch primärer
Gesundheitsdaten dahingehend interpretiert werden, dass ein Online-System für den direkten
Zugriff auf diese Daten vorgeschrieben wird, während der Vorschlag des Rates technisch
neutral ist und ein System der Anfrage und Übermittlung anstelle des direkten Zugriffs
ermöglichen würde, das viel weniger anfällig für Angriffe und Missbrauch wäre. Für mich
wäre das der wichtigste Punkt.

Ich schlage vor, Ralf Bendrath und Patrick Breyer zu fragen, wo sie eine realistische
Chance sehen, noch Dinge im laufenden Trilog zu beeinflussen.

Ein weiteres Thema ist, Du erwähnst in Deiner Einleitung nicht, dass das Prinzip des
Datenschutzes die informierte Zustimmung ist, was Opt-in bedeuten würde. Ich bin sicher,
dass es die Unterzeichnung einer solchen Petition erleichtern würde, wenn wir uns darin
auf unsere Grundsätze beziehen.

Herzliche Grüße, Jan

Am 23.01.2024 um 16:00 schrieb Jan Penfrat (EDRi):
...

 Dear all,

 I hope you had a great start into the new year 2024! Myself I came back to the office
from 2 months of parental leave and am slowly catching up with things.

 As you might know, the numerous actors who advocated for stronger patient rights in the
EHDS, including our own open letter
<https://cloud.edri.org/index.php/s/4gb4qkTmQRqCDBG> calling for patients to be
asked for permission before giving away their medical records for secondary use, have only
been partly successful.

 _*On the upside:*_ The European Parliament (EP) position includes an opt-out right for
secondary use and explicitly acknowledges its impact on the "trust between patients,
health professionals, healthcare providers and other holders of personal health
data".

 _*On the downside:*_ EU member states (in the Council) have added no such protections
into their position, which means that now these two (EP and Council) will have to find an
agreement in the so-called trilogue negotiations that started this month.

 In order to sway member states to agree on the EP position in this matter, *I would like
to propose that we issue and send a new joint statement*, this time to member state
representatives specifically.

 I have made a first draft  for your review
<https://hub.edri.org/index.php/s/9wPKmiadt326kkQ> and would very much like to
collect your input and feedback this week in view of asking for your respective
organisational signatures _by Monday 30 January_.

 It would be great if we were able to organise this together again and maybe even collect
new signatures! I assume that many more organisations are supportive of an opt-out than
there were for an opt-in. *So please do forward this text to others you think might be
interested.*

 Thanks again and as always do not hesitate to contact me for any questions or suggestions
you might have!

 Kind regards,

 Jan

 -- 

 JAN PENFRAT
 SENIOR POLICY ADVISOR

 EUROPEAN DIGITAL RIGHTS
 Rue Belliard 12, B-1040 Brussels
 Matrix: @jan:penfrat.net
 Phone: +32 2 274 25 76

 www.edri.org <https://www.edri.org>| Mastodon
<https://eupolicy.social/@ilumium>| PGP
<https://edri.org/files/pgp-keys/janpenfrat.asc>

 Subscribe to the EDRi-gram to become a digital rights connoisseur!
<https://edri.org/take-action/edri-gram/>

 Subscribe to the EDRi-gram. <https://edri.org/take-action/edri-gram/>