Artikel 36 legt concrete regels vast omtrent de geïnformeerde toestemming voor toegang tot gezondheidsgegevens. Hierbij staan drie doelen centraal: zelfbeschikkingsrecht van de patiënt, kwalitatieve en veilige zorg, en minimale administratieve lasten. Patiënten moeten hun zorgverleners vrij kunnen kiezen en verzekerd zijn van transparantie en gegevensbescherming. Alleen relevante gegevens mogen worden gedeeld, en zorgverleners moeten het beroepsgeheim respecteren. Volgens het Verslag aan de Koning is voor een goede samenwerking binnen multidisciplinaire teams toegang tot relevante informatie cruciaal, bijvoorbeeld in ziekenhuizen en andere zorginstellingen waar gemeenschappelijke patiëntendossiers worden gebruikt. De geïnformeerde toestemming kan mondeling, schriftelijk, of elektronisch worden verleend. Via het eHealth-platform kunnen patiënten hun akkoord registreren en ook intrekken. Daarnaast kan de patiënt ook specifieke zorgverleners uitsluiten van deze toegang tot gegevens. Deze uitsluiting moet minstens 10 dagen op voorhand gebeuren, opdat de verwerkingsverantwoordelijke zich nog kan organiseren.

Artikel 37 wijst categorieën gezondheidszorgbeoefenaars aan die geen toegang krijgen tot gedeelde gezondheidsgegevens, zoals verzekerings- en controlegeneeskundigen. Zij werken vaak met andere belangen dan de directe gezondheid van de patiënt en mogen gegevens alleen in specifieke wettelijk bepaalde gevallen inzien.

In het Verslag aan de Koning is benadrukt dat de toegang tot gezondheidsgegevens zonder therapeutische relatie enerzijds en de toegang door de patiënt zelf tot de betreffende gezondheidsgegevens niet tot het toepassingsgebied van de Kwaliteitswet hoort en dat deze toegangen in afzonderlijke wetgevingen geregeld worden.