“Ook jouw medische data liggen nu bij Google”, kopte het Algemeen Dagblad begin dit jaar, om in de intro te vervolgen met “Welkom in de mistige wereld van medische gegevens buiten het veelbesproken patiëntendossier.” De aanleiding voor het artikel was de 'ontdekking' dat het bedrijf MRDM dossier-informatie van honderdduizenden tot miljoenen ziekenhuisbezoekers voortaan in de cloud van het Amerikaanse Google bewaarde. “Waarom weten patiënten van niks?”, vroegen de verslaggevers zich af, en “is het wel veilig?”
Die vragen wekten de interesse van de enkele leden van de Tweede Kamer, die van minister Bruno Bruins wilden weten hoe dat nu precies zat met die Nederlandse medische data op servers van een techreus uit het land van Donald Trump.
Bruins: eerst even goed uitzoeken
De minister hield bij de beantwoording van de vragen een paar slagen om de arm. Hij zei dat er op het eerste gezicht geen rare zaken aan de hand waren bij het betreffende bedrijf dat de dossiers van ziekenhuizen verzamelt. Die gegevens zijn volgens MRDM opgeslagen in het datacentrum van Google in Eemshaven.
Ze blijven volgens de minister “daarmee in Nederland en vallen onder Nederlandse en Europese wet- en regelgeving.” Volgens de contracten die MRDM met Google heeft gesloten, mag Google niet aan de data komen, zei Bruins. Google is gecertificeerd onder het zogeheten EU-US Privacy Shield. Dit is, zegt de minister, een adequaat mechanisme voor naleving van de vereisten van de Europese wetten inzake gegevensbescherming, vooral wanneer die te maken hebben met de overdracht van persoonlijke gegevens van de Europese Unie naar de Verenigde Staten.
MRDM zei daarnaast de data dubbel te versleutelen, dus een versleuteling door Google en een eigen versleuteling, waarmee de gegevens niet toegankelijk zijn voor Google. Tenslotte, stelde de brief naar de kamerleden, is geregeld dat wanneer beheerders van Google zich vanuit beheerswerkzaamheden toegang verschaffen tot de versleutelde gegevens, MRDM daar melding van krijgt, zodat gecontroleerd kan worden dat Google zich aan wettelijke en contractuele bepalingen houdt.
Nader onderzoek nodig
Toch was de minister er niet helemaal gerust op. Hij vermelde dat de Autoriteit Persoonsgegevens hem had laten weten een onderzoek te zijn gestart naar het naleven van de verplichtingen uit de AVG door MRDM. Daarboven wilde hij ook een onafhankelijk advies over het gebruik van niet-EU cloud-aanbieders. “Ik ben op dit moment aan het bezien welke onafhankelijke partij mij hierover een advies uit kan brengen”, aldus de minister op 26 april.
Van één van de twee partijen die die de minister noemde weten we sinds deze week hoe hun onderzoek heeft uitgepakt. De Autoriteit Persoonsgegevens (AP) liet deze week weten geen aanleiding te zien “tot het instellen van een nader controlerend onderzoek naar eventuele overtredingen van de AVG door MRDM bij de opslag van medische gegevens op een cloudplatform.”
De functionaris gegevensbescherming van MRDM heeft in gesprek met de AP en in verschillende documenten verantwoording afgelegd over de werkwijze ten aanzien van de opslag van gegevens in de cloud, zegt de AP. In die verstrekte informatie ziet de AP op dit moment geen aanleiding tot het instellen van verder onderzoek.
Opslag bij Google dus geen probleem?
De voor de hand liggende conclusie lijkt hiermee te zijn: als je de juiste technische en organisatorische maatregelen neemt, ziet de AP geen beletsel om medische data bij Google, Amazon of Microsoft op te slaan.
Maar dat gaat veel te ver, zegt een woordvoerder van de AP desgevraagd. Zou je dan op zijn minst mogen zeggen dat er in dit specifieke geval vanuit de AVG geen principieel bezwaar bestaat tegen de opslag van Nederlandse medische data op de servers van Google? Zelfs die conclusie kun je niet trekken, zegt de AP. De feitelijke mededeling dat er “geen aanleiding is tot het instellen van verder onderzoek” zegt precies wat er wordt bedoeld, en verdere duiding over hoe de AP tegen Amerikaanse cloud-providers aan kijkt kun je er niet uit halen, aldus de woordvoerder.
Gezond verstand vertelt je dat, als MRDM de AVG zou overtreden door met Google in zee te gaan, de AP wel een vervolgonderzoek zou instellen. Maar zo stellig zul je het de AP dus niet horen zeggen. Voor duiding die verder gaat dan casuïstiek zullen we het onafhankelijke onderzoek dat minister Bruins beloofde moeten afwachten. Zijn woordvoerder zei destijds tegen SmartHealth dat minister Bruins naar aanleiding van de kamervragen zeker wilde weten aan welke technische en juridische eisen voldaan moet worden bij de opslag van gevoelige medische gegevens. Daarnaast wil hij ook graag weten welke risico’s er zijn in de opslag in clouds in Nederland, de Europese Unie, de Verenigde Staten en de rest van de wereld.
Any day now ....
In Den Haag verwacht men dat de voor de zomer beloofde aparte kamerbrief, waarin Bruins uitgebreid ingaat op informatiebeveiliging in de (hele) zorg, ergens in de komende dagen zal worden verstuurd, in ieder geval vòòr het geplande Algemeen Overleg in de Tweede Kamer op woensdag 9 oktober. Daarmee zal, naast de AP, ook het ministerie een mening geven in discussies over zorgdata in de cloud. Het feit dat die ontwikkeling in de praktijk al lang niet meer terug te draaien is, biedt een interessant perspectief op de aankomende cloud-visie van Bruins.
Plaats een Reactie
Meepraten?Draag gerust bij!