Het kabinet laat onderzoek uitvoeren naar het gebruik van niet-Europese cloudplatformen voor de opslag van zorggegevens. Dat meldt minister Bruno Bruins van Medische Zorg en Sport, naar aanleiding van Kamervragen over de inzet van het Google Cloud Platform door medischdatabedrijf MRDM uit Deventer.
Tweede Kamerlid Maarten Heijink (SP) maakt zich zorgen over het gebruik van Google Cloud Platform voor de opslag van medische gegevens van honderdduizenden ziekenhuisbezoekers. Het AD schreef eind maart 2019 dat het bedrijf Medical Research Data Management (MRDM) medische gegevens uit elektronische patiëntendossiers opslaat in deze publieke cloud om deze vervolgens op verzoek van ziekenhuizen gepseudonimiseerd te verwerken. Daarbij worden persoonlijke onderdelen uit de gegevens verwijderd zodat ze niet herleidbaar zijn. Volgens de in het AD geciteerde expert is het echter voor Google ‘een fluitje van een cent’ om gegevens te herleiden naar een persoon.
Uitgebreide risicoanalyse
‘Ik hecht bij de verwerking van medische gegevens het grootste belang aan informatiebeveiliging en privacybescherming’, schrijft minister Bruins als reactie. MRDM heeft volgens hem een ‘uitgebreide risicoanalyse’ uitgevoerd voorafgaand aan de keuze voor Google Cloud.
‘Ik ben voornemens een onafhankelijk onderzoek uit te laten voeren naar het gebruik van niet-Europese cloudplatformen voor het opslaan van zorgdata.’ Bruins benadert hiervoor een onafhankelijke partij, aangezien zo’n onderzoek niet binnen de verantwoordelijkheid en bevoegdheid van de Autoriteit Persoonsgegevens past.
Privacyverklaring
Dat ziekenhuizen in hun online privacyverklaring Google Cloud niet als ontvanger van persoonsgegevens opnemen, hoeft volgens de minister niet. Vermelding van MRDM als verwerker volstaat, schrijft hij. ‘In de privacyverklaring moeten onder andere de ontvangers van de persoonsgegevens worden opgenomen. Subverwerkers worden als dusdanig niet expliciet genoemd.’
Kamerlid Heijink had bij de minister ook zijn zorgen geuit over de Amerikaanse Cloud Act. Deze verordening verplicht Amerikaanse cloudproviders sinds 2018 om op verzoek van Amerikaanse autoriteiten gegevens van klanten te overhandigen, zelfs als deze data bijvoorbeeld op servers in Nederland staan. Bruins reageert laconiek: ‘Hiervoor is een bevel nodig van een Amerikaanse rechter. In de praktijk is het nog niet voorgekomen dat Europese of Nederlandse wetgeving terzijde is geschoven.’ De minister gaat niet in op Heijinks vraag of het beter zou zijn als medische data in beheer worden gebracht bij Nederlandse of Europese organisaties.
Your data is your data
Google Cloud is onderdeel van Google, een van de bedrijven van Alphabet. Het onderdeel is onder meer verantwoordelijk voor de publiekecloudinfrastructuur Google Cloud Platform (GCP). Het bedrijf organiseerde kortgeleden een gebruikersconferentie waarbij ook Computable aanwezig was. De thema’s privacy en gegevensbescherming kwamen regelmatig aan bod. Your data is your data, hamerde ceo Thomas Kurian. Blijkbaar is het nodig om uitgebreid stil te staan bij dingen die vanzelfsprekend zouden moeten zijn.
Lees ook het achtergrondverhaal Privacy blijft een dingetje bij Google Cloud.
Op ITpedia heb ik in dit verband op 10 maart aandacht gevraagd voor de gevolgen van de Brexit.
https://www.itpedia.nl/2019/03/08/no-deal-brexit-verhuis-je-data-naar-het-vaste-land/
Ik kreeg alleen maar verontwaardigde reacties van Britten.
Verder lijken er weinig mensen van wakker te liggen…
Bijzonder dat gegevens van patiënten zonder toestemming van een patiënt door derden gebruikt mag worden. Uit het artikel blijkt dat de data niet geanonimiseerd worden bewaard. Lijkt mij dat hiervoor de AVG juist was bedoeld. De rapportages die teruggestuurd worden naar de ziekenhuizen zijn wel geanonimiseerd. Ik zou graag Tweede Kamer vragen zien of MRDM zonder toestemming van de patiënt deze gegevens mag krijgen. Als het volledig geanonimiseerd zou zijn kan ik het mij wel voorstellen anders totaal niet.
Wim, mooi artikel. Vanwege de onzekerheid (wie had de huidige situatie voorspelt?) moeten bedrijven en instellingen keuzes maken, als ze deze niet al gemaakt hebben.
Aangezien de Britten in het verleden als EU-lid ca 95% van de Europese wetgeving hebben gesteund, zullen ze veel wetgeving laten zoals het binnen de EU was geregeld. Netjes veranderen van wetgeving aan de eigen wensen kost bovendien veel tijd en energie. Wordt het een harde Brexit, dan heeft het VK eerst heel veel praktische problemen om op te lossen.