Het opslaan van medische data bij een cloudleverancier is veilig, zolang er aan de Algemene Verordering Gegevensbescherming (AVG) wordt voldaan en eventueel aanvullende technische en juridische maatregelen worden getroffen. Het vastleggen van de data bij een niet-EU cloudprovider, zonder vestiging of vertegenwoordiger in de EU, is echter onwenselijk.
Dit stelt juridisch adviesbureau ICTRecht naar aanleiding van een eigen onderzoek op verzoek van minister Bruins van medische zaken naar de wenselijkheid van de opslag van medische data van Nederlandse patiënten bij niet-EU cloudproviders.
AVG cruciaal
De onderzoekers stellen dat het naleven van de AVG cruciaal is bij het wel of niet wenselijk zijn van het in zee gaan met een cloudprovider. ‘Als de AVG aantoonbaar wordt nageleefd, is medische data goed beveiligd. Specifiek waar het gaat om medische data, gelden extra strenge wettelijke eisen, met name voortvloeiend uit de AVG. Zo is het verplicht om een risicoanalyse uit te voeren, contractuele afspraken te maken ter bescherming en beveiliging van de data en om aanvullende maatregelen te treffen wanneer medische data buiten de EU kan worden opgeslagen’, aldus de onderzoekers.
Als de cloudprovider en afnemer beide aantoonbaar aan dit pakket eisen voldoen, wordt daarmee een hoog niveau van veiligheid gerealiseerd bij de opslag van medische data in de cloud. De rapporteurs benadrukken echter dat het essentieel is dat de cloudprovider ten minste een vestiging of opslaglocatie heeft in de EU. Dit, om de naleving van de AVG effectief af te kunnen dwingen. De AVG is immers alleen van toepassing op organisaties binnen de EU, of organisaties die zich van buiten de EU specifiek richten op personen in de EU.
Het risico van inzage door buitenlandse autoriteiten
De rapporteurs gaan ook in op het gegeven dat een cloudprovider onderworpen kan zijn aan meerdere rechtsstelsels. ‘Een Amerikaans bedrijf dat in diens datacenters in de EU medische data van Nederlanders opslaat voor een Amsterdams ziekenhuis, is gehouden aan de AVG maar ook aan bevelen van Amerikaanse autoriteiten tot inzage.’
In de afgelopen jaren zijn volgens de onderzoekers vele vragen gerezen over de reikwijdte van dergelijk inzagerecht van autoriteiten buiten de EU op (medische en andere) data van partijen in de EU. De AVG biedt hiervoor uitkomst, stellen de rapporteurs. ‘De AVG heeft een stevige lijn in het zand getrokken. Het is cloudproviders onder de AVG expliciet verboden om klantdata te verstrekken aan autoriteiten van een land buiten de EU, tenzij de EU of de lidstaat zelf internationale afspraken daarvoor heeft gemaakt met dat land, zoals rechtshulpverdragen waaronder rechtshulpverzoeken gedaan kunnen worden. De meest gebruikte niet-EU cloudproviders met vestiging in de EU geven allen ook aan dat zij zich zeer terughoudend opstellen ten aanzien van dergelijke verzoeken. Zij hebben beleid vastgesteld om verzoekende autoriteiten waar mogelijk door te verwijzen naar de afnemer van de clouddienst. De afnemer is immers de partij die verantwoordelijk is voor het gebruik en eventueel afstaan van de medische data.’
Samenvattend stellen de onderzoekers dat het gebruik van cloudproviders wenselijk is als de cloudprovider allereerst ten minste een vestiging of opslaglocatie in de EU heeft en ten tweede elke vestiging van de cloudprovider buiten de EU zich in een land bevindt waar medische data gelijkwaardig is beschermd als in de EU.
Aanvullende beschermingsmaatregelen
Volgens de onderzoekers zijn er nog aanvullende manieren om medische data verder te beschermen. Zo is er het (afgeleide) verschoningsrecht in de zorg. Op grond van dit in Nederland vastgelegde recht kunnen zorgverleners niet gedwongen worden tot het verstrekken van (toegang tot) medische data, behalve als de patiënt daar (in overleg met de zorgverlener) zelf toestemming voor geeft.
Technische maatregelen die zijn te nemen, zijn het versleutelen van de medische data van Nederlandse patiënten voordat deze worden overgedragen aan de cloudprovider. Een andere technische maatregel is het gebruik van twee- of meerfactorauthenticatie voor toegang. Tevens dienen er technische maatregelen getroffen te zijn om de goede werking van de toegangsbeveiliging te controleren (logging). Tot slot dient zowel het verkeer van de gebruiker naar de cloudprovider, als de opslag van medische data bij de cloudprovider zelf, versleuteld te zijn om opgeslagen medische data optimaal te kunnen beschermen.
De AVG is een Nederlandse vertaling van de GDPR, het is allesbehalve een stevige lijn in het zand aangaande de verplichting van Amerikaanse bedrijven om inzage te geven in gegevens op basis van Clarifying Lawful Overseas Use of Data Act (CLOUD ACT) door juridische onduidelijkheden. Zo kunnen de lidstaten dus afwijkende afspraken maken waardoor er van de Europese lijn afgeweken wordt. Verder is m.i. een aantoonbare naleving van de AVG nog moeilijk te bewijzen doordat – zie statement AP – er geen accrediteringsinstelling is die dit kan controleren.
Het (afgeleide) verschoningsrecht in de zorg moeten we vooral lezen dat de doden niet kunnen klagen, recht op inzage wordt namelijk vooral geblokkeerd door de zorg voor de zorgverlener vanuit de verzekeraar. Onderzoekers lijken ook het juridische eigendom van een back-up niet meegenomen te hebben, hier geldt dat de klok niet wordt gestolen maar de tijd wel want rapportage van de AP over de oorzaak van datalekken van 5.000 of meer personen in de zorg lijken grotendeels terug te leiden op deze laag in de architectuur. Een laag waar recht op inzage, correctie en verwijdering vaak compleet ontbreekt.
Waarom niet alle IT – ISO normen verplicht stellen?
“Het vastleggen van de data bij een niet-EU cloudprovider, zonder vestiging of vertegenwoordiger in de EU, is echter onwenselijk.”
“De rapporteurs benadrukken echter dat het essentieel is dat de cloudprovider ten minste een vestiging of opslaglocatie heeft in de EU.”
‘Onwenselijk’? ‘essentieel’?
Art 27 lid 1 AVG : de verwerkingsverantwoordelijke of de verwerker wijst schriftelijk een vertegenwoordiger in de Unie aan.
Sterker nog : hoe kun je tot een cloud-contract komen zonder een vertegenwoordiger van de niet-EU cloudprovider in de Unie?
Dat is dus al een knock-out criterium in de pre-selectie.
“Als de AVG aantoonbaar wordt nageleefd, is medische data goed beveiligd”
“Als de cloudprovider en afnemer beide aantoonbaar aan dit pakket eisen voldoen, wordt daarmee een hoog niveau van veiligheid gerealiseerd bij de opslag van medische data in de cloud.”
‘Goed beveiligd’? ‘Hoog niveau’? Onzin, hoogstens AVG-compliant, dwz. alles wat boven het basale minimum-niveau uit komt.
Een risico-analyse is noodzakelijk voorafgaand aan opslag van persoonsgegevens.
Een DPIA is verplicht voorafgaand aan geautomatiseerde opslag c.q. verwerking.
“Zij hebben beleid vastgesteld om verzoekende autoriteiten waar mogelijk door te verwijzen naar de afnemer van de clouddienst. De afnemer is immers de partij die verantwoordelijk is voor het gebruik en eventueel afstaan van de medische data.”
Overweging 90 AVG : “De vertegenwoordiger dient ten behoeve van de verwerkingsverantwoordelijke of de verwerker op te treden en kan door iedere toezichthoudende autoriteit worden benaderd. De vertegenwoordiger dient uitdrukkelijk te worden aangewezen via een schriftelijk mandaat van de verwerkingsverantwoordelijke of van de verwerker om namens hen op te treden met betrekking tot zijn verplichtingen uit hoofde van deze verordening. [ – ] In geval van niet-naleving door de verwerkingsverantwoordelijke of de verwerker dient de aangewezen vertegenwoordiger aan handhavingsprocedures te worden onderworpen.”
“dat het gebruik van cloudproviders wenselijk is als [ – ] elke vestiging van de cloudprovider buiten de EU zich in een land bevindt waar medische data gelijkwaardig is beschermd als in de EU.”
‘Elke vestiging’? Binnen de EU ja, daar dient de AVG nu juist voor. Daarbuiten, kun je dus wel vergeten.
Lees vooral overwegingen 101-110 AVG en art. 45-49 AVG
En encryptie van opslaggevens vanaf de bron tot in de cloud mag inmiddels toch wel een nobrainer worden genoemd.
Vergeet de Brexit niet. Engeland is straks buiten de EU.
Dit issue was in mei al gesignaleerd….
https://www.itpedia.nl/2019/03/08/no-deal-brexit-verhuis-je-data-naar-het-vaste-land/
Kies gewoon niet voor een Amerikaanse oplossing. Er zijn genoeg aanbieders in de EU. Op dit moment test ik https://vboxxcloud.nl/avg iemand die deze oplossing kent?
Verzoeken om individuele medische gegevens van non-US citizen zijn alleen interessant als er vermoedens bestaan dat er risico’s zijn aangaande de nationale belangen, denk in dit geval aan een inreisverbod voor patiënten met COVID-19. Interesse voor Europese medische onderzoeksdata is dan ook veel groter omdat we historisch gezien een DNA band hebben met Amerika. En deze data wordt vooral verkregen via de farmaceutische industrie die grotendeels in handen is van op de Amerikaanse beurs genoteerde bedrijven, via zorgverzekeraars of academische ziekenhuizen.
Zes jaar geleden wees ik in een opinie op dit platform op de problemen met allerlei digitale medische archieven bij medische specialisten omdat bewaartermijnen hiervan voor snel stijgende kosten zorgen. Toenertijd was er nog geen één ziekenhuis waar ik een onderzoek deed naar problematiek van knellende IT budgetten dat een charge- of showback kostenmodel voor de dataopslag had. Oja, data kan wel versleuteld opgeslagen worden maar de vraag wie de sleutel heeft is één van de vraagstukken die niet eenvoudig op te lossen is want het zelfbeschikkingrecht van patiënten wordt door WGBO beperkt en veel regionale ziekenhuizen zijn alleen maar een facilitair bedrijf waarin allerlei maatschappen juridisch grote autonomie hebben door deze WBGO. op sommige punten staat deze wet dan ook lijnrecht tegenover de verplichtingen in GDPR/AVG doordat economische spionage in de gezondheisdmarkt nog altijd een goede melkkoe is middels dure patenten op medicijnen, vaccins e.d.
@Jente : om te beginnen : kies voor een cloud-provider die opgericht is naar Europees recht, die zijn hoofdvestiging in de EU heeft, in een land dat rechtstreeks onder de AVG valt, die geen organisatie-onderdelen heeft in de VS of vergelijkbare landen, die geen organisatie-onderdeel (dochter, filiaal, franchise,etc) is van een in de VS gevestigd bedrijf of onderdeel daarvan.
En die client-side encryption toestaat.
Al die ‘handige oplossingen’ van MS en Google vallen dan als eerste af.
Ik vraag me af of je dan nog een cloud provider gaat vinden… misschien zijn er die (officieel) geen organisatie-onderdelen buiten Europa hebben. Maar er zit altijd wel niet-Europese technologie in.