Wouter Hoeffnagel - 03 april 2019

AP: 'Onderzoek naar opslag medische gegevens in Google Cloud nog niet zeker'

Het is nog niet duidelijk of de Autoriteit Persoonsgegevens (AP) een onderzoek gaat starten naar de opslag van medische gegevens van Nederlanders op het Google Cloud Platform. Onlangs bleek dat de gegevens van honderdduizenden Nederlanders door dataverwerker MRDM in Google Cloud te hebben opgeslagen.

MRDM voert in opdracht van ziekenhuizen kwaliteitsanalyses uit op medische gegevens van Nederlanders. De gegevens die het bedrijf hiervoor verwerkt, wordt door het bedrijf in een Nederlands datacenter van Google Cloud gehost. Minister Bruno Bruins van Medische Zorg en Sport liet hierop weten de AP te zullen vragen een onderzoek te starten naar deze werkwijze.

Onderzoek is nog niet zeker

In een reactie aan ICT&Health meldt Martijn Pols, toezichthouder van de Autoriteit Persoonsgegevens (AP), echter dat het nog niet zeker is dat een dergelijke onderzoek er komt. Pols wijst erop dat de AP een onafhankelijk bestuursorgaan is en zelf beslist wat wel of juist niet wordt onderzocht. Of er voldoende grond is voor een onderzoek naar de opslag van medische gegevens in Google Cloud, kan Pols in dit stadium niet aangeven. Pols wijst wel op de extra eisen die worden gesteld aan de opslag van medische gegevens.

Ook wijst Pols op de verantwoordelijkheid die ziekenhuizen hebben bij dergelijke dataverwerkingen. Zij blijven als verwerkingsverantwoordelijken verantwoord om ervoor te zorgen dat de veiligheid en privacy van medische data afdoende is gewaarborgd, wat moet worden vastgelegd in een verwerkersovereenkomst. Ook moet hierbij worden voldaan aan geldende NEN- en ISO-normen, waaronder die voor de kwaliteit van informatiebeveiliging.

Aan wettelijke eisen voldoen

"Het is ondoenlijk om in een wet elk detail van een verwerkersovereenkomst of contract te beschrijven, net zoals het voor ons als toezichthouder ondoenlijk is om elke overeenkomst of contract te controleren op het voldoen aan alle wettelijke eisen", zegt Pols tegen ICT&Health. "Verantwoordelijke partijen – zoals de ziekenhuizen of een dataverwerker als MRDM zijn er verantwoordelijk voor om voorafgaand aan het sluiten van een overeenkomst te controleren of zij aan alle vereisten voldoen. Wanneer uit een risicoanalyse blijkt dat er nog aanvullende risico’s zijn, dan is er de verplichting om dat aan ons voor te leggen."

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024