Geen onderzoek naar opslag patiëntgegevens in de cloud door MRDM

De opslag van Nederlandse patiuentgegevens in de cloud door het bedrijf Medical Research Data Management (MRDM) wordt niet onderzocht door de Autoriteit Persoonsgegevens (AP). De toezichthouder heeft informatie ingewonnen bij het bedrijf en ziet geen verdere aanleiding voor een onderzoek.

Dit meldt de AP op haar website. Nederlandse ziekenhuizen maken voor het verwerken van persoonsgegevens van patiënt gebruik van 'verwerkers', waarbij de ziekenhuizen de 'verwerkingsverantwoordelijken' blijven. Zo werkt MRDM als verwerker voor een aantal Nederlandse ziekenhuizen. MRDM schakelt op haar beurt een 'subverwerker' in voor de opslag van persoonsgegevens. In dit geval gaat het om een cloudplatform dat buiten de Europese Unie (EU) is gevestigd.

De AP is in gesprek gegaan met de functionaris gegevensbescherming van MRDM, waarbij de functionaris in verschillende documenten verantwoording heeft afgelegd over de werkwijze rond het opslaan van gegevens in de cloud. Hieruit blijkt dat de gegevens worden opgeslagen in Nederland en in de contracten is gewaarborgd dat er geen internationale doorgifte van persoonsgegevens aan derde landen buiten de Europese Economische Ruimte (EER) plaatsvindt. Op basis van deze informatie ziet de AP geen aanleiding een nader onderzoek in te stellen.