Search
Close this search box.
Search

AP bekijkt noodzaak onderzoek medische data bij Google

Het is nog niet zeker of er een onderzoek van de Autoriteit Persoonsgegevens komt naar het plaatsen van medische data door dataverwerker MRDM op het Google Cloud Platform. Minister Bruno Bruins (Medische Zorg & Sport) gaf in het AD aan dit wel aan de toezichthouder te zullen vragen. Aanleiding is de commotie rondom de veiligheid en privacy van deze data bij de Amerikaanse aanbieder van (zakelijke) cloudopslag.

Woordvoerder Martijn Pols van toezichthouder Autoriteit Persoonsgegevens (AP) stelt dat de organisatie als onafhankelijk bestuursorgaan uiteindelijk zelf bepaalt of een onderzoek naar eventuele privacy-gevaren voor medische data noodzakelijk is, bijvoorbeeld op basis van een melding of berichtgeving in de media.

Hij kan nu nog niet aangeven of er voldoende grond is voor zo’n onderzoek in het specifieke geval van MRDM en de opslag van medische data die het voor kwaliteitsanalyses host in Google Cloud. “Wel is het zo dat medische gegevens behoren tot een bijzondere categorie op privacy-gebied. Daarvoor ligt de lat qua eisen een stuk hoger dan bij andere persoonsgegevens.”

Pols benadrukt dat privacywet AVG een raamwerk is dat allerlei eisen en voorwaarden stelt op gebieden zoals een verwerkersovereenkomst, of een impact assessment bij plaatsing van gegevens in bijvoorbeeld een cloud-omgeving. Er is dus geen sprake van volkomen dichtgetimmerde regulering die direct duidelijk maakt of de impact van het hosten van data in een cloudopslag zoals van Google zo groot is dat dit niet is toegestaan.

Eigen verantwoordelijkheid

Pols wijst op de eigen verantwoordelijkheid van partijen zoals verwerkingsverantwoordelijken (in dit geval de ziekenhuizen) om er voor te zorgen dat de veiligheid en privacy van medische data afdoende gewaarborgd zijn in een verwerkersovereenkomst. Zoals het de verantwoordelijkheid is van een gegevensverwerker om voorafgaand goed te controleren of het in de cloud zetten van data past bij de eisen in de wet en de vertaling daarvan naar de normen zoals die gelden op NEN- en ISO-gebied (bijvoorbeeld kwaliteit informatiebeveiliging). Daarvoor zijn er duidelijk omschreven stappen, zoals het nagaan van aanvullende risico’s die kunnen ontstaan bij cloud-hosting van data.

“Het is ondoenlijk om in een wet elk detail van een verwerkersovereenkomst of contract te beschrijven, net zoals het voor ons als toezichthouder ondoenlijk is om elke overeenkomst of contract te controleren op het voldoen aan alle wettelijke eisen”, benadrukt de woordvoerder. “Verantwoordelijke partijen – zoals de ziekenhuizen of een dataverwerker als MRDM zijn er verantwoordelijk voor om voorafgaand aan het sluiten van een overeenkomst te controleren of zij aan alle vereisten voldoen. Wanneer uit een risicoanalyse blijkt dat er nog aanvullende risico’s zijn, dan is er de verplichting om dat aan ons voor te leggen.”

Martijn Kregting

ICT&health World Conference 2024

Ervaar de toekomst van de gezondheidszorg tijdens de ICT&health World Conference van 14-16 mei 2024! Claim alvast jouw ticket en dompel je onder in baanbrekende technologieën en innovatieve oplossingen. Ga in gesprek met collega-experts en verken de kracht van wereldwijde samenwerkingen.

Deel dit artikel!

Lees ook
DNA-bolletjes data
Data veilig en droog opslaan in DNA-bolletjes
Hartstilstand
Smartwatch registreert hartstilstand en redt levens
Visuele prothese
Visuele prothese voor blinden in ontwikkeling
ransomware
Hackers richten zich nu ook op domotica
wearable
Galaxy Ring meet op sierlijke wijze gezondheid
Data SEH
SEH data en AI kunnen verkeersveiligheid verbeteren
inclusief
Philips wil in 2025 wereldwijd 2 miljard levens verbeteren
subsidies
Nieuwe subsidies voor innovatieve therapie tegen dementie
exergaming
Exergaming laat mensen meer en langer bewegen
app
Zuyderland kiest óók voor berichtenfunctie BeterDichtbij
Volg jij ons al?