De Autoriteit Persoonsgegevens (AP) probeert de gezondheidszorg de helpende hand toe te bieden met een nieuwe praktijkgids over de opslag van patiëntgegevens in de cloud.
Meer praktische uitleg in gids
De praktijkgids bevat onder meer verwijzingen naar de relatief nieuwe wetgeving rondom de beveiliging van persoonsgegevens, evenals beknopte handvatten voor zorgverleners hoe ze op een verantwoorde en veilige manier gegevens in de cloud kunnen opslaan, kunnen samenwerken met een cloud-provider of met buitenlandse technologiebedrijven.
De praktijkgids legt ook een aantal algemene zaken uit, zoals wat het wettelijke verschil is tussen een verantwoordelijke (de zorgverlener) en een bewerker (de provider) bij opslag van informatie.
Risico's cloudopslag
Het gebruik van de cloud brengt daarnaast risico’s met zich mee, zoals:
- Mogelijk niet of pas te laat merken als informatie in verkeerde handen komt (datalek).
- Patiëntgegevens kunnen terechtkomen in een datacentrum in een land waar de wettelijke bescherming van persoonsgegevens niet of onvoldoende is geregeld, of niet voldoet aan Europese regels. Voorbeelden zijn de Wet cliëntenrechten bij elektronische verwerking van gegevens (1 juli 2017) en de AVG (25 mei 2018).
- De cloud-provider kan de gegevens voor zichzelf gebruiken zonder dat de zorgverlener hiervoor toestemming heeft gegeven.
Geen toestemming voor cloudopslag nodig
Bij het kiezen voor een cloud-provider raadt de AP aan om in kaart te brengen welke risico's de keuze met zich meebrengt (bijvoorbeeld wanneer het gaat om een aanbieder die ook gegevens van klanten buiten de EU bewaart).Daarnaast kan een erkend certificaat zekerheid bieden over de kwaliteit van de cloud-provider. Verder zijn goede contractuele afspraken nodig om te voorkomen dat opgeslagen gegevens na een overname of faillissement van de provider opeens niet meer toegankelijk zijn.
Wat doen bij datalek
Overigens is nog niet duidelijk of een bewerker volgens de AVG het data lek mag melden of dat de verantwoordelijke zelf moet doen. Een bewerker is vanaf 25 mei 2018 wel verplicht om een data lek direct aan de verantwoordelijke partij te melden. Aparte afspraken hierover zijn dan net meer nodig. Een niet of niet tijdig gemeld data lek kan de AP als overtreding zien en beboeten met maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Dat zal bij een huisarts waarschijnlijk minder snel gebeuren dan bij een ziekenhuis.