De Autoriteit Persoonsgegevens (AP) probeert de gezondheidszorg de helpende hand toe te bieden met een nieuwe praktijkgids over de opslag van patiëntgegevens in de cloud.
De gids is bedoeld voor zorgverleners die al patiëntgegevens in de cloud opslaan - zoals in een cloudgebaseerd keten- of huisartseninformatiesysteem - of overwegen om dit te doen. De informatie in de praktijkgids is afgestemd op de huidige regels én op de nieuwe Europese regels van de Algemene verordening gegevensbescherming (AVG). Rond 25 mei 2018 gaan de nieuwe privacyregels in. Dan zal de gids extra informatie bieden, aldus de AP.
Meer praktische uitleg in gids
De Autoriteit publiceerde in 2013 beleidsregels rondom beveiliging van persoonsgegevens. Die regels legden uit hoe de AP bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens de beveiligingsnormen uit de Wet bescherming persoonsgegevens (Wbp) toepast. Er was echter sprake van een vrij hoog abstract gehalte. De huidige praktijkgids moet meer praktische antwoorden geven en is opgesteld in samenspraak met de gebruikers.
De praktijkgids bevat onder meer verwijzingen naar de relatief nieuwe wetgeving rondom de beveiliging van persoonsgegevens, evenals beknopte handvatten voor zorgverleners hoe ze op een verantwoorde en veilige manier gegevens in de cloud kunnen opslaan, kunnen samenwerken met een cloud-provider of met buitenlandse technologiebedrijven.
De praktijkgids bevat onder meer verwijzingen naar de relatief nieuwe wetgeving rondom de beveiliging van persoonsgegevens, evenals beknopte handvatten voor zorgverleners hoe ze op een verantwoorde en veilige manier gegevens in de cloud kunnen opslaan, kunnen samenwerken met een cloud-provider of met buitenlandse technologiebedrijven.
De praktijkgids legt ook een aantal algemene zaken uit, zoals wat het wettelijke verschil is tussen een verantwoordelijke (de zorgverlener) en een bewerker (de provider) bij opslag van informatie.
Risico's cloudopslag
De AP heeft de praktijkgids gemaakt omdat patiëntgegevens bijzondere persoonsgegevens zijn, waarmee zorgverleners zorgvuldig moeten omgaan. Zulke gegevens zijn gevoeliger dan ‘gewone’ persoonsgegevens zoals gebruikersnamen en wachtwoorden. Bovendien vallen patiëntgegevens onder het medisch beroepsgeheim van zorgaanbieders.
Het gebruik van de cloud brengt daarnaast risico’s met zich mee, zoals:
Het gebruik van de cloud brengt daarnaast risico’s met zich mee, zoals:
- Mogelijk niet of pas te laat merken als informatie in verkeerde handen komt (datalek).
- Patiëntgegevens kunnen terechtkomen in een datacentrum in een land waar de wettelijke bescherming van persoonsgegevens niet of onvoldoende is geregeld, of niet voldoet aan Europese regels. Voorbeelden zijn de Wet cliëntenrechten bij elektronische verwerking van gegevens (1 juli 2017) en de AVG (25 mei 2018).
- De cloud-provider kan de gegevens voor zichzelf gebruiken zonder dat de zorgverlener hiervoor toestemming heeft gegeven.
Geen toestemming voor cloudopslag nodig
Overigens hoeven zorgverleners patiënten geen toestemming te vragen om hun gegevens in de cloud op te slaan. Noch de Wet bescherming persoonsgegevens (Wbp) noch medisch beroepsgeheim schrijven dit voor. Ook gelden er geen speciale regels voor het opslaan van persoonsgegevens via een cloud-provider die zich in een ander EU-land bevindt.
Bij het kiezen voor een cloud-provider raadt de AP aan om in kaart te brengen welke risico's de keuze met zich meebrengt (bijvoorbeeld wanneer het gaat om een aanbieder die ook gegevens van klanten buiten de EU bewaart).Daarnaast kan een erkend certificaat zekerheid bieden over de kwaliteit van de cloud-provider. Verder zijn goede contractuele afspraken nodig om te voorkomen dat opgeslagen gegevens na een overname of faillissement van de provider opeens niet meer toegankelijk zijn.
Bij het kiezen voor een cloud-provider raadt de AP aan om in kaart te brengen welke risico's de keuze met zich meebrengt (bijvoorbeeld wanneer het gaat om een aanbieder die ook gegevens van klanten buiten de EU bewaart).Daarnaast kan een erkend certificaat zekerheid bieden over de kwaliteit van de cloud-provider. Verder zijn goede contractuele afspraken nodig om te voorkomen dat opgeslagen gegevens na een overname of faillissement van de provider opeens niet meer toegankelijk zijn.
Wat doen bij datalek
De praktijkgids kaart verder onder andere aan wat te doen in het geval van een data lek. De huidige Meldplicht datalekken verplicht organisaties tot het melden van een data lek en dat geldt ook voor de AVG. Zorgverleners kunnen afspreken met de cloud-provider - bijvoorbeeld in de bewerkersovereenkomst met de aanbieder - dat die namens de zorgverlener datalekken meldt.
Overigens is nog niet duidelijk of een bewerker volgens de AVG het data lek mag melden of dat de verantwoordelijke zelf moet doen. Een bewerker is vanaf 25 mei 2018 wel verplicht om een data lek direct aan de verantwoordelijke partij te melden. Aparte afspraken hierover zijn dan net meer nodig. Een niet of niet tijdig gemeld data lek kan de AP als overtreding zien en beboeten met maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Dat zal bij een huisarts waarschijnlijk minder snel gebeuren dan bij een ziekenhuis.
Overigens is nog niet duidelijk of een bewerker volgens de AVG het data lek mag melden of dat de verantwoordelijke zelf moet doen. Een bewerker is vanaf 25 mei 2018 wel verplicht om een data lek direct aan de verantwoordelijke partij te melden. Aparte afspraken hierover zijn dan net meer nodig. Een niet of niet tijdig gemeld data lek kan de AP als overtreding zien en beboeten met maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Dat zal bij een huisarts waarschijnlijk minder snel gebeuren dan bij een ziekenhuis.
