Het AD kwam eind maart met berichtgeving over de opslag door dataverwerkingsbedrijf Medical Research Data Management (MRDM) naar een Nederlands datacentrum van Google Cloud Platform. Ziekenhuizen geven MRDM opdracht om de gegevens te verwerken ten behoeve van kwaliteitsverbetering, kostenbeheersing en/of onderzoek. De opslag in Google Cloud betrof gegevens van honderdduizenden Nederlanders.
Privacy in gevaar
Volgens het AD zou de privacy van de betrokken Nederlanders in gevaar kunnen komen omdat Google zelf mogelijk gebruik kon maken van de gegevens, of dat de Amerikaanse overheid gegevens zou kunnen opvragen. Bruins had in een vervolgartikel in het AD al laten weten dat hij de Autoriteit Persoonsgegevens (AP) wil laten onderzoeken of de veiligheid en privacy van medische data in Google Cloud afdoende gewaarborgd zijn. 'De Autoriteit Persoonsgegevens heeft mij laten weten een onderzoek te zijn gestart naar het naleven van de verplichtingen uit de AVG;, schrijft Bruins nu.
Verder moet er dus een onafhankelijk onderzoek komen volgens Bruins. 'Zoals ik eerder al heb laten weten, wil ik een onafhankelijk advies over het gebruik van niet EU cloud-aanbieders. Ik ben op dit moment aan het bezien welke onafhankelijke partij mij hierover een advies uit kan brengen.' De bewindsman zal het de Tweede Kamer laten weten wanneer hij het advies ontvangen heeft.
Uitgebreide risicoanalyse
Bruins schrijft dat hij van MRDM heeft begrepen dat het bedrijf een uitgebreide risicoanalyse heeft uitgevoerd voorafgaand aan het besluit over het plaatsen van de data en juist vanuit de overweging van informatiebeveiliging de keuze gemaakt te hebben voor Google Cloud Platform (GCP). Omdat de gegevens in een Nederlands datacentrum staan (Eemshaven), vallen zij onder Nederlandse en Europese wet- en regelgeving.
Verder voldoet Google aan de vereisten voor bescherming van data van Europese burgers via het EU-US Privacy Shield-raamwerk, inzake de overdracht van persoonlijke gegevens van de Europese Unie naar de Verenigde Staten. Ook zijn de data door Google én door MRDM versleuteld en wordt er een melding gemaakt wanneer beheerders van Google zich vanuit beheerswerkzaamheden toegang verschaffen tot de versleutelde gegevens, zodat gecontroleerd kan worden dat Google zich aan wettelijke en contractuele bepalingen houdt.
Versnelde overgang naar cloud
Bruins geeft verder aan dat er een versnelde overgang is van medische gegevens van een lokaal datacentrum of eigen computersysteem naar een cloudplatform. Met name kleinere zorgaanbieders als huisartsen, tandartsen, fysiotherapiepraktijken hebben niet de kennis en de middelen om lokale opslag van patiëntgegevens goed te beveiligen. 'Dataopslag in de cloud komt derhalve relatief vaak voor in de zorg, juist vanwege de gevoeligheid en behoefte aan professionele informatiebeveiligings- en privacywaarborgen.'
Volgens Theo Hooghiemstra, expert op het gebied van persoonsgegevens in de zorg, is er geen eenduidig antwoord mogelijk op de vraag of opslag van medische gegevens in datacentra van Google meer gevaren met zich meebrengen dan lokale opslag of cloudopslag bij een EU-datacentrum. “Als data eenmaal ergens zijn opgeslagen voor doel A, kunnen ze op termijn ook voor doel B worden gebruikt. Dat is de kern.”
