Minister Bruno Bruins (Medische Zorg & Sport) stelt in het AD dat hij de Autoriteit Persoonsgegevens wil laten onderzoeken of de veiligheid en privacy van medische data in de Google Cloud afdoende gewaarborgd zijn. De minister laat dit weten in reactie op een eerder artikel van de krant dat medische data-verwerker MRDM er voor gekozen heeft om medische gegevens die het namens ziekenhuizen voor kwaliteitsanalyses verzameld, in een Nederlands datacentrum van Google Cloud te hosten.
Verder zal Bruins aan standaardeninstituut NEN vragen om te kijken of kwaliteitseisen voor informatiebeveiliging van onder meer medische data in de zorg eventueel aangescherpt moeten worden. "Medische gegevens moeten veilig zijn, privacybescherming hierbij is voor mij van het grootste belang", aldus de minister in het AD.
Privacy-toezichthouder AP laat aan het AD weten dat het nog een formeel verzoek van Bruins moet krijgen, maar dat het nog te vroeg is om te bepalen of er aanleiding is om een onderzoek te starten (een uitgebreidere reactie van de AP zal nog volgen).
Kamervragen opslag medische data
Tweede Kamerleden van D66 en SP hebben de ministers van Justitie en veiligheid en VWS inmiddels schriftelijk via Kamervragen om uitleg gevraagd over in hoeverre het veilig is dat medische gegevens van Nederlanders worden opgeslagen in de Google Cloud. Ook zij willen een toetsing hiervan door de Autoriteit Persoonsgegevens. Het AD liet in een nieuwsartikel over de stap van MRDM ook diverse experts op het gebied van privacy en IT-beveiliging aan het woord. Zij stellen vraagtekens bij het laten hosten van data bij een Amerikaanse aanbieder van cloudinfrastructuur.
Diverse leden van de Tweede Kamer - van D66 en de SP - toonden zich vorige week in het AD bezorgd over de stap van MRDM SP-Tweede Kamerlid Maarten Hijink vindt in ieder geval dat ook gepseudonimiseerde medische data van Nederlanders niet bij een buitenlands bedrijf opgeslagen moeten worden. Hij vraagt zich af of het niet mogelijk is dat zo'n bedrijf - in dit geval Google - zelf wellicht die data kan gebruiken, bijvoorbeeld in combinatie met andere gegevens.
‘Onduidelijkheid verontrustend’
D66-Kamerlid Kees Verhoeven noemde de onduidelijkheid over de mogelijk impact van het hosten van medische data bij Google verontrustend. "Over het EPD was een grote discussie, maar nu weten patiënten niet eens dat zo’n centrale partij veel data opslaat voor ziekenhuizen", aldus Verhoeven (invoering van een landelijk EPD werd in 2011 door de Eerste Kamer uit privacy-zorgen afgeschoten, red.). Ook stelt hij vragen bij de keuze voor een groot Amerikaanse in plaats van een Europese aanbieder van data-opslag in de cloud. Ten derde vraagt Verhoeven zich af of pseudonimiseren kan garanderen dat gegevens niet meer herleidbaar zijn.
Ziekenhuiskoepel NVZ benadrukt in een eigen reactie op alle commotie rondom MRDM dat inzicht in kwaliteit nodig is om in de Nederlandse ziekenhuizen de beste zorg aan de patiënt te blijven bieden. Hiervoor nemen ziekenhuizen deel aan in totaal ruim 100 kwaliteitsregistraties. Met de uitkomsten uit deze registraties kunnen ziekenhuizen en medisch specialisten van elkaar leren en de zorg verbeteren en kunnen patiënten beter de juiste keuzes maken.
Omdat kwaliteitsregistraties zelf geen persoonsgegevens mogen verwerken, contracteren zij voor deze taak gegevensverwerkers zoals MRDM - om de techniek te regelen en de data te bewerken. De keuze voor een gegevensverwerker ligt niet bij de ziekenhuizen, maar bij de kwaliteitsregistratie zelf. Ziekenhuizen hebben voor het aanleveren van de data een verwerkersovereenkomst met de gegevensverwerker. Hierin zijn duidelijke en scherpe eisen gesteld aan de privacy en gegevensbescherming, geheel in lijn met de vigerende wetgeving. De gegevensverwerker dient hier invulling aan te geven. In lijn met deze contracten, mogen gegevens ook opgeslagen worden in een cloud-oplossing.
Zorgen over privaat stelsel
Het opslaan van data in de cloud is volgens de NVZ in veel gevallen een veiligere oplossing ten opzichte van lokale (versnipperde) oplossingen doordat deze diensten meer kunnen investeren in veilige technieken en bewaking van data. Wel stelt de koepelorganisatie al eerder haar zorgen geuit te hebben over het private stelsel van kwaliteitsregistraties in Nederland. De NVZ meent dat het verbeteren van de kwaliteit van zorg met behulp van kwaliteitsregistraties een publieke taak hoort te zijn met een passende governance. Bij het ministerie van VWS heeft de NVZ al meerdere keren aangegeven dat het verzamelen van data voor kwaliteit een wettelijke basis moet hebben.
Google geen toegang tot data
Google heeft zelf geen toegang tot de gegevens en is daartoe wettelijk ook niet bevoegd, benadrukt MRDM ondertussen in een brief aan de Nederlandse ziekenhuizen. Google kan dus zelf niets met de gegevens doen, en de gegevens blijven in Nederland en vallen onder de Nederlandse en Europese wet- en regelgeving. Opslag bij GCP (Google Cloud Platform) is vergelijkbaar met opslag bij Microsoft (Azure) of Amazon (AWS).
In 2017 heeft de Autoriteit Persoonsgegevens een instructie gepubliceerd over het verantwoord gebruik van clouddiensten voor patientgegevens, en publiceerde het Nationaal Cyber Security Centrum (NCSC) een whitepaper over cloud-computing en security. 'De AP toetst hier niet op, maar wij hebben dit wel geïntegreerd in onze bedrijfsvoering', aldus MRDM. De dataverwerker benadrukt verder nog eens te voldoen aan alle privacy eisen en richtlijnen zoals die in de AVG opgenomen zijn.