De Autoriteit Persoonsgegevens (AP) gaat geen nader controlerend onderzoek instellen naar eventuele overtredingen van de privacywet AVG door dataverwerker MRDM bij de opslag van medische gegevens op het Google Cloud-platform. De AP stelt dat het hiertoe geen aanleiding ziet. De reden om een dergelijk onderzoek te overwegen was de vraag of medische data veilig zijn op een cloud-platform.
Het Algemeen Dagblad kwam eind maart met een artikel over het verplaatsen van medische data voor analytische doeleinden door het bedrijf Medical Research Data Management (MRDM) naar een Nederlands datacentrum van Google Cloud Platform. Het gaat hierbij om persoonsgegevens die afkomstig zijn van Nederlandse ziekenhuizen, data die onder meer voor kwaliteitsdoeleinden gebruikt worden. Gezien de wijze waarop technologie- en internetbedrijven met de privacy van mensen omgaan, zou dit een potentieel privacy-gevaar zijn, aldus het AD.
Heftige discussie
Er ontstond vervolgens een heftige discussie, onder meer in de politiek. Minister Bruins (Medische Zorg) kondigde aan dat hij de AP wilde laten onderzoeken of de veiligheid en privacy van medische data in de Google Cloud afdoende gewaarborgd zijn. Ook zou er een apart, onafhankelijk onderzoek moeten komen. De AP gaf destijds al tegenover ICT&health aan niet zeker te weten of er wel een onderzoek nodig zou zijn. Over het tweede onderzoek is overigens nog niets nieuws bekend.
De privacytoezichthouder stelt nu voor zijn verkennende onderzoek informatie ingewonnen te hebben bij MRDM. Nederlandse ziekenhuizen (verwerkingsverantwoordelijken) maken voor het verwerken van persoonsgegevens van patiënten gebruik van verwerkers. In dit geval werkt MRDM als verwerker in opdracht van een aantal Nederlandse ziekenhuizen. MRDM schakelt op haar beurt een subverwerker in voor de opslag van die persoonsgegevens. Die subverwerker is ‘een cloud-platform dat buiten de EU gevestigd is’ (Google Cloud, met een in Nederland gevestigd datacentrum). De opslag van gegevens gebeurt via de cloud.
Het ‘verkennend onderzoek’ van de AP had betrekking op die laatste stap: de verwerking van patiëntgegevens in de cloud. De functionaris gegevensbescherming van MRDM heeft in gesprek met de AP en in verschillende documenten verantwoording afgelegd over de werkwijze ten aanzien van de opslag van gegevens in de cloud.
Geen aanleiding nader onderzoek
In de verstrekte informatie ziet de AP op dit moment geen aanleiding tot het instellen van een nader controlerend onderzoek. De persoonsgegevens worden opgeslagen in Nederland, in de contracten met het cloud-platform is gewaarborgd dat er geen internationale doorgifte plaatsvindt van persoonsgegevens aan derde landen buiten de EER. Daarnaast heeft MRDM de AP geïnformeerd over de manier waarop de gegevens worden beveiligd.
De AVG stelt hoge eisen aan de bescherming en beveiliging van medische persoonsgegevens, benadrukt de AP. Die gegevens zijn naar hun aard bijzonder en zeer gevoelig. De AP heeft vragen gesteld aan MRDM om te verkennen of er mogelijk sprake is van een overtreding van de privacywet. Daarnaast heeft de AP verschillende verantwoordingsdocumenten opgevraagd. Iedere organisatie heeft volgens de privacywet namelijk een verantwoordingsplicht om aan te tonen dat zij voldoet aan de AVG. Organisaties moeten bijvoorbeeld kunnen aantonen op welke manier zij persoonsgegevens verwerken, welke risico’s er mogelijk zijn en hoe die worden ondervangen.
Geen zwart-wit antwoord
Volgens Theo Hooghiemstra, expert persoonsgegevensbescherming in de zorg, is er geen zwart-wit antwoord mogelijk over de vraag of de versleutelde medische data die MRDM in de Google Cloud opslaat, afdoende zijn beschermd. Het ging volgens hem het in het AD-artikel hierover niet alleen om technische informatiebeveiliging, maar vooral ook om de politieke en juridische vraag wie de werkelijke macht heeft of kan krijgen over gegevens.