Hooghiemstra: geen zwart-wit antwoord over medische data Google Cloud

di 2 april 2019 - 15:20
Monitoren-computer-binair
Privacy
Nieuws

Volgens Theo Hooghiemstra, expert persoonsgegevensbescherming in de zorg, is er geen zwart-wit antwoord mogelijk over de vraag of de versleutelde medische data die MRDM in de Google Cloud opslaat afdoende zijn beschermd. Het gaat volgens hem het in het AD-artikel hierover niet alleen om technische informatiebeveiliging, maar vooral ook om de politieke en juridische vraag wie de werkelijke macht heeft of kan krijgen. "Als data eenmaal ergens zijn opgeslagen voor doel A, kunnen ze op termijn ook voor doel B worden gebruikt. Dat is de kern."

Hier speelt volgens Hooghiemstra de datamacht mee van Google. "Zij beschikken over zoveel expertise en data, hebben grote - commerciële - belangen en zitten echt overal, zodat ze via AI-technologie met de beschikbare data mogelijk iets kunnen of nieuwe combinaties kunnen maken." Tegelijk kan Google door haar technische expertise de in de cloud opgeslagen data juist heel goed beschermen tegen hackers, benadrukt Hooghiemstra. "In die zin is Google een goede keuze. Bovendien is er voor Google een groot zakelijk belang mee gemoeid om betrouwbaar en zorgvuldig met de tegen betaling opgeslagen versleutelde medische data om te gaan.”

Groot zakelijk belang

Er worden in het AD-artikel en andere mediaberichten vraagtekens gezet over de opslag van versleutelde medische data in Google Cloud. Onder meer over de vraag of Google die gegevens zou kunnen gebruiken. Hooghiemstra verwacht niet dat Google zelf deze versleutelde medische data die zij voor de zakelijk markt betaald opslaan zullen gaan (proberen te) ontsleutelen. Zij mogen dat bovendien ook niet op grond van de gemaakte afspraken en wet- en regelgeving. "Vanuit het verleden bekend dat Google wel aan handel deed of wilde doen met gezondheidsgegevens, maar dat betrof de particuliere markt , bijvoorbeeld via ‘gratis’ Google Health. Dat werd geen succes. Wellicht heeft Google haar lesje geleerd.”

De vraag blijft wel wat bijvoorbeeld de rol is of kan zijn van de Amerikaanse overheid. Er zijn precedenten bekend bij Apple en Microsoft waarbij onder meer het ministerie van Justitie Amerikaanse technologiebedrijven dwong om gegevens van bepaalde personen een gehele database te ontsleutelen, ook wanneer het ging om gegevens die in Europese lidstaten zijn opgeslagen. De Cloud Act, als reactie op de Patriot Act, biedt de Europese burgers geen bescherming, stelt Hooghiemstra.

"De VS vallen niet onder de AVG en worden als een land zonder passend beschermingsniveau gezien. Wat betreft de in Nederland door Google opgeslagen gegevens geldt dat gepseudonimiseerde gegevens volgens eerdere uitspraken van de AP in beginsel persoonsgegevens zijn, omdat zij weer ontsleuteld kunnen worden. Ontsleuteling is afhankelijk van wie over de sleutel kan beschikken, al dan niet via machtsuitoefening."

Constructief-kritisch

Net zoals in het oorspronkelijke AD-artikel - waar hij inhoudelijk waardering voor uitspreekt (met uitzondering van de enigszins subjectieve koppen boven het artikel) benadrukt Hooghiemstra dat MRDM voorop loopt op het gebied van gegevensbescherming en hier veel aandacht aan schenkt. De dataverwerker kan constructief met Google samenwerken, maar moet zich tegelijkertijd wel kritisch opstellen, met veel aandacht voor afspraken, toezicht, transparantie etc.

"De gegevensbescherming hoeft niet in het geding te zijn en kan informatietechnologisch juist zelfs beter zijn in de Google Cloud. Maar we kunnen er niet zeker van zijn dat de gegevens niet in verkeerde handen vallen."

Kortom, de kern is dat er onvoldoende duidelijkheid is. Hooghiemstra: "Daarom oordeel ik noch positief, noch negatief over opslag van versleutelde medische data in de Google Cloud, maar is er in ieder geval wel adequate transparantie en toezicht nodig. Het gaat immers om nationale registraties waar bijna iedereen inzit. Deze zijn weliswaar versleuteld, maar zodra het ontsleuteld zou kunnen worden, is het een niet te overzien groot datalek met een enorme maatschappelijke impact."