Opslag van medische gegevens in de cloud is veiliger dan opslag van gegevens op eigen servers in een kelder van een ziekenhuis. Ook kunnen zorgaanbieders meer doen met medische gegevens in een centrale cloud dan opgeslagen in een eigen IT-systeem. Toch bestaat er angst voor misbruik van dergelijke gegevens in een publieke cloud. Dat bleek eerder dit jaar toen berichtgeving over medische gegevens in Google Cloud zelfs leidde tot Kamervragen aan minister Bruins (Medische Zorg). Stephan Hadinger, cloudaanbieder AWS, probeert de noodzaak voor die angst te nuanceren en te duiden wat de voordelen van cloudgebruik voor innovatie zijn
Wie zich afvraagt of en zo ja, wat gevaren zijn van de opslag van medische gegevens in ‘de cloud’, moet goed voor ogen hebben wat de diverse niveaus van beveiliging in de cloud zijn. Maar ook wie in zo’n cloud welke verantwoordelijkheden heeft. Vooral over dat laatste bestaan veel misverstanden die onduidelijkheid over risico’s voor de privacy en misbruik van data aanwakkeren. Dat ziet Stephan Hadinger (Head of Technology) van AWS (clouddienst Amazon Web Services) regelmatig.
Een voorbeeld in Nederland (maart, april dit jaar) was de ophef naar aanleiding van een AD-artikel over hoe patiëntgegevens voor kwaliteitsonderzoek via de verantwoordelijke verwerker in een Nederlands datacentrum van Google Cloud worden opgeslagen. Zo was er vrees voor ongeoorloofde toegang door Google-werknemers, want ook Google heeft data-activiteiten op health-gebied.
AWS is echter – om mee te beginnen - een juridisch losstaande activiteit van Amazon.com, juist om op dit gebied strikte grenzen te trekken tussen de commerciële belangen van deze activiteiten. Dat maakt Amazon.com bijvoorbeeld tot een klant zoals er miljoenen andere kleine en grote klanten van AWS zijn.
“Of het nou gaat om klanten uit de zorg of de financiële sector of om intellectueel eigendom, geen enkele AWS-werknemer heeft toegang tot wat klanten in de cloud opslaan. Alleen zij hebben toegang tot bijvoorbeeld hun eigen medische data en zij bepalen het niveau van beveiliging, evenals met wie zij deze data delen”, zo stelt Hadinger.
Duidelijke grenzen
Er is een duidelijke grens tussen de security van aanbieders van clouddiensten en -infrastructuur zoals AWS en de beveiliging waarvoor gebruikers van onze diensten verantwoordelijk zijn, stelt Hadinger. “Wij leveren de fysieke beveiliging van datacentra, van de netwerken en van de fysieke bouwstenen zoals servers en routers. Onze klanten hebben de verantwoordelijkheid voor de digitale security van wat in de cloud wordt opgeslagen – systemen, toepassingen, data.”
Een goede beveiliging van het deel waarvoor AWS verantwoordelijk is, is wel de basis van de hele dienstverlening. Zonder deze beveiliging – ook op gebieden zoals back-up en disaster recovery (het terughalen van elders opgeslagen gegevens nadat deze data om wat voor reden dan ook verloren zijn gegaan) –zou de cloudgebaseerde dienstverlening van AWS veel minder waarde hebben voor klanten.
Hadinger: “We adviseren alle klanten om opgeslagen data te beveiligen met versleuteling - waar we zelf eenvoudige instrumenten voor bieden – onder meer wegens de nieuwe EU-privacyregels. Zo zorgen wij én de klant voor dat alleen zij de controle hebben over gegevens die zij zelf of via bijvoorbeeld een SaaS-provider (cloudgebaseerde toepassingen zoals een ERP, CRM of HR-oplossing, MK). Zij bepalen wie toegang heeft.”
