Volledig scherm
De medische gegevens van vele honderdduizenden Nederlandse ziekenhuisbezoekers worden door commerciële bedrijven verwerkt, en zitten sinds kort zelfs in de cloud van techreus Google © Mark Reijntjens

Kabinet: medische gegevens moeten op Europese bodem blijven

De medische gegevens van Nederlandse ziekenhuisbezoekers mogen alleen onder zeer strenge voorwaarden door Amerikaanse techbedrijven worden opgeslagen. Dat adviseert het kabinet na onderzoek naar de massale opslag van patiëntgegevens bij Google, eerder dit jaar onthuld door deze site. 

De afgelopen tijd zijn de uiterst gevoelige medische gegevens van honderdduizenden Nederlanders in stilte verhuisd naar de cloud van Google. Ziekenhuizen zijn daarvan op de hoogte, maar patiënten niet. Databedrijf MRDM verwerkt deze gegevens voor talloze grote ziekenhuizen en stelde vanwege de veiligheid en capaciteit Google te hebben gekozen. Kenners en Kamerleden van oa D66 en de SP reageerden bezorgd: zij vrezen dat hackers of de Amerikaanse opsporingsdiensten ze alsnog kunnen bemachtigen. Ook zou Google de data zelf kunnen ontsleutelen.

Het kabinet reageerde ook verrast op de onthulling, minister Bruno Bruins (Medische Zorg, VVD) gaf meteen opdracht tot een onafhankelijk onderzoek naar de wenselijkheid van cloudopslag door Google en andere techbedrijven. Zojuist stuurde hij de uitkomsten naar de Tweede Kamer. In een lijvig rapport concludeert juridisch adviesbureau ICTRecht dat medische gegevens in principe wel bij Google en andere buitenlandse techbedrijven mogen worden opgeslagen, maar alleen onder stringente voorwaarden.

Zo moeten de data altijd op Nederlandse of EU-bodem blijven, zodat de strenge privacywet AVG geldt. Ook moeten de gegevens versleuteld worden vóórdat ze naar de cloud gaan. Deze regels zijn nodig omdat grote bedrijven als Google vaak onder de wetten en regels van meerdere landen opereren en dus voor dilemma's kunnen komen te staan als autoriteiten informatie vragen: ‘Dan is er de keuze om óf de AVG na te leven óf de wetgeving die verplicht tot het verstrekken van data aan autoriteiten.’

(Artikel gaat verder na de foto)

Volledig scherm
Bruno Bruins, minister voor Medische Zorg © ANP

Ook moeten de aanbieders van dataopslag rekening houden met het Nederlandse verschoningsrecht: zorgverleners kunnen niet gedwongen worden medische data te verstrekken aan derden, dat mag alleen met toestemming van de patiënt. Dit recht moet vastgelegd worden in de overeenkomsten, vinden de onderzoekers. Ook zou minister Bruins daarover afspraken moeten maken met andere landen, zodat zij ‘het recht van de Nederlandse patiënt respecteren’.

Bruins schrijft dat het kabinet alle aanbevelingen overneemt. ‘Zo worden de data beschermd tegen onrechtmatig gebruik en kan naleving van de AVG effectief worden afgedwongen. Ik zal de zorginstellingen hierop wijzen’, schrijft Bruins in een brief aan de Tweede Kamer. 

Autoriteiten

Hoewel het rapport cloudopslag door MRDM en andere partijen dus in principe goedkeurt, zien de onderzoekers nog een belangrijk risico: in het ‘Privacy Shield’-akkoord tussen de EU en VS is geregeld dat de gegevens van Europese burgers in hoge mate beschermd zijn als Amerikaanse autoriteiten ze vanwege een strafrechtelijk onderzoek opeisen. Die regeling staat echter op de tocht, waarschuwen de onderzoekers.

Er loopt een rechtszaak rond de rechtmatigheid van Privacy Shield bij het Europese Hof van Justitie. Als de rechters de bezwaren gegrond achten, vervallen deze privacy-waarborgen mogelijk. ‘Door de rechtszaak bestaat een reëel risico dat deze instrumenten binnenkort (opnieuw) herzien of vervangen zullen moeten worden.’

Weinig vertrouwen

In het rapport klinkt begrip voor de wens van zorgpartijen als MRDM door om gegevens in de cloud op te slaan. ‘De aanbieders hebben mogelijkheden voor verwerking én bescherming van medische data die door zorgpartijen niet goed zijn te evenaren. Het zo goed mogelijk beschermen van deze data is in hun bedrijfsbelang. Zij investeren daar veel in en kunnen daarbij substantiële schaalvoordelen bieden.’

Toch signaleren de onderzoekers een gebrek aan vertrouwen nu technologiebedrijven als Google en Facebook geregeld onder vuur liggen vanwege privacykwesties. ‘Nog altijd is niet iedereen overtuigd van de veiligheid van de internationale cloud voor zulke gevoelige medische data. De gestelde Kamervragen die aanleiding vormden voor dit rapport bevestigen dat ook, evenals de meningen van diverse zorgpartijen die in dit onderzoek zijn geraadpleegd. Dat raakt ook aan de wenselijkheid van de opslag van medische gegevens bij zulke aanbieders.’

Poll

Wat vind jij het belangrijkste aan een smartphone?

Wat vind jij het belangrijkste aan een smartphone?

  • De camera (15%)
  • De schermkwaliteit (12%)
  • Het gewicht (1%)
  • Het formaat (12%)
  • De snelheid (28%)
  • Veiligheid en privacy (32%)
7609 stemmen