Innovatie & Strategie

Privacy
Google Cloud

Medische data in Google-cloud krijgt geen AVG-onderzoek

Er komt geen privacy-onderzoek naar medische data die is overgeheveld naar Google's cloud.

Google Cloud © Google
30 september 2019

Er komt geen privacy-onderzoek naar medische data die is overgeheveld naar Google's cloud.

De Autoriteit Persoonsgegevens (AP) gaat geen extra onderzoek doen naar mogelijke overtredingen bij de opslag van medische gegevens op een cloudplatform door het bedrijf Medical Research Data Management (MRDM). De privacytoezichthouder meldt vandaag dat MRDM zich bij de opslag van persoonsgegevens die afkomstig zijn van Nederlandse ziekenhuizen aan de privacywet houdt.

Het AD meldde in maart dit jaar dat patiëntgegevens van honderdduizenden Nederlanders in stilte waren verplaatst naar de cloud van Google. Ziekenhuizen waren op de hoogte, maar patiënten wisten van niks. Privacydeskundigen en politici vroegen zich af of deze uiterst gevoelige medische data wel veilig waren. Naar aanleiding van deze kritische, publiekelijk gestelde vragen heeft de AP informatie ingewonnen bij MRDM, meldt de toezichthouder in een bericht.

"Nederlandse ziekenhuizen (verwerkingsverantwoordelijken) maken voor het verwerken van persoonsgegevens van patiënten gebruik van verwerkers. In dit geval werkt MRDM als verwerker in opdracht van een aantal Nederlandse ziekenhuizen", legt de AP uit in de verklaring. "MRDM schakelt op haar beurt een subverwerker in voor de opslag van die persoonsgegevens. Die subverwerker is een cloud platform dat buiten de EU gevestigd is. De opslag van gegevens gebeurt via de cloud. Het ‘verkennend onderzoek’ van de AP had betrekking op die laatste stap: de verwerking van patiëntgegevens in de cloud."

'Geen aanleiding'

"De functionaris gegevensbescherming van MRDM heeft in gesprek met de AP en in verschillende documenten verantwoording afgelegd over de werkwijze ten aanzien van de opslag van gegevens in de cloud." Op basis van de door MRDM verstrekte informatie ziet de Autoriteit Persoonsgegevens geen aanleiding tot het instellen van een extra onderzoek. De persoonsgegevens worden opgeslagen in Nederland, en in de contracten met het cloudplatform is gewaarborgd dat er geen internationale doorgifte is van persoonsgegevens aan landen buiten de Europese Economische Ruimte (EER). Tot de EER behoren alle EU-landen plus Liechtenstein, Noorwegen en IJsland.

Lees meer over Innovatie & Strategie OP AG Intelligence
1
Reacties
Mr A.F. le Gras 30 september 2019 18:01

Gezien de reputatie van de AP moeten we vooralsnog aannemen dat contractueel eea goed geregeld is. De vraag is echter of dat genoeg is ? Als de onderaannemer bv een Amerikaans bedrijf is , is het in beginsel verplicht gehoor te geven aan verzoeken van de Amerikaanse overheid om inzage te geven in de data. Als die data zich ook nog een keer buiten de EU bevinden, houden de contractuele verplichtingen van het bedrijf dat niet tegen. Dat het betreffende bedrijf daardoor gedwongen wordt contractbreuk te plegen is een typisch geval van "pech" voor de gedupeerden. En dus ? Niet alleen kijken naar contracten, maar dienstverleners in dit uiterst gevoelige domein graag beperken tot EU nationals met servers in de EU.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.