Medische data in Google-cloud krijgt geen AVG-onderzoek

Het AD meldde in maart dit jaar dat patiëntgegevens van honderdduizenden Nederlanders in stilte waren verplaatst naar de cloud van Google. Ziekenhuizen waren op de hoogte, maar patiënten wisten van niks. Privacydeskundigen en politici vroegen zich af of deze uiterst gevoelige medische data wel veilig waren. Naar aanleiding van deze kritische, publiekelijk gestelde vragen heeft de AP informatie ingewonnen bij MRDM, meldt de toezichthouder in een bericht.

"Nederlandse ziekenhuizen (verwerkingsverantwoordelijken) maken voor het verwerken van persoonsgegevens van patiënten gebruik van verwerkers. In dit geval werkt MRDM als verwerker in opdracht van een aantal Nederlandse ziekenhuizen", legt de AP uit in de verklaring. "MRDM schakelt op haar beurt een subverwerker in voor de opslag van die persoonsgegevens. Die subverwerker is een cloud platform dat buiten de EU gevestigd is. De opslag van gegevens gebeurt via de cloud. Het ‘verkennend onderzoek’ van de AP had betrekking op die laatste stap: de verwerking van patiëntgegevens in de cloud."

'Geen aanleiding'

"De functionaris gegevensbescherming van MRDM heeft in gesprek met de AP en in verschillende documenten verantwoording afgelegd over de werkwijze ten aanzien van de opslag van gegevens in de cloud." Op basis van de door MRDM verstrekte informatie ziet de Autoriteit Persoonsgegevens geen aanleiding tot het instellen van een extra onderzoek. De persoonsgegevens worden opgeslagen in Nederland, en in de contracten met het cloudplatform is gewaarborgd dat er geen internationale doorgifte is van persoonsgegevens aan landen buiten de Europese Economische Ruimte (EER). Tot de EER behoren alle EU-landen plus Liechtenstein, Noorwegen en IJsland.