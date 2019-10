De afgelopen tijd zijn de uiterst gevoelige medische gegevens van honderdduizenden Nederlanders in stilte verhuisd naar de cloud van Google. Ziekenhuizen zijn daarvan op de hoogte, maar patiënten niet. Databedrijf MRDM verwerkt deze gegevens voor talloze grote ziekenhuizen en stelde vanwege de veiligheid en capaciteit Google te hebben gekozen. Kenners en Kamerleden van oa D66 en de SP reageerden bezorgd: zij vrezen dat hackers of de Amerikaanse opsporingsdiensten ze alsnog kunnen bemachtigen. Ook zou Google de data zelf kunnen ontsleutelen.



Het kabinet reageerde ook verrast op de onthulling, minister Bruno Bruins (Medische Zorg, VVD) gaf meteen opdracht tot een onafhankelijk onderzoek naar de wenselijkheid van cloudopslag door Google en andere techbedrijven. Zojuist stuurde hij de uitkomsten naar de Tweede Kamer. In een lijvig rapport concludeert juridisch adviesbureau ICTRecht dat medische gegevens in principe wel bij Google en andere buitenlandse techbedrijven mogen worden opgeslagen, maar alleen onder stringente voorwaarden.



Zo moeten de data altijd op Nederlandse of EU-bodem blijven, zodat de strenge privacywet AVG geldt. Ook moeten de gegevens versleuteld worden vóórdat ze naar de cloud gaan. Deze regels zijn nodig omdat grote bedrijven als Google vaak onder de wetten en regels van meerdere landen opereren en dus voor dilemma's kunnen komen te staan als autoriteiten informatie vragen: ‘Dan is er de keuze om óf de AVG na te leven óf de wetgeving die verplicht tot het verstrekken van data aan autoriteiten.’

Ook moeten de aanbieders van dataopslag rekening houden met het Nederlandse verschoningsrecht: zorgverleners kunnen niet gedwongen worden medische data te verstrekken aan derden, dat mag alleen met toestemming van de patiënt. Dit recht moet vastgelegd worden in de overeenkomsten, vinden de onderzoekers. Ook zou minister Bruins daarover afspraken moeten maken met andere landen, zodat zij ‘het recht van de Nederlandse patiënt respecteren’.

Bruins schrijft dat het kabinet alle aanbevelingen overneemt. ‘Zo worden de data beschermd tegen onrechtmatig gebruik en kan naleving van de AVG effectief worden afgedwongen. Ik zal de zorginstellingen hierop wijzen’, schrijft Bruins in een brief aan de Tweede Kamer.



Hoewel het rapport cloudopslag door MRDM en andere partijen dus in principe goedkeurt, zien de onderzoekers nog een belangrijk risico: in het ‘Privacy Shield’-akkoord tussen de EU en VS is geregeld dat de gegevens van Europese burgers in hoge mate beschermd zijn als Amerikaanse autoriteiten ze vanwege een strafrechtelijk onderzoek opeisen. Die regeling staat echter op de tocht, waarschuwen de onderzoekers.



Er loopt een rechtszaak rond de rechtmatigheid van Privacy Shield bij het Europese Hof van Justitie. Als de rechters de bezwaren gegrond achten, vervallen deze privacy-waarborgen mogelijk. ‘Door de rechtszaak bestaat een reëel risico dat deze instrumenten binnenkort (opnieuw) herzien of vervangen zullen moeten worden.’

In het rapport klinkt begrip voor de wens van zorgpartijen als MRDM door om gegevens in de cloud op te slaan. ‘De aanbieders hebben mogelijkheden voor verwerking én bescherming van medische data die door zorgpartijen niet goed zijn te evenaren. Het zo goed mogelijk beschermen van deze data is in hun bedrijfsbelang. Zij investeren daar veel in en kunnen daarbij substantiële schaalvoordelen bieden.’