To Google Cloud or not to Google Cloud

Kun je zorgdata wel of niet opslaan in een niet-Europees cloudplatform?

Zijn de gevoelige, medische gegevens waar jij als zorgverlener over beschikt, eigenlijk wel veilig als je deze opslaat in een niet-Europees cloudplatform? De discussie hierover is opgelaaid naar aanleiding van de alarmerende berichtgeving in o.a. het AD (maart 2019) over de beslissing van het dataverwerkingsbedrijf Medical Research Data Management om de opslag van gegevens voortaan onder te brengen bij een Nederlands datacentrum van Google Cloud Platform.

Bovenstaande is een reëel probleem, juist omdat (vooral veel kleinere) zorgaanbieders er steeds vaker bewust voor kiezen om gevoelige patiëntgegevens niet op te slaan in het eigen computersysteem of een eigen datacenter, maar in een cloudplatform. Zij willen dat de beveiliging gewoon goed geregeld is maar aangezien het hen ontbeert aan de benodigde kennis en middelen, geven zij dit liever uit handen. Ze vertrouwen er op dat de beveiliging van de data daarmee afdoende geregeld is. Maar is dat ook echt zo?

Veel onduidelijkheid

Het grootste probleem is dat er simpelweg veel onduidelijkheid heerst. De AVG schrijft in ieder geval voor dat zorgverleners hun medische dossiers goed moeten beveiligen. Alleen bevoegde personen zouden toegang moeten krijgen tot een specifiek dossier. De zorgdata moeten bovendien worden opgeslagen in Nederland of een ander land in de Europese Economische Ruimte (EER). Hoe zit het echter als er gebruik wordt gemaakt van een niet-Europees cloudplatform? Google is een van de grootste spelers op de digitale markt, dus daar kun je simpelweg niet omheen.

De risico’s

Feit is dat Google in principe voldoet aan de eisen die er zijn voor bescherming van data van Europese burgers via het zogenaamde EU-US Privacy Shield-raamwerk, dat betrekking heeft op de overdracht van persoonlijke gegevens van de Europese Unie naar de Verenigde Staten. In het geval van Medical Research Data Management (MRDM) is het verder zo dat het gaat om versleutelde data. Het AD oppert dat het gevaar zit in enerzijds de betrokkenheid van Google als partij die zich weleens uit commerciële overwegingen toegang zou kunnen verschaffen tot de gegevens (mede in het licht van Google’s twijfelachtige reputatie op dit gebied…). Anderzijds is het de vraag in hoeverre de Amerikaanse overheid gegevens kan opvragen. Daarmee zou de privacy van honderdduizenden Nederlanders in het geding komen.

Onafhankelijk onderzoek

Niemand weet hoe het precies in elkaar zit, vandaar dat minister Bruno Bruins (Medische Zorg) een onafhankelijk onderzoek laat uitvoeren naar de wenselijkheid van het gebruik van niet-Europese cloud-platforms zoals Google Cloud voor opslag van zorgdata. De Autoriteit Persoonsgegevens onderzoekt daarnaast of de veiligheid en privacy afdoende gewaarborgd zijn, mede in het licht van de AVG.

Noch positief, noch negatief

Ook Theo Hooghiemstra, expert op het gebied van persoonsgegevens in de zorg, mengt zich in de discussie. Op de website www.icthealth.nl brengt hij in een nieuwsartikel (april 2019) naar voren dat Google juist heel goed in staat is om de in de cloud opgeslagen gegevens te beschermen omdat het bedrijf beschikt over veel technische expertise. Google zou volgens hem ook wel gek zijn om onzorgvuldig met de aan hen toevertrouwde gegevens om te gaan, aangezien ze zichzelf daarmee zakelijk gezien in de vingers zouden snijden. “We kunnen er echter niet zeker van zijn dat de gegevens niet in verkeerde handen vallen”, aldus Hooghiemstra in genoemd nieuwsartikel. En dat is omdat niet duidelijk is wie daadwerkelijk de macht heeft om zich toegang te verschaffen tot de versleutelde data. “Als data eenmaal ergens zijn opgeslagen voor doel A, kunnen ze op termijn ook voor doel B worden gebruikt. De kern is dat er onvoldoende duidelijkheid is. Daarom oordeel ik noch positief, noch negatief over opslag van versleutelde medische data in de Google Cloud. Er is in ieder geval wel adequate transparantie en toezicht nodig. Het gaat immers om nationale registraties waar bijna iedereen inzit. Deze zijn weliswaar versleuteld, maar zodra het ontsleuteld zou kunnen worden, is het een niet te overzien groot data-lek met een enorme maatschappelijke impact.”

Kortom: Het is een interessante discussie die nog geen eenduidige conclusie kent. Veel hangt af van de resultaten van genoemde onderzoeken en de ruimte die er blijft voor eigen interpretatie. Uiteraard houden we je hiervan op de hoogte. Wat we wel weten: ITPcare slaat alle zorgdata van haar klanten op in Nederlandse datacenters, waardoor wij alle discussies over veiligheid van deze data naast ons neer kunnen leggen! Wil je hier meer over weten, dan kun je altijd vrijblijvend contact met ons opnemen.

Adresgegevens


 

ITPcare

Bredaseweg 53-55

4872 LA Etten-Leur

Communicatie


 

Telefoon: 088-5551700

Fax: 084-7350100

E-mail: info@itpcare.nl

Certificeringen

ITPcare heeft alle benodigde certificeringen in de zorg; waardoor u gegarandeerd bent van een goede dienstverlening.