Drie Britse non-gouvernementele organisaties (ngo's) hebben een klacht bij de privacytoezichthouder in Groot-Brittannië ingediend over het feit dat een consultantbureau 10 jaar aan Britse patiëntgegevens naar de Google Cloud heeft geüpload. Daardoor zouden verschillende wetten zijn overtreden, aldus de ngo's.

Het ging in totaal om 27 dvd's aan gezondheidsdata, wat twee weken duurde om te uploaden. De gegevens werden voor een data-analyseproject gebruikt, waarbij het Informatiecentrum van de National Health Service een overeenkomst met het consultantbureau had gesloten om de patiëntgegevens onder bepaalde voorwaarden te delen. Zo zou er zijn afgesproken dat Google-personeel geen toegang tot de gegevens zou krijgen, maar is het onduidelijk of Google dit ook heeft gegarandeerd.

De bekendmaking van het uploaden van de gezondheidsgegevens naar in een Amerika gebaseerde clouddienst zorgde voor ophef in het Britse Parlement. Het Britse Ministerie van Gezondheid probeerde zich volgens de ngo's ervan af te maken door te beweren dat de data gepseudonimiseerd was. In andere EU-landen zijn dit soort uploads echter verboden.

Volgens de drie ngo's moeten persoonlijke gezondheidsgegevens niet met derde partijen worden gedeeld, behalve in zeer uitzonderlijke omstandigheden. Ze hebben de Britse Information Commissioner (ICO) dan ook gevraagd het voorval te onderzoeken en hebben een aantal vragen opgesteld die de ICO kan stellen, zoals welke garanties er zijn dat derden geen toegang tot de data krijgen en of de privacyrisico's van tevoren in kaart zijn gebracht.