Zorginstellingen die ervoor kiezen om gegevens in de cloud op te slaan moeten de informatie versleutelen voordat ze die uploaden. Hierdoor is er sprake van een dubbele versleuteling, zo stelt minister Bruins voor Medische Zorg. In april kondigde de minister een onderzoek aan naar de wenselijkheid om patiëntgegevens bij niet Europese cloudplatformen op te slaan.
Aanleiding voor het onderzoek was berichtgeving dat gegevens van honderdduizenden Nederlandse patiënten, zonder dat die dit weten of hiervoor toestemming hebben geven, bij Google zijn opgeslagen. "Uit het onderzoek dat ik heb laten verrichten, is naar voren gekomen dat het wenselijk is om gebruik te maken van een cloudprovider met een vestiging, vertegenwoordiging of opslagcapaciteit binnen de Europese Unie. Op deze cloudproviders is immers de AVG van toepassing", aldus de minister in een brief aan de Tweede Kamer.
Doordat voor deze providers de AVG geldt worden gegevens tegen onrechtmatig gebruik door de cloudprovider beschermd en kan naleving van de AVG effectief worden afgedwongen, merkt Bruins op. "Ik zal de zorginstellingen hierop wijzen en ga ervan uit dat zij voldoende maatregelen treffen in bijvoorbeeld de aanbesteding om de data alsnog goed te beschermen. Hiermee wil ik aanvullende wet- en regelgeving voor zorgaanbieders voorkomen."
De onderzoekers adviseren zorginstanties om informatie te versleutelen voordat die in de cloud wordt geplaatst, waardoor er sprake is van een dubbele versleuteling. "Ik zal het veld hierop wijzen zodat zij afspraken kunnen maken over de toepassing van deze technische maatregelen", schrijft minister Bruins, die toevoegt dat het naar een hoger plan tillen van informatieveiligheid binnen de zorgsector de komende jaren één van zijn speerpunten blijft.
Vanwege de eerder genoemde berichtgeving had de Autoriteit Persoonsgegevens aangegeven dat het een verkennend onderzoek ging doen naar eventuele overtredingen van de AVG door het bedrijf dat de data bij Google bewaarde. Op basis van gesprekken met en informatie van het bedrijf besloot de privacytoezichthouder eind september geen nader controlerend onderzoek in te stellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.