patiëntgegevens in de cloud

Patiëntgegevens in de cloud was afgelopen week een hot topic in de media. En terecht. Het gaat om zogenaamde bijzondere persoonsgegevens volgens de AVG. De nieuwe Algemene Verordering Gegevensbescherming. In verschillende artikelen in de media werd bezorgdheid geventileerd over het in stilte verplaatsen van honderdduizenden patiëntgegevens naar Google Cloud door het bedrijf MRDM. Zijn deze zorgen terecht? Een analyse.

Wat zeggen de media over dit geval?

Samengevat komt het erop neer dat patiëntgegevens betreffende behandelingen van honderdduizenden Nederlanders zijn verplaatst van de opslag servers van het bedrijf Medical Research Data Management (MRDM) is verplaatst naar Google Drive en dat de patiënten hier niets over zouden weten. Het zou per patiënt om wel 500 gegevens gaan. Miljarden gegevens worden gepseudonimiseerd uitgewisseld tussen 22 landelijke registratiebanken waardoor men exact kan monitoren welke instelling een aandoening het best behandelt.  

Gegevens worden versleuteld doorgestuurd aan Google

De honderdduizenden behandelgegevens worden versleuteld doorgestuurd aan Google maar volgens experts zouden deze medische gegevens relatief eenvoudig kunnen worden ontsleuteld door Amerikaanse inlichtingendiensten, hackers of Google zelf. Verder vinden experts dat Google deze gegevens makkelijk zouden kunnen herleiden naar individuen en dat de verhuizing onverstandig en riskant is.

Patiënten hebben recht op bescherming van hun gegevens

De directeur van MRDM reageert door te stellen dat zijn bedrijf niets fout doet en zich zou houden aan de Privacy-eisen. Hij stelt dat hij als dataverwerker niet verplicht is om toestemming aan patiënten hierover te vragen. Ook ziekenhuizen zouden dit niet hoeven te doen volgens de directeur. En daar gaat het dus fout. Als dataverwerker moet je je houden aan de AVG. Dit betekent dat je ten alle tijde een dergelijke majeure stap als verplaatsen van bijzondere persoonsgegevens waaronder medische gegevens vallen moet toetsen met de verwerkersverantwoordelijke. In dit geval de ziekenhuizen. Indien de ziekenhuizen in hun verwerkersovereenkomst met DRDM niet hebben aangegeven dat een dataverwerker altijd verplicht is toestemming te verkrijgen van de patiënt ergo de verantwoordelijke dan zijn met name deze verwerkers overeenkomsten niet conform de AVG. De AVG stelt namelijk dat een patiënt of betrokkene ten alle tijde recht heeft om te weten wat er met zijn/haar gegevens gebeurd en dat er (ondermeer) adequate technische en organisatorische maatregelen zijn genomen om de veiligheid van deze gegevens te waarborgen. Ook moet een ziekenhuis als verwerkersverantwoordelijke patiënten vooraf vragen om expliciete toestemming. Juist als het gaat om bijzondere persoonsgegevens.

De AVG is juist op gebied van transparantie jegens patiënten fors uitgebreidt ten opzichte van eerdere privacy wetgeving. De rechten en vrijheden van natuurlijke personen dienen niet zomaar terzijde te worden geschoven bij wat nu ogenschijnlijk lijkt op louter een technische verplaatsing van gegevens. Was dit maar zo eenvoudig.

Waterdicht contract gegevensbeveiliging

Het bedrijf MRDM beweert in het artikel van ondermeer AD waterdichte contracten te hebben voor wat betreft gegevensbeveiliging. De vraag is of dat zo is. Volgens de website van MRDM is men ISO27001 en NEN7510 gecertificeerd. Maar wanneer heeft deze certificering plaatsgevonden? Hoe vaak worden nieuwe risico’s zoals verplaatsen naar Google Drive van patiëntgegevens onder de loep genomen? Dit blijft onduidelijk.   

Ook de opmerking van de directeur van MRDM dat de gegevens in de Nederlandse Cloudregio van Google zou blijven zegt feitelijk niets voor wat betreft de veiligheid van deze gegevens.

Google dient zich te houden aan de AVG maar ook aan Amerikaanse wetgeving.

Bij Google zijn deze discussies niet nieuw. In de aanloop naar de GDPR of AVG hebben de tech giants zoals Microsoft, Google, AWS en anderen al nieuwe datacenters voor hun clouddiensten in Europa geopend. Echter dit is niet afdoende om persoonsgegevens of medische gegevens van Europeanen te beschermen. Elk Amerikaans bedrijf kan op grond van de Freedom Act, de opvolger van de Patriot Act, worden gesommeerd om persoonsgegevens te delen met de Amerikaanse overheid. Dat Google in Europa of Nederland een NL bedrijf heeft maakt niet uit. Ook een Google vestiging in Nederland valt naast de AVG onder Amerikaans recht en is daarmee verplicht om persoonsgegevens te delen wanneer daar door de Amerikaanse overheid om wordt gevraagd. Dit betekent dat er zonder een gerechtelijk bevel van de Nederlandse overheid persoonsgegevens van Nederlanders uit Nederland naar Amerika kunnen worden uitgewisseld.

Juist de mogelijkheid dat een Amerikaanse overheid persoonsgegevens, ook van Nederlanders, mag opvragen bij een Amerikaans bedrijf maakt dat veel Europese beleidsmakers wantrouwend zijn geworden en dat men liever niet heeft dat persoonsgegevens worden opgeslagen of verwerkt door een Amerikaans bedrijf. Ook veel Nederlandse bedrijven zien hier tegenop. De consument weet feitelijk weinig van deze gang van zaken. Er zijn immers weinig tot geen Europese alternatieven die zich kunnen meten met Google, Microsoft of AWS als het gaat om cloud diensten. Iedereen in Europa zit wat dit betreft in een soort spagaat. Men wil liever geen persoonsgegevens delen met een Amerikaans bedrijf maar men heeft geen keuze vanwege de dienstverlening. Deze situatie roept om een Europese Tech Giant zou je haast denken. Maar wie o wie?

Meer transparantie geeft vertrouwen

Er vanuitgaande dat het bedrijf MRDM verder rechtmatige gronden heeft op basis waarvan het medische gegevens van patiënten verwerkt doet het bedrijf er goed aan om ondanks haar rol als verwerker toch explicieter en transparanter op te treden en uitgebreidt aan te geven waar welke patiëntgegevens worden bewaard en verwerkt. Het gaat namelijk om meer dan de wet alleen. Het gaat om vertrouwen welke ziekenhuizen en patiënten moeten houden in de wijze van verwerking van patiëntgegevens door een verwerker. Het verschuilen achter de rol van verwerker conform de AVG is een zwaktebod. De wet is wat betreft de verschillende verantwoordelijkheden tussen verwerkers en verantwoordelijken dan ook aan herziening toe. Gezien het feit dat een verwerker zich hier graag achter verschuilt. Er zou wat mij betreft geen onderscheidt meer moeten zijn tussen verwerkers en verantwoordelijken als de natuurlijke persoon of patiënt als uitgangspunt wordt genomen. De rechten en vrijheiden van patiënten of natuurlijke personen horen altijd voorop te staan. De patiënten of natuurlijke personen kunnen door het onderscheidt in verantwoordelijkheid hun rechten niet doen gelden bij de verwerker en moeten er maar op vertrouwen dat de verantwoordelijke zijn/haar rechten waarborgt middels verwerkersovereenkomsten. Het enige wat een patiënt kan doen is een schade claimen bij een verwerker via een civielrechterlijke procedure indien er bijvoorbeeld datalekken zijn.

Versleuteling van Patiëntgegevens op Google Drive

Indien het bedrijf MRDM aangeeft dat men de patiëntgegevens versleuteld aanlevert aan Google Drive dan zou je mogen verwachten op grond van NEN7510 certificering dat men heeft nagedacht over welke encryptie men gebruikt en op welke wijze cryptografische sleutels worden beheerd. Gezien de bijzondere aard van de gegevens zouden deze persoonsgegevens van zware versleuteling moeten zijn voorzien. In principe zou Google niet in staat moeten zijn om deze versleuteling te omzeilen en toch de patiëntgegevens in te zien. Maar we kunnen ons beter geen illusies maken. Een tech giant heeft , al is het maar voor eigen bescherming, de beste hackers in huis en kan alles laten hacken indien nodig. Dit is een aanname. Maar het zou niemand in de cybersecurity wereld verbazen.

Wat is de waarde van Patiëntgegevens?

Tenslotte kijken we nog even naar de waarde van patiëntgegevens voor anderen dan ziekenhuizen waar deze gegevens vandaan komen.

Stel dat deze behandelgegevens van honderdduizenden Nederlanders op straat komen , lees door ongeautoriseeden kunnen worden ingezien, wat dan nog?

Als het gaat om geld verdienen aan deze gegevens dan zouden commerciële medische partijen hier baat bij hebben zoals pharmacie(verkopen van dure specialistische medicijnen), verzekeraars (weren van risicovollere patiënten) en medische technologie bedrijven (concurrentievoordeel bij ontwikkeling nieuwe medicijnen ).  

Indien de Amerikaanse overheid deze behandelgegevens in handen krijgt zouden wellicht mensen toegang tot de Verenigde Staten kunnen worden ontzegd zonder een verklaring te geven. Maar ook andere mogelijkheden zoals in de gaten houden van personen zonder dat hiervoor de Nederlandse overheid betrokken is of er duidelijk aanwijzingen bestaan voor risico’s op nationale veiligheid. Een zware inbreuk op privacy.

Maar ook: identiteitsfraude, afpersing en verzekeringsfraude zijn andere voor de hand liggende criminele verdienmodellen waar we rekening mee moeten houden.

Tot slot: Toestemming vragen aan Patiënten

Volgens de AVG moet een ieder die persoonsgegevens verwerkt toestemming vragen aan de betrokkene, in dit geval patiënten, tenzij er sprake is van een zwaarwegend belang. Dit laatste houdt in dat bij een ongeluk situatie waarbij de patiënt niet in staat is om toestemming te geven het in zijn/haar belang is om zo snel mogelijk persoonsgegevens zonder toestemming te verkrijgen. Dit zal doorgaans weinig voorkomen. Ziekenhuizen doen er goed aan hun patiënten te vragen om toestemming en vooraf transparant te informeren over wijzigingen van verwerkingen waaronder verplaatsen van persoonsgegevens valt. Want eenmalig toestemming vragen is niet voldoende indien de oorspronkelijke grond van deze toestemming wijzigt. Verplaatsen van persoonsgegevens naar een ander bedrijf is een majeure wijziging.

Patiëntgegevens in de Cloud: een analyse door P.Lofström (CIPP/E)
Tagged on: