Woordvoerder Martijn Pols van toezichthouder Autoriteit Persoonsgegevens (AP) stelt dat de organisatie als onafhankelijk bestuursorgaan uiteindelijk zelf bepaalt of een onderzoek naar eventuele privacy-gevaren voor medische data noodzakelijk is, bijvoorbeeld op basis van een melding of berichtgeving in de media.
Hij kan nu nog niet aangeven of er voldoende grond is voor zo’n onderzoek in het specifieke geval van MRDM en de opslag van medische data die het voor kwaliteitsanalyses host in Google Cloud. “Wel is het zo dat medische gegevens behoren tot een bijzondere categorie op privacy-gebied. Daarvoor ligt de lat qua eisen een stuk hoger dan bij andere persoonsgegevens.”
Pols benadrukt dat privacywet AVG een raamwerk is dat allerlei eisen en voorwaarden stelt op gebieden zoals een verwerkersovereenkomst, of een impact assessment bij plaatsing van gegevens in bijvoorbeeld een cloud-omgeving. Er is dus geen sprake van volkomen dichtgetimmerde regulering die direct duidelijk maakt of de impact van het hosten van data in een cloudopslag zoals van Google zo groot is dat dit niet is toegestaan.
Eigen verantwoordelijkheid
Pols wijst op de eigen verantwoordelijkheid van partijen zoals verwerkingsverantwoordelijken (in dit geval de ziekenhuizen) om er voor te zorgen dat de veiligheid en privacy van medische data afdoende gewaarborgd zijn in een verwerkersovereenkomst. Zoals het de verantwoordelijkheid is van een gegevensverwerker om voorafgaand goed te controleren of het in de cloud zetten van data past bij de eisen in de wet en de vertaling daarvan naar de normen zoals die gelden op NEN- en ISO-gebied (bijvoorbeeld kwaliteit informatiebeveiliging). Daarvoor zijn er duidelijk omschreven stappen, zoals het nagaan van aanvullende risico’s die kunnen ontstaan bij cloud-hosting van data.
“Het is ondoenlijk om in een wet elk detail van een verwerkersovereenkomst of contract te beschrijven, net zoals het voor ons als toezichthouder ondoenlijk is om elke overeenkomst of contract te controleren op het voldoen aan alle wettelijke eisen", benadrukt de woordvoerder. "Verantwoordelijke partijen – zoals de ziekenhuizen of een dataverwerker als MRDM zijn er verantwoordelijk voor om voorafgaand aan het sluiten van een overeenkomst te controleren of zij aan alle vereisten voldoen. Wanneer uit een risicoanalyse blijkt dat er nog aanvullende risico’s zijn, dan is er de verplichting om dat aan ons voor te leggen.”
