Patiëntgegevens in de cloud: altijd onverstandig?

Hoe zit het met zorgaanbieders die op grote schaal gezondheidsgegevens verwerken? Mogen zij hun patiëntgegevens in de cloud zetten? En zo ja, onder welke voorwaarden? In dit artikel vindt u de zaken waar rekening mee gehouden moet worden.

Bijzondere persoonsgegevens in de cloud

Steeds meer organisaties slaan hun gegevens op in de cloud. Het gebruik van cloud computing biedt namelijk vele voordelen: er hoeft geen dure hardware aangeschaft te worden en bestanden zijn overal toegankelijk. Het opslaan van gegevens in de cloud kan echter ook risico’s ten opzichte van interne opslag met zich meebrengen. Zo hebben organisaties te maken met een derde partij (de cloudprovider), waardoor gegevens kunnen worden opgeslagen buiten de EU.

 Zorgaanbieders die patiëntgegevens in de cloud willen opslaan dienen hogere beveiligingseisen te stellen (hetgeen overigens ook voor interne opslag geldt) dan bij het opslaan van gewone persoonsgegevens. De vraag die hierbij gesteld kan worden is hoe zorgaanbieders dienen om te gaan met het opslaan van patiëntgegevens in de cloud, is dit altijd onverstandig? De Autoriteit Persoonsgegevens (AP) heeft in 2017 een praktijkgids gepubliceerd over hoe zorgaanbieders veilig kunnen werken in de cloud.[1]

Richtlijnen van de Autoriteit Persoonsgegevens

De AP adviseert in haar praktijkgids het volgende:

1. Rolverdeling
De zorgaanbieder is volgens de Algemene Verordening Gegevensbescherming (AVG) verwerkingsverantwoordelijke[2]. Dit betekent dat zij de doel en middelen van de verwerking bepaalt en ook eindverantwoordelijke is. Met name als het gaat om de aansprakelijkheid is dit van belang. De cloudprovider kan als verwerker[3] of sub-verwerker aangemerkt worden. Zij verwerken ten behoeve van (namens of in opdracht van) de verwerkingsverantwoordelijke (bijzondere) persoonsgegevens. De (sub-)verwerkers volgen de instructies van de verantwoordelijke op met betrekking tot het zorgvuldig omgaan met persoonsgegevens.

2. Toestemming is niet noodzakelijk
Zowel de AVG als Wet op de geneeskundige behandelingsovereenkomst (Wgbo)[4] schrijven niet voor dat toestemming van patiënten noodzakelijk is voor het opslaan van gegevens in de cloud. Voor het inschakelen van verwerkers door de verantwoordelijke is immers geen extra grondslag nodig. De zorgaanbieder blijft ook voor het handelen van verwerkers aansprakelijk.

3. Voor een cloud buiten de EU gelden extra voorwaarden
Als cloudproviders hun servers buiten de EU hebben staan, dienen partijen te voldoen aan de voorwaarden die de AVG stelt aan doorgifte van persoonsgegevens buiten de EU.[5] In beginsel mogen er alleen persoonsgegevens worden verwerkt in landen die een adequaatheidsbesluit hebben gekregen van de Europese Commissie. Dat betekent dat een land is aangemerkt als een land waar een passend niveau (vergelijkbaar met Europa) van gegevensbescherming is. Is dit besluit er niet dan dient de zorgaanbieder passende waarborgen te treffen, zoals een modelcontract. Voor meer informatie over het adequaatheidsbesluit en passende waarborgen klik hier.

Vaak bieden cloudproviders -ook als die buiten de EU gevestigd zijn- een opslagfaciliteit aan binnen de EU. Zo staan er bijvoorbeeld servers van Google in de Groningse Eemshaven. Ondanks dat er gebruik wordt gemaakt van een Europese server betekent dit niet dat de zorgaanbieder geen rekening meer hoeft te houden met de voorwaarden van doorgifte. In het geval van Google voldoet zij aan het EU-US Privacy Shield, die geldt als adequaatheidsbesluit. De regels omtrent doorgifte kunnen dus ook gelden als de data fysiek in Europa is opgeslagen door een Amerikaans bedrijf. Echter, de kans dat er in dat geval doorgifte plaatsvindt is verwaarloosbaar. Mocht een cloudprovider zowel servers binnen als buiten de EU hebben staan dan is het belangrijk dat er goede afspraken worden gemaakt in een verwerkersovereenkomst. Er kan worden afgesproken dat gegevens alleen op servers in de EU verwerkt mogen worden.

4. Er zal een risicoanalyse uitgevoerd moeten worden
Wanneer een zorgaanbieder een cloudprovider inschakelt is het van belang dat er eerst een risicoanalyse wordt uitgevoerd. Zo kan de zorgaanbieder risico’s in kaart brengen en daarna de cloudprovider kiezen die deze risico’s het beste ondervangt. Een ISO of NEN certificaat kan al enige zekerheid bieden over de kwaliteit van de provider, waarbij het wel van belang is dat dit certificaat specifiek gaat over het beschermen van persoonsgegevens en niet over andere processen.[6]

5. Zorg dat de clouddienst voldoet aan de hoogste beveiligingsnormen
Aangezien zorgaanbieders werken met patiëntgegevens mogen persoonsgegevens alleen worden opgeslagen in de cloud als de clouddienst voldoet aan de hoogste beveiligingsnormen.[7] Zo moeten in ieder geval de volgende maatregelen worden genomen:
– Versleuteling: Gegevens dienen versleuteld te worden, zowel bij het versturen (in transit) als bij de opslag (at rest).
– Authenticatie: Er moet sprake zijn van hoogwaardige autorisatie- authenticatiemechanismen.
– Afgezonderde gegevens: De data moet volledig zijn afgezonderd van de data van andere klanten van de cloudprovider.

6. Sluit een verwerkersovereenkomst
Zoals eerder al is aangegeven is de zorgaanbieder de verantwoordelijke en de cloudprovider een (sub)verwerker. Om deze reden is het verplicht voor partijen om een verwerkersovereenkomst af te sluiten.[8] Dit is erg van belang, omdat onder andere de eerder besproken (beveiligings)maatregelen afgesproken dienen te worden in de verwerkersovereenkomst. Dit zorgt voor een goede samenwerking tussen de zorgaanbieder en de cloudprovider.

7. Hou toezicht
De zorgaanbieder (of diens verwerker) dient regelmatig te monitoren of de beveiligingsmaatregelen worden nageleefd. Wanneer er toch een datalek optreedt dient een procedure hiervoor gevolgd te worden. Dat kan inhouden dat het datalek gemeld dient te worden aan de AP.[9] Wanneer het datalek een hoog risico voor de rechten en vrijheden van patiënten vormt dienen ook zij op de hoogte gesteld te worden.[10] Meer informatie over datalekken klik hier.

 Afsluitend

Het opslaan van patiëntgegevens in de cloud kan risico’s met zich meebrengen. Om deze reden is het belangrijk dat de risico’s goed in kaart worden gebracht en worden ondervangen met passende maatregelen. De AP heeft met deze praktijkgids een aantal algemene richtlijnen willen geven voor het verwerken van patiëntgegevens in de cloud. De afweging om wel of niet gebruik te maken van de cloud zal uiteindelijk bij de zorgaanbieder zelf liggen. Het is van belang dat ook de gegevensopslag in de cloud op een veilige en transparante manier mogelijk is.

Geschreven door Tom Klatter, IT-jurist bij Privacy1.

Wilt u meer informatie over het opslaan van gegevens in de cloud? Neem dan contact op met de IT-juristen van Privacy1.

[1]https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/praktijkgids_patientgegevens_in_de_cloud_def.pdf

[2]Art. 4 lid 7 AVG

[3]Art. 4 lid 8 AVG

[4]Art. 7:457 BW

[5]Art. 44 – 49 AVG

[6]Art. 32 lid 3 jo. 42 AVG

[7]Art. 32 AVG

[8]Art. 28 lid 3 AVG

[9]Art. 33 AVG

[10]Art. 34 AVG