Er moeten internationale afspraken worden gemaakt om de gegevens van Nederlandse patiënten in de cloud beter te beveiligen. Dat staat in een rapport van adviesbureau ICTRecht, in opdracht van De minister voor Medische Zorg en Sport, dat online is verschenen.
Steeds meer Nederlandse zorginstellingen besteden de opslag en verwerking van (medische) gegevens uit door in de cloud te gaan werken, zo staat in het rapport. Het vertrouwen in de cloudproviders is echter niet optimaal. Privacyschendingen halen regelmatig het nieuws en ook buitenlandse overheden zouden de gegevens in handen kunnen krijgen, zo wordt vaak gevreesd.
Extra streng
Toch is het volgens ICTRecht niet bar en boos gesteld met de beveiliging van de gegevens. Voor medische gegevens gelden extra strenge wettelijke eisen, die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). Om die te kunnen naleven moet een cloudprovider een vestiging of opslaglocatie hebben in de EU. Bij de meest gebruikte cloudproviders is dit het geval, stelt ICTRecht vast.
Klem tussen wetten
Een juridische achilleshiel is dat wetten met elkaar in tegenspraak kunnen zijn. Bijvoorbeeld: een Amerikaans bedrijf met een datacentrum in de EU is weliswaar gebonden aan de AVG, maar ook aan Amerikaanse wetgeving. Die kan hen dwingen tot inzage in de gegevens, bijvoorbeeld bij een juridisch onderzoek of na een verzoek van een geheime dienst. Het bedrijf zit dan klem tussen twee wetten. De VS en de EU onderhandelen momenteel om dit probleem op te lossen.
Aanbevelingen
ICTRecht adviseert de minister om zoveel mogelijk afspraken te maken met andere landen, zodat het verschoningsrecht van Nederlandse patiënten gewaarborgd wordt. In het rapport van ICTRecht staan naast juridische ook technische aanbevelingen voor het in stand houden en verbeteren van de veiligheid van patiëntgegevens.
