Antwoord schriftelijke vragen : Antwoord op vragen van de leden Verhoeven en Raemakers over het bericht ‘Medische gegevens duizenden Nederlanders verplaatst naar Google: 'Riskant'’

Antwoord van Minister Bruins (Medische Zorg), (ontvangen 30 april 2019)

Vraag 1

Kent u het artikel «Medische gegevens duizenden Nederlanders verplaatst naar Google:
«Riskant»»?1

Antwoord 1

Ja.

Vraag 2

Bent u van tevoren door de betrokken ziekenhuizen of het bedrijf Medical Research
Data Management op de hoogte gesteld van het verplaatsen van medische gegevens van
patiënten naar de Google Cloud?

Antwoord 2

Nee, deze verplichting is er ook niet.

Vraag 3, 4 en 5

Wat is uw mening over deze praktijk? Acht u het een veilige manier van opslaan van
medische gegevens?

Waarom zijn de patiënten niet op de hoogte gesteld van deze praktijk? Is de privacy
van de betrokken patiënten voldoende gewaarborgd? Is de Autoriteit Persoonsgegevens
op de hoogte gebracht van deze praktijk?

Klopt het dat Google niet bij de gegevens kan? Is het bekend waar de gegevens precies
worden opgeslagen? Is dat in een datacenter in Nederland? Welke wettelijke eisen zijn
daarbij van toepassing? Zijn er geen meer privacy-vriendelijke alternatieven die minder
risico’s met zich meebrengen?

Antwoord 3, 4 en 5

Ik hecht bij de verwerking van medische gegevens het grootste belang aan informatiebeveiliging
en privacybescherming. MRDM heeft mij laten weten een uitgebreide risicoanalyse te
hebben uitgevoerd voorafgaand aan het besluit over het plaatsen van de data en juist
vanuit de overweging van informatiebeveiliging de keuze gemaakt te hebben voor Google
Cloud Platform (GCP).

MRDM laat mij tevens weten dat de gegevens zijn opgeslagen in het datacentrum van
Google in Eemshaven. De gegevens blijven daarmee in Nederland en vallen onder Nederlandse
en Europese wet- en regelgeving. Vanuit de contractuele verplichtingen die MRDM met
Google heeft gesloten, mag Google niet aan de data komen. Google LCC is gecertificeerd
onder het EU-US Privacy Shield. De Europese Commissie met het afsluiten van het EU-US Privacy Shield-framework bedrijven in de EU een adequaat mechanisme gebracht voor naleving van de vereisten
van de Europese wetten inzake gegevensbescherming die te maken hebben met de overdracht
van persoonlijke gegevens van de Europese Unie naar de Verenigde Staten.

MRDM laat daarnaast weten de data dubbel te versleutelen, dus een versleuteling door
Google en een eigen versleuteling, waarmee de gegevens niet toegankelijk zijn voor
Google. Tenslotte is geregeld dat wanneer beheerders van Google zich vanuit beheerswerkzaamheden
toegang verschaffen tot de versleutelde gegevens, MRDM daar melding van krijgt, zodat
gecontroleerd kan worden dat Google zich aan wettelijke en contractuele bepalingen
houdt.

De verantwoordelijkheid voor het informeren van betrokkenen over de opslag en het
gebruik van data ligt bij de betrokken zorginstellingen. Zo ook het in voorkomende
gevallen betrekken van de Autoriteit Persoonsgegevens (AP). Na de berichtgeving in
de media inzake Medical Research Data Management heb ik contact gezocht met de AP.
De AP heeft mij laten weten dat ziekenhuizen onder voorwaarden patiëntgegevens in
een cloud mogen opslaan, mits voldaan wordt aan de verplichtingen van de AVG.

Ik zal onafhankelijk onderzoek laten doen naar de wenselijkheid van het gebruik van
niet-Europese Cloud platforms voor het opslaan van zorgdata.

Vraag 6

Wat zijn onder zorgaanbieders de meest gebruikte praktijken van opslag van medische
gegevens van patiënten en welke risico’s op het gebied van cyberveiligheid en privacy
brengen die verschillende methodes met zich mee?

Antwoord 6

De meest gebruikte praktijk was/is een eigen (in-house) datacentrum/computer. Wij
zien nu een versnelde beweging naar de Cloud, met name bij de kleinere zorgaanbieder
als huisartsen, tandartsen, fysiotherapiepraktijken, etc. Een belangrijke overweging
daarbij is dat deze zorgaanbieders niet de kennis en de middelen hebben om lokale
opslag van patiëntgegevens goed te beveiligen. Dataopslag in de cloud komt derhalve
relatief vaak voor in de zorg, juist vanwege de gevoeligheid en behoefte aan professionele
informatiebeveiligings- en privacywaarborgen.