| Ingediend | 2 april 2019 |
|---|---|
| Beantwoord | 26 april 2019 (na 24 dagen) |
| Indieners | Rens Raemakers (D66), Kees Verhoeven (D66) |
| Beantwoord door | Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD), Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD) |
| Onderwerpen | organisatie en beleid zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z06460.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20182019-2457.html |
Ja.
Nee, deze verplichting is er ook niet.
Ik hecht bij de verwerking van medische gegevens het grootste belang aan informatiebeveiliging en privacybescherming. MRDM heeft mij laten weten een uitgebreide risicoanalyse te hebben uitgevoerd voorafgaand aan het besluit over het plaatsen van de data en juist vanuit de overweging van informatiebeveiliging de keuze gemaakt te hebben voor Google Cloud Platform (GCP).
MRDM laat mij tevens weten dat de gegevens zijn opgeslagen in het datacentrum van Google in Eemshaven. De gegevens blijven daarmee in Nederland en vallen onder Nederlandse en Europese wet- en regelgeving. Vanuit de contractuele verplichtingen die MRDM met Google heeft gesloten, mag Google niet aan de data komen. Google LCC is gecertificeerd onder het EU-US Privacy Shield. De Europese Commissie met het afsluiten van het EU-US Privacy Shield-framework bedrijven in de EU een adequaat mechanisme gebracht voor naleving van de vereisten van de Europese wetten inzake gegevensbescherming die te maken hebben met de overdracht van persoonlijke gegevens van de Europese Unie naar de Verenigde Staten.
MRDM laat daarnaast weten de data dubbel te versleutelen, dus een versleuteling door Google en een eigen versleuteling, waarmee de gegevens niet toegankelijk zijn voor Google. Tenslotte is geregeld dat wanneer beheerders van Google zich vanuit beheerswerkzaamheden toegang verschaffen tot de versleutelde gegevens, MRDM daar melding van krijgt, zodat gecontroleerd kan worden dat Google zich aan wettelijke en contractuele bepalingen houdt.
De verantwoordelijkheid voor het informeren van betrokkenen over de opslag en het gebruik van data ligt bij de betrokken zorginstellingen. Zo ook het in voorkomende gevallen betrekken van de Autoriteit Persoonsgegevens (AP). Na de berichtgeving in de media inzake Medical Research Data Management heb ik contact gezocht met de AP. De AP heeft mij laten weten dat ziekenhuizen onder voorwaarden patiëntgegevens in een cloud mogen opslaan, mits voldaan wordt aan de verplichtingen van de AVG.
Ik zal onafhankelijk onderzoek laten doen naar de wenselijkheid van het gebruik van niet-Europese Cloud platforms voor het opslaan van zorgdata.
Zie antwoord vraag 3.
Zie antwoord vraag 3.
De meest gebruikte praktijk was/is een eigen (in-house) datacentrum/computer. Wij zien nu een versnelde beweging naar de Cloud, met name bij de kleinere zorgaanbieder als huisartsen, tandartsen, fysiotherapiepraktijken, etc. Een belangrijke overweging daarbij is dat deze zorgaanbieders niet de kennis en de middelen hebben om lokale opslag van patiëntgegevens goed te beveiligen. Dataopslag in de cloud komt derhalve relatief vaak voor in de zorg, juist vanwege de gevoeligheid en behoefte aan professionele informatiebeveiligings- en privacywaarborgen.