| Ingediend | 2 april 2019 |
|---|---|
| Beantwoord | 26 april 2019 (na 24 dagen) |
| Indiener | Maarten Hijink |
| Beantwoord door | Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD) |
| Onderwerpen | organisatie en beleid zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z06461.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20182019-2458.html |
Ja ik ken dit bericht. Nee, het was mij niet bekend.
Ik hecht bij de verwerking van medische gegevens het grootste belang aan informatiebeveiliging en privacybescherming. MRDM heeft mij laten weten een uitgebreide risicoanalyse te hebben uitgevoerd voorafgaand aan het besluit over het plaatsen van de data en juist vanuit de overweging van informatiebeveiliging de keuze gemaakt te hebben voor Google Cloud Platform (GCP).
Zoals ik reeds heb aangekondigd, zal ik onafhankelijk onderzoek laten doen naar de wenselijkheid van het gebruik van niet-Europese Cloud platforms voor het opslaan van zorgdata.
Onder de Algemene verordening gegevensbescherming (AVG) bestaat een informatieplicht; elke verwerkingsverantwoordelijke is verplicht betrokkenen waarvan persoonsgegevens worden verwerkt, duidelijk te informeren over wat er met de persoonsgegevens gedaan wordt en waarom. De ziekenhuizen zijn in deze de verwerkingsverantwoordelijken. Aan de informatieplicht wordt doorgaans invulling gegeven middels een (online) privacyverklaring. In de privacyverklaring moet onder andere de (categorieën van) ontvangers van de persoonsgegevens worden opgenomen, dat wil zeggen de verwerkers zoals MRDM. Subverwerkers worden als dusdanig niet expliciet genoemd.
Het pseudonimiseren van patiëntgegevens als enige maatregel is in het onderhavige geval niet afdoende. MRDM heeft mij laten weten dat het pseudonimiseren van persoonsgegevens één van meerdere maatregelen is die zijn genomen om de privacy van de betrokkenen te beschermen. MRDM laat weten de data ook dubbel te versleutelen, dus een versleuteling door Google en een eigen versleuteling, waarmee de gegevens niet toegankelijk zijn voor Google.
MRDM heeft mij laten weten dat de gegevens zijn opgeslagen in het datacentrum van Google in Eemshaven. De gegevens blijven daarmee in Nederland en vallen onder Nederlandse en Europese wet- en regelgeving. Vanuit de contractuele verplichtingen die MRDM met Google heeft gesloten, mag Google niet aan de data komen. Google LCC is gecertificeerd onder het EU-US Privacy Shield. De Europese Commissie heeft met het afsluiten van het EU-US Privacy Shield-framework bedrijven in de EU een mechanisme gebracht voor naleving van de vereisten van de Europese wetten inzake gegevensbescherming.
Zie antwoord vraag 4.
Het ziekenhuis is in dit geval verwerkingsverantwoordelijke in de zin van de AVG. Een verwerkingsverantwoordelijke kan een verwerker inschakelen om bepaalde verwerkingen te doen, in dit geval het bedrijf MRDM. Dat betekent dat deze verwerker in opdracht van het ziekenhuis opereert. De verwerkingsverantwoordelijke moet waarborgen dat hij met een partij in zee gaat die voldoende garanties biedt ten aanzien van passende technische en organisatorische maatregelen opdat de verwerking aan de AVG voldoet (artikel 28 AVG). Er wordt dan een verwerkingsovereenkomst gesloten waarin onder meer het onderwerp en duur van de verwerking, de aard en het doel, het soort persoonsgegevens en verplichtingen worden vastgelegd.
De verplichting voor het informeren van betrokkenen over gebruik en opslag van data ligt bij de verwerkingsverantwoordelijke, in dit geval de ziekenhuizen.
Dit oordeel is aan de Autoriteit Persoonsgegevens.
De AP heeft mij laten weten een onderzoek te zijn gestart naar de naleving van de verplichtingen die uit de AVG voortkomen bij het betreffende bedrijf.
Ik ben daarnaast voornemens een onafhankelijk onderzoek uit te laten voeren naar het gebruik van niet-Europese Cloud platforms voor het opslaan van zorgdata. Ik heb de AP verzocht aan te geven of zij mij hier advies over uit kunnen brengen. De AP heeft mij laten weten dat dit niet binnen de verantwoordelijkheden en bevoegdheden van de AP past. Ik zal hiervoor een geschikte, onafhankelijke partij benaderen.
De Cloud Act (Clarifying Lawful Overseas Use of Data Act) bevat geen bevoegdheid voor de Amerikaanse overheid tot het toegang verschaffen tot servers van bedrijven behalve indien die gegevens worden aangemerkt als elektronisch bewijs in strafzaken. Hier is een bevel nodig van een Amerikaanse rechter. In de praktijk is het nog niet voorgekomen dat Europese of Nederlandse wetgeving terzijde is geschoven.
De Raad van de EU heeft de Europese Commissie verzocht om voorbereidingen te treffen voor onderhandelingen met de VS over een verdrag naar aanleiding van de Cloud Act. Zodra de Europese Commissie een voorstel zal hebben gedaan voor een onderhandelingsmandaat zal Nederland daarover een standpunt formuleren. (Kamerstuk 32 317, nr. 526)
Ik zal onafhankelijk onderzoek laten doen naar de wenselijkheid van het gebruik van niet-Europese Cloud platforms voor het opslaan van zorgdata.
In mijn brief «Data laten werken voor gezondheid» (Kamerstuk 27 529, nr. 164) geef ik u mijn visie op de omgang met zorgdata. In deze brief heb ik op een zestal thema’s3 actielijnen geformuleerd die nu nader uitgewerkt en ingevuld worden. Aan het einde van dit jaar zal ik u informeren over de voortgang op elke van deze actielijnen.