Advies aan minister over medische data in de cloud

medische data in de cloud brief minister tweede kamer toegestaan of niet
medische data in de cloud brief minister tweede kamer toegestaan of niet

De minister heeft recentelijk een brief gestuurd naar de Tweede Kamer over Informatieveiligheid en Privacy in de zorg. De minister wil de informatieveiligheid binnen de zorgsector naar een hoger plan tillen. In deze brief komen Z-CERT, NTA 7516bewustwording en de medische data in de cloud aan bod. Eerder heeft de minister namelijk een onderzoek laten uitvoeren naar data in de cloud. Het adviesrapport is als bijlage bij de brief gepubliceerd. Wij gaan daar kort op in.

Onderzoek en advies medische data in de cloud

Uit het onderzoek blijkt dat steeds meer zorginstellingen hun opslag uitbesteden naar de cloud. Dat is op zich niet verkeerd. De cloudaanbieders zijn gespecialiseerd in het aanbieden en beveiligen van die opslagruimte. Zij kunnen dit beter en door schaalgrootte goedkoper dan dat een zorginstelling dat kan.

De centrale vraag in het onderzoek is: is het wenselijk dat niet-EU cloudproviders worden gebruikt voor de opslag van medische data van Nederlandse patiënten? Adviesbureau ICTRecht antwoord deze vraag bevestigend, maar alleen voor zover de cloudprovider ook een vestiging in de EU heeft. (Tussen de regels door kan worden gelezen dat het hier om bijvoorbeeld Google gaat.) Anders is handhaving van de AVG niet af te dwingen, zo stelt het adviesbureau.

Opslag medische data in de cloud niet zonder risico

Bij het gebruik van een niet Europese partij met vestigingen in de EU, bestaat wel een risico. Een dergelijke partij kan namelijk klem komen zitten als de lokale autoriteiten inzage in de data eisen. Bijvoorbeeld als de overheid uit dat land inzage eist, terwijl dat op grond van de AVG niet is toegestaan. Adviesbureau ICTRecht adviseert de minister daarom om te faciliteren bij het maken van afspraken met zoveel mogelijk landen. Verder kan het zijn dat met buiten-EU partijen data wordt uitgewisseld op basis van standaardcontracten of afspraken waarover momenteel geprocedeerd wordt. Deze kunnen als ongeldig worden beoordeeld.

Verdere adviezen

In het advies wordt aangeraden om medische data te versleutelen voordat deze in de cloud wordt opgeslagen. De cloudleverancier heeft dan geen inzage in de data die wordt opgeslagen en kan deze ook niet verstrekken. Verder dient alleen toegang te worden verleend door middel van twee- of meerfactorauthenticatie. Andere maatregelen zijn logging en het versleutelen van het verkeer naar de cloudprovider.

Les voor de praktijk

Vooralsnog blijft het goed opletten bij het kiezen van een cloudleverancier. Een partij die alleen in de EU is gevestigd, is daarbij de veilige keuze. Maar ook een partij buiten de EU met een EU-vestiging mag worden gekozen. Vergeet bovendien niet om andere veiligheidsmaatregelen te treffen voor extra zekerheid.

Geef als eerste een reactie

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*