AP stelt geen onderzoek in naar opslag medische gegevens in cloud
De Autoriteit Persoonsgegevens (AP) ziet geen aanleiding tot het instellen van een nader controlerend onderzoek naar eventuele overtredingen van de AVG door MRDM bij de opslag van medische gegevens op een cloudplatform. Het gaat hierbij om persoonsgegevens die afkomstig zijn van Nederlandse ziekenhuizen. Over de werkwijze van de organisatie zijn publiekelijk vragen gesteld. De privacytoezichthouder heeft hierop informatie ingewonnen bij MRDM.
Nederlandse ziekenhuizen (verwerkingsverantwoordelijken) maken voor het verwerken van persoonsgegevens van patiënten gebruik van verwerkers. In dit geval werkt MRDM als verwerker in opdracht van een aantal Nederlandse ziekenhuizen.
MRDM schakelt op haar beurt een subverwerker in voor de opslag van die persoonsgegevens. Die subverwerker is een cloudplatform dat buiten de EU gevestigd is. De opslag van gegevens gebeurt via de cloud. Het ‘verkennend onderzoek’ van de AP had betrekking op die laatste stap: de verwerking van patiëntgegevens in de cloud.
Verantwoording
De functionaris gegevensbescherming van MRDM heeft in gesprek met de AP en in verschillende documenten verantwoording afgelegd over de werkwijze ten aanzien van de opslag van gegevens in de cloud. In de verstrekte informatie ziet de AP op dit moment geen aanleiding tot het instellen van een nader controlerend onderzoek.
De persoonsgegevens worden opgeslagen in Nederland, in de contracten met het cloudplatform is gewaarborgd dat er geen internationale doorgifte plaatsvindt van persoonsgegevens aan derde landen buiten de EER. Daarnaast heeft MRDM de AP geïnformeerd over de manier waarop de gegevens worden beveiligd.
Verkenning AP
De AVG stelt hoge eisen aan de bescherming en beveiliging van medische persoonsgegevens. Die gegevens zijn naar hun aard bijzonder en zeer gevoelig. De AP heeft vragen gesteld aan MRDM om te verkennen of er mogelijk sprake is van een overtreding van de privacywet.
Daarnaast heeft de AP verschillende verantwoordingsdocumenten opgevraagd. Iedere organisatie heeft volgens de privacywet namelijk een verantwoordingsplicht om aan te tonen dat zij voldoet aan de AVG. Organisaties moeten bijvoorbeeld kunnen aantonen op welke manier zij persoonsgegevens verwerken, welke risico’s er mogelijk zijn en hoe die worden ondervangen.