In de nieuwe praktijkgids, een geactualiseerde en verbrede versie van een eerder document, wijst de AP zorgbestuurders op hun verantwoordelijkheid als ze zorggegevens in de cloud verwerken. “Mensen moeten erop kunnen vertrouwen dat organisaties zorgvuldig met die gegevens omgaan, ook in een digitale omgeving”, zegt Monique Verdier, voormalig zorgbestuurder en vicevoorzitter van de AP, in een toelichting. “Dat vraagt van organisaties dat zij hun verantwoordelijkheid nemen voor zorgvuldige omgang met de gezondheidsgegevens die aan hen zijn toevertrouwd, door bewuste keuzes te maken. En niet alleen omdat het moet volgens de wet, maar vooral omdat dit raakt aan privacy, autonomie en vertrouwen in de zorg.”
Zorgorganisatie verantwoordelijk
De privacy-waakhond benadrukt dat zorgorganisaties die gezondheidsgegevens in de cloud verwerken daarvoor volledig verantwoordelijk blijven. “Die verantwoordelijkheid kun je niet uitbesteden aan een cloudleverancier”, aldus Verdier. De praktijkgids geeft aanknopingspunten om die verantwoordelijkheid te nemen, door bijvoorbeeld een risicobeoordeling, een beveiligingscheck en een onderzoek naar de leverancier uit te voeren. Ook is het raadzaam vastgelegde gegevens, doeleinden, grondslagen en de wijze van verwerking volledig in kaart te brengen.
Geopolitieke verhoudingen
Opvallend is dat de AP erop wijst dat “de geopolitieke verhoudingen in een rap tempo” veranderen. “Hierdoor kunnen leveranciers die niet alleen onder de reikwijdte van de EER-wet- en regelgeving en jurisdictie vallen, verplichtingen hebben naar derde landen (landen buiten de EER) en politieke leiding daar”, staat in het document. Dat is op te vatten als een verwijzing naar de veranderde verstandhouding tot de Verenigde Staten. Daar eigent de overheid zich het recht toe data op te vragen die door bedrijven wordt verwerkt. Eerder liet het Zorginstituut al weten dat het de veiligheid van de gegevens niet kan garanderen als hun IT-partner in Amerikaanse handen valt.
Advies
Veel zorgorganisaties maken gebruik van Amerikaanse cloud-aanbieders, maar de praktijkgids moedigt aan dat te heroverwegen. In de nieuwe gids staat letterlijk: “De AP adviseert dat u in beginsel een leverancier inschakelt die niet onder de wet- en regelgeving van een derde land valt waardoor de rechten en fundamentele vrijheden van betrokkenen worden ondermijnd.”
