In opdracht van de minister voor Medische Zorg en Sport hebben wij recent een onderzoek uitgevoerd naar de wenselijkheid van het gebruik van cloudplatforms voor de opslag en eventuele verdere verwerking van medische data van Nederlandse patiënten. Het adviesrapport dat wij naar aanleiding van het onderzoek hebben opgeleverd aan de minister is inmiddels gepubliceerd.
De aanleiding voor het onderzoek bestond met name uit diverse nieuwsartikelen (bron 1 & 2) van het AD waarin de vraag werd opgeworpen of de opslag en verdere verwerking van medische data van Nederlandse patiënten wel veilig genoeg zou zijn in het (zakelijke) cloudplatform van Google. Ook over het door ons opgeleverde rapport heeft het AD geschreven. (Voortaan wel graag zonder cookiewall!) Hieronder volgen onze belangrijkste conclusies en adviezen.
De wens vanuit zorgpartijen om 'de cloud in' te gaan is zeer goed te begrijpen. Cloudproviders bieden in het algemeen mogelijkheden voor verwerking én bescherming van medische data die door zorgpartijen zelf niet goed zijn te evenaren. Zorgverleners en andere partijen die medische data verwerken, kunnen daar hun voordeel mee doen.
Specifiek waar het gaat om medische data gelden wel extra strenge wettelijke eisen, met name voortvloeiend uit de AVG. Zo is het verplicht om een risicoanalyse uit te voeren, contractuele afspraken te maken ter bescherming en beveiliging van de data en om aanvullende maatregelen te treffen wanneer medische data buiten de EU kan worden opgeslagen. Als de cloudprovider en afnemer beide aantoonbaar aan dit pakket eisen voldoen, wordt daarmee een hoog niveau van veiligheid gerealiseerd bij de opslag van medische data in de cloud. Om naleving van de AVG effectief af te kunnen dwingen, is wel vereist dat de cloudprovider ten minste een vestiging of opslaglocatie heeft in de EU. Bij de meest populaire cloudproviders is dit het geval. Ook vindt de nodige innovatie plaats wat betreft certificeringsmechanismes om naleving te controleren en aan te tonen. Daarbij wordt gestreefd naar controles die zo onafhankelijk, doorlopend (of frequent en onverwacht), volledig en specifiek mogelijk de naleving waarborgen, zodat het risico op niet-naleving zo ver mogelijk wordt geminimaliseerd.
Een bijzonder aspect van clouddienstverlening is dat een cloudprovider onderworpen kan zijn aan meerdere rechtsstelsels. Een Amerikaans bedrijf dat in diens datacenters in de EU medische data van Nederlanders opslaat voor een Amsterdams ziekenhuis is gehouden aan de AVG, maar ook aan bevelen van Amerikaanse autoriteiten tot inzage. Dat is bijvoorbeeld mogelijk in het kader van strafrechtelijk onderzoek en bij geheime bevelen van Amerikaanse geheime diensten. Cloudproviders kunnen in een lastige positie komen als Amerikaanse wetgeving, zoals de CLOUD Act, hen verplicht tot rechtstreekse verstrekking van persoonsgegevens van mensen in de EU, en dus niet via een rechtshulpverzoek aan de autoriteiten in het betreffende land, terwijl de AVG dat juist verbiedt. Zij moeten dan kiezen om ofwel de AVG na te leven, ofwel de Amerikaanse wetgeving. Tussen de VS en de EU wordt al onderhandeld om dit probleem op te lossen.
Ons advies aan de minister in dit kader luidt om zoveel als mogelijk te faciliteren dat afspraken met andere landen worden gemaakt, waardoor autoriteiten van die landen gehouden worden het verschoningsrecht voor medische data van Nederlandse patiënten te respecteren. Dat recht houdt in dat zorgpartijen en cloudproviders die voor hen medische data verwerken, niet gedwongen kunnen worden om dergelijke data te verstrekken. Dit is ook van belang in verband met de voorgestelde e-evidence verordening, die het in EU-verband ook mogelijk moet maken voor autoriteiten om data te vorderen zonder traditionele rechtshulpverzoeken.
Een ander belangrijk risico wordt gevormd door een rechtszaak die momenteel wordt gevoerd voor het Hof van Justitie van de EU. Daarin staan twee veelgebruikte instrumenten om doorgifte van persoonsgegevens uit de EU naar de VS te legaliseren, namelijk het Privacy Shield en de model clauses, ter discussie. Deze zouden namelijk onvoldoende werkelijke bescherming kunnen bieden tegen inzage door Amerikaanse autoriteiten. Door de rechtszaak bestaat een reëel risico dat deze instrumenten binnenkort (opnieuw) herzien of vervangen zullen moeten worden. Dit kan echter ook worden beschouwd als kans voor zowel de EU als de VS om te voorzien in privacybescherming in de VS die werkelijk gelijkwaardig is aan die in de EU.
Wanneer een cloudprovider onder de jurisdictie valt van een land waar gelijkwaardige bescherming van medische data - waaronder het (afgeleide) verschoningsrecht - niet zeker is, is het wenselijk om medische data van Nederlandse patiënten te versleutelen voordat deze worden overgedragen aan de cloudprovider.
Deze technische maatregel kan ook andere risico's verder minimaliseren. Hoe veelbelovend de hierboven al genoemde nieuwe certificeringsmechanismes ook zijn, zij zullen het risico op niet-naleving door de cloudprovider niet voor de volle 100 procent kunnen uitsluiten. Door encryptie toe te passen waarbij de sleutel altijd buiten de macht van de cloudprovider wordt gehouden, wordt technisch afgedwongen dat de cloudprovider de data zelf niet kan inzien en ook geen inzage kan verstrekken aan buitenlandse autoriteiten. Versleuteling moet wel met grote zorg en aandacht worden ingebouwd, vereist de nodige expertise en kan ook kosten, belemmeringen of andere nadelen met zich mee brengen. Voor zover zorgverleners en andere partijen hier feitelijk niet goed toe in staat zijn, luidt het advies aan de minister om hierin zoveel mogelijk faciliterend op te treden.
Een andere technische maatregel die in het bijzonder van belang is voor het beschermen van medische data bij cloudopslag, is het gebruik van twee- of meerfactorauthenticatie voor toegang. Tevens dienen er technische maatregelen getroffen te zijn om de goede werking van de toegangsbeveiliging te controleren (logging). Tot slot dient zowel het verkeer van de gebruiker naar de cloudprovider, als de opslag van medische data bij de cloudprovider zelf, versleuteld te zijn om opgeslagen medische data optimaal te kunnen beschermen.
Ondanks alle hoogstaande beveiligingsmaatregelen die de grote cloudproviders aan de dag leggen, is het vertrouwen in hen nog niet optimaal. Dat komt enerzijds doordat deze bedrijven geregeld in het nieuws zijn vanwege privacy-schendingen in hun diensten die op consumenten zijn gericht en anderzijds door het risico van toegang door buitenlandse (met name Amerikaanse) autoriteiten. Als de cloudproviders erin slagen deze legitieme zorgen beter te adresseren, kunnen zij hun positie nog verder versterken.
In deel C van ons adviesrapport doen wij een aantal aanbevelingen aan cloudproviders, (potentiële) afnemers van clouddiensten en overheden, in het kader van opslag en eventuele verdere verwerking van medische data in de cloud. Lees het adviesrapport voor deze verdere aanbevelingen!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.