Email: info@aedoninternational.com

Het opslaan van medische data bij een cloudleverancier is veilig, zolang er aan de Algemene Verordering Gegevensbescherming (AVG) wordt voldaan en eventueel aanvullende technische en juridische maatregelen worden getroffen. Het vastleggen van de data bij een niet-EU cloudprovider, zonder vestiging of vertegenwoordiger in de EU, is echter onwenselijk. 

Dit stelt juridisch adviesbureau ICTRecht naar aanleiding van een eigen onderzoek op verzoek van minister Bruins van medische zaken naar de wenselijkheid van de opslag van medische data van Nederlandse patiënten bij niet-EU cloudproviders.

AVG cruciaal

Lees ook

De onderzoekers stellen dat het naleven van de AVG cruciaal is bij het wel of niet wenselijk zijn van het in zee gaan met een cloudprovider. ‘Als de AVG aantoonbaar wordt nageleefd, is medische data goed beveiligd. Specifiek waar het gaat om medische data, gelden extra strenge wettelijke eisen, met name voortvloeiend uit de AVG. Zo is het verplicht om een risicoanalyse uit te voeren, contractuele afspraken te maken ter bescherming en beveiliging van de data en om aanvullende maatregelen te treffen wanneer medische data buiten de EU kan worden opgeslagen’, aldus de onderzoekers.

Als de cloudprovider en afnemer beide aantoonbaar aan dit pakket eisen voldoen, wordt daarmee een hoog niveau van veiligheid gerealiseerd bij de opslag van medische data in de cloud. De rapporteurs benadrukken echter dat het essentieel is dat de cloudprovider ten minste een vestiging of opslaglocatie heeft in de EU. Dit, om de naleving van de AVG effectief af te kunnen dwingen. De AVG is immers alleen van toepassing op organisaties binnen de EU, of organisaties die zich van buiten de EU specifiek richten op personen in de EU.

Het risico van inzage door buitenlandse autoriteiten

De rapporteurs gaan ook in op het gegeven dat een cloudprovider onderworpen kan zijn aan meerdere rechtsstelsels. ‘Een Amerikaans bedrijf dat in diens datacenters in de EU medische data van Nederlanders opslaat voor een Amsterdams ziekenhuis, is gehouden aan de AVG maar ook aan bevelen van Amerikaanse autoriteiten tot inzage.’ 

In de afgelopen jaren zijn volgens de onderzoekers vele vragen gerezen over de reikwijdte van dergelijk inzagerecht van autoriteiten buiten de EU op (medische en andere) data van partijen in de EU. De AVG biedt hiervoor uitkomst, stellen de rapporteurs. ‘De AVG heeft een stevige lijn in het zand getrokken. Het is cloudproviders onder de AVG expliciet verboden om klantdata te verstrekken aan autoriteiten van een land buiten de EU, tenzij de EU of de lidstaat zelf internationale afspraken daarvoor heeft gemaakt met dat land, zoals rechtshulpverdragen waaronder rechtshulpverzoeken gedaan kunnen worden. De meest gebruikte niet-EU cloudproviders met vestiging in de EU geven allen ook aan dat zij zich zeer terughoudend opstellen ten aanzien van dergelijke verzoeken. Zij hebben beleid vastgesteld om verzoekende autoriteiten waar mogelijk door te verwijzen naar de afnemer van de clouddienst. De afnemer is immers de partij die verantwoordelijk is voor het gebruik en eventueel afstaan van de medische data.’

Samenvattend stellen de onderzoekers dat het gebruik van cloudproviders wenselijk is als de cloudprovider allereerst ten minste een vestiging of opslaglocatie in de EU heeft en ten tweede elke vestiging van de cloudprovider buiten de EU zich in een land bevindt waar medische data gelijkwaardig is beschermd als in de EU.

Aanvullende beschermingsmaatregelen

Volgens de onderzoekers zijn er nog aanvullende manieren om medische data verder te beschermen. Zo is er het (afgeleide) verschoningsrecht in de zorg. Op grond van dit in Nederland vastgelegde recht kunnen zorgverleners niet gedwongen worden tot het verstrekken van (toegang tot) medische data, behalve als de patiënt daar (in overleg met de zorgverlener) zelf toestemming voor geeft.

Technische maatregelen die zijn te nemen, zijn het versleutelen van de medische data van Nederlandse patiënten voordat deze worden overgedragen aan de cloudprovider. Een andere technische maatregel is het gebruik van twee- of meerfactorauthenticatie voor toegang. Tevens dienen er technische maatregelen getroffen te zijn om de goede werking van de toegangsbeveiliging te controleren (logging). Tot slot dient zowel het verkeer van de gebruiker naar de cloudprovider, als de opslag van medische data bij de cloudprovider zelf, versleuteld te zijn om opgeslagen medische data optimaal te kunnen beschermen.

Ruim tweehonderd wetenschappers van universiteiten in Nederland hebben zich in een open brief gekeerd tegen het bestuur van de Erasmus Universiteit.  

Dat heeft e-mails van personeelsleden laten doorzoeken door een recherchebureau. Dat gebeurde nadat in NRC een verhaal verscheen over mogelijk plagiaat van voormalig decaan Dymph van den Boom. Het bestuur probeert de bron van het verhaal te achterhalen.

,,Het besluit zorgt voor een angstcultuur op de universiteit, ondermijnt de waarde van academische vrijheid en schendt de privacy van werknemers”, stellen de wetenschappers. ,,Het betreft een buitenproportionele reactie op een mogelijk lek van informatie naar de pers.”

Felle bewoordingen

Ook de redactie van het Erasmus Magazine keurt het onderzoek in felle bewoordingen af. ‘Een heksenjacht om de identiteit van een vermoedelijk lek te onthullen. Dit ondermijnt de bronbescherming van journalisten”, schrijft de redactie in een verklaring. De redactie van het Erasmus Magazine heeft een nieuw, veilig e-mailadres in gebruik genomen. 

Het College van Bestuur zegt ‘de commotie te betreuren’ en ‘waarde te hechten aan een veilige werkomgeving waar medewerkers op een collegiale en professionele manier met elkaar omgaan’. 

“Wij zijn dit onderzoek gestart, omdat wij het een buitengewoon ernstige zaak vinden als via de media zaken worden uitgespeeld in plaats van via de geëigende procedures, waar alle ruimte voor is. We gaan er vanuit dat zodra het onderzoek is afgerond, we met elkaar verder kunnen werken aan een veilige en transparante werkomgeving.”

Bron: www.ad.nl

Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) start een nieuwe subsidieregeling om de digitale gegevensuitwisseling in de zorg te verbeteren. In totaal is negentig miljoen euro beschikbaar. De subsidieregeling met de naam InZicht bestaat vooralsnog uit twee onderdelen: de module PGO (Persoonlijke Gezondheids Omgeving) en de module eOverdracht. 

Belangstellende zorgorganisaties kunnen zich bij programmabureau InZicht melden voor een intakegesprek. Er wordt dan eerst een contextanalyse gemaakt, vervolgens kijkt men bij welk samenwerkingsverband de zorgorganisatie kan aansluiten. Als er een samenwerkingsverband en samenwerkingsovereenkomst zijn ondertekend en er een advies en een plan van aanpak zijn gemaakt, kan de projectleider een subsidieaanvraag indienen, staat in een toelichting van VWS.

In een persbericht schrijft VWS dat de regeling moet zorgen dat zorgverleners meer tijd overhouden voor directe zorg aan hun cliënten en meer regie hebben op het zorgproces voor cliënten en mantelzorgers.

‘Veel zorgverleners ervaren een hoge werkdruk door overbodige regels of ingewikkelde uitwisseling van gegevens. Een (transfer)verpleegkundige bijvoorbeeld die voor één oudere patiënt meerdere malen gegevens moet overtypen om hem of haar van ziekenhuis naar wijkverpleging over te dragen. Een wijkverpleegkundige die niet op de hoogte is van de opname in het ziekenhuis waardoor deze onnodig voor een dichte deur staat. Of de patiënt die na een heupoperatie keer op keer zijn verhaal moet doen aan verschillende zorgverleners. Met goede digitale gegevensuitwisseling is dit te verbeteren’, aldus het schrijven.

16 proeftuinen

Lees ook

VWS werkt bij het stimuleren van digitale gegevensuitwisseling nauw samen met de branche- en beroepsorganisaties ActiZ, VGN, GGZNederland, Zorgthuisnl en V&VN. Geïnteresseerde zorgaanbieders en samenwerkingsverbanden kunnen bij DUS-I een aanvraag voor de subsidieregeling InZicht indienen.

Inmiddels doen zestien samenwerkingsverbanden in de zogenoemde Proeftuinen InZicht ervaring op met het uitwisselen van gegevens binnen en buiten de langdurige zorg. Dit levert volgens VWS kennis op over mogelijke belemmeringen en welke zaken beter moeten worden geregeld. De verwachting is dat instellingen hierdoor eerder gebruik zullen maken van de regeling.

Bron: www.zorg-en-ict.nl