De Autoriteit Persoonsgegevens (AP) ziet geen aanleiding voor een nader controlerend onderzoek naar eventuele overtredingen van privacy-wet AVG bij de opslag van medische gegevens in de cloud. Volgens de toezichthouder blijkt er na verkennend onderzoek geen aanleiding te zijn om te denken dat dataverwerker MRDM fouten heeft gemaakt door medische gegevens voor onder meer kwaliteitsanalyses op te slaan via Google Cloud Platform.
Over deze opslag van medische data ontstond afgelopen voorjaar veel politieke en publieke ophef over na berichtgeving van het AD. Omdat er sprake was van een buitenlands cloudplatform van een technologie-aanbieder met een twijfelachtig privacy-beleid, zou er potentieel gevaar zijn voor de privacy van betrokken Nederlanders. Minister Bruins (Medische Zorg) kondigde zelfs twee onderzoeken aan, zowel via de AP als van een nader te benoemen partij.
Opslag medische data via Google Cloud
Nederlandse ziekenhuizen (verwerkingsverantwoordelijken) maken voor het verwerken van persoonsgegevens van patiënten gebruik van verwerkers. In dit geval werkt MRDM als verwerker in opdracht van een aantal Nederlandse ziekenhuizen. MRDM schakelt op haar beurt een subverwerker in voor de opslag van die persoonsgegevens. Die subverwerker is een cloud platform dat buiten de EU gevestigd is (Google dus). De opslag van gegevens gebeurt via de cloud. Het ‘verkennend onderzoek’ van de AP had betrekking op die laatste stap: de verwerking van patiëntgegevens in de cloud.
De AP concludeert nu na het bestuderen van informatie verkregen van MRDM en andere bronnen dat er geen aanleiding is voor verder onderzoek. De persoonsgegevens worden opgeslagen in Nederland, in de contracten met het cloud platform is gewaarborgd dat er geen internationale doorgifte plaatsvindt van persoonsgegevens aan derde landen buiten de EER. Daarnaast heeft MRDM de AP geïnformeerd over de manier waarop de gegevens worden beveiligd.
