Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

Zorg en de cloud: waar mag je medische gegevens opslaan?

Voor het opslaan en verwerken van medische gegevens worden steeds vaker cloudaanbieders als Microsoft Office 365 of Azure, Google Cloud en Amazon AWS gebruikt. Begrijpelijk, want deze cloudreuzen bieden kant-en-klare oplossingen en mogelijkheden op een zeer hoog niveau. Die kun je als zorgorganisatie zelf nooit bereiken. Maar hoe veilig zijn je medische gegevens nou écht bij zo’n grote internationale partij?

Gelukkig heeft de veelbesproken privacywet AVG op dit gebied al een heleboel risico’s afgedekt. Cloudaanbieders die medische data van een Nederlandse zorgorganisatie willen opslaan en verwerken, moeten bijvoorbeeld een vestiging of opslaglocatie in de Europese Unie hebben. Bovendien zijn zij wettelijk verplicht om aanvullende maatregelen te treffen wanneer de kans bestaat dat medische gegevens buiten de EU worden opgeslagen.

Zorgdata veilig bij Amerikaanse cloudaanbieders?

Er is dus al heel wat gedaan om de bescherming en de veiligheid van medische gegevens te waarborgen. Maar als je data opslaat bij bijvoorbeeld Microsoft of Google, loop je toch tegen een heikel punt aan. Op grond van Amerikaanse wetgeving kunnen deze cloudaanbieders door hun overheid namelijk verplicht worden om persoonsgegevens van personen uit de EU te verstrekken. Zelfs als die gegevens op servers in de EU staan. Mede op grond hiervan deed het Europees Hof van Justitie begin oktober 2021 in dit verband een duidelijke uitspraak: de Verenigde Staten bieden onvoldoende bescherming voor doorgegeven persoonsgegevens van EU-burgers.

Verplichtingen voor zorgaanbieders

Als zorgaanbieder ben jij verantwoordelijk voor de privacygevoelige informatie die je onder je hoede hebt. Er wordt dan ook verwacht dat je deze informatie goed beschermt. Een datalek kan grote gevolgen hebben voor de privacy van patiënten en cliënten. Registreer je datalekken niet en meld je dit soort lekken niet bij de Autoriteit Persoonsgegevens (en in sommige gevallen ook bij de betrokkenen), dan kan dat een flinke boete en sancties opleveren. Wanneer blijkt dat je niet alle technische en organisatorische maatregelen hebt genomen om een lek te voorkomen, kunnen sancties en boetes flink oplopen.

Zorg en informatiebeveiliging: wat kun je doen?

Je kunt allerlei maatregelen treffen om je medische gegevens beter te beschermen. Je kunt ze bijvoorbeeld versleutelen voordat je ze naar de (internationale) cloudaanbieder stuurt, maar dat kan een complexe en kostbare operatie zijn waarbij nog steeds geen garanties worden gegeven. Verder kun je – als je dat nog niet doet – kiezen voor structurele toegangscontrole (logging) en het gebruik van twee- of meer-factorauthenticatie voor toegang tot je werkomgeving.

Kies voor zekerheid

Maar je kunt er ook voor kiezen je medische gegevens niet toe te vertrouwen aan één van die giganten voor wie big data gelijk staat aan big business. Bij een private-cloudaanbieder als Previder heb je de zekerheid dat je gegevens in een Nederlands datacenter van een Nederlandse eigenaar staan en dat alleen de Nederlandse wetten en regels gelden. Daarbij is Previder ook nog een specialist die zorgorganisaties van klein tot groot een compleet IT-fundament biedt – met de aanvullende zekerheid van sectorspecifieke certificeringen, zoals NEN7510. Met deze keuze bespaar je jezelf en je zorgorganisatie dus veel kopzorgen.