Nieuwe AP-gids: Veilig met zorgdata de cloud in
Nu medische dossiers, testresultaten en arbo-gegevens massaal naar de cloud verhuizen, waarschuwt de Autoriteit Persoonsgegevens (AP) dat organisaties de regie dreigen te verliezen. Met de publicatie van de geactualiseerde praktijkgids ‘Gezondheidsgegevens in de cloud’ herinnert de toezichthouder zorginstellingen en IT-leveranciers aan een harde waarheid: je kunt je data wel uitbesteden, maar je verantwoordelijkheid nooit.
De digitale transformatie in de zorg biedt enorme voordelen, zoals een betere uitwisseling van gegevens en efficiëntere zorgprocessen. Maar de risico's zijn minstens zo groot. Gezondheidsgegevens behoren tot de meest gevoelige informatie die er is; ze raken aan de kern van iemands privacy en autonomie.
Verbreding van de scope
De nieuwe gids is een forse update van een eerdere versie die zich puur op patiëntgegevens richtte. De AP trekt het vizier nu breder. Het gaat niet langer alleen om de arts en zijn patiënt, maar om gezondheidsdata in de breedste zin van het woord. Denk aan verzuimgegevens bij de arbodienst, resultaten van commerciële tests of data uit 'health apps' en digitale zorgplatforms.
Monique Verdier, vicevoorzitter van de AP, benadrukt dat zorgvuldigheid geen 'vinkje' op een checklist is. "Mensen moeten erop kunnen vertrouwen dat organisaties zorgvuldig met die gegevens omgaan," stelt Verdier. "Dat is niet alleen een wettelijke plicht, het is de basis van vertrouwen in de zorg."
De valkuil van de cloudleverancier
Een veelvoorkomend misverstand is dat een cloudleverancier (zoals Microsoft, Google of specialistische zorg-IT-partijen) de juridische verantwoordelijkheid overneemt. De AP is daar in de nieuwe gids glashelder over: de organisatie die de gegevens verzamelt, blijft volledig verantwoordelijk.
In de praktijk ziet de toezichthouder dat het vaak misgaat bij:
- Zicht op de keten: Onvoldoende weten welke (sub)verwerkers er bij de data kunnen.
- Locatie: Onduidelijkheid over waar de data fysiek staan opgeslagen.
- Wetgeving: Onvoldoende grip op internationale doorgifte (bijvoorbeeld naar landen buiten de EU).
Samenspel tussen AVG en NIS2
Nieuw in de gids is de aandacht voor het samenspel tussen de privacywetgeving (AVG) en de nieuwe Cyberbeveiligingswet (NIS2). Waar de AVG zich richt op de bescherming van het individu, dwingt de NIS2 organisaties om hun IT-infrastructuur technisch beter te beveiligen tegen grote aanvallen en storingen. De praktijkgids biedt handvatten om deze twee complexe wetten in samenhang toe te passen op strategisch en operationeel niveau.
Hulp bij besluitvorming
Om te voorkomen dat de gids in een la verdwijnt, heeft de AP een concreet stappenplan toegevoegd. Dit helpt bestuurders en IT-managers om vooraf de juiste vragen te stellen voordat zij een contract tekenen met een cloudpartij.
"Het gaat goed als organisaties vooraf risico’s in kaart brengen, duidelijke afspraken maken en de regie houden," aldus Verdier. De boodschap is duidelijk: innovatie in de zorg is welkom, mits de patiënt niet de prijs betaalt met zijn privacy.
Meer over Zorg
Over Witold Kepinski
