AP stelt vragen over opslag medische gegevens in cloud
14 oktober 2019De AVG stelt hoge eisen aan de bescherming en beveiliging van medische persoonsgegevens. Die gegevens zijn naar hun aard bijzonder en zeer gevoelig.
Een aantal Nederlandse ziekenhuizen (verwerkingsverantwoordelijken) maken voor het verwerken van medische persoonsgegevens van patiënten gebruik van verwerkers. In dit geval werkt MRDM als verwerker in opdracht van een aantal Nederlandse ziekenhuizen. MRDM schakelt op haar beurt een subverwerker in voor de opslag van die persoonsgegevens. Die subverwerker is een cloud platform dat buiten de EU gevestigd is. De opslag van gegevens gebeurt via de cloud.
De Autoriteit Persoonsgegevens (AP) heeft bij MRDM een ‘verkennend onderzoek’ gedaan dat betrekking op die laatste stap: de verwerking van patiëntgegevens in de cloud.
De functionaris gegevensbescherming (FG) van MRDM heeft in gesprek met de AP en in verschillende documenten verantwoording afgelegd over de werkwijze ten aanzien van de opslag van gegevens in de cloud. De persoonsgegevens worden opgeslagen in Nederland, in de contracten met het cloud platform is gewaarborgd dat er geen internationale doorgifte plaatsvindt van persoonsgegevens aan derde landen buiten de EER. Daarnaast heeft MRDM de AP geïnformeerd over de manier waarop de gegevens worden beveiligd. In de verstrekte informatie ziet de AP op dit moment geen aanleiding tot het instellen van een nader controlerend onderzoek.
Advies
Heeft u vragen over een privacybeleid of privacy in het algemeen? Neemt u dan contact op met een van de privacyspecialisten. Wij helpen u graag!