MRDM hoeft geen onderzoek te verwachten van de Autoriteit Persoonsgegevens (AP). Het zou gaan om overtredingen van de AVG bij de opslag van medische gegevens op een cloud platform. Het gaat om persoonsgegevens afkomstig van Nederlandse ziekenhuizen.
Over de werkwijze van de organisatie zijn publiekelijk vragen gesteld. De privacytoezichthouder heeft hierop informatie ingewonnen bij MRDM.
MRDM
Nederlandse ziekenhuizen (verwerkingsverantwoordelijken) maken voor verwerking van persoonsgegevens van patiënten gebruik van verwerkers. In dit geval werkt MRDM als verwerker in opdracht van een aantal Nederlandse ziekenhuizen.
MRDM schakelt op haar beurt een subverwerker in voor de opslag van die persoonsgegevens. Dit is een cloudplatform dat buiten de EU gevestigd is. De opslag van gegevens gebeurt via de cloud. Het ‘verkennend onderzoek’ van de AP ging over die laatste stap: verwerking van patiëntgegevens in de cloud.
Verantwoording
De functionaris gegevensbescherming van MRDM heeft in gesprek met de AP en in verschillende documenten verantwoording afgelegd. In die informatie ziet de AP op dit moment geen aanleiding tot het instellen van een nader controlerend onderzoek.
De persoonsgegevens worden opgeslagen in Nederland. In de contracten met het cloud platform is gewaarborgd dat er geen internationale doorgifte plaatsvindt van persoonsgegevens aan derde landen buiten de EU. Daarnaast heeft MRDM de AP geïnformeerd over de manier waarop de gegevens worden beveiligd.
Verkenning
De AVG stelt hoge eisen aan de bescherming en beveiliging van medische persoonsgegevens. Die zijn bijzonder en zeer gevoelig. De AP heeft vragen gesteld aan MRDM om te verkennen of er mogelijk sprake is van een overtreding van de privacywet.
Daarnaast heeft de AP verschillende verantwoordingsdocumenten opgevraagd. Iedere organisatie heeft volgens de privacywet namelijk een verantwoordingsplicht om aan te tonen dat zij voldoet aan de AVG. Organisaties moeten bijvoorbeeld kunnen aantonen op welke manier zij persoonsgegevens verwerken, welke risico’s er mogelijk zijn en hoe die worden ondervangen.
De adoptie van cloud in zorgorganisaties is intussen groot. Het overgrote deel, ruim 86%, heeft ervaring met de cloud. Cure loopt iets achter op care, waar de cloudadoptie nog hoger is.
