AP wijst zorginstanties op risico's van gezondheidsgegevens in de cloud

In dit artikel:

De Autoriteit Persoonsgegevens (AP) waarschuwt dat zorginstellingen extra voorzichtig moeten zijn wanneer ze gezondheidsgegevens in de cloud opslaan. In een nieuwe praktijkgids wijst de toezichthouder erop dat dit type informatie onder de AVG bijzondere persoonsgegevens is en daarom om strikte bescherming vraagt. AP-vicevoorzitter Monique Verdier benadrukt: "Gezondheidsgegevens geven unieke inzichten in iemands lichaam, iemands leven", en zegt dat organisaties de verantwoordelijkheid voor die gegevens niet kunnen uitbesteden.

De gids behandelt onder meer de rollen van verwerkers en subverwerkers, het uitvoeren van risicoanalyses en de implicaties van het inzetten van buitenlandse cloudleveranciers. De AP waarschuwt dat veranderende geopolitieke verhoudingen het moeilijk maken om buiten de EER gevestigde leveranciers hetzelfde beschermingsniveau te laten bieden; daarom raadt zij aan goed onderzoek te doen en waar mogelijk te kiezen voor aanbieders die onder EER-wetgeving en jurisdictie vallen. Praktische aandachtspunten zijn duidelijke afspraken, risico-inventarisaties, het behoud van regie over opslaglocaties en juridische waarborgen (zoals verwerkersovereenkomsten en passende technische maatregelen).