Bron: AD.nl
Patiëntgegevens van honderdduizenden Nederlanders zijn in stilte verplaatst naar de cloud van Google, blijkt uit onderzoek van het AD. Ziekenhuizen zijn op de hoogte, maar patiënten weten van niks. Privacydeskundigen en politici vrezen voor de veiligheid van deze uiterst gevoelige medische data.
De behandelgegevens van honderdduizenden Nederlanders met kanker, diabetes, parkinson en andere veelvoorkomende aandoeningen belanden tegenwoordig in de Google Cloud. De patiënten zelf weten daar niets van. Met toestemming van ziekenhuizen slaat het commerciële bedrijf Medical Research Data Management (MRDM) deze data nu op bij de Amerikaanse techgigant.
MRDM uit Deventer ontvangt de behandelinformatie rechtstreeks uit de door ziekenhuizen bijgehouden patiëntendossiers. Per patiënt betreft het soms wel vijfhonderd gegevens: van medicatie en complicaties tot opnameduur en ingrepen. Die miljarden gegevens worden versleuteld (‘gepseudonimiseerd’) doorgestuurd naar 22 landelijke registratiebanken. Zo valt ook exact te monitoren welke instelling een aandoening het best behandelt.
Riskant
Hoewel de patiëntdata dus versleuteld worden doorgestuurd naar Google, zijn privacyexperts en politici kritisch. Ze vrezen dat de medische gegevens relatief eenvoudig zijn te ontsleutelen, bijvoorbeeld door Amerikaanse inlichtingendiensten, hackers of Google zelf.
,,Voor een gigant als Google, die al zo veel andere data van mensen bezit, is het technisch vaak een fluitje van een cent om deze gepseudonimiseerde data toch naar een persoon te herleiden’’, zegt Guido van ’t Noordende, deskundige op het gebied van het elektronisch patientendossier. Belangenclub Privacy First vindt de verhuizing naar de cloud ‘onverstandig en riskant’: ,,Eenmaal weg is weg.” Ict-expert Brenno de Winter noemt de cloudgang ‘buitengewoon zorgwekkend’.
Privacy-eisen
Tweede Kamerleden zijn bezorgd, D66 en de SP willen uitleg van het kabinet. D66-Kamerlid Kees Verhoeven: ,,De schimmige onbekendheid is verontrustend.” Verhoeven wil dat de Autoriteit Persoonsgegevens de gang van zaken toetst: ,,Is dit allemaal AVG-proof?’’ Ook andere experts pleiten daarvoor.
MRDM stelt niks fout te doen en aan alle wettelijke en privacy-eisen te voldoen. De dataverwerker is volgens directeur Paul Crauwels niet verplicht toestemming te vragen aan patiënten óf om hen te informeren. Ook ziekenhuizen hoeven dit niet. Hij zegt dat er een ‘waterdicht contract ligt’ over de gegevensbeveiliging. ,,Google doet niks met de data, de gegevens blijven ook in de Nederlandse ‘cloudregio’.”
Volgens de MRDM-directeur is Google juist gekozen vanwege het hoge beveiligingsniveau. Een groot datacenter geldt onder ict-deskundigen als veiliger dan lokale opslag op meerdere locaties.
Google benadrukt dat de data versleuteld worden en dat het bedrijf zelf de gegevens ‘niet kan inzien of analyseren’. ,,Klanten houden volledige controle over hun eigen data.”
Bron: AD.nl