De Privacy Consultant
Meesters in het privacyrecht

Honderdduizenden patiëntgegevens verhuisd naar Google

03-04-2019

Minister Bruno Bruins (Zorg) wil de Autoriteit Persoonsgegevens laten onderzoeken of de medische data van honderdduizenden Nederlandse patiënten wel veilig worden bewaard. Het AD onthulde zaterdag dat ziekenhuizen sinds kort patiëntgegevens laten opslaan in de Google cloud.1

Op het eerste oogopslag lijkt dit een rare situatie te zijn. Bedrijven zoals Google en Facebook lijken de huidige problemen omtrent privacy te faciliteren.2 Deze techreuzen hebben immense hoeveelheden persoonsgegevens in hun beheer. De eerste reactie van de minister lijkt dan ook een juiste, maar hoe zit dit juridisch?

Grondslag van de verwerking

Ziekenhuizen laten de medische gegevens verwerken door het bedrijf Medical Research Data Management (MRDM). Wat MRDM precies met de gegevens doet is niet helemaal duidelijk, maar het lijkt erop dat zij op grond van deze gegevens onderzoek doen naar de kwaliteit van de zorg.

Voor het verwerken van persoonsgegevens ten behoeve van een medische behandeling is geen toestemming vereist. De grondslag van deze verwerking betreft immers de wettelijke verplichting om een dossier aan te leggen.3 Het verwerken van gegevens ten behoeve van kwaliteitsmetingen valt echter niet onder deze grondslag, maar onder de Wet kwaliteit, klachten en geschillen zorg en betreft ook een wettelijke verplichting.4

De verwerking is derhalve rechtmatig en de grondslag daarvan betreft een wettelijke verplichting.

Verwerkingsverantwoordelijke of verwerker?

MRDM verwerkt de gegevens namens de ziekenhuizen en moet in dat geval worden aangemerkt als verwerker. MRDM heeft Google in dienst genomen om de gegevens namens hen te verwerken. Google moet dan ook worden aangemerkt als (sub)verwerker. Voor het inschakelen van verwerkers is ook geen toestemming van de patiënt vereist. De verwerkingsverantwoordelijke (de ziekenhuizen) blijven verantwoordelijk om te zorgen dat de verwerkers voldoen aan de wet- en regelgeving.5

Tot zo ver nog geen probleem.

Verwerking buiten de EU?

De gegevens die MRDM door Google laat verwerken, worden misschien opgeslagen buiten de EU. Dit is zonder meer niet toegestaan.6 Er kunnen modelcontracten worden gebruikt of het derde land kan bijvoorbeeld als veilig worden aangemerkt. Google hanteert hiervoor modelcontracten.7 Daarnaast bestaat er het zogenaamde privacy shield tussen de VS en de EU, waardoor zij als veilig worden aangemerkt.8 De modelcontracten en het privacy shield zouden de nodige waarborgen bevatten tegen bijvoorbeeld inmenging van veiligheidsdiensten van de VS. Ook dit is tot zover juridisch juist.

Natuurlijk moet voor het inschakelen van verwerkers, zoals Google, natuurlijk niet alleen worden gekeken naar wat er op papier staat. Er dient een privacy impact assessment worden gehouden en in sommige gevallen is dit voorts verplicht. Hierbij dient er sterk rekening mee worden gehouden dat het privacy shield en de modelcontracten niet standhouden in de aankomende rechtszaak hierover.9

In het geval Google de gegevens buiten de EU verwerkt, dan moet voorts de patiënt hiervan op de hoogte worden gesteld.10 Aangezien dit niet het geval lijkt te zijn, kan binnen de Google cloud gekozen zijn voor het instellen van een regio waarin de gegevens worden verwerkt.11 Hierdoor kan gekozen worden om de gegevens binnen de EU te laten verwerken.

Ook dit aspect is tot dusver juridisch juist.

Rechtmatige verwerking en toch kritiek?

Op grond van het voorgaande zal de keuze voor Google juridisch wellicht kloppend zijn, maar er dient ook te worden gekeken naar de huidige stand van de zaken in de publieke opinie. Techreuzen worden steeds meer afgerekend op schimmige verwerkingen die direct de privacy van mensen raken. Daarnaast raakt men zelf steeds meer bewust van hun eigen privacy en de risico's daarvan.

Het is daarom belangrijk om bij dit soort keuzes altijd het grote plaatje in zicht te houden. Bij keuzes voor verwerkers adviseren wij om ook aandacht te besteden hoe de betrokkene en de media de keuze voor een bepaalde verwerker zal ontvangen. In dit geval dus niet goed. Daarnaast is het bij grote bedrijven zoals Google natuurlijk niet altijd even goed te controleren of hetgeen dat op papier staat, ook daadwerkelijk in de praktijk wordt uitgevoerd. Als gekozen wordt voor een bepaalde regio om de gegevens binnen Google te verwerken, hoe kan een klein Nederlands bedrijf feitelijk controleren dat deze gegevens daadwerkelijk op de gekozen locatie staan?

Met de keuze voor Google lijkt men de controle en inzicht in de gegevensverwerking uit handen te geven. De vraag is, gaat dit te ver? Hierbij moet niet alleen worden gekeken naar wat op papier staat, maar bijvoorbeeld ook worden onderzocht of het ethisch verantwoordelijk is om dergelijke techreuzen inzicht te geven in dergelijke gevoelige gegevens.

Conclusie

De keuze voor Google kan in dit geval juridisch juist zijn, maar wellicht niet voldoende naar het publiek onderbouwd. Daarnaast is het natuurlijk de vraag of deze keuze überhaupt wel voldoende naar het publiek onderbouwd kan worden.

Google kan de gegevens wellicht als geen ander zo goed technisch beveiligen en juridisch kan alles in orde zijn, de maatschappeljke omstandigheden spelen ook een grote rol. Indien het publiek Google niet voldoende kan vertrouwen op grond van het maatschappelijk debat over privacy, dan kan deze keuze wellicht de verkeerde zijn geweest. Het is dus afwachten wat de details van deze verwerking betreffen, voordat een conclusie getrokken kan worden.

 
Neem vrijblijvend contact op
Wilt uw organisatie gegevens door Google of een andere organisatie laten verwerken en heeft u hierover advies nodig? Neem dan vrijblijvend contact met ons op.

Voetnoten

  1. https://www.ad.nl/binnenland/honderdduizenden-patientgegevens-verhuisd-naar-google-kabinet-vraagt-om-onderzoek~afab53a7/.
  2. https://www.ad.nl/binnenland/big-brother-moet-dimmen-maar-hoe-beteugelen-we-facebook-en-google~a0ac2196/.
  3. Artikel 7:454 BW jo. artikel 6 lid 1 sub c AVG.
  4. Artikel 7 Wkkgz jo. artikel 6 lid 1 sub c AVG.
  5. Artikel 28 AVG.
  6. Artikel 44 AVG.
  7. https://cloud.google.com/terms/eu-model-contract-clause.
  8. https://www.privacyshield.gov/welcome.
  9. O.L. van Daalen, "Het Schrems/Facebook-arrest en de gevolgen voor internationale doorgifte", NtEr mei 2016, nr. 3, p. 79; https://tweakers.net/nieuws/137361/ierse-rechter-stuurt-vragen-over-datatransfers-in-schrems-zaak-naar-eu-hof.html.
  10. Artikel 13 lid 1 sub e, artikel 14 lid 1 sub f AVG.
  11. https://cloud.google.com/compute/docs/regions-zones/.