Nieuws
image

AP wijst zorginstanties op risico's van gezondheidsgegevens in de cloud

maandag 23 maart 2026, 11:46 door Redactie, 3 reacties

Zorginstanties die gezondheidsgegevens opslaan in de cloud moeten rekening houden met de risico's die hierbij komen kijken, zo stelt de Autoriteit Persoonsgegevens (AP). Volgens de privacytoezichthouder maken steeds meer organisaties gebruik van cloudoplossingen voor het verwerken van gezondheidsgegevens. Dit soort gegevens zijn echter bijzondere persoonsgegevens waarmee zorgvuldig moet worden omgegaan. Daarnaast is het gebruik van de cloud niet zonder risico's, aldus de AP in een nieuwe praktijkgids voor zorginstanties.

"Gezondheidsgegevens geven unieke inzichten in iemands lichaam, iemands leven. Mensen moeten erop kunnen vertrouwen dat organisaties zorgvuldig met die gegevens omgaan, ook in een digitale omgeving", zegt AP-vicevoorzitter Monique Verdier. Ze voegt toe dat organisaties hun verantwoordelijkheid moeten nemen voor het zorgvuldig omgaan met de gezondheidsgegevens die aan hen zijn toevertrouwd. "En niet alleen omdat het moet volgens de wet, maar vooral omdat dit raakt aan privacy, autonomie en vertrouwen in de zorg."

In de praktijkgids behandelt de Autoriteit Persoonsgegevens verschillende onderwerpen, zoals de rol van verwerkers en subverwerkers, het uitvoeren van risicoanalyses en het gebruik van buitenlandse cloudproviders. De AP merkt op dat geopolitieke verhoudingen in een rap tempo veranderen, waardoor leveranciers die niet onder Europese wetgeving en jurisdictie vallen, verplichtingen hebben aan derde landen en de autoriteiten daar.

"Dit maakt het bieden van het op grond van de AVG vereiste, gelijkwaardige beschermingsniveau voor bijzondere persoonsgegevens, zoals gezondheidsgegevens, erg lastig. Het is belangrijk dat u vanwege deze risico’s genoeg onderzoek doet naar passende cloudleveranciers. En dat u overweegt om de aan u toevertrouwde gezondheidsgegevens slechts te laten verwerken door leveranciers die alleen onder de EER-wet- en regelgeving en jurisdictie vallen", legt de toezichthouder uit.

Verder stelt Verdier dat organisaties die gezondheidsgegevens in de cloud verwerken daarvoor zelf volledig verantwoordelijk blijven. "Die verantwoordelijkheid kun je niet uitbesteden aan een cloudleverancier. In de praktijk zien we dat het misgaat als er onvoldoende zicht is op waar gegevens worden opgeslagen, welke partijen erbij betrokken zijn of onder welke wetgeving die verwerking valt. Het gaat goed als organisaties vooraf risico’s in kaart brengen, duidelijke afspraken maken en de regie houden over de aan hen toevertrouwde gegevens."

Reacties (3)
Reageer met quote
Vandaag, 14:16 door Anoniem
Simpel... persoonsgegevens kunnen NOOIT in een Amerikaanse, Chineese of Russische cloud gehost worden.
Geen 'de hond heeft mijn cobol programmeur opgegeten' excuus of 'mijn 30 jaar oude platform kan nu ECHT niet meer, dus ik moest wel alles op het ontbijtbordje van Trump leggen'... Als je 30 jaar oude software gebruikt dan heb je al 25 jaar liggen slapen. Klaar, geen mits, geen maar... geen 'het is complex' of 'er veranderen elke keer wat dingen'...

Dat is software, dat is hoe de wereld werkt. Geen gezeik meer, blijf geen digi-baby.. gewoon eens volwassen worden of kappen met automatisering als je na 30 jaar klooien nog steeds geen baard in de keel hebt.

Ongeacht of het nu AVG is, voor persoongegevens, medische gegevens had je altijd al zorgplicht. punt,period, zappa... klaar.
De tijd dat je moeder met 8 krassen op papier zei 'ow, wat kan jij goed tekenen' ligt echt ergens in 1980...
Reageer met quote
Vandaag, 14:33 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: Vandaag, 14:44
"Gezondheidsgegevens geven unieke inzichten in iemands lichaam, iemands leven. Mensen moeten erop kunnen vertrouwen dat organisaties zorgvuldig met die gegevens omgaan, ook in een digitale omgeving", zegt AP-vicevoorzitter Monique Verdier. Ze voegt toe dat organisaties hun verantwoordelijkheid moeten nemen voor het zorgvuldig omgaan met de gezondheidsgegevens die aan hen zijn toevertrouwd. "En niet alleen omdat het moet volgens de wet, maar vooral omdat dit raakt aan privacy, autonomie en vertrouwen in de zorg."

Ja, maar waarom zegt de AP-vicevoorzitter dan niet ook meteen dat zorgverleners zich moeten houden aan hun beroepsgeheim en dus niet zonder vrijwillige, geïnformeerde toestemming van de cliënt/patiënt persoonsgegevens mogen doorgeven aan anderen (inclusief beheerders van digitale systemen) dan de behandelaars met wie de cliënt/patiënt daadwerkelijk een behandelovereenkomst is aangegaan?

Als het beroepsgeheim en de medische ethiek de afgelopen vijftien jaar waren gerespecteerd, dan was deze problematiek nooit zo slecht beheersbaar geworden.

Nu, driekwart jaar na het datalek bij het lab Clinical Diagnostics (eigendom van de multinational Eurofins), waarbij medische en andere persoonsgegevens van meer dan 850.000 vrouwen werden gelekt, komt de AP met wat halfzacht advies.

Dit had de AP al meer dan tien jaar geleden kunnen doen. Dat weet ik, want ik heb mijn toenmalige huisarts er destijds al over proberen aan te spreken. Als ik toen had kunnen verwijzen naar een krachtige stellingname van de AP, dan had die huisarts mijn zorgen hierover niet zo makkelijk weg kunnen wimpelen en mij ook niet zo makkelijk voor het blok kunnen zetten: accepteer maar dat ik jou medische gegevens in de cloud gooi of vertrek uit mijn praktijk.

Het gezegde luidt: "Beter laat dan nooit."

Maar er zijn in de tussentijd al veel onherstelbare dingen gebeurd en voldongen feiten geschapen. Met "dank" aan de AP die het al die tijd heeft gedoogd en artsen die massaal wegkeken en hun medische ethiek aan de wilgen hingen.

M.J.
Reageer met quote
Vandaag, 16:14 door Anoniem
Die risico's interesseren de zorginstanties toch geen hout?
Het gaat maar om burgers en al dat privacy gedoe is maar lastig. Met je p*ten van andermans data afblijven trouwens ook. EPD. LSP. EHDS.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search