Reactie AD-artikel Medische data liggen bij Google

Geachte patiënt,

Adrz heeft kennis genomen van het artikel in het Algemeen Dagblad (AD) van zaterdag 30 maart 2019. Dit artikel met op de voorpagina de titel ‘Medische data liggen bij Google’ bevat een combinatie van feitelijke juistheden en suggestieve teksten. Adrz begrijpt dat dit artikel tot verontrusting bij patiënten kan leiden. Inmiddels hebben verschillende instanties (politiek, ministerie, Autoriteit Persoonsgegevens, NVZ) gereageerd op dit artikel: helaas niet op een wijze die uw mogelijke zorgen zou kunnen wegnemen.

Op uw patiëntdossier en medische gegevens is een complex geheel van wet- en regelgeving van toepassing, zoals:

  • Wet op de geneeskundige behandelovereenkomst
  • Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet AVG (UAVG) en Aanpassingswet AVG inclusief de bijbehorende Memories van Toelichting
  • Richtlijnen vanuit de EU over de AVG
  • Richtlijnen van de Autoriteit Persoonsgegevens

Adrz leeft deze wetgeving na.

In het geval van het AD-artikel is sprake van kwaliteitsregistraties. Adrz is verplicht om op grond van de Wet kwaliteit, klachten en geschillen zorg (Wgkkz) gegevens betreffende de kwaliteit van de zorg op zodanige wijze te registreren dat deze vergelijkbaar zijn met gegevens van andere zorgaanbieders. Dit vergelijken is alleen mogelijk als deze gegevens met die van andere zorgaanbieders in één kwaliteitsregistratie met één verwerker worden verwerkt. Op grond van de AVG is deze verwerking toegestaan). MRDM is één zo’n verwerker maar er zijn er meer, zowel kleiner als groot. Overigens verplichten de zorgverzekeraars en andere wetten Adrz om aan dergelijke registraties deel te nemen: het AD-artikel maakt hier ook melding van. Het uiteindelijke doel is het verbeteren van de kwaliteit van de zorg, ook uw belang.

Zoals staat aangegeven in het artikel heeft Adrz geen toestemming nodig om patiëntgegevens in de cloud te plaatsen. Dit laat onverlet dat Adrz niet zomaar gegevens in de cloud zal (laten) plaatsen. Adrz sluit altijd een verwerkersovereenkomst af met organisaties die een kwaliteitsregistratie beheren en verwerken, zoals in dit geval MRDM. In deze verwerkersovereenkomst worden afspraken vastgelegd die moeten leiden tot een passend niveau van gegevensbescherming zoals vereist in de AVG. Het MRDM beschikt over certificeringen tegen erkende normen op het gebied van informatiebeveiliging, te weten ISO27001 en NEN7510, die aantonen dat MRDM in staat is een passend beveiligingsniveau te bieden. Voorafgaand aan de aanlevering aan Adrz worden gegevens al gepseudonimiseerd zodat ze niet direct meer naar u te herleiden zijn.

Ten aanzien van de verwerking bij Google nog het volgende. Het gaat hier niet om op de consument gerichte diensten zoals de zoekmachine en Gmail die Google kan gebruiken voor eigen diensten. Het gaat hier om op de zakelijke- en overheidsmarkt gerichte professionele cloud-diensten. Deze kan en mag Google niet gebruiken voor andere diensten. In het geval van MRDM heeft MRDM daarnaast aanvullende maatregelen getroffen. De gegevens worden versleuteld opgeslagen. MRDM voert zelf het beheer over de encryptiesleutels conform standaarden in de informatiebeveiliging; Google kan niet bij deze sleutels. Als Google in de data zou kijken – wat het bedrijf niet mag – ziet het alleen maar willekeurige letters en cijfers. Daarbij zorgt Google ook voor passende beveiliging van de cloud-diensten inclusief beveiligde toegang (de staf aan informatiebeveiligingsdeskundigen is groter dan het complete personeelsbestand van Nederlandse aanbieders).

Volledigheidshalve laten wij uw weten dat u het recht heeft om bij Adrz bezwaar te maken tegen de aanlevering aan en verwerking van uw gegevens bij MRDM. In dat geval zullen uw gegevens niet langer verwerkt worden bij MRDM. Dit staat los van uw patiëntdossier zoals dat binnen Adrz verwerkt wordt.