Over cybersecurity en cloud-opslag

Posted on 23-10-2019 in Actueel, ICT, Nieuws

Het leidt geen twijfel: medische data zijn gevoelige persoonsgegevens waarmee zorgvuldig moet worden omgegaan. Desondanks zijn er regelmatig datalekken. In hoeverre zijn medische gegevens veilig opgeslagen in de digitale wereld? En hoe gaan grote spelers als Google en Amazon om met de data in de cloud? Ontstaat er ooit een wolkbreuk aan gegevens? Minister Bruno Bruins heeft een brief naar de Tweede Kamer gestuurd over informatieveiligheid en privacy in de zorg. 

Zijn brief is grotendeels gebaseerd op het advies opslag medische data in de cloud van het zorgrecht gespecialiseerde juridisch adviesbedrijf ICTRecht. Dit vormt dan ook de bijlage van de brief van minister Bruins aan de Tweede Kamer.

In de cloud
Steeds meer medische data van Nederlandse patiënten worden opgeslagen in ‘de cloud’. Dat lijkt een abstract technisch concept, maar het gaat gewoon om het uitbesteden van opslag, rekenkracht en doorgifte van data aan een gespecialiseerd bedrijf: een cloudprovider. Veel cloudproviders hebben een vestiging of in de Verenigde Staten of in andere landen buiten de EU. Bij medische data gelden extra strenge wettelijke eisen, met name voortvloeiend uit de AVG. Om naleving van de AVG effectief te kunnen afdwingen, is vereist dat de cloudprovider ten minste een vestiging of opslaglocatie heeft in de EU. Gebruik van een niet-EU cloudprovider die geheel geen vestiging, vertegenwoordiger of opslagcapaciteit heeft in de EU, is daarom niet wenselijk.

Google, Amazon en Microsoft
ICTRecht noemt een groot aantal maatregelen om te waarborgen dat de opslag van medische gegevens bij Amerikaanse cloudproviders voldoet aan de eisen van de Nederlandse en Europese wet- en regelgeving. Zoals: versleuteling, two-factor authenticatie, voldoende logging en certificeringen. Overigens: Google, Amazon en Microsoft voldoen aan die criteria. Vanuit het oogpunt van wet- en regelgeving zijn geen bezwaren tegen deze wereldspelers. Desondanks zijn veel mensen huiverig om medische data daaraan toe te vertrouwen. Begrijpelijk, natuurlijk.

Z-CERT
Minister Bruins beschouwt Z-CERT als het cybersecuritycentrum voor de zorg. Het aantal deelnemers daaraan is ten opzichte van vorig jaar verdubbeld en inmiddels zijn alle Nederlandse ziekenhuizen daarop aangesloten. Bruins laat zich er nog niet over uit of er een verplichting gaan gelden voor Z-CERT voor alle zorginstellingen, maar hij gaat dat wel onderzoeken. ‘Eerst moet duidelijk moet welke type instellingen en sectoren onder die eventuele verplichting moeten vallen en welke typen instellingen en sectoren de meeste risico lopen’, aldus Bruins.

Vier lijnen
Z-CERT wordt in ieder geval betrokken bij de vier lijnen van informatieveiligheid waarop het beleid van Bruins is gebaseerd:
= Bewust worden van informatieveiligheid door de kennis erover te verhogen
= Beveiligen van systemen met passende wet- en regelgeving en certificering
= Bewaken van de naleving van de veiligheidsregels en monitoring van (cyber)kwetsbaarheden
= Blussen van (cyber)incidenten door de juiste instanties in staat te stellen cyberincidenten snel te bestrijden

AVG Helpdesk
De privacywetgeving blijft een heikel punt. Wan de andere kant is dat deze de zorg niet moet hinderen. En dat is juist waar huisartsen en specialisten tegenaan lopen. Ze wijzen op de grote gezondheidsgevaren die dat met zich meebrengt, omdat ze patiëntgegevens niet kunnen inzien. Heeft dat te maken met de interpretatie van de AVG? Of zijn de regels echt te rigoureus?  In ieder geval heeft minister Bruins besloten om de AVG Helpdesk voor Zorg, Welzijn en Sport tot zeker medio 2020 mede in stand te houden. De website blijft tenminste tot eind 2020 in de lucht.

(Foto: Pixabay)

Volg ons