‘Geen nader onderzoek naar opslag van Nederlandse patiëntgegevens’

De Autoriteit Persoonsgegevens ziet geen noodzaak om de opslag van Nederlandse patiëntgegevens op een cloudplatform buiten de EU nader te onderzoeken.

De autoriteit concludeert dit na een verkennend onderzoek naar de verwerking van medische gegevens door MRDM. Dit bedrijf verwerkt persoonsgegevens van Nederlandse ziekenhuizen.

In gesprek met de functionaris gegevensbescherming van MRDM kreeg de AP uitleg over de werkwijze ten aanzien van de opslag van gegevens in de cloud. De AP heeft vragen gesteld aan MRDM om te verkennen of er mogelijk sprake is van een overtreding van de privacywet.

MRDM werkt namelijk als verwerker in opdracht van een aantal Nederlandse ziekenhuizen en schakelt op haar beurt een subverwerker in voor de opslag van die persoonsgegevens. Die subverwerker is een cloud platform dat buiten de EU gevestigd is.

“In de verstrekte informatie ziet de AP op dit moment geen aanleiding tot het instellen van een nader controlerend onderzoek. De persoonsgegevens worden opgeslagen in Nederland, in de contracten met het cloudplatform is gewaarborgd dat er geen internationale doorgifte plaatsvindt van persoonsgegevens aan derde landen buiten de EER. Daarnaast heeft MRDM de AP geïnformeerd over de manier waarop de gegevens worden beveiligd.”