Het Privacy Shield, de nieuwe afspraken over het verwerken van persoonsgegevens tussen de Europese Unie en Amerika, is aangenomen. Dit betekent dat er eindelijk een vervanger is voor de Safe Harbour-overeenkomst. Door inwerkingtreding van het Privacy Shield kunnen Europese organisaties, zonder gebruik van een modelcontract, persoonsgegevens doorgeven naar gecertificeerde Amerikaanse bedrijven. Betekent dit dat ook Nederlandse zorgaanbieders weer met een gerust hart gebruik kunnen maken van Amerikaanse eHealth applicaties?
Hoe zat het ook alweer met Safe Harbour? Of beter gezegd, wat deed Safe Harbour? Op grond van Europese wet- en regelgeving mag men enkel persoonsgegevens - waaronder medische gegevens - verwerken in landen buiten de Europese Unie indien de Europese Commissie heeft aangegeven dat een land een passend beschermingsniveau biedt. Met passend wordt bedoeld dat het niveau ten minste gelijkwaardig moet zijn aan het beveiligingsniveau in Europese Unie.
De Verenigde Staten komen niet voor op die lijst met landen met een passend beschermingsniveau. Om toch gebruik te kunnen maken van diensten van bijvoorbeeld Amerikaanse cloudleveranciers, is destijds de Safe Harbour-regeling in het leven geroepen.
Ongeldige verklaring
Op 6 oktober 2015 verklaarde Het Europese Hof van Justitie de Safe Harbour afspraken ongeldig. Het grootste probleem met Safe Harbour was dat rechtsbescherming voor de Europese burgers geen onderdeel uitmaakte van de Safe Harbour afspraken. Eerder schreef ik op SmartHealth een blog over de rise and fall van Safe Harbour.
Het gevolg was dat Nederlandse zorgverleners niet, althans niet zomaar, persoonsgegevens mocht verwerken in Amerika. En met verwerken bedoel ik dan bijvoorbeeld het bijhouden van patiëntendossiers in een EPD dat draait op servers die in Amerika staan. Wettelijk was dat alleen toegestaan indien er een “modelcontract” was gesloten door de verantwoordelijke zorgverlener met de leverancier uit Amerika. Het modelcontract is opgesteld door de Europese Commissie en was/is een overeenkomst die wat weg heeft van een bewerkersovereenkomst. U begrijpt, dit was lastig en werd niet veel gedaan.
Raketschild
De Europese Unie en de Verenigde Staten zijn om de tafel gegaan om een vervangende regeling te bedenken. Al snel kwam de naam Privacy Shield naar buiten. Die naam deed mij direct denken aan het raketschild in de ruimte dat de Amerikanen tijdens de Koude Oorlog wilden ontwikkelen. Van beide is mij niet duidelijk of ze echt concreet tot meer veiligheid hebben geleid, of zullen leiden.
Op 29 februari 2016 werd de concepttekst gepubliceerd. Hier is het nodige commentaar op gekomen. Op 12 juli jl. zijn de afspraken uit het Privacy Shield toch aangenomen. Dat het Privacy Shield wel is aangenomen, was geen verrassing. De alternatieven om gegevens naar de VS te verzenden, brachten niet het gewenste beveiligingsniveau: het was wachten tot ook de modelcontracten middels een procedure ongeldig zouden worden verklaard. Daarnaast was het, zeker toen het nog niet zo bekend was voor Amerikaanse bedrijven, lastig om een dergelijk contract getekend te krijgen.
Voldoen aan de nieuwe eisen
Op 1 augustus is het Privacy Shield in werking getreden. Nu kunnen bedrijven ook echt gebruik maken van de regeling. Dit houdt in dat bedrijven zichzelf kunnen certificeren, waarbij zij aangeven te voldoen aan de privacy-eisen van het Privacy Shield. De eisen zijn bijvoorbeeld dat de bedrijven niet zomaar gegevens doorgeven aan derden en dat zij een privacyverklaring op hun website hebben staan.
Als een Amerikaans bedrijf is gecertificeerd onder het Privacy Shield, dan mogen Europese organisaties persoonsgegevens doorgeven naar dit Amerikaanse bedrijf. Het Amerikaanse ministerie van Handel zal regelmatig controles bij de gecertificeerde bedrijven uitvoeren, zodat de bescherming van vertrouwelijke (medische) gegevens gewaarborgd blijft.
Verschillen
Het belangrijkste verschil met Safe Harbour is dat betrokkenen meer rechten krijgen onder het Privacy Shield. Zo mogen Europese burgers klachten indienen bij een Amerikaans bedrijf als zij menen dat hun rechten worden geschonden. Amerikaanse bedrijven zijn verplicht om hierop binnen 45 dagen te reageren.
Daarnaast zijn er diverse mogelijkheden voor Europese burgers om klachten in te dienen over een bedrijf. Zo wordt er een Privacy Shield Panel opgericht dat ook de mogelijkheid heeft om het certificaat van een Amerikaans bedrijf in te trekken.
Verder is de Amerikaanse overheid voortaan gebonden aan zes verschillende grondslagen om massasurveillance te verrichten. Dit moet voorkomen dat de Amerikaans overheid ongebreideld in de gegevens van Europese burgers mag neuzen. Tevens wordt een ombudsman aangesteld die klachten over mogelijke massasurveillance onafhankelijk kan behandelen.
Toekomst
Het Privacy Shield zal jaarlijks geëvalueerd worden door zowel de EU als de VS, zodat er gecontroleerd kan worden of de gemaakte afspraken onder het Privacy Shield ook daadwerkelijk worden nagekomen.
Ondanks dat het Privacy Shield per 1 augustus in werking is getreden, blijft de vraag: kunt u als zorgaanbieder gebruik maken van Amerikaanse eHealth leveranciers? Die vraag komt, met het aannemen van de Privacy Shield, niet langer voort uit wettelijke twijfels, maar eerder uit ethische twijfels. Belangrijk is het “puntje” over massasurveillance op basis van de Amerikaanse Freedom Act, de opvolger van de Patriot Act. Dat zou u kunnen ervaren als het doorbreken van het recht van de patiënt op geheimhouding.
Microsoft
Die ethische twijfels hoeft u niet meer te hebben bij Europese dochterbedrijven van Amerikaanse moederbedrijven. Er is namelijk nog even twijfel geweest of de Amerikaanse inlichtingendiensten zichzelf het recht toedichtte om Amerikaanse bedrijven, in dit geval Microsoft, data te laten aanleveren van een klant waarvan de data stond opgeslagen op servers in Ierland. De servers waren niet van het Amerikaanse moederbedrijf, wel van de Ierse dochter. Gelukkig gingen de rechters in hoger beroep hier niet in mee, en hoefde de data niet te worden uitgeleverd.
Privacy by design
Juridisch gezien kunt u dus gebruik maken van Amerikaanse leveranciers indien zij gecertificeerd zijn (en aan overige privacy- en security-eisen voldoen die gelden bij het verwerken van medische persoonsgegevens). Ethisch gezien draagt u zelf een verantwoordelijkheid. Wellicht kunt u dit praktisch oplossen en kiezen voor eHealth-oplossingen waarbij privacy en security by design hoog in het vaandel staan. Ook met het oog op de Algemene Verordening Gegevensbescherming die april 2018 in werking treedt en die ten aanzien van deze punten strenge regels in het leven roept, is dit de meest toekomstbestendige weg om te gaan.
Privacy by design. Juridisch gezien kunt u dus gebruik maken van Amerikaanse leveranciers indien zij gecertificeerd zijn (en aan overige privacy- en security-eisen voldoen die gelden bij het verwerken van medische persoonsgegevens). Ethisch gezien draagt u zelf een verantwoordelijkheid.
Ik denk dat privacy NIET by design is, strikter nog, dit staat vast in het verdrag van Helsinki. Als een MS member state van de EU een wetgeving aan neemt die de qualiteit van het leven van de burger slechter maakt, is dit tegen de strekking van dit verdrag.
Als er data verder gegeven worden, die uiteindelijk een negatieve impact hebben op het leven van die burger, en dat is snel een gegeven.
De data die zogenaamd geanomyseerd zijn, wat wetenschappelijk onmogelijk is vandaag de dag,
Deze data niet eens traceerbaar terug zijn om te kunnen kontroleren hoe ze verzameld zijn met welke sensor en in welke omstandigheden en wanneer,
Dan is het niet alleen een Ethische vraag die men zich stellen moet maar ook wie de liability gaat betalen waar deze data gelekt zijn uit de value chain of data.
Daarom dat EUDIPPA en EPPOSI een sluitend concept op europees niveau ingevoerd hebben met de citizen patients, in compliance met het Europees recht die deze volgende hurdle tacklen.
Natuurlijk ondezoek en share van data voor een betere toekomst maar niet over de rug van de burger die de data lieracy niet heeft om dit stiekem in de kleine lettertjes te verstoppen.