De Nederlandse Autoriteit Persoonsgegevens publiceerde gisteren een advies dat er niet om liegt. Wanneer Google de geconstateerde privacy-risico’s in zijn populaire toepassingen niet oplost, dan mogen die niet meer worden gebruikt bij de overheid en in het onderwijs, met ingang van het nieuwe schooljaar. In hun huidige vorm zijn toepassingen als Gmail, Drive, Hangouts en Classroom in strijd met Algemene Verordening Gegevensbescherming (AVG).
Met dit advies in de hand kunnen overheid en onderwijskoepels hard de laatste fase van de onderhandelingen met Google ingaan. Volgens onderwijskoepel SIVON heeft Google laten weten dat de problemen tijdig opgelost worden. SIVON en de overheid zijn momenteel in gesprek met Google hoe zij de benodigde aanpassingen zo snel mogelijk gaan doorvoeren.
Slotstuk van onderzoek dat in 2018 begon
De rapportage van de Autoriteit Persoonsgegevens is het sluitstuk van een traject dat al in 2018 begon. Omdat de overheid toepassingen van cloudleveranciers als Microsoft veel gebruikt, wilde men tot zogeheten rijksbrede afspraken komen met die Amerikaanse leveranciers. Daarmee zou er vooraf zekerheid zijn of het gebruik ervan niet in strijd is met de Europese privacy-wetgeving. Nadat het met Microsoft was gelukt om dergelijke afspraken te maken, startte in de zomer van 2019 een traject om datzelfde met Google te doen.
Een belangrijk onderdeel van dit traject is een zogeheten Data Privacy Impact Assessment (DPIA). In zo’n onderzoek wordt in detail bekeken welke privacy-risico’s ontstaan wanneer een organisatie software gaat gebruiken (of doorgaans al gebruikt). De uitkomst van dit onderzoek bracht tien grote risico’s aan het licht. Sinds vorig jaar zomer is er druk overleg geweest tussen de samen optrekkende overheid en onderwijskoepels enerzijds en Google anderzijds. Maar in februari bleek dat er nog te veel risico’s overbleven. Het gaat daarbij bijvoorbeeld om gebruiksgegevens die Google verzamelt, gebrek aan inzage, gebrek aan privacy-vriendelijke instellingen, en bredere vragen over de precieze rollen en verantwoordelijkheden van Google. Kortom: op grond van de (verplicht uitgevoerde) DPIA was het gebruik van de Google Workspace (de verzamelnaam voor alle toepassingen) niet zonder meer toegestaan, omdat er restrisico's bleven bestaan.
De AVG stelt in zo’n geval dat je voor die openstaande punten een advies moet vragen aan de nationale privacy-waakhond. Dat noemt men een voorafgaande raadpleging. In Nederland is dat de Autoriteit Persoonsgegevens (AP) de nationale waakhond, en hun advies is nu gepubliceerd en naar de Tweede Kamer gestuurd. De DPIA telt 171 pagina’s, die door de AP nauwgezet is gelezen en becommentarieert, maar de samenvatting van hun advies is dat Google meer garanties moet bieden dat aan de AVG wordt voldaan. Het is daarmee een schaakspel geworden, want het nieuwe schooljaar staat voor de deur, dus feitelijk moet er in de komende 6-8 weken overeenstemming met Google zijn.
Wat betekent dit voor zorgorganisaties?
Ook in de zorg maken organisaties gebruik van de clouddiensten van Microsoft, Google of Amazon, of het nu om e-mail en agenda’s, videovergaderen of de opslag van big data en AI toepassingen gaat. En net als in het onderwijs gaat het hier om bijzonder privacy-gevoelige gegevens. Voor medische gegevens geldt naast de AVG nog andere wet- en regelgeving die de vertrouwelijkheid ervan moet garanderen. Er is nauwelijks zicht op de mate waarin publieke cloudtoepassingen worden gebruikt door huisartsen, ziekenhuizen en andere zorgaaanbieders.
Het lijkt voor de hand te liggen dat de zorgorganisaties en hun belangenverenigingen goede nota zullen nemen van discussies die nu spelen. Er is echter geen met SIVON vergelijkbaar initiatief vanuit de sector om meer duidelijkheid te krijgen over privacy-risico’s bij het gebruik van cloudtoepassingen. Een rondvraag bij juristen leert dat zij, mede onder invloed van een discussie in de Tweede Kamer over het AP-advies, nieuwe vragen over privacy en cloudgebruik in de zorg verwachten.
Adviezen uit 2019 niet meer actueel
De opslag van medische data bij Google Cloud door een Nederlands bedrijf zorgde in 2019 al voor kamervragen. Minister Bruins vroeg een onafhankelijk advies aan het in zorgrecht gespecialiseerde juridisch adviesbedrijf ICTRecht. Uit het onderzoek van ICTRecht kwam naar voren dat het wenselijk is om gebruik te maken van een cloudprovider met een vestiging, vertegenwoordiging of opslagcapaciteit binnen de Europese Unie. Google, Amazon en Microsoft voldoen aan die criteria. Op cloudproviders met een EU-vestiging is de AVG van toepassing, zegt het rapport. Hiermee worden de data beschermd tegen onrechtmatig gebruik door de cloudprovider en kan naleving van de AVG effectief worden afgedwongen.
ICTRecht gaf in zijn advies een groot aantal technische en organisatorische maatregelen om te kunnen waarborgen dat de opslag van medische gegevens die op de servers van Amerikaanse cloudproviders worden opgeslagen voldoet aan de eisen die Europese wet- en regelgeving daaraan stelt. Voorbeelden zijn versleuteling, zogeheten two-factor authenticatie, voldoende logging en het aanwezig zijn van de juiste certificeringen bij cloud-providers. Zorgorganisaties als ziekenhuizen hebben altijd een grote eigen verantwoordelijkheid in het vaststellen en controleren van die passende maatregelen.
Mede op basis van het advies concludeerde Bruins destijds dat de opslag van zorgdata bij de grote Amerikaanse aanbieders, bij toepassing van de juiste maatregelen, geen inbreuk op de AVG hoeft op te leveren. Sinds dit adviesrapport uit 2019 is er het nodige veranderd, zegt ICTRecht desgevraagd in een reactie, bijvoorbeeld het mislukken van de zogeheten Privacy Shield afspraken tussen Europa en de VS. Daarnaast ging het rapport niet gedetailleerd in op het complete aanbod van Google-diensten en hun privacy-risico's,. De eerder genoemde DPIA doet dat wel.
Wanneer de overheid, de scholen en Google niet tot een overstemming komen, dan mag je aannemen dat het gebruik van deze diensten voor de opslag van medische gegevens evenmin aan de privacy-wetgeving voldoet. En van de andere kant: een DPIA-onderzoek voor gebruik van Google in de zorg kan tot nieuwe vragen leiden die in de onderwijswereld misschien niet relevant zijn. De vraag is welke partij gaat opstaan om dit op de agenda te zetten. Tot nu toe is er weinig animo voor zo’n zorgbrede aanpak.
Geen exclusief Nederlands probleem
In België is er eveneens de nodige onduidelijkheid over de vraag welke diensten van de grote cloudproviders al dan niet voldoen aan de AVG en nationale wetgeving, wanneer het om de opslag van medische gegevens gaat. Binnen de Europese unie zijn er verschillende centrale initiatieven om cloudproviders te dwingen om aan de AVG te voldoen, maar de landelijke privacywaakhonden moeten praktisch gezien de kolen uit het vuur halen. Zij kunnen dat doen door algemene leidraden en adviezen op te stellen, of door met een onderzoek naar vermeende schendingen van de AVG.
De Belgische privacywaakhond (Gegevensbeschermingsautoriteit) heeft sinds gisteren een ander probleem op het bord. De Europese Commissie onderneemt juridische stappen tegen België na klachten dat de Gegevensbeschermingsautoriteit niet onafhankelijk genoeg zou optreden. De onafhankelijkheidsvereisten van de AVG zeggen dat de waakhond 'vrij moeten blijven van externe invloed' en 'onafhankelijk moeten zijn van de regering'. Er wordt volgens De Tijd vooral naar topambtenaar Frank Robben gekeken. Hij maakt deel uit van het panel dat adviezen geeft over wetsvoorstellen, het Kenniscentrum. Als administrateur-generaal van de Kruispuntbank van de Sociale Zekerheid en van het eHealth-platform, is Robben betrokken bij veel dataprojecten van de overheid, zegt De Tijd.
Robben ontkent in een reactie naar De Tijd dat hij de onafhankelijkheid van de privacywaakhond in gevaar zou brengen: “Ik zit 30 jaar in de privacycommissie. Ik heb altijd bijgedragen tot het zoeken naar goede evenwichten tussen de grondrechten vanuit een multidisciplinaire insteek en ben beschikbaar om dat te blijven doen”, aldus Robben.
De maatregelen die ICT-recht noemt zijn toepasbaar als alleen opslag in de cloud doet of als je je eigen cloud applicatie schrijft. Als je G-suite gebruikt, kan je die maatregelen niet uitvoeren. Daar bovenop zorgen de WGBO en de jurisprudentie rond het beroepsgeheim bij medici ervoor dat de problemen rond privacy shield in de medische wereld een extra grote dealbreaker zijn. Kan je in andere branches (momenteel nog) wegkomen met een risicoanalyse, is het antwoord voor informatie die onder de WGBO valt zonder voorbehoud een 'nee'.
Maar het is inderdaad een goede vraag wie er gaat opstaan om hierover in de zorg een bezem door de kast te halen. Misschien moet de belangenvereniging in de zorg gezamenlijk een vergelijkbare DPIA laten uitvoeren als het rijk heeft gedaan?