Cloudopslag: Persoonsgegevens opslaan in de cloud

Als zorgaanbieder, stichting of vereniging mag je persoonsgegevens van bijvoorbeeld patiënten, cliënten, medewerkers, vrijwilligers of leden in de cloud verwerken. Je hebt geen toestemming nodig van de betrokkenen om hun gegevens in de cloud te plaatsen. Maar het werken met persoonsgegevens in de cloud brengt wel privacyrisico’s met zich mee. Bijvoorbeeld als het niet of pas te laat wordt opgemerkt dat er gegevens zijn gelekt. Daarom zijn er een aantal punten waar je op moet letten. 

Aandachtspunten werken met persoonsgegevens in de cloud:

  • wees kritisch op welke cloudprovider je kiest;
  • maak je gebruik van een cloudprovider buiten de EU? Dan gelden er speciale regels;
  • maak vooraf afspraken met de cloudprovider om ervoor te zorgen dat je ook toegang houdt tot de gegevens als de provider wordt overgenomen, failliet gaat of als de samenwerking wordt stopgezet;
  • blijf de cloudprovider monitoren wanneer de gegevens eenmaal in de cloud zitten.

Cloudopslag buiten Europa

Veel zorgaanbieders verwerken gegevens van hun patiënten, cliënten, medewerkers of vrijwilligers in de cloud. Bij het gebruik van een clouddienst is het denkbaar dat persoonsgegevens worden doorgegeven naar een land (of landen) buiten de Europees Economische Ruimte (EER) .

De opslag en verwerking van persoonsgegevens moet voldoen aan de AVG. Eén van de onderdelen van de AVG is dat de doorgifte van persoonsgegevens aan derde landen (landen buiten de EER) moet voldoen aan één van onderstaande eisen:

  • De opslag en verwerking vindt plaats binnen de EER1.
  • De opslag vindt plaats in landen waar een zogenaamd adequaatsheidsbesluit2 bestaat.
  • Als er passende waarborgen zijn genomen (zoals het gebruik van een modelcontract).
  • Afwijkingen voor specifieke situaties (bijv. de cliënt heeft uitdrukkelijk toestemming gegeven).

Let op; in de praktijk kunnen zorgaanbieders vaak niet kiezen voor één van de hierboven genoemde eisen. De standaardvoorwaarden van een clouddienst beschrijven namelijk welk doorgifte-mechanisme (bijv. een adequaatheidsbesluit) van toepassing is.

Het gebruik van een cloud kan voor zorgaanbieders een goede oplossing zijn, maar is niet altijd zonder gevaren. Het gebruik van de cloud brengt bij het verwerken van bijzondere persoonsgegevens extra risico’s met zich mee. In de praktijkgids 'Patiëntgegevens in de cloud' van de Autoriteit Persoonsgevens lees je hoe je op een veilige manier in de cloud werkt3.

Datalek

Zorg voor een goede beveiliging van je online gegevens om datalekken te voorkomen.

1) Bij de Europese Economische Ruimte (EER) horen alle EU-landen plus Liechtenstein, Noorwegen en IJsland.
2) De Europese Commissie (EC) kan een zogenaamd adequaatheidsbesluit nemen voor de doorgifte van persoonsgegevens naar een bepaald land buitende EER. Zo’n besluit betekent dat doorgifte van persoonsgegevens naar dit land mag, omdat dat land voldoende waarborgen biedt voor de bescherming van persoonsgegevens.
3) Let op; ten tijde van het uitbrengen van deze praktijkgids (2017) was de Wbp nog van toepassing.