AP doet geen onderzoek naar bedrijf dat medische gegevens bij Google bewaart

De Autoriteit Persoonsgegevens gaat niet optreden tegen een onderzoeksinstituut dat medische gegevens van Nederlanders opslaat bij Google. De privacywaakhond zegt dat het geen verder onderzoek gaat doen naar Medical Research Data Management; het bedrijf voldoet aan de eisen.

De AP bekeek eerder dit jaar of het een nader onderzoek moest instellen naar MRDM. Dat is een commercieel bedrijf dat medische gegevens verzamelt van ziekenhuizen en andere medische instellingen, en daar vervolgens onderzoek mee doet. Het Algemeen Dagblad schreef in maart dat het bedrijf die gegevens vervolgens in 'de Google Cloud' opsloeg. De Autoriteit Persoonsgegevens bekeek vervolgens of het nodig was een onderzoek naar de praktijken in te stellen. De privacywaakhond kan altijd zelf bepalen of het zo'n onderzoek start.

De AP zegt nu dat het geen reden ziet zo'n verder onderzoek te doen. De organisatie heeft informatie opgevraagd bij MRDM. Daaruit concludeert de AP dat zo'n onderzoek niet nodig is. De persoonsgegevens die MRDM verzamelt, worden opgeslagen op servers in Nederland. Bovendien zijn er contracten tussen het bedrijf en Google waarin staat dat gegevens niet internationaal mogen worden uitgeleverd. Ook heeft MRDM aan de AP uitgelegd hoe de gegevens worden beveiligd.

De Autoriteit Persoonsgegevens vroeg gegevens en documenten op van MRDM om te bepalen of het bedrijf aan de AVG voldeed. Voor het verwerken van medische gegevens gelden strengere regels dan voor gewone persoonsgegevens. Het AP-onderzoek keek alleen of MRDM aan de privacywet voldoet, maar er loopt ook een kabinetsonderzoek naar de praktijken van het bedrijf. Minister Bruins van Volksgezondheid stelde dat in. Dat onderzoek kijkt of het mogelijk is ISO- of NEN-normen op te stellen voor het opslaan van medische data.

IT-banen

Reacties (87)

ManiacsHouse 30 september 2019 12:58

Eerste vraag die bij mij opkomt,wat doet een commercieel bedrijf aan (mijn?) medische persoonsgegevens? Heb ik ergens ooit iets getekend of toestemming gegeven hiervoor? Verkopen de ziekenhuizen deze aan deze toko? Blijven toch mijn gegevens... Wie verdient hieraan? En wat doet men er daadwerkelijk mee? Onderzoek voor wie?

sheane @ManiacsHouse • 30 september 2019 13:31

Ziekenhuizen zijn verplicht inzicht te geven in de kwaliteit van hun behandelingen. Dit gebeurt op landelijk niveau voor een aantal behandelingen. Zie bijv. DICA (https://dica.nl/). Zo'n partij maakt gebruikt van MRDM als dataverwerker om dergelijke inzichten te bieden zonder dat zij daarbij persoonsgegevens verwerken. Er gaat niet 1 zorginstelling data van andere instellingen verwerken, dus zit je aan een centrale partij die dat voor een bepaald/select deelgebied. Daarnaast gaat het om een vooraf opgestelde subset van jouw medische gegevens (aka geen EPD taferelen).

tweaknico @sheane • 30 september 2019 14:38

Subset... dwz. alle data behalve het weer op de dag van onderzoek?
De term subset is zo nietszeggend... aan alleen een lijst van geboorte data heeft MRDM ook niets. dus het is wat meer dan een enkel gegeven.

Senaxx @tweaknico • 30 september 2019 15:43

De sets zijn altijd zo opgezet dat deze niet te herleiden zijn naar een individu.

Geboortedatum wordt zelfs niet aangeleverd, alleen het geboortejaar. Wij doen bijvoorbeeld voor een landelijk diabetes onderzoek. Hierbij wordt een geanonimiseerd patiëntnummer, geboortejaar, en wijkcode alleen aangeleverd, met de daarbij de 10 lab waardes.

Deze worden 1x per jaar voor dit onderzoek richting MRDM gestuurd waar het Amsterdam AMC dan weer de uitkomsten van krijgt.

Ik weet bijvoorbeeld dat met dit soort onderzoeken juist betere behandelingen aangeboden kunnen worden. Bijvoorbeeld dat een genetisch epidemioloog aangesloten bij ons ziekenhuis die d.m.v. data uit dit soort anonieme datasets heel wat nieuwe inzichten heeft kunnen verschaffen over borstkanker.

[Reactie gewijzigd door Senaxx op 23 juli 2024 10:36]

tweaknico @Senaxx • 30 september 2019 15:56

Je bent bekend met dit artikel:

https://www.fastcompany.c...ified-even-its-anonymized

(Met een sample van 1 maal per jaar zal dat beperkt zijn...) aannamende dat verschillende onderzoeken ook verschillende methoden hanteren voor het omzetten van patient nummer.

Senaxx @tweaknico • 30 september 2019 16:13

Ja ik ben bekend met het artikel. Maar dit artikel gaat wel uit van verschillende datasets. Je moet dit ook kijken in de context waarin deze data bij MRDM gebruikt wordt.

De patiëntnummers zijn al uniek per ziekenhuis en die versleutelen we ook nog eens een keer. Wij leveren zelfs per externe partij een andere versleuteling aan van het patiëntnummer. Onlangs zijn 2 partijen gefuseerd en kunnen dus de datasets niet combineren

tweaknico @Senaxx • 30 september 2019 18:41

Zie ook Ynst2003 reactie. Google heeft meer data, FB ook.

Senaxx @tweaknico • 1 oktober 2019 10:54

Maar Google kan niet bij deze data, een professionele partij als MRDM gaat deze data niet combineren met FB. Wel beetje in de realiteit blijven.

tweaknico @Senaxx • 1 oktober 2019 11:02

Ik bedoel niet dat MRDM combineert met FB (maar waarom ook niet, als er geen belemmering is).
Een US bedrijf kan door aandeelhouders aangeklaagd worden als het niet maximaal profijt uit alle assets (inclusief data) haalt.
Het ging er om dat FB & Goodle zowel de data als de capaciteit hebben om meerdere gegevens aan elkaar te knopen.

Kan niet bij de data ... dat vereist encryptie voor opslag buiten de deur. (en Allianz heeft recentelijk laten zien dat encryptie van data @ rest ook binnenshuis een voorwaarde is. ivm de melding van diefstal van een kluis met backup van klant data.

[Reactie gewijzigd door tweaknico op 23 juli 2024 10:36]

Ynst2003 @tweaknico • 30 september 2019 18:33

Het is inderdaad een bekend 'trucje' om te zeggen dat de data anoniem wordt opgeslagen. Als je alle datasets beheerd (en combineert), is deze belofte niets waard.
Als Google alle datasets 100% niet combineert (nu en in de toekomst), dan is het inderdaad vrijwel anoniem. Maar 'de grote bedrijven' zeggen vaak wat we willen horen en een x aantal jaar in de toekomst veranderd hun beleid en er kraait geen haan na. Zie bijv. Facebook en WhatsApp ('we zullen de data nooit gaan koppelen' Spoiler alert: toch wel)

Voorbeeldje hoe Google deze data gemakkelijk kan de-anonimiseren.
Oke; ik ben geopereerd in het AMC in Amsterdam geopereerd aan een klaplong. Datum 27 juni 2019.
Deze data wordt anoniem opgeslagen bij Google.

Hierbij wordt een geanonimiseerd patiëntnummer, geboortejaar, en wijkcode alleen aangeleverd, met de daarbij de 10 lab waardes.

opgeslagen. Geen idee wie deze persoon is, toch? Oke, maar Google heeft ook deze data:

07 juni 2019
Google zoekopdracht:
'pijn aan borst, moeite met adem halen'

09 juni 2019
Google zoekopdracht:
'telefoonnummer huisartsenpost Amsterdam'

11 juni 2019
Google zoekopdracht:
ervaringen operatie klaplong AMC

15 juni 2019
mailtje gestuurd naar GMail met afspraak specialist ziekenhuis AMC

19 juni 2019
Google Maps routebeschrijving van huisadres naar ziekenhuis AMC

etc. etc.

Van alle data die geproduceerd heb van 7 juni - 19 juni 2019 is gewoon bekend dat ik dat ben, aangezien ik mijn eigen telefoon / pc heb gebruikt en mijn eigen IP-adres.
Met alle krachtige AI / machine learning / tracking technieken die Google in huis heeft, is het zeer eenvoudig om mij te koppelen aan die 'anonieme' persoon die in hun dataset staat.

disclaimer:
Doet Google dit? Geen idee.
Kan Google dit? Data wordt toch versleuteld opgeslagen? Geen idee.
Mag Google dit doen? Absoluut niet.

De vraag is:
vertrouw je Google? Nu en in de toekomst?

[Reactie gewijzigd door Ynst2003 op 23 juli 2024 10:36]

tweaknico @Ynst2003 • 30 september 2019 18:40

Mag google dit..., is mogelijk alleen maar geldig voor de MRDM dataset.

Voor de rest heeft het accepteren van de GMAIL EULA, zoek EULA al afgedekt dat die data vastgelegd mag worden en voor mogelijk commerciele zaken gebruikt kan worden.
Mogelijk zijn er ook nog zoekopdrachten die gaan over bepaalde medicijnen, stofjes etc.

IJzerlijm @ManiacsHouse • 30 september 2019 13:20

Als een onderzoeker van een universiteit wil weten hoeveel mensen in Nederland ziekte X hebben, wat hun leeftijd is en waar ze wonen is zo'n partij de plek die dat kan leveren.

[Reactie gewijzigd door IJzerlijm op 23 juli 2024 10:36]

Verwijderd @ManiacsHouse • 30 september 2019 14:38

Eerste vraag die bij mij opkomt,wat doet een commercieel bedrijf aan (mijn?) medische persoonsgegevens?
Echt waar? Voordat je deze vraag aan jezelf stelt, vraag je eens eerst af waarom je je hierover verbaast? Denk je dat ziekenhuizen niet met andere bedrijven werken? Denk je dat jouw gegevens niet gedeeld worden? Denk je dat een ziekenhuis geen commerciële organisatie is? Met winst doelstellingen?

Heb ik ergens ooit iets getekend of toestemming gegeven hiervoor?
Waarschijnlijk wel maar denk je dat hiervoor altijd toestemming van jou voor nodig is? Zijn er niet duizenden redenen om deze data te delen zonder dat deze niet traceerbaar is naar jou als individu?

Verkopen de ziekenhuizen deze aan deze toko? Blijven toch mijn gegevens...
Geanonimiseerd of onder contract (onder contract) kan alles. Als er maar een specifiek doel is.

Wie verdient hieraan? En wat doet men er daadwerkelijk mee? Onderzoek voor wie?
Verbazingwekkend altijd dat mensen zo naïef zijn.. Straks kom je er nog achter dat Tweakers precies kan zien wat je muis aanklikt, hoe lang je op een bepaalde pagina zit, welke producten je interessant vindt en deze gegevens potentieel doorverkoopt?

Ynst2003 @Verwijderd • 30 september 2019 18:37

Wie verdient hieraan? En wat doet men er daadwerkelijk mee? Onderzoek voor wie?
Verbazingwekkend altijd dat mensen zo naïef zijn..

Naïef zijn heeft hier weinig mee te maken. Volgens mij wil @ManiacsHouse gewoon graag weten wat er met zijn gegevens gebeurt, en dat lijkt me een zeer terechte en legitieme vraag.

En vooral omdat je zeer kwetsbaar bent in een ziekenhuis.
Je kunt niet zomaar zeggen, 'ik mijd dit ziekenhuis'. Als je in een levensbedreigende situatie verkeert, dan heb je niet veel keuze. Het is of dit ziekenhuis accepteren (met hun privacybeleid) of doodgaan. Er zit niet veel nuance bij, maar het is zeer terecht dat er vragen worden gesteld over waar de data naar toe gaan en wie er over beschikt..

[Reactie gewijzigd door Ynst2003 op 23 juli 2024 10:36]

Verwijderd @Ynst2003 • 30 september 2019 22:05

Naïef zijn heeft hier weinig mee te maken.
na·ïef (bijvoeglijk naamwoord, bijwoord; vergrotende trap: naïever, overtreffende trap: naïefst)
Al te goed van vertrouwen

Volgens mij heeft het hier alles mee te maken. Het idee dat jouw gegevens niet gebruikt worden voor andere doeleinden is te goed van vertrouwen..

En vooral omdat je zeer kwetsbaar bent in een ziekenhuis. Je kunt niet zomaar zeggen, 'ik mijd dit ziekenhuis'
Dat is een extreem voorbeeld. De meeste mensen in een ziekenhuis worden opgenomen en daarbij is er meestal de keuze van ziekenhuis (afhankelijk van je verzekering/verzekeraar). Niet dat het veel uitmaakt want de meeste ziekenhuizen zullen tientallen onderzoekstrajecten en samenwerkingen hebben lopen.

Als @ManiacsHouse echt zou willen weten wat er met zijn gegevens gebeurt dan kan hij daar gewoon een beroep op doen. Dat is helemaal niet zo moeilijk in plaats van paniekerig lopen te doen op internet zonder zelf nog enige moeite om zelf na te denken. De antwoorden kun je zelf ook immers prima inschatten.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 10:36]

ManiacsHouse @Ynst2003 • 30 september 2019 19:58

Juist dat ja.

Illegal_Alien @ManiacsHouse • 30 september 2019 13:04

https://mrdm.nl/en/

Trusted Partner
MRDM, as a Trusted Third Party, is authorised to collect, process and distribute individual patient-identifiable medical data and information. We only perform these services when the data suppliers order us to do so, within privacy and security regulation boundaries.

A.k.a. kijk eens rond bij je ziekenhuis/arts, of die hiermee handelen.

Experience
We are active in the field of care, cure and dental health. We service all hospitals, insurance companies and the Dutch government. We perform services on over 25 medical conditions. We process clinical data, patient reported data, costs data and data on medication prescriptions/delivery. We do this for purposes of (national) benchmarking, Trusted Third Party services to use real-world evidence for research, phased and strictly governed transparency of results and track & trace of implants. Similarly, we work with hospitals, life sciences & research institutes in France and opened an office in Sweden.

We also work for patient associations, dental practices, mental health institutes, medical associations, life sciences, research institutes, collaborative health networks, medical specialists, boards of directors, nursing homes and rehabilitation centres.

[Reactie gewijzigd door Illegal_Alien op 23 juli 2024 10:36]

MSalters @ManiacsHouse • 30 september 2019 14:32

Toestemming is maar één van de 6 legitieme verwerkingsgronden. "Algemeen belang" of "wettelijke verplichting" zijn andere gronden. Het lijkt erop dat MRDM medische data bewaart die wettelijk bewaard moet blijven, dus dat is al een legitieme grond. Aggregatie voor research doeleinden is een zwaarwegend algemeen belang (o.a. ontdekken van zeldzame bijwerkingen), dus daar kan ook een rechtvaardiging zijn.

m3gA 30 september 2019 12:45

De persoonsgegevens die MRDM verzamelt, worden opgeslagen op servers in Nederland. Bovendien zijn er contracten tussen het bedrijf en Google waarin staat dat gegevens niet internationaal mogen worden uitgeleverd.

Google valt gewoon onder de patriot act dus als de Amerikaanse justitie deze gegevens wil moeten ze die afgeven.

dixet @m3gA • 30 september 2019 12:54

Dat ligt iets genuanceerder. De opgeslagen gegevens vallen onder de AVG. Daarin is opgenomen dat persoonsgegevens alleen mogen worden afgegeven op last van een buitenlandse rechterlijke uitspraak als er een verdrag is waarin de afgifte is geregeld.
Zo'n verdrag is er niet tussen de EU en de VS (bron)

bbob

Privacy
Google

@dixet • 30 september 2019 13:02

De USA stelt heel eenvoudig google is een Amerikaans bedrijf. Als er vanuit de amerikaanse overheid een vraag om data komt maakt het die overheid niet uit waar die data zich bevind. als die data in de EU zit moet google gewoon meewerken of ze willen of niet.

Exact dat is dus de kern van het probleem waar MS een uitspraak van de Amerikaanse Hoge Raad over vraagt. Tot nu toe moeten die amerikaanse bedrijven gewoon meewerken en dat doen ze dus gewoon.

Dat betekend dus gewoon dat het contract met google waarin ze zetten geen data uit te leveren niets meer dan een stukje papier is.

Maar waar onze overheid beter naar kan kijken is waarom doet men zaken met een bedrijf dat de belasting ontwijkt en dus niets bijdraagt aan Nederland of de EU. Overheden moeten gewoon beginnen deze data onder te brengen bij lokale EU bedrijven. Alleen op die manier kun je de grote tech bedrijven aanpakken.

batjes @bbob • 30 september 2019 20:28

In tegenstelling tot wat @m3gA beweert, is het niet de Patrior Act, die is niet eens meer actief, maar was het tot vorig jaar de Stored Communications Act waardoor de Amerikaanse overheid in het verleden onze data probeerde in te zien.

Microsoft heeft het process op basis van de SCA gewonnen. Of naja, het loopt nog steeds onder de nieuwe CLOUD act. https://en.wikipedia.org/...ft_Corp._v._United_States

Met de Clarifying Lawful Overseas Use of Data Act (oftewel CLOUD, Amerikanen en hun afkortingen

) is het voor de Amerikaanse overheid al een stuk moeilijker om zo maar data uit Europa te komen vissen. Door de conflicterende wetgeving met de GDPR, moet elk verzoek hoe dan ook door een rechtbank heen en is de data die ze mogelijk kunnen opvragen nogal beperkt, buiten dat hier dan erg goede reden voor nodig is. Plus het land in kwestie moet op de hoogte gesteld worden van dit verzoek.

Het is aan het bedrijf om te kiezen welke wetgeving ze breken als het er op aankomt. Maar elk bedrijf kan zich er tegen verzetten en het land in kwestie meetrekken de rechtzaak in. Het leuke is ook dat (in dit voorbeeld) Microsoft de data door heel Europa heen kan "loadbalancen" en de Amerikaanse overheid per land waar die data op dat moment staat, een nieuwe rechtzaak mag gaan opzetten.

Vandaar dat Microsoft ook pro-CLOUD Act is. Ze kunnen het hun eigen overheid heel erg moeilijk maken.

leesvoer en nog meer

MSalters @bbob • 30 september 2019 14:23

Google, Inc is een Amerikaans bedrijf wat onderdeel is van Alphabet, Inc. Googe Ireland Ltd. is geen Amerikaans bedrijf. Google, Inc kan wel gedwongen worden om een opdracht te versturen aan Google Ireland Ltd, maar Google Ireland Ltd mag die opdracht niet uitvoeren volgens de GDPR. Dan houdt het voor Google, Inc ook gewoon op. In de rechtspraak heet dit principe "niemand is gedwongen tot het onmogelijke". Google, Inc kan alleen data aanleveren waar ze toegang tot hebben.

bbob

Privacy
Google

@MSalters • 30 september 2019 14:42

Klink mooi de praktijk is gewoon dat ze zullen moeten meewerken.
MS heeft over dit probleem om die reden een zaak bij amerikaanse hoge raad lopen.
De amerikaanse overheid stelt gewoon google/ms ieder Amerikaans bedrijf moet meewerken en als het een dochteronderneming buiten de USA is moet de moeder er gewoon voor zorgen dat die data er komt.

MSalters @bbob • 30 september 2019 14:57

Je begrijpt het niet. Google Ireland Ltd valt niet onder Amerikaans recht en kan niet direct gedwongen worden. Google Inc valt dat wel, en die kunnen gedwongen worden om een opdracht te sturen aan Google Ireland Ltd. Indien die opdracht legitiem is in het Ierse recht, dan moet Google Ireland Ltd. die opdracht uitvoeren. Als die opdracht niet legitiem is, dan moet Google Ireland Ltd die niet uitvoeren. Google Ireland Ltd heeft hierin dus geen keuze.

"de moeder moet er gewoon voor zorgen" is dus precies de ongeldige reden waarom ik expliciet het principe benoem dat niemand verplicht is tot het onmogelijke. Google Inc kán hun Ierse dochter niet dwingen om de Ierse wet te overtreden. Als Google Ireland Ltd een legitieme opdracht zou weigeren, dan kan Google Inc ze voor de rechter slepen en de lokale directie ontslaan. Maar die optie ontbreekt hier.

bbob

Privacy
Google

@MSalters • 30 september 2019 16:21

De amerikaanse overheid denkt er anders over zie deze info: https://en.wikipedia.org/wiki/CLOUD_Act

https://en.wikipedia.org/...ft_Corp._v._United_States

MSalters @bbob • 30 september 2019 16:50

Dat gaat dus over de rechtspersonen die onder Amerikaans recht vallen. Daarom schrijven ze ook expliciet "Microsoft Corp.". Niet Microsoft Ireland Ltd. Dat is een andere rechtspersoon onder een andere jurisdictie.

Een Amerikaans bedrijf kan server in Ierland bezitten. Dat is een andere situatie dan een Amerikaans bedrijf dat een dochterbedrijf heeft in Ierland, en waar het dochterbedrijf servers bezit.

telenut @bbob • 30 september 2019 14:12

Heb je een voorbeeld van "en dat doen ze dus gewoon"?

klakkie.57th @telenut • 30 september 2019 14:52

staat gewoon op hun website en handelt over EU klanten.
Wie de vragende partij is wordt niet vernoemd.

Dit staat er :

In the first half of 2018, Microsoft received 50 requests from law enforcement for accounts associated with enterprise cloud customers. In 32 cases, these requests were rejected, withdrawn, or law enforcement was successfully redirected to the customer. In 18 cases, Microsoft was compelled to provide responsive information: 10 of these cases required the disclosure of some customer content and in 8 of the cases we were compelled to disclose non-content information only.

Als je dit leest heeft Microsoft in 18 gevallen gevolg gegeven zonder de klant te informeren.

Verwijderd @dixet • 30 september 2019 13:00

Zo'n verdrag is er niet tussen de EU en de VS (bron)

Daar hebben ze in de VS lak aan hoor... ze kunnen onder die patriot act gewoon Google's hand forceren aangezien ze daar gevestigd zijn.
Die AVG krijgt echt wel tweederangs prioriteit als het moederland wat wil.

Het is een kwestie van tijd voordat dat ook gebeurd, en als dat dan uberhaupt al uitlekt, roept iedereen een keertje "foei" en veranderd er verder geen reet want politiek gevoelig.

AP/Europa kan dan wellicht met boetes gaan strooien maar dat veranderd de positie van Google verder niet.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 10:36]

uncle_sjohie @Verwijderd • 30 september 2019 13:36

Nou, het grootste deel van het Google vermogen zit in een Nederlandse BV, dus binnen de EU die tot max 4% van de wereldwijde omzet als GDPR boete, per overtreding, kan opleggen. Moet je eens zien hoe snel een Google van mening veranderd als elk EU land even 1 overtreding, à 4% omzet, in die Amsterdamse brievenbus aflevert.

MSalters @uncle_sjohie • 30 september 2019 14:16

Zo werkt het niet in de EU. Onder de GDPR (AVG) wordt er een lead investigator aangewezen die het onderzoek namens alle lidstaten uitvoert.

Overigens zou Google hopen dat die klacht bij de Amsterdamse B.V. eindigt, want dan is het een snelle rechtzaak. "Verkeerde rechtspersoon, doet geen zaken met de eindklant, klacht dus ongegrond". Je staat net niet in 5 minuten buiten, maar veel moeite gaat de rechter er niet mee hebben.

If you’re based in the European Economic Area or Switzerland, unless stated otherwise in any additional terms, the Services are provided by Google Ireland Limited (“Google”), a company incorporated and operating under the laws of Ireland (Registered Number: 368047), and located at Gordon House, Barrow Street, Dublin 4, Ireland.

Verwijderd @uncle_sjohie • 30 september 2019 14:07

En als Google in overtreding is, dan loopt het al vlug in de honderdduizenden tot miljoenen overtredingen. Google zal waarschijnlijk dan liever de problemen in de VS hebben - want tegen de miljoen procent van je jaarlijkse omzet aan boete, is voor élk bedrijf (inclusief Google, Facebook, Apple etc) een instant bankroet.

Fijinees @dixet • 30 september 2019 12:57

Dat verdrag zal de VS een worst zijn. Ze eisen in besloten rechtbank de data, en het bedrijf moet er aan voldoen.

Maar hoe komt een COMMERCIEEL bedrijf aan die data? Als mensen daar geen toestemming voor geven mogen zij die niet hebben.

watercoolertje

Google

@Fijinees • 30 september 2019 14:04

Maar hoe komt een COMMERCIEEL bedrijf aan die data? Als mensen daar geen toestemming voor geven mogen zij die niet hebben.

Jawel hoor, daar heb je een verwerkersovereenkomst voor en dat is een zaak tussen het bedrijf waar jij mee te maken hebt en een ander bedrijf.

https://www.justitia.nl/privacy/verwerkersovereenkomst

Volgens mij zijn ze zelfs niet verplicht dat ergens aan jou te melden maar dat weet ik niet zeker.

[Reactie gewijzigd door watercoolertje op 23 juli 2024 10:36]

Fijinees @watercoolertje • 1 oktober 2019 00:11

Jouw reactie is niet waar ik op doelde. Wat ik bedoelde is dat ik me afvraag hoe dat COMMERCIËLE bedrijf patiëntendata in handen heeft gekregen.

Hebben de patiënten expliciet toestemming gegeven aan het ziekenhuis om de data door te spelen? En is er dan geen toestemming nodig van de patiënten om de data weer naar een ander te verplaatsen?

Of is de privacy wetgeving plotseling niet belangrijk meer als het een ziekenhuis betreft? Want goedkope data is lagere ziektekosten. Ik moet al toestemming geven voor cookies, maar met werkelijk belangrijke gegevens doen ze maar zoals het ze uitkomt?

watercoolertje

Google

@Fijinees • 1 oktober 2019 07:20

Er is weinig onderscheidt tussen wel/niet commerciële (kleine letters) bedrijven.

Dat mag gewoon van de wet, en ja daar zijn die verwerkeraovereenkomsten dus wel voor, om te zorgen dat bedrijf B net zo 'zorgvuldig' met de gegevens omgaat als bedrijf A.

Fijinees @watercoolertje • 1 oktober 2019 08:15

Dus patiënten hoeven geen toestemming te geven? Een ziekenhuis kan zomaar jouw gegevens aan een ander doorspelen?

Want dat lijkt mij zo ongeveer de grootste overtreding van de AVG denkbaar. Ik weet er gewoon te weinig van, maar gegevens over aandoeningen/ziekte en dergelijke lijken mij zo ongeveer het meest privé van allemaal. En dat mag aan iedereen worden afgegeven zonder toestemming? Puur omdat het zo makkelijk is voor de zorgsector?

Is daar een proefproces over gevoerd? Wie zal aansprakelijk worden gesteld in het geval van een lek? Want dat lek gaat er komen. Enige tijd geleden in het "nieuws" dat de gegevens van een vrouw waren bekeken door mensen die er niets mee te maken hadden, want ze is een BN-er. Worden de gluurders op straat gegooid, of in een cel, worden de verantwoordelijken in het behandelend ziekenhuis op het matje geroepen?

Het hele systeem is zo lek als een zeef, en dan naar een andere partij de gegevens doorgeven? Zodat er nog meer kijkers bij kunnen. En als het een commercieel bedrijf is zal er wellicht een belang voor personeel van dat bedrijf komen (omkoping) om data op te zoeken en te verkopen.

In het geval van die BN-er was bedrijf A (het ziekenhuis) al niet zorgvuldig, iedereen die er werkte kon erbij. Dan kun je toch niet verwachten dat de rest van de keten dat wel is.

MSalters @Fijinees • 30 september 2019 14:18

De VS kan veel willen, maar ook Google kan die data niet decrypten zonder de sleutel. En ik heb nog nergens gelezen dat die data unencrypted opgeslagen is. Dat zou een groter probleem zijn dan in welk land het precies opgeslagen is.

klakkie.57th @MSalters • 30 september 2019 14:47

Tenzij je een vorm van HYOK implementeert , kan Google er gewoon aan.

Fijinees @MSalters • 1 oktober 2019 00:14

En waar is de sleutel, wie beheert deze, hoe veilig is de encryptie en ga maar door. Als de sleutel in handen is van de patiënt is het redelijk te doen. Als het 1 sleutel is voor de hele bende kan het niet worden vertrouwd.

Het moet gewoon het ziekenhuis niet uit, punt. Dan maar papier, of iedere patiënt het eigen elektronisch dossier in beheer geven.

mae-t.net @Fijinees • 30 september 2019 14:19

Google Ltd. Dublin of Alphabet B.V. Lutjebroek vallen helemaal niet onder de jurisdictie van zo'n besloten rechtbank.

Natuurlijk kan zo'n rechtbank het wel moeilijk maken voor de Amerikaanse werkmaatschappijen, maar dat is met een paar miljoen dollar aan advocaten ook opgelost want dat houdt geen stand. Gelukkig werkt de rechtssttaat nog goed in zulke gevallen.

Fijinees @mae-t.net • 30 september 2019 23:59

Advocaten in die "rechtbank" mogen alleen maar knikken en weer weggaan. Het is een geheime rechtbank waar niemand iets heeft in te brengen.

Ieder bedrijf in de VS moet ALLE dochters, waar ook ter wereld verplichten tot leveren. Met volledige geheimhouding. Ook de constructie die MS had bedacht in DE is niet werkzaam gebleken.

tweaknico @dixet • 30 september 2019 14:32

PATRIOT ACT, daarna eigenlijk PrivacyShield, en nu CLOUD act werkt ook via een rechtbank (geheim maar toch).
Dus als die opgeeist wordt is voor MRDM het alleen maar zeg maar wanneer we moeten stoppen....
en richting al hun klanten mogen ze NIET laten blijken.

In je bron artikel staat aan het eind dat dank zij de CLOUD Act het amerikaans recht op toepassing is op veel claims. Kortom oplepelen die data.

[Reactie gewijzigd door tweaknico op 23 juli 2024 10:36]

P1nGu1n

@m3gA • 30 september 2019 12:59

Is dat wel zo? Volgens mij heeft Microsoft hier ook al eens een rechtzaak over gevoerd met de overheid van de VS m.b.t. data opgeslagen in Ierland. MS hoefde de data destijds niet te verstrekken.

[Reactie gewijzigd door P1nGu1n op 23 juli 2024 10:36]

GlowMouse @P1nGu1n • 30 september 2019 13:09

Terwijl die zaak van Microsoft liep, is de CLOUD act ingevoerd. Met die wet moet MS de data afgeven ook als die in de EU is opgeslagen en onder de AVG valt.

MSalters @GlowMouse • 30 september 2019 15:03

Belangrijk: indien Microsoft, Inc (de Amerikaanse rechtspersoon) zelf vanuit de VS bij die data in de EU kan. Wij hebben het wel over "Microsoft" alsof het één bedrijf is, maar juridisch is "Microsoft" een grote verzameling van rechtspersonen, verdeeld over meerdere landen. De moedermaatschappij is beursgenoteerd en eigenaar van de dochters, maar een bedrijf kan geen illegale opdrachten aan dochterbedrijven geven. En internationaal is een opdracht illegaal als hij illegaal is in één van beide landen.

oef! @GlowMouse • 30 september 2019 13:37

Waarbij MS (of Google of Amazon) in de interessante positie komt dat ze de GDPR overtreden als ze aan de Cloud Act voldoen maar ook omgekeerd.

Het is een ongezonde combinatie van politiek, justitie en commerciële belangen.

R4gnax

Autoriteit Persoonsgegevens
Privacy

@oef! • 30 september 2019 21:03

Waarbij MS (of Google of Amazon) in de interessante positie komt dat ze de GDPR overtreden als ze aan de Cloud Act voldoen maar ook omgekeerd.

Het is een ongezonde combinatie van politiek, justitie en commerciële belangen.

De CLOUD act zou juist voorzieningen bevatten waaronder internationaal opererende bedrijven een verzoek tot data-inzage vanuit de overheid van de VS kunnen weigeren op gronde van het feit dat ze daarmee lokale wetgeving van de rechtstaat waaronder die data valt, zouden overtreden.

Die voorzieningen waren dan ook juist de reden waarom grote tech-bedrijven als Microsoft en Google voor de CLOUD act waren.

De rechtszaak van de overheid van de VS versus Microsoft is trouwens niet vervallen omdat de overheid onder de CLOUD act deze gegevens ineens wel ongehinderd op mocht eisen. Deze verviel omdat het eerdere bevel waaronder die data opgevraagd werd überhaupt niet meer ter zake deed. Onder de CLOUD act werd immers een nieuw type bevel op basis van de nieuwe wetgeving, gebruikt.

[Reactie gewijzigd door R4gnax op 23 juli 2024 10:36]

Verwijderd @GlowMouse • 30 september 2019 13:19

Urgh.... Wat voor een verdomd irritante wet is dat. Patriot Act versie 2 - 'Nu gaan we ECHT de grenzen over'

Een bedrijf wat de data heeft moet dus apart staan van de 'parent' niet alleen juridisch en financieel, maar ook technisch (compleet afgescheiden infra). Daarmee kan de VS, mochten ze willen, dus ook bij de data die MRDM bij Google opslaat, want Google heeft dat niet helemaal apart afgescheiden itt Microsoft.

tweaknico @GlowMouse • 30 september 2019 14:34

En het geldt ook voor dochter ondernemingen.

WORPspeed @m3gA • 30 september 2019 12:51

Zo kan elk land z'n eigen Patriot Act opzetten en zou dat betekenen dat we alle persoonsgegevens alleen bij Nederlandse bedrijven mogen opslaan?

Overigens valt de Europese tak van Google ook onder PA? Dacht dat hoofdkwartier in Dublin stond, maar wellicht omdat t allemaal nog onder Alphabet valt

R4gnax

Autoriteit Persoonsgegevens
Privacy

@WORPspeed • 30 september 2019 20:51

Zo kan elk land z'n eigen Patriot Act opzetten en zou dat betekenen dat we alle persoonsgegevens alleen bij Nederlandse bedrijven mogen opslaan?

Niet binnen de EU want de AVG/GDPR is binnen de gehele EU geldende wetgeving en stelt dat geen enkele nationale wetgeving kan prevaleren boven het door de AVG/GDPR gestelde.

Je krijgt enkel conflicten met extra-territoriale wetgeving. Zoals de US Patriot Act en haar opvolgers.

Die wetten zijn overigens ook juist de voerende reden waarom geen enkele verwerkingsovereenkomst met een bedrijf dat enige vorm van zetel in de VS heeft, kan voldoen aan de AVG/GDPR en de reden dat regelingen zoals de "Safe Harbor" regeling allemaal sneuvelen.

[Reactie gewijzigd door R4gnax op 23 juli 2024 10:36]

WORPspeed @R4gnax • 1 oktober 2019 10:27

Ja, dus als elk niet-eu land een eigen Patriot-Act implementeert, moet alle data binnen EU bedrijven en EU servers in EU landen blijven.

Als een EU bedrijf ook in Amerika opereert, vallen ze dna onder Patriot Act of niet?

R4gnax

Autoriteit Persoonsgegevens
Privacy

@WORPspeed • 1 oktober 2019 19:41

Als een EU bedrijf ook in Amerika opereert, vallen ze dna onder Patriot Act of niet?

Ja, dat vallen ze vziw ook gewoon. Net zoals een US bedrijf dat hier in de EU opereert onder de GDPR valt.

[Reactie gewijzigd door R4gnax op 23 juli 2024 10:36]

uncle_sjohie @WORPspeed • 30 september 2019 13:39

Alphabet is een Nederlandse (brievenbus) firma, dus ook EU, net als bijvoorbeeld de Ierse bv van Facebook. Ik hoop dat we er niet naar toegaan dat de VS en de EU ook daarover nog even gaan vechten, maar beiden kunnen het elkaar knap lastig maken, mochten ze er toe besluiten. De EU heeft bijvoorbeeld de max 4% wereldwijde omzet boete van de GDPR als tegenwapen, maar laten we hopen dat het zover niet gaat komen.

MSalters @uncle_sjohie • 30 september 2019 14:28

Die 4% boete lijkt me niet het meest ernstige. Als een bedrijf niet aan de GDPR kan voldoen, dan kan de EU een bedrijf helemaal weren.

mhnl1979 @m3gA • 30 september 2019 12:51

Sinds wanneer houdt de Amerikaanse overheid aan contracten die bedrijven met elkaar hebben over data die ze willen hebben?

Thystan @m3gA • 1 oktober 2019 10:40

Er is een verschil tussen de afdelingen van de Amerikaanse overheid . Als ze dit doen via de veiligheidsdiensten dan werken de AVID/NVD/GCHQ en dergelijke ook gewoon mee.
Als ze dit proberen op een andere manier, dan is de data opgeslagen bij Google Ireland en die mag het niet zomaar afgeven.

Dus voor iemand als Edward Snowden, Osama Bin Laden of Putin is dit wel mogelijk, maar voor jou of mij gaan ze dat echt niet doen.

Antrax 30 september 2019 12:49

[qoute] Bovendien zijn er contracten tussen het bedrijf en Google waarin staat dat gegevens niet internationaal mogen worden uitgeleverd. [/qoute]

Ik vraag mij af in hoeverre dit nu eigenlijk wordt gecontroleerd. Ik bedoel: je stapt als AP toch niet het datacenter binnen en zoekt de servers? Contractueel zal dit prima afgebakend zijn maar contracten zijn slechts contracten en mensen zijn slechts mensen. Laat staan om iets over Google te zeggen.

Verwijderd @Antrax • 30 september 2019 14:43

Google is hetzelfde als ieder ander commercieel bedrijf. En je kunt niet rekening houden met "als". Dat zou namelijk betekenen dat je niets met cloud kan doen en weer tegen extra kosten op gaat lopen. Google, AWS en Microsoft kennen allemaal soortgelijke contracten.

Hoe ga je het trouwens doen als normaal bedrijf? Je kan geen accountant of boekhouder inhuren want mensen zijn mensen...

lucatoni 30 september 2019 12:49

Als de AP hierop onderzoek zou doen, dan gaat de beerput open. De trend in het bedrijsleven is duidelijk gezet: zoveel mogelijk diensten (en dus data) in de Cloud. AWS, Azure, Google......het is bijna niet meer te missen. Alle grote organisaties nemen diensten af en slaan dus data op. Of dit handig is, is natuurlijk een andere vraag.

oef! @lucatoni • 30 september 2019 13:39

Dit is alleen maar een aanname.

lucatoni @oef! • 30 september 2019 17:14

Hoezo een aanname? Ik werk bij een niet nader te noemen financiële instelling. Infrastructuur volledig naar de cloud gegaan, financiële toepassingen naar de cloud. Idem voor de data. Tuurlijk zijn er contracten, encryptie en word je periodiek geïnformeerd over Security. Maar het blijft erbij dat je data buiten de deur staat. En ik weet dat wij niet de enige financiële instelling zijn. Dus wat bedoel je precies met aannames?

oef! @lucatoni • 30 september 2019 19:23

Omdat je stelt dat er een beerput open gaat zonder verdere uitleg. Het feit dat er gevoelige data in de cloud staat is in ieder geval voor het AP geen geheim. Dat een bank in zee is gegaan met een grote Cloud leverancier is voor mij ook geen geheim.

lucatoni @oef! • 1 oktober 2019 02:40

Volgens mij geef ik wel degelijk uitleg, namelijk dat je dan vanuit de AP gezien bij elke instelling langs mag gaan om iets te vinden van IT outsourcing en eventueel privacy gevoelige info in de cloud.

teek2

@lucatoni • 30 september 2019 12:53

Diensten afnemen is niet hetzelfde als data afstaan. Daar zijn regels voor, en encryptie om die regels af te dwingen.

uncle_sjohie @teek2 • 30 september 2019 13:43

En er is helaas een entiteit als de Amerikaanse NSA die via diverse routes, oa met behulp van hun Engelse evenknie GCHQ, direct toegang hebben tot diverse digitale snelwegen. En ik heb niet de illusie dat de westerse geheime diensten het bestaan van encryptie die zij zelf niet met minimale moeite kunnen omzeilen, laten bestaan, of in ieder geval zover onderdrukken dat de toegang ertoe, een behoorlijke drempel is voor het gemiddelde bedrijf.

F-I-X @uncle_sjohie • 30 september 2019 14:15

Als jij je data in de cloud encrypt en de key niet deelt dan kan er niemand bij zolang de key maar lang genoeg is.
Niet dat het wat uitmaakt want als je in Amerika diensten hebt krijg je ook gewoon dan een bevel tot overdragen. Doe je dat niet kan je ergens anders kantoor gaan houden met grote kans dat je zelfs je producten niet meer op de markt krijgt of je US toeleveranciers niet meer leveren enzenzenz...

Mag hopen dat opvragen van data enkel gebeurd op basis van een redelijk vermoeden en niet dat ze data komen hamsteren voor hun eigen archief.

EvilWhiteDragon @Fijinees • 30 september 2019 13:54

Als je voldoende omzet genereert op Azure, mag je zelf auditors e.d. langs sturen bij Microsoft om de boel te controleren. Dus binnenkomen is niet zo'n probleem. Je kan je afvragen of je dan zeker weet dat het veilig is, maar dat probleem heb je altijd. Ergens moet je vertrouwen in een derde partij hebben, want je data gaat toch over het grote boze internet. Of dat nu naar je eigen datacenter is, of een gehuurde VM.

klakkie.57th @EvilWhiteDragon • 30 september 2019 14:58

Van het moment dat je niet langer de hardware in eigen beheer hebt, moet je ervan uit gaan dat het niet meer veilig is.

Thystan @klakkie.57th • 1 oktober 2019 10:43

Dat kan iets genuanceerder. Ja, je moet er vanuit gaan dat het, als het er echt op aankomt, minder veilig is. Maar je kunt niet stellen dat het helemaal niet veilig is, aangezien Eigen beheer ook consequenties qua veiligheid heeft. Uitbesteden kan tot betere veiligheid, bereikbaarheid, gemak en minder kosten leiden.

teek2

@Fijinees • 30 september 2019 13:44

Meer dan bescherming middels de wet kan je niet verwachten, allerlei partijen kunnen (proberen) iets met jouw data te doen, maar dan zijn het gewoon misdadigers..

tweaknico @teek2 • 30 september 2019 14:42

Moet je alleen nog even aantonen...
Maar de laatste jaren zijn er wel heel veel "Oepsie" momenten geweest met databases in de cloud zonder bescherming. Dus het zou beter zijn als het WEL gecontroleerd zou worden op technisch niveau.

Het blijft nu nog steeds een heel groot "Wij van WC-Eend...." gehalte houden.
immers de verklaring luidt dat "MRDM zegt dat het wel goed zit dus dat zal wel zo zijn, onderzoek gesloten".

MSalters @tweaknico • 30 september 2019 16:57

Hoe ver moet dat onderzoek gaan? Als MRDM in de eerste fase van het onderzoek laat zien dat ze alles gedegen hebben ontworpen, dan kan het AP redelijk tot de conclusie komen dat er geen resterende verdenking meer is. Heb jij wél een concrete aanwijzing dat tussen ontwerp en implementatie iets fout gegaan is bij MRDM?

Gezien de hoeveelheid werk die er nog ligt voor de AP is het ook essentieel om te prioritiseren. En als het AP extra budget wil kunnen ze niet aankomen met "we hebben 10 initiële onderzoeken gedaan, daar kwam niets uit, en toen hebben de rest van het budget opgemaakt door in al die 10 gevallen een zinloos vervolgonderzoek te doen".

AntiSocial 30 september 2019 12:53

Zoals ik het lees worden dus alle persoonsgegevens opgeslagen in Nederland, maar enkel tokens/referentiekeys of iets dergelijks worden in de cloud opgeslagen om het een en ander aan elkaar te sleutelen. Dus ik verwacht dat ze in de cloud een record hebben met een token dat gelinkt is aan de aandoeningen en datzelfde token is gekoppeld aan een record met de persoonsgegevens in Nederland.

Maar volgens mij is de data in de cloud dan nog steeds PII, want door de gegevens middels het token aan elkaar te koppelen krijg je een naar een persoon herleidbaar profiel, niet? Helemaal als er DNA, retina/iris-afbeeldingen, gebitsgegevens, e.d. worden opgeslagen, lijkt me....

Ben benieuwd hoe jullie (andere tweak-lezers) hierover denken :-)

Verwijderd 30 september 2019 12:55

Werkt ook wel vernuchterend dit.
Ik ben al een tijdje bezig om een beetje te de-googlifyen (niet persé alleen voor privacy, dus lezingen over hoe dat allemaal niet uit maakt mag je achterwege laten) door dingen als mail en file storage bij andere bedrijven te huisvesten in plaats van mijn hele leven onder één google accountje te hebben maar je heb natuurlijk ook nog een bepaalde afhankelijkheid van derden die je data gewoon weer een Google cloud in hengsten en dat is kennelijk zelfs met hoogstpersoonlijke medische info oké.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 10:36]

Creesch @gidion1987 • 30 september 2019 12:56

Bizar dit. Google kan de gegevens dus inzien en een nog beter plaatje van je krijgen.

Het gaat hier niet om het leveren van data aan Google. Google bied ook betaalde opslag aan bedrijven, daar gaat het hier om. Google is hiermee in feite niet heel veel anders dan een hosting partij waar het bedrijf aan betaald om de data op te kunnen slaan.
Dit is dus anders dan bijvoorbeeld de gratis variant van bijvoorbeeld Gmail waar het gratis gebruik inhoud dat Google de data analyseert.

rachidfinge @Creesch • 30 september 2019 13:17

"Consumer Gmail content will not be used or scanned for any ads personalization."
https://www.blog.google/p...il-to-more-closely-align/

MrMonkE @rachidfinge • 30 september 2019 13:39

Misschien omdat er door alles spam toch geen pijl op te trekken is wat een gebruiker zijn interesses zijn.

rachidfinge @sjoerdvdvis • 30 september 2019 15:46

Dat ik bij Google werk verandert niets aan het feit dat ik net presenteerde.

bart.koppers 30 september 2019 14:08

Als die data goed encrypted is, voordat opslag plaats vindt bij Google (of andere cloud-aanbieders), lijkt me vwb Patriot Act al weinig aan de hand.

Verder zal deze partij als dienstverlener verwerkersovereenkomsten afgesloten hebben met de toeleveranciers/gebruikers van de data en analyses, en kan het daarmee voldoen aan AVG.

En zoals altijd: the proof of the pudding is in the eating. Of negatief beschouwd: iets met een kalf en een put.
Goed en transparant toezicht is niet vanzelfsprekend, jammer dus dat AP spaarzaam is over het gevolgde proces. Kan mss wel een WOB op worden losgelaten.

theodorusrex 1 oktober 2019 07:58

Goed nieuws! Misschien kan er dan nu eindelijk een einde gaan komen aan de FUD praktijken van die private cloud partijen en alleen maar geld proberen te verdienen aan de onzekerheid over publieke cloud vendors.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (87)

Sorteer op:

Weergave: