De Autoriteit Persoonsgegevens (AP) heeft de praktijkgids ‘Gezondheidsgegevens in de cloud’ uitgebracht. Deze gids helpt organisaties bij het verantwoord verwerken van gezondheidsgegevens in cloudomgevingen, waarbij aandacht wordt besteed aan privacy, beveiliging en wettelijke verplichtingen.

De gids is een update en verbreding van een eerdere publicatie over patiëntgegevens in de cloud. Naast gegevens binnen de behandelrelatie richt de gids zich nu ook op bredere gezondheidsgegevens, zoals medische dossiers, werkgerelateerde gezondheidsinformatie, testresultaten en data uit digitale zorgtoepassingen. Daarbij komen verschillende betrokken partijen aan bod, waaronder zorgaanbieders, arbodiensten, IT-leveranciers en andere ketenpartners. De gids behandelt onder meer de verantwoordelijkheden van verwerkingsverantwoordelijken, de rol van verwerkers en subverwerkers, risicoanalyses, datasoevereiniteit en internationale doorgifte, en het samenspel tussen de AVG en de Cyberbeveiligingswet (NIS2). Organisaties kunnen de gids gebruiken op strategisch, tactisch en operationeel niveau bij het maken van keuzes over het verwerken van gezondheidsgegevens in de cloud.

Daarnaast bevat de publicatie een stappenplan dat organisaties helpt om de belangrijkste aandachtspunten te identificeren en te adresseren. De AP benadrukt dat organisaties die gezondheidsgegevens in de cloud verwerken altijd zelf verantwoordelijk blijven voor de beveiliging en privacy van deze gegevens. Deze verantwoordelijkheid kan niet worden uitbesteed aan cloudleveranciers. Volgens de AP gaat het mis wanneer er onvoldoende inzicht is in waar gegevens worden opgeslagen, welke partijen betrokken zijn en onder welke wetgeving de verwerking valt. Succesvolle verwerking vraagt om voorafgaande risicoanalyses, duidelijke afspraken en het behouden van regie over de gegevens.