‘Patiëntengegevens in stilte verplaatst naar Google’

Het gaat om informatie uit medische dossiers van honderdduizenden Nederlanders met ziektes als kanker, diabetes en parkinson. Privacyexperts en politici maken zich zorgen.

De data is afkomstig uit patiëntendossiers en bevat onder meer informatie over de ingrepen, medicatie, complicaties en opnameduur.
De data is afkomstig uit patiëntendossiers en bevat onder meer informatie over de ingrepen, medicatie, complicaties en opnameduur. Foto Lex van Lieshout/ANP

De patiëntengegevens van honderdduizenden Nederlanders met ziektes als kanker, diabetes en parkinson en andere veelvoorkomende aandoeningen zijn in stilte naar de cloud van Google verhuisd. Dat blijkt uit onderzoek van het AD. Volgens de krant zijn de patiënten daar niet van op de hoogte gesteld en maken privacydeskundigen en politici zich zorgen.

Het commerciële bedrijf Medical Research Data Management (MRDM) zou nu, met toestemming van ziekenhuizen, de data opslaan bij Google. De data zijn afkomstig uit patiëntendossiers en bevat onder meer informatie over de ingrepen, medicatie, complicaties en opnameduur. Volgens de krant worden de gegevens versleuteld en “gepseudonimiseerd” doorgestuurd naar 22 landelijke registratiebanken. Hierdoor is te zien welk ziekenhuis een aandoening het best behandelt.

Gegevens te ontsleutelen

Privacyexperts en politici laten zich tegenover het AD kritisch uit over het verplaatsen van de data, zij vrezen dat de gegevens “relatief eenvoudig” zijn te ontsleutelen. Guido van ’t Noordende, deskundige als het gaat om elektronisch patiëntendossiers, meent dat het voor Google vrij gemakkelijk is om de medische gegevens naar een persoon te herleiden.

Ook Kamerleden van D66 en SP zijn bezorgd en willen uitleg van het kabinet. D66-Kamerlid Kees Verhoeven wil weten of dit niet in strijd is met de Algemene verordening gegevensbescherming (AVG). Verhoeven noemt de “schimmige onbekendheid” rondom het verplaatsen van de data “verontrustend”.

Patiëntenfederatie Nederland laat desgevraagd weten dat zij er vanuit gaan dat de data goed beveiligd wordt en anoniem is. “Er zijn veel internationale veiligheidsregels en -standaarden waaraan het bedrijf zegt te voldoen”, aldus een woordvoerder. De data wordt gebruikt voor kwaliteitsonderzoek en dat is nuttig voor patiënten, redeneert de federatie. “De anonieme gegevens worden naar databanken gestuurd en daarin wordt gekeken hoe bepaalde handelingen worden uitgevoerd, wat de effecten zijn en welke complicaties er optreden. Dat is allemaal input voor verbetertrajecten, en daar heeft de patiënt belang bij.”

‘Google doet niks met de data’

MRDM zegt in het AD dat het bedrijf voldoet aan alle wettelijke en privacy-eisen. De directeur van het bedrijf, Paul Crauwels, spreekt van een “waterdicht contract” over de beveiliging van gegevens. “Google doet niks met de data, de gegevens blijven ook in de Nederlandse ‘cloudregio’.” Volgens Crauwels hoeft zijn bedrijf patiënten geen toestemming te vragen voor het verplaatsen van de data. Ook zijn ze hen niet verplicht hierover te informeren, stelt hij.

Google kan naar eigen zeggen de gegevens “niet inzien of analyseren”. Waar de gegevens voorheen werden opgeslagen, is niet bekend.