Wat betekent de AP-gids voor jouw zorgorganisatie?
De Autoriteit Persoonsgegevens (AP) heeft een praktijkgids uitgebracht die de norm voor cloudgebruik in de zorg expliciet vastlegt. Voor zorgorganisaties die patiëntgegevens in de cloud verwerken of dat overwegen is dit een belangrijk ijkpunt.
Gezondheidsgegevens vragen om extra zorgvuldigheid
Gezondheidsgegevens zijn bijzondere persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG). Ze vallen in een zwaarder beschermde categorie omdat de verwerking ervan significante risico’s kan meebrengen voor de rechten en vrijheden van betrokkenen.
Het gebruik van clouddiensten bij de verwerking van deze gegevens brengt ingrijpende risico’s met zich mee: van datalekken tot ongeoorloofde toegang door buitenlandse autoriteiten. De AP benadrukt in de gids: “een clouddienst kan voor zorgorganisaties een goede oplossing zijn, maar niet zonder risico’s”. Van zorgorganisaties wordt verwacht dat zij vooraf bewuste keuzes te maken en die keuzes ook te kunnen verantwoorden.
Verantwoordelijkheid blijft bij de zorgorganisatie
Een kernboodschap uit de gids: wie gezondheidsgegevens in de cloud onderbrengt, blijft als verwerkingsverantwoordelijke volledig aansprakelijk. Dat geldt ook voor wat verwerkers en subverwerkers (derde partijen die de verwerker op zijn beurt inschakelt) doen. De cloudleverancier treedt doorgaans op als verwerker, maar dat ontslaat de zorgorganisatie niet van haar verantwoordelijkheden.
De AP wijst erop dat zorgorganisaties verplicht zijn om uitsluitend verwerkers in te schakelen die aantoonbaar passende technische en organisatorische maatregelen treffen. Die verplichting is doorlopend: periodieke audits en inspecties zijn wettelijk vereist.
Verwerkersovereenkomsten
Een schriftelijke verwerkersovereenkomst is wettelijk verplicht. Het ontbreken ervan is een directe overtreding van de AVG. Maar de AP gaat verder: de overeenkomst moet inhoudelijk voldoende specifiek zijn.
Minimaal vereist zijn: het onderwerp en de duur van de verwerking, de aard en het doel, de categorieën betrokkenen (zoals ‘patiënten’) en de soorten gezondheidsgegevens. Een verwijzing naar ‘gezondheidsgegevens in de zin van artikel 9 AVG’ zonder verdere specificatie is onvoldoende.
Aanvullend adviseert de AP om in de overeenkomst afspraken op te nemen over encryptie, incidentmeldingen, exitprocedures, de inzet van subverwerkers inclusief hun locatie, en het recht om te auditen.
Cloudgebruik buiten de EER
Bijzondere aandacht verdient de situatie waarin gezondheidsgegevens worden verwerkt buiten de Europese Economische Ruimte (EER). De AP waarschuwt dat leveranciers die (mede) onder de wetgeving van derde landen vallen — zoals de Verenigde Staten — verplichtingen kunnen hebben die het beschermingsniveau van de AVG ondermijnen. De AP adviseert nadrukkelijk te kiezen voor leveranciers die uitsluitend onder Europese wetgeving vallen en dit risico minimaal jaarlijks opnieuw te beoordelen.
NIS2, Cyberbeveiligingswet en NEN 7510
De gids besteedt ook aandacht aan twee relevante kaders naast de AVG. De NEN 7510 is de Nederlandse informatieveiligheidsnorm voor de zorgsector. De Inspectie Gezondheidszorg en Jeugd (IGJ) verwacht van alle zorgaanbieders dat zij aantoonbaar aan deze norm voldoen.
Daarnaast wordt de Europese NIS2-richtlijn in Nederland geïmplementeerd via de Cyberbeveiligingswet (Cbw), die naar verwachting per 1 juli 2026 in werking treedt. De gezondheidszorg valt onder de categorie ‘zeer kritieke sector’. Zorgorganisaties met meer dan 50 fte — of met een jaaromzet én balanstotaal van meer dan 10 miljoen euro — vallen onder de Cbw. Zij moeten onder meer een risicoanalyse uitvoeren, incidenten binnen 24 uur na kennisname melden en zich registreren bij het Nationaal Cyber Security Centrum (NCSC).
Het belang van een cloud-exitplan
Een onderwerp dat in de praktijk regelmatig wordt onderschat: de exitstrategie. De AP adviseert zorgorganisaties om al bij het aangaan van een cloudovereenkomst na te denken over de beëindiging ervan. Met als doel de continuïteit van bedrijfsprocessen te waarborgen bij beëindiging van de dienstverlening.
Een exitplan beschrijft hoe gegevens worden teruggegeven of verwijderd, welke partij de dienstverlening kan overnemen en wat de daaraan gebonden tijdlijn en kosten zijn. De gids noemt ook het belang van een escrow-regeling voor situaties waarin een leverancier failliet gaat of overgenomen wordt. Uitganspunt daarbij is dat broncode of data ondergebracht worden bij een onafhankelijke derde partij.
Het is de moeite waard om eens stil te staan bij het back-upbeleid van jouw organisatie. Belangrijke vragen om te stellen zijn: wat wordt waar geback-upt, bevindt de back-up zich in dezelfde cloudomgeving of juist daarbuiten, en is herstel mogelijk binnen een andere cloudomgeving? Juist deze praktische keuzes bepalen of een organisatie bij uitval of contractbeëindiging daadwerkelijk kan blijven functioneren. Een goed exitplan en een doordacht back-upbeleid zijn daarmee — beiden — een essentieel onderdeel van verantwoord cloudgebruik.
Raakt dit jouw organisatie?
Voor zorgorganisaties die hun privacybeleid, verwerkersovereenkomsten en informatiebeveiliging aantoonbaar op orde willen hebben, is dit het uitgelezen moment om dat te toetsen.
Twijfel je of jouw organisatie voldoet aan de eisen uit de AP-gids? abaud denkt graag met je mee.
De volledige praktijkgids is te raadplegen via de website van de AP.
