Het is niet verplicht om gevoelige persoonsgegevens, zoals gezondheidsdata van patiënten, in een Europese Cloud op te slaan. Toch is het de vraag of dit verstandig is en of we dit als samenleving zouden moeten willen. Feit is namelijk dat deze data door de Amerikaanse overheid kunnen worden opgeëist onder de Cloud Act, zelfs als de gegevens zich in een datacenter op Europese bodem bevinden.
Dutch Cloud Community zou graag zien dat de overheid hierover nadenkt en beleid formuleert. De huidige regelgeving is immers vrij vaag. Ook het begrip ‘soeverein’ wordt inmiddels door veel partijen gebruikt, maar er is geen eenduidige juridische definitie van.
Leden van Dutch Cloud Community hebben een aantal aanbestedingen van gezondheidsorganisaties, die onder de koepel van de GGD-GHOR vallen, onderzocht om te zien welke eisen worden gesteld met betrekking tot het opslaan en beheren van gezondheidsdata. Deze data vallen per definitie onder de AVG als gevoelige persoonsgegevens.
Uit dit onderzoek blijkt dat er in de aanbestedingen geen uitsluiting van niet-Europese partijen wordt vermeld (behalve wanneer er een relatie met Rusland is). Wel blijkt dat de opdrachtgever streeft naar het toepassen van de Inkoopvoorwaarden GIBIT2023 en het bijbehorende addendum voor de GGD-GHOR.
GIBIT2023 stelt strenge eisen aan de locatie van de data, waarbij de nadruk ligt op verwerking binnen de grenzen van de Europese Unie om te voldoen aan de geldende privacywetgeving.
In de GIBIT2023 en het addendum voor de GGD-GHOR worden geen expliciete eisen gesteld aan het vestigingsland van de opdrachtnemer. Toch ligt er wel een sterke nadruk op de naleving van de Europese wet- en regelgeving, met name op het gebied van gegevensbescherming (AVG). Dit impliceert dat leveranciers buiten de EU aan strikte regels moeten voldoen voor dataoverdracht en -beveiliging.
Hoewel er geen directe verplichting is dat de opdrachtnemer binnen de EU gevestigd moet zijn, moet een niet-EU opdrachtnemer zich houden aan de wettelijke eisen die gelden voor gegevensverwerking binnen de EU.
Samenvattend: de vestigingsplaats en eigendomsverhoudingen van de opdrachtnemer worden niet expliciet beperkt tot de EU, maar de naleving van de EU-wetgeving rond gegevensbescherming kan van invloed zijn op de selectie van de opdrachtnemer.
Wil je 100% zekerheid over de maximale rechtsbescherming als data-eigenaar? Kies dan een Cloud Services Provider die aan de volgende drie criteria voldoet, zodat datasoevereiniteit volledig gewaarborgd is:
- De cloudprovider garandeert dat jouw data (inclusief metadata) binnen Nederland en/of de EU blijft.
- De cloudprovider zet voor het beheer hiervan Nederlandse en/of EU-medewerkers in die desgewenst een bepaalde screening ondergaan.
- De cloudprovider is voor meer dan 50,1% in eigendom van Nederlandse of EU-entiteiten en valt hierdoor exclusief onder Nederlands en/of EU-recht, waardoor ze niet hoeven te voldoen aan niet-EU-regels zoals de Amerikaanse Cloud Act.
Auteurs: Simon Besteman, Hans Hendrikx
