Zoals bekend, hebben de Amerikanen de USA Patriot Act, voluit de Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act. Deze wet laat toe dat de Amerikaanse inlichtingendienst in vertrouwelijke gegevens neust.
Verschil in de praktijk
Uniek is dat niet. Ook onze Wet bescherming persoonsgegevens staat toe dat de Nederlandse veiligheidsdienst in beschermde bestanden kijkt, waaronder zorggegevens. Zulke regels zijn helaas nodig als de veiligheid van ons land wordt bedreigd en bijvoorbeeld gevaarlijke terroristen moeten worden geweerd.
In de praktijk is er een groot verschil: de Patriot Act verplicht alle Amerikaanse bedrijven, waar ook ter wereld, tot medewerking. En we weten van Edward Snowden hoe in de praktijk van die mogelijkheid gebruik wordt gemaakt: Amerikanen verzamelen alles en analyseren de gegevens naar hartenlust op hun eigen servers.
Argeloos
Onze overheid gelooft kennelijk dat die Safe Harbour Principles wat voorstellen door dat Amerikaanse bedrijf in te huren. Is dat bedrijf ingehuurd omdat het zijn diensten wat goedkoper aanbiedt dan de concurrent? Zo lijkt onze overheid op die argeloze lieden die al hun feestfoto’s op hun Facebook zetten om er bij sollicitaties achter te komen dat toekomstige werkgevers voor de zekerheid maar een ander aannemen. Of op dat meisje die haar leuke foto terugziet in een reclame voor een escortservice. Een verschil is dat die Facebookers zelf dit soort problemen kunnen vermijden; de patiënt kan echter weinig doen als de Nederlandse overheid patiëntgegevens door Amerikaanse organisaties laat beheren en tegelijk roept dat informatiebeveiliging vooral een zaak is van de zorgverlener.
Voor de politiek is er toch een risico. Als een tweede Snowden zich meldt met welke gegevens van de Nederlandse patiënt er allemaal in het buitenland zijn opgeslagen, gaat in Nederland iedereen op zoek naar de schuldige die dat zo ver heeft laten komen. Ondenkbaar is zoiets niet: voor Snowden was er Manning.
Nederlandse cloud
De ‘zorgminister’ kan er beter voor zorgen dat de gegevens de grens niet overgaan en een puur Nederlandse cloud inrichten. Voor de kosten hoeft ze het niet te laten, we weten wat het LSP tot nu toe gekost heeft. De Nederlandse burger zal zich een stuk prettiger voelen als hij zeker weet dat zijn privacygevoelige zorggegevens op Nederlandse bodem onder de Nederlandse wetgeving vallen.
Berend de Vries
managing partner Comfort-IA en vaste blogger voor Zorgvisie. De Vries schreef zijn vorige blog over de information security officer die geen macht heeft, maar vooral verantwoordelijkheden.
Jaap van der Wel
managing partner en principal consultant Comfort-IA en co-auteur van deze blog
Toch nog maar eens opzoeken in het validatiedossier hoe Nl. wet- en regelgeving (o.a. CBP) is opgenomen in de eisen en voorwaarden voor exploitatie van het LSP. En hoe dat is geverifieerd/getest. Comfort-IA toevallig bekend met dit dossier?