Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Reacties1

Snowden en de Nederlandse zorg

Berend de Vries heeft al meer dan 20 jaar ervaring met ict in de zorg. Sinds 2009 is hij Managing Partner van Comfort-IA. Hij richt zich op informatiseringsbeleid en informatiebeveiliging voor zorginstellingen en gemeentelijke instanties. Zijn blogs voor Zorgvisie schrijft hij meestal samen met zijn collega Jaap van der Wel.
Onze overheid stelt zich op het standpunt dat de Verenigde Staten voldoet aan de Safe Harbour Principles en gaat ervan uit dat onze gegevens veilig zijn bij onze partner aan de andere kant van de oceaan. Dat is ook de reden waarom de minister het landelijk schakelpunt voor het epd, het LSP, laat beheren door een Amerikaans bedrijf.
Berend de Vries

Zoals bekend, hebben de Amerikanen de USA Patriot Act, voluit de Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act. Deze wet laat toe dat de Amerikaanse inlichtingendienst in vertrouwelijke gegevens neust.

Verschil in de praktijk

Uniek is dat niet. Ook onze Wet bescherming persoonsgegevens staat toe dat de Nederlandse veiligheidsdienst in beschermde bestanden kijkt, waaronder zorggegevens. Zulke regels zijn helaas nodig als de veiligheid van ons land wordt bedreigd en bijvoorbeeld gevaarlijke terroristen moeten worden geweerd.

In de praktijk is er een groot verschil: de Patriot Act verplicht alle Amerikaanse bedrijven, waar ook ter wereld, tot medewerking. En we weten van Edward Snowden hoe in de praktijk van die mogelijkheid gebruik wordt gemaakt: Amerikanen verzamelen alles en analyseren de gegevens naar hartenlust op hun eigen servers.

Argeloos

Onze overheid gelooft kennelijk dat die Safe Harbour Principles wat voorstellen door dat Amerikaanse bedrijf in te huren. Is dat bedrijf ingehuurd omdat het zijn diensten wat goedkoper aanbiedt dan de concurrent? Zo lijkt onze overheid op die argeloze lieden die al hun feestfoto’s op hun Facebook zetten om er bij sollicitaties achter te komen dat toekomstige werkgevers voor de zekerheid maar een ander aannemen. Of op dat meisje die haar leuke foto terugziet in een reclame voor een escortservice. Een verschil is dat die Facebookers zelf dit soort problemen kunnen vermijden; de patiënt kan echter weinig doen als de Nederlandse overheid patiëntgegevens door Amerikaanse organisaties laat beheren en tegelijk roept dat informatiebeveiliging vooral een zaak is van de zorgverlener.

Voor de politiek is er toch een risico. Als een tweede Snowden zich meldt met welke gegevens van de Nederlandse patiënt er allemaal in het buitenland zijn opgeslagen, gaat in Nederland iedereen op zoek naar de schuldige die dat zo ver heeft laten komen. Ondenkbaar is zoiets niet: voor Snowden was er Manning.

Nederlandse cloud

De ‘zorgminister’ kan er beter voor zorgen dat de gegevens de grens niet overgaan en een puur Nederlandse cloud inrichten. Voor de kosten hoeft ze het niet te laten, we weten wat het LSP tot nu toe gekost heeft. De Nederlandse burger zal zich een stuk prettiger voelen als hij zeker weet dat zijn privacygevoelige zorggegevens op Nederlandse bodem onder de Nederlandse wetgeving vallen.

Berend de Vries

managing partner Comfort-IA en vaste blogger voor Zorgvisie. De Vries schreef zijn vorige blog over de information security officer die geen macht heeft, maar vooral verantwoordelijkheden.

Jaap van der Wel

managing partner en principal consultant Comfort-IA en co-auteur van deze blog

1 REACTIE

  1. Toch nog maar eens opzoeken in het validatiedossier hoe Nl. wet- en regelgeving (o.a. CBP) is opgenomen in de eisen en voorwaarden voor exploitatie van het LSP. En hoe dat is geverifieerd/getest. Comfort-IA toevallig bekend met dit dossier?

Geef uw reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.