Amerikaanse inlichtingendiensten kunnen door de Cloud Act (Clarifying Lawful Overseas Use of Data Act) niet zomaar toegang krijgen tot medische en andere gegevens die op servers van Amerikaanse bedrijven worden bewaard.
SP-Kamerlid Hijink bevroeg minister Minister Grapperhaus van Justitie en Veiligheid hierover. Hij deed dit naar aanleiding van berichten dat data van honderdduizenden Nederlandse patiënten bij Google zijn opgeslagen, zonder dat de patiënten dit zelf weten of hier hun goedkeuring aan hebben gegeven.
Dubbele versleuteling
Het betreft gepseudonimiseerde behandelgegevens die Medical Research Data Management (MRDM) bij Google host. “Het pseudonimiseren van patiëntgegevens als enige maatregel is in het onderhavige geval niet afdoende,” antwoordde de minister. Hij voegde eraan toe dat MRDM meer maatregelen heeft getroffen om de privacy van patiënten te beschermen. De gegevens zouden ook dubbel zijn geëncrypt. “Dus een versleuteling door Google en een eigen versleuteling, waarmee de gegevens niet toegankelijk zijn voor Google,” aldus Grapperhaus.
Cloud Act
Het kamerlid vroeg ook naar de Cloud Act: “Klopt het dat de Amerikaanse inlichtingendiensten op grond van de Cloud Act zichzelf toegang kunnen verschaffen tot data die op servers van Amerikaanse bedrijven staan? Kunt u garanderen dat bij Google deze medische data nooit onderwerp van onderzoek worden van Amerikaanse diensten?” Grapperhaus antwoordde dat de Cloud Act geen bevoegdheid voor de Amerikaanse overheid bevat om zich toegang te verschaffen tot servers van bedrijven, tenzij die data worden aangemerkt als elektronisch bewijs in strafzaken. “Hier is een bevel nodig van een Amerikaanse rechter. In de praktijk is het nog niet voorgekomen dat Europese of Nederlandse wetgeving terzijde is geschoven.”