Hospitalisatie: hoe komen Belgische gezondheidsgegevens in Rusland terecht?

23 maart 2021
door Vincent Liévin/P.S.

De transfer van gezondheidsgegevens van verscheidene ziekenhuizen zou niet voldoen aan alle essentiële waarborgen in de GDPR. Hoe komen deze gegevens uit België in Rusland terecht?
Gezondheidsgegevens zijn zeer waardevol en meer en meer begeerlijk. Uit een onderzoek van Le Soir en het tijdschrift Médor blijkt dat het niet altijd duidelijk is waar deze data worden opgeslagen. "Software ontwikkeld door het Amerikaanse 3M en op de markt gebracht door zijn Belgische dochteronderneming, wordt door een meerderheid van ziekenhuizen gebruikt om hen te ondersteunen bij hun financieel beheer."
Met deze software kunnen ze zichzelf vergelijken. "Met andere woorden, als een ziekenhuis constateert dat zijn artsen voor een bepaalde pathologie en een bepaald soort ziekenhuisopname te veel middelen inzetten in vergelijking met hun collega's (te lange verblijfsduur, te veel verrichte ingrepen, enz., kan het zijn vizier meteen corrigeren."

De contracten in kwestie

Maar het gaat nog verder: de tussen 3M en de ziekenhuizen gesloten contracten stemmen niet erg overeen met de door de GDPR geboden garanties en de gegevens worden in Rusland verwerkt.

Volgens Le Soir volgen de gegevens deze route: een eerste transfer loopt van de ziekenhuizen naar 3M Belgium, een tweede van 3M Belgium naar Smart Analytics.

Dat laatste bedrijf wordt voorgesteld als een Amerikaanse onderneming, maar de kantoren zijn in Rusland gevestigd. De gegevens worden "fysiek" opgeslagen in Europa (in Duitsland om precies te zijn) maar "ze worden toegankelijk gemaakt in Rusland, wat een transfer vormt zoals opgevat in de GDPR", legt Franck Dumortier uit. Dumortier is LAB-onderzoeker Cyber en Data Security aan de VUB en consultant gegevensbeveiliging.

Antwoord op de beschuldigingen

3M Belgium reageerde op de beschuldigingen van Le Soir. Het erkent de gevoeligheid van de toevertrouwde gezondheidsgerelateerde gegevens. Het zette belangrijke stappen om de bescherming van de rechten en vrijheden van de betrokkenen te waarborgen.

"We werken nauw samen met Belgische ziekenhuizen om hen in onze contracten als onderaannemer namens hen te voorzien van de door de GDPR vereiste waarborgen. Noch 3M Belgium, noch zijn onderaannemers kunnen individuele patiënten identificeren in de dataset die de aanleveren."

"Bovendien worden alle gegevens fysiek opgeslagen in de Europese Economische Ruimte. Aangezien het personeel van Smart Analytics in Rusland is gevestigd, gaan we typecontractbepalingen (SCC's) aan om ervoor te zorgen dat de betrokkenen afdwingbare rechten en doeltreffende rechtsmiddelen hebben."

U wil op dit artikel reageren ?

Toegang tot alle functionaliteiten is gereserveerd voor professionele zorgverleners.

Indien u een professionele zorgverlener bent, dient u zich aan te melden of u gratis te registreren om volledige toegang te krijgen tot deze inhoud.
Bent u journalist of wenst u ons te informeren, schrijf ons dan op redactie@rmnet.be.

Ik meld mij aan

Ik registreer mij