Diskussie over EPD kantelt snel

Posted on by

Vandaag is in het nieuws gekomen dat de opdrachtgever VZVZ van het EPD van de bouwer een verklaring verlangt dat het EPD niet zal vallen onder de Amerikaanse Patriot Act.

De Patriot Act maakt dat de Amerikaanse overheid alle Amerikaanse bedrijven kan dwingen gegevens af te staan, ook van niet-Amerikanen en ook als die gegevens buiten de V.S. bewaard worden op de servers van die Amerikaanse bedrijven of bedrijven in eigendom van die Amerikaanse bedrijven.

Een paar opmerkingen. De Patriot Act is uit 2001 en de VZVZ had dus 12 jaren de tijd over deze vraag na te denken. Ook in de wereld van medische clouds is deze vraag al regelmatig gesteld. Maar 1 maand voor de beoogde invoering van het systeem stellen ze zich zo’n fundamentele vraag. Bij een dergelijk groot projekt, hoort men de risiko’s te beheren, en dit is een grote show stopper. De publieke opinie zal niet accepteren dat de Amerikaanse overheid inzage heeft in de medische gegevens van alle Nederlanders. Dit PR-risiko had al aan het begin van het projekt afgehandeld moeten worden, mogelijk door het kiezen van een andere bouwer of beheerder.

De bouwer CSC is een Amerikaans bedrijf. Maar dat hoeft op zich geen probleem te zijn. Een Amerikaanse bouwer die de programmatuur na voltooiing oplevert en door een Europese partij laat beheren op servers in Europese eigendom is geen probleem voor zover het de Patriot Act betreft: de gegevens zelf zijn dan namelijk in Europese handen.

De berichten in de pers spreken elkaar op dit punt tegen. Volgens NRC is CSC wel beheerder, maar volgens nu.nl niet.

Overigens, we veronderstellen dan wel dat de bouwer zelf geen geheime achterdeurtjes inbouwt of Amerikaanse standaardprogrammatuur gebruikt waar die achterdeurtjes al in zitten. Dat laatste mag niet te snel uitgesloten worden. Hoe dit te voorkomen is een onderwerp voor een latere post.

Maar dan terug naar het vragen van een garantie aan CSC dat ze niet zullen beantwoorden aan verzoeken van de Amerikaanse overheid. Een dergelijke verklaring kunnen ze helemaal niet geven, en als ze het wel doen is die niets waard. Het is namelijk de Amerikaanse overheid die de regels bepaald ten aanzien van CSC en niet CSC zelf. CSC is een Amerikaanse bedrijf en moet voldoen aan de Amerikaanse wetten. Zo kunnen zichzelf niet met een verklaring buiten de wet stellen.

Dan de merkwaardige opmerking van VZVZ dat de Patriot Act groter gemaakt wordt dan het werkelijk is en dat er nauwelijks een beroep op is gedaan. Wil iemand de VZVZ uitleggen dat de bedrijven die onderworpen zijn aan de Patriot Act niet mogen verklaren of en wanneer ze hebben moeten voldoen aan de informatievragen van de Amerikaanse overheid? Dus we kunnen het helemaal niet weten of de soep zo heet wordt gegeten als het wordt opgediend.

De publieke opinie slaat nu snel om, ik ben bang dat de VZVZ dit niet droog gaat houden. We blijven het nieuws volgen.