31 Ocak’ta Legifrance, CNIL’den Microsoft’a Ulusal Sağlık Veri Sisteminden gelen verileri üç yıllık bir süre boyunca bulutunda barındırma yetkisi veren bir görüşme yayınladı. Bunlar, Sağlık Veri Merkezi olarak da adlandırılan Sağlık Veri Platformunun, Avrupa İlaç Ajansı’na dört büyük Fransız hastanesinde (Hospices Civils de Lyon, Léon Bérard merkezi, Nancy) tedavi edilen hastaların kişisel verilerini sağlayacağı EMC2 adı verilen bir depoda saklanacak. Üniversite Hastanesi ve Saint-Joseph Hastanesi Vakfı).
Pek heyecanlanmadan alınan bu karar, kişisel veri polisi açısından gerçek bir geri dönüş oldu. Ve haklı olarak şu ana kadar CNIL sağlık verilerinin Avrupalı olmayan bulut sağlayıcıları tarafından barındırılmasına izin vermeyi hâlâ reddediyordu. Nitekim Danıştay’a gönderdiği 8 Ekim 2020 tarihli yazısında sağlık veri ambarlarının durdurulmasından yana olduğunu ifade etti. mümkün olan en kısa sürede » “ ile işbirlikleri ABD yasalarına tabi şirketler “. Gösterilen gerekçe, Amerikalı yetkililerin, Amerikan bulut operatörlerinden, ülke dışı kanunlar sayesinde bu verilere erişmelerini isteyebilecekleriydi.
Avrupa bulutunun zayıf yönlerini ortaya çıkaran bir karar mı?
Son müzakeresinde CNIL, sağlık verilerinin Avrupalı bulut sağlayıcıları tarafından barındırılması yönündeki geleneksel konumunu yeniden doğruladı. Ayrıca Microsoft tarafından saklanan verilerin Avrupalı olmayan yetkililer tarafından kurtarılmasından korktuğunu her zaman dile getiriyor. Ancak sorun, yetkili makamların liderliğindeki bir uzman heyetinin hiçbir Avrupalı bulut sağlayıcısının yanıt vermediğini gözlemlemesidir ” EMC2 projesinin, ikincisinin gereklilikleriyle uyumlu bir zaman çerçevesi içerisinde uygulanmasına yönelik teknik ve işlevsel gereklilikler (…) “.
Bu gözlemle aynı hizada olmak için ” üzülüyor » CNIL’in sağlık verilerinin Microsoft’ta barındırılmasına izin vermeye karar verdiğini. Üstelik kendisinin de açıkladığı gibi, artık “ Avrupa İlaç Ajansı’na verilen taahhütlerin yerine getirilmesi için gerekli “.
Bununla birlikte kişisel veri düzenleyicisi, konuyla ilgili üzüntüsünü dile getiriyor: ilk seçim » Sağlık Veri Platformundan « bulutu kullanmak » : bu « Bu durum, egemen tedarikçilerin kademeli olarak ortaya çıkmasına rağmen, kısa vadede artık bu durumdan kopmanın zor olduğu Amerikalı oyuncuların tekliflerini tercih etmesine yol açmıştır. ” açıklıyor.
Ve haklı olarak her şey, Amerikan bulutunun dikkati güvenilir ve etkili alternatiflerden uzaklaştıracak bir auradan yararlandığını gösteriyor. Bu kalıntılar arasında Auvergne-Rhône-Alpes bölgesindeki dört üniversite hastanesi (Clermont-Ferrand Üniversite Hastanesi, Grenoble Alpes Üniversite Hastanesi, Hospices Civils de Lyon, Saint-Etienne Üniversitesi) tarafından geliştirilen ortak sağlık veri ambarı DataHubHOURAA sayılabilir. Hastanesi) Thales ve Docaposte ile ortaklaşa yürütülmektedir.
Avrupa bulutunu harekete geçirecek bir elektrik şoku mu?
Bu kararın faydalı bir etkisi olabilir: Uygulaması yalnızca Avrupalı bulut sağlayıcılarını büyümelerini teşvik edecek şekilde entegre eden kamu stratejileri geliştirme ihtiyacının daha iyi değerlendirilmesi. Bunu yapmak için, sağlayıcıların bu alanda yetişirken, kamu otoritelerinin Avrupa bulut hizmetlerinin teknik ve işlevsel yönleri konusunda daha az talepkar olması gerekiyor.
CNIL şunu yazarken bu gerekliliğin tamamen farkındadır: ” Araştırmacıların sağlık verilerine erişimini teşvik etmek için uygulamaya konulan stratejinin, bu ihtiyacı karşılayabilecek bir Avrupa teklifini teşvik etme fırsatını sağlamamasından üzüntü duymaktadır. “.
Ancak CNIL’in içiniz rahat olsun: Birkaç yıl içinde Microsoft ile Sağlık Veri Merkezi arasındaki ilişki muhtemelen eski bir hikayeden ibaret olacak. 5 Aralık 2023’te yayınlanan, sağlık verilerinin ikincil kullanımını serbest bırakmak için ekosistem oyuncularını bir araya getirme başlıklı yakın tarihli bir hükümet raporu şunları tavsiye ediyor: Azure’da barındırmanın kapatılmasını planlayın [cloud de Microsoft] Sağlık Veri Merkezi’nin (HDH) kurulması ve HDH’nin (…) bir SecNumCloud bulutunda barındırılması için çalışmaların başlatılması, 24 ay içinde, bu aşamada iddialı ama inandırıcı bir son tarih “.
Ancak bir bulut sağlayıcının SecNumCloud etiketinin en son 3.2 sürümünden yararlanabilmesi için Avrupa dışı yasalara tamamen dayanıklı olması gerekir. Yönetimin bu tavsiyeye uyması halinde Sağlık Veri Merkezi’nin Amerikan hiper ölçekleyicilerini kullanması artık mümkün olmayacaktır.