Decentralisaties en onze privacy: een eerste tussenstand
De komende weken doe ik onderzoek naar de decentralisaties en de rol die privacy daarbij speelt. Ik kreeg veel reacties op mijn oproep van vorige week. In deze update zet ik mijn vier plannen uiteen.
Vorige week vroegen we lezers om input over de aanstaande decentralisaties. Gemeenten krijgen meer taken, maar minder geld. Hoe gaan zij hiermee om?
Een tot nu toe onderbelicht aspect binnen deze discussie is onze privacy: door de overheveling van taken krijgen de gemeenten vanaf 2015 grote hoeveelheden intieme persoonsgegevens te verwerken. En dat terwijl er nu al problemen zijn met de manier waarop gemeenten met gevoelige informatie omgaan.
Afgelopen weekend verscheen in NRC Handelsblad een uitgebreid artikel over dit onderwerp. NRC hield een enquête onder vijftig gemeenten en sprak met verschillende experts. Het geschetste beeld komt overeen met een aantal alarmerende rapporten dat de afgelopen tijd is verschenen: veel gemeenten zijn niet of nauwelijks voorbereid op de transitie en privacy is niet bepaald een topprioriteit.
Tussen de gemeenten bestaan aanzienlijke verschillen, bleek uit het onderzoek van de krant. Vier grote gemeenten (Amsterdam, Den Haag, Groningen en Enschede) hebben een speciaal ‘privacyprotocol’ opgesteld, terwijl tien van de vijftig gemeenten nog niet weten hoe ze om zullen gaan met nieuw te verwerken gevoelige informatie, zoals medische dossiers en strafbladen.
Reden genoeg om dit dossier te blijven volgen, want de gemeenten zullen iets moeten doen. Over vier maanden, vanaf 1 januari 2015, krijgen zij de nieuwe taken erbij. Hoe gaan de gemeenten de komende maanden zaken op orde stellen? Waar lopen zij tegenaan? En welke risico’s lopen burgers?
Wij kregen veel reacties op onze oproep van vorige week. Aardig wat medewerkers van gemeenten en gemeentelijke instanties wilden met ons praten over hun ervaringen en plannen. Die reacties heb ik onderverdeeld in een aantal voorlopige onderwerpen waar ik de komende weken mee aan de slag wil gaan.
Suwinet
Meerdere lezers wezen me op een aantal maatregelen dat is genomen om het gebruik van Suwinet veiliger te maken. Vorig jaar bleek uit een rapport van de Inspectie SZW dat slechts vier procent van de gemeenten voldeed aan de beveiligingseisen voor Suwinet. Medewerkers van de gemeenten waren in staat om persoonsgegevens in te zien zonder dat daar toezicht op was. Dat is zorgwekkend, en al helemaal omdat het gebruik van Suwinet vanaf 2015 intensiever wordt door de decentralisaties.
De Vereniging Nederlandse Gemeenten (VNG) heeft een Baseline Informatiebeveiliging Gemeenten (BIG) opgesteld, waaraan de gemeenten eind 2014 moeten voldoen. En vanaf 2015 heeft staatssecretaris Jetta Klijnsma (Sociale Zaken en Werkgelegenheid, PvdA), de bevoegdheid om gemeenten de toegang tot Suwinet te ontzeggen als zij nog niet voldoen aan de veiligheidseisen. Alleen: gemeenten zijn niet wettelijk verplicht om deze BIG te volgen. Het is slechts een advies. Er is dus actie ondernomen, maar wat doen de gemeenten hier daadwerkelijk mee? En welke gevaren schuilen er nog in het gebruik van Suwinet? Met deze vragen ga ik me de komende tijd bezighouden.
Informatiebeveiligingsdienst gemeenten (IBD)
Na even doorzoeken vond ik dat de BIG wordt uitgevoerd door een dienst die de VNG begin 2013 in het leven heeft geroepen: de Informatiebeveiligingsdienst gemeenten (IBD). Gemeenten kunnen zich aansluiten bij de IBD, die verschillende taken uitvoert om de bescherming van persoonsgegevens bij de gemeenten te verbeteren. Zo kunnen ze een kwetsbaarheidswaarschuwing geven of bijstaan in de beveiliging van DigiD. Twee derde van de gemeenten heeft zich inmiddels aangesloten bij de IBD. De komende weken ga ik me verdiepen in deze dienst, om te kijken wat ze precies doen, waarom nog niet alle gemeenten zijn aangesloten en of wat ze doen ook echt helpt om zowel het gebruik als de opslag van persoonsgegevens bij de gemeenten veiliger te maken.
Gemeenten en de zorg
Verreweg de meest bezorgde reacties die we kregen gingen over de samenwerking tussen de gemeenten en zorginstanties. Die zorgen komen overeen met de bevindingen van NRC. De decentralisaties op het gebied van jeugdzorg en de zorg voor ouderen, langdurig zieken en gehandicapten leiden ertoe dat iedere gemeente straks moet samenwerken met verschillende zorginstanties, om bijvoorbeeld een persoonsgebonden budget vast te kunnen stellen. Omdat iedere gemeente dit zelfstandig regelt, is er geen algemene wijze waarop deze samenwerking is ingericht - en dus kan niet worden vastgesteld hoe hierbinnen met persoonsgegevens wordt omgegaan.
Geneeskundig personeel mag volgens de wet geen medische gegevens delen, maar welke arts gaat zich de hele dag bezighouden met het adviseren van de gemeente? Ik heb een aantal tips gekregen over zorginstanties en andere organisaties die zich veel met deze problematiek bezighouden. De komende weken hoop ik meer te weten te kunnen komen over de spanning die er straks bestaat tussen de behoefte aan volledige kennis bij de gemeenten aan de ene kant en het medisch beroepsgeheim aan de andere kant.
En dan: een modelgemeente
In mijn oproep vroeg ik jullie voorbeelden te geven van gemeenten waar het voorbereiden van de decentralisaties en betere bescherming van persoonsgegevens hand in hand gaan - of juist helemaal niet. We kregen verschillende tips over misstanden rondom privacy bij bepaalde gemeenten. Zo werd in 2013 in Emmen een juridische truc uitgehaald waardoor hulp in het huishouden voor gehandicapten niet meer binnen het persoonsgebonden budget viel. Hier gaan we mee aan de slag. Maar de zoektocht naar de ‘goede’ modelgemeente loopt door: ik zoek een gemeente die geen afwijkende bevolkingssamenstelling heeft, gemiddeld is van grootte, en die gewend is aan de samenwerking met andere gemeenten en externe instanties.