6 vragen die de gemeenteraad zou moeten stellen over onze privacy

Maurits Martijn
Correspondent Beter internet

Samen met Anne Schepers doe ik nu en de komende weken onderzoek naar de manier waarop gemeenten omgaan met intieme persoonsgegevens van burgers. De tussenstand: bar slecht. Vandaag: zes scherpe raadvragen hierover van Reinout Barth, hoofdredacteur van Privacybarometer.nl.

Deze zomer zijn de eerste gegevens van mensen die jeugdzorg of maatschappelijke ondersteuning ontvangen, naar de gemeenten gestuurd. Toch zijn gemeenten er nauwelijks klaar voor. Privacy en gegevensbescherming blijken de stiefkinderen bij deze decentralisatie. Reden genoeg voor betrokken gemeenteraadsleden om de komende tijd de stappen van het college nauwgezet te volgen.

Een van de belangrijkste kenmerken van de decentralisatie is dat het kabinet wil dat er integraal hulp wordt verleend aan een gezin. In de praktijk betekent dit dat hulpverleners en ambtenaren zoveel mogelijk gegevens van een burger en zijn gezin bij elkaar willen brengen, om in te schatten welke zorg passend is. De meeste gemeenten richten hiervoor wijkteams in, waarin de gemeente­ambtenaren en de hulpverleners van verschillende disciplines met elkaar samenwerken.

Maar dat betekent niet dat al die mensen zomaar in de medische gegevens mogen snuffelen of dat de dossiers onderling mogen worden uitgewisseld. Ook bij deze decentralisatie gelden er belangrijke privacyregels, zodat mensen zich beschermd kunnen voelen tegen overmatige bemoeienis van de gemeente of anderen.

Privacyrisico’s onderschat

Gegevens, en zeker medische gegevens, mogen helemaal niet zo makkelijk gedeeld worden als het kabinet suggereert. Zo is het uitwisselen van gegevens tussen de verschillende domeinen jeugdzorg en maatschappelijke ondersteuning wettelijk (vrijwel) niet toegestaan. Voor medische gegevens geldt een zeer streng beroepsgeheim. Toch krijgt privacy weinig aandacht bij de decentralisaties.

Al in oktober 2013 uitten onze zorgen in een brief aan de Eerste Kamer. Ook het College Bescherming Persoonsgegevens enkele keren. Naarmate 1 januari dichterbij komt, verschijnen er steeds meer berichten dat deze waarschuwingen niet ter harte zijn genomen. Zo constateerde NRC Handelsblad dat in veel gemeenten de privacybescherming nog niet op orde Onlangs waarschuwde ook de koepel van patiëntverenigingen dat de privacy van 1 miljoen jeugdzorgpatiënten gevaar

In een tussentijdse rapportage van de verantwoordelijke staatssecretarissen Martin van Rijn (PvdA, Volksgezondheid, Welzijn en Sport) en Fred Teeven (VVD, Justitie en Veiligheid) wordt met geen woord over privacy Omdat de landelijke politiek de privacyrisico’s blijft onderschatten, is het aan gemeenteraadsleden om gemeenten te dwingen dit goed te regelen. Om u op weg te helpen, geef ik de volgende zes suggesties mee.

Suggesties voor raadsvragen

1. Gemeentelijke verordening. De gemeente is verplicht de landelijke jeugdwet te vertalen naar de lokale situatie. Hiervoor moet de gemeente voor 1 november 2014 een verordening (lokale wet) opstellen. Hierin moeten ook de eisen aan de omgang met (medische) persoonsgegevens geregeld worden. In de voorbeeldverordeningen van het ministerie voor de jeugdwet en voor de Wet maatschappelijk ondersteuning (Wmo) wordt dit niet geregeld. Het gebruik van deze modellen is dus niet voldoende om de privacy van burgers te waarborgen.

Vragen:

- Is de gemeentelijke (concept-)verordening al beschikbaar? Zo nee, waarom niet en wanneer kan de raad deze verwachten? Zo ja, kan deze zo spoedig mogelijk naar de raad worden gestuurd?

- Constaterende dat in de modelverordeningen de privacybescherming van burgers nauwelijks aan de orde komt, welke aanvullende bepalingen zijn er opgenomen om de privacy van burgers te waarborgen?

2. Het wiel uitvinden. De gemeente is vrij om de omgang met gegevens, binnen de wettelijke kaders, zelf in te vullen. Op aandringen en met medewerking van onder andere Privacy Barometer heeft het ministerie een handreiking met gemaakt hoe de omgang met gegevens ingericht kan worden waarbij de privacy van burgers zo goed mogelijk gewaarborgd wordt. Het proces hiervoor heet Voor de invulling van lokale processen heeft de Vereniging van Nederlandse Gemeenten (VNG) verschillende privacy-tools

Vragen:

- Volgt het college deze landelijke handreiking door in het hulpverleningsproces triage te gebruiken? Zo nee, waarom denkt het college af te moeten wijken van de landelijke uitwerking waarin privacy zo goed mogelijk beschermd is?

- Zou het college de raad zo spoedig mogelijk een schriftelijke, duidelijke en concrete afweging willen sturen waarin wordt aangegeven op welke punten het college afwijkt van de landelijke triage en wat daar de redenen voor zijn? Wanneer kan de raad deze ontvangen?

3. Samenwerkingsconvenant. De gemeente wordt de centrale regisseur bij de hulpverlening en gaat een samenwerkingsverband aan met tal van hulpverlenende instanties. Hiervoor zullen partijen een samenwerkingsconvenant opstellen, waarin duidelijke regels over de omgang met (medische) gegevens moet zijn beschreven. Dit moet voor 1 januari gesloten zijn.

Vragen:

- Zijn de (concept-)samenwerkingsconvenanten al opgesteld? Zo nee, waarom niet en wanneer worden deze opgesteld? Zo ja, kunnen deze zo spoedig mogelijk naar de raad worden gestuurd?

4. Privacyprotocol. De hulpverleners die in een wijkteam samenwerken, mogen niet zomaar patiëntgegevens met elkaar bespreken. Binnen een team moet zorgvuldig omgegaan worden met de privacy van mensen. Dat is niet alleen een wettelijke plicht, het zal ook het vertrouwen in de hulpverlening ten goede komen. Voor hulpverleners in de wijkteams dient daarom één privacyprotocol of privacyreglement te worden opgesteld. Hierin staan regels hoe de hulpverleners onderling met het delen van informatie omgaan. Het werken zonder of juist met verschillende privacyprotocollen met verschillende regels levert grote privacyrisico’s op.

Vragen:

- Erkent het college het belang van een goed privacyprotocol? Zo nee, hoe denkt het college de zorgvuldige omgang met (medische) persoonsgegevens in wijkteams te garanderen? Zo ja, is het privacyprotocol al opgesteld? Zo nee, waarom niet en wanneer gaat dit gebeuren? Zo ja, is het mogelijk dat het college deze zo spoedig mogelijk naar de raad stuurt?

5. Gegevensbeveiliging. Alle persoonsgegevens worden opgeslagen in gemeentelijke systemen. Bij een steekproef vorig jaar bleek dat slechts 4 procent van de gemeenten de beveiliging van een van deze gemeentelijke systemen, namelijk op orde had. Dit najaar volgt een tweede meting. Staatssecretaris Jetta Klijnsma (PvdA, Sociale Zaken en Werkgelegenheid) waarschuwt dat het College Bescherming Persoonsgegevens onderzoek zal doen naar de gegevensbeveiliging en dreigt gemeenten af te koppelen als de beveiliging niet op orde blijkt te zijn. Tot op heden lijken niet alle gemeenten dit serieus te nemen.

Vragen:

- Volgt het college de van de Vereniging van Nederlandse Gemeenten voor goede gegevensbeveiliging? Zo nee, waarom niet? Hoe scoorde de gemeente bij de meting van november 2013? Op welke manier zorgt het college ervoor dat de gegevensbeveiliging van het Suwinet en andere systemen voor de verwerking van persoonsgegevens op orde is?

6. Privacyrisico’s in kaart gebracht. Met een Privacy Impact Assessment (PIA) worden de risico’s voor privacy in kaart gebracht. Onder andere op aandringen van Privacy Barometer, worden er landelijk vijf PIA’s uitgevoerd om de privacyrisico’s voor de meest gebruikte processen op te sporen. Deze PIA’s komen volgens staatssecretaris Teeven dit najaar beschikbaar bij de transitiebureau’s van de jeugdzorg en de Wmo. Daarnaast komt bij deze transitiebureaus een Privacy InformatieFolder voor gemeenten beschikbaar. Exacte data kan het ministerie niet geven.

Vragen:

- Maakt het college gebruik van de ondersteuning door het landelijk bureau? Zo nee, waarom niet? Laat het college een eigen PIA uitvoeren op de processen bij de jeugdzorg? Zo nee, gaat het gebruik maken van de landelijk beschikbare PIA’s en de Privacy InformatieFolder? Zo nee, waarom niet? Hoe gaat het college ervoor zorgen dat de privacy-risico’s zo goed mogelijk beperkt worden? Wanneer kan de raad een eerste voortgangsverslag hierover ontvangen?

Dit artikel is geschreven door Reinout Barth, hoofdredacteur van Privacybarometer.nl en eerder op die site.