Den Haag, 4 juli 2013

Geachte Kamerleden,

Volgende week debatteert u over het wetsvoorstel Wet maatschappelijke ondersteuning (Wmo 2015). Naar aanleiding van de antwoorden die staatssecretaris Van Rijn gaf op vragen van de SP-fractie, zenden we u een gedetailleerde reactie met de privacyrisico's die dit wetsvoorstel en de uitvoering daarvan met zich meebrengen.

Samenvatting

I. Het wetsvoorstel en de uitwerking in de beleidsvisie bevatten veel gaten en nodigen uit om tegen de Wet bescherming persoonsgegevens in teveel gegevens te verzamelen en deze teveel te delen.

1. Het geven van toestemming betekent niet altijd dat gegevensverkwerking geoorloofd is. Toestemming dient vrijwillig, geïnformeerd en specifiek gegeven te worden volgens artikel 1.i Wbp. Daarvan is in het wetsvoorstel vrijwel geen sprake.

2. Met dit wetsvoorstel ontstaat een groot risico op bovenmatig gegevens verzamelen. Het wetsvoorstel verplicht de gemeenten zeer breed, over domeinen heen, informatie over de betrokkene en zijn omgeving te verzamelen. Belangrijke kaders over onder andere wettelijk verplichte proportionaliteit en subsidiariteit ontbreken.

3. Met dit wetsvoorstel ontstaat een groot risico op bovenmatig gegevens delen met andere instanties of hulpverleners. In het wetsvoorstel delen ambtenaren gegevens met onder andere het ministerie, de belastingdienst, de zorgverzekeraars, het CAK, de SVB en aanbieders van hulp en voorzieningen. Omgekeerd zijn deze instanties weer verplicht hun gegevens met de gemeente te delen. De beperkende voorwaarde is, dat het noodzakelijk voor de uitoefening van hun taak moet zijn. Ook hier ontbreken verdere kaders die volgens de Wbp wel verplicht zijn.

4. Er worden teveel situaties als uitzondering benoemd om gegevensverwerking zonder toestemming mogelijk te maken.

II. Ook in de uitvoering van het wetsvoorstel zien we grote risico's.

5. Gemeenten worden aangemoedigd te experimenteren waarbij de risico's op grove privacy-schendingen voor lief worden genomen. De uitwerking van het wetsvoorstel in de beleidsvisie heeft goede overwegingen, maar concludeert vervolgens dat gemeenten volledig vrij zijn het zelf in te vullen en hun eigen kaders te scheppen.

6. Beveiliging van gegevens is niet afdoende geregeld door het aan de gemeenten over te laten. Bij gebruik van de huidige automatisering heeft 96% van de gemeenten de zaak niet op orde. Van gemeenteraadsleden wordt verondersteld dat zij als ICT-waakhond de gemeenten hierop controleren. Dit is verre van een realistische verwachting.

III. Overig.

7. Overige constateringen. Er is geen duidelijke controle op het Advies- en Meldpunt Huiselijk geweld en kindermishandeling (AMHK). Inzage in het eigen dossier moet kosteloos zijn. Er moet een toets komen voordat voor wetenschappelijk onderzoek inzage in dossiers mogelijk is. Fraudebestrijding moet binnen wettelijke kaders blijven.

 

I. Gaten in de wet



Staatssecretaris Van Rijn stelt dat staatssecretaris Teeven en minister Plasterk elkaar niet tegenspreken. Teeven suggereerde tijdens het debat van 11 februari jl. met uw Kamer dat er een nieuw wettelijk kader nodig was: "Als de noodzaak tot het uitwisselen van gegevens inderdaad blijkt te bestaan, moet er een solide wettelijke grondslag komen voor de domeinoverstijgende gegevensuitwisseling. Daarvoor moet ook weer een PIA worden gemaakt. Ik zeg de Kamer toe dat het kabinet het op die manier zal doen en niet anders." Staatssecretaris Van Rijn stelt nu dat verruiming van domeinoverschrijdend gebruik van gegevens niet aan de orde is. Dat is nadrukkelijk wel het geval. Het motto van het kabinet bij de decentralisatie-operatie is 'een gezin, een regisseur, een plan'. Er wordt gesproken over een 'integrale werkwijze'. In de Wmo 2015 worden de gemeenten opgedragen 'breed te kijken' in hun beoordeling van de hulpvraag, ook over domeinen heen. Zo worden bijvoorbeeld in artikel 2.3.5 Wmo 2015 maar liefst acht aandachtsgebieden genoemd waar gegevens over verzameld moeten worden, waaronder onderwijs, religieuze overtuiging en eventueel betaald werk. Hierbij wordt ook de eventueel ontvangen hulp volgens de Jeugdwet (onder c.) en de ontvangen ondersteuning volgens de Wet werk en bijstand (onder g.) genoemd. Dit betekent een wettelijke plicht voor gemeenten om domeinoverschrijdend gegevens te verzamelen. Op dit moment bestaat die plicht niet, waarmee dus automatisch sprake van een verruiming is.

Ook worden met de Wmo 2015 gemeenten bevoegd veel gegevens te verzamelen over familie, huisgenoten en anderen in de directe omgeving van de 'cliënt' (artikel 5.1.1 Wmo 2015). Ook dat is op dit moment niet op deze schaal mogelijk.

De ontkenning van staatssecretaris Van Rijn is wel begrijpelijk. Het aanpassen van de wet op domeinoverschrijdend gebruik van gegevens is namelijk niet goed mogelijk. De wetgever komt dan in de knoop met de Wet bescherming persoonsgegevens (Wbp) en achterliggend met de Europese richtlijn bescherming persoonsgegevens (95/46/EG) en artikel 8 EVRM, waar strikte beperkingen aan het hergebruik van gegevens worden gesteld. Omdat een aanpassing van de Wbp en wellicht ook een benodigde aanpassing van de Europese richtlijnen en het EVRM niet voor de hand ligt, kiest de staatssecretaris ervoor om met noodgrepen en oneigenlijk gebruik van wettelijke bepalingen toch zijn zin door te drijven.

Staatssecretaris Teeven was zorgvuldig toen hij op 11 februari zei dat er een Privacy Impact Assessment (PIA) nodig is om te bekijken of de plannen aan de wettelijke eisen voldoen, zodat privacy-risico's kunnen worden verminderd. Die PIA is door het kabinet niet uitgevoerd. Er is direct gestart met het uitwerken van een beleidsvisie om het wettelijk gat te dichten.

De werkwijze van deze beleidsvisie is dat bij elke verwachte situatie binnen het domein van de Wmo 2015 een passende rechtvaardigingsgrond in de Wet bescherming persoonsgegevens (Wbp) wordt gezocht. Zo wordt deze wet op creatieve wijze ingezet om de ideeën van dit kabinet een wettelijk onderdak te geven. De belangrijkste rechtvaardigingsgrond die met deze manier van werken is gevonden, is het laten geven van toestemming. Volgens de staatssecretaris mag dan vervolgens bijna alles. Waar geen toestemming kan worden verkregen worden gegevens toch verwerkt onder verwijzing naar een uitzonderingsbepaling in de Wbp. Hieronder gaan we op de verschillende gaten in dit wetsvoorstel in.

1 Toestemming wordt niet specifiek gevraagd en is niet vrijwillig

Toestemming dient vrijwillig, geïnformeerd en specifiek gegeven te worden volgens artikel 1.i Wbp.

In de Nadere Memorie van Antwoord (NMvA, p.16) stelt de staatssecretaris dat een cliënt in belangrijke mate zelf bepaalt welke gegevens hij verstrekt. Dat is niet waar. Om een voorziening te krijgen MOET de cliënt gegevens afstaan. Doet een cliënt dat niet dan mag volgens dit wetsvoorstel de gemeente niet 'per definitie' de hulp stoppen, maar minder (passende) hulp of geen hulp zijn wel degelijk mogelijke consequenties. In de NVmA schrijft de staatssecretaris op pagina 28: "... als de cliënt enerzijds om een voorziening vraagt en anderzijds niet zou goedvinden dat het college de aanbieder die de voorziening voor het college moet leveren, de nodige gegevens verstrekt, zal het college hem de gevraagde voorziening mogelijk niet kunnen verstrekken. Ik zie in het licht van het voorgaande geen aanleiding om voorzieningen te treffen voor een situatie waarin een cliënt niet zou willen meewerken aan het zorgvuldig inschakelen van de aanbieder die hem de maatwerkvoorziening moet leveren." De cliënt 'betaalt' daarmee in feite met zijn gegevens voor zijn voorziening. De voorgestelde vrijwilligheid is dus schijn of in ieder geval zeer beperkt.

In artikel 5.1.1 lid 4 Wmo 2015 wordt met name genoemd dat gegevens uit andere domeinen gebruikt mogen worden. Ook hier is de drempel dat burgers toestemming moeten geven. Maar zonder toestemming kan de gemeente de cliënt de voorziening onthouden. Volgens artikel 2.3.8 en 2.3.10 mag de gemeente cliënten zorg en ondersteuning weigeren als de cliënt geen openheid van zaken geeft. In de Memorie van Toelichting (MvT) staat: "Het college kan alleen een zorgvuldige afweging maken en een integraal aanbod doen als het beschikt over de noodzakelijke gegevens. Het (bewust) geen toestemming verlenen aan het college tot verwerking of inzage in gegevens of het maar ten dele verlenen van toestemming door de cliënt, kan er daarom mogelijk toe leiden dat het college komt tot een negatief besluit op een aanvraag. Dat is het geval als het college niet kan vaststellen of er reden is de cliënt met een maatwerkvoorziening te ondersteunen."

Er wordt in het wetsvoorstel nergens afgebakend hoe specifiek toestemming gegeven dient te worden. In de beleidsvisie wordt dit punt wel aangehaald, maar wordt ook geconstateerd dat dit door de gemeenten verder zelf ingevuld moet worden. Zelfs bij het zoveel besproken hergebruik van gegevens is niet duidelijk of er nog om specifieke toestemming wordt gevraagd. Zowel het wetsvoorstel als de beleidsvisie zegt hier niets over. Ook op dit punt voldoet (de uitwerking van) het wetsvoorstel niet aan de Wbp.

In artikel 5.1.1. Wmo 2015 krijgen de gemeenten de bevoegdheid gegevens te verzamelen van familie, huisgenoten en anderen in de directe omgeving van de cliënt. Hiervoor is toestemming nodig. Moet de gemeente al deze mensen langs om toestemming te vragen? Zowel het wetsvoorstel als de beleidsvisie is hier niet duidelijk over, maar in de praktijk lijkt gegevens verzamelen zonder toestemming van betrokkenen hier bijna onvermijdbaar.

Over toestemming geven is al jurisprudentie. De toestemming dient dus vrijwillig, geïnformeerd en specifiek gegeven te zijn. In het kader van deze wet zal het vaak betrekking hebben op bijzondere (medische) persoonsgegevens waarvoor een nog strakker wettelijk kader geldt. Toestemming is niet vrijwillig als gedreigd wordt met het stopzetten van een uitkering of het niet ontvangen van hulp bij weigering. Hierover ligt een relevante overweging van de bestuursrechter. Alleen in situaties waar sprake is van een dreiging van ernstige gevaar voor de veiligheid van betrokkenen of anderen mogen hulpverleners zonder toestemming informatie gebruiken.

Toestemming is dus niet specifiek gemaakt en wordt niet (geheel) vrijwillig gegeven. Toestemming vragen aan alle betrokkenen in een sociaal netwerk is niet realistisch. Hoe het precies wordt ingevuld weet niemand, want de gemeenten worden daarin vrijgelaten, maar de wetgever dwingt op dit gebied niets af en stelt geen kaders. Dat houdt voor de rechter geen stand.

top â–²

2 Groot risico op bovenmatig gegevens verzamelen.

Na de stelling dat de cliënt zelf bepaalt welke gegevens hij verstrekt, stelt staatssecretaris Van Rijn dat de hulpvraag bepaalt welke gegevens worden verwerkt (NMvA, p.17). Ook dat is niet waar. Niet de hulpvraag maar de gemeente bepaalt, op basis van dit wetsvoorstel, welke gegevens worden verzameld. De burger vraagt slechts om hulp. De overheid vraagt hem vervolgens het hemd van het lijf, want de gemeente wordt opgeroepen 'breed' te kijken (artikel 2.3.5 Wmo 2015, zie ook hierboven).

De belangrijkste criteria volgens de Wbp voor het verzamelen van gegevens is dat ze noodzakelijk zijn en dat de inbreuk op de privacy proportioneel is met het beoogde doel. Bovendien moet altijd het minst inbreukmakende alternatief gekozen worden om het doel te bereiken (subsidiariteit). In de MvT van het wetsvoorstel Wmo 2015 worden slechts algemene overwegingen gegeven. Zo zegt de staatssecretaris (p.65): "De proportionaliteit is gewaarborgd doordat er slechts gebruik wordt gemaakt van de meest noodzakelijke, tot het minimum beperkte gegevensset." Voor de verdere invulling van de daadwerkelijke gegevensset wordt verwezen naar de Algemene Maatregel van Bestuur (AMvB) die nog gemaakt moet worden. In het wetsvoorstel zelf wordt over proportionaliteit en subsidiariteit niets gezegd. Dit is een enorm risico op bovenmatig gegevens verzamelen.

In de beleidsvisie wordt wel aandacht besteed aan de belangrijkste criteria voor verantwoord gegevens verzamelen om vervolgens te concluderen (p. 29): "Het onderzoek zoals bedoeld in de nieuwe Wmo heeft een diagnostisch karakter en is in die zin vergelijkbaar met een gesprek bij de huisarts. Een huisarts zal via een serie vragen, checkvragen en observaties, proberen zich een zo goed mogelijk beeld te vormen van de situatie." De gemeenten worden daarmee in feite vrij gelaten zich zo breed mogelijk over de betrokkene te informeren. Daarbij geldt dat de gemeenten sowieso zelf mogen bepalen hoe ze deze 'intake' mogen organiseren. Hoe kan er dan nog zicht op de wettelijke criteria van noodzakelijkheid, proportionaliteit en subsidiariteit worden gehouden?

Volgens artikel 5.1.1 Wmo 2015 mag de gemeente alle gegevens van huisgenoten en iedereen in het sociale netwerk verzamelen "die noodzakelijk zijn om vast te stellen welke hulp deze aan de cliënt bieden of kunnen bieden". Daar kan iedereen en alles onder verstaan worden. Dit artikel regeert de facto over domeinen heen. Er is geen enkele drempel ingebouwd, anders dan dat er staat dat het noodzakelijk voor een beoordeling moet zijn. Door het zo te stellen, zijn deze artikelen niet in lijn met de criteria voor proportionaliteit en subsidiariteit.

Ook in artikel 5.2 wordt over domeinen heen geregeerd. De gemeente mag medische en andere persoonsgegevens verwerken "ten behoeve van de taken die bij of krachtens de Jeugdwet, de Participatiewet en de Wet gemeentelijke schuldhulpverlening aan het college zijn opgedragen". De enige drempel die is ingebouwd is het geven van toestemming door betrokkenen. We hebben al geconstateerd dat dat een te mager criteria is om over domeinen heen gegevens uit te wisselen.

Hergebruik van gegevens volgens artikel 9 Wbp
De beleidsvisie concludeert (p. 3): "... sectorwetgeving [geeft aan] onder welke omstandigheden voor het ene domein verzamelde gegevens verder kunnen worden verwerkt voor een hulpvraag of voorziening in een ander domein". Artikel 9 Wbp schept enige mogelijkheden voor hergebruik van gegevens, maar dat is aan strikte voorwaarden verbonden. Aan die voorwaarden wordt niet voldaan. Omdat in een wetsvoorstel staat dat gegevens uit het éne domein in het andere domein kunnen worden gebruikt, betekent dat niet gelijk dat het proportioneel, gerechtvaardigd en noodzakelijk is.

De strekking van artikel 9 is (volgens de MvT Wbp) "Gegevens kunnen worden gebruikt voor andere doeleinden dan waarvoor zij zijn vergaard, zolang deze andere doeleinden verenigbaar zijn met het oorspronkelijk doel waarvoor zij worden verwerkt." Dit moet vrij strikt worden uitgelegd. Zie ook de passages hieronder uit de MvT Wbp:

Pagina 90 "Hoe gevoeliger het gegeven, hoe minder snel mag worden aangenomen dat er sprake is van verenigbaar gebruik indien bij enige verwerking wordt afgeweken van het oorspronkelijk doel."  De decentralisatie gaat over zorgverlening waarbij vrijwel op elk punt medische gegevens gebruikt worden. Dit zijn UITERMATE gevoelige gegevens.

Pagina 91 "Worden de gegevens gebruikt als basis voor mogelijke beslissingen met betrekking tot hem [de cliënt, red.], dan is er eerder sprake van onverenigbaar gebruik dan wanneer de gegevens worden gebruikt voor wetenschappelijk onderzoek of voor de toezending van bepaalde boodschappen. Bij deze beslissingen gaat het om beslissingen [..] in de publieke sector, bijvoorbeeld de beslissing om iemand te onderwerpen aan de uitoefening van bepaalde toezichthoudende bevoegdheden." Juist in de situaties waar het de decentralisaties betreft worden alle gegevens ook voor beslissingen en toezichthoudende taken over de burger gebruikt.

top â–²

3 Groot risico op bovenmatig gegevens delen met andere instanties of hulpverleners.

In het wetsvoorstel delen ambtenaren gegevens met het ministerie, de belastingdienst, de zorgverzekeraars, het CAK, de SVB en aanbieders van hulp en voorzieningen (artikel 5.2.1 Wmo 2015). Omgekeerd zijn deze instanties weer verplicht hun gegevens met de gemeente te delen. De beperkende voorwaarde is dat het noodzakelijk voor de uitoefening van hun taak moet zijn. Maar soms is dat erg breed gedefinieerd. Zo staat er in artikel 5.2.1 lid 2.d dat gegevens worden verstrekt aan "toezichthoudende ambtenaren, voor zover deze noodzakelijk zijn voor een goede uitoefening van het toezicht of het nemen van maatregelen ter handhaving van wettelijke voorschriften." Tja. Andere criteria waaraan voldaan moet worden voor rechtmatige uitwisseling van gegevens zijn met name proportionaliteit en subsidiariteit. Zoals eerder geconstateerd, worden deze criteria in het gehele wetsvoorstel niet eens genoemd.

Alleen bij het uitwisselen van gegevens met de zorgverzekeraars is volgens art 5.2.5 WMO 2015 wel nog toestemming van de betrokkene noodzakelijk.

top â–²

4 Er worden teveel situaties onder uitzonderingen geplaatst.

Gegevens kunnen zonder toestemming worden uitgewisseld op basis van artikel 8d en artikel 43 Wbp. Hiervoor gelden strikte voorwaarden (zie ook MvT Wbp p. 90 e.v.), zoals dat het om een zaak van leven en dood moet gaan of voor de openbare veiligheid nodig is. In deze wetsvoorstellen waar de hulpvraag centraal staat, zouden het daarom uitzonderingen moeten zijn.

In het wetsvoorstel wordt daarentegen een veel ruimere interpretatie gehanteerd. In artikel 3.4 Wmo 2015 wordt gesteld dat door aanbieders persoonsgegevens zonder toestemming aan de ambtenaar worden gegeven, "indien deze niet meer in staat is de toestemming te geven dan wel dit noodzakelijk kan worden geacht ter bescherming van cliënten". Dat laatste is een veel te ruime term die eng geïnterpreteerd zou moeten worden.

De beleidsvisie is gelukkig stricter (p.30): "De wet biedt in de hierboven beschreven situatie mogelijkheden voor het delen van persoonsgegevens tussen professionals zonder betrokkene daar in te kennen, zij het onder zeer strikte voorwaarden, namelijk dat niet ingrijpen door de overheid een gevaar op zou leveren voor de veiligheid en gezondheid van betrokkene(n) of hun omgeving." Precieze invulling wanneer zonder toestemming mag worden gewerkt, ontbreekt. De uiteindelijke beslissing wordt aan de 'professional' en de gemeente overgelaten.

Een half miljoen mensen als uitzondering
Er wordt in de beleidsvisie gesteld dat 12% van de inwoners (eerstelijns) hulp van de gemeente vraagt. Daarnaast krijgt 3% van de inwoners een domeinoverschrijdende aanpak. Door de getallen zo te benoemen lijkt het een beperkte groep. Uiteindelijk gaat het bij 3% wel om een half miljoen mensen. Wordt alleen gekeken naar de mensen voor wie de wet bedoeld is, dan wordt ineens 20% met een domeinoverschrijdende, gedwongen aanpak geconfronteerd. Dat is geen uitzonderingssituatie meer.

De opzet van de uitzonderingsbepaling in de wet wordt feitelijk oneigenlijk opgerekt door er regulier beleid voor een half miljoen mensen onder te vangen.

top â–²

 

II. Ook in de uitvoering van het wetsvoorstel zien we grote risico's.



5 Gemeenten worden aangemoedigd te experimenteren met de lokale processen en daarmee met de privacy van burgers.

De beleidsvisie schrijft: "Gemeenten zijn op dit moment volop bezig nieuwe werkwijzen te ontwikkelen om de dienstverlening in het sociaal domein zo effectief en efficiënt mogelijk te organiseren. Daarin maken zij verschillende keuzen. [..] Het kabinet geeft gemeenten daarvoor bewust beleidsvrijheid om de werkwijzen optimaal af te stemmen op de situatie in de eigen gemeente."

Lokaal geëxperimenteer met de privacy van burgers waar het ook nog om bijzondere (medische) persoonsgegevens gaat, is niet acceptabel. Het College Bescherming Persoonsgegevens waarschuwde minister Plasterk daar onlangs nog voor. Dat dit risico niet denkbeeldig is, blijkt onder andere uit de uitspraken van wethouder Peters in Oss over deze waarschuwing van het CBP: "Als gemeenten en instellingen met de oude wet [Wbp, red.] moeten werken in de nieuwe situatie dan wordt het helemaal niks met die integrale aanpak. [..] hameren op bescherming van persoonsgegevens mag geen excuus worden om niet te hoeven (of kunnen) samen werken. En dat gaat op deze manier wel gebeuren. Laten we gegevens gewoon delen waar dat nodig is. En als professionals met gezond verstand naar privacy problemen kijken. En deze vervolgens praktisch oplossen".

Er is duidelijk meer centrale sturing en controle nodig vanuit het Rijk op het gebied van privacybescherming om grote ongelukken te voorkomen.

Privacy Impact Assesments
Gemeenten mogen zelf hun processen inrichten. Staatssecretaris Teeven verwacht dat dit uitmondt in een vijftal variaties. De staatssecretaris heeft toegezegd dat er voor elk van deze vijf modellen een Privacy Impact Assessment zal worden uitgevoerd. Op 11 februari verwachtte hij dat deze rond de zomer beschikbaar zouden zijn. Vorige week zei hij in de Tweede Kamer dat ze pas in het najaar beschikbaar komen.

top â–²

6 Beveiliging is niet afdoende geregeld door het aan de gemeenten over te laten

De staatssecretaris laat de beveiliging aan de gemeenten zelf over en dreigt met sancties als uit controles blijkt dat het mis gaat (NMvA, p.16). Dat is het paard achter de wagen spannen. Uit een onderzoek van de VNG van november 2013 bleek dat slechts 4% van de gemeenten de beveiliging van gegevens van het Suwinet op orde had. Als 96% de beveiliging niet op orde heeft, kan geconcludeerd worden dat de gemeenten niet in staat zijn de gegevens goed te beveiligen.

De staatssecretaris vindt dat de gemeenteraad hierop moet controleren (NMvA, p.16). Maar waar baseert de staatssecretaris op dat de gemeenteraad ICT-deskundigen op het gebied van informatiebeveiliging zijn? Zelfs de centrale overheid en de Tweede Kamer laten het op dit gebied regelmatig afweten. Dat blijkt duidelijk uit de verhoren die de tijdelijke commissie ICT van de Tweede Kamer onder voorzitterschap van Ton Elias in april en mei hield. Begin juli heeft minister Hennis nog vier topambtenaren ontslagen omdat cruciale ICT bij defensie een puinhoop is. Hoe kan de staatssecretaris serieus verwachten dat gemeenteraadsleden in 403 gemeenten dit beter doen?

De staatssecretaris kiest voor een formele situatie maar verliest daarbij de realiteit uit het oog. Als de staatssecretaris dit wetende toch de gemeenten haar gang laat gaan, kan je bijna spreken van onbehoorlijk bestuur. Centrale sturing en begeleiding is noodzakelijk voor een goede gegevensbeveiliging. De staatssecretaris moet beveiligingsrichtlijnen dwingend afspreken. Dit is ook mogelijk met artikel 5.2.7 Wmo 2015 waarin de minister door middel van een AMvB de beveiligingsvoorwaarden kan voorschrijven. Alvorens een systeem daadwerkelijk door een gemeente gebruikt gaat worden, dient een audit te worden gedaan. Zonder 'diploma' wordt het systeem niet in gebruik genomen.

Grotere gevolgen bij 'datalekken' door gebruik BurgerServiceNummer
Volgens artikel 5.2.9 Wmo 2015 gebeurt alle gegevensverwerking op basis van het BSN. Het BSN is bedoeld voor identificatie binnen de overheid, maar het wordt nu ook verplicht gesteld bij de betrokken organisaties die geen overheid zijn. Het is efficiënt om alle gegevens zo makkelijk te kunnen koppelen, maar de beveiliging wordt navenant belangrijker. De risico's op forse privacy-inbreuken, hetzij door overmatig koppelen, hetzij door het 'lekken' van gegevens wordt voor lief genomen omwille van de efficiency.

top â–²

III. Overig



7 Overige constateringen

Het AMHK hoeft volgens artikel 5.3.1 Wmo 2015 betrokkenen niet altijd te informeren als ze gegevens van derden ontvangen. Deze 'derden' kunnen zelfs anoniem blijven. Ook andere organisaties hoeven niks te zeggen volgens artikel 5.3.2 Wie bepaalt wanneer betrokkenen niet worden ingelicht? Wie bepaalt dat melders anoniem melding mogen doen over gezinnen of personen? Het AMHK zelf? Hoe vindt controle hierop plaats?

Inzage moet kosteloos zijn
Volgens artikel 5.3.2 lid 5 Wmo 2015 mogen instanties een vergoeding vragen als men inzage in het eigen dossier wenst. Dat is natuurlijk een gotspe in dit digitale tijdperk. Op diverse plaatsen in het wetsvoorstel is opgenomen dat de gegevens "kosteloos" aan het ministerie en andere instanties moeten worden verstrekt. Waarom kan het dan wel zonder geld in rekening te brengen? Inzage is een noodzakelijk en wettelijk recht om controle over de eigen situatie en de ingrepen van de overheid te houden. Het is absurd dat de gemeenten daar drempels voor opwerpen door er geld voor te vragen.

Toets door Medisch Ethische Commissie
Voor wetenschappelijke doeleinden mogen mensen ongevraagd in dossiers neuzen. Hier zou een toets voor moeten gaan gelden, vergelijkbaar met de toets zoals die in de Wet medisch-wetenschappelijk onderzoek met mensen is geregeld. Met dit wetsartikel worden de drempels voor wetenschappelijk onderzoek verlaagd ten koste van de bescherming van de privacy van mensen. En waarvoor? Als er een zorgvuldig plan is kan het de toets van een Medisch Ethische Commissie doorstaan!

Fraudebestrijding
Er komt een handreiking fraudebestrijding (NMvA, P.14). De grootste bestandskoppelingen worden uitgevoerd in het kader van de fraude bestrijding. Bij fraudebestrijding worden tegenwoordig breed bestanden vergeleken en gegevens gekoppeld. Omdat de gegevensverwerking binnen de overheid blijft, worden burgers hierover niet of nauwelijks geïnformeerd. De vraag is of dat nog in lijn is met de informatieplicht zoals beschreven in artikel 34 Wbp. Dat geldt ook voor andere bestandsvergelijkingen of profilering met de gegevens die straks beschikbaar komen. De Eerste Kamer zou er op toe moeten zien dat de handreiking fraudebestrijding zich binnen de wettelijke regels blijft afspelen.

 

Vriendelijke groet,
Privacy Barometer.

top â–²

 

reacties

Er zijn nog geen reacties gegeven.

Voeg zelf uw reactie toe:

naam: 
reactie: 
0/1500
 

Deel deze pagina via:

05-12-18

Tweede Kamer stemt in met uitwisselen betaalgegevens

De Tweede Kamer heeft ingestemd met het wetsvoorstel waarmee andere bedrijven uw betaalgegevens bij banken mogen opvragen als u daar toestemming voor geeft. Op basis van die gegevens kunnen bedrijven nieuwe financiële diensten ontwikkelen. Critici vrezen dat gegevens te gemakkelijk toegankelijk worden. Lees verder >>>

07-11-18

Gebruik risicoprofielen in de zorg krijgt wettelijke basis

Het opstellen van risicoprofielen van mensen voor het gebruik van medische zorg krijgt een wettelijke basis. Minister Bruins (VVD) heeft hiervoor een wetsvoorstel ingediend.  Het Zorginstituut stelt namens het ministerie per verzekerde een risicoprofiel op. Deze persoonlijke medische risicoprofielen worden gebruikt om kosten tussen zorgverzekeraars te kunnen verrekenen. Lees verder >>>

Download onze app

Privacy VandaagVolg het actuele nieuws van het Nederlandse privacyfront met onze Android app. Download hem hier!

Heb jij wat te verbergen?

fotoMensen hebben niets te verbergen als je ze dat vraagt. Of toch wel? Bekijk de video op Youtube.

Facebook opzeggen

opzeggenLees hier hoe je je Facebook-account kan opzeggen. >>>

Nieuwsbrief

Privacy Barometer brengt een paar keer per jaar een nieuwsbrief uit. Wilt u op de hoogte blijven, meldt u hier aan voor deze nieuwsbrief:  
Uw gegevens worden aan niemand ter beschikking gesteld, tenzij dat wettelijk vereist wordt. Het emailadres wordt alleen voor deze nieuwsbrief gebruikt.

of volg ons via

mobiele versie | volledige versie

deze pagina is samengesteld in: 1.157 seconden