Privacybescherming jeugdzorg in handen van raadsleden

Deze zomer zijn de eerste gegevens van mensen die jeugdzorg of maatschappelijke ondersteuning ontvangen, naar de gemeenten gestuurd. Toch zijn gemeenten er nauwelijks klaar voor. Privacy en gegevensbescherming blijken de stiefkinderen bij deze decentralisatie. Reden genoeg voor betrokken gemeenteraadsleden om de komende tijd de stappen van het college nauwgezet te volgen. Om u daarmee op weg te helpen, geeft Privacy Barometer u zes concrete suggesties mee.

Eén van de belangrijkste kenmerken van de decentralisatie is dat het kabinet wil dat er integraal hulp wordt verleend aan een gezin. In de praktijk betekent dit dat hulpverleners en ambtenaren zoveel mogelijk gegevens van een burger en zijn gezin bij elkaar willen brengen, om in te schatten welke zorg passend is. De meeste gemeenten richten hiervoor wijkteams in, waarin de gemeente­ambtenaren en de hulpverleners van verschillende disciplines met elkaar samenwerken.

Maar dat betekent niet dat al die mensen zomaar in de medische gegevens mogen snuffelen of dat de dossiers onderling mogen worden uitgewisseld. Ook bij deze decentralisatie gelden er belangrijke privacyregels, zodat mensen zich beschermd kunnen voelen tegen overmatige bemoeienis van de gemeente of anderen.

Privacyrisico’s onderschat

Gegevens, en zeker medische gegevens, mogen helemaal niet zo makkelijk gedeeld worden als het kabinet suggereert. Zo is het uitwisselen van gegevens tussen de verschillende domeinen jeugdzorg en maatschappelijke ondersteuning wettelijk (vrijwel) niet toegestaan. Voor medische gegevens geldt een zeer streng beroepsgeheim. Toch krijgt privacy weinig aandacht bij de decentralisaties. Al in oktober 2013 spraken wij onze zorgen hierover uit in een brief aan de Eerste Kamer. Ook het College Bescherming Persoonsgegevens waarschuwde enkele keren. Naarmate 1 januari dichterbij komt, verschijnen er steeds meer berichten dat deze waarschuwingen niet ter harte zijn genomen. Zo constateerde NRC dat in veel gemeenten de privacybescherming nog niet op orde is. Onlangs waarschuwde ook de koepel van patiëntverenigingen dat de privacy van 1 miljoen jeugdige patiënten gevaar loopt!

In een tussentijdse rapportage van de verantwoordelijke staatssecretarissen Van Rijn en Teeven wordt met geen woord over privacy gerept. Teeven vindt privacy maar lastig. Omdat de landelijke politiek de privacyrisico’s blijft onderschatten, is het aan gemeenteraadsleden om gemeenten te dwingen dit goed te regelen. Om u op weg te helpen, geeft Privacy Barometer de volgende zes suggesties mee.
 

Suggesties voor raadsvragen

1. Gemeentelijke verordening. De gemeente is verplicht de landelijke jeugdwet te vertalen naar de lokale situatie. Hiervoor moet de gemeente voor 1 november 2014 een verordening (lokale wet) opstellen. Hierin moeten ook de eisen aan de omgang met (medische) persoonsgegevens geregeld worden. In de voorbeeld verordeningen van het ministerie voor de jeugdwet (MS Word) en voor de Wmo wordt dit niet geregeld. Het gebruik van deze modellen is dus niet voldoende om de privacy van burgers te waarborgen!

Is de gemeentelijke (concept-)verordening al beschikbaar? Zonee, waarom niet en wanneer kan de raad deze verwachten? Zoja, kunnen deze zo spoedig mogelijk naar de raad worden gestuurd? Constaterende dat in de modelverordeningen de privacybescherming van burgers nauwelijks aan de orde komt, welke aanvullende bepalingen zijn er opgenomen om de privacy van burgers te waarborgen?

2. Het wiel uitvinden. De gemeente is vrij om de omgang met gegevens, binnen de wettelijke kaders, zelf in te vullen. Op aandringen en met medewerking van onder andere Privacy Barometer heeft het ministerie een handreiking met richtlijnen gemaakt hoe de omgang met gegevens ingericht kan worden waarbij de privacy van burgers zo goed mogelijk gewaarborgd wordt. Het proces hiervoor heet triage (pdf). Voor de invulling van lokale processen heeft de VNG verschillende privacy-tools beschikbaar.

Volgt het college deze landelijke handreiking door in het hulpverleningsproces triage te gebruiken? Zonee, waarom denkt het college af te moeten wijken van de landelijke uitwerking waarin privacy zo goed mogelijk beschermd is? Zou het college de raad zo spoedig mogelijk een schriftelijke, duidelijke en concrete afweging willen sturen waarin wordt aangegeven op welke punten het college afwijkt van de landelijke triage en wat daar de redenen voor zijn? Wanneer kan de raad deze ontvangen?

3. Samenwerkingsconvenant. De gemeente wordt de centrale regisseur bij de hulpverlening en gaat een samenwerkingsverband aan met tal van hulpverlenende instanties. Hiervoor zullen partijen een samenwerkingsconvenant opstellen, waarin duidelijke regels over de omgang met (medische) gegevens moet zijn beschreven. Deze moeten voor 1 januari gesloten zijn.

Zijn de (concept-)samenwerkingsconvenanten al opgesteld? Zonee, waarom niet en wanneer worden deze opgesteld? Zoja, kunnen deze zo spoedig mogelijk naar de raad worden gestuurd?

4. Privacyprotocol. De hulpverleners die in een wijkteam samenwerken, mogen niet zomaar gegevens die ze over iemand weten met elkaar bespreken. Binnen een team moet zorgvuldig omgegaan worden met de privacy van mensen. Dat is niet alleen een wettelijke plicht maar het zal ook het vertrouwen in de hulpverlening ten goede komen. Voor hulpverleners in de wijkteams dient daarom één privacyprotocol of privacyreglement te worden opgesteld. Hierin staan regels hoe de hulpverleners onderling met het delen van informatie omgaan. Het werken zonder of juist met verschillende privacyprotocollen met verschillende regels levert grote privacyrisico’s op.

Erkent het college het belang van een goed privcacyprotocol? Zonee, hoe denkt het college de zorgvuldige omgang met (medische) persoonsgegevens in wijkteams te garanderen? Zoja, is het privacyprotocol al opgesteld? Zonee, waarom niet en wanneer gaat dit gebeuren? Zoja, is het mogelijk dat het college deze zo spoedig mogelijk naar de raad stuurt?

5. Gegevensbeveiliging. Alle persoonsgegevens worden opgeslagen in gemeentelijke systemen. Bij een steekproef vorig jaar bleek dat slechts 4% van de gemeenten de beveiliging van een van deze gemeentelijke systemen, namelijk Suwinet, op orde had. Dit najaar volgt een tweede meting. Staatssecretaris Klijnsma waarschuwt dat het College Bescherming Persoonsgegevens onderzoek zal doen naar de gegevensbeveiliging en dreigt (pdf) gemeenten af te koppelen als de beveiliging niet op orde blijkt te zijn. Tot op heden lijken niet alle gemeenten dit serieus te nemen.

Volgt het college de BIG-normen van de Vereniging van Nederlandse Gemeenten voor goede gegevensbeveiliging? Zonee, waarom niet? Hoe scoorde de gemeente bij de meting van november 2013? Op welke manier zorgt het college ervoor dat de gegevensbeveiliging van het Suwinet en andere systemen voor de verwerking van persoonsgegevens op orde is?

6. Privacyrisico’s in kaart gebracht. Met een Privacy Impact Assessment (PIA) worden de risico’s voor privacy in kaart gebracht. Onder andere op aandringen van Privacy Barometer, worden er landelijk vijf PIA’s uitgevoerd om de privacyrisico’s voor de meest gebruikte processen op te sporen. Deze PIA’s komen volgens staatssecretaris Teeven dit najaar beschikbaar bij de transitiebureau’s van de jeugdzorg en de Wmo. Daarnaast komt bij deze transitiebureaus een Privacy InformatieFolder (PDF) voor gemeenten beschikbaar. Exacte data kan het ministerie niet geven.

Maakt het college gebruik van de ondersteuning door het landelijk bureau? Zonee, waarom niet? Laat het college een eigen PIA uitvoeren op de processen bij de jeugdzorg? Zonee, gaat het gebruik maken van de landelijk beschikbare PIA’s en de Privacy InformatieFolder? Zonee, waarom niet? Hoe gaat het college ervoor zorgen dat de privacy-risico’s zo goed mogelijk beperkt worden? Wanneer kan de raad een eerste voortgangsverslag hierover ontvangen?


Dit artikel is een vervolg op onze suggesties voor raadsvragen van 6 februari 2014.

Dit artikel verscheen ook op De Correspondent.
 

reacties

Weten jullie of er ook een model privacyprotocol is?

@Wim Er is voor zover wij weten geen model beschikbaar bij de transitiebureau's. Zoek eens op 'privacyprotocol' of 'privacyreglement' en je vindt vele voorbeelden.

De gemeente Smallingerland vraagt in de aanbesteding WMO 2015 en Jeugdzorg gegevens op van de cliënten i.v.m. te bepalen capaciteit van de zorgaanbieder (samenvatting). Voor maandag 15/9 dienen zorgaanbieders die mee willen doen in deze aanbesteding op cliëntniveau, gegevens incl geboortedata, BSN, informatie over indicaties aan te leveren. Op papier als ook op USB stick. Voldoet dit wel aan de eisen rondom 'gegevensbeveiliging'?

In dezelfde aanbestedingsronde kampen we met een probleem: er is een ouder die niet wil dat de gegevens van kind worden meegenomen in de spreadsheet, met cliëntgegevens (naam, geboortedatum, BSN en ZZP).

Volgens gemeente in Nota van Inlichtingen hoeft niet om toestemming van ouders/wettelijk vertegenwoordigers gevraagd te worden: 'Op grond van de inmiddels aangenomen Wmo 2015 mogen zorgaanbieders cliëntgegevens overdragen'. M.i. kan de gemeente niet weigeren de capaciteit mee te nemen in de aanbesteding, wanneer persoonsgegevens om deze reden (geen toestemming van wettelijk vertegenwoordiger van cliënt), maar ik zou dit graag zeker willen weten alvorens de gegevens in te leveren. Help?

Zie 4. Het betreft hier overigens een cliënt 'Jeugdzorg', niet WMO 2015. Maakt dit nog verschil?

@madelief

Wij kunnen helaas niet adviseren in individuele gevallen. Wij hebben geen enkele officiele rol. Wel kan ik een stukje met je meedenken, maar daar kan je geen enkele rechten aan ontlenen.

Er is ondersteuning voor jouw vraag bij het ondersteuningsteam van de VNG of bij de transitiebureau’s van Jeugdzorg of WMO. Ook voor de beveiliging van gegegevens is een specifieke helpdesk.

Er gelden strenge wettelijke beperkingen voor het de eenmalige gegevensoverdracht! In de landelijke wetgeving hierover staat duidelijk aangegeven welke gegevens van welke mensen voor de capaciteitsbepaling mogen worden uitgewisseld. Zie ook de factsheet (pdf).

Ook voor het daadwerkelijk uitwisselen van gegevens moeten gemeenten aan strenge(beveiligings-)regels voldoen. Hierover heeft de Vereniging van Nederlandse gemeenten afspraken gemaakt. Je kan aan de gemeente vragen of ze zich aan deze regels commiteren, zodat je kan controleren of hun vraag om bijvoorbeeld een USB stick en een papieren spreadsheet aan deze regels voldoet.

Succes!

 

Voeg zelf uw reactie toe:

naam: 
reactie: 
0/1500
 

 

Facebook opzeggen

opzeggenLees hier hoe je je Facebook-account kan opzeggen. >>>

Download onze app

Privacy VandaagVolg het actuele nieuws van het Nederlandse privacyfront met onze Android app. Download hem hier!

Deel deze pagina via:

Heb jij wat te verbergen?

fotoMensen hebben niets te verbergen als je ze dat vraagt. Of toch wel? Bekijk de video op Youtube.

Laatste reacties:

Ziekenhuis wordt DNA-databank voor justitie

Bardman: Weet je meteen waarom ze zo graag je de donorcodicil in de maag willen splitsen

Slimme meter weigeren

Ik ben slim dus weiger liever.: Hoi, ik heb al veel meegmaakt ook de intimidatie en zelfs fraude aan de kant van de netbeheerder....
Hans: @Richard Je kan aan de buitenkant het verschil meestal niet zien....
richard.: weet iemand hoe de traditionele digitale meter eruit ziet....
Gertjan: Mijn vader van 72 is vanavond ook lastig gevallen door een mannetje van Liander, 's avonds om 20....
Marco: Ik weiger pertinent een slimme meter. Als zo'n meter op hol slaat kun je nooit bewijzen wat jouw werkelijke verbruik is....

Help mee het medisch beroepsgeheim te beschermen

Geranna: Zoals de waard is vertrouwt hij zijn gasten. Wie controleert de zorgverzekeraars? Het zou mij niet verbazen dat de fraude die daar plaatsvindt een veelvoud is....
Annie Van Es: Ik vind deze maatregel niet juist. Zelf heb ik hier een probleem mee....
Maurits Niers: Met een niet integere vvd kunnen we zeggen dat we een onbetrouwbare overheid hebben....

Vragen over kentenscannen door belastingdienst

Caroline: Dit is een duidelijk geval van function creep en is daarmee precies wat al eerder voorspeld is door privacy minded organisaties en mensen....

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.083 seconden