Privacybescherming jeugdzorg in handen van raadsleden
Deze zomer zijn de eerste gegevens van mensen die jeugdzorg of maatschappelijke ondersteuning ontvangen, naar de gemeenten gestuurd. Toch zijn gemeenten er nauwelijks klaar voor. Privacy en gegevensbescherming blijken de stiefkinderen bij deze decentralisatie. Reden genoeg voor betrokken gemeenteraadsleden om de komende tijd de stappen van het college nauwgezet te volgen. Om u daarmee op weg te helpen, geeft Privacy Barometer u zes concrete suggesties mee.
Eén van de belangrijkste kenmerken van de decentralisatie is dat het kabinet wil dat er integraal hulp wordt verleend aan een gezin. In de praktijk betekent dit dat hulpverleners en ambtenaren zoveel mogelijk gegevens van een burger en zijn gezin bij elkaar willen brengen, om in te schatten welke zorg passend is. De meeste gemeenten richten hiervoor wijkteams in, waarin de gemeenteambtenaren en de hulpverleners van verschillende disciplines met elkaar samenwerken.
Maar dat betekent niet dat al die mensen zomaar in de medische gegevens mogen snuffelen of dat de dossiers onderling mogen worden uitgewisseld. Ook bij deze decentralisatie gelden er belangrijke privacyregels, zodat mensen zich beschermd kunnen voelen tegen overmatige bemoeienis van de gemeente of anderen.
Privacyrisico’s onderschat
Gegevens, en zeker medische gegevens, mogen helemaal niet zo makkelijk gedeeld worden als het kabinet suggereert. Zo is het uitwisselen van gegevens tussen de verschillende domeinen jeugdzorg en maatschappelijke ondersteuning wettelijk (vrijwel) niet toegestaan. Voor medische gegevens geldt een zeer streng beroepsgeheim. Toch krijgt privacy weinig aandacht bij de decentralisaties. Al in oktober 2013 spraken wij onze zorgen hierover uit in een brief aan de Eerste Kamer. Ook het College Bescherming Persoonsgegevens waarschuwde enkele keren. Naarmate 1 januari dichterbij komt, verschijnen er steeds meer berichten dat deze waarschuwingen niet ter harte zijn genomen. Zo constateerde NRC dat in veel gemeenten de privacybescherming nog niet op orde is. Onlangs waarschuwde ook de koepel van patiëntverenigingen dat de privacy van 1 miljoen jeugdige patiënten gevaar loopt!
In een tussentijdse rapportage van de verantwoordelijke staatssecretarissen Van Rijn en Teeven wordt met geen woord over privacy gerept. Teeven vindt privacy maar lastig. Omdat de landelijke politiek de privacyrisico’s blijft onderschatten, is het aan gemeenteraadsleden om gemeenten te dwingen dit goed te regelen. Om u op weg te helpen, geeft Privacy Barometer de volgende zes suggesties mee.
Suggesties voor raadsvragen
1. Gemeentelijke verordening. De gemeente is verplicht de landelijke jeugdwet te vertalen naar de lokale situatie. Hiervoor moet de gemeente voor 1 november 2014 een verordening (lokale wet) opstellen. Hierin moeten ook de eisen aan de omgang met (medische) persoonsgegevens geregeld worden. In de voorbeeld verordeningen van het ministerie voor de jeugdwet (MS Word) en voor de Wmo wordt dit niet geregeld. Het gebruik van deze modellen is dus niet voldoende om de privacy van burgers te waarborgen!
Is de gemeentelijke (concept-)verordening al beschikbaar? Zonee, waarom niet en wanneer kan de raad deze verwachten? Zoja, kunnen deze zo spoedig mogelijk naar de raad worden gestuurd? Constaterende dat in de modelverordeningen de privacybescherming van burgers nauwelijks aan de orde komt, welke aanvullende bepalingen zijn er opgenomen om de privacy van burgers te waarborgen?
2. Het wiel uitvinden. De gemeente is vrij om de omgang met gegevens, binnen de wettelijke kaders, zelf in te vullen. Op aandringen en met medewerking van onder andere Privacy Barometer heeft het ministerie een handreiking met richtlijnen gemaakt hoe de omgang met gegevens ingericht kan worden waarbij de privacy van burgers zo goed mogelijk gewaarborgd wordt. Het proces hiervoor heet triage (pdf). Voor de invulling van lokale processen heeft de VNG verschillende privacy-tools beschikbaar.
Volgt het college deze landelijke handreiking door in het hulpverleningsproces triage te gebruiken? Zonee, waarom denkt het college af te moeten wijken van de landelijke uitwerking waarin privacy zo goed mogelijk beschermd is? Zou het college de raad zo spoedig mogelijk een schriftelijke, duidelijke en concrete afweging willen sturen waarin wordt aangegeven op welke punten het college afwijkt van de landelijke triage en wat daar de redenen voor zijn? Wanneer kan de raad deze ontvangen?
3. Samenwerkingsconvenant. De gemeente wordt de centrale regisseur bij de hulpverlening en gaat een samenwerkingsverband aan met tal van hulpverlenende instanties. Hiervoor zullen partijen een samenwerkingsconvenant opstellen, waarin duidelijke regels over de omgang met (medische) gegevens moet zijn beschreven. Deze moeten voor 1 januari gesloten zijn.
Zijn de (concept-)samenwerkingsconvenanten al opgesteld? Zonee, waarom niet en wanneer worden deze opgesteld? Zoja, kunnen deze zo spoedig mogelijk naar de raad worden gestuurd?
4. Privacyprotocol. De hulpverleners die in een wijkteam samenwerken, mogen niet zomaar gegevens die ze over iemand weten met elkaar bespreken. Binnen een team moet zorgvuldig omgegaan worden met de privacy van mensen. Dat is niet alleen een wettelijke plicht maar het zal ook het vertrouwen in de hulpverlening ten goede komen. Voor hulpverleners in de wijkteams dient daarom één privacyprotocol of privacyreglement te worden opgesteld. Hierin staan regels hoe de hulpverleners onderling met het delen van informatie omgaan. Het werken zonder of juist met verschillende privacyprotocollen met verschillende regels levert grote privacyrisico’s op.
Erkent het college het belang van een goed privcacyprotocol? Zonee, hoe denkt het college de zorgvuldige omgang met (medische) persoonsgegevens in wijkteams te garanderen? Zoja, is het privacyprotocol al opgesteld? Zonee, waarom niet en wanneer gaat dit gebeuren? Zoja, is het mogelijk dat het college deze zo spoedig mogelijk naar de raad stuurt?
5. Gegevensbeveiliging. Alle persoonsgegevens worden opgeslagen in gemeentelijke systemen. Bij een steekproef vorig jaar bleek dat slechts 4% van de gemeenten de beveiliging van een van deze gemeentelijke systemen, namelijk Suwinet, op orde had. Dit najaar volgt een tweede meting. Staatssecretaris Klijnsma waarschuwt dat het College Bescherming Persoonsgegevens onderzoek zal doen naar de gegevensbeveiliging en dreigt (pdf) gemeenten af te koppelen als de beveiliging niet op orde blijkt te zijn. Tot op heden lijken niet alle gemeenten dit serieus te nemen.
Volgt het college de BIG-normen van de Vereniging van Nederlandse Gemeenten voor goede gegevensbeveiliging? Zonee, waarom niet? Hoe scoorde de gemeente bij de meting van november 2013? Op welke manier zorgt het college ervoor dat de gegevensbeveiliging van het Suwinet en andere systemen voor de verwerking van persoonsgegevens op orde is?
6. Privacyrisico’s in kaart gebracht. Met een Privacy Impact Assessment (PIA) worden de risico’s voor privacy in kaart gebracht. Onder andere op aandringen van Privacy Barometer, worden er landelijk vijf PIA’s uitgevoerd om de privacyrisico’s voor de meest gebruikte processen op te sporen. Deze PIA’s komen volgens staatssecretaris Teeven dit najaar beschikbaar bij de transitiebureau’s van de jeugdzorg en de Wmo. Daarnaast komt bij deze transitiebureaus een Privacy InformatieFolder (PDF) voor gemeenten beschikbaar. Exacte data kan het ministerie niet geven.
Maakt het college gebruik van de ondersteuning door het landelijk bureau? Zonee, waarom niet? Laat het college een eigen PIA uitvoeren op de processen bij de jeugdzorg? Zonee, gaat het gebruik maken van de landelijk beschikbare PIA’s en de Privacy InformatieFolder? Zonee, waarom niet? Hoe gaat het college ervoor zorgen dat de privacy-risico’s zo goed mogelijk beperkt worden? Wanneer kan de raad een eerste voortgangsverslag hierover ontvangen?
Dit artikel is een vervolg op onze suggesties voor raadsvragen van 6 februari 2014.
Dit artikel verscheen ook op De Correspondent.