Gemeente Oss onzorgvuldig met privacy bij WMO
De gemeente Oss is onzorgvuldig met het vragen van toestemming om persoonsgegevens te mogen verzamelen. De gemeente informeert betrokkenen nauwelijks over welke gegevens aan wie worden gevraagd, met wie ze worden gedeeld of wat het doel daarvan is. Oss wil feitelijk een 'carte blanche' om vrijelijk in beschikbare gegevens over haar burgers te grasduinen en die te verspreiden.
Vraagt u in de gemeente Oss ondersteuning aan omdat u hulp nodig heeft bij de dagelijkse gang van zaken, dan ontvangt u allereerst een mail met vragenformulier (pdf) zonder verdere uitleg. U dient aan te kruisen op welk gebied u hulp nodig heeft en akkoord te gaan met de volgende voorwaarden:
- De gemeente Oss vraagt (medische) informatie op bij andere instanties of personen. Bijvoorbeeld bij het CIZ, uw specialist, uw huisarts of andere behandelaar. Wij mogen alleen informatie opvragen die nodig is om uw aanvraag af te handelen.
- De gemeente Oss geeft uw gegevens door aan de leveranciers van voorzieningen van de Wmo. Dit geldt niet voor uw medische gegevens.
- De gemeente Oss geeft het verslag door aan andere instanties of personen alleen wanneer dit nodig is voor het behandelen van uw vraag.
- U geeft ons alle informatie die nodig is voor het behandelen van de aanvraag. Verzwijgt u informatie of verstrekt u onjuiste informatie dan kunnen wij uw voorzieningen intrekken of moet u de voorziening terugbetalen. Ook kunnen bij (sic) aangifte doen bij Justitie.
- Uw (medische) gegevens, die wij tijdens het onderzoek verzamelen, nemen wij op in ons registratiesysteem. Hierop is de Wet persoonsbescherming (Wpb) van toepassing. U heeft het recht op inzage in onze registratie.
De gemeente vraagt nogal wat en het verbaast me niet, dat mensen dit nogal rauw op hun dak valt. Los van de toon en het duidelijke wantrouwen van de gemeente in haar burgers is de vraag, mag de gemeente dit zo doen? Het korte antwoord is: Nee, dat mag niet.
[update: gemeente Oss is naar aanleiding van dit artikel gestopt met het gebruik van dit formulier]
Maatschappelijke ondersteuning
Graag schets ik eerst het algemene kader. De Wet maatschappelijke ondersteuning (WMO) is er voor mensen die hulp nodig hebben bij de dagelijkse gang van zaken. Als u hulp denkt nodig te hebben, kunt u bij de gemeente een aanvraag indienen. De gemeente heeft een zorgplicht. Om die reden zal de gemeente na uw aanvraag een onderzoek starten om na te gaan hoeveel hulp u nodig hebt en wat u of uw omgeving zelf nog kan doen. Voor dit onderzoek verzamelt de gemeente gegevens met de gedachte dat hoe meer je van een burger weet, hoe gerichter de hulp kan zijn en dus hoe goedkoper het voor de gemeente is.
In de WMO is het om die reden dan ook mogelijk gemaakt om mensen het hemd van het lijf te vragen. Gegevens mogen worden opgevraagd over de aanvrager, maar ook over zijn/haar gezin, huisgenoten, familieleden, mantelzorgers en andere personen in het sociale netwerk. Gegevens kunnen onder andere opgevraagd worden bij huisartsen en specialisten, zorgverzekeraars, maar ook betrokken worden uit andere systemen van de gemeente waar al gegevens van u bekend zijn. Hiervoor is (in de meeste gevallen) wel toestemming nodig!
De wet biedt twee grondslagen op basis waarvan de gemeente gegevens mag verwerken. Je ziet dat ook terug in het formulier van de gemeente Oss.
1. Zorgplicht
Ten eerste heeft de gemeente zoals gezegd de plicht om mensen maatschappelijke ondersteuning te bieden als dat nodig is. Dat betekent dat de gemeente dan wel over bepaalde gegevens moet kunnen beschikken om die plicht uit te voeren. Expliciete toestemming is in zo'n geval niet meer nodig. Maar omdat het volgens verantwoordelijk staatssecretaris Van Rijn hier veelal gaat om gegevens die van de betrokkene zelf komen (tijdens het 'keukentafelgesprek') kan een betrokkene bijvoorbeeld wel aangeven een vraag niet te willen beantwoorden. De staatssecretaris schrijft (Memorie van Toelichting, hoofdstuk 6):
Tijdens dat onderzoek zal de gemeente er goed aan doen betrokkene – mede met het oog op de rechten die de Wbp hem geeft – te wijzen op de consequentie dat voor het onderzoek en de behandeling van zijn aanvraag, maar ook voor de verlening van de toe te wijzen ondersteuning en de eventuele oplegging van eigen bijdragen persoonsgegevens over hem moeten worden verwerkt. Als dat zorgvuldig gebeurt, wordt bewerkstelligd dat betrokkene zich ervan bewust is dat zijn persoonsgegevens worden verwerkt en dat het van belang is dat deze juist zijn. Daardoor is betrokkene ook in staat om eventueel aan te geven dat hij niet instemt met de verwerking van bepaalde gegevens.
De gemeente mag leveranciers inschakelen om hulp te bieden en zo aan haar zorgplicht te voldoen. Volgens de staatssecretaris mag de gemeente daarom ook de gegevens die zij hiervoor verkregen heeft doorgeven aan deze leveranciers voor zover dat noodzakelijk is om die taak te kunnen uitvoeren. De gemeente blijft hierbij wel verantwoordelijk.
2. Toestemming
In andere gevallen dan hierboven beschreven is ondubbelzinnige toestemming van de betrokkene nodig. Dus als de gemeente gegevens bij zorgverleners, zorgverzekeraars, belastingdienst of CIZ wil opvragen of delen, is daar toestemming voor nodig. Ook als de gemeente gegevens wil gebruiken die zij al om andere redenen in haar systemen heeft, mag dat alleen met toestemming van de betrokkene. De reden is dat die gegevens nooit zijn verzameld voor het doel waarvoor de gemeente ze wil gebruiken. Hergebruik voor een nieuw doel mag volgens de Wet bescherming persoonsgegevens (Wbp) alleen met toestemming van de betrokkene.
Ondubbelzinnige toestemming is in artikel 1 van de Wbp gedefinieerd. Daarin staat dat toestemming alleen geldig is als die per specifieke situatie, vrijwillig en goed geïnformeerd gegeven is. De scherpe lezer zal direct opmerken dat uit vrije wil toestemming geven binnen de WMO niet goed mogelijk is. Als u namelijk geen toestemming geeft, kan de gemeente besluiten geen hulp te geven. Hoe vrijwillig is het geven van toestemming dan nog? Zowel het College Bescherming Persoonsgegevens als Privacy Barometer wezen de staatssecretaris en het parlement hierop.
Los daarvan is de gemeente ook in de WMO wel degelijk verplicht betrokkenen duidelijk uit te leggen welke gegevens precies worden opgevraagd, waarom dat nodig is, bij wie die gegevens worden opgevraagd en wat ermee gebeurt. Per specifiek onderdeel moet apart toestemming worden gegeven.
Staatssecretaris Van Rijn zegt hier zelf in antwoord op vragen van de Eerste Kamer over het gebruik van medische gegevens het volgende over (memorie van antwoord, p.77):
Het wetsvoorstel Wmo 2015 regelt in artikel 5.1.1, vierde en vijfde lid, dat het college [hiermee wordt de gemeente bedoeld, red.] slechts met ondubbelzinnige toestemming van betrokkene, en slechts voor zover dat noodzakelijk is voor de goede uitvoering van zijn taken onder de Wmo 2015, bevoegd is gezondheidsgegevens te verwerken die het college uit anderen hoofde onder zich heeft (Jeugdwet, Participatiewet) of te verkrijgen van anderen (zorgverzekeraar, zorgaanbieder of indicatieorgaan). Artikel 5.2.5 van het wetsvoorstel regelt dat zorgverzekeraars en zorgaanbieders verplicht en bevoegd zijn die gegevens aan het college te verstrekken als het college over ondubbelzinnige toestemming daarvoor van betrokkene beschikt. Uit deze eis van ondubbelzinnige toestemming volgt naar mijn mening dat die wordt voorafgegaan door gerichte vragen om medische gegevens. Met andere woorden dat de expliciete toestemming is verkregen van betrokkene nadat betrokkene door het college zorgvuldig is geïnformeerd over de aard van de gegevens die het college wenst te verkrijgen en het doel waarvoor dat nodig is.
Merk op dat ook de staatssecretaris concludeert dat er toestemming voor 'gerichte vragen' wordt gevraagd nadat de betrokkene 'zorgvuldig is geïnformeerd over de aard van de gegevens [..] en het doel'. Het zal vaak om medische gegevens gaan, maar ook voor niet medische gegevens geldt dat ondubbelzinnige toestemming vereist is!
Oss schiet flink tekort
Terug naar het formulier van de gemeente Oss. Er staat bij het eerste punt niets over welke 'gerichte vragen' er aan wie gesteld gaan worden, noch wat de aard van de gegevens is en voor welk doel dat nodig is. Ook in het tweede punt is de gemeente niet specifiek. Alleen de strikt noodzakelijke gegevens mogen eventueel aan leveranciers worden doorgegeven. Daaropvolgend lijkt de gemeente een carte blanche te vragen om een 'verslag' te verspreiden aan 'andere instanties of personen' naar keuze van de gemeente. Dit is zeer onduidelijk. Welke gegevens? Om welke reden of met welk doel? En aan wie? De zorgleverancier is al bediend met het tweede punt, dus wie heeft er verder nog recht op gegevens 'voor het behandelen van uw vraag'? De betrokkene wordt hier zeker niet 'zorgvuldig geïnformeerd over de aard van de gegevens en het doel waarvoor dat nodig is', zoals Van Rijn had beoogd.
Ook over het bewaren van de medische gegevens in het vijfde punt zal de gemeente meer uit moeten leggen. Zo moet ook hier de betrokkene worden geïnformeerd over het doel van de gegevensverwerking, welke gegevens worden bewaard en wie erbij mag. De gemeente Oss wijst haar burgers onvoldoende op hun rechten. U heeft niet alleen recht op inzage, maar ook het recht aan te geven waar gegevens gecorrigeerd of verwijderd zouden moeten worden. Ook kunt u uw toestemming intrekken en bezwaar maken als u denkt dat gegevens onterecht verzameld of gedeeld worden.
Opletten!
Gemeente Oss zal niet de enige gemeente zijn die de privacyregels niet goed heeft uitgewerkt. Het principe van decentralisatie betekent dat elke gemeente zelf het wiel zit uit te vinden. Zoals uit dit voorbeeld van Oss blijkt, is goede kennis over gegevensbescherming niet altijd aanwezig en daarbij ontbreekt ook centrale regie vanuit Den Haag. Het blijft raadzaam zelf goed op te letten hoe de gemeente met uw gegevens omgaat.
Update 23 december: Gemeente Oss laat naar aanleiding van dit artikel aan Privacy Barometer weten dat ze stoppen met het gebruik van bovengenoemd formulier. Er is op dit moment geen alternatief formulier. Volgens de gemeente komt dat begin januari beschikbaar. De gemeente schrijft:
[..] In uw artikel schrijft u ook dat de gemeente Oss flink tekort schiet omdat wij formulieren gebruiken waarmee we ons niet goed aan de privacyregels houden. Daarin hebt u gelijk. De formulieren zijn per abuis in omloop gekomen. Ze zijn geen onderdeel van onze normale werkwijze en per ongeluk in een enkel geval gebruikt. Dit is niet goed en zeker niet onze bedoeling geweest. Wij bieden hiervoor onze excuses aan. We gaan ervoor zorgen dat deze formulieren niet meer gebruikt worden. [..] Onze afdeling WMO werkt momenteel aan het nieuwe formulier. We verwachten dat het nieuwe formulier in week twee van 2016 definitief klaar is.