Home  >  Raadsvragen   >  Bescherm privacy, waarborg persoonlijke gegevens in beheer van de gemeente

Bescherm privacy, waarborg persoonlijke gegevens in beheer van de gemeente

24 mrt 2015

Inleiding

Met ingang van 1 januari 2015 is de verantwoordelijkheid voor jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen overgedragen van rijks- en provincie- naar gemeentelijk niveau. De overheveling van deze taken gaat samen met de overdracht van een grote hoeveelheid persoonsgevoelige gegevens van inwoners.

De gemeenten zijn zelfstandig verantwoordelijk voor een goede naleving van de privacywetgeving. De doeleinden waarvoor gemeenten in het kader van de eenmalige overdracht gegevens kunnen verwerken zijn nauwkeurig opgesomd in artikel 10.4, eerste lid van de Jeugdwet. Hoe de gemeente deze informatie beheert is minder duidelijk omschreven.

In oktober 2013 heeft Net2LegalConsults, op verzoek van het Ministerie van Volksgezondheid, Welzijn en Sport (VWS), onderzoek gedaan naar de eenmalige gegevensoverdracht van het rijk naar de gemeente1. Bij dit onderzoek, geheten ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht - Gegevens op maat in een complexe omgeving’ is een PIA uitgevoerd.

Een PIA (Privacy Impact Assessment) is een hulpmiddel om bij de ontwikkeling van beleid en de daarmee samenhangende wetgeving, bouw van ICT-systemen en aanleg van databestanden, privacyrisico’s op gestructureerde en heldere wijze in beeld te brengen. Kort gezegd is een PIA een toets waarmee de privacy-risico’s van nieuw beleid in beeld worden gebracht. Het kabinet is verplicht een PIA uit te voeren bij privacygevoelige wetsvoorstellen.

Alhoewel tot de scope van bovengenoemde PIA niet het omgaan met de gegevens door de gemeente behoort, worden in dit rapport toch enkele suggesties gedaan betreffende de verwerking van de ontvangen gegevens door de gemeenten.

Zo wordt aanbevolen dat in overleg met VNG (Vereniging van Nederlandse Gemeenten)/KING (Kwaliteitsinstituut Nederlandse Gemeenten) een handreiking wordt opgesteld met suggesties voor een zorgvuldige en beheersbare verwerking van de door gemeenten te ontvangen gegevens. Hierin moet nadrukkelijk worden aangegeven welke personen geautoriseerd zijn tot rechtstreekse toegang tot de ontvangen gegevens en dat er zonodig een controlemechanisme betreffende de toegang tot deze gegevens moet worden ingebouwd.

Verder wordt gesuggereerd de gegevens afzonderlijk en afgeschermd vast te leggen i.p.v. deze integraal over te nemen. En er moet een specifiek aangewezen medewerker (directielid of afdelingshoofd) verantwoordelijk zijn voor het beheer van de ontvangen gegevens

Op 13 juni 2014 is er nog een onderzoek gepresenteerd, uitgevoerd in opdracht van de Tweede Kamerfractie van GroenLinks. In dit onderzoek, genaamd ‘Privacy & de Jeugdwet- een analyse van de privacyimpact van de decentralisatie van de jeugdzorg’ wordt gesteld dat jeugdzorgcliënten het recht hebben om hun persoonsgegevens in te zien1. Bovendien mag de jeugdzorgcliënt de verwerker van de persoonsgegevens verzoeken om een correctie door te voeren, indien feitelijk onjuiste informatie is verwerkt.

Gezien het voorgaande heeft ondergetekende de eer, namens de fractie van D66, op grond van artikel 45 van het Reglement van orde voor de raad van Amsterdam, de volgende schriftelijke vragen te stellen:

In het rapport ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht -Gegevens op maat in een complexe omgeving’ worden enkele aanbevelingen gedaan. Zo moet helder zijn wie geautoriseerd is tot rechtstreekse toegang tot de gegevens. Hieruit volgen de vragen:

1. Welk type personen zijn geautoriseerd tot rechtstreekse toegang tot de door gemeente Amsterdam ontvangen gegevens?

  • Waar is dit vastgelegd?
  • Verschilt de autorisatie per categorie gegevens?
    • Zo ja, hoe?
  •  Is, betreffende de toegang tot deze gegevens, een controlemechanisme ingebouwd?

In het rapport ‘Privacy & de Jeugdwet - een analyse van de privacyimpact van de decentralisatie van de jeugdzorg’ wordt gesteld dat jeugdzorgcliënten het recht hebben om hun persoonsgegevens in te zien. De Gemeente Amsterdam voorziet in een procedure om eigen persoonsgegevens in te zien en desgewenst te laten corrigeren. Wat echter niet duidelijk is, is of betrokkenen kunnen zien wie hun dossier geraadpleegd heeft. Hieruit volgen de vragen:

2. Kan de betrokkene en/of zijn vertrouwenspersoon eenvoudig inzien wie, wanneer zijn dossier geraadpleegd heeft en waarom dit is gebeurd?

  • Zo ja, hoe?
  • Zo nee, waarom niet?

In het rapport ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht -Gegevens op maat in een complexe omgeving’ wordt gesuggereerd dat de gegevens afzonderlijk en afgeschermd vastgelegd moeten worden i.p.v. deze integraal over te nemen. Hieruit volgen de vragen:

3. Hoe zijn de via de decentralisatie verkregen gegevens opgeslagen?

  • Zijn de gegevens afzonderlijk en afgeschermd opgeslagen?
  • Zijn er ‘cloud’ oplossingen gebruikt waarmee de gegevens buiten Nederland zijn opgeslagen?
  • Op welke wijze zijn deze gegevens beveiligd tegen ongeautoriseerde toegang of gebruik?

In het rapport ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht -Gegevens op maat in een complexe omgeving’ wordt aanbevolen dat er een specifiek aangewezen medewerker (directielid of afdelingshoofd) verantwoordelijk moet zijn voor het beheer van de ontvangen gegevens.

4. Wie is er verantwoordelijk voor het beheer van de van het rijk en provincie ontvangen gegevens?

  • Heeft de gemeente Amsterdam hiervoor een persoon aangewezen die specifiek verantwoordelijk is voor het beheer van de gegevens?

De leden van de gemeenteraad,

J.M. Paternotte

R. Groot Wassink

Blijt op de hoogte

Er gebeurt veel in de Amsterdamse politiek, en ik geef je graag mijn perspectief. Blijf op de hoogte en schrijf je in voor mijn nieuwsbrief.

Gelieve eneter juiste e-id
jan paternotte
Janpatimage

Mijn fractiegenoten

Members00
  • Member01
  • Member02
  • Member03
  • Member04
  • Member05
  • Member06
  • Member07
  • Member08
  • Member09
  • Member10