Antwoorden op Kamervragen van de Kamerleden Hijink (SP) en Kooiman (SP) over het bericht 'Gemeente harkt te veel persoonsgegevens binnen'. (2018Z03949)
1 Kent u het bericht dat uit onderzoek van de Autoriteit Persoonsgegevens blijkt dat gemeenten te veel persoonsgegevens binnen harken? 1)
Ja.
2 Hebt u er kennis van genomen dat de Autoriteit Persoonsgegevens op basis van onderzoek bij twee gemeenten de conclusie trekt dat gemeenten te veel persoonsgegevens binnen harken? Zijn deze gegevens volgens u representatief voor andere gemeenten? Is het volgens u nodig dat het onderzoek van de Autoriteit Persoonsgegevens uitgebreid wordt naar meer gemeenten?
De Autoriteit Persoonsgegevens heeft geconstateerd dat in de gemeenten Nijmegen en Zaanstad voor het beoordelen van de vraag of een inwoner van die steden behoefte heeft aan hulp van de gemeente (waaronder maatschappelijke ondersteuning of jeugdhulp), soms gebruik wordt gemaakt van een zogenoemde 'zelfredzaamheidsmatrix' . Zij heeft voor een beperkt aantal gevallen waarin die matrix was gebruikt, onderzocht of niet te veel informatie werd geregistreerd. Haar conclusie was dat in sommige gevallen inderdaad meer is geregistreerd dan noodzakelijk was om het beoogde doel – vaststellen of iemand behoefte heeft aan hulp – te bereiken. Anders dan de kop boven het in de vragen aangehaalde artikel van Skipr suggereert, gaat het hier echter niet om gevallen waarin de twee gemeenten ongenuanceerd allerlei onnodige gegevens 'naar binnen harken'. De overtredingen die de Autoriteit Persoonsgegevens constateert zijn beperkt in omvang, en de gemeenten hebben inmiddels actie ondernomen om ze te beëindigen.
Het is mij niet bekend in hoeverre ook andere gemeenten ten behoeve van het kunnen vaststellen van de behoefte aan maatschappelijke ondersteuning of jeugdhulp gegevens registreren die daar niet strikt noodzakelijk voor zijn. Een beslissing hierover is aan die Autoriteit Persoonsgegevens.
3 Wat is uw reactie op de constatering van de Autoriteit Persoonsgegevens dat de instructies van de gemeenten op dit punt onvoldoende concreet en specifiek zijn? Deelt u deze mening van de Autoriteit Persoonsgegevens? Zo ja, welke verbeteringen zullen er op dit gebied doorgevoerd worden?
4 Deelt u de mening van de Autoriteit Persoonsgegevens dat gemeenten door de onvoldoende concrete en specifieke instructies niet aan hun zorgplicht voldoen? Wat vindt u daarvan? Indien u de mening van de Autoriteit Persoonsgegevens deelt, welke acties gaat u ondernemen om ervoor te zorgen dat gemeenten aan hun zorgplicht gaan voldoen?
3 en 4.
Gelet op de bevindingen die de Autoriteit Persoonsgegevens over de instructies van de gemeenten Nijmegen en Zaanstad heeft gepubliceerd, deel ik de conclusie van die Autoriteit dat deze onvoldoende concreet en specifiek zijn en dat de twee gemeenten derhalve onvoldoende aan de in artikel 15 van de Wet bescherming persoonsgegevens neergelegde zorgplicht hebben voldaan.
Ik ben niet van plan om specifieke activiteiten te ondernemen die erop zijn gericht dat gemeenten die met zelfredzaamheidmatrices werken, daar vanuit het privacyrecht bezien goed mee omgaan. Naar mijn mening geven de rapporten van de Autoriteit Persoonsgegevens hier al voldoende aanwijzingen voor. Ook de VNG besteedt hier op haar website aandacht aan . Wel blijf ik, zoals in het hiernavolgende wordt aangegeven, de gemeenten in meer algemene zin ondersteunen bij het volgens de privacyregels werken binnen het sociale domein.
5 Ervan uitgaande dat al vele malen (ook al vóór de decentralisaties) werd gewaarschuwd, onder andere door de Autoriteit Persoonsgegevens, voor grote problemen in het waarborgen van de privacy en dat gemeenten meer gevoelige informatie zouden gaan verzamelen dan nodig is en dat de Autoriteit Persoonsgegevens aanbevelingen heeft gedaan hoe met deze kwestie om te gaan, bent u van mening dat gemeenten deze waarschuwingen voldoende serieus hebben genomen en de aanbevelingen voldoende hebben overgenomen? Bent u van mening dat gemeenten voldoende zijn ondersteund op dit gebied? Welke concrete acties zijn ondernomen naar aanleiding van deze waarschuwingen? 2) 3) 4)
Over het algemeen nemen de gemeenten de aanbevelingen van de Autoriteit Persoonsgegevens uiteraard serieus, wat echter niet betekent dat er nooit fouten worden gemaakt. Bij brief van 29 april 2016 heeft de vorige minister van Binnenlandse Zaken en Koninkrijkrelaties al opgesomd welke acties de rijksoverheid heeft ondernomen om gemeenten te ondersteunen bij het privacy proof werken, waaronder:
a. de visie 'Zorgvuldig en bewust, gegevensverwerking en privacy in een gedecentraliseerd sociaal domein' is uitgebracht;
b. de Privacy Impact Assessment gemeentelijk 3D informatiehuishouding is uitgebracht;
c. de VNG stelt gemeenten via haar website diverse handleidingen en tips voor het goed omgaan met de privacy ter beschikking;
d. het Rijk en de VNG hebben voor medewerkers in het sociaal domein masterclasses 'privacy sociaal domein' georganiseerd.
Ook sindsdien zijn er op ondersteuning gerichte initiatieven geweest. Ik noem bijvoorbeeld het opstellen van het 'Handvat gegevensuitwisseling in het zorg- en veiligheidsdomein' met de bijbehorende producten en het manifest 'In goed vertrouwen. De privacy van de jeugd geborgd' met de bijbehorende privacy-app. Daarnaast vormen knelpunten die zich in de praktijk voordoen op het terrein van gegevensdeling en privacy één van de thema's waar binnen het Programma Sociaal Domein oplossingen voor worden gezocht. Mijn ministerie participeert in dit Programma.
6 Hoe weegt u in dezen de bescherming van de privacy, de behoefte aan inzicht en de daarbij benodigde informatieverzameling én het willen beperken van de administratieve lasten voor zorgverleners? Waar moet volgens u de nadruk op liggen en hoe houden we deze drie onderdelen in balans?
Zoals ook de Autoriteit Persoonsgegevens in haar rapporten over het gebruik van de zelfredzaamheidsmatrix in de gemeenten Nijmegen en Zaanstad aangeeft, is het onvermijdelijk dat degenen die moeten vaststellen of een cliënt behoefte heeft aan hulp vanuit het sociale domein (zoals maatschappelijke ondersteuning of jeugdhulp, maar bijvoorbeeld ook schuldhulpverlening), inzicht dienen te hebben in de persoonlijke situatie van die cliënt.
Waar het in het kader van de privacy om gaat, is dat niet meer persoonsgegevens worden uitgevraagd dan de persoonsgegevens die noodzakelijk zijn om die behoefte vast te kunnen stellen. En dat niet meer persoonsgegevens worden geregistreerd dan noodzakelijk voor het toekennen en verlenen van de benodigde hulp. De Autoriteit Persoonsgegevens geeft een goed voorbeeld van het verschil tussen de gegevens die bij de cliënt opgevraagd mogen worden en de gegevens die geregistreerd mogen worden: soms zal het nodig zijn om gegevens op te vragen om vast te kunnen stellen òf er behoefte bestaat aan bepaalde hulp. Blijkt uit de gegevens echter dat de behoefte aan de desbetreffende hulp niet bestaat, dan is er geen noodzaak om die gegevens te registreren en is registratie daarom ook niet toegestaan. Dat scheelt dan bovendien in de administratieve lasten.
7 Vindt u het achteraf een verstandig besluit om de privacy in het gedecentraliseerde sociaal domein over te laten aan de ‘lerende praktijk’? 5)
8 Hoe zal gemeenten voor eens en altijd duidelijk worden gemaakt dat ze zich aan de privacywetgeving moeten houden? Ziet u daarbij ook taken en verantwoordelijkheden voor u zelf?
9 Welke maatregelen worden er getroffen bij gemeenten die te veel persoonsgegevens binnen blijven harken?
7, 8 en 9.
Met de per 1 januari 2015 ingevoerde decentralisaties kregen de gemeenten, om voor hun cliënten maatwerk te kunnen leveren, grote beleidsvrijheid in de wijze waarop zij de Wmo 2015, de Jeugdwet en de Participatiewet uitvoeren. Om die reden konden en wilden de betrokken departementen geen gedetailleerde, op de gemeenten gerichte privacyregels opstellen en is een en ander overgelaten aan de lerende praktijk. Zoals in antwoord 5 is uiteengezet, zijn zij daar door het Rijk en de VNG wel bij ondersteund.
De bewindslieden die verantwoordelijk zijn voor de wetten die tot het sociale domein behoren, zullen uiteraard consequent aan blijven geven dat de gemeenten zich aan de privacywetgeving dienen te houden. De handhaving is echter geen taak van deze bewindslieden of hun ministeries, maar van de Autoriteit Persoonsgegevens.
1 AP, Onderzoeksrapport 'Gegevensverwerking gemeente Nijmegen bij toeleiding naar hulp; Wordt bij het gebruik van de zelfredzaamheidsmatrix voldaan aan het noodzakelijkheidsvereiste', z2016-11841; en AP, Onderzoeksrapport 'Gegevensverwerking gemeente Zaanstad bij toeleiding naar hulp; Wordt bij het gebruik van de zelfredzaamheidsmatrix voldaan aan het noodzakelijkheidsvereiste', z2016-11845.
2 https://vng.nl/onderwerpenindex/dienstverlening-en-informatiebeleid/privacy-avg/nieuws/gemeenten-verzamelen-teveel-gegevens-wmo-en-jeugd.
3 Kamerstukken II 2015/16, 32761, nr. 98.
4 Kamerstukken II 2013/14, 32761, nr. 62.
5 Kamerstukken II 2014/15, 32761, nr. 76.
6 https://vng.nl/onderwerpenindex/maatschappelijke-ondersteuning/publicaties/handvat-gegevensuitwisseling-in-het-zorg-en-veiligheidsdomein
