of 58959 LinkedIn

Gemeenten massaal de mist in met persoonsgegevens

Vrijwel alle gemeenten delen zeer gevoelige gegevens in het sociaal domein zonder dat zij weten welke wettelijke grondslag daarvoor is en gebruiken toestemming van de burger daarbij onterecht als ‘lapmiddel.’ AP-vicevoorzitter Wilbert Tomesen noemt de situatie tegenover Binnenlands Bestuur ‘ernstig.’

Vrijwel alle gemeenten delen zeer gevoelige gegevens in het sociaal domein zonder dat zij weten welke wettelijke grondslag daarvoor is en gebruiken toestemming van de burger daarbij onterecht als ‘lapmiddel.’ Dat blijkt uit onderzoek van Autoriteit Persoonsgegevens (AP) bij 41 gemeenten, die allemaal de fout in gingen. Dat er met toestemming van de burger altijd gegevens mogen verwerkt worden is volgens de AP een misvatting. AP-vicevoorzitter Wilbert Tomesen noemt de situatie tegenover Binnenlands Bestuur ‘ernstig.’

Onbekend met regelgeving

Gemeenten werken sinds 1 januari 2015 in het sociaal domein met zeer gevoelige gegevens van hun burgers. Het gaat om kwetsbare mensen die op gebieden als jeugdzorg, maatschappelijke ondersteuning en chronische ziekten afhankelijk zijn van hun gemeente. Denk daarbij aan opvoedhulp bij kinderen of een bejaard echtpaar dat om zorg vraagt bij een keukentafelgesprek. Gemeenten weten volgens de AP niet welke gegevens ze mogen verwerken en welke privacyregels daarbij gelden. Ook informeren gemeenten hun burgers niet goed genoeg over het gebruik van hun persoonsgegevens. Door toestemming te vragen voor gegevensverwerking wordt volgens de AP de suggestie gewekt dat gegevens mogen worden verwerkt als daarvoor toestemming is gegeven. Gemeenten gebruiken die toestemming van de burger nu als lapmiddel voor het ontbreken van kennis over de wettelijke gronden bij verwerking van persoonsgegevens.


Misvatting over toestemming

Toestemming vragen en krijgen is voor gegevensverwerking in het sociaal domein volgens de AP niet voldoende voor gegevensverwerking op wettelijke grond. Iemand die zorg nodig heeft, is daarbij afhankelijk van de gemeente en kan daardoor volgens de AP geen ‘vrije’ keuze maken bij het verlenen van toestemming. Tomesen: ‘Het is vaak onbekend welke gevolgen géén toestemming geven heeft voor de zorg waar je als burger aanspraak op wil maken. De keuze om toestemming te verlenen wordt daardoor beïnvloed. Als een gemeente gegevens verwerkt bij toestemming van de burger en er geen andere wettelijke grond is, dan is dat dus onrechtmatig.’


Alle onderzochte gemeenten de mist in

Naast de misvatting over de wettelijke grondslag van toestemming, informeren gemeenten burgers ook niet goed over wat er met de verwerkte gegevens gebeurt. Veel blijft onduidelijk. ‘Met wie deelt de gemeente gegevens? Hoe worden deze bewaard? Wat gaat de gemeente ermee doen? Tot hoelang worden ze bewaard?’, zo somt Tomesen op. ‘Gemeenten informeren hun inwoners niet goed over deze zaken, met name als er gegevens zonder toestemming worden verwerkt. Voor de burger is het nu zeer onduidelijk waar zijn gegevens terechtkomen en met wie deze gedeeld worden. Zo kan hij zijn toekomende recht niet uitoefenen. Bij ons onderzoek werd duidelijk dat er hier onderling per gemeenten verschillen bij zijn, maar wat vooral blijft hangen is dat geen enkele gemeente het goed doet.’


Vinger op de zere plek

Voor gemeenten en Rijksoverheid is er nog een flinke hoeveelheid werk te doen om gegevensverwerking op wettelijke grond voor elkaar te krijgen. AP legt volgens Tomesen met het rapport ‘de vinger op de zere plek’ van gemeenten. Tegelijkertijd wil hij ook  ‘niet schamperen over het gemeentelijk bestuur.’ Volgens de vicevoorzitter zijn gemeenten ‘met te weinig tools op pad gestuurd door Rijksoverheid bij de invoering van de decentralisatie.’ Hij pleit daarom voor meer wetgeving op dit gebied. ‘Het is voor gemeenten eigenlijk onbegonnen werk geweest om dit volgens juridische kaders te doen. Ik wens zowel gemeenten als Rijksoverheid toe dat zij snel goede wettelijke kaders hebben geschapen voor gegevensdeling en zich ook aan die kaders houden. Er moeten snel spelregels komen voor het delen van gevoelige gegevens. Het Rijk heeft de verantwoordelijkheid bij voor het sociaal domein bij gemeenten neergelegd zonder erbij na te denken dat er moeilijkheden kunnen ontstaan. Zowel het Rijk als gemeenten nemen geen verantwoordelijkheid en de gevolgen belanden daardoor uiteindelijk bij de burger.’


Werk aan de winkel voor gemeenten en Rijk

De AP heeft in het rapport een aantal aanbevelingen opgesteld voor gemeenten waarmee zij hun gegevensverwerking juridisch op orde kunnen krijgen. Gemeenten krijgen daarbij van de toezichthouder de  tijd om maatregelen te nemen, maar de AP kan er ook voor kiezen om handhavend op te treden. ‘Of dit een waarschuwing is? Dat is veel te licht’, aldus Tomesen. ‘We hebben aanbevelingen gedaan en we gaan ervan uit dat gemeenten ermee aan de slag gaan. Wanneer het over bijvoorbeeld een jaar nog niet goed gaat, zijn we genoodzaakt om ook handhavend op te treden.’


Lees het volledige rapport van Autoriteit Persoonsgegevens ‘De rol van toestemming’ en de bijbehorende aanbevelingen voor gemeenten hier.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door Tim020 (Mens) op
@Trevor. Dank voor je antwoord. Het gaat hier om volwassen mensen (18 jaar - 23 jaar). En er is geen sprake van een uitkering. Het niet hebben van een startkwalificatie voor iemand van 18 jaar of ouder is niet verplicht (maar uiteraard wel aan te bevelen, dat mag duidelijk zijn). Werken is niet verplicht (hoewel ook hier wel aan te bevelen, beter dan thuis zitten, dat mag ook duidelijk zijn). De vraag is of de overheid dan toch deze gegevens mag raadplegen en koppelen en op basis daarvan bij deze mensen aan huis mag aanbellen, met dus privé gegevens in de hand van die mensen. Overigens is het dan wel zo dat zo'n persoon vrijwillig op het advies (ga werken en/of leren) ingaat. En nogmaals, ik vind het uiteraard geen verkeerde actie om mensen die "niets" doen te stimuleren wel wat te gaan doen (leren en/of werken).
Door Trevor op
@Tim020: Nee, dit is reguliere gegevensverzameling voor het startkwalificatie-beleid. DUO krijgt inschrijvingsgegevens van scholen en weet of een persoon een startkwalificatie heeft. Bovendien weet DUO of een leerplichtambtenaar een vrijstelling gegeven heeft. De Belastingdienst weet of iemand werkt en/of een uitkering heeft. De gemeente kan dit aan elkaar knopen en zo de jongeren die onder de genoemde criteria vallen opsporen.
Door Tim020 (Mens) op
https://www.rijksoverheid.nl/ministeries/ministe …

Zie de link hierboven. Is van de site van het ministerie van sociale zaken. Er staat in dat bericht o.a. dit: "27.500 jongeren tussen 18 en 23 jaar die geen startkwalificatie hebben, geen opleiding volgen, niet werken en geen uitkering ontvangen, worden door hun gemeente de komende tijd weer op weg geholpen naar een opleiding of een baan".
En:
De jongeren tussen 18 en 23 zijn inmiddels door de gemeenten in kaart gebracht en krijgen gericht hulp. "Zo gaan in Rotterdam onder meer jongerenwerkers bij alle jongeren die in beeld zijn gebracht op huisbezoek".
Ligt het aan mij of gaat de overheid hier ook de mist in met persoonsgegevens en privacy? Het gaat hier toch om zonder toestemming verkrijgen van privé gegevens van volwassen burgers om vervolgens bij deze privé burgers thuis aan te bellen op basis van privé gevoelige informatie? (Hoewel het doel natuurlijk goed te noemen is (mensen aan het werk etc. helpen).
Door P.J. Westerhof op
"Focus op rechtmatigheid verknalt doelmatigheid en doeltreffendheid."? Dus 'Het Doel Heiligt De Middelen'? Om dat te voorkomen hebben we nu juist al zo'n 30 jaar privacyregelgeving.

En gemeenten weten dat net zo goed, Althans zóuden dat moeten weten.
Dat ze dat niet weten roep ik al jaren, en het wordt opnieuw bevestigd door de AP.

De gemeenten zullen nu weer de vermoorde onschuld spelen. Maar vroeger heette dit 'incompetent' en was reden voor ontslag. Nu het het 'Prioriteitstelling' en is de norm.

Feit blijft dat B&W en Raad verantwoordelijk en accountable zijn. De boetes gaan natuurlijk gewoon uit de Algemene Middelen. Maar hoe lossen ze gevangenisstraf op? Uitkeringsgeechtigden als vrijwillliger inzetten om te zitten?
Door Bas van der Veen op
Ook zonder toestemming doen ze wat zij willen.
Als je merkt dat je gevoelige gegevens elders zijn komen te liggen en hierover een klacht indient dan worden ze boos.Zij mogen nu alles en het is nu altijd de schuld van de burger.Ze kunnen nu alle mogelijk denkbare instanties inschakelen wie ze willen om alle burgers in toom te houden en vertellen wat ze willen. De gemeenten hebben het alleenrecht over al onze gegevens. Je kunt er om heen draaien maar dit is toch echt wat het is.Je kunt het beste zelf ter aller tijd rustig blijven tegenover zulke lieden tegenover ze al raakt het je gezin heel erg diep dat alles wordt doorverteld.
Door irene (actief pgb wmo info aan gebruikers prive) op
wat je ook per post krijgt OVERAL staat je sofie nummer
Er zijn gemeente die je inlog vragen.
En laten mensen er in kijken.
Gemeente rommeld maar aan
Gemeente staat dicht bij de mensen ,dacht het niet
Door Zorgvrager op
Dat kan allemaal wel kloppen wat de onderstaande personen schrijven, maar ondertussen wordt er wel gerommeld met mijn privacy en niet die van de onderstaande personen. Ik lig hier wakker van!
Door Arjan op
De wijkteams en de gemeenten kunnen doen wat ze willen met de persoonsgegevens even kijken bij de persoon in kwestie en je kunt kunt aan de slag.
Doorsturen of roddelen alles is mogelijk.
Je kunt ze niet vertrouwen ze sturen het echt overal naar toe.Ook informatie van jeugdigen en alleenstaande vrouwen.
Door Alfred op
Eens met de reactie van Ries Oonk en goed dat de AP kritisch is. Maar decentralisatie/transformatie vraagt juist om integraliteit informatie. Hoe daar dan mee om te gaan? Kijkt AP breder dan alleen rechtmatigheid of alleen weer een kokerclub? Focus op rechtmatigheid verknalt doelmatigheid en doeltreffendheid. Ik zeg het niet voor het eerst.
Door Ries Oonk op
Het is op dit moment onmogelijk om tegelijkertijd te voldoen aan de rechtmatigheidseisen van de accountant, de doelmatigheidseisen van de gemeenteraad en de privacyregels zoals de Autoriteit Persoonsgegevens die uitlegt. Nu lijkt het alsof gemeenten de boel slecht op orde hebben, maar de zorgverzekeraar hoeft simpelweg niet voldoen aan deze regels. Laten we streng zijn op daadwerkelijk geklungel, maar ook coulant en begrijpend naar gemeenten die zich met vallen en opstaan een weg proberen te vinden in de regelgeving.