Nr. 76 Schriftelijke vragen van de raadsleden de heer Paternotte (D66) en de heer Groot Wassink (GroenLinks) inzake de privacywaarborg m.b.t. de persoonsgevoelige gegevens die n.a.v. de decentralisatie in beheer van de gemeente Amsterdam zijn. Amsterdam, 24 maart 2015 Aan het college van burgemeester en wethouders Inleiding Met ingang van 1 januari 2015 is de verantwoordelijkheid voor jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen overgedragen van rijks- en provincienaar gemeentelijk niveau. De overheveling van deze taken gaat samen met de overdracht van een grote hoeveelheid persoonsgevoelige gegevens van inwoners. De gemeenten zijn zelfstandig verantwoordelijk voor een goede naleving van de privacywetgeving. De doeleinden waarvoor gemeenten in het kader van de eenmalige overdracht gegevens kunnen verwerken zijn nauwkeurig opgesomd in artikel 10.4, eerste lid van de Jeugdwet. Hoe de gemeente deze informatie beheert is minder duidelijk omschreven. In oktober 2013 heeft Net2LegalConsults, op verzoek van het Ministerie van Volksgezondheid, Welzijn en Sport (VWS), onderzoek gedaan naar de eenmalige gegevensoverdracht van het rijk naar de gemeente1. Bij dit onderzoek, geheten ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht - Gegevens op maat in een complexe omgeving’ is een PIA uitgevoerd. Een PIA (Privacy Impact Assessment) is een hulpmiddel om bij de ontwikkeling van beleid en de daarmee samenhangende wetgeving, bouw van ICT-systemen en aanleg van databestanden, privacyrisico’s op gestructureerde en heldere wijze in beeld te brengen. Kort gezegd is een PIA een toets waarmee de privacy-risico’s van nieuw beleid in beeld worden gebracht. Het kabinet is verplicht een PIA uit te voeren bij privacygevoelige wetsvoorstellen. Alhoewel tot de scope van bovengenoemde PIA niet het omgaan met de gegevens door de gemeente behoort, worden in dit rapport toch enkele suggesties gedaan betreffende de verwerking van de ontvangen gegevens door de gemeenten. Zo wordt aanbevolen dat in overleg met VNG (Vereniging van Nederlandse Gemeenten)/KING (Kwaliteitsinstituut Nederlandse Gemeenten) een handreiking wordt opgesteld met suggesties voor een zorgvuldige en beheersbare verwerking van de door gemeenten te ontvangen gegevens. Hierin moet nadrukkelijk worden aangegeven welke personen geautoriseerd zijn tot rechtstreekse toegang tot de ontvangen gegevens en dat er, zo nodig, een controlemechanisme betreffende de toegang tot deze gegevens moet worden ingebouwd. Verder wordt gesuggereerd de gegevens afzonderlijk en afgeschermd vast te leggen i.p.v. deze integraal over te nemen. En er moet een specifiek aangewezen medewerker (directielid of afdelingshoofd) verantwoordelijk zijn voor het beheer van de ontvangen gegevens Op 13 juni 2014 is er nog een onderzoek gepresenteerd, uitgevoerd in opdracht van de Tweede Kamerfractie van GroenLinks. In dit onderzoek, genaamd ‘Privacy & de 1 Net2Legal consultants, ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht. ‘Gegevens op maat in een complexe omgeving’, 16 oktober 2013 Jeugdwet- een analyse van de privacyimpact van de decentralisatie van de jeugdzorg’ wordt gesteld dat jeugdzorgcliënten het recht hebben om hun persoonsgegevens in te zien2. Bovendien mag de jeugdzorgcliënt de verwerker van de persoonsgegevens verzoeken om een correctie door te voeren, indien feitelijk onjuiste informatie is verwerkt. Gezien het vorenstaande hebben ondergetekenden de eer, respectievelijk namens de fracties van D66 en GroenLinks, op grond van artikel 45 van het Reglement van orde voor de raad van Amsterdam, de volgende schriftelijke vragen te stellen: In het rapport ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht Gegevens op maat in een complexe omgeving’ worden enkele aanbevelingen gedaan. Zo moet helder zijn wie geautoriseerd is tot rechtstreekse toegang tot de gegevens. Hieruit volgen de vragen: 1. Welk type personen zijn geautoriseerd tot rechtstreekse toegang tot de door gemeente Amsterdam ontvangen gegevens? a. Waar is dit vastgelegd? b. Verschilt de autorisatie per categorie gegevens? Zo ja, hoe? c. Is, betreffende de toegang tot deze gegevens, een controlemechanisme ingebouwd? In het rapport ‘Privacy & de Jeugdwet - een analyse van de privacyimpact van de decentralisatie van de jeugdzorg’ wordt gesteld dat jeugdzorgcliënten het recht hebben om hun persoonsgegevens in te zien. De Gemeente Amsterdam voorziet in een procedure om eigen persoonsgegevens in te zien en desgewenst te laten corrigeren. Wat echter niet duidelijk is, is of betrokkenen kunnen zien wie hun dossier geraadpleegd heeft. Hieruit volgen de vragen: 2. Kan de betrokkene en/of zijn vertrouwenspersoon eenvoudig inzien wie, wanneer zijn dossier geraadpleegd heeft en waarom dit is gebeurd? a. Zo ja, hoe? b. Zo nee, waarom niet? In het rapport ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht -Gegevens op maat in een complexe omgeving’ wordt gesuggereerd dat de gegevens afzonderlijk en afgeschermd vastgelegd moeten worden i.p.v. deze integraal over te nemen. Hieruit volgen de vragen: 3. Hoe zijn de via de decentralisatie verkregen gegevens opgeslagen? a. Zijn de gegevens afzonderlijk en afgeschermd opgeslagen? b. Zijn er ‘cloud’ oplossingen gebruikt waarmee de gegevens buiten Nederland zijn opgeslagen? c. Op welke wijze zijn deze gegevens beveiligd tegen ongeautoriseerde toegang of gebruik? In het rapport ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht Gegevens op maat in een complexe omgeving’ wordt aanbevolen dat er een specifiek aangewezen medewerker (directielid of afdelingshoofd) verantwoordelijk moet zijn voor het beheer van de ontvangen gegevens.Hieruit volgen de vragen: 2 Giel van der Steenhoven, ‘Privacy & de Jeugdwet – een analyse van de privacyimpact van de decentralisatie van de jeugdzorg’, 13 juni 2014 https://groenlinks.nl/sites/default/files/downloads/newsarticle/Privacy%20en%20de%20Jeugdwet.pdf 4. Wie is er verantwoordelijk voor het beheer van de van het rijk en provincie ontvangen gegevens? a. Heeft de gemeente Amsterdam hiervoor een persoon aangewezen die specifiek verantwoordelijk is voor het beheer van de gegevens? De leden van de gemeenteraad, J.M. Paternotte B.R. Groot Wassink
© Copyright 2024 ExpyDoc