Schriftelijke vragen

Nr. 76
Schriftelijke vragen van de raadsleden de heer Paternotte (D66) en de heer Groot
Wassink (GroenLinks) inzake de privacywaarborg m.b.t. de persoonsgevoelige
gegevens die n.a.v. de decentralisatie in beheer van de gemeente Amsterdam zijn.
Amsterdam, 24 maart 2015
Aan het college van burgemeester en wethouders
Inleiding
Met ingang van 1 januari 2015 is de verantwoordelijkheid voor jeugdzorg, werk en
inkomen en zorg aan langdurig zieken en ouderen overgedragen van rijks- en provincienaar gemeentelijk niveau. De overheveling van deze taken gaat samen met de
overdracht van een grote hoeveelheid persoonsgevoelige gegevens van inwoners.
De gemeenten zijn zelfstandig verantwoordelijk voor een goede naleving van de
privacywetgeving. De doeleinden waarvoor gemeenten in het kader van de eenmalige
overdracht gegevens kunnen verwerken zijn nauwkeurig opgesomd in artikel 10.4, eerste
lid van de Jeugdwet. Hoe de gemeente deze informatie beheert is minder duidelijk
omschreven.
In oktober 2013 heeft Net2LegalConsults, op verzoek van het Ministerie van
Volksgezondheid, Welzijn en Sport (VWS), onderzoek gedaan naar de eenmalige
gegevensoverdracht van het rijk naar de gemeente1. Bij dit onderzoek, geheten ‘Privacy
Impact Assessment (PIA) Project eenmalige gegevensoverdracht - Gegevens op maat in
een complexe omgeving’ is een PIA uitgevoerd.
Een PIA (Privacy Impact Assessment) is een hulpmiddel om bij de ontwikkeling van
beleid en de daarmee samenhangende wetgeving, bouw van ICT-systemen en aanleg
van databestanden, privacyrisico’s op gestructureerde en heldere wijze in beeld te
brengen. Kort gezegd is een PIA een toets waarmee de privacy-risico’s van nieuw beleid
in beeld worden gebracht. Het kabinet is verplicht een PIA uit te voeren bij
privacygevoelige wetsvoorstellen.
Alhoewel tot de scope van bovengenoemde PIA niet het omgaan met de gegevens door
de gemeente behoort, worden in dit rapport toch enkele suggesties gedaan betreffende
de verwerking van de ontvangen gegevens door de gemeenten.
Zo wordt aanbevolen dat in overleg met VNG (Vereniging van Nederlandse
Gemeenten)/KING (Kwaliteitsinstituut Nederlandse Gemeenten) een handreiking wordt
opgesteld met suggesties voor een zorgvuldige en beheersbare verwerking van de door
gemeenten te ontvangen gegevens. Hierin moet nadrukkelijk worden aangegeven welke
personen geautoriseerd zijn tot rechtstreekse toegang tot de ontvangen gegevens en dat
er, zo nodig, een controlemechanisme betreffende de toegang tot deze gegevens moet
worden ingebouwd.
Verder wordt gesuggereerd de gegevens afzonderlijk en afgeschermd vast te leggen
i.p.v. deze integraal over te nemen. En er moet een specifiek aangewezen medewerker
(directielid of afdelingshoofd) verantwoordelijk zijn voor het beheer van de ontvangen
gegevens
Op 13 juni 2014 is er nog een onderzoek gepresenteerd, uitgevoerd in opdracht van de
Tweede Kamerfractie van GroenLinks. In dit onderzoek, genaamd ‘Privacy & de
1
Net2Legal consultants, ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht.
‘Gegevens op maat in een complexe omgeving’, 16 oktober 2013
Jeugdwet- een analyse van de privacyimpact van de decentralisatie van de jeugdzorg’
wordt gesteld dat jeugdzorgcliënten het recht hebben om hun persoonsgegevens in te
zien2. Bovendien mag de jeugdzorgcliënt de verwerker van de persoonsgegevens
verzoeken om een correctie door te voeren, indien feitelijk onjuiste informatie is verwerkt.
Gezien het vorenstaande hebben ondergetekenden de eer, respectievelijk namens de
fracties van D66 en GroenLinks, op grond van artikel 45 van het Reglement van orde
voor de raad van Amsterdam, de volgende schriftelijke vragen te stellen:
In het rapport ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht Gegevens op maat in een complexe omgeving’ worden enkele aanbevelingen gedaan.
Zo moet helder zijn wie geautoriseerd is tot rechtstreekse toegang tot de gegevens.
Hieruit volgen de vragen:
1. Welk type personen zijn geautoriseerd tot rechtstreekse toegang tot de door
gemeente Amsterdam ontvangen gegevens?
a. Waar is dit vastgelegd?
b. Verschilt de autorisatie per categorie gegevens? Zo ja, hoe?
c. Is, betreffende de toegang tot deze gegevens, een controlemechanisme
ingebouwd?
In het rapport ‘Privacy & de Jeugdwet - een analyse van de privacyimpact van de
decentralisatie van de jeugdzorg’ wordt gesteld dat jeugdzorgcliënten het recht hebben
om hun persoonsgegevens in te zien. De Gemeente Amsterdam voorziet in een
procedure om eigen persoonsgegevens in te zien en desgewenst te laten corrigeren.
Wat echter niet duidelijk is, is of betrokkenen kunnen zien wie hun dossier geraadpleegd
heeft. Hieruit volgen de vragen:
2. Kan de betrokkene en/of zijn vertrouwenspersoon eenvoudig inzien wie, wanneer zijn
dossier geraadpleegd heeft en waarom dit is gebeurd?
a. Zo ja, hoe?
b. Zo nee, waarom niet?
In het rapport ‘Privacy Impact Assessment (PIA) Project eenmalige
gegevensoverdracht -Gegevens op maat in een complexe omgeving’ wordt
gesuggereerd dat de gegevens afzonderlijk en afgeschermd vastgelegd moeten
worden i.p.v. deze integraal over te nemen. Hieruit volgen de vragen:
3. Hoe zijn de via de decentralisatie verkregen gegevens opgeslagen?
a. Zijn de gegevens afzonderlijk en afgeschermd opgeslagen?
b. Zijn er ‘cloud’ oplossingen gebruikt waarmee de gegevens buiten Nederland zijn
opgeslagen?
c. Op welke wijze zijn deze gegevens beveiligd tegen ongeautoriseerde toegang of
gebruik?
In het rapport ‘Privacy Impact Assessment (PIA) Project eenmalige gegevensoverdracht Gegevens op maat in een complexe omgeving’ wordt aanbevolen dat er een specifiek
aangewezen medewerker (directielid of afdelingshoofd) verantwoordelijk moet zijn voor
het beheer van de ontvangen gegevens.Hieruit volgen de vragen:
2
Giel van der Steenhoven, ‘Privacy & de Jeugdwet – een analyse van de privacyimpact van de
decentralisatie van de jeugdzorg’, 13 juni 2014
https://groenlinks.nl/sites/default/files/downloads/newsarticle/Privacy%20en%20de%20Jeugdwet.pdf
4. Wie is er verantwoordelijk voor het beheer van de van het rijk en provincie ontvangen
gegevens?
a. Heeft de gemeente Amsterdam hiervoor een persoon aangewezen die specifiek
verantwoordelijk is voor het beheer van de gegevens?
De leden van de gemeenteraad,
J.M. Paternotte
B.R. Groot Wassink