Privacygevoelige gegevens van Amsterdamse burgers worden onvoldoende beschermd, sinds de gemeente vorig jaar verantwoordelijk werd voor jeugd-, ouderen- en gehandicaptenzorg. Dit schrijft de Rekenkamer Amsterdam in een zeer kritisch rapport dat donderdagochtend is verschenen.

Privacybeleid ontbreekt, is gedateerd of de uitvoering is niet op orde. Dat leidt er bijvoorbeeld toe dat daartoe onbevoegde ambtenaren toegang krijgen tot dossiers met gevoelige, medische informatie van burgers. Ook medewerkers van softwareleveranciers kunnen bij gevoelige informatie. Denk aan persoonsgegevens van probleemjongeren, informatie over gok- of drankproblemen van ouders of schulden van gezinnen. Volgens de Rekenkamer „ontbreekt een goede balans” tussen passende gegevensverwerking ten behoeve van de hulpverlening en het respecteren van de privacy van de burger.

Op 1 januari 2015 werden de bijna vierhonderd Nederlandse gemeenten verantwoordelijk voor zorg aan jongeren en ouderen en het aan werk helpen van gehandicapten. Gemeenten kregen daardoor meer dan ooit te maken met gevoelige informatie van hun inwoners. Bovendien is het de bedoeling dat hulpverleners steeds intensiever samenwerken, in teams waarin verschillende vormen van hulp samenkomen. Deze teams krijgen onder meer persoonsgegevens, medische dossiers, details over schulden, relatieproblemen en huiselijk geweld. Mogen deze hulpverleners gevoelige informatie delen? En hoe wordt dat verwerkt in de computers?

Eerdere zorgen

Al voor de decentralisaties waren er zorgen over privacy van burgers. Het College Bescherming Persoonsgegevens (tegenwoordig de Autoriteit Persoonsgegevens) waarschuwde in verschillende brieven voor het gevaar dat ambtenaren of hulpverleners zeer gevoelige informatie zonder toestemming zouden kunnen inzien. Vlak voor de decentralisaties, in de zomer van 2014, bleek uit onderzoek van NRC onder 50 gemeenten dat er nauwelijks voorbereidingen waren getroffen om de privacy van burgers te waarborgen. Het rapport van de Rekenkamer Amsterdam is een duidelijk signaal dat privacybescherming in de praktijk inderdaad tekortschiet.

Het is ook niet eenvoudig, schrijft de Rekenkamer Amsterdam. Ga maar na: bij de uitvoering van de Jeugdwet en de Wet maatschappelijke ondersteuning in Amsterdam zijn 119 contracten afgesloten met (zorg)instellingen, 167 contracten met vrijgevestigde hulpverleners en maken 2.800 zorgverleners gebruik van de registratiesystemen. Al die organisaties werken met eigen privacyprotocollen, hebben eigen regels voor het opslaan en delen van gevoelige informatie. De gemeente Amsterdam is er – ruim een jaar na de decentralisaties – nog niet in geslaagd duidelijke, algemene regelgeving in te voeren. „Een visie ontbreekt [...] Het wordt tijd voor een plan”, schrijft de Rekenkamer.

Misstanden

De versnippering leidt tot misstanden. De Rekenkamer:

„Er zijn nog steeds veel personen die toegang hebben tot een cliëntdossier. Wie precies de gevoelige gegevens van burgers bekijkt, zou gecontroleerd moeten worden.”

Dat gebeurt alleen niet: „De logs waarin wordt bijgehouden wie op welk moment een dossier inziet of wijzigt worden zelden geanalyseerd, waardoor niet wordt vastgesteld of bovenmatig gebruik plaatsvindt.”

Ook komt het voor dat gevoelige gegevens van burgers worden gedeeld via onbeveiligde e-mail, terwijl dat verboden is. Ambtenaren hebben volgens de Rekenkamer soms toegang tot medische informatie van burgers, terwijl het college van burgemeester en wethouders beweert van niet. „Bovendien worden met enige regelmaat (bijzondere) persoonsgegevens gebruikt, zonder dat deze zijn geanonimiseerd, voor het vervaardigen van managementinformatie.”

‘Orde scheppen’

Jan de Ridder, directeur van de Rekenkamer Amsterdam: „De gemeente moet orde scheppen in de chaos. In de politieke arena, de gemeenteraad, moet een discussie gevoerd worden over de vraag hoe omgegaan moet worden met privacygevoelige informatie.” Hij zegt dat hulpverleners vaak niet weten hoe ze moeten omgaan met privacygevoelige gegevens, door het ontbreken van regels. De Ridder:

„Stel dat een kind dreigt te radicaliseren, staat dan privacybescherming voorop of veiligheid? En waar ligt de grens? Ingewikkelde kwesties, maar de politiek zal zich erover moeten uitspreken. Alleen stellen dat je privacy belangrijk vindt als stadsbestuur, is niet meer genoeg.”

Het college van burgemeesters en wethouders stelt in het rapport dat het zich „goed kan vinden” in de conclusies van de Rekenkamer. Er is inmiddels een „bewustwordingscampagne” gestart om ambtenaren en hulpverleners te informeren over het belang van privacybescherming.