Gemeenten hebben het omgaan met privacy van burgers niet goed georganiseerd. Ze bewaken gevoelige persoonsgegevens niet gestructureerd, en in veel gemeenten komt het thema nauwelijks aan de orde in de -raadsvergaderingen. Dit blijkt uit de rapportage Burgers (de)centraal die het Sociaal en Cultureel Planbureau (SCP) begin december naar buiten bracht. Het rapport wijst uit dat slechts de helft van de gemeenten een privacybeleid heeft — al dan niet specifiek voor het sociaal domein. In bijna een kwart van de deelnemende gemeenten (24%) is helemaal geen privacybeleid vastgesteld. Een vergelijkbaar percentage respondenten weet niet of er überhaupt dergelijk beleid is.
De bevindingen van het SCP sluiten aan op een reeks eerdere rapporten van toezichthoudende instanties en berichten in de media dat gemeenten het omgaan met medische en andere privacygevoelige informatie van burgers vaak niet op orde hebben. Lees mijn artikel Zorg krijgen in ruil voor medische privacy – Wij weten alles van u. Zo liet de Autoriteit Persoonsgegevens vorig jaar weten dat Nederlandse gemeenten onvoldoende weten welke persoonsgegevens van burgers zij in het sociaal domein mogen verwerken en welke regels daarvoor gelden. De antwoorden in het SCP-onderzoek tonen hetzelfde beeld. ‘Wij schuren langs de randen van de wet’, stelt een wethouder van een 100.000+ gemeente.
Bewijzen
Sinds januari 2015 moeten gemeenten de Wmo, de Jeugd- en de Participatiewet uitvoeren. Burgers die zorg of ondersteuning willen krijgen, moeten veel persoonlijke gegevens overleggen. Om welke, en hoeveel informatie het gaat, bepaalt elke gemeente zelf en kan zelfs per medewerker verschillen. Niet zelden vragen ambtenaren om ‘bewijzen’ in de vorm van medische dossiers en gaan ze op de stoel van de behandelaar zitten om te besluiten wie welke zorg krijgt. Ook blijken veel te veel medewerkers toegang te hebben tot gevoelige informatie, zijn er datalekken en worden teveel gegevens opgeslagen.
Het SCP-onderzoek laat zien dat gemeenten het ingewikkeld vinden om met privacy om te gaan. In één op de zes gemeenten die aan het onderzoek meededen, werden er in 2016 incidenten of klachten rondom privacy bij de gemeenteraad gemeld. Ook blijkt uit het rapport dat burgers vaak weinig informatie krijgen over hoe de gemeente met hun privacy omgaat en wat hun rechten zijn.
Niet nieuw
Privacykwesties zijn niet nieuw voor de lokale overheid. Toch zijn er grote verschillen met de tijd voor de decentralisatie van zorgtaken in 2015. Sindsdien gaat het om beduidend meer privacygevoelige gegevens, van veel meer burgers, in uiteenlopende omstandigheden. Veel meer ambtenaren hebben nu met privacyvraagstukken te maken. Ook bij de externe samenwerkingspartners waarmee gemeenten veel informatie uitwisselen gaat regelmatig iets mis.
Omgang met privacygevoelige informatie valt onder de Wet bescherming persoonsgegevens (Wbp). Voor het mogen verwerken van persoonsgegevens is een grondslag nodig: er moet een noodzaak zijn en de verwerking moet proportioneel zijn in relatie tot het doel waarvoor de gegevens verwerkt worden.
