Vragen van het lid Klein (Klein) aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over de berichtgeving in verschillende media inzake de veiligheid van persoonsgegevens bij gemeenten (ingezonden 21 april 2016).

Antwoord van Minister Plasterk (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen 20 mei 2016).

Vraag 1

Bent u op de hoogte van het bericht «gemeente Amersfoort lekt zorggegevens» in het Algemeen Dagblad van 12 april 2016? Bent u eveneens op de hoogte van de inhoud van het onderzoeksrapport «Toestemming Sociaal Domein» zoals dat door de Autoriteit Persoonsgegevens op 19 april is gepubliceerd? Bent u daarnaast ook op de hoogte van het bericht «Gemeenten onzorgvuldig met privegegevens burgers» op NOS.nl, en het bericht «Persoonlijke gegevens niet in goede handen bij gemeenten» uit het NRC, beide verschenen op 19 april 2016? 1 2 3

Antwoord 1

Ja.

Vraag 2

Is de berichtgeving dat de gemeente Amersfoort zich onlangs met het delen van de persoonsgegevens schuldig heeft gemaakt aan een zogeheten datalek, waar? Zijn inderdaad door een blunder van de gemeente Amersfoort de persoonsgegevens (waaronder de burgerservicenummers (BSN), de naam- en adresgegevens en een omschrijving van de (jeugd)zorg) van 1.000 tot 1.500 inwoners die zorg ontvangen via de sociale wijkteams) in verkeerde handen gevallen?

Antwoord 2

Er was inderdaad sprake van een incident in de gemeente Amersfoort dat is gemeld bij de Autoriteit Persoonsgegevens (hierna ook: AP). De gemeente Amersfoort geeft op haar website openheid van zaken over de gebeurtenissen en de maatregelen die zij heeft getroffen om verdere verspreiding van de gegevens te voorkomen.

Vraag 3

Hoe rijmt deze berichtgeving volgens u met uw antwoorden op eerdere vragen waarin u poneert dat uw inziens «geen gemeenten bekend zijn (red.) die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben»?4 Kunt u deze discrepantie nader uitleggen c.q. verklaren? Welke stelling is juist: hebben gemeenten volgens u nou wel of niet de veiligheid van persoonsgegevens op orde? Zo nee, waarom niet en in welke mate niet?

Antwoord 3

Wanneer gemeenten en andere organisaties persoonsgegevens verwerken, is de Wet bescherming persoonsgegevens van kracht. Voor informatieverwerking in het sociaal domein komen daar nog specifieke bepalingen uit de materiewetten zoals de Wmo 2015 en de Jeugdwet bij. De Autoriteit Persoonsgegevens ziet daarop toe. Om verwerkers van persoonsgegevens inzicht te geven in de handhaving, heeft het College bescherming persoonsgegevens (de voorloper van de Autoriteit Persoonsgegevens) in 2013 richtsnoeren gepubliceerd (http://wetten.overheid.nl/BWBR0033572). Voor informatieveiligheid hebben gemeenten zich bovenop deze wettelijke plicht die geldt voor de verwerking van persoonsgegevens gecommitteerd aan de implementatie van de Baseline Informatiebeveiliging voor Gemeenten (BIG).

Het incident in Amersfoort berustte op een menselijke fout, niet op een fout in de techniek of procedures.

In antwoord op vragen van de leden Veldman, De Caluwé en Oosenbrug (Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 2076) ging ik in op de wijze waarop gemeenten in samenwerking met hun toeleveranciers een kwetsbaarheid hebben opgelost en dat gemeenten de BIG als gezamenlijk normenkader hanteren. In dat normenkader staan fysieke, organisatorische en technische maatregelen beschreven die gemeenten doorvoeren om de beveiliging van gegevens zoveel als mogelijk te garanderen. Desondanks is een menselijke fout natuurlijk nooit 100% uit te sluiten. Het gaat er om dat gemeenten lering trekken uit dergelijke incidenten en deze benutten om hun beleid op details aan te scherpen. Ik constateer dat de gemeente Amersfoort direct actie heeft ondernomen om te trachten de fout te herstellen, en verdere verspreiding van de gelekte gegevens te voorkomen. Daarnaast heeft zij openheid van zaken gegeven naar zowel de burgers die het betreft, als naar de Amersfoortse bevolking en naar de gemeenteraad. Ook laat de gemeente het incident nader onderzoeken om te achterhalen hoe een dergelijke fout in de toekomst kan worden voorkomen. Een en ander leidt niet tot de conclusie dat gemeenten de informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben.

Vraag 4

Bent u het eens met de stelling dat de berichtgeving in het Algemeen Dagblad over het datalek binnen de gemeente Amersfoort van onlangs overeenkomt met de resultaten van het onderzoek «Toestemming Sociaal Domein», zoals dat op 19 april door de Autoriteit Persoonsgegevens is gepubliceerd, en waarin wordt geconcludeerd dat geen van de 41 onderzochte gemeenten de wettelijke regels kende of deze correct toepaste? Zo ja, kunt u hier een reactie op geven? In hoeverre bent u bereid te erkennen dat er bij gemeenten op het gebied van de veiligheid van persoonsgegevens inderdaad een probleem bestaat, zoals de Autoriteit in haar onderzoek concludeert en waarvan de berichtgeving in het AD een voorbeeld is? Zo nee, kunt u hier eveneens een reactie op geven? Waarom zou er volgens u geen probleem met de veiligheid van persoonsgegevens bij gemeenten bestaan ondanks dat zowel het bovengenoemde onderzoek van de Autoriteit alsmede het bericht in het AD het tegendeel beweren, casu quo laten zien?

Antwoord 4

Ik ben het niet eens met de stelling dat de berichtgeving in het Algemeen Dagblad over het incident binnen de gemeente Amersfoort overeenkomt met de resultaten van het onderzoek dat op 19 april door de Autoriteit Persoonsgegevens is gepubliceerd. Het onderzoek van de Autoriteit Persoonsgegevens is gericht op het vragen van toestemming als wettelijke grondslag voor gegevensverwerking in het sociaal domein. De vraag of gemeenten al dan niet toestemming vragen aan hun cliënten als grondslag voor gegevensverwerking heeft niets te maken met de omgang met datalekken. Een incident als dat in Amersfoort moet gemeld worden bij de Autoriteit Persoonsgegevens. Daar is iedere gemeente van op de hoogte. De Autoriteit Persoonsgegevens heeft in december 2015 beleidsregels uitgevaardigd voor de toepassing van de meldplicht datalekken in de Wet bescherming persoonsgegevens.

Vraag 5

Herkent u het beeld dat geschetst wordt in het artikel «Gemeenten onzorgvuldig met privégegevens burgers» waarin naar voren komt dat gemeenten niet weten welke privacygevoelige informatie ze mogen vragen van burgers die bij hen aankloppen voor ondersteuning en zorg?

Antwoord 5

Het rapport van de Autoriteit Persoonsgegevens gaat over de vraag hoe gemeenten omgaan met toestemming. De Autoriteit Persoonsgegevens constateert dat gemeenten veelal toestemming vragen voor gegevensverwerking in het sociale domein. De Autoriteit zegt dat toestemming meestal geen grondslag kan zijn in het sociaal domein omdat die toestemming niet in vrijheid gegeven kan worden, de betreffenden zijn immers afhankelijk van de gemeente voor hulp. De Autoriteit zegt echter ook dat er in die gevallen vaak een andere grondslag voor gegevensverwerking is, een in de materiewetgeving opgenomen wettelijke verplichting of publiekrechtelijke taak. Gemeenten die toestemming als grondslag zien, gaan dus uit van de verkeerde wettelijke grondslag. Aan dat onderwerp is het afgelopen jaar veel aandacht besteed in de ondersteuning van gemeenten.

Het voorbeeld dat in het artikel wordt aangehaald herken ik niet als algemeen beeld. Het is een verantwoordelijkheid van gemeenten om ervoor te zorgen dat hun medewerkers steeds zorgvuldige afwegingen maken omtrent de noodzaak om bepaalde gegevens wel of niet uit te vragen bij betrokkenen.

Vraag 6

Kunt u een reactie geven op het feit dat de Autoriteit Persoonsgegevens5 «schrikt van het gebrek aan kennis over privacyregels» (bij gemeenten.)?

Antwoord 6

Natuurlijk begrijp ik dat de Autoriteit Persoonsgegevens daarvan schrikt. Het is voor de naleving van de privacyregels, waarop de Autoriteit toezicht houdt, immers van belang dat gemeenten goede kennis over die regels in huis hebben. Ik meen echter dat er sinds vorig jaar mei heel hard gewerkt is door gemeenten aan het vergroten van die kennis.

Vraag 7

Kunt u zich voorstellen, dat burgers afgeschrikt kunnen worden wanneer hun gemeente hen allerlei persoonlijke vragen stelt?6 Zo nee, waarom niet?

Antwoord 7

Wanneer de vragen die gemeenten stellen niet ter zake en niet nodig zijn voor het uitvoeren van de gemeentelijke taken op basis van de hulpvragen van de betreffende burgers, kan dat burgers inderdaad afschrikken. Dat is ook niet toegestaan. Voorts ben ik het met de Autoriteit Persoonsgegevens eens dat het van belang is dat gemeenten goed uitleggen waarom ze persoonlijke gegevens vragen en voor welk doel ze die gebruiken. De Wet bescherming persoonsgegevens schrijft immers voor dat betrokkenen worden geïnformeerd over hun betreffende gegevensverwerkingen. Als burgers een goede uitleg krijgen zullen ze niet zo snel afgeschrikt worden.

Vraag 8

Bent u het met de constatering van de Autoriteit Persoonsgegevens7 eens dat er momenteel te weinig waarborgen betreffende privacybescherming zijn? Zo nee, waarom niet?

Antwoord 8

Ik ben van mening dat de wettelijke kaders voor die waarborgen op dit moment toereikend zijn. Ik ben ook van mening dat de handreikingen en richtlijnen die daarnaast geboden worden gemeenten in staat stellen om die waarborgen te treffen.

Vraag 9

Bent u het met de constatering van de Autoriteit Persoonsgegevens8 eens dat u de zaak teveel op z'n beloop heeft gelaten? Zo nee, waarom niet?

Antwoord 9

Nee, dat ben ik niet met de Autoriteit Persoonsgegevens eens zoals ik ook uiteengezet heb in mijn brief aan uw Kamer d.d. 29 april 2016 (Kamerstuk 32 761, nr. 98).

Vraag 10

Bent u het met de constatering van de Autoriteit Persoonsgegevens9 eens dat er momenteel sprake is van verschillende regels die niet altijd in overeenstemming zijn met elkaar?

Antwoord 10

De Autoriteit Persoonsgegevens maakt in het rapport niet duidelijk welke regels volgens haar niet in overeenstemming zijn met elkaar. Als de Autoriteit concreet aangeeft welke regels zij bedoelt, zullen wij daar uiteraard naar kijken.

Vraag 11

Kunt u een reactie geven op de constatering van de Autoriteit10 dat er sprake is van een «gebrek aan sturing vanuit Den Haag»? Houdt u vast aan de bewering in uw eerder genoemde antwoord op vragen waarin u poneerde dat «informatiebeveiliging van gemeenten een lokale aangelegenheid is»? Zo ja, waarom? Zo nee, waarom niet?

Antwoord 11

Het is inderdaad een verantwoordelijkheid van de gemeenten om ervoor te zorgen dat zij voldoen aan de wet. Zowel waar het gaat om de informatieveiligheid, als waar het gaat om de borging van de privacy van burgers.

Met betrekking tot de informatieveiligheid hebben gemeenten de afgelopen jaren veel inspanningen verricht en zich o.a. gecommitteerd aan de BIG. Bij de VNG is de IBD (Informatiebeveiligingsdienst) ingericht om gemeenten te ondersteunen bij de implementatie. Vanuit BZK hebben wij dat van februari 2013 tot februari 2015 ondersteund met de Taskforce Bestuur en Informatieveiligheid Dienstverlening

Met betrekking tot de Privacy sociaal domein heb ik u in mijn brief dd. 29 april 2016 uitgebreid geschetst hoe wij vanuit «Den Haag» richting gegeven hebben en gemeenten ondersteund hebben bij het op een goede manier borgen van de privacy.

Vraag 12

Herkent u de situatie zoals geschetst11 dat gemeenten momenteel voor de zekerheid overal maar toestemming voor vragen – ook als dat wettelijk niet hoeft – wat volgens de Autoriteit Persoonsgegevens het vertrouwen van burgers in de overheid niet ten goede komt? Zo nee, waarom niet? Zo ja, welke concrete maatregelen kan en wilt u nemen om dit vertrouwen van burgers te herstellen?

Antwoord 12

Ik ben het met de Autoriteit Persoonsgegevens eens dat -voor zover gemeenten dat nog steeds doen – die situatie ongewenst is. In mijn brief d.d. 29 april 2016, heb ik uitgebreid geschetst hoe wij gemeenten ook op dit punt ondersteund hebben om ervoor te zorgen dat zij de juridische basis van hun gegevensverwerking goed op orde hebben. Die ondersteuning wordt nog voortgezet via masterclasses onder de vlag van de VNG.

Ik heb geen indicatie dat een onjuist gebruik van toestemming door gemeenten ertoe heeft geleid dat het vertrouwen in de overheid is afgenomen.

Vraag 13

Welke structurele maatregelen heeft u tot nu toe ondernomen om de veiligheid van persoonsgegevens bij gemeenten voor de burgers controleerbaar te verbeteren?

Antwoord 13

Binnen het wettelijke kader dat wordt geboden door de Wet bescherming persoonsgegevens is het beveiligen van persoonsgegevens bij gemeenten, net als informatiebeveiliging van gemeenten, een lokale verantwoordelijkheid. Gemeenten hebben de BIG als normenkader vastgesteld middels de Resolutie informatieveiligheid en zijn voortvarend aan de slag gegaan met de implementatie hiervan. De BIG biedt technische, organisatorische en fysieke handvatten om de beveiliging van persoonsgegevens te kunnen waarborgen. Gemeenten voeren een gefaseerde en gedifferentieerde implementatie van de BIG door die gebaseerd is op lokale (risico)afwegingen. De IBD is opgericht door gemeenten zelf en ondersteunt hen in generieke zin bij de implementatie van de BIG en faciliteert kennisdeling tussen gemeenten. Vanuit BZK is dat ondersteund met de Taskforce Bestuur en Informatieveiligheid Dienstverlening.

Vraag 14

Bent u het met de Autoriteit Persoonsgegevens eens dat het tijd wordt dat gemeenten met duidelijke richtlijnen gaan werken? Bent u het met de Autoriteit Persoonsgegevens eens dat er een simpel overzicht moet komen van wat mag en wat niet? Zo nee, waarom niet?

Antwoord 14

Er zijn duidelijke richtlijnen, dat wil niet zeggen dat daarmee alles eenvoudig is. U vraagt om een simpel overzicht van wat mag en wat niet mag, maar zo werkt de Wet bescherming persoonsgegevens niet. De wet vraagt om een afweging te maken welke gegevens noodzakelijk zijn. Wat noodzakelijk is, is afhankelijk van de specifieke casus en de specifieke situatie. Bij een eenvoudige problematiek kunnen gemeenten toe met minder gegevens. Bij complexe multi-problematiek zullen meer gegevens noodzakelijk zijn om tot goede ondersteuning te komen.

Alleen voor standaardprocessen als het maken van een beschikking of facturering is een simpel overzicht mogelijk. Dat kan echter ook per gemeente verschillen. Niet iedere gemeente werkt met contracten op basis van individuele behandelingen. Sommige gemeenten werken met lump-sum bekostiging, daar zijn geen persoonsgegevens voor nodig.

Vraag 15

Herkent u het beeld12 dat u «gemeenten heeft laten zwemmen bij de decentralisaties van zorgtaken door geen duidelijke regels over privacy mee te geven»

Antwoord 15

Zoals ik in mijn brief van 29 april heb uiteengezet herken ik het beeld niet dat ik de gemeenten heb laten zwemmen.

Vraag 16

Kunt u een reactie geven op het citaat van de heer Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens: «Het Rijk had duidelijkheid moeten scheppen. Gemeenten weten nu niet wat ze ermee aan moeten, en dus ligt het probleem bij de burger»? Kunt u aangeven wat u van plan bent te doen om ervoor te zorgen dat dit probleem bij de burger wordt weggenomen?

Antwoord 16

Ik ben niet van mening dat het Rijk geen duidelijkheid heeft geschapen. Wij hebben mede naar aanleiding van eerdere signalen van de Autoriteit Persoonsgegevens richting gegeven aan gemeenten middels de kabinetsvisie «Zorgvuldig en bewust». Wij hebben vervolgens nadere invulling gegeven aan de wijze waarop gemeenten de privacy moeten borgen middels de Privacy Impact Assessment 3D. Vervolgens hebben wij met de VNG masterclasses verzorgd om gemeenten verder op weg te helpen. Telkens wanneer gemeenten in de uitvoering op onduidelijkheden stuitten is er vanuit Rijk en VNG van alles aan gedaan om helderheid te scheppen door middel van handreikingen etcetera. Waar nodig is ook de wet aangepast, zoals de veegwet Jeugd. Dat is wat ik bedoel met «richting geven aan de lerende praktijk.» Daar gaan we ook mee door, zoals u in mijn brief van 29 april 2016 heeft kunnen lezen(Kamerstuk 32 761, nr. 98).

Vraag 17

Is het waar dat de Autoriteit Persoonsgegevens13, in het verleden herhaaldelijk heeft gewaarschuwd voor dit soort praktijken?

Antwoord 17

De Autoriteit heeft eerder zorgen geuit over mogelijke privacyrisico’s bij gemeenten. Mede daarom zijn er vanuit het Rijk en de VNG de afgelopen jaren allerlei acties ondernomen om gemeenten te ondersteunen bij een gestructureerde aanpak van privacy bij de nieuwe taken in het sociaal domein. Zie ook mijn antwoord op vraag 16 en mijn brief van 29 april 2016.

Vraag 18

Kunt u reageren op de constatering van de heer Tomesen,14 dat daar «onvoldoende naar is geluisterd»?

Antwoord 18

Ik ben de Autoriteit Persoonsgegevens zeer erkentelijk voor haar rapport. Het rapport bevestigt voor mij dat de inhoudelijke richting die wij geven aan gemeenten de goede is. Juist omdat wij in het verleden goed geluisterd hebben naar de zorgen van de Autoriteit. Ik ben blij dat de Autoriteit duidelijkheid geeft aan gemeenten over wat zij als toezichthouder belangrijk vindt, zodat gemeenten hun verantwoordelijkheid kunnen nemen, met gebruikmaking van hetgeen het Rijk en de VNG hen hebben aangereikt.


X Noot
3

http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html.

Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7.

X Noot
4

Aanhangsel van de Handelingen 2015–2016, nr. 2076.

X Noot
5

http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html.

Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7.

X Noot
6

http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html.

Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7.

X Noot
7

http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html.

Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7.

X Noot
8

http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html.

Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7.

X Noot
9

http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html.

Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7.

X Noot
10

http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html.

Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7.

X Noot
11

http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html.

Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7.

X Noot
12

http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html.

Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7.

X Noot
13

http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html.

Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7.

X Noot
14

http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html.

Dagblad NRC Handelsblad, verschenen op 19 april 2016, blz. 1 en 7.

Naar boven