Advies Raad van State inzake het voorstel van wet, houdende wijziging van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerkingen te verstevigen (Verzamelwet gegevensverwerking VWS I)

Bij de zorg voor mensen hoort ook de zorg voor hun gegevens. Het kabinet heeft om die reden aandacht voor zorgvuldige gegevensverwerking (waaronder uitwisseling) en het wegnemen van knelpunten op het VWS-terrein. Hiervoor is deels wetgeving noodzakelijk. Met dit wetsvoorstel worden acht knelpunten weggenomen:

• 1. In de praktijk bestaat onduidelijkheid over de reikwijdte van de inzagebevoegdheid van de Inspectie Gezondheidszorg en Jeugd (hierna: IGJ).

• 2. De IGJ heeft tot taak calamiteitenmeldingen, meldingen van geweld in de zorgrelatie, meldingen van ontslag bij disfunctioneren en andere meldingen te onderzoeken. Voor andere meldingen ontbreekt echter een wettelijke verplichting voor zorgaanbieders en zorgverleners om de gegevens, waaronder persoonsgegevens en bijzondere categorieën van persoonsgegevens, te verstrekken aan de IGJ die voor het onderzoeken van de melding noodzakelijk zijn. Dit heeft tot gevolg dat de IGJ in sommige situaties haar toezichthoudende taak onderzoek te doen naar andere meldingen niet volledig kan vervullen.

• 3. De huidige wetteksten over hulplijnen gaan uit van anonimiteit. Van anonimiteit in de zin van de Algemene verordening gegevensbescherming1 (hierna: AVG) is enkel sprake als elke mogelijkheid tot identificatie van betrokkenen onherroepelijk wordt uitgesloten. Indirecte herleidbaarheid door middel van het telefoonnummer of IP-adres kan, ondanks technische en organisatorische maatregelen, niet volledig worden uitgesloten. De Jeugdwet en de Wet maatschappelijke ondersteuning 2015 (hierna: Wmo 2015) sluiten daardoor niet aan bij de AVG en de feitelijke situatie.

• 4. De huidige formulering van artikel 4.1.1, tweede lid, Wmo 2015 geeft in de praktijk onduidelijkheid over met welke partijen in de strafrechtketen gegevens mogen worden gedeeld als dat noodzakelijk is voor het stoppen en duurzaam oplossen van situaties van huiselijk geweld en kindermishandeling. De wettelijke grondslag voor het verstrekken van gegevens door een Veilig Thuis-organisatie aan het college van burgemeester en wethouders (hierna: het college), de Minister van Volksgezondheid, Welzijn en Sport (hierna: de Minister van VWS) en aan de Minister voor Rechtsbescherming ten behoeve van beleidsinformatie en de grondslag voor het verstrekken van persoonsgegevens aan het college met als doel dat het college kan beoordelen of een bepaalde voorziening nodig is (de zgn. ‘gevalsbehandeling’) zijn ook niet voldoende duidelijk.

• 5. De delegatiegrondslag van artikel 18.4.5, eerste lid, onderdeel e, van de Invoeringswet openbare lichamen Bonaire, Sint Eustatius en Saba (hierna: Invoeringswet BES) mist een bepaling op grond waarvan regels met betrekking tot de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens, kunnen worden gesteld.

• 6. Er mist een grondslag voor het Centrum Indicatiestelling Zorg (hierna: CIZ) om, indien noodzakelijk, gegevens die verkregen zijn in het kader van de Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapter patiënten (hierna: Wzd) te hergebruiken in het kader van de Wet langdurige zorg (hierna: Wlz) om op deze wijze hulpverleners, cliënten en hun directbetrokkenen alsook zorginstellingen zoveel mogelijk te ontlasten en geen dubbele uitvragen te hoeven doen.

• 7. Voor het beoordelen van subsidies is het in bepaalde gevallen, met name als een natuurlijk persoon de aanvrager is, noodzakelijk dat medische gegevens worden verwerkt. Deze gegevens vallen onder bijzondere categorieën van persoonsgegevens en mogen alleen verwerkt worden als er sprake is van toestemming van degene aan wie de persoonsgegevens toebehoren dan wel van een wettelijke grondslag. In dit geval is toestemming geen geschikte grondslag en ontbreekt een wettelijke grondslag in de Kaderwet VWS-subsidies.

• 8. Er ontbreekt een wettelijke grondslag voor de uitwisseling van persoonsgegevens tussen gemeenten, zorgkantoren en zorgverzekeraars, gemeenten onderling en binnen een gemeente (tussen verschillende zorgdomeinen). Deze gegevens kunnen noodzakelijk zijn voor een door gemeenten, zorgkantoor of zorgverzekeraar ingesteld fraudeonderzoek.

Beroepsbeoefenaren of hulpverleners kunnen op grond van hun (afgeleid) beroepsgeheim op grond van artikel 5:20, tweede lid, van de Algemene wet bestuursrecht (hierna: Awb) weigeren hun medewerking te verlenen aan de verstrekking van informatie aan de IGJ. Om haar toezicht te kunnen uitoefenen is het voor de IGJ echter noodzakelijk om patiëntendossiers in te kunnen zien en is het dus van belang dat beroepsbeoefenaren of zorgverleners zich niet op hun medisch beroepsgeheim kunnen beroepen. Op grond van artikel 7:457, eerste lid, van het Burgerlijk Wetboek en artikel 6, eerste lid, onder e, juncto artikel 9, tweede lid, onder g, AVG is voor doorbreking van het medisch beroepsgeheim respectievelijk de verwerking van bijzondere categorieën van persoonsgegevens een wettelijke grondslag vereist. Om die reden is, in afwijking van artikel 5:20, tweede lid, in diverse wetten op het terrein van de volksgezondheid de bevoegdheid voor de IGJ opgenomen om patiëntendossiers in te zien.

Tijdens de behandeling in de Eerste Kamer van de Wet van 23 januari 2019 tot Wijziging van diverse wetten op het terrein van de volksgezondheid in verband met de versterking van het handhavingsinstrumentarium van de Inspectie gezondheidszorg en jeugd en enkele andere wijzigingen (Stb. 2019, 52), ontstond een discussie over de reikwijdte van het begrip inzage dat is opgenomen in de diverse wetten.3 Destijds is aangegeven dat met het inzagerecht is bedoeld om de IGJ ten aanzien van patiëntendossiers vergelijkbare bevoegdheden te verschaffen als opgenomen in de artikelen 5:16 en 5:17 van de Awb. Het gaat dan om het recht om inlichtingen te vorderen (artikel 5:16), het recht om inzage te vorderen (artikel 5:17, eerste lid) en het recht om kopieën te maken (artikel 5:17, tweede lid).

Echter, in de huidige artikelen van de betreffende wetten is enkel de bevoegdheid voor de IGJ om de dossiers in te zien expliciet benoemd. Hierdoor wordt ten onrechte de suggestie gewekt dat de wettelijke grondslag zich beoogt te beperken tot de bevoegdheid van de IGJ om dossiers in te zien, zoals is geregeld in artikel 5:17, eerste lid, van de Awb. De toezichthoudende ambtenaren lopen in de huidige uitvoeringspraktijk aan tegen de hierdoor ontstane onduidelijkheid over hun bevoegdheden.

Om de rechtszekerheid te vergroten, heeft de toenmalige Minister van VWS aan de Eerste Kamer toegezegd dat het inzagerecht dat in de volksgezondheidswetten is opgenomen wordt gewijzigd, in die zin dat expliciet wordt aangegeven waartoe de IGJ bevoegd is.4 In de volgende wetten is het inzagerecht opgenomen en wordt voorgesteld een verduidelijking aan te brengen: Jeugdwet, Wmo 2015, Wet kwaliteit, klachten en geschillen zorg (hierna: Wkkgz), Wet op de beroepen in de individuele gezondheidszorg, Gezondheidswet (hierna: Wet BIG), Wet verplichte geestelijke gezondheidszorg (hierna: Wvggz), Wzd, Wlz, Geneesmiddelenwet, Wet donorgegevens kunstmatige bevruchting en de Invoeringswet BES.5

De voorgestelde wijzigingen houden dus geen materiële wijziging in, maar zijn slechts een verduidelijking van het begrip inzagerecht.

De Wkkgz heeft tot doel de veiligheid en de kwaliteit van de zorg te waarborgen. Met het oog op dit doel is in de Wkkgz opgenomen dat de IGJ de wettelijk verplichte meldingen en andere meldingen onderzoekt om vast te stellen of sprake is van een situatie die voor de veiligheid van cliënten in de zorg een ernstige bedreiging kan betekenen, of met het oog op het belang van goede zorg anderszins noodzaakt tot nader onderzoek (artikel 25, eerste lid, Wkkgz).

Een drietal meldingen is voor zorgaanbieders verplicht. Zorgaanbieders dienen melding te doen bij de IGJ van iedere calamiteit die bij de zorgverlening heeft plaatsgevonden, van geweld in de zorgrelatie en van opzegging, ontbinding of niet-voortzetting van een (arbeids)overeenkomst met een zorgverlener, omdat de zorgaanbieder van oordeel is dat een zorgverlener ernstig tekort is geschoten in zijn functioneren (artikel 11, eerste lid). Voor deze drie wettelijk verplichte meldingen is voor de verstrekking van persoonsgegevens, daaronder begrepen bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard, in de Wkkgz een rechtsgrondslag opgenomen (artikel 11, tweede lid). Onder bijzondere categorieën van persoonsgegevens vallen onder meer gegevens over de gezondheid. De zorgaanbieder en de zorgverleners die de zorg verlenen aan cliënten dienen in geval van deze wettelijk verplichte meldingen en het onderzoek daarnaar aan de IGJ deze gegevens te verstrekken, voor zover deze gegevens voor het onderzoeken van de melding noodzakelijk zijn.

Naast deze verplichte meldingen, ontvangt de IGJ vele andere meldingen. Andere meldingen zijn alle meldingen anders dan de drie hierboven genoemde wettelijk verplichte meldingen. Deze meldingen kunnen door eenieder6 worden gedaan, zoals door cliënten, naasten of nabestaanden van cliënten, zorgverleners, zorgaanbieders, organisaties en anderen die melding doen bij de IGJ over zaken in de zorg die in hun ogen niet op een juiste wijze (zijn) verlopen of waarin er anderszins zorg wordt geuit over een situatie in de zorg. De melding kan betrekking hebben op zorgaanbieders, fabrikanten en zorgverleners. De IGJ beoordeelt aan de hand van een beoordelingskader, zoals opgenomen in artikel 25 Wkkgz en in artikel 8.20 van het Uitvoeringsbesluit Wkkgz, of een andere melding nader moet worden onderzocht. Deze beoordeling vindt plaats aan de hand van de informatie in de melding.

Uit artikel 25, eerste lid, Wkkgz en artikel 8.20 van het Uitvoeringsbesluit Wkkgz blijkt dat een andere melding door de IGJ nader wordt onderzocht als de melding naar het oordeel van de IGJ wijst of kan wijzen op een situatie die voor de veiligheid van cliënten of de zorg een ernstige bedreiging betekent of kan betekenen, of als met het oog op het belang van goede zorg of de veiligheid van de cliënten de andere melding redelijkerwijs noodzaakt tot nader onderzoek. Ook wordt een andere melding gelet op artikel 8:20, eerste lid, onderdeel c, van het Uitvoeringsbesluit Wkkgz nader onderzocht indien de melding betrekking heeft op het niet of niet geheel voldoen door een zorgaanbieder aan bepaalde wettelijke verplichtingen in de Wkkgz. Het gaat dan onder meer om het ontbreken van een klachtenregeling of het ontbreken van een klachtenfunctionaris of het niet aangesloten zijn bij een geschilleninstantie. Redenen om een andere melding niet nader te onderzoeken zijn onder andere dat er wettelijk of op grond van internationale verplichtingen andere voorgeschreven procedures gehanteerd moeten worden of dat de melding al voorwerp van onderzoek door de IGJ is geweest.

Bij een dergelijk onderzoek is het uiteraard zaak precies duidelijk te krijgen wat de feiten zijn, om helder te krijgen of er inderdaad sprake is van een situatie die een ernstige bedreiging vormt voor de veiligheid van cliënten of de kwaliteit van de zorg; zodat de IGJ – indien dat het geval blijkt te zijn – handhavend op kan treden. Om de zaak goed te kunnen onderzoeken, kan het nodig zijn daarbij persoonsgegevens te vergaren en te verwerken, daaronder begrepen bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke aard. Dit kunnen persoonsgegevens zijn van de cliënt, een zorgverlener, maar ook van een derde. Voor de onderzoeken naar de verplichte meldingen is een grondslag in de Wkkgz opgenomen dat betrokken zorgaanbieders en zorgverleners bij en naar aanleiding van een melding verplicht zijn om aan de IGJ de persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens te verstrekken, die noodzakelijk zijn voor het onderzoeken van de melding.

Voor andere meldingen ontbreekt een soortgelijke grondslag in de Wkkgz. In de Wkkgz is voor andere meldingen wel bepaald dat bij algemene maatregel van bestuur regels gesteld kunnen worden omtrent de gegevens die de melding tenminste bevat (artikel 25, tweede lid, sub a, Wkkgz). Op grond daarvan is in het Uitvoeringsbesluit Wkkgz opgenomen welke informatie een andere melding dient te bevatten (artikel 8.18 van het Uitvoeringsbesluit Wkkgz). Het gaat om onder andere de situatie waarop de melding betrekking heeft. Deze informatie is nodig om te kunnen toetsen of nader onderzoek noodzakelijk is.

Op grond van dezelfde delegatiegrondslag is opgenomen dat de betrokken zorgaanbieder en de betrokken zorgverleners bij een onderzoek naar een andere melding desgevraagd aan de IGJ alle gegevens verstrekken die voor het nader onderzoeken van een andere melding noodzakelijk zijn. Tot deze gegevens behoren persoonsgegevens van de bij de gemelde feiten betrokken cliënt(en) en van de betrokken zorgverleners (artikel 8.19 van het Uitvoeringsbesluit Wkkgz). Zoals hiervoor al is aangegeven ontbreekt echter een verplichting op wettelijk niveau voor zorgaanbieders en zorgverleners om bijzondere categorieën van persoonsgegevens te verstrekken aan de IGJ.

In de toelichting bij artikel 8.19 van het Uitvoeringsbesluit Wkkgz is destijds expliciet opgenomen dat bijzondere categorieën van persoonsgegevens niet kunnen worden verstrekt op grond van dat artikel. Voor deze verstrekking is een wettelijke grondslag vereist of, zoals in de toelichting is opgenomen, toestemming van de cliënt zelf dat die gegevens door de zorgaanbieders of de zorgverleners kunnen worden verstrekt aan de IGJ.

De grondslag voor de IGJ om in het kader van het onderzoek naar een andere melding bijzondere categorieën van persoonsgegevens te verwerken was eerder reeds opgenomen in de Aanpassingswet Algemene verordening gegevensbescherming. In deze wet is een hele reeks wetten in technische zin aangepast aan de AVG vanwege verouderde terminologie. Het opnemen van een wettelijke grondslag voor de IGJ om bij het onderzoeken van een andere melding bijzondere categorieën van persoonsgegevens te verwerken betrof volgens het advies van de Raad van State niet louter een technische wijziging, maar een materiële. Met het opstellen van de Aanpassingswet Algemene verordening gegevensbescherming was echter enkel beoogd technische wijzigingen aan te brengen. De wijziging is om die reden niet overgenomen in het wetsvoorstel zoals dat uiteindelijk bij de Tweede Kamer is ingediend.7

Met de wetswijziging die nu voorligt, wordt alsnog de materiële wijziging doorgevoerd. Reden daarvoor is dat andere meldingen onder het huidige wettelijk regime niet voldoende adequaat kunnen worden onderzocht. Het ontbreken van een wettelijke verplichting heeft namelijk tot gevolg dat de IGJ in onderzoeken naar andere meldingen afhankelijk is van de bereidheid van de cliënt, zorgaanbieder of zorgverlener om (bijzondere categorieën van) persoonsgegevens af te staan. Veelal zijn zorgaanbieders en zorgverleners daartoe bereid, maar er zijn situaties waarin de betrokkene de toestemming om de gegevens te verwerken weigert of intrekt. Denk daarbij aan bijvoorbeeld de situatie van een zoon die een melding doet over een zorgelijke situatie met betrekking tot de zorg voor zijn in een verpleeghuis opgenomen moeder. Of aan de situatie waarin een zorgverlener een mogelijke verslaving van een andere zorgverlener onder de aandacht brengt. Het onderzoek kan dan slechts uitgevoerd worden voor zover dat mogelijk is zonder de bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke aard. Naast de al dan niet bereidheid van de cliënt, zorgaanbieder of zorgverlener, is het in bepaalde situaties onmogelijk of problematisch om toestemming aan de cliënt of de zorgverlener te vragen. Het gaat dan vaak om (bijzondere categorieën van) persoonsgegevens van anderen dan de melder zelf. Ook dan kan er sprake zijn van belemmeringen in de adequate uitvoering van het onderzoek naar de andere melding. Dit kan betekenen dat de IGJ in bepaalde gevallen andere meldingen niet (volledig) kan onderzoeken.

Dat de IGJ in bepaalde gevallen haar wettelijke taak andere meldingen te onderzoeken niet goed (genoeg) kan uitvoeren is uit oogpunt van de veiligheid van patiënten en de kwaliteit van de zorg ongewenst. Om die reden is het voorstel voor andere meldingen een verplichting in de Wkkgz op te nemen voor de verstrekking van persoonsgegevens, daaronder begrepen bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke aard door de zorgaanbieders en zorgverleners aan de IGJ. De verplichting is er alleen als de betreffende gegevens noodzakelijk zijn om een andere melding te onderzoeken8. Door het toevoegen van de wettelijke verplichting ook als er sprake is van een andere melding, wordt de rechtsgrondslag voor het aanleveren van gegevens in het kader van andere meldingen gelijkgetrokken met de rechtsgrondslag voor het aanleveren van gegevens in het kader van de wettelijk verplichte meldingen van calamiteit, geweld in de zorgrelatie en ontslag wegens disfunctioneren. De verstrekking van (gewone) persoonsgegevens door de zorgaanbieder en zorgverleners, die nu via een delegatiegrondslag in de wet in het Uitvoeringsbesluit Wkkgz is geregeld, wordt daarbij ook op wetsniveau getild. De voorgestelde wettelijke grondslag voor gegevensverwerking bij andere meldingen, maakt het mogelijk dat de IGJ bij het onderzoeken van andere meldingen bijzondere categorieën van persoonsgegevens – dus ook medische gegevens – kan verwerken, ook indien daar geen toestemming voor wordt gegeven. De IGJ kan dit alleen doen als dit noodzakelijk is om een andere melding goed te kunnen onderzoeken, dat wil zeggen om te kunnen onderzoeken of een gemelde situatie voor de veiligheid van cliënten of de zorg een ernstige bedreiging betekent of met het oog op het belang van goede zorg anderszins noodzaakt tot nader onderzoek.

Met dit voorstel worden de betrokken zorgaanbieder en zorgverleners verplicht onder andere medische gegevens te verstrekken aan de IGJ als deze voor de IGJ noodzakelijk zijn om de andere melding te onderzoeken. Dit kan betekenen dat het medisch beroepsgeheim wordt doorbroken. De bescherming van het medisch beroepsgeheim is een belangrijke waarde in onze samenleving. De bescherming van deze waarde vloeit voort uit de bescherming van het recht op privacy van de cliënt en ook uit het algemene belang van de volksgezondheid, waarin het belangrijk is dat mensen die medische hulp nodig hebben die in moeten kunnen roepen zonder vrees dat zijn aldus beschikbaar komende gezondheidsgegevens op welke wijze dan ook voor andere doelen worden gebruikt. Het beroepsgeheim is een cruciaal aspect van de relatie tussen hulpverlener en cliënt. Met het doorbreken van het medisch beroepsgeheim moet dan ook zeer terughoudend worden omgegaan. Voor die gevallen waarin onder het beroepsgeheim vallende informatie door de zorgverlener op grond van een specifieke wettelijke bepaling toch aan anderen, zoals in casu de IGJ, moet worden verstrekt, kent de wetgeving nadrukkelijk stevige waarborgen voor het geheimhouden van deze gegevens. Indien er geen toestemming is, is voor doorbreking van het medisch beroepsgeheim een wettelijke grondslag nodig. Met deze voorgestelde rechtsgrondslag in de Wkkgz wordt dit gerealiseerd. Deze rechtsgrondslag is ook nodig omdat de verplichting (bijzondere categorieën van) persoonsgegevens – en overigens ook strafrechtelijke gegevens – af te staan een inbreuk vormt op het recht op privacy. Een inbreuk op dit recht, onder meer geregeld in artikel 8 EVRM, is alleen gerechtvaardigd indien de inbreuk geregeld is in de wet. Voorts geldt – uit oogpunt van de bescherming van het recht op privacy – dat een dergelijke inbreuk alleen gerechtvaardigd is als zij noodzakelijk is in een democratische samenleving met het oog op specifiek in artikel 8 EVRM genoemde belangen. De verplichting persoonsgegevens, daaronder begrepen medische gegevens en strafrechtelijke gegevens wordt in dit wetsvoorstel geregeld, omdat de IGJ nu op belemmeringen stuit in onderzoeken naar andere meldingen. Het is noodzakelijk deze meldingen te onderzoeken omdat deze meldingen situaties kan betreffen die voor de veiligheid van cliënten of de zorg een ernstige bedreiging betekenen of met het oog op het belang van goede zorg – en dus de kwaliteit van de zorg – anderszins noodzaakt tot nader onderzoek. Het goed onderzoeken van deze risico’s is noodzakelijk in het belang van de bescherming van de gezondheid. De inbreuk is proportioneel. Indien toestemming niet wordt gegeven of niet mogelijk is, is er bij andere meldingen geen andere manier dan de wettelijke daarvoor toegeruste toezichthouder onderzoek uit te laten voeren naar of er sprake is van een ernstige bedreiging voor veiligheid van cliënten of de kwaliteit van de zorg of dat er anderszins met het oog op goede zorg noodzaak is voor het nader onderzoek. Ook zijn er geen lichtere methoden dan de wettelijk verplichte afgifte van de gegevens die geringere inbreuk zouden vormen. Daarmee is de inbreuk op het recht op privacy voldoende gerechtvaardigd. Overigens is in het voorstel opgenomen dat de betrokken zorgaanbieder en de zorgverleners alleen die gegevens behoeven te verstrekken die voor het onderzoeken van de andere melding noodzakelijk zijn. Dit impliceert dat de IGJ van situatie tot situatie een afweging zal moeten maken en dat zij zal moeten motiveren dat de gegevens noodzakelijk zijn9.

Verder spreekt voor zich dat voorkomen moet worden dat gegevens over de gezondheid van de cliënt, die de IGJ heeft ontvangen van de zorgaanbieder of de zorgverlener, alsnog verder worden verspreid naar derden. Artikel 25, derde lid, Wkkgz voorziet hierin, nu is bepaald dat in het geval de IGJ gegevens heeft ontvangen in het kader van het onderzoeken van een (wettelijk verplichte of andere) melding en deze gegevens vallen onder het beroepsgeheim van een zorgverlener, de IGJ ook een geheimhoudingsplicht heeft ten aanzien van deze gegevens. In artikel 25, derde lid, Wkkgz is bepaald dat dit geldt voor meldingen, zodat ook andere meldingen onder dit artikel vallen. Dit artikel behoeft om die reden geen aanpassing.

In de Jeugdwet is opgenomen dat ervoor zorg moeten worden gedragen dat jeugdigen kosteloos en anoniem een telefonisch of elektronisch (chat of mail) gesprek kunnen voeren over hun persoonlijke situatie en daarover advies kunnen krijgen.

Deze luisterlijn in het kader van de Jeugdwet is in de praktijk bekend onder het begrip «kindertelefoon». Waar in deze memorie van toelichting specifiek gesproken wordt over de luisterlijn in het kader van de Jeugdwet, wordt daarom de term kindertelefoon gebruikt. Momenteel wordt deze taak uitgevoerd door de Stichting De Kindertelefoon. De Stichting Kindertelefoon voert deze taak kindvriendelijk en laagdrempelig uit en biedt jeugdigen een luisterend oor, geeft antwoorden op vragen of bedenkt samen met de jeugdige een oplossing.

In de Wmo 2015 is een soortgelijke functie opgenomen. Deze hulplijn in het kader van de Wmo 2015 is in de praktijk bekend onder het begrip ‘de luisterlijn’. Momenteel wordt deze functie uitgeoefend door Stichting Sensoor, de landelijke luisterlijn. Op ieder moment van de dag kan kosteloos een telefonisch of chatgesprek worden gevoerd over de persoonlijke situatie of advies worden gevraagd.

In de Wmo 2015 zijn ook de taken van Veilig Thuis opgenomen. Veilig Thuis is tijdens de coronacrisis met een chatfunctie gestart voor mensen die te maken hebben met huiselijk geweld of kindermishandeling. De chatfunctie is speciaal bedoeld voor mensen die door hun thuissituatie niet kunnen bellen. Zij kunnen dan via de chat vragen stellen en een advies krijgen.

De bovenstaande drie functies worden in deze toelichting gezamenlijk aangeduid met de term «hulplijnen».

Aanleiding voor dit wetsvoorstel is het signaal vanuit de Stichting De Kindertelefoon dat er grondslagen in de Jeugdwet ontbreken voor de gegevensverwerking die noodzakelijk is voor de uitvoering van een hulplijn. Het knelpunt is dat de huidige wetteksten uitgaan van anonimiteit. Van anonimiteit in de zin van de AVG is enkel sprake indien elke mogelijkheid tot identificatie van betrokkenen onherroepelijk wordt uitgesloten. Indirecte herleidbaarheid door middel van het telefoonnummer of IP-adres kan, ondanks technische en organisatorische maatregelen, echter niet volledig worden uitgesloten.

Om aan te sluiten bij de feitelijke situatie wordt voorgesteld het woord ‘anoniem’ in de bepalingen die gaan over de kindertelefoon en de luisterlijn te vervangen door ‘niet direct herleidbaar’.

Overigens geldt bovenstaande niet op dezelfde wijze voor de chatfunctie van Veilig Thuis. Ook de chat-functie is niet direct herleidbaar. Echter, in artikel 4.1.1, derde lid, Wmo 2015, waarin is bepaald dat Veilig Thuis advies geeft aan degene die een vermoeden heeft van huiselijk geweld of kindermishandeling, wordt al niet uitgegaan van anonimiteit. Om die reden behoeft deze bepaling geen aanpassing.

Het telefoonnummer en het IP-adres van degenen die contact zoeken met de kindertelefoon en de luisterlijn moeten worden verwerkt om deze voorziening mogelijk te maken. Zodra een persoon belt met een hulplijn krijgt de verwerker – de organisatie die zorgt voor de applicaties van de hulplijnen – automatisch het telefoonnummer waarmee wordt gebeld en bij het starten van een chat krijgt de verwerker automatisch het IP-adres van de computer. Dit telefoonnummer of IP-adres kan alleen door de verwerker ingezien worden. De vrijwilliger met wie de persoon het gesprek voert dan wel chat, ziet dit telefoonnummer of IP-adres niet. Deze gegevens zijn versleuteld (gepseudonimiseerd). De verwerker deelt deze gegevens alleen met een medewerker van een hulplijn in zeer uitzonderlijke situaties, zie hiervoor paragraaf 2.3.3. Wel kunnen de vrijwilliger en medewerkers van de kindertelefoon en de luisterlijn in het systeem zien of en zo ja hoe vaak de desbetreffende persoon contact heeft opgenomen10.

Dit zijn goede waarborgen om te voorkomen dat de gegevens herleidbaar zijn naar een persoon. Echter, ook het gebruik van versleutelde gegevens kan niet volledig voorkomen dat deze gegevens kunnen worden herleid naar de persoon om wie het gaat, nu de gegevens, ondanks goede afspraken in de verwerkersovereenkomst, indirect herleidbaar kunnen zijn tot een persoon. Om die reden is geen sprake van anonimiteit in de zin van de AVG en wordt met onderhavig voorstel een grondslag voor de kindertelefoon en de luisterlijn voorgesteld voor de verwerking van het telefoonnummer en het IP-adres van hun gesprekspartners.

De verwerking van het telefoonnummer en het IP-adres zijn ook van belang om oneigenlijk gebruik van de kindertelefoon en de luisterlijn tegen te gaan. Een klein deel van degenen die contact zoekt met deze hulplijnen, doet dat heel vaak en maakt misbruik van de mogelijkheid die de hulplijnen bieden. Voor de kindertelefoon betekende dit dat deze werd overspoeld door jeugdigen die veelvuldig contact wilden. Daardoor kwamen niet alle jeugdigen aan de beurt. De verwerker kan namens de kindertelefoon een time-out geven op basis van een IP-adres of een telefoonnummer en een aantal time-outs kan leiden tot een tijdelijke blokkering van het betreffende IP-adres of telefoonnummer. Het geven van time-outs heeft bijgedragen aan een betere bereikbaarheid van de kindertelefoon. Ditzelfde geldt voor het instellen van maximaal vier keer bellen per dag en het introduceren van een wachtrij. Ook hierbij wordt het telefoonnummer of het IP-adres van de jeugdige verwerkt. Het IP-adres en telefoonnummer worden zes weken voor bovenstaande doelen opgeslagen en worden daarna gepseudonimiseerd.

Voor de luisterlijn geldt ook dat voor het optimaliseren van de bereikbaarheid het verwerken van het IP-adres en het telefoonnummer noodzakelijk is. Een gesprekspartner ontvangt als hij reeds vier gesprekken met de luisterlijn heeft gehad en een vijfde keer een gesprek tot stand wil doen komen, de boodschap te horen dat hij zijn maximumaantal gesprekken voor die dag heeft gehad. Bij (veelvuldig) oneigenlijk gebruik of ernstig grensoverschrijdend gedrag kan een gesprekspartner voor de duur van zes maanden worden geblokkeerd.

Naast de grondslag voor de kindertelefoon en de luisterlijn om het IP-adres dan wel het telefoonnummer van degene die contact opneemt te verwerken, zijn de volgende grondslagen noodzakelijk om hun taak te kunnen uitoefenen.

Ten eerste wordt een grondslag voorgesteld op basis waarvan er (bijzondere categorieën van) persoonsgegevens kunnen worden verwerkt door de vrijwilliger in de chats dan wel door de verwerker. Deze situatie doet zich voor als de persoon die contact zoekt met de kindertelefoon of de luisterlijn uit eigen beweging (bijzondere categorieën van) persoonsgegevens heeft gedeeld met de vrijwilliger. Deze grondslag is noodzakelijk voor de chat, omdat het delen van informatie in een chatgesprek direct is aan te merken als een verwerking in de zin van de AVG, aangezien er sprake kan zijn van (indirecte) herleidbaarheid en de gesprekken bijvoorbeeld ook over (geestelijke) gezondheid kunnen gaan. Ondanks de technische en organisatorische maatregelen om herleidbaarheid te voorkomen, waarbij de vrijwilliger geen inzage heeft in het IP-adres, is er bij de verwerkers, de kindertelefoon en de luisterlijn zowel informatie beschikbaar op basis waarvan een persoon indirect kan worden herleid (het IP-adres) als informatie over bijvoorbeeld de gezondheid. De vrijwilliger van de kindertelefoon en de luisterlijn verwerkt gepseudonimiseerde gegevens en gelet op de AVG is voor deze verwerking een grondslag en uitzondering op het verwerkingsverbod noodzakelijk vanwege de mogelijkheid dat de gegevens naar een persoon herleidbaar zijn.

Overigens is deze grondslag bij telefoongesprekken niet noodzakelijk. Een telefoongesprek is niet aan te merken als een verwerking in de zin van de AVG en de gesprekken worden niet opgeslagen. Bij de kindertelefoon worden van de telefoongesprekken ook geen verslag gemaakt. De vrijwilligers van de luisterlijn maken van de telefoongesprekken wel een verslag, maar nemen hierin geen (bijzondere categorieën van) persoonsgegevens op. Het tijdstip van bellen, de lengte van het gesprek, de herkomstregio van de beller en de ingang (nummer van de hulplijn) welke is gekozen, kan zichtbaar worden gemaakt voor stafmedewerkers.

Het gespreksverslag dat van het telefoongesprek wordt gemaakt en de chat worden gekoppeld aan het pseudoniem (het gehashte telefoonnummer of IP-adres). In tegenstelling tot een gespreksverslag kunnen in een chat wel (bijzondere categorieën van) persoonsgegevens staan. De reden hiervoor is dat chats woordelijk worden opgeslagen. Hoewel de chats niet direct terug te leiden zijn naar een persoon, zijn het telefoonnummer en het IP-adres gehasht en om die reden is herleidbaarheid naar een persoon niet uitgesloten. Om die reden is het verwerken van gepseudonimiseerde gegevens alleen mogelijk met een wettelijke grondslag.

Ten tweede wordt een grondslag voorgesteld die ziet op de verwerking van (bijzondere categorieën van) persoonsgegevens in chats door daarvoor geautoriseerde medewerkers met als doel dat de kindertelefoon en de luisterlijn hun taak doelmatig en doeltreffend kunnen uitvoeren. Dit zijn voor de kindertelefoon de werkbegeleiders en voor de luisterlijn de superuser en de trainer. Voor hen blijven de chats gepseudonimiseerd drie maanden zichtbaar in de productieomgeving van het systeem. Zij kunnen deze teruglezen ten behoeve van opleidingsdoeleinden en intervisie. Deze personen kunnen aan de hand van één chat ook eventueel eerdere chats van dezelfde persoon die contact zocht met de kindertelefoon of de luisterlijn terugkijken. Ten behoeve van de opleiding en ontwikkeling van de vrijwilligers kan de daartoe geautoriseerde persoon inloggen en daarmee kan hij al de vrijwilligers volgen. De vrijwilliger krijgt feedback middels een gesprek en/of een feedbackformulier. In dit formulier worden geen persoonsgegevens gedeeld. De bevoegde medewerker kan ook meelezen met de chats. Om die reden is het opnemen van een grondslag ten behoeve van de verwerking van (bijzondere) categorieën van persoonsgegevens door deze geautoriseerde medewerkers in chats noodzakelijk.

De laatstgenoemde grondslag ziet ook op gegevensverwerking bij de kindertelefoon in het kader van periodiek onderzoek. Ten behoeve van de doelmatige en doeltreffende uitvoering van de dienstverlening kunnen via dit onderzoek trends onder kinderen worden gesignaleerd. Op basis van de uitkomsten kunnen methodieken worden aangepast en bereikbaarheid worden geoptimaliseerd. Vervolgens kunnen de trends ook geanonimiseerd worden geadresseerd richting de samenwerkingspartners in het sociaal domein en de samenleving. Met deze grondslag is de kindertelefoon bevoegd gepseudonimiseerd gegevens te verwerken ten behoeve van dit doel.

Door De Stichting Kindertelefoon is onderzocht of deze verwerkingen kunnen worden gebaseerd op toestemming. Uit onderzoek blijkt dat dit hoge drempels opwerpt voor jeugdigen. Terwijl het uitgangspunt van de kindertelefoon nu juist is dat er een laagdrempelige manier moet zijn voor jongeren om advies te vragen of hun problemen kwijt te kunnen. Dit uitgangspunt geldt ook voor de luisterlijn. Om die reden is het voorstel om de wettelijke regelingen over de hulplijnen aan te vullen met specifieke grondslagen voor de verwerking van (bijzondere categorieën van) persoonsgegevens.

Een ander doel van de mogelijke verwerking van (bijzondere categorieën van) persoonsgegevens door geautoriseerde medewerkers is de klachtafhandeling. Voor dit doel wordt een specifieke grondslag opgenomen voor de kindertelefoon en de luisterlijn. Bij behandeling van klachten is informatie nodig van de klager. Er kan bijvoorbeeld een klacht worden ingediend over grensoverschrijdend gedrag van een vrijwilliger.

Degene die een klacht indient, stuurt een e-mail naar de kindertelefoon en legt daarbij uit waarover de klacht gaat. Op de website van de kindertelefoon wordt vermeld dat een klager dan niet langer anoniem is. Ook kan de eventuele verwerking van persoonsgegevens niet gepseudonimiseerd plaatsvinden. Aan de hand van de klacht start de daartoe bevoegde persoon van de kindertelefoon een onderzoek om zo tot een goede reactie op de klacht te komen.

Als een persoon een klacht indient bij de luisterlijn, wordt gevraagd om op het formulier het tijdstip van bellen of van chatten te vermelden. Aan de hand daarvan gaat de daartoe bevoegde persoon van de luisterlijn zoeken en kan hij zien met welke vrijwilliger deze persoon contact heeft gehad. Ook kan het gespreksverslag of de chat en eventuele daaraan voorafgaande gespreksverslagen en chats worden teruggelezen. Indien er door de klager geen de contactgegevens worden ingevuld, geschiedt er geen terugkoppeling maar gebruikt de luisterlijn de informatie wel voor kwaliteitsverbetering.

Met het voorgestelde derde lid van artikel 5.1.6 Wmo 2015 wordt voor Veilig Thuis een grondslag gecreëerd om persoonsgegevens te kunnen verwerken die zijn opgenomen in de chat. Ook bij Veilig Thuis zijn het telefoonnummer en het IP-adres noodzakelijk voor het leggen van contact. Net als bij de kindertelefoon en de luisterlijn is voorzien in de nodige waarborgen. Voor medewerkers van Veilig Thuis zijn het telefoonnummer en het IP-adres versleuteld. De verwerker beschikt als enige wel over deze gegevens. Net als bij de andere hulplijnen worden deze gegevens alleen in uitzonderlijke situaties met de politie of de officier van justitie gedeeld. Anders dan ten behoeve van de kindertelefoon en de luisterlijn is in artikel 5.1.6, eerste lid, Wmo 2015 reeds een grondslag opgenomen dat Veilig Thuis persoonsgegevens, waaronder het telefoonnummer en het IP-adres, mag verwerken ten behoeve van de goede vervulling van onder meer de adviesfunctie.

Er ontbreekt in de huidige wetgeving echter een grondslag om bijzondere categorieën van persoonsgegevens te verwerken door Veilig Thuis in het kader van haar adviesfunctie. Veilig Thuis zal nooit aan degene met wie zij chat in verband met haar adviesfunctie vragen om direct naar de persoon herleidbare (bijzondere categorieën van) persoonsgegevens. Wel heeft Veilig Thuis uiteraard een beschrijving van de situatie nodig, waarin regelmatig (bijzondere categorieën van) persoonsgegevens zijn opgenomen. Verder kan het ook voorkomen dat een persoon uit eigen beweging persoonsgegevens meedeelt die direct naar diegene herleidbaar zijn. Aangezien Veilig Thuis zelf niet beschikt over het telefoonnummer en het IP-adres van degene die contact zoekt, gaat het normaliter om de verwerking van gepseudonimiseerde gegevens. Zoals uit het voorgaande blijkt, is ook voor de verwerking van gepseudonimiseerde gegevens op grond van de AVG een grondslag noodzakelijk. Net als bij de andere hulplijnen geldt ook voor Veilig Thuis dat het vragen van toestemming geen passend alternatief is.

Overigens gaat het in dat geval alleen om de verwerking van die gegevens in de chats. In het kader van haar adviesfunctie kan met Veilig Thuis ook telefonisch contact worden opgenomen. De Wmo 2015 kent daarvoor reeds de benodigde grondslagen. Zoals ook uit het voorgaande blijkt, is een telefoongesprek niet aan te merken als een verwerking in de zin van de AVG. De medewerker van Veilig Thuis die het telefoongesprek voert maakt wel een verslag van het gesprek, maar neemt daar geen bijzondere categorieën van persoonsgegevens in op. Van ieder advies worden volgens een vast format gegevens vastgelegd. Deze registratie staat op naam van de adviesvrager, tenzij de adviesvrager aangeeft anoniem te willen blijven.

Een belangrijke voorwaarde voor de laagdrempelige toegankelijkheid van de hulplijnen is dat mensen gesprekken kunnen blijven voeren die niet direct tot hen kunnen worden herleid. Betrokkenen zijn niet verplicht te vertellen hoe ze heten. Het komt voor dat betrokkenen informatie delen in een chatgesprek die op zichzelf of in samenhang herleidbaar zijn naar henzelf of een ander. Bijvoorbeeld een e-mailadres of de naam van de school. De medewerker of vrijwilliger signaleert dit zodat deze herleidbare gegevens vervolgens kunnen worden verwijderd uit de chatgeschiedenis.

De huidige mate van vertrouwelijkheid in de praktijk blijft onverkort van toepassing. Ook worden er geen dossiers bijgehouden. Medewerkers en vrijwilligers hebben geen toegang tot de telefoonnummers en IP-adressen en delen in beginsel met niemand wat er is besproken. In een aantal situaties wordt informatie toch gedeeld met derden. In het geval van een mogelijke situatie van huiselijk geweld of kindermishandeling kan de kindertelefoon bijvoorbeeld met toestemming van de jeugdige samen bellen met Veilig Thuis. Zodra het contact met Veilig Thuis tot stand is gebracht, zal de medewerker van de kindertelefoon het contact verbreken en er ‘tussenuit stappen’.

In uitzonderlijke gevallen wordt het telefoonnummer of IP-adres opgevraagd en verstrekt aan derden. Dit komt zeer zelden voor: alleen bij dringende veiligheidsredenen. Het gaat hier om de situaties als bedoeld in artikel 160 van het Wetboek van strafvordering. Denk hierbij aan situaties waarin er een reëel risico is op moord, doodslag of een terroristische aanslag. In eerste instantie wordt geprobeerd de persoon zelf hulp in te laten schakelen (met name bij gevaar voor zichzelf). Lukt dat niet en is er sprake van een ernstig gevaar (met name bij een gevaar voor derden) dat alleen kan worden afgewend door derden in te schakelen, dan wordt afgewogen of het gevaar zo groot is dat het doorbreken van de vertrouwelijkheid in verhouding staat tot het gevaar (proportionaliteit) en dat het gevaar niet met een minder ingrijpend alternatief kan worden afgewend (subsidiariteit). Als dat zo is, dan kan informatie gedeeld worden. Bij inschakeling van de politie wordt eerst de urgentie van de situatie getoetst door daartoe aangewezen medewerkers en – indien de urgentie dat toelaat – via anonieme toetsing bij de politie. Alleen wanneer de ernst van de situatie daarom vraagt, wordt door een daartoe aangewezen medewerker van de hulplijn het telefoonnummer of IP-adres opgevraagd bij de verwerker en vervolgens aan de politie verstrekt. Inhoudelijke informatie uit de chat wordt alleen gedeeld op vordering van de officier van justitie.

Voorgesteld wordt om de taakomschrijving van Veilig Thuis in artikel 4.1.1, tweede lid, Wmo 2015, aan te scherpen. Sinds de inwerkingtreding van de Wmo 2015 heeft Veilig Thuis samen met de partijen in de strafrechtketen een solide aanpak van huiselijk geweld en kindermishandeling ontwikkeld. Daarbij is de samenwerking tussen de partijen in de strafrechtketen en Veilig Thuis, op belangrijke momenten in de vroegtijdige afstemming bij samenloop van het zorg- en het strafdomein, zoals in het afstemmingsoverleg ZSM (Zorgvuldig, Snel en op Maat), maar ook in andere afstemmingsoverleggen, zoals het Actieoverleg, van cruciaal belang voor de aanpak van huiselijk geweld en kindermishandeling. Het gezamenlijke doel van partijen is om zicht te krijgen op de onveiligheid en het herstellen van de veiligheid van het slachtoffer van huiselijk geweld of kindermishandeling. Iedere partij heeft een eigen rol in deze momenten van afstemming. De rol van Veilig Thuis daarbij volgt uit de in artikel 4.1.1 Wmo 2015 opgenomen taken van Veilig Thuis in de beëindiging of de doorbreking van huiselijk geweld en kindermishandeling. De vroegtijdige afstemming draagt daartoe in belangrijke mate bij. De ontwikkelde aanpak van huiselijk geweld en kindermishandeling is nu, anders dan ten tijde van de totstandkoming van de Wmo 2015, dusdanig uitgekristalliseerd, dat het mogelijk is die ook tot uiting te brengen in de formulering van artikel 4.1.1, tweede lid, Wmo 2015. De huidige formulering geeft in de praktijk onduidelijkheid over met welke partijen in de strafrechtketen gegevens mogen worden gedeeld als dit noodzakelijk is voor het stoppen en duurzaam oplossen van situaties van huiselijk geweld en kindermishandeling. In dat verband is gekozen voor een uitbreiding van genoemd artikel, door een aantal partijen waarvan in de praktijk gebleken is dat deze van belang zijn, expliciet te benoemen. Om in het belang van de veiligheid van betrokkenen tot een goede afstemming te komen, kan het noodzakelijk zijn voor Veilig Thuis om persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard, te verstrekken aan partijen in de strafrechtketen. Uiteraard zal daarbij steeds, zoals bij elke verwerking van persoonsgegevens het geval is, door Veilig Thuis een afweging worden gemaakt of het delen van de gegevens, ook gelet op de gevoelige aard daarvan, in een concreet geval noodzakelijk is.

Verder wordt voor de volledigheid opgemerkt dat Veilig Thuis na een zorgvuldige afweging bevoegd is bij bovengenoemde partijen informatie op te vragen ter beoordeling van de vraag of en zo ja, tot welke stappen een melding van huiselijk geweld of kindermishandeling aanleiding geeft. Deze gegevensverwerking is reeds geregeld in artikel 4.1.1, tweede lid, onder c, Wmo 2015, in verbinding met artikel 5.1.6, tweede lid, Wmo 2015. Daarbij hanteert Veilig Thuis het Handelingsprotocol Veilig Thuis.11

Artikel 4.2.12 Wmo 2015 bevat een grondslag voor het verstrekken van gegevens door Veilig Thuis aan het college, aan de Minister van VWS en aan de Minister voor Rechtsbescherming ten behoeve van beleidsinformatie. In het Uitvoeringsbesluit Wmo 2015 is bepaald dat deze gegevens door Veilig Thuis bij het Centraal Bureau voor de Statistiek (hierna: CBS) worden aangeleverd, als het gaat om een structurele verstrekking. Daarnaast is in het Uitvoeringsbesluit Wmo 2015 opgenomen welke gegevens voor beleidsinformatie worden verstrekt. Een incidentele verstrekking op grond van artikel 4.2.12 Wmo 2015 betreft geen persoonsgegevens.

Naast de grondslag voor het verstrekken van gegevens inzake beleidsinformatie bevat artikel 4.2.12 Wmo 2015 in samenhang met artikel 7.4.0, eerste lid, Jeugdwet, onder andere een grondslag voor het verstrekken van persoonsgegevens aan het college met als doel dat het college kan beoordelen of een bepaalde voorziening nodig is voor een specifieke cliënt (de zgn. ‘gevalsbehandeling’). Het betreft derhalve grondslagen voor gegevensverstrekking voor twee verschillende doelen. Dat wil zeggen dat de gegevens ten behoeve van beleidsinformatie niet mogen worden gebruikt voor de gevalsbehandeling. Dat is ook niet mogelijk omdat de structurele gegevensverstrekking daarvoor via het CBS loopt en het bij de incidentele verstrekking blijkens het Uitvoeringsbesluit Wmo 2015 niet om persoonsgegevens kan gaan.

In de praktijk wordt ervan uitgegaan dat artikel 4.2.12 Wmo 2015 voor beide categorieën gegevens een grondslag biedt voor verstrekking van zowel gegevens inzake huiselijk geweld als gegevens inzake kindermishandeling. Nu het huidige artikel 4.2.12 Wmo 2015 echter alleen verwijst naar de Jeugdwet – die slechts van toepassing is in gevallen waarin jeugdigen zijn betrokken – wordt voorgesteld om de grondslagen voor gegevensverwerking in artikel 4.2.12 Wmo 2015 te verduidelijken.

Met de voorgestelde wijziging van het artikel 4.2.12 Wmo 2015 wordt voor de gegevens ten behoeve van beleidsinformatie de verwijzing naar de Jeugdwet vervangen door een eigenstandige grondslag voor het verstrekken van gegevens inzake zowel huiselijk geweld als kindermishandeling. Het is niet de bedoeling om met de voorgestelde wijziging de reikwijdte van artikel 4.2.12 Wmo 2015 te beperken. Met deze wijziging wordt slechts beoogd om te expliciteren dat de grondslag niet alleen geldt voor het verstrekken van gegevens inzake kindermishandeling, maar dat deze ook geldt voor gegevensverstrekking inzake huiselijk geweld.

Voor de verstrekking van gegevens inzake ‘gevalsbehandeling’ wordt voorgesteld om een verwijzing naar artikel 5.1.1 Wmo 2015 toe te voegen, zodat duidelijk is dat ook in geval van een melding van huiselijk geweld waarbij geen jeugdigen betrokken zijn persoonsgegevens aan het college kunnen worden verstrekt. Op basis van deze gegevens kan het college beoordelen of een maatwerkvoorziening nodig is.

Met dit wetsvoorstel wordt tevens voorgesteld de grondslag voor het verwerken van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard door Veilig Thuis in artikel 5.1.6, tweede lid, Wmo 2015, te verbeteren. Uit de wettekst blijkt namelijk niet duidelijk dat er naast gegevens over gezondheid ook andere bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard door Veilig Thuis mogen worden verwerkt.

Veilig Thuis kan naast persoonsgegevens van strafrechtelijke aard die zij van de politie en het openbaar ministerie ontvangt, dergelijke gegevens ook verwerken van Halt en de reclassering. Vereist daarvoor is steeds dat uit een melding een redelijk vermoeden van huiselijk geweld of kindermishandeling wordt afgeleid en de verwerking van die gegevens noodzakelijk is.

Daarnaast wordt voorgesteld de grondslag voor het gebruik van het burgerservicenummer (hierna: BSN) door Veilig Thuis in artikel 5.2.9 te verbeteren. Tot slot wordt voorgesteld artikel 5.3.4, tweede lid, inzake de voor Veilig Thuis voorgeschreven bewaartermijn voor persoonsgegevens aan te passen, zodat deze beter aansluit bij de praktijk. Dit wordt toegelicht in de artikelsgewijze toelichting bij artikel III, onderdeel L.

Met dit onderdeel wordt voorgesteld de delegatiegrondslag van artikel 18.4.5, eerste lid, onderdeel e, van de Invoeringswet BES aldus aan te vullen, dat op grond daarvan ook regels met betrekking tot de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens, kunnen worden gesteld. Dat artikelonderdeel houdt thans in dat bij of krachtens algemene maatregel van bestuur (hierna: amvb) regels kunnen worden gesteld met betrekking tot het bieden van maatschappelijke opvang en vrouwenopvang (hierna: opvang) en het voeren van beleid ter bestrijding van geweld dat door iemand uit de huiselijke kring van het slachtoffer is gepleegd (hierna: huiselijk geweld).

Op grond van artikel 10 van de Grondwet heeft een ieder, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. Tevens bevat artikel 10 een opdracht aan de wetgever regels te stellen ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Voor Caribisch Nederland is aan de opdracht gevolg gegeven door de vaststelling van de Wet bescherming persoonsgegevens BES (hierna: Wbp BES). De Wbp BES bevat algemene normen voor een zorgvuldige omgang met persoonsgegevens en bepaalt onder andere dat de verwerking op een zorgvuldige en behoorlijke wijze plaats dient te vinden en dat het verzamelen van persoonsgegevens met als doel deze in een bestand op te nemen, alleen is toegestaan voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Artikel 8 Wbp BES geeft een limitatieve opsomming van de gronden die een gegevensverwerking rechtvaardigen. Artikel 8, onderdeel c, Wbp BES bepaalt dat persoonsgegevens verwerkt mogen worden indien verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen. Een dergelijke verplichting kan ook bij amvb worden opgelegd. Artikel 16 Wbp BES bepaalt dat de verwerking van bijzondere persoonsgegevens is verboden, tenzij aan bepaalde voorwaarden is voldaan. Voor specifieke bijzondere persoonsgegevens zijn uitzonderingen op dit verbod opgenomen in artikel 17 tot en met 22. Artikel 21 bevat een uitzondering op het verbod voor gegevens betreffende gezondheid. Het eerste lid, onderdeel a, van dat artikel bepaalt dat het verbod niet van toepassing is indien de verwerking geschiedt door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. Indien het in verband met het bieden van maatschappelijke ondersteuning noodzakelijk is om bijzondere persoonsgegevens te verwerken zal het met name gaan om het verwerken van gegevens over de gezondheid. Daarvoor biedt artikel 21 Wbp BES een grondslag. Voor zover het voor deze hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening tevens nodig is om andere bijzondere persoonsgegevens te verwerken met het oog op een goede behandeling of verzorging van de betrokkene, kan dat op grond van het derde lid van artikel 21 Wbp BES.

De verwerking van bijzondere persoonsgegevens in het kader van huiselijk geweld kan niet worden gebaseerd op artikel 21 Wbp. Artikel 23, eerste lid, onder e, Wbp BES, bepaalt dat het verbod om bijzondere persoonsgegevens te verwerken niet van toepassing is, voor zover de verwerking noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen ter bescherming van de persoonlijke levenssfeer worden geboden en dit bij wet bepaald wordt dan wel de Commissie toezicht bescherming persoonsgegevens BES ontheffing heeft verleend.

Aansluitend bij de systematiek van hoofdstuk 6 van de IBES wordt het met voorgesteld artikel mogelijk gemaakt om in de amvb over de bestrijding van huiselijk geweld tevens regels te stellen over de in dat kader noodzakelijke verwerking van bijzondere persoonsgegevens. In hoofdstuk 6 van de IBES zijn delegatiegrondslagen opgenomen op grond waarvan op een aantal beleidsterreinen regels bij of krachtens amvb kunnen worden gesteld. Zo bevat artikel 18.4.5 eerste lid, onderdeel e, van de IBES, een delegatiegrondslag voor het stellen van regels over opvang en het bestrijden van huiselijk geweld. Deze delegatiegrondslag zou voor het bestrijden van huiselijk geweld zinloos zijn als daarbij niet tevens kan worden voorzien in regels voor het verwerken van bijzondere persoonsgegevens. Het is voor het zwaarwegende algemeen belang van een effectieve bestrijding van huiselijk geweld immers noodzakelijk om persoonsgegevens van degenen die bij dat geweld betrokken zijn te kunnen verwerken. Daarbij zal het veelal gaan om bijzondere persoonsgegevens, zoals bijvoorbeeld strafrechtelijke gegevens of gegevens over het seksuele leven van de vermoedelijk pleger van het huiselijk geweld. Aldus beschouwd wordt met de voorgestelde bepaling een omissie van de wetgever hersteld.

Vanuit het oogpunt van het belang van de veelal kwetsbare cliënt en belanghebbende is in de Wzd een grondslag opgenomen op basis waarvan het CIZ bij de behandeling van een aanvraag voor een besluit tot opname en verblijf of een rechterlijke machtiging als bedoeld in de Wzd gebruik mag maken van de informatie die aan het CIZ is verstrekt voor de beoordeling van het recht op zorg, bedoeld in de Wlz (artikelen 22, achtste lid, en 26, tweede lid, Wzd). Voorgesteld wordt om in de Wlz een vergelijkbare wijziging op te nemen, zodat het CIZ bij de behandeling van een aanvraag voor het vaststellen van het recht op zorg in het kader van de Wlz gebruik mag maken van de informatie die aan het CIZ is verstrekt bij de beoordeling van een aanvraag voor een besluit tot opname en verblijf, een rechterlijke machtiging, of een machtiging tot voortzetting van de inbewaringstelling als bedoeld in de Wzd. Tevens wordt voorgesteld op te nemen dat ook de informatie die is opgenomen in een advies aan de officier van justitie als bedoeld in artikel 28a Wzd mag worden gebruikt bij de behandeling van een aanvraag voor het vaststellen van het recht op zorg in het kader van de Wlz. Deze informatie kan bestaan uit persoonsgegevens, waaronder gegevens over gezondheid, maar ook uit andere bijzondere categorieën van persoonsgegevens. Cliënten kunnen alle informatie die zij van belang achten voor de beoordeling van het recht op zorg met het CIZ delen. Ook worden regelmatig zorgplannen gedeeld, waarin mogelijk veel persoonlijke informatie is opgenomen, bijvoorbeeld met betrekking tot levensovertuiging, geaardheid en lidmaatschappen. Op het moment dat het CIZ de informatie ontvangt en tot zich neemt, is al sprake van verwerking in de zin van de AVG. Vanzelfsprekend vraagt het CIZ uitsluitend de relevante gegevens op.

In veel gevallen wordt bij het CIZ een aanvraag voor het recht op zorg op grond van de Wlz tegelijkertijd ingediend met een aanvraag voor een besluit tot opname en verblijf als bedoeld in de Wzd. Bij een dergelijke gecombineerde aanvraag mag de aangeleverde informatie voor zowel de beoordeling in de Wlz als Wzd worden gebruikt.

Het komt echter ook met enige regelmaat voor dat er een aanvraag voor het recht op zorg als bedoeld in de Wlz wordt gedaan voor een cliënt voor wie eerder een besluit tot opname en verblijf is afgegeven, dan wel voor wie eerder een verzoek tot een rechterlijke machtiging of een verzoek tot het verlenen van een machtiging tot voortzetting van de inbewaringstelling is ingediend. De zorg en het verblijf die vanuit de Wzd wordt geleverd, is onlosmakelijk verbonden met de zorg en het verblijf die in veel gevallen vanuit de Wlz worden geleverd en beiden worden door het CIZ getoetst of geïndiceerd. Immers, de Wlz vormt hier de bekostigingstitel van de zorg die vanuit de Wzd wordt geleverd.

Ten slotte kan er ook sprake zijn van iemand voor wie het CIZ een advies aan de officier van justitie heeft gegeven in het kader van de Wet forensische zorg. Op het moment dat de officier van justitie overweegt een verzoekschrift voor een rechterlijke machtiging in te dienen met toepassing van artikel 2.3, tweede lid, Wet forensische zorg, verzoekt hij het CIZ om een schriftelijk advies over de noodzaak voor een rechterlijke machtiging en over de tenuitvoerlegging daarvan als bedoeld in artikel 28a Wzd. In haar advies aan de officier van justitie geeft het CIZ aan of het van oordeel is dat voldaan wordt aan de criteria van de Wzd en of sprake is van een indicatie op grond van de Wlz en bij gebreke daarvan, wat daarvoor de reden is en in welk zorgdomein betrokkene wel valt. Als de betrokkene niet in het bezit is van een Wlz-indicatie, maar het CIZ oordeelt wel dat een Wlz-indicatie kansrijk is, zal er in bijna alle gevallen een Wlz-indicatie volgen. In dat geval zal de zorgaanbieder die de cliënt heeft opgenomen het CIZ om een ambtshalve Wlz-indicatie voor de duur van de rechterlijke machtiging verzoeken.12 Nu de rechter al een uitspraak heeft gedaan, en de rechtspositie van de cliënt derhalve niet wordt aangetast, is het een administratieve lastenverlichting om deze gegevens te mogen hergebruiken en komt de levering van de benodigde zorg aan de cliënt niet in het gedrang doordat administratieve handelingen nog niet zijn uitgevoerd. Kort gezegd, om cliënten, hun naasten of andere instanties administratief zo min mogelijk te belasten wordt met deze wijziging voorgesteld om net als in de Wzd, de informatie die het CIZ al heeft, te hergebruiken. Dit is gerechtvaardigd en proportioneel gelet op de spoedeisendheid die in al deze situaties speelt. Ook zorgt dit voor minder administratieve lasten zonder dat dit de rechtspositie van de cliënt aantast. Immers, bij al deze cliënten is al door het CIZ en de rechter vastgesteld dat opname noodzakelijk is om ernstig nadeel te voorkomen of af te wenden. Het hergebruik vindt plaats om de hiervoor benodigde bekostigingstitel vanuit de Wlz voor de opname te realiseren.

De meeste subsidies die door de Minister van VWS worden verstrekt zijn gebaseerd op de Kaderwet VWS-subsidies. In de praktijk wordt er bij het uitvoeren van bepaalde subsidieregelingen tegenaan gelopen dat er geen grondslag is op grond van artikel 6, eerste lid, van de AVG om persoonsgegevens te verwerken en ook is er geen uitzondering op het verbod van artikel 9, eerste lid, van de AVG om bijzondere categorieën van persoonsgegevens te verwerken. Dit speelt onder meer bij de beoordeling van een subsidieaanvraag en bij het verlenen dan wel vaststellen van een subsidie.

In uitzonderlijke gevallen kan een subsidie worden aangevraagd door een natuurlijk persoon. Vaker echter worden subsidies aangevraagd door en verleend aan zorgorganisaties ten behoeve van een natuurlijk persoon, zoals de Subsidieregeling medisch noodzakelijke zorg aan onverzekerden (hierna: Subsidieregeling onverzekerden). In die gevallen moeten in de regel ook persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens, van de betrokkene zelf of van een derde worden verwerkt. Als de subsidieregeling ligt op het terrein van volksgezondheid is het vrijwel altijd nodig dat wordt aangegeven uit welk domein de betrokkene zorg ontvangt en enkel dit gegeven is al aan te merken als een bijzonder persoonsgegeven. Zonder deze gegevens kan niet worden beoordeeld of de aanvrager in aanmerking komt voor de subsidie. Naast het verwerken van gezondheidsgegevens kan het bij de beoordeling, verlening en vaststelling van subsidies ook noodzakelijk zijn andere bijzondere categorieën van persoonsgegevens te verwerken, zoals bijvoorbeeld gegevens over seksueel gedrag dan wel seksuele gerichtheid. Ter illustratie wordt onder andere gewezen op de Subsidieregeling kunstmatige inseminatie met donorsemen13. Voorts worden ook bij de beoordeling, verlening en vaststelling van een subsidie op grond van de Subsidieregeling PrEP14 deze gegevens verwerkt. Deze subsidieregeling heeft betrekking op de subsidiëring van coördinerende GGD-en voor de medische begeleiding bij het preventief gebruik van HIV-remmers. Deze medische begeleiding is gericht op personen die behoren tot de hoogrisicogroep van mannen die seks hebben met mannen.

Als vervolgens de subsidie wordt verleend of vastgesteld, worden (bijzondere categorieën van) persoonsgegevens ook verwerkt bij de verantwoording van de subsidie. Immers, de subsidieverlening vindt plaats onder voorwaarde dat bepaalde activiteiten worden uitgevoerd. Nadat de activiteiten zijn uitgevoerd of de subsidieperiode is afgelopen vindt verantwoording plaats en wordt de subsidie vastgesteld. Op dat moment ontstaat een definitief recht op subsidie. Zoals uit het voorgaande blijkt ontbreken voor de verwerking van persoonsgegevens en bijzondere categorieën van persoonsgegevens een verwerkingsgrondslag en een uitzonderingsgrond op grond waarvan het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet geldt. Om die reden wordt momenteel gewerkt met de grondslag uit de AVG om toestemming te vragen van de persoon op wie de (bijzondere categorieën van) persoonsgegevensbetrekking hebben. Op grond van de artikelen 4, onderdeel 11, en 7, van de AVG is het vereist dat de toestemming vrijelijk kan worden gegeven. De vraag is echter of hiervan sprake is. Het niet geven van toestemming betekent immers dat een aanvraag niet (goed) kan worden behandeld en er (mogelijk) geen subsidie kan worden verstrekt. Toestemming is als verwerkingsgrondslag in zo’n geval een minder geschikte grondslag als bedoeld in de AVG. Om die reden wordt in dit wetsvoorstel voorgesteld een wettelijke grondslag voor de verwerking van (bijzondere categorieën van) persoonsgegevens op te nemen voor het beoordelen van een subsidieaanvraag en daarnaast voor de verlening en de vaststelling van een subsidie.

Daarbij brengt deze grondslag vaak uitvoeringsproblemen met zich mee, nu betrokkene van wie de gegevens moeten worden verwerkt niet altijd de aanvrager is van de subsidie. In dat geval moet de subsidieaanvrager toestemming vragen aan deze derde en de toestemming in zijn administratie bewaren.

Het voorstel is om een verwerkingsgrondslag en een uitzondering op het verbod om bijzondere persoonsgegevens op te nemen in de Kaderwet VWS-subsidies zodat het vragen van toestemming in de beschreven situaties niet meer nodig is.

Tot slot betekent een wettelijke grondslag voor de overheid ook een afbakening van de bijzondere persoonsgegevens die zij mag verwerken. Immers, in de wettelijke grondslag wordt benadrukt dat de overheid alleen die persoonsgegevens mag verwerken die noodzakelijk zijn voor de beoordeling van een subsidieaanvraag.

Dit wetsvoorstel beoogt verschillende wettelijke grondslagen te creëren voor het verwerken van persoonsgegevens en raakt daarmee de persoonlijke levenssfeer van burgers. Verschillende internationale verdragen en (nationale) regelingen, waaronder de Grondwet, bevatten uitdrukkelijke voorschriften en waarborgen ter bescherming van de persoonlijke levenssfeer of van natuurlijke personen ten aanzien van persoonsgegevens. In dit verband kan worden gewezen op de volgende voorschriften:

• • In artikel 8 van het Europees Verdrag voor de Rechten van de Mens en de fundamentele vrijheden (hierna: EVRM) en artikel 17 van het Internationaal verdrag inzake burgerlijke en politieke rechten is het recht op bescherming van de persoonlijke levenssfeer gewaarborgd.

• • In artikel 7 van het Handvest van de grondrechten van de Europese Unie (2016/C 202/02, hierna: het Handvest) is het recht op eerbiediging van het privéleven opgenomen. In artikel 8 van het Handvest is het recht vastgelegd van eenieder op bescherming van persoonsgegevens.

• • Artikel 16, tweede lid, van het Verdrag betreffende de werking van de Europese Unie (hierna: VWEU) bevat een rechtsgrondslag voor het stellen van voorschriften betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens. Hier wordt uitvoering aan gegeven door middel van de AVG.

• • Artikel 10, eerste lid, van de Grondwet erkent het recht op eerbiediging van de persoonlijke levenssfeer.

Het recht op bescherming van persoonsgegevens is niet als zelfstandig recht vastgelegd in het EVRM. Volgens de rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) is het recht op bescherming van persoonsgegevens in algemene zin van fundamentele betekenis voor het recht op eerbiediging van de persoonlijke levenssfeer. Aangezien dit wetsvoorstel voorschriften over de verwerking van persoonsgegevens bevat, en daarmee onder de reikwijdte van de bescherming van artikel 8 van het EVRM valt, wordt uiteengezet dat de voorgestelde regeling een toegestane inmenging door de overheid in de uitoefening van de persoonlijke levenssfeer van haar burgers vormt.

Artikel 8, eerste lid, EVRM bepaalt dat een ieder recht heeft op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en correspondentie. Inmenging van de overheid in de uitoefening van dit recht is volgens het tweede lid van dit artikel slechts gerechtvaardigd, wanneer deze bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

Om te bepalen of in een concreet geval sprake is van een gerechtvaardigde beperking van een van de in de artikelen 8 tot en met 11 EVRM neergelegde mensenrechten, heeft het EVRM in zijn rechtspraak een bepaalde systematiek ontwikkeld. Uit deze systematiek kan een toetsingskader worden afgeleid waarbij drie met elkaar samenhangende vragen kunnen worden onderscheiden. Deze vragen luiden achtereenvolgens als volgt:

• 1. Is de beperking bij wet voorzien?

  • • Berust de inmenging op een naar behoren bekend gemaakt wettelijk voorschrift?

  • • Kunnen burgers daaruit met voldoende precisie opmaken welke op zijn privéleven betrekking hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel kunnen worden bewerkt, bewaard en gebruikt?20

• 2. Dient de beperking tot bescherming van een legitieme doelstelling (‘legitimate aim’), namelijk één of meer van de in het tweede lid van artikel 8 EVRM opgesomde rechtsbelangen?

• 3. Is de beperking noodzakelijk in een democratische samenleving (‘necessary in a democratic society’)?

  • • Is de beperking ingegeven door een dringende maatschappelijke behoefte (‘pressing social need’)?

  • • Bestaat er een redelijke verhouding (‘proportionality’) tussen de zwaarte van de beperking en het gewicht van het belang dat met de inbreuk wordt gediend?

De eerste vraag, of de voorgestelde beperking bij wet is voorzien, kan zonder meer bevestigend worden beantwoord. De regelingen voor alle onderwerpen bevatten juist de specifieke voorschriften over het specifieke doel en de taken waarvoor het persoonsgegevens kunnen worden verwerkt, de (categorieën van) persoonsgegevens die kunnen worden verwerkt of (verder) kunnen worden verstrekt en de partijen die een rol spelen bij de gegevensverwerking.

Ook de tweede vraag kan bevestigend beantwoord worden. Zoals in hoofdstuk 2 is aangegeven, beoogt dit wetsvoorstel ertoe te leiden dat:

• • Onderzocht kan worden of sprake is van een situatie die voor de veiligheid van cliënten of de zorg een ernstige bedreiging kan betekenen of met het oog op het belang van goede zorg anderszins noodzaakt tot nader onderzoek. Het goed onderzoeken van deze risico’s is noodzakelijk in het belang van de bescherming van de gezondheid (de bescherming van de gezondheid).

• • Jeugdigen en volwassenen kosteloos een telefonisch of elektronisch gesprek kunnen voeren over hun persoonlijke situatie en daarover advies kunnen krijgen zonder dat het gesprek direct naar hen herleidbaar is (de bescherming van de gezondheid).

• • Veilig Thuis bij een melding van huiselijk geweld of kindermishandeling haar taken als bedoeld in artikel 4.1.1, tweede lid, Wmo 2015 kan uitvoeren. Naar aanleiding van een melding bij Veilig Thuis door het college kan worden onderzocht of een bepaalde voorziening van jeugdhulp of maatwerkondersteuning vanuit de Wmo 2015 nodig is. En: beleid kan worden gemaakt en bijgesteld en stelselverantwoordelijkheid kan worden genomen op basis van beleidsinformatie over zowel kindermishandeling als huiselijk geweld (de bescherming van de gezondheid, goede zeden en de rechten en vrijheden van betrokkenen).

• • De aanvraag voor de Wlz snel en zorgvuldig kan worden behandeld (de bescherming van de gezondheid).

• • Beoordeeld kan worden of een subsidieaanvrager in aanmerking komt voor de subsidie (de bescherming van de gezondheid).

• • Fraude in de zorg kan worden aangepakt (economisch welzijn van het land, het voorkomen van strafbare feiten en de bescherming van de gezondheid).

Elke gegevensverwerking moet gerechtvaardigd zijn. Daarvan is alleen sprake wanneer het doel van de verwerking kan worden gebaseerd op een van de rechtsgrondslagen in de AVG. Voor de meeste onderdelen bestaan reeds expliciete taken die een grondslag vormen voor de verwerking als bedoeld in artikel 6, eerste lid, onderdeel e, van de AVG: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Het gaat om:

• • de onderzoekstaak van de IGJ op grond van artikel 25 Wkkgz;

• • de taken als omschreven in artikel 1a.1 Jeugdwet, 3a.1.2 en artikel 4.1.1, derde lid (nieuw) Wmo 2015 (hulplijnen);

• • de bevoegdheid van de Minister van VWS om organisaties die een Subsidieregeling uitvoeren, zoals Dienst Uitvoering Subsidies aan instellingen (hierna: DUS-I), subsidies te verstrekken op de in artikel 2 van de Kaderwet genoemde terreinen.

Waar nodig verduidelijkt dit wetsvoorstel de bestaande taken en bevoegdheden, zie hoofdstuk 2. Dat geldt in het bijzonder voor de inzagebevoegdheid van de IGJ.

Het wetsvoorstel creëert daarnaast een grondslag als bedoeld in artikel 6, eerste lid, onderdeel c, AVG: de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting:

• • de voorgestelde regeling ten aanzien van de informatieverstrekking aan de IGJ bij andere meldingen in de Wkkgz gaat immers uit van een verplichting voor partijen om (desgevraagd) persoonsgegevens te verstrekken;

• • artikel 4.2.12 Wmo 2015 gaat uit van een verplichting van Veilig Thuis om kosteloos gegevens te verstrekken het college, aan de Minister van VWS en aan de Minister voor Rechtsbescherming.

• • de voorgestelde wijziging in de Wbrsz ten aanzien van een grondslag voor bilaterale gegevensuitwisseling brengt zowel een plicht als bevoegdheid voor de bevraagde partij met zich mee om de betreffende gegevens te verstrekken.

Voor dit onderwerp is gebruik gemaakt van de mogelijkheden die artikel 9, tweede lid, onderdelen h en i, van de AVG, bieden om een uitzondering te maken indien de verwerking noodzakelijk is voor het beheren van gezondheidszorgstelsels en – diensten en de waarborging van hoge normen inzake kwaliteit en veiligheid in de gezondheidszorg. Uit de overwegingen bij de AVG met betrekking op onderdeel h blijkt dat hieronder ook de verwerking met het oog op kwaliteitscontrole en toezicht wordt gevat.

Daarnaast wordt voldaan aan de eisen zoals gesteld in artikel 9, derde lid, AVG. De toezichthoudende ambtenaren zijn gebonden aan geheimhouding op grond van artikel 25 Wkkgz.

Voor dit onderdeel is gebruik gemaakt van de mogelijkheid die artikel 9, tweede lid, onderdeel g, van de AVG biedt om een uitzondering te maken om redenen van zwaarwegend algemeen belang.

Bij de verschillende hulplijnen kunnen jeugdigen en volwassenen gratis per telefoon of chat terecht bij de medewerkers en vrijwilligers met vragen en problemen zonder dat het gesprek direct naar hen herleidbaar is. Deze voorzieningen bieden een luisterend oor, geven antwoorden op vragen of bedenken samen met de jeugdige of volwassene een oplossing. Jaarlijks worden er vele duizenden gesprekken gevoerd.

Zonder de in deze toelichting beschreven verwerkingen kan de voorziening niet bestaan. Het telefoonnummer of IP-adres is nodig om het telefoongesprek of chat tot stand te brengen. In de beschrijving van de situatie in de chat moet de informatie over de situatie kunnen worden beschreven, ook als daarin bijzondere categorieën van persoonsgegevens of gegevens van strafrechtelijke aard genoemd worden. De uitzondering is bewust niet beperkt tot specifieke categorieën van persoonsgegevens, omdat de gesprekken over alle onderwerpen kunnen gaan en er dus verschillende bijzondere categorieën van persoonsgegevens aan bod kunnen komen.

Op grond van het voorgestelde artikel 4.1.1, tweede lid, onder e, Wmo 2015, in verbinding met artikel 5.1.6, tweede lid, Wmo 2015, kan Veilig Thuis ook persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard, verstrekken aan het openbaar ministerie, de reclassering en Slachtofferhulp Nederland, indien het belang van de betrokkene dan wel de ernst van de situatie waarop de melding betrekking heeft daartoe aanleiding geeft. Het gaat hier om een verdere verwerking (zie artikel 6, vierde lid, AVG) en dit betreft de bescherming van de betrokkene of de rechten en vrijheden van anderen (artikel 23, eerste lid, onder i, AVG) en het voorkomen van strafbare feiten (artikel 23, eerste lid, onder d, AVG). Uit het wetsvoorstel blijkt duidelijk het doel van de verdere verwerking, de categorieën van persoonsgegevens en het toepassingsgebied (artikel 23, tweede lid, onder a-c, AVG). Ook zijn er waarborgen ter voorkoming van misbruik. Artikel 5.3.3, eerste en derde lid, bepalen dat Veilig Thuis alleen gegevens aan anderen dan de betrokkene mag verstrekken zonder toestemming van de betrokkene, indien hun medewerking vereist is voor de uitvoering van haar taken en artikel 4.1.1, derde lid, van het Uitvoeringsbesluit Wmo 2015 stelt als eis dat Veilig Thuis vastlegt op welke wijze wordt gewaarborgd dat persoonsgegevens niet worden verwerkt voor andere doelen dan haar taakuitvoering. Ook het openbaar ministerie, de reclassering (artikel 37 van de Reclasseringsregeling 1995) en Slachtofferhulp Nederland (op basis van overeenkomsten) hebben allen een geheimhoudingsplicht ten aanzien van de gegevens. Zij mogen die alleen verstrekken indien dat voor de uitvoering van hun wettelijke taken noodzakelijk is (artikel 23, tweede lid, onder d, AVG). Helder is dat Veilig Thuis verwerkingsverantwoordelijke is voor de verstrekking (artikel 23, tweede lid, onder e, AVG). Er wordt geen verslag gemaakt van de afstemming, iedere partij neemt alleen de informatie mee uit het overleg die nodig is voor de eigen taakuitvoering en slaat die op in de eigen systemen gedurende de wettelijke bewaartermijn (artikel 23, tweede lid, onder f, AVG). De risico’s op rechten en vrijheden van betrokkenen zijn door middel van een DPIA afgewogen (artikel 23, tweede lid, onder g, AVG) en er kan (tijdelijk) worden afgezien van het recht van de betrokkenen om op de hoogte te worden gesteld als dit noodzakelijk kan worden geacht om een situatie van huiselijk geweld of kindermishandeling te beëindigen of een redelijk vermoeden daarvan te onderzoeken (artikel 23, tweede lid, onder h, AVG).

Voor het overige is sprake van een verduidelijking. Aangezien het hier niet gaat om nieuwe uitzonderingen zijn deze onderdelen hier niet afzonderlijk toegelicht. Zie paragraaf 2.4.

Artikel 5, eerste lid, van de AVG verplicht ertoe om persoonsgegevens te verwerken op een wijze die transparant is (transparantiebeginsel). Op grond van de artikelen 13 en 14 AVG dienen de verwerkingsverantwoordelijke organisaties de betrokkenen actief te informeren en transparant te zijn over de op hen betrekking hebbende gegevens die zij hebben verwerkt en hen te wijzen op het bestaan van klacht-, bezwaar en beroepsmogelijkheden. Onder andere moeten de contactgegevens van de verwerkingsverantwoordelijke en (indien toepasselijk) de contactgegevens van de functionaris voor gegevensbescherming worden verstrekt, zodat voor de betrokkene duidelijk is bij wie diegene terecht kan.

Betrokkenen hebben op grond van de artikelen 15 tot en met 22 AVG diverse rechten. Indien een betrokkene wilt weten welke informatie wordt verwerkt en of die informatie juist is en op de juiste manier wordt verwerkt, dan kan de betrokkene aan de verwerkingsverantwoordelijke een verzoek om inzage (en afschrift) doen. Wanneer de informatie die wordt verwerkt onjuist, niet actueel of niet volledig is dan kan de betrokkene rectificatie verzoeken. Besluit de verwerkingsverantwoordelijke de informatie aan te vullen of te wijzigen en zijn in het voorafgaande jaar de (onjuiste) gegevens aan andere partijen doorgegeven, dan moet de verwerkingsverantwoordelijke ook zo snel mogelijk de wijzigingen aan deze andere partijen doorgeven. Wordt er meer informatie verwerkt dan nodig of is de verwerking onrechtmatig, dan kan de betrokkene verzoeken om de gegevens te wissen. Is er een specifieke situatie waardoor de cliënt liever niet heeft dat de informatie nog wordt gebruikt, dan kan de betrokkene de verwerkingsverantwoordelijke vragen om de persoonsgegevens niet meer te gebruiken. Dit heet het recht van bezwaar. De verwerkingsverantwoordelijke moet het gebruik van de gegevens dan stoppen, tenzij er goede redenen zijn om de gegevens te blijven verwerken en deze zwaarder wegen dan de belangen van de betrokkene of er maatregelen zijn genomen die deze belangen beschermen. Zo lang nog niet duidelijk is wat zwaarder weegt, mag de organisatie de gegevens niet gebruiken. In een aantal situaties kan worden gevraagd om een beperking van de verwerking in te stellen. Dat wil zeggen dat de gegevens tijdelijk niet mogen worden gebruikt.

Dit kan wanneer:

• • de betrokkene heeft verzocht de gegevens te corrigeren en de verwerkingsverantwoordelijke nog niet heeft kunnen controleren of de gegevens juist zijn;

• • de gegevensverwerking onrechtmatig is of de gegevens niet (langer) nodig zijn, maar de betrokkene zelf niet wil dat deze verwijderd worden, bijvoorbeeld omdat de betrokkene later nog gebruik wil maken van het recht op inzage;

• • de cliënt gebruik heeft gemaakt van het recht van bezwaar.

De verwerkingsverantwoordelijke kan alleen besluiten een verzoek te weigeren als niet voldaan is aan de voorwaarden voor een verzoek of als er sprake is van een uitzondering als bedoeld in de AVG. Deze uitzonderingen zijn uitgewerkt in de materiewetten en in artikel 41 Uitvoeringswet Algemene verordening persoonsgegevens (hierna: UAVG). Er moet altijd een expliciete afweging plaatsvinden of het belang van de (tijdelijke) inperking van de rechten van betrokkene opweegt tegen de inbreuk op de rechten en vrijheden van de betrokkene.

De onderwerpen andere meldingen op grond van de Wkkgz, de gegevensverwerking bij de uitvoering van de hulpijnen, de verduidelijking grondslag voor gegevensverstrekking door Veilig Thuis aan het CBS en het hergebruik van gegevens vanuit de Wzd t.b.v. de uitvoering van de Wlz, hebben geen gevolgen voor Caribisch Nederland. Caribisch Nederland heeft ten aanzien van deze onderwerpen eigen wetgeving, bijvoorbeeld op het gebied van de kwaliteit van zorg (Wet zorginstellingen BES) en langdurige zorg (Besluit zorgverzekering BES), of kent (nog) geen wettelijk kader, bijvoorbeeld op het gebied van de hulplijnen en huiselijk geweld en kindermishandeling. Inzake huiselijk geweld en kindermishandeling is het Besluit maatschappelijke ondersteuning en bestrijding huiselijk geweld en kindermishandeling BES in voorbereiding, waarin ook het verstrekken van gegevens voor beleidsinformatie door een advies- en meldpunt huiselijk geweld en kindermishandeling zal worden geregeld.

De wijzigingen uit het onderhavige wetsvoorstel kunnen niet via een verzamelwet worden doorgevoerd in Caribisch Nederland, omdat voor Caribisch Nederland een andere context geldt dan voor Europees Nederland. Zo is de Wet zorginstellingen BES anders vormgegeven dan de Wkkgz en zijn er in het kader van de (langdurige) zorg verschillen in taken en verantwoordelijkheden van het Rijk en openbare lichamen. In deze kabinetsperiode wordt wel in den brede nagedacht over hoe het wettelijk stelsel voor Caribisch Nederland verder vormgegeven kan worden op de langere termijn.22

In de Invoeringswet BES is voor de IGJ ook een inzagerecht opgenomen. Dit wetsvoorstel beoogt ook dit inzagerecht te verduidelijken. Verder wordt in dit wetsvoorstel voorgesteld om de delegatiegrondslag van artikel 18.4.5, eerste lid, onderdeel e, van de Invoeringswet BES aldus aan te vullen, dat op grond daarvan ook regels met betrekking tot de verwerking van persoonsgegevens waaronder bijzondere persoonsgegevens, kunnen worden gesteld. Zie paragraaf 2.5. Ook in de Wet tot regeling van het toezicht op krankzinnigen BES23 is een inzagerecht opgenomen. De regering werkt aan een inhoudelijke modernisering van deze wet. Eventuele verduidelijking van het inzagerecht wordt daarin meegenomen.

De wijziging in het kader van de Kaderwet VWS-subsidies geldt ook ten aanzien van subsidieaanvragers uit Caribisch Nederland.

Gezien de aard van dit wetsvoorstel zijn gegevensbeschermingseffectbeoordelingen uitgevoerd op onderdelen van het wetsvoorstel. Met behulp hiervan is de noodzaak onderzocht van de voorgenomen verwerking van persoonsgegevens en zijn op gestructureerde wijze de gevolgen en risico’s van de gegevensverwerkingen voor de rechten en vrijheden van betrokkenen van het onderhavige wetsvoorstel in kaart gebracht voor zover deze tot nu toe te overzien zijn.

De DPIA’s gingen niet in op de onderwerpen:

Met de eerste vier onderwerpen worden geen nieuwe grondslagen in het leven geroepen, maar bestaande grondslagen en bewaartermijnen verduidelijkt.

Het laatste onderwerp betreft een spiegelbepaling zoals opgenomen in de artikelen 22, achtste lid, en 26, tweede lid, Wzd. Gezien de grote overeenkomst met deze artikelen en omdat het gaat om hergebruik binnen één organisatie is afgezien van het uitvoeren van een PIA.

Naar aanleiding van de DPIA zijn de wettekst en toelichting op een aantal punten aangescherpt. Zo zijn de teksten over de verplichting tot het aanleveren van gegevens naar aanleiding van een andere melding verduidelijkt en is artikel 5.2.9 Wmo 2015 aangepast, zodat daaruit duidelijk blijkt wanneer Veilig Thuis het BSN gebruikt. Ook is de toelichting aangescherpt ten aanzien van de grondslag voor bilaterale gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars. Bilaterale gegevensuitwisseling ten behoeve van het fraudeonderzoek betekent dat persoonsgegevens met gemeenten en ziektekostenverzekeraars gedeeld kunnen worden, waar dat zonder deze grondslag niet gebeurd zou zijn. Hierbij kunnen eventueel risico’s ontstaan op een datalek. Betrokken instanties zullen passende technische en organisatorische maatregelen moeten treffen die een op het risico afgestemd beschermingsniveau waarborgen. Hiertoe zal ook een gegevensbeschermingseffectbeoordeling gericht op de praktijk worden uitgevoerd.

Door de verduidelijking van het begrip inzage is het voor toezichthoudende ambtenaren van de IGJ en andere betrokken partijen direct duidelijk hoe ver het inzagerecht als handhavingsinstrument reikt. Hierdoor wordt het uitvoeren van de toezichtstaak vereenvoudigd.

Doordat zorgaanbieders en zorgverleners worden verplicht om bij en naar aanleiding van een andere melding aan de IGJ (bijzondere categorieën van) persoonsgegevens te verstrekken in het kader van het te verrichten onderzoek, kan de IGJ haar taak beter uitvoeren. Zoals uit het voorgaande blijkt, kan dit een doorbreking van het medisch beroepsgeheim betekenen. Hier moet zeer terughoudend mee om worden gegaan. Bij het opstellen van deze bepaling is, zoals toegelicht in paragraaf 2.2 belangenafweging gemaakt tussen het belang van de IGJ en dus de volksgezondheid om een melding goed en volledig te kunnen onderzoeken en het belang van degene aan wie de (gezondheids)gegevens toebehoren.

Door toevoeging van een grondslag voor de verwerking van (bijzondere categorieën van) persoonsgegevens voor de hulplijnen (mogelijkheid voor jongeren om hun verhaal te kunnen doen, vragen te stellen en advies te krijgen), de kwaliteitsverbetering en beleidsvorming via de monitoring op de telefoongesprekken en chatfunctie is de uitvoering van de hulplijnen geborgd.

Door de verduidelijking van de grondslag voor de verstrekking van gegevens door Veilig Thuis ten behoeve van beleidsinformatie is voor alle betrokken partijen direct duidelijk dat de wet zowel een grondslag biedt voor verstrekking van gegevens inzake kindermishandeling als voor vormen van huiselijk geweld waarbij geen kinderen betrokken zijn.

De uitbreiding van artikel 4.1.1, tweede lid, Wmo 2015 verduidelijkt de mogelijkheden tot vroegtijdige afstemming bij onveiligheid in gezinssystemen. Door vroegtijdige en gelijktijdige afstemming kunnen situaties van onveiligheid in gezinssystemen eerder (gezamenlijk) in beeld komen bij de betrokken partners. Het parallel (en minder volgtijdelijk) samenwerken door de betrokken partners zorgt ervoor dat zij met meer snelheid en efficiency kunnen samenwerken. De kans op escalatie of herhaling van het geweld wordt door de vroegtijdige en gelijktijdige afstemming teruggebracht. Door het hergebruik van gegevens door het CIZ worden een extra (administratieve) belasting voor de cliënt en onnodige vertraging voorkomen.

Met de grondslag voor gegevensverwerking in de Kaderwet VWS-subsidies kunnen aanvragen (goed) worden behandeld en ontstaat duidelijkheid voor zowel de aanvrager als de ambtenaar die de subsidie beoordeeld.

Met de grondslag voor bilaterale gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars kunnen fraudeonderzoeken beter wordt uitgevoerd, sneller worden afgerond en kunnen er op basis van een afgerond fraudeonderzoek maatregelen genomen worden, zoals het terugvorderen van onterechte betalingen. De betrokken gemeenten en ziektekostenverzekeraars dienen wel bepaalde handelingen te verrichten om gegevens uit te kunnen wisselen. Het kan zijn dat bepaalde instanties meer worden bevraagd of vaker gegevens moet delen dan anderen, maar over de hele linie genomen zullen de baten, ten aanzien van de aanpak van fraude, opwegen tegen de lasten.

Het merendeel van dit wetsvoorstel beoogt een technische wijziging, verduidelijking van bepalingen of creëert een wettelijke grondslag voor gegevensverwerking en leidt niet tot een wijziging in taken. De uitvoering van de bestaande taken wordt door de verduidelijking in de praktijk vereenvoudigd.

De betreffende gedeelten van het wetsvoorstel zijn afgestemd met Stichting De Kindertelefoon, Stichting Sensoor, de landelijke luisterlijn, het Landelijk Netwerk Veilig Thuis, de partijen in de strafrechtketen, het CIZ en DUS-I. Aanvullend daarop hebben Stichting de Kindertelefoon, Stichting Sensoor, de landelijke luisterlijn en het Landelijk Netwerk Veilig Thuis een uitvoeringstoets uitgevoerd.

Stichting De Kindertelefoon en Stichting Sensoor de Luisterlijn hebben verzocht om enkele aanpassingen in de toelichting. Deze zijn verwerkt.

De leden van het Landelijk Netwerk Veilig Thuis hebben laten weten dat er wat betreft de uitvoerbaarheid van het wetsvoorstel voor de Veilig-Thuis-organisaties geen bezwaren bestaan. De wijziging m.b.t. de chat van Veilig Thuis maakt de uitvoeringspraktijk makkelijker. Dit geldt ook voor de wijzigingen m.b.t. de verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard, de gevalsbehandeling en de beleidsinformatie. De Veilig Thuis-organisaties leveren nu voor het genereren van beleidsinformatie een cliëntnummer aan bij het CBS. Na de wijziging komt het BSN hiervoor in de plaats. Voor de gebruiker heeft dit geen invloed op de uitvoerbaarheid. Bij de leverancier van de software betekent het een kleine technische wijziging waar bij het ontwerp al op voorgesorteerd was.

Regeldruk is een verzamelnaam voor kosten die samenhangen met administratieve lasten (kosten om te voldoen aan informatieverplichtingen aan de overheid vanuit regelgeving), inhoudelijke nalevingkosten (kosten om te voldoen aan inhoudelijke eisen uit wet- en regelgeving) en toezichtlasten.

Met het hergebruik van gegevens vanuit de Wzd t.b.v. de uitvoering van de Wlz wordt beoogd de regeldruk te verminderen. Het CIZ vraagt thans dezelfde informatie voor de Wlz op bij de cliënt, zijn vertegenwoordiger of betrokken zorgprofessional. Het in het kader van Wlz nogmaals opvragen van de al bij het CIZ vanuit de Wzd bekende informatie is een extra (administratieve) belasting voor de cliënt, zijn vertegenwoordiger of betrokken zorgprofessional. Met hergebruik wordt voorkomen dat deze partijen gegevens moeten aanleveren die al bij het CIZ aanwezig zijn en kan een indicatiebesluit sneller worden verleend. Dit leidt tot een reductie van de regeldruk voor zorgprofessionals, maar ook een reductie in de regeldruk voor cliënten en vertegenwoordigers. Op dit moment is het nog niet mogelijk om de kwantitatieve effecten van dit wetsvoorstel op de regeldruk exact in kaart te brengen. Er wordt verwacht dat ongeveer 1000 keer per jaar gebruik wordt gemaakt van de mogelijkheid tot hergebruik.

Met de andere onderdelen van het wetsvoorstel wordt beoogd de grondslagen bij bestaande taken aan te vullen en te verduidelijken. De uitvoering van de bestaande taken wordt door deze verduidelijking vereenvoudigd. De gevolgen hiervan op de regeldruk zijn echter lastig te kwantificeren. In ieder geval worden geen negatieve regeldrukgevolgen verwacht.

Het Adviescollege toetsing regeldruk (ATR) heeft het dossier niet geselecteerd voor een formeel advies, omdat de – positieve – gevolgen voor de regeldruk toereikend in beeld zijn gebracht.

De IGJ en de Inspectie Justitie en Veiligheid (hierna: IJenV) zijn uitgenodigd om een uitvoerbaarheids- en handhaafbaarheidstoets uit te voeren.

Ten aanzien van de verduidelijking van het inzagerecht van patiëntendossiers merkt de IJenV op dat zij deze verduidelijking op prijs stelt. Onduidelijkheid over het inzagerecht is onwenselijk en deze verduidelijking maakt daar een einde aan. Ook de IGJ wijst erop dat de onduidelijkheid in de formulering van de betreffende wetsartikelen in enkele gevallen discussies opleveren in de uitvoeringspraktijk. De IGJ onderschrijft daarom het belang dat in het voorliggende wetsvoorstel het inzagerecht op dit punt wordt verduidelijkt.

De IGJ heeft geadviseerd om de memorie van toelichting op het punt van de formulering van de (afgeleide) geheimhoudingsplicht van de IGJ te verduidelijken. De concept memorie van toelichting vermeldde niets over de achtergrond hiervan. In de toelichting is verduidelijkt dat met de nieuwe formulering geen inhoudelijke wijziging beoogd is.

Oorspronkelijk was het voornemen om met dit wetsvoorstel ook een mogelijkheid tot het doorbreken van de geheimhoudingsplicht bij het indienen van een tuchtklacht op grond van de Jeugdwet te creëren. Ten aanzien van dit voorstel heeft de Autoriteit Persoonsgegevens geadviseerd de doorbrekingsgrond voor de Jeugdwet nader te motiveren. De IJenV heeft opgemerkt dat zij tot op heden nog geen gebruik heeft gemaakt van het kunnen indienen van een tuchtklacht. Evenwel heeft de IJenV aangegeven de verduidelijking in de wet van de mogelijkheid tot doorbreking van het beroepsgeheim een goede aanvulling te vinden op de bevoegdheid tot het indienen van een tuchtklacht. De IGJ heeft erop gewezen dat zij ook buiten het jeugddomein, namelijk op grond van de Wet BIG, bevoegd is tot het indienen van tuchtklachten vanwege het belang van de kwaliteit en veiligheid van de zorg. Het uitsluitend opnemen van een expliciete wettelijke doorbrekingsgrond ten aanzien van de Jeugdwet zou tot een discrepantie met de Wet BIG leiden. De IGJ heeft daarom verzocht ook een expliciete wettelijke doorbrekingsgrond van de (afgeleide) geheimhoudingsplicht voor het indienen van tuchtklachten op grond van de Wet BIG op te nemen.

In hoeverre het noodzakelijk is deze doorbrekingsgrond ten aanzien van zowel de Jeugdwet als de Wet BIG wettelijk te regelen, vergt nader onderzoek. Om verdere vertraging te voorkomen, is daarom besloten een eventueel noodzakelijke doorbrekingsgrond mee te nemen in een volgende wetswijziging.

Handhavend en toezichthoudend optreden is verder per wet gebonden aan eigen kaders.

Op grond van hun wettelijke taken hebben de Autoriteit Persoonsgegevens (AP) en de Commissie toezicht bescherming persoonsgegevens BES een advies uitgebracht. Daarnaast is het wetsvoorstel in internetconsultatie geweest, die verschillende reacties heeft opgeleverd.

De AP is de toezichthouder op de juiste uitvoering van de AVG. Daarom is dit wetsvoorstel voor advies aan dit college voorgelegd. Daarnaast zijn de betreffende gedeelten van het wetsvoorstel afgestemd met de IGJ, de IJenV, Stichting De Kindertelefoon, Stichting Sensoor, de landelijke luisterlijn, Veilig Thuis en het CIZ.

De AP heeft in het advies op verschillende punten bezwaar gemaakt tegen het concept en heeft geadviseerd om de procedure niet voort te zetten, tenzij het bezwaar is weggenomen.

Naar aanleiding van de wijziging van artikel 18.4.7h van de Invoeringswet BES heeft de AP daarnaast opgemerkt deze voor te leggen aan de Commissie toezicht bescherming persoonsgegevens BES (hierna: CBP BES). In het huidige artikel 18.4.7h is het inzagerecht van de IGJ in patiëntendossiers op de BES opgenomen. Zoals uit het voorgaande blijkt, is het inzagerecht van de IGJ in een heel aantal volksgezondheidswetten opgenomen en wordt dit met het wetsvoorstel verduidelijkt. Met deze wijziging worden geen nieuwe verwerkingen in het leven geroepen en om die reden is hiervoor dan ook geen DPIA opgesteld. Voor nadere toelichting wordt in dit kader verwezen naar hoofdstuk 5. Op grond van artikel 49 Wbp BES kan door de minister aan de Wbp BES advies worden gevraagd onder meer als het gaat om een wetsvoorstel dat betrekking heeft op de verwerking van persoonsgegevens op de BES. Nu met deze verduidelijking van het inzagerecht geen nieuwe verwerking van persoonsgegevens is voorzien, is er om die reden voor gekozen de onderhavige wijziging niet voor te leggen aan de CBP BES. De verduidelijking van het inzagerecht van de volksgezondheidswetten zat in onderhavig wetsvoorstel dat integraal aan de AP is voorgelegd, omdat de meeste onderwerpen uit onderhavig wetsvoorstel wel een nieuwe gegevensverwerking in het leven riepen.

Hieronder wordt per onderdeel ingegaan op het advies.

Met betrekking tot dit onderwerp heeft de AP het volgende geadviseerd: ‘In artikel 25, eerste lid, Wkkgz is sprake van zowel ‘onderzoek’ als ‘nader onderzoek’. Tot nader onderzoek wordt pas overgegaan als aan een aantal voorwaarden is voldaan. In de memorie van toelichting wordt de noodzaak om over (bijzondere) persoonsgegevens en persoonsgegevens van strafrechtelijke aard te beschikken alleen in verband gebracht met dit nader onderzoek. De AP adviseert om in de memorie van toelichting te beargumenteren waarom de verplichte gegevensverstrekking ook al nodig is in het kader van het reguliere onderzoek.’

In reactie hierop is in de toelichting bij het onderdeel over de ‘andere meldingen’ aangepast. Het ‘onderzoek’ wordt gedaan op basis van de melding. De melder is verplicht om bij de melding een aantal gegevens te verstrekken om dit ‘onderzoek’ uit te kunnen voeren. Op basis van de melding bepaalt de IGJ of sprake is van een situatie die ‘nader onderzoek’ noodzakelijk maakt. Het uitvragen van meer informatie vormt onderdeel van het ‘nader onderzoek’ indien daartoe aanleiding is. Voor zover de AP zich afvraagt of bij het vaststellen of nader onderzoek noodzakelijk is, zorgverleners en zorgaanbieders desgevraagd verplicht moeten worden gegevens te verstrekken, is het antwoord ontkennend.

De AP adviseert dit onderdeel beter te verantwoorden in de memorie van toelichting door:

• • de noodzaak van doorbreking van het afgeleid beroepsgeheim ten behoeve van het aanhangig maken van een tuchtzaak zonder toestemming nader te motiveren en daarbij in elk geval te vermelden wat de follow up is geweest van de in het advies aangehaalde aanbeveling van NIVEL, en

• • te onderbouwen waarom de inbreuk op de persoonlijke levenssfeer van de jeugdige in dit geval gerechtvaardigd kan worden geacht.

De AP adviseert alsnog na te gaan of de verwerkingen – bijvoorbeeld door aanpassing van de ‘toestemmingstekst’ – kunnen worden gebaseerd op toestemming. Indien toch wordt gekozen voor een wettelijke grondslag, dan zal moeten vaststaan dat deze inmenging evenredig is met het nagestreefde gerechtvaardigde doel.

Uit het onderzoek is gebleken dat een toestemmingstekst een drempel opwerpt voor kinderen (8-18 jarigen) die contact zoeken met de kindertelefoon. Meer dan de helft van de kinderen twijfelt of geeft geen toestemming en 16% besluit om niet meer te gaan chatten. Ze zijn bang dat hun ouders kunnen zien dat ze hebben gechat, dat hun gegevens met derden worden gedeeld, dat er ‘iets achter zit’, dat het gesprek niet anoniem/vertrouwelijk is. Andere redenen dat het vragen om toestemming een drempel opwerpt, is dat ze de afspraak hebben met hun ouders dat ze altijd eerst moeten overleggen voordat ze een vinkje aanklikken, ze de tekst niet snappen of ze het irritant vinden om eerst iets te moeten doorlezen voordat ze kunnen chatten. Een deel van deze knelpunten zou kunnen worden ondervangen door een eenvoudigere en duidelijkere toestemmingstekst (in kindertaal). Echter, is het de vraag of een korte simpele tekst voldoende inzicht geeft in de gegevensverwerking. De kinderen geven immers aan dat het niet meer dan één zin zou moeten zijn. Bovendien lost dit niet alle knelpunten op. Voor de kinderen die bang zijn dat er ‘iets achter zit’, de kinderen die eerst met hun ouders moeten overleggen of die elke toestemmingstekst zien als drempel om te chatten blijft de toestemming een obstakel. Terwijl de kindertelefoon juist een laagdrempelig luisterend oor wil bieden voor alle kinderen. Ook voor de meest kwetsbare kinderen die het juist zo spannend vinden om contact te zoeken. Om die reden is toestemming geen geschikte grondslag en is het passend om een grondslag wettelijk vast te leggen.

De doelgroep van de luisterlijn en de chat van Veilig Thuis is anders, maar net als de kindertelefoon beogen ook deze hulplijnen een zo laagdrempelig mogelijke voorziening te bieden. De luisterlijn is er voor iedereen die ergens mee zit. De chat van Veilig Thuis is bedoeld als een extra laagdrempelige mogelijkheid voor iedereen die te maken heeft met huiselijk geweld en kindermishandeling en voor omstanders om advies te krijgen. Met name wanneer bellen lastig is en juist wanneer de drempel om contact te zoeken al hoog is. Het vragen van toestemming op een manier die tegemoetkomt aan de laagdrempeligheid van de functies (kort, eenvoudig en snel) en tegelijkertijd zorgvuldig is (een goede omschrijving van de gegevensverwerking omvat en specifieke vragen bevat) is niet mogelijk.

Tot slot is verwerking van het telefoonnummer of IP-adres nodig om oneigenlijk (overmatig) gebruik van de hulplijnen tegen te gaan. De verwachting is dat degenen die misbruik maken van de hulplijnen hier niet snel toestemming voor zullen geven. Toestemming is dan dus niet goed bruikbaar.

Het bij wet regelen van de gegevensverwerking en de waarborgen is voor deze functies daarom passender dan het vragen van toestemming.

De AP adviseert terdege aandacht te schenken aan de verhouding tussen de voorgestelde verstrekkingen en de artikelen 9 en 10 AVG en aan de mitigerende maatregelen die ingevolge deze artikelen (mogelijk) zijn vereist. De AP adviseert daarnaast de verstrekking aan bij ministeriele regeling aan te wijzen andere partijen te schrappen.

Naar aanleiding van het advies is een toelichting opgenomen over de verhouding met de artikelen 9 en 10 van de AVG en is de zinsnede ‘aan bij ministeriële regeling aan te wijzen andere partijen’ komen te vervallen. De AP heeft ook nog opgemerkt dat de zinsnede ‘informatie die op de melding betrekking heeft’ te onbepaald is. Het voorgestelde artikel 4.1.1, tweede lid, onderdeel e, Wmo 2015 moet worden gelezen in samenhang met artikel 5.1.6, tweede lid, Wmo 2015. Daaruit volgt dat bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke aard die verband houden met de melding, alleen mogen worden gedeeld indien daartoe een noodzaak is. De aanvulling in deze zinsnede dient er juist toe om concreter te maken dat ketenpartners niet alleen van de melding zelf op de hoogte worden gesteld, maar ook van de context van de melding. In het belang van de veiligheid van betrokkenen kan het immers noodzakelijk zijn dat een strafrechtpartner die van de melding op de hoogte is of wordt gesteld, ook nog de contextinformatie ontvangt die nodig is om tot een goede afstemming te komen.

Verder heeft de AP gevraagd of de brongegevens ten behoeve van beleidsinformatie niet reeds bij Veilig Thuis zouden kunnen worden geaggregeerd en geanonimiseerd. Dat is bij de structurele gegevensverstrekking niet mogelijk. Identificerende gegevens zijn bijvoorbeeld noodzakelijk voor het CBS om koppelingen te kunnen maken tussen meerdere meldingen met betrekking tot dezelfde persoon, ook als die meldingen bij verschillende Veilig Thuis-organisaties zijn gedaan. Verder zijn identificerende gegevens nodig om verschillende statistieken, bijvoorbeeld informatie over Veilig Thuis en informatie over jeugdhulpgebruik, met elkaar in verband te kunnen brengen. Microdata (informatie op persoonsniveau) worden niet openbaar gemaakt. De inhoud van alle statistieken en rapportages die gepubliceerd worden, is niet herleidbaar tot een individu. Onderzoek op dit soort data is wel mogelijk via de zogenaamde remote access voorziening van het CBS, voor organisaties die daarvoor door het CBS geautoriseerd zijn. Ook dan geldt echter dat de gegevens die worden gepubliceerd naar aanleiding van dit onderzoek nog steeds niet tot een persoon te herleiden mogen zijn.

De CBP BES is kritisch op de voorgestelde aanvulling van artikel 18.4.5, eerste lid, onderdeel e, van de Invoeringswet BES, met het stellen van regels over de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens. De CBP BES constateert dat de voorgestelde wijziging niet in de geest van de Wbp BES past. Belangrijkste argument voor deze constatering is dat onvoldoende specifiek in de memorie van toelichting is opgenomen welke belangenafweging ertoe heeft geleid dat de uitbreiding van de verwerkingsmogelijkheden van persoonsgegevens noodzakelijk is. De CBP BES adviseert om expliciet aan te geven welke bijzondere persoonsgegevens, voor welke doeleinden, door wie, waarom, wanneer en op welke wijze, mogen worden verwerkt. Ook adviseert de CBP BES om expliciet passende waarborgen op te nemen voor de verwerking van bijzondere persoonsgegevens.

De CBP BES vindt daarnaast dat 12 jaar na de transitiedatum en 7 jaar na het verstrijken van de termijn van de oorspronkelijk bedoelde legislatieve terughoudendheid in Caribisch Nederland de tijd rijp is om het onderwerp maatschappelijke ondersteuning onder te brengen in een wet in formele zin, waarbij de bescherming van de persoonlijke levenssfeer en in het bijzonder de bescherming van bijzondere persoonsgegevens op dezelfde manier geregeld wordt. De CBP BES adviseert dit zo spoedig mogelijk te realiseren. De CBP BES vindt het noodzakelijk om de verwerking van bijzondere persoonsgegevens in het kader van huiselijk geweld en kindermishandeling verder te specificeren en expliciteren, inclusief de passende waarborgen én deze regels te plaatsen in een wet, zoals de Wmo 2015.

Met de CBP BES ben ik van mening dat de verwerking van bijzondere persoonsgegevens in het kader van huiselijk geweld en kindermishandeling moet worden gespecificeerd en geëxpliciteerd, inclusief de passende waarborgen.

Anders dan de CPB BES vind ik dat uitwerking bij amvb voldoende kan worden onderbouwd. Daarmee wordt aangesloten bij de systematiek van hoofdstuk 6 van de IBES waarin onder meer een grondslag is opgenomen om bij amvb regels te stellen voor de maatschappelijke ondersteuning en het bestrijden van huiselijk geweld en kindermishandeling. In deze amvb wordt, conform het advies van de CBP BES, de verwerking van persoonsgegevens die noodzakelijk is voor het bestrijden van huiselijk geweld en kindermishandeling verder uitgewerkt. Zo zal concreet worden omschreven wie persoonsgegevens, waaronder bijzondere persoonsgegevens, mogen verwerken en in welke gevallen het noodzakelijk is om bijzondere persoonsgegevens te verwerken. Daarnaast worden in de amvb regels opgenomen over de informatieverschaffing aan betrokkene en over de bewaartermijn van de gegevens.

Een effectieve bestrijding van huiselijk geweld en kindermishandeling is niet mogelijk zonder het verwerken van bijzondere persoonsgegevens. Indien artikel 18.4.5, eerste lid, onderdeel e, IBES niet zou worden aangevuld, zou deze delegatiegrondslag voor het onderwerp huiselijk en kindermishandeling geweld zinledig zijn.

Naar aanleiding van het advies is de toelichting op verschillende punten aangescherpt. Zo is uitgebreider toegelicht waarom het verwerken van bijzondere persoonsgegevens noodzakelijk is en zijn daarbij ook voorbeelden genoemd. Ik ben daarmee van mening dat de voorgestelde wijziging in de geest van de Wbp BES past. In dit verband wordt nog opgemerkt dat met de voorgestelde wijziging een delegatiegrondslag wordt aangepast en dat bij het op grond van die delegatiegrondslag regelen van de gegevensverwerking in een amvb de Wbp BES uiteraard in acht zal worden genomen. Deze amvb zal ook voor advies aan de CBP BES worden voorgelegd.

Wellicht ten overvloede merk ik op dat deze wijziging van de IBES niet nodig is voor het bij amvb regelen van de verwerking van bijzondere persoonsgegevens op het terrein van maatschappelijke ondersteuning. In het geval van maatschappelijke ondersteuning zal het veelal gaan over de verwerking van gegevens over gezondheid en daarvoor biedt artikel 21, eerste lid, Wbp BES een grondslag. Voor zover het in dat kader tevens nodig is om andere bijzondere persoonsgegevens te verwerken kan dat in bepaalde situaties op grond van het derde lid van artikel 21 Wbp BES.

De praktijk leert dat er qua wetgeving voor Caribisch Nederland nog steeds sprake is van een overgangsperiode. Het beleid wordt nog gevormd en de onderwerpen maatschappelijke ondersteuning en huiselijk geweld en kindermishandeling zijn nog niet voldoende uitgekristalliseerd om bij wet in formele zin te worden geregeld. De verwachting is dat een amvb over deze onderwerpen bijdraagt aan het verder brengen hiervan. De werking van deze amvb in de praktijk kan bijdragen aan de contouren van wetgeving voor een op maat gemaakt Caribisch stelsel voor zorg, jeugd en maatschappelijke ondersteuning, zie de brief aan de Tweede Kamer van 29 september jl.24 en het wetgevingsoverzicht bij de brief aan de Tweede Kamer van 22 december 202225.

Dit wetsvoorstel stond open voor (internet)consultatie van 8 maart tot en met 20 april 2022.

Er zijn 17 reacties ontvangen van burgers, belangenorganisaties en partijen. Het onderdeel ‘grondslag bilaterale gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars’ stond apart open voor (internet)consultatie van 10 augustus tot en met 7 september 2022.26 Hier zijn in totaal acht openbare reacties op ontvangen van onder andere een ziektekostenverzekeraar, een gemeente en brancheverenigingen. Samenvattend wordt de wenselijkheid en noodzakelijkheid van het verstevigen en verduidelijken van de grondslagen van gegevensverwerkingen door verschillende respondenten zoals de Artsenfederatie KNMG en de Veilig Thuis organisaties onderschreven. Tegelijkertijd zijn er zorgen geuit en kanttekeningen van uiteenlopende aard geplaatst, waarop hieronder zal worden ingegaan. Alle reacties zijn waardevol en gewogen. In geval van aanpassing van het wetsvoorstel is steeds gezocht naar de juiste balans en zijn gemaakte keuzes onderbouwd.

Verschillende respondenten waaronder het Platform Burgerrechten, de Koninklijke Nederlandse Maatschappij tot bevordering der Tandheelkunde (hierna: KNMT) en de Nederlandse GGZ vragen aandacht voor de reikwijdte van het noodzakelijkheidscriterium. De huidige wettekst biedt volgens een aantal respondenten onvoldoende duidelijkheid en waarborgt daarmee onvoldoende dat alleen gebruik wordt gemaakt van de inzagebevoegdheden (en het maken van kopieën) wanneer en voor zover dat noodzakelijk en proportioneel is.

Met name bij de ‘andere meldingen’ is voor respondenten onduidelijk in welke gevallen het noodzakelijk is om inbreuk te maken op het medisch beroepsgeheim. De respondenten vragen om een omschrijving van de situaties en type andere meldingen waarbij het voorzienbaar is dat het verstrekken van bijvoorbeeld gegevens over de gezondheid noodzakelijk zou kunnen zijn.

In de desbetreffende artikelen is aangegeven dat de bevoegdheid geldt voor zover dat voor de vervulling van de taak van de toezichthoudende ambtenaren noodzakelijk is en in de toelichting is dit nog eens benadrukt. Per geval moet worden getoetst of en in hoeverre het gebruikmaken van inzagerecht en andere bevoegdheden noodzakelijk is. Afschriften worden bijvoorbeeld alleen gemaakt indien noodzakelijk, bijvoorbeeld ten behoeve van zorgvuldig onderzoek of als bewijs. Daarbij worden de kopieën zoveel als mogelijk direct geanonimiseerd, indien cliëntgegevens niet (meer) nodig zijn. Als gevolg van deze reactie zijn in de toelichting een aantal voorbeelden opgenomen om dit te illustreren.

In dit kader wordt voorts aangegeven dat met dit wetsvoorstel aan de met toezicht belaste ambtenaren de bevoegdheid wordt gegeven ‘kopieën te maken van dossiers en indien dat niet ter plaatse kan geschieden, de dossiers voor dat doel voor korte tijd mee te nemen.’ Er wordt aandacht gevraagd voor het risico dat dossiers kwijtraken en er wordt gepleit voor een veilige oplossing.

De inspecties voeren hun toezicht in beginsel zo uit dat het inzien van een dossier voldoende is. Alleen wanneer het maken van een afschrift noodzakelijk, maar ter plaatse onmogelijk is, wordt het dossier fysiek meegenomen. In de praktijk komt het zelden voor dat een dossier moet worden meegenomen. Dit gebeurt uitsluitend voor de periode die nodig is om veilig kopieën te kunnen maken en is in de wet geborgd door middel van het noodzakelijkheidsvereiste.

Platform Burgerrechten schrijft dat de gegevens na afronding van het onderzoek naar een melding moet worden verwijderd en dat dit zou moeten worden uitgewerkt in regelgeving.

De bewaartermijnen voor de inspecties zijn vastgelegd in de concernbrede selectielijst27. Indien er geen wettelijke interventie volgt na een melding geldt een termijn van 10 jaar na afhandeling van een dossier. Indien er wel een wettelijke interventie volgt geldt een termijn van 15 jaar na afhandeling van een dossier. Daarnaast geldt de noodzakelijkheidseis. Op basis daarvan worden – zoals eerder toegelicht – kopieën uit dossiers bijvoorbeeld geanonimiseerd wanneer de cliëntgegevens niet (meer) noodzakelijk zijn.

Specifiek wordt gevraagd naar de verhouding tussen het nieuwe artikel 6.1a Wmo 2015 (oplegging last onder dwangsom) en de bevoegdheid uit artikel 5:20, derde lid, Awb (in samenhang met 5:32, eerste lid, Awb) ter handhaving van de medewerkingsplicht.

Ook wordt gevraagd wat er wordt bedoeld met de zinssnede: ‘Of het vorderen van inlichtingen ter zake’ in het nieuwe art. 6.1, tweede lid, Wmo 2015 en hoe dit zich materieel onderscheidt van artikel 5:16 Awb.

In de Awb is een apart hoofdstuk over toezicht op de naleving opgenomen, waarin meerdere bevoegdheden zijn toegekend aan toezichthouders. De IGJ als toezichthouder kan ook gebruik maken van deze bevoegdheden. Echter, in artikel 5:20, tweede lid, van de Awb is bepaald dat personen die een geheimhoudingsplicht hebben, hun medewerking aan toezichthouders kunnen weigeren. Beroepsbeoefenaren of hulpverleners hebben een zodanige geheimhoudingsplicht ten aanzien van gezondheidsgegevens van cliënten of patiënten. Voor het houden van toezicht is toegang tot deze gegevens echter noodzakelijk voor de IGJ. Om die reden zijn in de volksgezondheidswetten deze bevoegdheden voor de IGJ apart opgenomen. Gelet hierop was het ook noodzakelijk om naast artikel 5:16 Awb, artikel 6.1, tweede lid, Wmo 2015 op te nemen. Overigens is het nieuwe artikel 6.1, tweede lid, Wmo 2015 gelijkluidend aan de nieuwe bepalingen die eveneens zijn opgenomen in de Jeugdwet, de Wlz, de Wkkgz en vele andere volksgezondheidswetten.

Een van de respondenten vindt het opvallend dat de kindertelefoon en de luisterlijn niet meer anoniem gebeld kunnen worden en stelt voor de artikelen zo te formuleren dat zowel anoniem als niet anoniem contact mogelijk is, afhankelijk van de manier waarop de beller/mailer contact opneemt. Ook de Veilig Thuis organisaties benoemen dat de chatter veelal van anonimiteit zal uitgaan, terwijl er van hem/haar wel degelijk (indirect) tot de persoon herleidbare gegevens worden geregistreerd.

De huidige mate van vertrouwelijkheid in de praktijk blijft onverkort van toepassing. Anonimiteit als bedoeld in de AVG is echter niet mogelijk. De gegevens zijn wel zo veel als mogelijk ontdaan van herleidbare gegevens en er kunnen gesprekken worden gevoerd zonder dat die direct herleidbaar zijn naar een persoon. De hulplijnen verschaffen hierover reeds via o.a. hun websites zo duidelijk mogelijke informatie.

Volgens de Veilig Thuis organisaties is van belang dat alleen persoonsgegevens worden verwerkt en gedeeld als dat strikt noodzakelijk is, de informatie volledig wordt geanonimiseerd en dus niet herleidbaar is tot een te identificeren casus. En dat oneigenlijk gebruik van de verstrekte persoonsgegevens door Veilig Thuis wordt voorkomen. De Veilig Thuis organisaties missen in de toelichting bij het wetsvoorstel dat oog is voor de hiervoor geschetste context en urgentie hiervan.

Artikel 4.3.2 van het Uitvoeringsbesluit Wmo 2015 bepaalt welke gegevens verstrekt worden. De uitwerking in het (van de Uitvoeringsregeling Wmo 2015 deel uitmakende) informatieprotocol beschrijft hoe de structurele verstrekking verloopt en dat een incidentele verstrekking geen persoonsgegevens bevat. De toelichting op dit onderdeel is aangevuld om deze context beter te schetsen.

Verder ziet Veilig Thuis een knelpunt in artikel 4.2.12 Wmo 2015. Dat artikel ziet zowel op het verstrekken van informatie ten behoeve van beleidsinformatie als op verstrekking van gegevens voor ‘gevalsbehandeling’. Hierdoor zou de suggestie kunnen worden gewekt dat de verstrekte persoonsgegevens ten behoeve van beleid ook kunnen worden aangewend voor gevalsbehandeling. Veilig Thuis vindt het raadzaam om geen wettelijke grondslag te bieden voor het verstrekken van gegevens ten behoeve van gevalsbehandeling of om het verstrekken van die gegevens in elk geval met dezelfde of vergelijkbare waarborgen te omkleden die gelden voor het verstrekken van gegevens (waaronder het BSN) voor beleidsinformatie via het CBS. Het gaat hier inderdaad om twee verschillende doelen. Om dit te verduidelijken is dat nu expliciet in het paragraaf 2.4 van deze toelichting benoemd.

Meerdere reacties betreffen de volgordelijkheid van de begrippen ‘signalen (IKZ), fraudeonderzoek en gerechtvaardigde overtuiging (Waarschuwingsregister)’ van fraude in de zorg. De reacties beschrijven dat het niet helder is op basis van welke criteria het onderzoek van de ene fase overgaat in de andere fase. Daarnaast wordt in de reacties het verzoek gedaan om het begrip ‘vermoeden van fraude in de zorg’ en de afbakening met de andere situaties van het wetsvoorstel nader te preciseren. Mede naar aanleiding van de ontvangen reacties zijn in de toelichting de begrippen verder uitgewerkt. Op het moment van consultatie bestond het wetsvoorstel uit twee onderdelen. Daarna is een derde onderdeel toegevoegd (nu onderdeel B). Het betreft een grondslag voor bilaterale gegevensuitwisseling wanneer er sprake is van een fraudeonderzoek. De samenhang tussen de verschillende onderdelen is in de toelichting specifieker toegelicht en voorzien van een voorbeeld. Hiermee is tegemoet gekomen aan de belangrijkste reacties over dit onderwerp.

Een reactie sprak zorgen uit over het medisch beroepsgeheim. In de toelichting is naar aanleiding hiervan in de verduidelijkt dat voorliggend voorstel geen doorbreking van het medisch beroepsgeheim mogelijk maakt.

De VNG heeft aangegeven dat het nodig is dat ook bijzondere persoonsgegevens worden uitgewisseld om fraude in de uitvoeringspraktijk aan te kunnen pakken en verzoekt dit expliciet te noemen in de wettekst. Op basis van de voorgestelde wettekst is het mogelijk om bijzondere persoonsgegevens te delen28. Voor de Wbsrz als geheel geldt echter, gezien het voorgestelde artikel 1.2, dat op grond van het wetsvoorstel geen gegevens worden verstrekt indien op deze gegevens een geheimhoudingsplicht rust. Artikel 1.2 is daarmee ook van toepassing op hetgeen met dit onderdeel van het wetsvoorstel ingevoegd wordt in de Wbsrz. Bij amvb wordt bepaald welke (bijzondere) persoonsgegevens tussen de instanties worden uitgewisseld. Hierbij wordt aangesloten bij de systematiek die ook geldt voor het Waarschuwingsregister en het IKZ.

Tot slot zijn er enkele reacties ontvangen die betrekking hebben op de waarborgen die gelden met betrekking tot mogelijk datalekken. Dit onderdeel van het wetsvoorstel regelt een wettelijke grondslag voor het delen van gegevens, waaronder persoonsgegevens bij een fraudeonderzoek. Met het geheel van maatregelen en waarborgen waarmee de inbreuk op privacy en de mogelijke gevolgen daarvan voor betrokken steeds tot een minimum wordt beperkt, is voorzien in passende maatregelen. Het gaat dan onder andere om de in het algemeen geldende strikte voorwaarden voor de gegevensverwerking, procedurele voorschriften en vereisten. De verantwoordelijkheden in het geval van een inbreuk in verband met persoonsgegevens (een datalek), zoals het doen van een melding bij de AP en aan betrokkene(n), volgt uit de bepalingen uit de AVG.

In verscheidene wetten, waarvan wordt voorgesteld deze te wijzigen met de hier genoemde artikelen en onderdelen van artikelen, is de bevoegdheid van de IGJ29 opgenomen om patiënten- en cliëntendossiers in te zien. Op grond van artikel 5:17, eerste lid, van de Awb zijn toezichthouders ook bevoegd om inzage te vorderen. Deze bevoegdheid is echter beperkt tot het inzien van zakelijke gegevens en bescheiden en om die reden is in verscheidene wetten op het terrein van volksgezondheid het inzagerecht uitgebreid naar ook patiënten- en cliëntendossiers30. Hiermee is bedoeld om de IGJ ten aanzien van patiënten- en cliëntendossiers vergelijkbare bevoegdheden te verschaffen als opgenomen in de artikelen 5:16 en 5:17 Awb. In deze artikelen zijn het recht om inlichtingen te vorderen (artikel 5:16), het recht om inzage te vorderen (artikel 5:17, eerste lid) en het recht om kopieën te maken (artikel 5:17, tweede lid) opgenomen. In de huidige artikelen waarin het inzagerecht van de IGJ is neergelegd, is echter enkel ‘inzage’ opgenomen. De regering heeft eerder aangegeven31 dat dit de suggestie zou kunnen wekken dat de wettelijke grondslag enkel ziet op de bevoegdheid van de IGJ om dossiers in te zien, zoals is bepaald in artikel 5:17, eerste lid, van de Awb. Om die reden is aan de Eerste Kamer de toezegging gedaan32 om de wetten waarin de inzagebevoegdheid is opgenomen, aan te passen. Om elke onduidelijkheid weg te nemen wordt in de hier genoemde artikelen en onderdelen aangesloten bij de formulering van de artikelen 5:16 en 5:17 van de Awb. In de verscheidene wetten wordt bij ‘inzage van de dossiers’ toegevoegd de bevoegdheid om kopieën te maken en het vorderen van inlichtingen. De voorgestelde wijzigingen houden dus geen materiële wijziging in, maar zijn slechts een verduidelijking van het inzagerecht.

Om de leesbaarheid te vergroten zijn de huidige leden van artikelen die over voornoemde bevoegdheden van de IGJ gaan opgesplitst in twee leden. Dat het uitoefenen van deze bevoegdheden door de IGJ kan betekenen dat de beroepsbeoefenaar of de zorgverlener verplicht is zijn medisch beroepsgeheim te doorbreken en als dat het geval is dat vervolgens de ambtenaren van de IGJ een geheimhoudingsplicht hebben ten aanzien van deze gegevens, wordt in een apart lid opgenomen.

Net als bij de andere wetswijzigingen waarin het artikellid over het inzagerecht wordt aangepast, leiden de wijzigingen van artikel 13:1 Wvggz en van artikel 60 Wzd op dit punt ook tot twee artikelleden in plaats van een.

Het huidige vierde lid van de artikelen 13:1 Wvggz en artikel 60 Wzd bepaalt dat de zorgaanbieder, geneesheer-directeur, de zorgverantwoordelijke en alle andere betrokkenen verplicht zijn aan de toezichthouders alle door hen verlangde inlichtingen te verstrekken. Met het nieuwe derde lid van de artikelen 13:1 Wvggz en 60 Wzd wordt echter expliciet bepaald dat de toezichthouder bevoegd is om inlichtingen te vorderen. Dit komt op hetzelfde neer. Immers, ook hier vloeit een verplichting uit voort voor voornoemde partijen om de door de toezichthouder verlangde inlichtingen te verstrekken. Om die reden kunnen de huidige vierde leden van de artikelen 13:1 Wvggz en 60 Wzd komen te vervallen. Zoals uit het voorgaande blijkt, kan bij het uitoefenen van de bevoegdheden van de IGJ sprake zijn van het doorbreken van het medisch beroepsgeheim en vervolgens van een geheimhoudingsplicht voor de ambtenaren van de IGJ. Deze beide gevolgen worden opgenomen in het nieuwe vierde lid van de artikelen 13:1 Wvggz en 60 Wzd.

Met betrekking tot verplichte meldingen (artikel 11, eerste lid, Wkkgz) zijn de zorgaanbieder en zorgverleners verplicht aan de IGJ (bijzondere categorieën van) persoonsgegevens te verstrekken als deze noodzakelijk zijn voor het door de IGJ te verrichten onderzoek. In artikel 29, tweede lid, is bepaald dat in het geval de zorgaanbieder of zorgverlener geen gehoor geven aan deze verplichting, aan hen een last onder dwangsom kan worden opgelegd. Met artikel II, onderdeel B, wordt in dit wetsvoorstel voorgesteld dat een zorgaanbieder of zorgverlener ook in het geval er sprake is van een andere melding verplicht is aan de IGJ (bijzondere categorieën van) persoonsgegevens te verstrekken als dit noodzakelijk is om de andere melding te kunnen onderzoeken.

Voorgesteld wordt artikel 29, tweede lid, Wkkgz zo aan te passen dat ook aan de zorgaanbieder en de zorgverlener een last onder dwangsom kan worden opgelegd als zij geen gegevens verstrekken aan de IGJ in het kader van het onderzoeken van een andere melding. De last onder dwangsom kan zowel aan de zorgverlener als zorgaanbieder worden opgelegd, omdat beiden verplicht zijn om gegevens aan de IGJ te verstrekken in het kader van het onderzoeken van een andere melding. Hiervoor is gekozen omdat de dossierplicht en geheimhoudingsplicht in de eerste plaats op de zorgverlener rust, maar ook de zorgaanbieder hier, bijvoorbeeld ten aanzien van de verantwoordelijkheid voor faciliteiten voor het bewaren van de dossiers, een rol in kan hebben.

Deze wijziging van de begripsbepaling van dossier betreft het herstellen van een omissie die is ontstaan op het moment dat de regeling met betrekking tot het advies en meldpunt voor huiselijk geweld en kindermishandeling (AMHK) werd overgeheveld van de Jeugdwet naar de Wmo 2015 (Kamerstukken II, 2013/14, 33 841, nr. 35). Bij die gelegenheid is een begripsomschrijving van dossier in de Wmo 2015 terechtgekomen die was toegesneden op (alleen) het AMHK (thans Veilig Thuis), waarbij abusievelijk is nagelaten te bezien of dit begrip voldoende aansloot op de gebruikte termen in andere onderdelen Wmo 2015.

Het begrip dossier komt in de Wmo 2015 – behalve bij de taken van Veilig Thuis – ook terug binnen het toezicht op de maatschappelijke ondersteuning dat door de gemeente wordt uitgevoerd en bij de door het UWV uitgevoerde tolkvoorzieningen, bedoeld in artikel 3a.1.1 Wmo 2015. Met onderhavige wijziging wordt het begrip dossier hierop aangepast.

Met dit onderdeel wordt voorgesteld om de omschrijving van de taak van Veilig Thuis in artikel 4.1.1, tweede lid, onderdeel e, aldus aan te passen, dat die taak ook voorziet in het delen van informatie door Veilig Thuis met andere partijen dan alleen de politie en de raad voor de kinderbescherming. Veilig Thuis kan op grond van het voorgestelde onderdeel, in verbinding met artikel 5.1.6, tweede lid, Wmo 2015, ook persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard, verstrekken aan het openbaar ministerie, de reclassering en Slachtofferhulp Nederland, indien het belang van de betrokkene dan wel de ernst van de situatie waarop de melding betrekking heeft daartoe aanleiding geeft. Dit is cruciaal voor een goede aanpak van huiselijk geweld en kindermishandeling, waarin de veiligheid van de slachtoffers op het spel staat en deze informatiedeling een wezenlijke bijdrage kan leveren aan het maken van een goede inschatting van de (on)veiligheid en aan het herstel van de veiligheid van het slachtoffer.

Het spreekt voor zich dat Veilig Thuis alleen gegevens verstrekt indien deze verstrekking noodzakelijk is. Er zal dus altijd een zorgvuldige belangenafweging vooraf plaatsvinden waarbij Veilig Thuis beoordeelt of gegevensverstrekking in een concreet geval noodzakelijk is.

Artikel 5.1.6, tweede lid, Wmo 2015 bepaalt dat Veilig Thuis bevoegd is persoonsgegevens, waaronder gegevens over gezondheid, huiselijk geweld of kindermishandeling te verwerken, indien uit een melding redelijkerwijs een vermoeden van huiselijk geweld of kindermishandeling kan worden afgeleid en de verwerking noodzakelijk is te achten voor de uitoefening van de taken, bedoeld in artikel 4.1.1, tweede lid. Gegevens over de gezondheid betreffen een bijzondere categorie van persoonsgegevens. Bijzondere categorieën van persoonsgegevens zijn verder persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (zie artikel 9, eerste lid, AVG). Artikel 5.1.6, tweede lid, Wmo 2015 is in werking getreden onder de voorheen geldende Wet bescherming persoonsgegevens (hierna: Wbp). In de Wbp werden persoonsgegevens van strafrechtelijke aard niet, zoals thans in artikel 10 AVG, als aparte categorie persoonsgegevens aangemerkt, maar vielen zij onder de bijzondere persoonsgegevens, bedoeld in hoofdstuk 2, paragraaf 2, Wbp.

Uit de parlementaire geschiedenis over artikel 5.1.6 Wmo 2015 kan worden afgeleid, dat het de bedoeling van de wetgever is geweest dat dat artikel niet alleen een grondslag biedt voor de verwerking van de bijzondere categorie gegevens over gezondheid, maar ook bijvoorbeeld over het seksuele leven.34 Het blijkt in de praktijk ook noodzakelijk te zijn om bijvoorbeeld indien er naar aanleiding van een melding een redelijk vermoeden bestaat van kindermisbruik gegevens inzake de seksuele gerichtheid of het seksuele gedrag van de vermoedelijke pleger te verwerken. Ook kan het noodzakelijk zijn om gegevens over de seksuele gerichtheid van een jeugdige te verwerken indien deze seksuele gerichtheid aanleiding is (geweest) tot kindermishandeling. Dit laatste komt bijvoorbeeld voor in het geval de homoseksuele geaardheid van de jeugdige vanuit een religieuze opvatting niet gewenst is. In een dergelijk geval is het ook noodzakelijk voor Veilig Thuis om persoonsgegevens te verwerken waaruit die religieuze overtuiging blijkt. Daarnaast kan het noodzakelijk zijn om gegevens te verwerken waaruit ras of etnische afkomst blijken. Door verschil in culturele achtergronden kunnen er bijvoorbeeld spanningen ontstaan binnen een gezin Voor het onderzoek en het bepalen van de vervolgstappen is deze context, waarin ook politieke opvattingen een rol spelen, relevant. Met deze voorgestelde aanpassing wordt verduidelijkt dat Veilig Thuis niet alleen gegevens inzake gezondheid mag verwerken, maar ook een aantal andere bijzondere categorieën van persoonsgegevens, indien dit voor de uitvoering van haar taken naar aanleiding van een melding noodzakelijk is.

Het bestrijden van huiselijk geweld betreft een zwaarwegend algemeen belang. Om te kunnen beoordelen of er in een bepaalde situatie sprake is van huiselijk geweld, om snel en adequaat hulp te kunnen bieden en om huiselijk geweld te beëindigen is het noodzakelijk om persoonsgegevens, waaronder bijzondere persoonsgegevens, te verwerken. Het is daarbij niet wenselijk om bijvoorbeeld afhankelijk te zijn van het verlenen van ondubbelzinnige toestemming door de vermoedelijk pleger van het huiselijk geweld voor de verwerking. Het kan bijvoorbeeld noodzakelijk zijn om bij een vermoeden van kindermisbruik, gegevens inzake het seksuele leven van de vermoedelijke pleger te verwerken. Daarnaast kan het noodzakelijk zijn om gegevens over de gezondheid van een slachtoffer te verwerken om te kunnen beoordelen hoe ernstig het huiselijk geweld is en welke hulp eventueel het beste kan worden ingezet. Ook kan het noodzakelijk zijn om gegevens over de seksuele gerichtheid van een jong slachtoffer te verwerken, indien bijvoorbeeld de homoseksuele gerichtheid van dit slachtoffer aanleiding is (geweest) om hem te mishandelen. Het kan daarnaast ook noodzakelijk zijn om strafrechtelijke persoonsgegevens te verwerken om een inschatting te kunnen maken van de veiligheid van het slachtoffer. Zo kan informatie over een eerdere aangifte van huiselijk geweld tegen de vermoedelijk pleger relevant zijn en ook een eerdere veroordeling voor wapengebruik of -bezit. Ook kunnen eerdere veroordelingen voor rijden onder invloed een redelijk vermoeden van huiselijk geweld door overmatig alcoholgebruik ondersteunen. Tot slot kan het indien er een redelijk vermoeden bestaat dat iemand een huisgenoot fysiek mishandelt noodzakelijk zijn om te registreren dat tegen de vermoedelijke pleger van dat huiselijk geweld al eerder een verdenking van een geweldsdelict is gerezen of dat hij daarvoor al eerder is veroordeeld.

Voor het snel en adequaat kunnen bieden van hulp en het beëindigen van huiselijk geweld is de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens, onvermijdelijk. Er zijn geen minder ingrijpende manieren om het betrokken doel van snelle en adequate hulp aan slachtoffers van huiselijk geweld te realiseren.

Zoals al is aangegeven in hoofdstuk 2 van het algemeen deel van deze toelichting, is er alleen een grondslag voor het bilateraal opvragen van gegevens door en bij colleges of ziektekostenverzekeraars indien zo’n instantie een verrijkt signaal heeft ontvangen van het IKZ.

Zoals ook is beschreven in paragraaf 4.2 in de memorie van toelichting bij de Wbrsz, zal het IKZ het verrijkte signaal verstrekken aan de meest geëigende instantie(s). Wanneer er een grondslag is voor een college of ziektekostenverzekeraar om de gegevens op te vragen, is er zowel een plicht als bevoegdheid voor de bevraagde partij om die gegevens te verstrekken. Het gaat hierbij om gegevens die noodzakelijk zijn voor het bestrijden van fraude in de zorg. De tweede voorwaarde om bilateraal gegevens te kunnen opvragen is dat er een onderzoek is gestart naar aanleiding van een vermoeden van fraude in de zorg. Zie ook de toelichting in paragraaf 2.8, onder het kopje ‘fraudeonderzoek’ wanneer hiervan sprake is.