Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 december 2013

Hierbij bieden wij u de Privacy Impact Assessment (PIA) aan van de eenmalige gegevensoverdracht die nodig is om de continuïteit van zorg te borgen in de transitie naar de Jeugdwet (bijlage 11). Hieronder informeren wij u over de uitkomsten van de uitgevoerde PIA en de wijze waarop wij de aanbevelingen zullen verwerken.

Algemeen

Een PIA is een hulpmiddel om bij ontwikkeling van beleid en de daarmee samenhangende wetgeving of bouw van ICT-systemen en aanleg van databestanden, privacyrisico’s op gestructureerde en heldere wijze in beeld te brengen.2 Criteria voor beoordeling zijn doelbinding (draagt het uitwisselen van deze gegevens bij aan het behalen van het doel), proportionaliteit (staat het doel van de gegevensuitwisseling wel in verhouding tot het veiligheidsrisico) en subsidiariteit (kan het doel ook via andere wegen dan deze gegevensuitwisseling worden behaald).

De bijgevoegde PIA is uitgevoerd in verband met de inwerkingtreding (onder voorbehoud van parlementaire instemming) van de Jeugdwet op 1 januari 2015. Om de continuïteit van zorg te borgen is overdracht van persoonsgegevens nodig naar gemeenten over cliënten die zorg ontvangen op grond van de Algemene Wet Bijzondere Ziektekosten (AWBZ), de Zorgverzekeringswet (Zvw) en de Wet op de jeugdzorg (Wjz). Met bijgevoegde PIA wordt mede invulling gegeven aan de motie Bergkamp om in het kader van de nieuwe Jeugdwet heldere afspraken te maken over de uitwisseling van gegevens en op die afspraken een privacy impact analyse uit te voeren.3

Uitkomsten PIA eenmalige gegevensoverdracht

De bijgevoegde PIA richt zich op de eenmalige overdracht van persoonsgegevens van cliënten die zorg ontvangen op grond van de AWBZ, de Zvw en de Wjz. De PIA toetst welke persoonsgegevens over welke groepen jeugdigen overgedragen mogen worden naar gemeenten en hoe deze gegevensoverdracht mag geschieden.

In de PIA wordt geconcludeerd dat – op voorwaarde van het overnemen van de aanbevelingen- er door de voorgenomen aanpak geen onaanvaardbare risico’s voor de schending van de privacy ontstaan: «Gelet op de reeds aanwezige wetgeving (artikel 10.4) zijn er geen bevindingen die wijzen op ernstige (en niet onderkende) risico’s voor de privacy of in verband met de regels voor het verwerken van persoonsgegevens ten aanzien van de wettelijke regeling over de eenmalige gegevensoverdracht in artikel 10.4 van de Jeugdwet. Die bevindingen zijn er, gelet op de taken en werkwijze van het deelproject eenmalige gegevensoverdracht, ook niet ten aanzien van de onder verantwoordelijkheid van het project eenmalige gegevensoverdracht in te richten tijdelijke centrale voorziening om de verstrekking van gegevens aan gemeenten te faciliteren.» 4

Verwerking aanbevelingen PIA

In de PIA zijn 15 aanbevelingen5 opgenomen die betrekking hebben op:

• – de over te dragen gegevens (de gegevensset);

  Uitgangspunt bij de eenmalige gegevensoverdracht is overdracht van een beperkte set van persoonsgegevens:naam, adres, woonplaats, BSN, woonplaats gezagsdrager, naam contactpersoon en adres zorgaanbieder aangevuld met informatie over soort zorg: Awbz zorg (functie en klasse), Zvw zorg (1^e of 2^e lijns, ambulant of verblijf) en/of Wjz (ambulant of verblijf, vrijwillig of gedwongen kader). Deze set levert géén informatie over de inhoud van het dossier en ook niet over de kosten per individuele cliënt. Wij nemen de aanbeveling uit de PIA over om het gegeven van de contactpersoon te schrappen.

• – de verschillende groepen van jeugdigen waarvan overdracht van gegevens nodig is;

  In de PIA is de overdracht van een aantal specifieke groepen cliënten bekeken zoals wachtlijstcliënten, PGB, kinderbescherming, jeugdreclassering en jeugd-GGZ. In de PIA wordt de vraag gesteld of het echt nodig is om ten aanzien van alle groepen jeugdigen daadwerkelijk persoonsgegevens over te dragen. Naar aanleiding van de PIA zullen we nog eens goed bezien of gegevensoverdracht voor alle te onderscheiden cliëntgroepen strikt noodzakelijk is. Het hangt af van de wijze van financiering en inkoop en de vraag of vervolgzorg nodig is of gegevens over alle cliëntgroepen daadwerkelijk moeten worden overgedragen. Als een indicator voor vervolghulp kan worden ontwikkeld, hoeven over cliënten die uitstromen in 2015 ook geen persoonsgegevens worden overgedragen. Wij verwachten hierover, samen met de VNG en het IPO, in het voorjaar van 2014 helderheid te kunnen geven.

• – het treffen van een (aangepaste en nieuwe) regeling voor de eenmalige gegevensoverdracht;

• – ontwikkeling en beheer van een faciliterende tijdelijke centrale voorziening; informatiebeveiliging, verantwoording en beheersbaarheid van deze tijdelijke centrale voorziening;

• – kwaliteit van de gegevens;

• – de positie van de betrokken jeugdigen en ouders;

• – toezicht en controle.

Wij kunnen uw Kamer melden dat we alle aanbevelingen uit de bijgevoegde PIA over de eenmalige gegevensoverdracht zullen overnemen.

Er zullen alleen gegevens van cliënten worden overgedragen als gemeenten er aantoonbaar veilig mee omgaan. De VNG zal – mede aangespoord door de rapportage van de SZW-Inspectie over het omgaan met gegevens van burgers wanneer zij gebruik maken van het SUWI-net – de nodige maatregelen nemen om de beveiliging van persoonsgegevens organisatorisch en bestuurlijk transparant te borgen.

Verantwoordelijkheidsverdeling eenmalige gegevensoverdracht

De provincies zijn medeverantwoordelijk voor de gegevensoverdracht die noodzakelijk is voor het waarborgen van de continuïteit van zorg bij de transitie op 1 januari 2015, zoals opgenomen in het overgangsrecht van de Jeugdwet. Vanwege het overgangsrecht behouden cliënten die op 31 december 2014 aanspraak hebben op jeugdzorg, deze aanspraak tot uiterlijk 31 december 2015. Deze jeugdhulp blijft vanaf 1 januari 2015 geboden worden door dezelfde zorgaanbieder die deze jeugdhulp al bood. Met dit overgangsrecht is de continuïteit van zorg op 1 januari 2015 verzekerd. Voor gegevensoverdracht ten behoeve van het waarborgen van zorg na afloop van de aldus verzekerde continuïteit van zorg in de loop van 2015 zijn de provincies niet verantwoordelijk omdat dergelijke zorg dan door gemeenten in het kader van het nieuwe stelsel moet worden ingezet. Als hiervoor overdracht van persoonsgegevens nodig is, dan is dat de verantwoordelijkheid van de gemeenten en het Rijk.

Vervolgaanpak

Met het overnemen van alle aanbevelingen uit de PIA zal het plan voor de eenmalige gegevensoverdracht als volgt worden aangepast:

• • het gegeven van de contactpersoon wordt uit de beperkte gegevensset gehaald;

• • in de eerste helft van 2014 vindt door Rijk, VNG en IPO besluitvorming plaats over de cliëntgroepen waarvoor overdracht van gegevens noodzakelijk is in het kader van de continuïteit van zorg op 1 januari 2015 (overgangsrecht);

• • in de eerste helft van 2014 vindt door Rijk en VNG besluitvorming plaats over de cliëntgroepen waarvoor overdracht van gegevens zal plaatsvinden in het kader van zorg die in 2015 moet worden geboden aansluitend op de met het overgangsrecht gegarandeerde zorg;

• • in 2014 zal een aanvullende PIA worden uitgevoerd voor de tijdelijke voorziening om de eenmalige gegevensoverdracht van gegevens naar gemeenten te faciliteren en voor nadere regelgeving (amvb).

Privacy is een belangrijk onderwerp. Met deze PIA en het overnemen van de daarin opgenomen aanbevelingen wordt de privacy van burgers bij eenmalige gegevensoverdracht geborgd.

De Staatssecretaris van Volksgezondheid, Welzijn en Sport, M.J. van Rijn

De Staatssecretaris van Veiligheid en Justitie, F. Teeven