Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 7 november 2014

Zoals toegezegd in de brief aan uw kamer (Kamerstuk 33 750 VII, nr. 43), bied ik u hierbij een Privacy Impact Assessment aan over de gemeentelijke praktijk bij de drie decentralisaties1. De decentralisaties en de beoogde integrale werkwijze brengen met zich mee dat gemeenten, meer dan voorheen, persoonsgegevens van burgers zullen verwerken. In dat kader is de kabinetsvisie «Zorgvuldig en bewust; gegevensverwerking en privacy in een gedecentraliseerd sociaal domein» naar de Kamer gestuurd (Kamerstuk 32 761, nr. 62). De visie is bedoeld om helderheid te bieden omtrent het kader waarbinnen gewerkt kan worden. Dat kader bestaat uit de bestaande wetgeving rond privacy met de Wet bescherming persoonsgegevens voorop en daarnaast de nieuwe wetgeving in het sociaal domein. Het kader biedt aan gemeenten de ruimte om conform de wens van het kabinet de taken in samenhang op te pakken. Indien uit de zich verder ontwikkelende praktijk blijkt dat aanvullende wetgeving deze praktijk beter kan ondersteunen, zullen we na afstemming met het CBP bekijken hoe dit het beste vorm kan krijgen.

Bij de visie is een aantal vervolgacties aangekondigd om gemeenten te ondersteunen bij het waarborgen van privacy in de vormgeving van de nieuwe organisatie en werkprocessen. De rapportage met de Privacy Impact Assessment vormt een onderdeel van het pakket aan ondersteuning dat we gemeenten bieden. Het is een instrument dat kan helpen om de gemeentelijke praktijk in te richten. Met deze PIA wordt invulling gegeven aan de motie Bergkamp/ Otwin van Dijk om bij de pilots voor de ontwikkeling van wijkteams aandacht te besteden aan privacyaspecten.

Bij het onderzoek voor het assessment is uitgegaan van de archetypische modellen zoals die door VNG/KING beschreven zijn. Om een goede inhoudelijke invulling te kunnen geven aan het assessment is gezocht naar gemeenten die voornemens zijn in 2015 volgens de verschillende modellen te gaan werken. Met hen is gekeken naar de beoogde organisatie en werkwijze en is diep ingegaan op de verschillende werkprocessen en het verwerken van persoonsgegevens daarbij. Dankzij de coöperatieve en open houding van deze gemeenten is een goed beeld verkregen van de verschillende keuzen die gemeenten kunnen maken. Daarbij is een aantal thema’s naar boven gekomen dat niet alleen de toeleiding naar zorg en ondersteuning behelst zoals in de archetype beschreven, maar ook de verdere organisatie en werkprocessen waarbij verwerking van persoonsgegevens plaats vindt. Deze thema’s zijn voor alle gemeenten relevant, ongeacht hun archetype.

Het rapport vormt de schriftelijke weerslag van de bevindingen op basis van de sessies met gemeenten. In het rapport worden verschillende opties beschreven die gemeenten hebben bij het inrichten van hun organisatie, de privacy risico’s die daaraan verbonden zijn en de bijbehorende maatregelen om deze risico’s te vermijden. Het rapport biedt daarmee handvatten om de gemeentelijke organisatie van de gedecentraliseerde taken te toetsen op privacy risico’s en waar nodig maatregelen te treffen.

De risico’s zoals die in het rapport naar voren komen zijn goed te vermijden met de beschreven maatregelen. Het zijn geen maatregelen die gemeenten voor grote problemen stellen, ze kunnen over het algemeen betrekkelijk eenvoudig worden doorgevoerd. Bijvoorbeeld door de autorisatie in een systeem aan te passen. Er zijn geen privacyrisico’s aangetroffen die niet meer te repareren zijn.

Het onderwerp privacy zal nu en in de toekomst nog veel aandacht vragen van gemeenten. Mede daarom heb ik onlangs een brief aan de gemeentebesturen gestuurd om hen daarop te wijzen en hen ook te wijzen op de hulpmiddelen die inmiddels ontwikkeld en beschikbaar gesteld zijn in het kader van het ondersteuningsprogramma met de VNG. Deze PIA vormt een onderdeel van die hulpmiddelen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, R.H.A. Plasterk