Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 22 juni 2015

Met deze brief kom ik tegemoet aan het verzoek uit de Regeling van werkzaamheden van 9 juni jl. om de Kamer te informeren over berichten in de media dat budgethouders op de portal «mijnpgb» de gegevens van anderen kunnen inzien (Handelingen II 2014/15, nr. 93).1

Volgens de SVB hebben zij enkele meldingen ontvangen, waarbij een budgethouder de gegevens van een zorgverlener kan inzien, die hij of zij niet heeft ingehuurd. Dit is ongewenst. Een en ander is mogelijk als een zorgovereenkomst aan de verkeerde budgethouder is gekoppeld en komt aan het licht als de budgethouder dit bij de SVB meldt. Het is helaas niet mogelijk om zorgovereenkomsten die onjuist zijn gekoppeld automatisch te herkennen. De reden hiervoor is dat het koppelen van de zorgovereenkomst aan de budgethouder handmatig plaatsvindt. Na de berichtgeving in de media heeft de SVB geen nieuwe meldingen ontvangen.

De SVB ontvangt op verschillende manieren (per post, per email of digitaal) zorgovereenkomsten van budgethouders. De kerngegevens uit deze zorgovereenkomsten (NAW-gegevens, BSN-nummer en IBAN-nummer van de zorgverlener, het arbeidspatroon, de looptijd van de zorgovereenkomst, de zorgwet en het uurtarief) worden handmatig ingevoerd en in het systeem gekoppeld aan de budgethouder die in deze zorgovereenkomst wordt genoemd. Deze kerngegevens zijn voor de budgethouder via de portal »mijnpgb»» zichtbaar. De genoemde fouten ontstaan daar waar bij de handmatige invoer de kerngegevens uit de zorgovereenkomst aan de verkeerde budgethouder zijn gekoppeld. Aan de hand van deze kerngegevens is er geen link te leggen met de budgethouder aan wie de zorg wordt verleend.

De SVB geeft aan dat mochten er nog signalen van verkeerde koppelingen binnenkomen deze onmiddellijk worden opgepakt, waarbij de kerngegevens worden verwijderd. Eventuele foutieve boekingen op het pgb worden gecorrigeerd. Deze correctieboekingen zijn voor de budgethouder zichtbaar op «mijnpgb». Zo kunnen zij zien dat de fout is hersteld. Deze correctieboekingen bevatten geen privacygevoelige informatie. Naast de budgethouder informeert de SVB ook betrokken zorgverlener over de wijzigingen.

Hoewel bij een grootschalige invoer van gegevens menselijke fouten nooit zijn uit te sluiten, vind ik de gevolgen van deze incidenten uiterst onwenselijk. Op grond van de vorig jaar uitgevoerde privacy impact assessment (PIA) is zorgvuldig vastgesteld over welke gegevens de SVB gelet op haar taak mag beschikken.2 Deze gegevens dienen altijd adequaat te zijn beschermd. Ik heb de SVB dringend verzocht om hier alert op te blijven. De SVB neemt dit uiterst serieus. Om deze foutieve invoer van zorgovereenkomsten te voorkomen, zal de SVB haar interne controle-activiteiten uitbreiden en vindt er een terugkoppeling plaats van de bevindingen van de controleurs aan de medewerker en de leidinggevende. Ik bezie of deze maatregelen afdoende zijn.

De Staatssecretaris van Volksgezondheid, Welzijn en Sport, M.J. van Rijn