De leden van de VVD-fractie hebben met belangstelling en waardering kennisgenomen van de Privacy Impact Assessment (PIA) van de eenmalige gegevensoverdracht die nodig is om de continuïteit van zorg te borgen in de transitie naar de Jeugdwet. Een PIA is een hulpmiddel om bij de ontwikkeling van gewijzigd of nieuw beleid op gestructureerde en heldere wijze privacy-risico’s bij nieuwe wetgeving en/of bouw van ICT-systemen en de aanleg van databestanden in kaart te brengen. Deze PIA is uitgevoerd in verband met de inwerkingtreding (onder voorbehoud van instemming van de Eerste Kamer) van de Jeugdwet op 1 januari 2015. Deze PIA toetst welke persoonsgegevens over welke groepen jeugdigen overgedragen mogen worden naar de gemeenten en hoe deze gegevensoverdracht mag plaatsvinden. Genoemde leden hebben nog enkele vragen over de uitgevoerde PIA en de reactie van de Staatssecretarissen.

De conclusie van de uitgevoerde PIA luidt dat, mits de aanbevelingen worden overgenomen, er door de voorgenomen aanpak geen onaanvaardbare risico’s voor de schending van de privacy ontstaan. Voor de leden van de VVD-fractie is dit een heel belangrijke conclusie, evenals de toezegging van de Staatssecretarissen van VWS en V&J dat zij alle aanbevelingen (15 stuks) uit de bijgevoegde PIA overnemen. Ook zeggen zij toe dat alleen gegevens van cliënten overgedragen worden aan gemeenten als gemeenten er aantoonbaar veilig mee omgaan. Kan er toegelicht worden welke criteria de Staatssecretarissen hanteren om te bepalen of gemeenten aantoonbaar veilig omgaan met de overgedragen gegevens van cliënten? Wat gebeurt er als het oordeel op basis van deze criteria is dat een gemeente niet aantoonbaar veilig met de overgedragen gegevens lijkt om te gaan?

Daarnaast wordt in de brief aangegeven dat de Vereniging van Nederlandse Gemeenten (VNG) de nodige maatregelen neemt om de beveiliging van persoonsgegevens organisatorisch en bestuurlijk transparant te borgen. Kan er uiteengezet worden welke maatregelen dit zijn, welke hun toegevoegde waarde is met betrekking tot de beveiliging van deze overgedragen gegevens is, en hoe de VNG ervoor zorgdraagt dat de gemeenten deze maatregelen ook daadwerkelijk implementeren? Kan de Staatssecretaris aangeven hoe de gemeenten om moeten gaan met incidenten met persoonsgegevens? Wordt vanuit de VNG een incident response plan ontwikkeld en op welke wijze en waar moeten incidenten gemeld worden?

Genoemde leden hebben ook nog enkele vragen over de gedane 15 aanbevelingen. Is er inmiddels bekend (gegeven de aanbevelingen 1, 3 en 4) of het echt nodig is om ten aanzien van alle groepen jeugdigen daadwerkelijk persoonsgegevens over te dragen? Zo ja, waarom blijkt dit nodig? Indien dit voor bepaalde groepen niet nodig is, waarom niet? Zo nee, wanneer wordt dit wel bekend en wordt de Tweede Kamer hier dan nader over geïnformeerd?

In de zevende aanbeveling wordt geadviseerd specifieke bepalingen op te nemen in een ministeriële regeling met betrekking tot de uitwerking van artikel 10.4 uit de Jeugdwet. Kunnen de Staatssecretarissen aangeven wanneer deze uitwerking in de ministeriële regeling gereed is en of de Kamer hierover wordt geïnformeerd?

In de dertiende aanbeveling wordt geadviseerd om in 2014 een aanvullende PIA of Wbp-compliance uit te voeren op de nadere regelgeving en voor de thans nog te ontwikkelen tijdelijke voorziening eenmalige gegevensoverdracht. Kunnen de Staatssecretarissen aangeven wat er precies onderzocht wordt met behulp van deze aanvullende PIA die in 2014 wordt uitgevoerd met betrekking tot privacy- en beveiligingsrisico’s? Wanneer kan de Kamer de resultaten van deze nieuwe of aanvullende PIA verwachten?

Ook worden in de PIA een negental suggesties voor gemeenten gedaan hoe om te gaan met de gegevens die gemeenten voor de eenmalige overdracht zullen ontvangen. Ook hierover hebben deze leden nog enkele vragen. Nemen de Staatssecretarissen ook al deze negen suggesties over? Zo ja, op welke wijze brengen de Staatssecretarissen deze suggesties onder de aandacht van de gemeenten en de VNG? Zo nee, waarom niet? Kunnen de Staatssecretarissen tevens aangeven hoe deze suggesties geïmplementeerd zullen worden en op welke wijze het Rijk daarbij faciliteert?

De Branches Gespecialiseerde Zorg voor Jeugd hebben een model ontwikkeld voor de gegevensuitwisseling tussen professionals in de gespecialiseerde jeugdhulp. Kunnen de Staatssecretarissen in overleg met de VNG en het IPO er voor zorgen dat dergelijke veldafspraken voor de gehele jeugdhulp worden gemaakt en geïmplementeerd?

Tot slot constateren de leden van de VVD-fractie dat GGZ en Jeugdzorg Nederland geen opmerkingen hadden over de aan hen voorgelegde PIA, versie 1.0 (PIA, blz. iii). Kunnen de Staatssecretarissen aangeven hoe dit geduid moet worden? Betekent dit dat deze organisaties zeer te spreken waren over het plan van aanpak eenmalige gegevensoverdracht waarover de PIA werd uitgevoerd? Zo ja, hoe verhoudt dit zich tot de wijze waarop deze organisaties zich publiekelijk uit laten over deze risico’s? Zo nee, welke betekenis kan hier wel aan gegeven worden?

De leden van de SP-fractie hebben met zorgen kennis genomen van de brief met betrekking tot de Privacy Impact Assessment (PIA). De leden begrijpen dat een eenmalige gegevensuitwisseling nodig is voor de decentralisatie van jeugdzorg naar de gemeenten. Zij vragen waarom het PIA systeem wordt gehanteerd en zijn benieuwd waarom voor de overdracht van persoonsgegevens niet gebruikt gemaakt via een dergelijk- of bestaand model zoals het «Model samenwerkingsafspraken informatie uitwisseling door het AMK, Bureaus Jeugdzorg, Raad voor (g)gz», dat is ondertekend door KNMG, NVvP, Jeugdzorg Nederland, Raad voor de kinderbescherming, VVAK, en GGZ Nederland?

Voorts zijn deze leden benieuwd wanneer de Staatssecretaris denkt het PIA in werking te stellen, wanneer worden gemeenten geïnformeerd en wanneer ontvangen zij de gegevens? Kan de Staatssecretaris een precieze tijdsperiode sturen, wanneer welke stappen in werking gesteld worden? Ook is het voor genoemde leden onduidelijk wat de kosten van het PIA systeem zijn en wie daarvoor de rekening betaald. Tevens maken zij zich grote zorgen over de bureaucratie die dit systeem met zich meebrengt. In hoeverre is hier sprake van en welke belasting heeft dit systeem op het Rijk, gemeenten, provincies, zorgaanbieders, jeugdigen en gezinnen? Zij vragen om een uitgebreide toelichting op dit punt.

De Staatssecretaris geeft in de brief aan dat er geen ernstige risico’s voor de privacy te vinden zijn voor het inzetten van de PIA. Echter genoemde leden willen weten welke mogelijke, maar minder ernstige risico’s dan wel voor kunnen komen. Wat zijn risico’s voor jeugdigen en gezinnen en zorgverleners die werkzaam zijn in de jeugdzorg? Hoe wordt nu precies de privacy van jeugdigen en gezinnen gewaarborgd? Kan de Staatssecretaris aangeven welke lessen getrokken kunnen worden met de problemen omtrent het elektronisch patiëntendossier ten opzichte van de PIA? Deze leden verwachten hierover een uitgebreid antwoord.

De Staatssecretaris geeft aan nog te bezien of gegevensoverdracht voor alle te onderscheiden cliënt- groepen strikt noodzakelijk is. De leden van de SP-fractie zien graag een uitgebreide toelichting tegemoet hoe de Staatssecretaris hierover nadenkt en welke plannen hij hiermee beoogt.

Genoemde leden wijzen op de enorme brij aan systemen die er nu zijn. Zij willen weten hoe de Staatssecretaris er voor gaat zorgen dat er geen dubbelingen zijn in tellingen en gegevens. Ook willen zij weten of de Staatssecretaris nu alle gegevens heeft die straks nodig zijn voor de overdracht. Zij vragen naar een toelichting hierop. Voorts willen deze leden weten in hoeverre gemeenten moeten aantonen veilig om te kunnen gaan met de gegevensoverdracht. Hoe is de controle hierop precies ingericht en welke sancties worden uitgedeeld als blijkt dat gemeenten hier niet veilig mee kunnen omgaan? Zijn de medewerkers binnen gemeenten wel toegerust om met deze gegevens om te gaan? Wat zijn de gevolgen voor jeugdigen en gezinnen als gemeenten onjuist omgaan met privacy gegevens, en vooral hoe wordt dit voorkomen via de PIA?

De leden van de SP-fractie maken zich zorgen of gemeenten wel klaar zijn om deze gegevensoverdracht op een goede wijze te waarborgen, zeker gezien gemeenten vele voorbereidingen moeten treffen voor de overheveling van jeugdzorgtaken en mogelijke andere zorgtaken. Hoe kijkt de Staatssecretaris hiertegen aan? Deze leden zijn benieuwd hoe gemeenten omgaan met de gegevensoverdracht bij tussentijdse verhuizingen, gezagsveranderingen of wijzigingen in het kader van de jeugdzorg. Is daar een plan voor? Kan dat worden toegelicht?

De leden van de SP-fractie willen weten hoe de democratische controlefunctie geregeld is voor deze gegevensoverdracht, hoe wordt dit binnen gemeenten geregeld? Voorts willen zij weten in hoeverre de Staatssecretaris zijn verantwoordelijkheid oppakt om te bezien of gemeenten de noodzakelijke informatie krijgen en of dit goed wordt geregeld. Hoe is de Staatssecretaris voornemens zijn verantwoordelijkheid op te pakken?.

Tot slot willen de leden van de SP-fractie weten op welke wijze jeugdigen en gezinnen worden geïnformeerd over deze gegevensoverdracht? Hoe is deze informatievoorziening precies geregeld? Tevens zijn deze leden ook benieuwd of jeugdigen en gezinnen in beroep kunnen gaan tegen de gegevensuitwisseling naar gemeenten. Is dat mogelijk en dat nader worden toegelicht?

De leden van de PVV-fractie hebben met belangstelling kennisgenomen van de brief Privacy Impact Assessment (PIA). Deze leden beseffen dat in het belang om de continuïteit van zorg te borgen, er is gekozen voor een eenmalige gegevensoverdracht, maar hebben hierover nog wel een aantal kritische vragen.

De leden van de PVV-fractie vinden het van belang dat de continuïteit van zorg te waarborgen. Het uitgangspunt bij de eenmalige gegevensoverdracht is dat er géén informatie over de inhoud van het dossier en ook niet over de kosten per individuele cliënt wordt geleverd. Kan de Staatssecretaris aangeven of deze privacy inderdaad goed is gewaarborgd?

Afhankelijk van de wijze van financiering en inkoop en de vraag of vervolgzorg nodig is hoeven voor cliënten die uitstromen in 2015 geen persoonsgegevens te worden overgedragen. Er zal een selectie plaats moeten gaan vinden voor de cliënten die niet onder de genoemde regels vallen. Kan de Staatssecretaris aangeven wat de tijd en kosten zullen worden om deze selectie te maken?

De leden van de PVV-fractie zijn van mening dat het slechts regelen dat de gemeenten «de dossiers niet mogen inzien» gigantisch tekort schiet. Gemeenten gaan de «bonnetjes» betalen en de gemeenteambtenaren weten dus wat de gemeenten betalen waardoor de privacy totaal te grabbel ligt. Wat gebeurt er dan langs de lijn van het voetbalveld of onder invloed van alcohol in het café of op het volksfeest? De Staatssecretaris kan deze situaties niet voorkomen, of denkt de Staatssecretaris van wel? Zo ja, op welke wijze?

De Staatssecretaris geeft aan dat er alleen gegevens van cliënten worden overgedragen als gemeenten er aantoonbaar veilig mee omgaan. Kan de Staatssecretaris aangeven hoe dat gecontroleerd gaat worden en door wie? Kan de Staatssecretaris ook aangeven wat er gebeurt als er sprake is dat de gemeenten er niet aantoonbaar veilig mee om (kunnen) gaan?

De leden van de D66-fractie hebben kennisgenomen van de brief van de Staatssecretarissen van VWS en V&J en de daarbij gevoegde privacy impact assessment (PIA). Hiermee hebben de Staatssecretarissen uitvoering hebben gegeven aan de motie-Bergkamp (31 839, nr. 279) en genoemde leden willen hen daarvoor dankzeggen. Desalniettemin leven er bij deze leden nog een aantal belangrijke vragen, die zij aan de beide bewindspersonen willen voorleggen. Privacy is een belangrijk onderwerp in het bijzonder wanneer het gaat om gevoelige gegevens over kwetsbare jongeren. Te allen tijde dient voorkomen te worden dat als gevolg van de grootschalige gegevensoverdracht informatie op straat komt te liggen waarvan jeugdigen nu of in hun latere leven op enigerlei wijze hinder kunnen en zullen vinden.

De leden van de D66-fractie lezen dat de uitgevoerde PIA ten aanzien van de eenmalige gegevensoverdracht 22 bevindingen en 15 aanbevelingen doet. Aanbeveling 1 roept de Staatssecretarissen op aandacht te besteden aan maatvoering en noodzakelijkheid bij de daadwerkelijke uitvoering van de overdracht van gegevens. Voor een aantal groepen, zoals de jeugd-GGZ en jeugdreclassering, is onder voorwaarden voorstelbaar dat deze toch geen onderdeel uit behoeven te maken van de eenmalige gegevensoverdracht. Daarvoor is een nadere standpuntbepaling nodig, zo wordt in de PIA gesteld. De Staatssecretarissen geven in hun reactie nog eens aan te zullen bezien of gegevensoverdracht daadwerkelijk voor alle cliëntgroepen noodzakelijk is. Heeft die heroverweging inmiddels plaatsgevonden? Zo nee, wanneer zal deze gereed zijn? Zo ja, wat zijn daarvan de uitkomsten?

De leden van de D66-fractie lezen in de PIA dat in aanbeveling 7 wordt opgeroepen om in de ministeriële regeling ter uitwerking van artikel 10.4, zevende lid, van de Jeugdwet ten aanzien van de centrale voorziening bepalingen op te nemen dat de in de tijdelijke voorziening opgenomen gegevens vernietigd worden, zodra de tijdelijke voorziening zijn rol begin 2015 heeft vervuld. Uit de brief van de Staatssecretarissen maken deze leden op dat hieraan gevolg zal worden gegeven. Het is echter een ding om dit in de ministeriële regeling op te nemen, de vraag is of hieraan te zijner tijd ook daadwerkelijk uitvoering kan en zal worden gegeven. De ervaring leert immers dat gegevensbestanden soms nog lange tijd beschikbaar blijven, mogelijk op onvoorziene plaatsen. Welke waarborgen zijn er om er voor zorg te dragen dat de gegevens ook daadwerkelijk zullen worden vernietigd? Zal hiervoor ook een vergelijkbare notificatieplicht gelden als opgenomen in aanbeveling 15?

De leden van de D66-fractie constateren dat de uitgevoerde PIA enkel betrekking heeft op de eenmalige gegevensoverdracht op grond van artikel 10.4, eerste lid van de Jeugdwet, maar niet op de wijze waarop gemeenten zullen omgaan met de verwerking van de te ontvangen gevoelige persoonsgegevens. De PIA doet ten aanzien hiervan 9 suggesties. Graag vernemen deze leden wat de Staatssecretarissen van deze suggesties vinden en of zij voornemens zijn deze over te nemen. Zo nee, waarom niet? Zo ja, hoe? Voorts vragen zij of over de structurele situatie, waarin gemeenten gaan beschikken over omvangrijke bestanden met gevoelige gegevens, nog een aanvullende PIA wordt gemaakt. Zo ja, wanneer zal die gereed zijn en wanneer wordt de Kamer over de uitkomsten daarvan geïnformeerd? Zo nee, waarom niet? Dezelfde vragen leven bij deze leden ten aanzien van de voorgenomen «ontschotte» gegevensverwerking in het kader van de Jeugdwet, de nieuwe Wmo en de Participatiewet. De leden van de D66-fractie wijzen in dit verband tevens op de rapportage van de Inspectie SZW over het omgaan met privacygevoelige gegevens door gemeenten in het kader van SUWI-net. Welke lessen trekken de beide Staatssecretarissen uit de rapportage van de SZW-inspectie voor het domein van de jeugdzorg? Bestaat er bij gemeenteambtenaren en bijvoorbeeld medewerkers van sociale wijkteams voldoende kennis over (de wet- en regelgeving rondom) privacyaspecten om met gevoelige persoonsgegevens om te gaan en deze op waarde te kunnen schatten? Er zullen, zo stellen de Staatssecretarissen in hun brief, alleen gegevens worden overgedragen als gemeenten er aantoonbaar veilig mee omgaan. Wat moet in dit licht onder «aantoonbaar» worden verstaan? Door welke instantie zal dit, voor meer dan 400 afzonderlijke gemeenten, worden gecontroleerd?

De leden van de GroenLinks-fractie hebben met aandacht kennisgenomen van de Privacy Impact Assessment die de Staatssecretaris van VWS heeft laten uitvoeren op de eenmalige gegevensoverdracht in het kader van de Jeugdwet. De PIA heeft bij deze leden echter enkele vragen losgemaakt.

Genoemde leden zijn blij dat de Staatssecretaris van VWS deze PIA heeft laten uitvoeren en alle aanbevelingen overneemt. Wel vragen zij waarom de Staatssecretaris enkel een PIA heeft laten doen op de eenmalige gegevensoverdracht in het kader van de jeugdzorgdecentralisatie, en geen onderzoek laat doen naar de privacy impact van de structurele gegevensoverdracht na decentralisatie. Mede gelet op het feit dat in de PIA ook wordt aangestipt dat het hier gaat om bijzondere gegevens, waarvan onverhoopt verlies tot ernstige aantasting van de privacy kan leiden. Is de Staatssecretaris bereid dit alsnog te laten onderzoeken en daarbij ook de samenhang met de gegevensuitwisseling in het kader van de Wmo 2015 en de participatiewet te betrekken? Zo nee, waarom niet?

In zijn algemeenheid wordt in de samenvatting van de PIA geconcludeerd dat de gemeenten zelfstandig verantwoordelijk zijn voor een goede naleving van privacywetgeving, zoals de Wet bescherming persoonsgegevens. De leden van de GroenLinks-fractie vragen of de Staatssecretaris uit hoofde van zijn systeemverantwoordelijkheid niet de verplichting heeft om na decentralisatie van de jeugdzorg de naleving van de Wet bescherming persoonsgegevens in gemeenten te toetsen, en zo ja, hoe hij dit toezicht gaat vormgeven.

De leden van de GroenLinks-fractie horen graag van de Staatssecretaris hoe hij een aantal specifieke aanbevelingen uit de PIA zal gaan uitvoeren. Zo wensen deze leden te vernemen wanneer zij de ministeriële regeling kunnen verwachten ter uitwerking van artikel 10.4 van de Jeugdwet (aanbeveling 7), hoe de Staatssecretaris voornemens is af te dwingen dat gemeenten bij contact met jeugdzorgcliënten over vervolghulp, de gegevens van die cliënt die zij in het kader van de eenmalige gegevensoverdracht heeft ontvangen meezenden (aanbeveling 14) en hoe hij uitvoer zal geven aan de aanbeveling om een notificatiebericht in te voeren bij vernietiging van gegevens overeenkomstig artikel 10.4, lid 6 van de Jeugdwet (aanbeveling 15).

Voorts hebben de leden van de GroenLinks-fractie nog een vraag over de wettelijke grondslag van de eenmalige gegevensoverdracht, die behandeld wordt in paragraaf 3.3 van de PIA. In de Jeugdwet is bepaald dat onder andere artikel 10.2 en 10.4 direct na publicatie van de wet in het staatsblad in werking treden, zodat voor de eenmalige gegevensoverdracht een legitieme wettelijke grondslag heeft. Deze leden vragen of de implicatie hiervan is dat de gegevensoverdracht niet eerder kan plaatsvinden dan wanneer de Jeugdwet door de Staten-Generaal is aanvaard en is gepubliceerd in het staatsblad. Deze leden zijn benieuwd welk tijdsbestek de Staatssecretaris nodig denkt te hebben om de gegevensoverdracht te realiseren en of daarvoor voldoende ruimte zit tegen het beoogde tijdstip van publicatie van de wet in het staatsblad en de invoeringsdatum van 1 januari 2015.

Uit de PIA maken genoemde leden op dat de plv. Functionaris voor de gegevensbescherming van het Ministerie van VWS actief toezicht gaat houden ten aanzien van het verwerken van de gegevens binnen de tijdelijke voorziening. Graag vernemen deze leden tot slot op welk moment de Kamer geïnformeerd zal worden met betrekking tot de ordentelijkheid van de uitvoer van de eenmalige gegevensoverdracht.

Kan er toegelicht worden welke criteria de Staatssecretarissen hanteren om te bepalen of gemeenten aantoonbaar veilig omgaan met de overgedragen gegevens van cliënten? Wat gebeurt er als het oordeel op basis van deze criteria is dat een gemeente niet aantoonbaar veilig met de overgedragen gegevens lijkt om te gaan?

De Jeugdwet geeft in artikel 10.4 een aantal criteria voor de eenmalige gegevensoverdracht. Zo dient het college de gegevens van clienten uiterlijk 31 januari 2016 te vernietigen overeenkomstig artikel 10.4, 6^e lid, van de wet. Er is juist vanwege de veiligheid gekozen voor een beperkte bewaartermijn; deze vernietigingsplicht waarborgt een veilige overdracht van de gegevens.

Een ander punt is dat de jeugdige en zijn ouders voorafgaand aan de verstrekking geïnformeerd dienen te worden door de jeugdhulpaanbieders over de verstrekking van de gegevens aan de gemeenten. Op deze wijze worden de jeugdigen en diens ouders betrokken bij de eenmalige gegevensoverdracht.

Naast deze regels uit de Jeugdwet geeft de Wet bescherming persoonsgegevens ook criteria voor het veilig omgaan met persoonsgegevens door gemeenten:.

• – De gemeente mag de persoonsgegevens niet verder verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (artikel 9 Wbp).

• – De gemeente heeft op grond van artikel 33 en 34 Wbp een informatieplicht. Zij moet op eigen initiatief de betrokkenen op de hoogte stellen van het bestaan van de eenmalige gegevensverwerking, door middel van brochures en folders.

De VNG is gestart met een programma over informatievoorziening in het sociaal domein. Gemeenten hebben hier ongeveer miljoen voor vrijgemaakt. Privacybeveiliging is een belangrijk onderdeel van dit programma.

In de resolutie over informatieveiligheid van de VNG, die op 29 november 2013 is aa ngenomen door de brede algemene ledenvergadering van de VNG, is een aantal zaken bepaald. Gemeenten zullen zorgen voor een verankering van informatieveiligheid op de gemeentelijke agenda, waarbij het college de gemeenteraad zal informeren. De Baseline Informatiebeveiliging Nederlandse Gemeenten is vastgesteld als gemeentelijk basisnormenkader voor informatieveiligheid. De Baseline is gebaseerd op de ISO/NEN normen 27001 en 27002. Gemeenten stellen ook een informatieveiligheidsbeleid vast aan de hand van die Baseline Informatiebeveiliging Nederlandse Gemeenten.

Genoemde leden hebben ook nog enkele vragen over de gedane 15 aanbevelingen. Is er inmiddels bekend (gegeven de aanbevelingen 1, 3 en 4) of het echt nodig is om ten aanzien van alle groepen jeugdigen daadwerkelijk persoonsgegevens over te dragen? Zo ja, waarom blijkt dit nodig? Indien dit voor bepaalde groepen niet nodig is, waarom niet? Zo nee, wanneer wordt dit wel bekend en wordt de Tweede Kamer hier dan nader over geïnformeerd?

Momenteel wordt nog bekeken of het nodig is om voor alle groepen jeugdigen de persoonsgegevens over te dragen. Om hierover een besluit te kunnen nemen moet helder zijn hoe de jeugdhulp bekostigd gaat worden, of de jeugdhulp door de gemeente zelf geleverd gaat worden dan wel wordt uitbesteed aan externe partijen. Verder speelt of gemeenten over een eventuele verlenging van jeugdhulp de regie hebben dan wel of andere partijen deze regie hebben.

Er is namelijk geen gegevensoverdracht vereist als cliënten jeugdhulp krijgen:

• − die bekostigd wordt door middel van lumpsum of subsidie;

• − die door gemeenten wordt uitbesteed aan jeugdhulpaanbieders via raamcontracten;

• − waarbij het merendeel van de betreffende groep jeugdigen die jeugdhulp ontvangt uitstroomt in 2015 en geen vervolgjeugdhulp meer nodig heeft;

• − op basis van een indicatiebesluit op grond van de Wet op de jeugdzorg of de AWBZ of een verwijzing op grond van de Zvw die gedurende 2015 afloopt en verlenging van de jeugdhulp bepaald wordt door beroepsbeoefenaren.

In de dertiende aanbeveling wordt geadviseerd om in 2014 een aanvullende PIA of Wbp-compliance uit te voeren op de nadere regelgeving en voor de thans nog te ontwikkelen tijdelijke voorziening eenmalige gegevensoverdracht. Kunnen de Staatssecretarissen aangeven wat er precies onderzocht wordt met behulp van deze aanvullende PIA die in 2014 wordt uitgevoerd met betrekking tot privacy- en beveiligingsrisico’s? Wanneer kan de Kamer de resultaten van deze nieuwe of aanvullende PIA verwachten?

Er zal een aanvullende PIA worden uitgevoerd. In de aanvullende PIA zal aandacht besteed worden aan:

• − de noodzaak om op basis van het nader onderzoek gegevens over te dragen van bepaalde cliëntgroepen;

• − de wijze waarop de eenmalige gegevensoverdracht zal plaatsvinden;

• − de omvang en de werking van de beoogde centrale ondersteuning;

• − de omvang en inhoud van de beperkte gegevensset.

De aanvullende PIA komt zo spoedig mogelijk beschikbaar na de hierboven bedoelde brief, in ieder geval voor het zomerreces.

Ook worden in de PIA een negental suggesties voor gemeenten gedaan hoe om te gaan met de gegevens die gemeenten voor de eenmalige overdracht zullen ontvangen. Ook hierover hebben deze leden nog enkele vragen. Nemen de Staatssecretarissen ook al deze negen suggesties over? Zo ja, op welke wijze brengen de Staatssecretarissen deze suggesties onder de aandacht van de gemeenten en de VNG? Zo nee, waarom niet? Kunnen de Staatssecretarissen tevens aangeven hoe deze suggesties geïmplementeerd zullen worden en op welke wijze het Rijk daarbij faciliteert?

De leden van de VVD-fractie refereren aan de volgende suggesties die gedaan worden in de PIA:

• 1) Neem uitleg over de wettelijke bepalingen en vereisten op in de reeds in het Plan van aanpak voorziene communicatie.

• 2) Stel in overleg met de VNG/KING een handreiking op met suggesties voor een zorgvuldige en beheersbare verwerking van de door gemeenten te ontvangen gegevens.

• 3) Sluit, indien mogelijk, bij het gebruik van de ontvangen gegevens aan bij de regionale transitiearrangementen.

• 4) Leg de gegevensbestanden afzonderlijk en afgeschermd vast.

• 5) Beleg de verantwoordelijkheden over het beheer van de ontvangen gegevens bij een specifiek aangewezen medewerker.

• 6) Neem enkel gegevens op in financiële systemen indien er daadwerkelijk sprake is van geïndividualiseerde betaling.

• 7) Neem enkel gegevens op in het productiesysteem indien actief contact opgenomen wordt met de jeugdige of ouders dan wel indien er een aanvraag voor vervolghulp ontvangen wordt.

• 8) Voer analyses uit ten behoeve van inkoop, het zicht krijgen op de te ontvangen facturen en de planning van de werkzaamheden betreffende het contact opnemen voor vervolghulp op het afzonderlijke bestand.

• 9) Ontwikkel in het kader van «één gezin – één plan» een eenduidige en controleerbare procedure om in het kader van de eenmalige overdracht ontvangen gegevens indien dit noodzakelijk en toegestaan is te kunnen raadplegen.

De Branches Gespecialiseerde Zorg voor Jeugd hebben een model ontwikkeld voor de gegevensuitwisseling tussen professionals in de gespecialiseerde jeugdhulp. Kunnen de Staatssecretarissen in overleg met de VNG en het IPO er voor zorgen dat dergelijke veldafspraken voor de gehele jeugdhulp worden gemaakt en geïmplementeerd?

Het model voor gegevensuitwisseling tussen professionals in de gespecialiseerde jeugdhulp ziet nadrukkelijk op inhoudelijke informatie-uitwisseling tussen professionals bij de daadwerkelijke uitvoering van jeugdhulp. De eenmalige gegevensoverdracht van jeugdhulpaanbieders naar gemeenten is geen uitwisseling tussen professionals en betreft niet de inhoudelijke uitvoering van de jeugdhulp, maar staat volledig in het licht van de verantwoordelijkheid van de gemeente voor de continuïteit van hulp voor de jeugdige als deze continuïteit door de stelselwijziging nadere aandacht vraagt. Omdat het hier dus om informatie-uitwisseling op een heel ander niveau gaat is het model voor gegevensuitwisseling tussen professionals niet bruikbaar als model voor de eenmalige gegevensoverdracht. De invoering van het genoemde model is een verantwoordelijkheid voor de sector zelf.

Tot slot constateren de leden van de VVD-fractie dat GGZ en Jeugdzorg Nederland geen opmerkingen hadden over de aan hen voorgelegde PIA, versie 1.0 (PIA, blz. iii). Kunnen de Staatssecretarissen aangeven hoe dit geduid moet worden? Betekent dit dat deze organisaties zeer te spreken waren over het plan van aanpak eenmalige gegevensoverdracht waarover de PIA werd uitgevoerd? Zo ja, hoe verhoudt dit zich tot de wijze waarop deze organisaties zich publiekelijk uit laten over deze risico’s? Zo nee, welke betekenis kan hier wel aan gegeven worden?

In de PIA wordt geconstateerd dat nadere aandacht nodig is bij de vaststelling van de groepen jeugdigen waarover gegevens overgedragen dienen te worden. De brancheorganisaties delen deze constatering. In die zin onderschrijven de brancheorganisaties de resultaten van de PIA en een overdracht waarbij nader onderzoek gedaan wordt naar deze groepen. Dit geldt zowel voor de GGZ-cliënten als voor de cliënten die een kinderbeschermingsmaatregel of jeugdreclassering hebben opgelegd gekregen. In de besluitvorming hieromtrent zullen GGZ-Nederland en JN uiteraard worden betrokken.

De privacy van gegevens wordt naar de mening van de leden van de PvdA-fractie nog meer gewaarborgd met het familiegroepsplan, omdat gezinnen de regie voeren over hun eigen zorgplan en gegevens. Hoe wordt het familiegroepsplan beoordeeld door de PIA? Gaat het familiegroepsplan nog beoordeeld worden door de PIA? Zo nee, waarom?

Deze PIA ziet alleen op de eenmalige gegevensoverdracht van jeugdhulpaanbieders naar gemeenten voor de transitie. Het familiegroepsplan maakt daar geen onderdeel van uit. Wel zal het Rijk PIA's uitvoeren op de gemeentelijke modellen voor gegevensverwerking. De VNG zal in samenspraak met gemeenten deze modellen» beschrijven. Met de VNG zal bekeken worden of de familiegroepsplannen in de modellen een rol krijgen.

De leden van de SP-fractie vragen waarom het PIA systeem wordt gehanteerd en zijn benieuwd waarom voor de overdracht van persoonsgegevens niet gebruikt gemaakt wordt van een dergelijk- of bestaand model zoals het «Model samenwerkingsafspraken informatie uitwisseling door het AMK, Bureaus Jeugdzorg, Raad voor (g)gz», dat is ondertekend door KNMG, NVvP, Jeugdzorg Nederland, Raad voor de kinderbescherming, VVAK, en GGZ Nederland?

Het Model samenwerkingsafspraken is een model voor inhoudelijke gegevensuitwisseling tussen jeugdhulpaanbieders en binnen de jeugdhulpsector en heeft geen betrekking op de eenmalige gegevensoverdracht van jeugdhulpaanbieders naar gemeenten. Omdat het hier dus om informatie-uitwisseling op een heel ander niveau gaat is dit model voor gegevensuitwisseling niet bruikbaar als model voor de eenmalige gegevensoverdracht. De invoering van het genoemde model is een verantwoordelijkheid voor de sector zelf.

Voorts zijn deze leden benieuwd wanneer de Staatssecretaris denkt het PIA in werking te stellen, wanneer worden gemeenten geïnformeerd en wanneer ontvangen zij de gegevens? Kan de Staatssecretaris een precieze tijdsperiode sturen, wanneer welke stappen in werking gesteld worden? Ook is het voor genoemde leden onduidelijk wat de kosten van het PIA systeem zijn en wie daarvoor de rekening betaald. Tevens maken zij zich grote zorgen over de bureaucratie die dit systeem met zich meebrengt. In hoeverre is hier sprake van en welke belasting heeft dit systeem op het Rijk, gemeenten, provincies, zorgaanbieders, jeugdigen en gezinnen? Zij vragen om een uitgebreide toelichting op dit punt.

De PIA wordt niet in werking gesteld. Een PIA is een toets die beoordeelt hoe een systeem van gegevensverwerking werkt en of het systeem voldoet aan alle privacyregels.

Het stappenplan van de eenmalige gegevensoverdracht ziet er als volgt uit:

Het is de wettelijke verantwoordelijkheid van jeugdhulpaanbieders en gemeenten zelf om zorg te dragen voor een goede gegevensoverdracht, zowel na 1 januari 2015 als voor die datum, tijdens de transitiefase. Dit laatste krijgt inhoud via het overgangsrecht van cliënten op voorzieningen uit 2014 voor 2015 voor zolang de indicatie geldt. Doordat afspraken per regio verschillen zal ook de toets aan de PIA criteria per regio verschillen. In de transitieplannen zal worden aangegeven welke afspraken gemeenten met zorgaanbieders maken over het borgen van het overgangsrecht en welke gegevens hiervoor worden uitgewisseld. Het doel van de eenmalige gegevensoverdracht is het waarborgen van continuïteit van hulp voor jeugdigen die ondanks de transtieafspraken tussen wal en schip dreigen te vallen, op een zo min mogelijk bureaucratisch wijze met zo min mogelijke privacyrisico’s voor de cliënten waarvan de persoonsgegevens worden uitgewisseld.

De kosten van de PIA op de eenmalige gegevensoverdracht zijn door het Rijk betaald. Ook de kosten van de eenmalige gegevensoverdracht (400.000 euro) zullen door het Rijk worden betaald.

De Staatssecretaris geeft in de brief aan dat er geen ernstige risico’s voor de privacy te vinden zijn voor het inzetten van de PIA. Echter genoemde leden willen weten welke mogelijke, maar minder ernstige risico’s dan wel voor kunnen komen. Wat zijn risico’s voor jeugdigen en gezinnen en zorgverleners die werkzaam zijn in de jeugdzorg? Hoe wordt nu precies de privacy van jeugdigen en gezinnen gewaarborgd?

Het feit dat persoonsgegevens worden overgedragen van jeugdhulpaanbieders aan gemeenten betekent dat er daarbij oog moet zijn voor privacyrisico’s voor de cliënten waarvan persoonsgegevens worden uitgewisseld. Risico’s zijn een onbedoelde en onwenselijke verspreiding van gegevens binnen de gemeenten, het te lang bewaren van gegevens die ontvangen zijn en eventueel te weinig aandacht voor het beheer en de informatiebeveiliging van de door de gemeenten ontvangen gegevens. Dit zijn risico’s die spelen t.a.v. de gegevens over jeugdigen, hun ouders en jeugdhulpverleners. Het zijn de suggesties uit de PIA, die opgenomen zullen worden in een handreiking, die aandacht besteden aan deze risico’s en waarin maatregelen worden voorgesteld om deze risico’s te beperken.

De privacy van jeugdigen en gezinnen wordt gewaarborgd door de bepalingen uit de Jeugdwet en Wbp. De Jeugdwet geeft in artikel 10.4 een aantal criteria voor het overdragen van gegevens. Zo dient het college de gegevens uiterlijk 31 januari 2016 te vernietigen. Er is juist vanwege de veiligheid gekozen voor een beperkte bewaartermijn; deze vernietigingsplicht waarborgt een veilige overdracht van de gegevens.

Een ander punt is dat de jeugdige en zijn ouders voorafgaand aan de verstrekking geïnformeerd dienen te worden door de jeugdhulpaanbieders over de verstrekking van de gegevens aan de gemeenten. Op deze wijze worden de jeugdigen en diens ouders betrokken bij de eenmalige gegevensoverdracht.

Naast deze regels uit de Jeugdwet geeft de Wbp ook criteria voor het veilig omgaan met persoonsgegevens door gemeenten:

• − De gemeente mag de persoonsgegevens niet verder verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (artikel 9 Wbp).

• − De gemeente heeft op grond van artikel 33 en 34 een informatieplicht. Zij moet op eigen initiatief de betrokkenen op de hoogte stellen van het bestaan van de eenmalige gegevensverwerking, door middel van brochures en folders.

De VNG is gestart met een programma over informatievoorziening in het sociaal domein. Gemeenten hebben hier ongeveer miljoen voor vrijgemaakt. Privacybeveiliging is een belangrijk onderdeel van dit programma.

In de resolutie over informatieveiligheid van de VNG, die is aangenomen door de brede algemene ledenvergadering van de VNG, is een aantal zaken bepaald. Gemeenten zullen zorgen voor een verankering van informatieveiligheid op de gemeentelijke agenda, waarbij het college de gemeenteraad zal informeren. De Baseline Informatiebeveiliging Nederlandse Gemeenten is vastgesteld als gemeentelijk basisnormenkader voor informatieveiligheid. De Baseline is gebaseerd op de ISO/NEN normen 27001 en 27001. Gemeenten stellen ook een informatieveiligheidsbeleid vast aan de hand van die Baseline Informatiebeveiliging Nederlandse Gemeenten.

Kan de Staatssecretaris aangeven welke lessen getrokken kunnen worden met de problemen omtrent het elektronisch patiëntendossier ten opzichte van de PIA? Deze leden verwachten hierover een uitgebreid antwoord.

De leden van de SP-fractie doelen op het Landelijk Schakelpunt (LSP), dat eerst onderdeel uitmaakte van het Elektronisch Patiëntendossier (EPD) en een centrale voorziening was ten behoeve van de gegevensuitwisseling en los van het EPD functioneert. Deze centrale voorziening (het LSP) bevat het burgerservicenummer van patiënten en informatie over of een patiënt bekend is bij een zorgaanbieder en zo ja bij welke. Het LSP bevat geen inhoudelijke zorggegevens. Het doel van het LSP is om de structurele uitwisseling van gegevens tussen verschillende zorgaanbieders die dezelfde patiënt behandelen mogelijk te maken. Deze uitwisseling kan plaatsvinden via het LSP. Zorgaanbieders kunnen in het LSP kijken of er over een bepaalde patiënt bij een andere zorgaanbieder gegevens voorhanden waren, zo ja, dan kan hij deze gegevens (met toestemming van de patiënt) opvragen bij de betreffende zorgaanbieder.

De Staatssecretaris geeft aan nog te bezien of gegevensoverdracht voor alle te onderscheiden cliënt- groepen strikt noodzakelijk is. De leden van de SP-fractie zien graag een uitgebreide toelichting tegemoet hoe de Staatssecretaris hierover nadenkt en welke plannen hij hiermee beoogt.

De afweging voor wel, een kleine of geen eenmalige gegevensoverdracht is of het risico dat groepen cliënten door de transitie tussen wal en schip vallen, opweegt tegen de privacyrisico’s van diezelfde cliënten van wie gegevens worden overgedragen. De aanbevelingen uit de PIA in termen van noodzaak, doelbinding, proportionaliteit en subsidiariteit helpen ons daarbij. Hierbij willen wij de eenmalige gegevensoverdracht alleen faciliteren als het.de administratieve lasten verlicht cq geen extra administratieve lasten met zich meebrengt.

Er is geen éénmalige gegevensoverdracht vereist als cliënten jeugdhulp krijgen:

• − die bekostigd wordt door middel van lumpsum of subsidie;

• − die door gemeenten wordt uitbesteed aan jeugdhulpaanbieders via raamcontracten;

• − waarbij het merendeel van de betreffende groep jeugdigen die jeugdhulp ontvangt uitstroomt in 2015 en geen vervolgjeugdhulp meer nodig heeft;

• − op basis van een indicatiebesluit op grond van de Wet op de jeugdzorg of de AWBZ of een verwijzing op grond van de Zvw die gedurende 2015 afloopt en verlenging van de jeugdhulp bepaald wordt door beroepsbeoefenaren.

Genoemde leden wijzen op de enorme brij aan systemen die er nu zijn. Zij willen weten hoe de Staatssecretaris er voor gaat zorgen dat er geen dubbelingen zijn in tellingen en gegevens. Ook willen zij weten of de Staatssecretaris nu alle gegevens heeft die straks nodig zijn voor de overdracht. Zij vragen naar een toelichting hierop.

De beoogde ondersteuning bestaat uit de ontwikkeling van een hulpprogramma dat door jeugdhulpaanbieders en gemeenten binnen de eigen ICT-omgeving kan worden toegepast. Het hulpprogramma bestaat uit twee delen. Het ene deel is bestemd voor de jeugdhulpaanbieders en zorgt voor selectie van de gegevens uit de systemen van de jeugdhulpaanbieder. Het andere deel is bestemd voor gemeenten, die de gegevens die van de verschillende jeugdhulpaanbieders ontvangen worden samenvoegt en ontdubbelt en waarbij gemeenten deze gegevens binnen hun eigen omgeving afgeschermd kunnen verwerken conform de suggesties 4 tot en met 9 uit de PIA. Deze zijn:

• 4) Leg de gegevensbestanden afzonderlijk en afgeschermd vast.

• 5) Beleg de verantwoordelijkheden over het beheer van de ontvangen gegevens bij een specifiek aangewezen medewerker.

• 6) Neem enkel gegevens op in financiële systemen indien er daadwerkelijk sprake is van geïndividualiseerde betaling.

• 7) Neem enkel gegevens op in het productiesysteem indien actief contact opgenomen wordt met de jeugdige of ouders dan wel indien er een aanvraag voor vervolghulp ontvangen wordt.

• 8) Voer analyses uit ten behoeve van inkoop, het zicht krijgen op de te ontvangen facturen en de planning van de werkzaamheden betreffende het contact opnemen voor vervolghulp op het afzonderlijke bestand.

• 9) Ontwikkel in het kader van «één gezin – één plan» een eenduidige en controleerbare procedure om in het kader van de eenmalige overdracht ontvangen gegevens indien dit noodzakelijk en toegestaan is te kunnen raadplegen.

Voorts willen deze leden weten in hoeverre gemeenten moeten aantonen veilig om te kunnen gaan met de gegevensoverdracht. Hoe is de controle hierop precies ingericht en welke sancties worden uitgedeeld als blijkt dat gemeenten hier niet veilig mee kunnen omgaan? Zijn de medewerkers binnen gemeenten wel toegerust om met deze gegevens om te gaan? Wat zijn de gevolgen voor jeugdigen en gezinnen als gemeenten onjuist omgaan met privacy gegevens, en vooral hoe wordt dit voorkomen via de PIA?

In de resolutie over informatieveiligheid van de VNG, die op 29 november 2013 is aangenomen door de brede algemene ledenvergadering van de VNG, is een aantal zaken bepaald. Gemeenten zullen zorgen voor een verankering van inf ormatieveiligheid op de gemeentelijke agenda, waarbij het college de gemeenteraad zal informeren. De Baseline Informatiebeveiliging Nederlandse Gemeenten is vastgesteld als gemeentelijk basisnormenkader voor informatieveiligheid. De Baseline is gebaseerd op de ISO/NEN normen 27001 en 27002. Gemeenten stellen ook een informatieveiligheidsbeleid vast aan de hand van die Baseline Informatiebeveiliging Nederlandse Gemeenten.

Verder zal de informatiebeveiligingsdienst van KING de gemeenten ondersteunen bij en toezien op de gegevensoverdracht.

De leden van de SP-fractie maken zich zorgen of gemeenten wel klaar zijn om deze gegevensoverdracht op een goede wijze te waarborgen, zeker gezien gemeenten vele voorbereidingen moeten treffen voor de overheveling van jeugdzorgtaken en mogelijke andere zorgtaken. Hoe kijkt de Staatssecretaris hiertegen aan?

De gemeenten zijn er klaar voor om de gegevensoverdracht op een goede wijze te waarborgen. De suggesties die in de PIA worden gedaan aan de gemeenten zullen deel uitmaken van de handreiking. Hiermee is een juiste overdracht geborgd.

Deze leden zijn benieuwd hoe gemeenten omgaan met de gegevensoverdracht bij tussentijdse verhuizingen, gezagsveranderingen of wijzigingen in het kader van de jeugdzorg. Is daar een plan voor? Kan dat worden toegelicht?

Zoals in de PIA ook is aangegeven, dienen gemeenten de ontvangen gegevens te controleren op eventuele tussentijdse wijzigingen in adres, woonplaats of gezag. Dit zal opgenomen worden in de handreiking voor gemeenten. Dergelijke wijzigingen kunnen zich voordoen gedurende de looptijd van de hulp die gebaseerd is op de huidige regelingen. Gemeenten kunnen dan ook niet enkel en alleen op basis van de ontvangen gegevens een beslissing nemen.

De leden van de SP-fractie willen weten hoe de democratische controlefunctie geregeld is voor deze gegevensoverdracht, hoe wordt dit binnen gemeenten geregeld? Voorts willen zij weten in hoeverre de Staatssecretaris zijn verantwoordelijkheid oppakt om te bezien of gemeenten de noodzakelijke informatie krijgen en of dit goed wordt geregeld. Hoe is de Staatssecretaris voornemens zijn verantwoordelijkheid op te pakken?.

Voor de Jeugdwet geldt in de eerste plaats horizontale verantwoording. Aan de hand van signalen, klachten of door vragen aan het college te stellen kunnen gemeenteraden ook de omgang van het college met persoonsgegevens voor de eenmalige gegevensoverdracht controleren.

Het Rijk neemt zijn verantwoordelijkheid door de eenmalige gegevensoverdracht wettelijk te verankeren en te faciliteren. Dit faciliteren gebeurt door het uitvoeren van een PIA, het overnemen van de aanbevelingen en suggesties uit de PIA, het in samenspraak met de VNG opstellen van een handreiking voor gemeenten en door de eenmalige gegevensoverdracht te faciliteren met de ontwikkeling van een hulpprogramma dat door jeugdhulpaanbieders en gemeenten binnen de eigen ICT-omgeving op de eigen computer kan worden toegepast. Het hulpprogramma bestaat uit twee delen. Het ene deel is bestemd voor de jeugdhulpaanbieders en zorgt voor selectie van de gegevens uit de systemen van de jeugdhulpaanbieder. Het andere deel is bestemd voor gemeenten, die de gegevens die van de verschillende jeugdhulpaanbieders ontvangen worden, samenvoegen en ontdubbelen en waarbij gemeenten deze gegevens binnen hun eigen omgeving afgeschermd kunnen verwerken. Daarnaast financiert het Rijk deze maatregelen.

Tot slot willen de leden van de SP-fractie weten op welke wijze jeugdigen en gezinnen worden geïnformeerd over deze gegevensoverdracht? Hoe is deze informatievoorziening precies geregeld? Tevens zijn deze leden ook benieuwd of jeugdigen en gezinnen in beroep kunnen gaan tegen de gegevensuitwisseling naar gemeenten. Is dat mogelijk en dat nader worden toegelicht?

De jeugdhulpaanbieder informeert de jeugdige en diens gezin over de voorgenomen overdracht van hun gegevens naar gemeenten, om welke gegevens dit gaat en waarom dit gebeurt. De jeugdhulpaanbieder is op grond van artikel 10.4, vijfde lid, van de Jeugdwet hiertoe verplicht. Dit zal individueel geschieden, waarbij de jeugdige of zijn ouder geïnformeerd wordt.

Ook de gemeente heeft een informatieplicht (zie artikel 33 en 34 Wbp). Zij moet op eigen initiatief de betrokkenen op de hoogte stellen van het bestaan van de eenmalige gegevensoverdracht, door middel van brochures en folders.

Bij de eenmalige gegevensoverdracht zijn de in de Wbp opgenomen rechten voor betrokkenen van toepassing. Indien een jeugdige of zijn ouders bezwaar hebben tegen het verwerken van gegevens in het kader van de eenmalige gegevensoverdracht kan een beroep gedaan worden op het in artikel 40 Wbp neergelegde recht van verzet. De gegevensoverdracht zal dan niet plaatsvinden. Daarnaast kan op basis van artikel 36 Wbp een verzoek gedaan worden om de gegevens af te schermen. Het verzoek om gegevens af te schermen kan ingevolge artikel 36 Wbp gedaan worden bij de verantwoordelijke, in dit geval de jeugdhulpaanbieder. Ook het verzet kan gemeld worden aan de jeugdhulpaanbieder. Bij de eenmalige gegevensoverdracht leidt een behoorlijke en zorgvuldige gegevensverwerking (art, 6 Wbp) ertoe, dat verstrekkers van gegevens een verzet als bedoeld in artikel 40 Wbp of een verzoek tot afscherming in behandeling nemen en beoordelen.

De leden van de PVV-fractie vinden het van belang dat de continuïteit van zorg te waarborgen. Het uitgangspunt bij de eenmalige gegevensoverdracht is dat er géén informatie over de inhoud van het dossier en ook niet over de kosten per individuele cliënt wordt geleverd. Kan de Staatssecretaris aangeven of deze privacy inderdaad goed is gewaarborgd?

De privacyrisico’s worden allereerst beperkt doordat de gegevensset zich beperkt tot personalia en globale informatie over de soort zorg. Deze set levert geen informatie over het dossier en geen beleids-, verantwoordings-, of toezichtsinformatie en ook geen informatie over de individuele kosten per cliënt.

Er worden geen inhoudelijke gegevens uitgewisseld over jeugdigen, gezinnen en zorgverleners die werkzaam zijn in de jeugdhulp. De privacy van jeugdigen en gezinnen wordt hiermee derhalve gewaarborgd.

Afhankelijk van de wijze van financiering en inkoop en de vraag of vervolgzorg nodig is hoeven voor cliënten die uitstromen in 2015 geen persoonsgegevens te worden overgedragen.

Er zal een selectie plaats moeten gaan vinden voor de cliënten die niet onder de genoemde regels vallen.

Afhankelijk van de wijze van financiering en inkoop en de vraag of vervolgzorg nodig is hoeven voor cliënten die uitstromen in 2015 geen persoonsgegevens te worden overgedragen. Er zal een selectie plaats moeten gaan vinden voor de cliënten die niet onder de genoemde regels vallen. Kan de Staatssecretaris aangeven wat de tijd en kosten zullen worden om deze selectie te maken?

Er is geen éénmalige gegevensoverdracht vereist als cliënten jeugdhulp krijgen:

• – die bekostigd wordt door middel van lumpsum of subsidie;

• – die door gemeenten wordt uitbesteed aan jeugdhulpaanbieders via raamcontracten;

• – waarbij het merendeel van de betreffende groep jeugdigen die jeugdhulp ontvangt uitstroomt in 2015 en geen vervolgjeugdhulp meer nodig heeft;

• – op basis van een indicatiebesluit op grond van de Wet op de jeugdzorg of de AWBZ of een verwijzing op grond van de Zvw die gedurende 2015 afloopt en verlenging van de jeugdhulp bepaald wordt door beroepsbeoefenaren.

De leden van de PVV-fractie zijn van mening dat het slechts regelen dat de gemeenten «de dossiers niet mogen inzien» gigantisch tekort schiet. Gemeenten gaan de «bonnetjes» betalen en de gemeenteambtenaren weten dus wat de gemeenten betalen waardoor de privacy totaal te grabbel ligt. Wat gebeurt er dan langs de lijn van het voetbalveld of onder invloed van alcohol in het café of op het volksfeest? De Staatssecretaris kan deze situaties niet voorkomen, of denkt de Staatssecretaris van wel? Zo ja, op welke wijze?

Gemeenteambtenaren zijn gebonden aan hun ambtsgeheim dat mede voortvloeit uit de Algemene wet bestuursrecht. Een geheimhoudingsplicht die versterkt wordt door de specifieke geheimhouding ten aanzien van gegevens betreffende de gezondheid in artikel 21 Wbp. Het schenden van de geheimhoudingplicht is strafbaar gesteld in artikel 272 van het Wetboek van Strafrecht. We spreken de verwachting uit dat gemeenteambtenaren zich aan hun ambtsgeheim houden en prudent met de hen bekende informatie omgaan. Het in incidentele gevallen schenden van het ambtsgeheim kan echter nooit volledig vooraf voorkomen worden. In de op te stellen handreiking zal ook nadrukkelijk aandacht besteedworden aan het ambtsgeheim.

De Staatssecretaris geeft aan dat er alleen gegevens van cliënten worden overgedragen als gemeenten er aantoonbaar veilig mee omgaan. Kan de Staatssecretaris aangeven hoe dat gecontroleerd gaat worden en door wie? Kan de Staatssecretaris ook aangeven wat er gebeurt als er sprake is dat de gemeenten er niet aantoonbaar veilig mee om (kunnen) gaan?

Voor de Jeugdwet geldt in de eerste plaats horizontale verantwoording. Ook voor het omgaan met persoonsgegevens uit de eenmalige gegevensoverdracht legt het college verantwoording af aan de gemeenteraad.

De Staatssecretarissen geven in hun reactie nog eens aan te zullen bezien of gegevensoverdracht daadwerkelijk voor alle cliëntgroepen noodzakelijk is. Heeft die heroverweging inmiddels plaatsgevonden? Zo nee, wanneer zal deze gereed zijn? Zo ja, wat zijn daarvan de uitkomsten?

Momenteel wordt nog bekeken of het nodig is om voor alle groepen jeugdigen de persoonsgegevens over te dragen. Om hierover een besluit te kunnen nemen moet helder zijn hoe de jeugdhulp bekostigd gaat worden, of de jeugdhulp door de gemeente zelf geleverd gaat worden dan wel of deze uitbesteed gaat worden aan externe partijen en of gemeenten over een eventuele verlenging van jeugdhulp de regie hebben of dat andere partijen deze regie hebben.

Er is namelijk geen gegevensoverdracht vereist als cliënten jeugdhulp krijgen:

• − die bekostigd wordt door middel van lumpsum of subsidie;

• − die door gemeenten wordt uitbesteed aan jeugdhulpaanbieders via raamcontracten;

• − waarbij het merendeel van de betreffende groep jeugdigen die jeugdhulp ontvangt uitstroomt in 2015 en geen vervolgjeugdhulp meer nodig heeft;

• − op basis van een indicatiebesluit op grond van de Wet op de jeugdzorg of de AWBZ of een verwijzing op grond van de Zvw die gedurende 2015 afloopt en verlenging van de jeugdhulp bepaald wordt door beroepsbeoefenaren.

Naar verwachting zal hier uiterlijk eind mei duidelijkheid over bestaan. Hierover zullen wij Uw Kamer informeren.

Welke waarborgen zijn er om er voor zorg te dragen dat de gegevens ook daadwerkelijk zullen worden vernietigd? Zal hiervoor ook een vergelijkbare notificatieplicht gelden als opgenomen in aanbeveling 15?

De vragen van de leden zien op de in de PIA omschreven in te richten centrale tijdelijke voorziening om de gegevensoverdracht te faciliteren. Een dergelijke centrale voorziening zal niet (meer) ingericht worden. De beoogde ondersteuning zal bestaan uit de ontwikkeling van een hulpprogramma dat door jeugdhulpaanbieders en gemeenten binnen de eigen ICT-omgeving kan worden toegepast, Het hulpprogramma bestaat uit twee delen. Het ene deel is bestemd voor de jeugdhulpaanbieders en zorgt voor selectie van de gegevens uit de systemen van de jeugdhulpaanbieder. Het andere deel is bestemd voor gemeenten, die de gegevens die van de verschillende jeugdhulpaanbieders ontvangen worden samenvoegt en ontdubbelt en waarbij gemeenten deze gegevens binnen hun eigen omgeving afgeschermd kunnen verwerken.

De PIA doet 9 suggesties aan gemeenten hoe zij zullen omgaan met de verwerking van de te ontvangen persoonsgegevens? Graag vernemen deze leden wat de Staatssecretarissen van deze suggesties vinden en of zij voornemens zijn deze over te nemen. Zo nee, waarom niet? Zo ja, hoe?

Alle negen suggesties uit de PIA worden overgenomen.

Samengevat gaat het om de volgende suggesties:

• 1) Neem uitleg over de wettelijke bepalingen en vereisten op in de reeds in het Plan van aanpak voorziene communicatie.

• 2) Stel in overleg met de VNG/KING een handreiking op met suggesties voor een zorgvuldige en beheersbare verwerking van de door gemeenten te ontvangen gegevens.

• 3) Sluit, indien mogelijk, bij het gebruik van de ontvangen gegevens aan bij de regionale transitiearrangementen.

• 4) Leg de gegevensbestanden afzonderlijk en afgeschermd vast.

• 5) Beleg de verantwoordelijkheden over het beheer van de ontvangen gegevens bij een specifiek aangewezen medewerker.

• 6) Neem enkel gegevens op in financiële systemen indien er daadwerkelijk sprake is van geïndividualiseerde betaling.

• 7) Neem enkel gegevens op in het productiesysteem indien actief contact opgenomen wordt met de jeugdige of ouders dan wel indien er een aanvraag voor vervolghulp ontvangen wordt.

• 8) Voer analyses uit ten behoeve van inkoop, het zicht krijgen op de te ontvangen facturen en de planning van de werkzaamheden betreffende het contact opnemen voor vervolghulp op het afzonderlijke bestand.

• 9) Ontwikkel in het kader van «één gezin – één plan» een eenduidige en controleerbare procedure om in het kader van de eenmalige overdracht ontvangen gegevens indien dit noodzakelijk en toegestaan is te kunnen raadplegen.

De suggesties maken deel uit van de handreiking die het Rijk in overleg met de VNG opstelt. De VNG is op de hoogte van deze zaken en informeert haar leden hierover.

Voorts vragen de leden van de D66-fractie of over de structurele situatie, waarin gemeenten gaan beschikken over omvangrijke bestanden met gevoelige gegevens, nog een aanvullende PIA wordt gemaakt. Zo ja, wanneer zal die gereed zijn en wanneer wordt de Kamer over de uitkomsten daarvan geïnformeerd? Zo nee, waarom niet?

In het kader van de stelselverantwoordelijkheid zijn er PIA’s geïnitieerd voor het verzamelen van beleidsinformatie en voor de informatievoorziening keteninformatie jeugdreclassering en jeugdbescherming. Daarnaast is tijdens de behandeling van de Jeugdwet in de Eerste Kamer toegezegd dat er door het Rijk een aantal PIA’s zullen worden uitgevoerd op de gemeentelijke gegevensverwerking. De verwachting is dat de structurele gegevensverwerking niet bij elke gemeente anders zal verlopen. Er zullen zich, afhankelijk van een aantal factoren, een aantal modellen ontwikkelen. Deze modellen zullen afhankelijk zijn van het antwoord op vragen als: wordt er vooraf toestemming gevraagd voor de gegevensverwerking, worden er gegevens over de domeinen heen uitgewisseld etc. De VNG zal deze modellen aanleveren en het Rijk zal PIA’s uitvoeren op deze verschillende modellen voor de structurele gegevensverwerking. In de nazomer zullen de resultaten van deze PIA’s aan beide Kamers gemeld worden.

Welke lessen trekken de beide Staatssecretarissen uit de rapportage van de SZW-inspectie voor het domein van de jeugdzorg?

De problemen met SUWINET zijn te kenschetsen als een autorisatieprobleem. Een dergelijk probleem kan bij de éénmalige gegevensoverdracht niet aan de orde zijn, nu er geen sprake is van een landelijke opslag van persoonsgegevens waarbij een autorisatieprobleem opgeld kan doen. De gegevensset is verder beperkt tot het hoogst noodzakelijke.

Bestaat er bij gemeenteambtenaren en bijvoorbeeld medewerkers van sociale wijkteams voldoende kennis over (de wet- en regelgeving rondom) privacyaspecten om met gevoelige persoonsgegevens om te gaan en deze op waarde te kunnen schatten?

In de PIA staan suggesties voor gemeenten hoe om te gaan met de gegevens die gemeenten voor de eenmalige overdracht zullen ontvangen. Deze suggesties maken deel uit van een in overleg met de VNG op te stellen handreiking.

Gemeenten worden gestimuleerd om de handreiking te gebruiken en te volgen bij het verwerken van de in het kader van de eenmalige gegevensoverdracht ontvangen gegevens. Gemeenteambtenaren worden op deze wijze derhalve geholpen bij de interpretatie van de wet- en regelgeving rondom privacyaspecten en hoe zij met gevoelige persoonsgegevens om dienen te gaan.

Er zullen, zo stellen de Staatssecretarissen in hun brief, alleen gegevens worden overgedragen als gemeenten er aantoonbaar veilig mee omgaan. Wat moet in dit licht onder «aantoonbaar» worden verstaan? Door welke instantie zal dit, voor meer dan 400 afzonderlijke gemeenten, worden gecontroleerd?

Door de suggesties uit de PIA over te nemen en de handreiking te volgen, kunnen gemeenten aantonen dat de door hen te ontvangen gegevens conform de suggesties uit de PIA en de handreiking verwerkt zullen worden. We spreken tevens de verwachting uit dat het niet voor zal komen dat- in een meest negatieve scenario – geen gegevens overgedragen zullen worden aan een bepaalde gemeente vanwege het feit dat deze gemeente de handreiking openlijk naast zich neer zou leggen.

De leden van de GroenLinks-fractie vragen waarom de Staatssecretaris enkel een PIA heeft laten doen op de eenmalige gegevensoverdracht in het kader van de jeugdzorgdecentralisatie, en geen onderzoek laat doen naar de privacy impact van de structurele gegevensoverdracht na decentralisatie. Mede gelet op het feit dat in de PIA ook wordt aangestipt dat het hier gaat om bijzondere gegevens, waarvan onverhoopt verlies tot ernstige aantasting van de privacy kan leiden. Is de Staatssecretaris bereid dit alsnog te laten onderzoeken en daarbij ook de samenhang met de gegevensuitwisseling in het kader van de Wmo 2015 en de participatiewet te betrekken? Zo nee, waarom niet?

In het kader van de stelselverantwoordelijkheid zijn er PIA’s geïnitieerd voor het verzamelen van beleidsinformatie en voor de informatievoorziening keteninformatie jeugdreclassering en jeugdbescherming. Daarnaast zullen er door het Rijk een aantal PIA’s worden uitgevoerd op de gemeentelijke gegevensverwerking. De verwachting is dat de structurele gegevensverwerking niet bij elke gemeente anders zal verlopen. Er zullen zich, afhankelijk van een aantal factoren, een aantal scenario’s ontwikkelen. Deze scenario’s zullen afhankelijk zijn van het antwoord op vragen als: wordt er vooraf toestemming gevraagd voor de gegevensverwerking, worden er gegevens over de domeinen heen uitgewisseld etc. De VNG zal deze scenario’s aanleveren en het Rijk zal PIA’s uitvoeren op deze verschillende scenario’s voor de structurele gegevensverwerking. In de nazomer zullen de resultaten van deze PIA’s aan beide Kamers gemeld worden.

Aanvullend hierop zal de Minister van BZK PIA’s laten uitvoeren die betrekking hebben op het brede sociale domein.

De leden van de GroenLinks-fractie vragen of de Staatssecretaris uit hoofde van zijn systeemverantwoordelijkheid niet de verplichting heeft om na decentralisatie van de jeugdzorg de naleving van de Wet bescherming persoonsgegevens in gemeenten te toetsen, en zo ja, hoe hij dit toezicht gaat vormgeven.

Voor de Jeugdwet geldt in de eerste plaats horizontale verantwoording. Ook voor het omgaan met persoonsgegevens uit de eenmalige gegevensoverdracht legt het college verantwoording af aan de gemeenteraad. In lijn met motie-Franken zal het Rijk erop toezien dat de eenmalige gegevensoverdracht veilig plaatsvindt. Dit gebeurt tot inwerkingtreding van de wet door de Transitiecommissie. Na 1 januari 2015 zal een in te stellen privacycommissie audits bij gemeenten uitvoeren. Verder houdt de Inspectie toezicht op de naleving van de Jeugdwet. Indien blijkt dat een gemeente zich niet houdt aan de privacyregels kan het Rijk een aanwijzing geven. Ten slotte houdt het Cbp toezicht op de naleving en zal handhavend optreden indien het Cbp dit nodig acht.

De leden van de GroenLinks-fractie horen graag van de Staatssecretaris hoe hij een aantal specifieke aanbevelingen uit de PIA zal gaan uitvoeren. Zo wensen deze leden te vernemen wanneer zij de ministeriële regeling kunnen verwachten ter uitwerking van artikel 10.4 van de Jeugdwet (aanbeveling 7), hoe de Staatssecretaris voornemens is af te dwingen dat gemeenten bij contact met jeugdzorgcliënten over vervolghulp, de gegevens van die cliënt die zij in het kader van de eenmalige gegevensoverdracht heeft ontvangen meezenden (aanbeveling 14) en hoe hij uitvoer zal geven aan de aanbeveling om een notificatiebericht in te voeren bij vernietiging van gegevens overeenkomstig artikel 10.4, lid 6 van de Jeugdwet (aanbeveling 15).

Het streven is om deze ministeriële regeling Jeugdwet uiterlijk dit najaar in werking te laten treden. Uw Kamer wordt geïnformeerd over de uit te sluiten cliëntgroepen waarvan de uitwerking plaatsvindt in de ministeriele regeling.

In de Jeugdwet is bepaald dat onder andere artikel 10.2 en 10.4 direct na publicatie van de wet in het staatsblad in werking treden, zodat voor de eenmalige gegevensoverdracht een legitieme wettelijke grondslag heeft. Deze leden vragen of de implicatie hiervan is dat de gegevensoverdracht niet eerder kan plaatsvinden dan wanneer de Jeugdwet door de Staten-Generaal is aanvaard en is gepubliceerd in het staatsblad.

Dit is juist. Inwerkingtreding van artikel 10.4 Jeugdwet is een voorwaarde om de eenmalige gegevensoverdracht te laten plaatsvinden. De Jeugdwet is 14 maart 2014 gepubliceerd in het Staatsblad.

Deze leden zijn benieuwd welk tijdsbestek de Staatssecretaris nodig denkt te hebben om de gegevensoverdracht te realiseren en of daarvoor voldoende ruimte zit tegen het beoogde tijdstip van publicatie van de wet in het staatsblad en de invoeringsdatum van 1 januari 2015.

De planning van de eenmalige gegevensoverdracht is zodanig dat er voldoende ruimte zit tot de invoeringsdatum van 1 januari 2015. De feitelijke overdracht is voorzien in de periode september 2014 tot januari 2015.

Uit de PIA maken genoemde leden op dat de plv. Functionaris voor de gegevensbescherming van het Ministerie van VWS actief toezicht gaat houden ten aanzien van het verwerken van de gegevens binnen de tijdelijke voorziening. Graag vernemen deze leden tot slot op welk moment de Kamer geïnformeerd zal worden met betrekking tot de ordentelijkheid van de uitvoer van de eenmalige gegevensoverdracht.

Door af te zien van een dergelijke centrale opslag van persoonsgegevens, zal de eerder voorziene rol van de functionaris voor de gegevensbescherming van VWS grotendeels vervallen.