36 444 Wijziging van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerkingen te verstevigen (Verzamelwet gegevensverwerking VWS I)

Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 3 april 2024

Inhoudsopgave

Introductie

1

Leeswijzer

1

I.

Algemeen deel

2

1.

Inleiding

2

2.

Hoofdlijnen van het voorstel

4

3.

Verhouding tot hoger recht

12

4.

Gegevensbeschermingseffectbeoordeling (DPIA)

13

5.

Gevolgen (m.u.v. financiële gevolgen)

13

6.

Uitvoering

14

7.

Toezicht en handhaving

14

8.

Advies en consultatie

15

9.

Fraudetoets

19

II.

Artikelsgewijze toelichting

19

III.

Tabel bewaartermijnen

21

Introductie

Met belangstelling heb ik kennisgenomen van het verslag van de vaste commissie voor Volksgezondheid, Welzijn en Sport (VWS) over het voorstel houdende wijziging van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerkingen te verstevigen (Verzamelwet gegevensverwerking VWS I). Er zijn door de leden van de fracties van de Groenlinks-PvdA, NSC, D66, BBB en SP vragen gesteld en opmerkingen gemaakt. Ik hoop met de beantwoording van de gestelde vragen de nog bestaande onduidelijkheden te kunnen wegnemen.

Leeswijzer

In deze nota naar aanleiding van het verslag wordt de volgorde van de hoofdstukken van het verslag aangehouden. Verschillende fracties hebben over een aantal onderwerpen vergelijkbare vragen gesteld. Waar dit de helderheid en overzichtelijkheid ten goede kwam, zijn vragen samengenomen in de beantwoording.

I. Algemeen deel

De leden van de NSC-fractie merken op dat het verzamelen, opslaan en delen van gevoelige informatie over kinderen en gezinnen aanzienlijke risico’s met zich meebrengt, vooral als het gaat om de bescherming van privacy en de voorkoming van misbruik. Bovendien brengt het gebruik van geautomatiseerde systemen en algoritmen het risico met zich mee van stigmatisering, vooringenomenheid en foutieve besluitvorming, met name wanneer het gaat om complexe sociaal-emotionele kwesties die niet eenvoudig te vatten zijn in data. Zij vragen de regering of zij deze mening deelt en hierop wil reageren.

De genoemde leden missen daarnaast een gedegen onderbouwing voorzien van analyses, toekomstbeeld en een afgewogen risico/baten/probleem analyse ten aanzien van de overweging om data verzameling op deze schaal mogelijk te maken. Zij vragen de regering deze onderbouwing alsnog te geven en in te gaan op de hierboven beschreven risico’s en het voorkomen daarvan.

De regering deelt de mening van de leden van de NSC dat het verwerken van gevoelige informatie over kinderen en gezinnen risico’s met betrekking tot privacybescherming met zich meebrengt en is bekend met de risico’s van (semi­)geautomatiseerde besluitvorming, profilering of big data­verwerkingen.

Dit wetsvoorstel voorziet niet in een mogelijkheid tot de inzet van geautomatiseerde systemen om beslissingen te nemen over bijvoorbeeld het toewijzen van hulpbronnen, het bepalen van interventies of het inschatten van het risico op kindermishandeling in concrete gevallen. Het wetsvoorstel beoogt wel een grondslag te bieden voor de taakuitvoering door de hulplijnen en de bestaande grondslagen voor de verwerking van persoonsgegevens (waaronder bijzondere categorieën van persoonsgegevens, gegevens van strafrechtelijke aard en het BSN) ten behoeve van beleidsinformatie en de grondslag voor het verstrekken van gegevens aan het college met als doel dat het college kan beoordelen of een bepaalde voorziening nodig is (de zgn. «gevalsbehandeling») te verduidelijken.

De gevolgen en risico’s van de wijzigingen in dit voorstel zijn zorgvuldig afgewogen. De noodzaak, proportionaliteit en subsidiariteit zijn per onderdeel toegelicht in hoofdstuk 2 van de memorie van toelichting, tenzij enkel sprake is van een verduidelijking van bestaande grondslagen. In dat laatste geval heeft deze afweging reeds plaatsgevonden bij het wetsvoorstel waarmee de oorspronkelijke verwerkingsgrondslag werd gecreëerd.

1. Inleiding

De leden van de NSC-fractie missen in de inleiding onder punt 3 een toelichting op de sociaal-emotionele lading en veiligheid die de anonimiteit bood aan gebruikers van de hulplijnen en de ontsluiting van identificatie van betrokkenen. Zij vragen de regering of er is gekeken naar een alternatieve route waarbinnen de anonimiteit op een of andere wijze gewaarborgd kan worden.

In de huidige situatie is er strikt genomen geen sprake van anonimiteit in de zin van de Algemene verordening gegevensbescherming (hierna: AVG), maar zijn er wel passende waarborgen getroffen die de vertrouwelijkheid garanderen. De huidige mate van vertrouwelijkheid in de praktijk blijft onverkort van toepassing.

Om een verbinding tussen de beller/chatter en een vrijwilliger mogelijk te maken is een telefoonnummer of IP-adres nodig. De vrijwilliger met wie de persoon het gesprek voert dan wel chat, ziet dit telefoonnummer of IP-adres niet.

Deze gegevens zijn versleuteld (gepseudonimiseerd). Ook de versleutelde gegevens ziet de vrijwilliger niet. De verwerker deelt het IP-adres of telefoonnummer alleen (op verzoek van de hulplijnen) in zeer uitzonderlijke situaties met een van de daarvoor specifiek aangewezen medewerkers van de hulplijnen zodat de politie kan worden ingeschakeld. Denk hierbij aan uitzonderlijke situaties waarin er een reëel risico is op moord, doodslag of een terroristische aanslag. De inhoudelijke informatie uit de chat wordt uitsluitend verstrekt op vordering van de officier van justitie. Op deze manier wordt voldaan aan de belangrijke voorwaarde voor de laagdrempelige toegankelijkheid en vertrouwelijkheid van de hulplijnen: dat personen gesprekken kunnen blijven voeren die niet direct tot hen kunnen worden herleid.

Van anonimiteit in de zin van de AVG is enkel sprake indien elke mogelijkheid tot identificatie van betrokkenen onherroepelijk wordt uitgesloten. Bij de hulplijnen kan indirecte herleidbaarheid door middel van het telefoonnummer of IP-adres echter, ondanks technische en organisatorische maatregelen, niet volledig worden uitgesloten. Ook niet in de huidige situatie. Bij de invoering van de AVG was niet helder dat de betreffende wetten op dit punt diende te worden aangepast. Deze omissie wordt nu hersteld. Om de wet weer aan te laten sluiten bij de feitelijke situatie en in overeenstemming te brengen met de AVG wordt voorgesteld «anoniem» in de bepalingen die gaan over de Kindertelefoon en de Luisterlijn te vervangen door «niet direct herleidbaar».

De leden van de NSC-fractie vragen de regering met betrekking tot punt 7 nader aan te geven wat de verhouding is tussen het verkrijgen van medische gegevens voor het beoordelen van subsidies. Zij vragen in hoeverre rekening wordt gehouden met de rechtmatigheid in relatie tot de doelmatigheid & doeltreffendheid. De leden van de NSC-fractie geven aan dat rechtmatigheid toeziet op (in)directe «fraude signalering» en dat de doelmatigheid & doeltreffendheid toeziet op het mensaspect binnen de zorgverlening. Het uitgangspunt lijkt dan opnieuw wantrouwen in plaats van vertrouwen. De genoemde leden vragen de regering of er goed is gekeken hoe het uitgangspunt vertrouwen in plaats van wantrouwen vorm zou kunnen worden gegeven in dit voorstel van wijziging.

Zoals in de memorie van toelichting is opgenomen, worden in het geval van subsidies aan natuurlijke personen op het terrein van de volksgezondheid soms gegevens over gezondheid verwerkt. Er is al snel sprake van de verwerking van gegevens over gezondheid. Alleen het feit dat iemand zorg behoeft of een aanvraag voor een subsidie wordt gedaan in het kader van een zorgbehoefte kan al als verwerking van gegevens over gezondheid worden beschouwd. Daarnaast zijn gegevens over gezondheid soms noodzakelijk om te kunnen beoordelen of de subsidie rechtmatig verstrekt kan worden, hetgeen vanzelfsprekend het uitgangspunt is bij subsidieverstrekking. Alleen die gegevens worden verwerkt die noodzakelijk zijn om inhoudelijk vast te kunnen stellen of de aanvrager in aanmerking komt voor subsidie, de activiteiten zijn uitgevoerd of aan andere subsidieregels wordt voldaan. In de Rijksbrede Aanwijzingen voor subsidieverstrekking en overige subsidieregelgeving zijn regels over subsidieverstrekking opgenomen. Vertrouwen is als uitgangspunt in het subsidieproces geborgd. Er gelden bijvoorbeeld minder verantwoordingseisen bij kleinere subsidies. Dat uitgangspunt blijft gehandhaafd.

Momenteel gebeurt de verwerking op basis van de verwerkingsgrondslag toestemming. Deze verwerkingsgrondslag is minder passend, omdat toestemming in vrijheid geacht dient te zijn gegeven. Dat houdt in dat de betrokkene diens toestemming zonder nadelige gevolgen moet kunnen weigeren of intrekken. In het geval van subsidies kan intrekking of weigering van toestemming betekenen dat cruciale informatie ontbreekt om de rechtmatigheid van de subsidie vast te kunnen stellen. Als niet (meer) kan worden vastgesteld of aan de subsidieregels wordt voldaan, kan niet anders gehandeld worden dan de subsidie te weigeren of in te trekken. Door een verwerkingsgrondslag te creëren in de Kaderwet VWS-subsidies, wordt de afhankelijkheid van de toestemming voor het ontvangen van subsidies weggenomen, wat zowel de rechtmatigheid, doelmatigheid als doeltreffendheid van de subsidieverstrekking ten goede komt.

2. Hoofdlijnen van het voorstel

De leden van de GroenLinks-PvdA-fractie zijn benieuwd of bij de besluitvorming rondom de gegevensverwerking van de kindertelefoon, de luisterlijn en de chat van Veilig Thuis ook gebruikers bevraagd zijn over hoe zij hierin staan. Zij vragen de regering of aan kinderen is gevraagd of zij het geven van toestemming als een drempel zouden zien en of er bijvoorbeeld met ervaringsdeskundigen die te maken hebben gehad met huiselijk geweld of kindermishandeling is gesproken over het wel of niet vragen om toestemming.

Uit een onderzoek onder gebruikers van de Kindertelefoon is gebleken dat een toestemmingstekst een drempel opwerpt voor kinderen (8–18 jarigen) die contact zoeken met de Kindertelefoon. Meer dan de helft van de kinderen twijfelt of geeft geen toestemming en 16% besluit om niet meer te gaan chatten. Ze zijn bang dat hun ouders kunnen zien dat ze hebben gechat, dat hun gegevens met derden worden gedeeld, dat er «iets achter zit», dat het gesprek niet anoniem/vertrouwelijk is. Andere reden dat het vragen om toestemming een drempel opwerpt, is dat ze de afspraak hebben met hun ouders dat ze altijd eerst moeten overleggen voordat ze een vinkje aanklikken, ze de tekst niet snappen of ze het irritant vinden om eerst iets te moeten doorlezen voordat ze kunnen chatten. Een deel van deze knelpunten zou kunnen worden ondervangen door een eenvoudigere en duidelijkere toestemmingstekst (in kindertaal). Echter, is het de vraag of een korte simpele tekst voldoende inzicht geeft in de gegevensverwerking. De kinderen geven immers aan dat het niet meer dan één zin zou moeten zijn. Bovendien lost dit niet alle knelpunten op. Voor de kinderen die bang zijn dat er «iets achter zit», de kinderen die eerst met hun ouders moeten overleggen of die elke toestemmingstekst zien als drempel om te chatten blijft de toestemming een obstakel. Terwijl de Kindertelefoon juist een laagdrempelig luisterend oor wil bieden voor alle kinderen. Ook voor de meest kwetsbare kinderen die het juist zo spannend vinden om contact te zoeken. Om die reden is toestemming geen geschikte grondslag en is het passend om een grondslag wettelijk vast te leggen.

Uit navraag bij Veilig Thuis blijkt dat gebruikers en ervaringsdeskundigen niet is gevraagd of zij het vragen van toestemming als een drempel ervaren. Wel hebben gebruikers bij de evaluatie van de pilot van de chat (in 2020) aangegeven dat zij als belangrijk voordeel van de chat zien dat deze mogelijkheid laagdrempeliger is dan bellen. De doelgroep van de chat van Veilig Thuis en de Luisterlijn is anders, maar net als de Kindertelefoon beogen ook deze hulplijnen een zo laagdrempelig mogelijke voorziening te bieden. De Luisterlijn is er voor iedereen die ergens mee zit. De chat van Veilig Thuis is bedoeld als een extra laagdrempelige mogelijkheid voor iedereen die te maken heeft met huiselijk geweld en kindermishandeling en voor omstanders om advies te krijgen. Met name wanneer bellen lastig is en juist wanneer de drempel om contact te zoeken al hoog is. Het vragen van toestemming op een manier die tegemoetkomt aan de laagdrempeligheid van de functies (kort, eenvoudig en snel) en tegelijkertijd zorgvuldig is (een goede omschrijving van de gegevensverwerking omvat en specifieke vragen bevat) is niet mogelijk.

De leden van de GroenLinks-PvdA fractie lezen dat de verwerking van het telefoonnummer en het IP-adres ook van belang zijn om oneigenlijk gebruik van de kindertelefoon en luisterlijn tegen te gaan. Hierbij gaat het om kinderen die veelvuldig contact willen. Genoemde leden lezen dat bij veelvuldig oneigenlijk gebruik een gesprekspartner voor de duur van zes maanden kan worden geblokkeerd. Zij vragen de regering of het kind ook hulp wordt geboden als hij of zij veelvuldig contact opneemt, want ook achter dit veelvuldige gebruik kan een hulpvraag zitten.

Omdat de Kindertelefoon zoveel mogelijk kinderen te woord wilt staan, kunnen kinderen maximaal twee keer per dag een gesprek voeren via de kanalen van de Kindertelefoon. Als dit maximum is bereikt zijn ze de volgende dag weer welkom. Op deze manier blijft de Kindertelefoon elke dag zo goed mogelijk bereikbaar voor álle kinderen die graag met hen willen praten.

Wanneer er veel en lang gebeld wordt en er geen ontwikkeling in de gesprekken zit, kunnen de gesprekken daarnaast worden beperkt tot maximaal 15 minuten per keer. Op deze manier kan de Kindertelefoon wel met het kind in contact blijven, maar kunnen zij ook zoveel mogelijk kinderen gebruik laten maken van de Kindertelefoon. De vrijwilligers leggen een beperking van de gespreksduur altijd uit.

Een blokkade voor maximaal drie maanden is de meest verstrekkende maatregel en wordt enkel toegepast wanneer er meerdere keren een time-out is ingezet. Een kind krijgt zo’n time-out wanneer het de vrijwilligers uitscheldt of meermaals de huisregels overtreedt.

De Luisterlijn stelt ook grenzen aan veelvuldig contact en oneigenlijk gebruik. Veelvuldig contact wordt begrensd tot driemaal contact per dag vanaf eenzelfde telefoontoestel of IP-adres. Daarnaast kunnen vrijwilligers bij ongewenst gedrag een gedragslijn afspreken, een gesprek beëindigen of in een uiterst geval een (tijdelijke) blokkering opleggen. Een blokkade is een uiterst middel dat zorgvuldig en terughoudend wordt ingezet.

Kortom, er wordt niet zomaar overgegaan tot een blokkade voor langere termijn en per geval wordt gekeken wat passend is. Er is dus sprake van maatwerk. Vrijwilligers zijn daarbij alert op signalen van een mogelijke hulpvraag achter het veelvuldige gebruik zodat de wens en mogelijkheden voor professionele hulp kunnen worden besproken.

De leden van de GroenLinks-PvdA-fractie lezen verder dat onderhavig wetsvoorstel een grondslag bevat voor gegevensverwerking in het kader van VWS-subsidies. Bij dit soort subsidies gaat het vaak om zeer vertrouwelijke informatie die in systemen en bestanden terecht komt. Als voorbeeld wordt de subsidieregeling medisch noodzakelijke zorg aan onverzekerden genoemd. Deze groep van onverzekerden is vaak een groep mensen die zeer kwetsbaar is en waarbij het vertrouwen naar de overheid zeer broos kan zijn. De genoemde leden vragen de regering in hoeverre de wens tot het registeren van hun gegevens dit wantrouwen kan vergroten en aan het verlenen van de zorg in de weg kan staan. Zij vragen tevens in hoeverre bij het opstellen van dit wetsvoorstel hierover is gepraat met bijvoorbeeld belangenverenigingen en ervaringsdeskundigen. Tot slot vragen de genoemde leden of de regering het met hen eens is dat het registreren en de wettelijke mogelijkheid tot het delen van gegevens nooit het verlenen van zorg in de weg mag staan.

De regering is het met de genoemde leden eens dat vrije toegang tot de gezondheidszorg van groot belang is. In lijn met de professionele standaard zullen artsen altijd noodzakelijke zorg bieden. De subsidie die zorgaanbieders daarna kunnen aanvragen en de daarvoor benodigde verwerking van gezondheidsgegevens staat hier los van en staat het verlenen van zorg dus niet in de weg. Daarnaast volgt er uit de AVG extra bescherming voor bijzondere persoonsgegevens, waaronder gegevens over gezondheid. Uit de AVG volgt dat het verwerken van gezondheidsgegevens verboden is, tenzij er sprake is van één van de in de AVG genoemde uitzonderingsgronden. De verwerkingsgrondslag toestemming is minder passend, omdat toestemming in vrijheid geacht dient te zijn gegeven. Dat houdt in dat de betrokkene diens toestemming zonder nadelige gevolgen moet kunnen weigeren of intrekken. In het geval van subsidies kan intrekking of weigering van toestemming (van de betrokkene) betekenen dat cruciale informatie ontbreekt om een subsidieaanvraag (van een zorgaanbieder) te kunnen beoordelen en om vervolgens de rechtmatigheid van de subsidie vast te kunnen stellen. Om rechtmatig gezondheidsgegevens te verwerken bij subsidieverstrekking wordt daarom voorgesteld om een wettelijke grondslag te creëren. Hierbij is een belangenafweging gemaakt tussen enerzijds de privacy van de patiënt (en het belang van vrije toegang tot de zorg) en anderzijds rechtmatige subsidieverstrekking. Hieruit volgt dat alleen die persoonsgegevens mogen worden verwerkt die absoluut noodzakelijk zijn voor de beoordeling van een subsidieaanvraag. Dit is toegelicht in paragraaf 2.7.1 van de memorie van toelichting waarbij is ingegaan op de noodzakelijkheid, proportionaliteit en subsidiariteit van de beoogde wijziging. Daarnaast zijn er in de AVG bepaalde waarborgen opgenomen, bijvoorbeeld ten aanzien van beveiliging, bewaartermijnen en rechten voor betrokkenen.

Belangenverenigingen en ervaringsdeskundigen hebben op het wetsvoorstel kunnen reageren via de internetconsultatie. Op de grondslag voor gegevensverwerking voor subsidieverstrekking zijn geen reacties binnengekomen.

De leden van de NSC-fractie vragen of de regering hun mening deelt dat anonimiteit het uitgangspunt moet zijn voor hulplijnen en zo ja, of de regering nader kan aangeven in hoeverre dit wetsvoorstel aan dit uitgangspunt tegemoetkomt. Indien dit wetsvoorstel niet aan dit uitgangspunt tegemoetkomt vragen de genoemde leden waarom niet.

In de huidige situatie is er strikt genomen geen sprake van anonimiteit in de zin van AVG, maar zijn er wel passende waarborgen getroffen die de vertrouwelijkheid garanderen. De huidige mate van vertrouwelijkheid in de praktijk blijft onverkort van toepassing.

Om een verbinding tussen de beller/chatter en een vrijwilliger mogelijk te maken is een telefoonnummer of IP-adres nodig. De vrijwilliger met wie de persoon het gesprek voert dan wel chat, ziet dit telefoonnummer of IP-adres niet. Deze gegevens zijn versleuteld (gepseudonimiseerd). Ook de versleutelde gegevens ziet de vrijwilliger niet. De verwerker deelt het IP-adres of telefoonnummer alleen (op verzoek van de Kindertelefoon of de Luisterlijn) in zeer uitzonderlijke situaties met een van de daarvoor specifiek aangewezen medewerkers van de hulplijnen zodat de politie kan worden ingeschakeld. Denk hierbij aan uitzonderlijke situaties waarin er een reëel risico is op moord, doodslag of een terroristische aanslag. De inhoudelijke informatie uit de chat wordt uitsluitend verstrekt op vordering van de officier van justitie. Op deze manier wordt voldaan aan de belangrijke voorwaarde voor de laagdrempelige toegankelijkheid en vertrouwelijkheid van de hulplijnen: dat personen gesprekken kunnen blijven voeren die niet direct tot hen kunnen worden herleid.

Van anonimiteit in de zin van de AVG is enkel sprake indien elke mogelijkheid tot identificatie van betrokkenen onherroepelijk wordt uitgesloten. Bij de hulplijnen kan indirecte herleidbaarheid door middel van het telefoonnummer of IP-adres echter, ondanks technische en organisatorische maatregelen, niet volledig worden uitgesloten. Ook niet in de huidige situatie. Bij de invoering van de AVG was niet helder dat de betreffende wetten op dit punt diende te worden aangepast. Deze omissie wordt nu hersteld. Om de wet weer aan te laten sluiten bij de feitelijke situatie en in overeenstemming te brengen met de AVG wordt voorgesteld «anoniem» in de bepalingen die gaan over de Kindertelefoon en de Luisterlijn te vervangen door «niet direct herleidbaar».

De leden van de D66-fractie vragen de regering in hoeverre het noodzakelijk wordt geacht om het begrip «andere meldingen» verder af te bakenen. Zij vragen de regering verder in hoeverre de verplichting om alle gegevens aan de Inspectie Gezondheidszorg en Jeugd (IGJ) te verstrekken wanneer dit gevraagd wordt leidt tot een toegenomen regeldruk.

Met het begrip «andere meldingen» worden andere meldingen dan de verplichte meldingen uit artikel 11 Wkkgz bedoeld. Dit volgt uit artikel 25, eerste lid, Wkkgz en artikel 1.1 van het Uitvoeringsbesluit Wkkgz. Eenieder is vrij om een melding te doen. De afbakening vindt daarna plaats doordat de IGJ een onderzoek doet teneinde vast te stellen of sprake is van een situatie die voor de veiligheid van cliënten of de zorg een ernstige bedreiging kan betekenen of met het oog op het belang van een goede zorg anderszins noodzaakt tot nader onderzoek. Het is daarom niet noodzakelijk om dit begrip verder af te bakenen.

De voorgestelde wettelijke grondslag voor gegevensverwerking bij andere meldingen, maakt het mogelijk dat de IGJ bij het onderzoeken van andere meldingen bijzondere categorieën van persoonsgegevens – dus ook gegevens over gezondheid en gegevens van strafrechtelijke aard – kan verwerken. Ook indien de patiënt geen toestemming heeft gegeven tot de verwerking van de gegevens over gezondheid. Deze voorgestelde bepaling leidt niet of nauwelijks tot regeldruk.

Dat komt in de eerste plaats doordat de IGJ slechts díe gegevens kan opvragen die noodzakelijk zijn om een andere melding goed te kunnen onderzoeken, dat wil zeggen om te kunnen onderzoeken of een gemelde situatie voor de veiligheid van cliënten of de zorg een ernstige bedreiging betekent of met het oog op het belang van goede zorg anderszins noodzaakt tot nader onderzoek.

In de tweede plaats kan de IGJ nu al alle (persoons)gegevens opvragen bij de betrokken zorgaanbieder en de betrokken zorgverleners voor zover die voor het onderzoeken van de andere melding noodzakelijk zijn, behalve de bijzondere persoonsgegevens, zoals gegevens over gezondheid en gegevens van strafrechtelijke aard.

De IGJ is in onderzoeken naar andere meldingen daardoor nu afhankelijk van de bereidheid van de cliënt, zorgaanbieder of zorgverlener om (bijzondere categorieën van) persoonsgegevens te verstrekken. Veelal zijn zorgaanbieders en zorgverleners daartoe bereid als er toestemming is van de betrokkene, maar er zijn situaties waarin de betrokkene de toestemming om de gegevens te verwerken weigert of intrekt terwijl het wel aangewezen is om de andere melding te onderzoeken. Denk daarbij aan bijvoorbeeld de situatie van een zoon die een melding doet over een zorgelijke situatie met betrekking tot de zorg voor zijn in een verpleeghuis opgenomen moeder. Of aan de situatie waarin een zorgverlener een mogelijke verslaving van een andere zorgverlener onder de aandacht brengt. Het onderzoek kan dan slechts uitgevoerd worden voor zover dat mogelijk is zonder de bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke aard. Ook zijn er situaties waarin het (nagenoeg) onmogelijk is om toestemming te vragen. Het gaat dan vaak om (bijzondere categorieën van) persoonsgegevens van anderen dan de melder zelf. Door het ontbreken van relevante bijzondere persoonsgegevens kan de IGJ nu in bepaalde gevallen andere meldingen niet (volledig) onderzoeken.

In de derde plaats geldt deze afgebakende, voorgestelde bepaling al ten aanzien van de verplichte meldingen. In de context van de verplichte meldingen heeft deze bepaling ook niet of nauwelijks tot regeldruk geleid.

De leden van de D66-fractie vragen de regering ten aanzien van de luisterlijnen in hoeverre de verandering in gegevensverwerking actief gecommuniceerd wordt met de gebruiker, wanneer deze wetswijziging wordt geaccordeerd. Zij vragen de regering verder of zij heeft onderzocht in hoeverre deze wijziging effect heeft op het gebruik van deze luisterlijnen en in hoeverre een toelichting bij de luisterlijnen de laagdrempeligheid van het instrument zal aantasten?

Wanneer deze wetswijziging door het parlement is aangenomen, zullen gebruikers via de websites van de hulplijnen worden geïnformeerd over eventuele gevolgen van deze wetswijziging voor het gebruik van de hulplijnen. Waar nodig worden de privacystatements van de hulplijnen aangepast.

De Kindertelefoon, de Luisterlijn en een aantal Veilig Thuis-organisaties geven in hun privacystatements al aan dat het telefoonnummer en IP-adres automatisch bij hen binnenkomt en dat vrijwilligers dit niet kunnen zien. Het is daarom niet de verwachting dat de wijziging effect zal hebben op het gebruik van de hulplijnen of de laagdrempeligheid zal aantasten.

De leden van de D66-fractie vragen voorts in hoeverre de regering het noodzakelijk acht om de betrokkene vooraf op de hoogte te stellen dat diens persoonsgegevens ook voor andere doeleinden dan het voorgenomen doel kunnen worden gebruikt.

Op grond van de AVG zijn de hulplijnen reeds verplicht om gebruikers te informeren over de doeleinden waarvoor de gegevens worden verwerkt en eventuele verdere verwerkingen. De hulplijnen doen dit via hun privacystatements.

De leden van de D66-fractie vragen de regering ten aanzien van de grondslag voor het delen van persoonsgegevens bij een vermoeden van fraude in hoeverre er waarborgen zijn ingebouwd, zodat bij het delen van persoonsgegevens bij een vermoeden van fraude sprake moet zijn van doelbinding.

Het wetsvoorstel voorziet alleen in een grondslag voor gegevensuitwisseling indien er eerst gegevens zijn ontvangen van het Informatieknooppunt zorgfraude (IKZ). Daarnaast kunnen colleges of ziektekostenverzekeraars alleen gegevens opvragen indien die gegevens noodzakelijk zijn voor bestrijding van fraude in de zorg. Indien er geen sprake is van noodzakelijkheid kunnen er dus geen gegevens worden opgevraagd. Daarnaast kan een college of ziektekostenverzekeraar uitsluitend gegevens opvragen als zij zelf een onderzoek zijn gestart naar fraude in de zorg, jeugdhulp of maatschappelijke ondersteuning. De verwerking van gegevens moet worden beëindigd als er niet langer onderzoek wordt gedaan naar fraude in de zorg.

Op grond van artikel 2.8 van de Wbsrz hebben betrokken instanties daarnaast een expliciete geheimhoudingsplicht. Dit houdt in dat instanties de ontvangen (persoons)gegevens niet verder mogen gebruiken dan voor de uitvoering van de wet strikt noodzakelijk is.

De leden van de D66-fractie vragen de regering daarnaast om een reactie op de opmerking dat het in de huidige memorie van toelichting onvoldoende duidelijk is wanneer de ene fase overgaat in de volgende.

Meerdere ontvangen reacties tijdens de internetconsultatie beschrijven dat het niet helder is op basis van welke criteria het onderzoek van de ene fase overgaat in de andere fase. Mede naar aanleiding van deze reacties zijn in de memorie van toelichting de begrippen verder uitgewerkt. De verschillende onderdelen zijn niet langer beschreven als fasen, maar zijn nu beschreven als losstaande onderdelen. De samenhang tussen de verschillende onderdelen is in de toelichting specifieker toegelicht en voorzien van een voorbeeld. Hiermee is tegemoetgekomen aan de belangrijkste reacties over dit onderwerp.

De leden van de D66-fractie vragen voorts in hoeverre wordt voorkomen dat een groot aantal medewerkers bij gemeenten en ziektekostenverzekeraars bij persoonsgegevens kunnen, waardoor het risico wordt vergroot op bijvoorbeeld een datalek. De genoemde leden vragen tevens hoe de regering de privacy-risico’s tempert die er ontstaan doordat zoveel partijen, bij een verrijkt signaal, persoonsgegevens onderling mogen uitwisselen.

Dit wetsvoorstel bepaalt dat gemeenten en ziektekostenverzekeraars toegang hebben tot de beperkte set gegevens die op basis van de grondslag in dit wetsvoorstel kunnen worden uitgewisseld. Bij algemene maatregel van bestuur wordt uitgewerkt welke beveiligingseisen zullen gelden en hoe de toegang tot de gegevens wordt beperkt tot alleen die medewerkers die uit hoofde van hun functie over deze informatie moeten beschikken en welke waarborgen zullen gelden om ongeoorloofde kennisname te beperken.

De leden van de D66-fractie vragen ten aanzien van dit onderwerp tot slot waarom ervoor gekozen is om per algemene maatregel van bestuur (AMvB) te bepalen welke (bijzondere) persoonsgegevens worden gedeeld terwijl dit nu al in de memorie van toelichting is vervat.

Er is gekozen om dit bij algemene maatregel van bestuur te regelen omdat de bestrijding van fraude in de zorg in de loop der tijd een andere set aan (persoons)gegevens kan vereisen. Om fraude in de zorg in die gevallen effectief te kunnen blijven bestrijden is een aanpassing van de algemene maatregel van bestuur een praktische keuze. Hierbij wordt aangesloten bij de systematiek die ook geldt voor het Waarschuwingsregister en het IKZ.

De leden van de SP-fractie lezen bij het onderdeel dat betrekking heeft op de gegevensverwerking bij de uitvoering van de kindertelefoon, de luisterlijn en de chat van Veilig thuis dat anonimiteit als bedoeld in de AVG niet mogelijk is. Het toevoegen van een toestemmingstekst om hierop attent te maken wordt door de regering afgewezen. Hoewel de leden van de SP-fractie de argumentatie van de regering begrijpen om af te zien van de toestemmingstekst (mogelijk drempelverhogend), zien genoemde leden wel een spanning ontstaan met de vraag of burgers nog met voldoende precisie kunnen opmaken welke op zijn privéleven betrekking hebbende gegevens worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens worden bewerkt, bewaard en gebruikt. Er is een risico dat gebruikers van deze hulplijnen er onterecht van uitgaan dat er sprake is van anonimiteit. Het is de leden van de SP-fractie nog niet voldoende duidelijk gemaakt hoe de regering gaat zorgen voor correcte informatievoorziening naar de gebruikers op dit punt. De leden van de SP-fractie vragen de regering dit nader toe te lichten.

In de huidige situatie is er strikt genomen ook geen sprake van anonimiteit in de zin van AVG, maar zijn er wel passende waarborgen getroffen die de vertrouwelijkheid garanderen.

Van anonimiteit in de zin van de AVG is immers enkel sprake indien elke mogelijkheid tot identificatie van betrokkenen onherroepelijk wordt uitgesloten. Bij de hulplijnen kan indirecte herleidbaarheid door middel van het telefoonnummer of IP-adres echter, ondanks technische en organisatorische maatregelen, niet volledig worden uitgesloten. Ook niet in de huidige situatie. Bij de invoering van de AVG was niet helder dat de betreffende wetten op dit punt diende te worden aangepast. Deze omissie wordt nu hersteld. Om de wet weer aan te laten sluiten bij de feitelijke situatie en in overeenstemming te brengen met de AVG wordt voorgesteld «anoniem» in de bepalingen die gaan over de Kindertelefoon en de Luisterlijn te vervangen door «niet direct herleidbaar». De huidige mate van vertrouwelijkheid in de praktijk verandert daarmee echter niet.

Wanneer deze wetswijziging is aangenomen door het parlement zullen gebruikers via de websites van de hulplijnen worden geïnformeerd over eventuele gevolgen van deze wetswijziging voor het gebruik van de hulplijnen. Waar nodig worden de privacystatements van de hulplijnen aangepast.

De Kindertelefoon, de Luisterlijn en een aantal Veilig Thuis-organisaties geven in hun privacystatements al aan dat het telefoonnummer en IP-adres automatisch bij hen binnenkomt en dat vrijwilligers dit niet kunnen zien. Het is daarom niet de verwachting dat de wijziging effect zal hebben op het gebruik van de hulplijnen of de laagdrempeligheid zal aantasten.

Daarnaast lezen de leden van de SP-fractie dat het registreren van het IP-adres of telefoonnummer nodig is om oneigenlijk gebruik tegen te gaan. De leden van de SP-fractie vragen in hoeverre er nu sprake is van oneigenlijk gebruik en in hoeverre dit belemmeringen oplevert. Zij vragen of het eventueel mogelijk is om naast gepseudonimiseerd gebruik toch nog een optie voor geanonimiseerd gebruik aan te bieden, waarbij de gebruiker kan kiezen tussen één van de beide opties en de consequenties van elke optie helder worden uitgelegd.

Oneigenlijk gebruik van de dienstverlening van de hulplijnen blijkt onder andere uit het veelvuldig (dagelijks) gebruik van deze hulplijn door bepaalde personen, waardoor er lange wachtrijen ontstaan met het gevolg dat de hulplijn minder goed beschikbaar is voor andere gebruikers die op die dag nog geen gebruik hebben gemaakt van de dienstverlening. Veelvuldig gebruik is niet altijd erg. Juist in situaties van geweld waar (jonge) mensen klem zitten, is de chat van Veilig Thuis bijvoorbeeld een eerste manier om woorden te geven aan de situatie van geweld. De reactie geeft mogelijk vertrouwen om stap voor stap naar hulpverlening toe te bewegen. Veelvuldig gebruik kan echter ook een belemmering opleveren, omdat de hulplijnen elke dag zo goed mogelijk bereikbaar willen zijn voor alle personen die graag met hen willen praten. Daarnaast kan er sprake zijn van ongewenst gedrag. Om dit oneigenlijk gebruik tegen te gaan, hebben hulplijnen een mechanisme ingericht (op basis van gepseudonimiseerde gegevens), zodat ze zo goed mogelijk bereikbaar blijven voor alle gebruikers. Dit mechanisme houdt bijvoorbeeld in dat kinderen per kanaal maximaal twee keer per dag contact kunnen leggen met De Kindertelefoon.

Het is technisch niet mogelijk om een optie te bieden om anoniem (in de zin van de AVG-wetgeving) contact te zoeken met de hulplijnen. Om een verbinding tussen de beller/chatter en een vrijwilliger mogelijk te maken is een telefoonnummer of IP-adres nodig. De vrijwilliger met wie de persoon het gesprek voert dan wel chat, ziet echter dit telefoonnummer of IP-adres niet. Voorts zijn deze gegevens versleuteld (gepseudonimiseerd) en ook de versleutelde gegevens ziet de vrijwilliger niet.

De leden van de SP-fractie hebben ook nog enkele opmerkingen wat betreft de grondslag voor gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars bij fraudeonderzoeken. Onder andere kan het dan gaan om de verwerking van persoonsgegevens van personeelsleden die werkzaam zijn bij een zorgaanbieder welke verdacht wordt van fraude. De leden van de SP-fractie geven aan dat zij begrijpen dat deze informatie nuttig kan zijn voor het onderzoek, maar zij vragen of de uitwisseling van deze informatie proportioneel is. De leden van de SP-fractie vragen de regering hoe de privacy van bijvoorbeeld deze personeelsleden die zelf niet verdacht zijn van fraude voldoende gewaarborgd wordt in deze wetswijziging.

De privacy van personeelsleden die zelf niet verdacht zijn van fraude wordt gewaarborgd doordat persoonsgegevens van anderen dan van degenen die wordt verdacht van fraude gepseudonimiseerd moeten worden.

Daarnaast vragen de leden van de SP-fractie of het niet beter is om bij de aanpak van fraude in de zorg ons vooral te richten op het wegnemen van perverse verdienmodellen in plaats van een uitbreiding van gegevensuitwisseling.

Vanzelfsprekend deelt de regering het standpunt van de SP dat perverse verdienmodellen niet wenselijk zijn in ons zorgstelsel. Dat neemt echter niet weg dat binnen ons huidige zorgstelsel knelpunten bestaan omtrent de aanpak van zorgfraude. Dit wetsvoorstel draagt bij aan het vergroten van mogelijkheden tot een gerichte en effectieve aanpak van zorgfraude binnen het huidige stelsel. De Vereniging van Nederlandse Gemeenten (VNG) en Zorgverzekeraars Nederland (ZN), als vertegenwoordigers van gemeenten respectievelijk ziektekostenverzekeraars, hebben sinds 2016 in de jaarlijkse Signaleringsbrieven aangegeven dat er knelpunten bestaan in de aanpak van fraude in de zorg. Het gaat onder andere om het ontbreken van een wettelijke grondslag voor de uitwisseling van persoonsgegevens tussen gemeenten en ziektekostenverzekeraars, gemeenten onderling en binnen een gemeente (tussen verschillende zorgdomeinen). Deze gegevens kunnen noodzakelijk zijn voor een door gemeenten of ziektekostenverzekeraars ingesteld fraudeonderzoek. Het ontbreken van de grondslag ervaren instanties als een «prangend knelpunt». Dit wetsvoorstel beoogt dit knelpunt weg te nemen en daardoor bij te dragen aan een effectieve aanpak van zorgfraude.

De leden van de SP-fractie vragen om een tabel met een overzicht van de bewaar- en vernietigingstermijnen die van toepassing zijn bij de gegevensverwerking die ter sprake komt bij dit wetsvoorstel. Het verzoek is om dit niet alleen voor de concrete wijzigingen in kaart te brengen, maar ook van de zaken waarbij enkel sprake is van verduidelijking.

In hoofdstuk III van deze nota is een tabel opgenomen met de bewaartermijnen.

3. Verhouding tot hoger recht

De leden van de NSC-fractie vragen de regering nader toe te lichten hoe dit voorstel zich verhoudt tot het toetsingskader voortvloeiend uit het Europees Verdrag voor de Rechten van de Mens (EVRM). Zij vragen de regering hierbij met name in te gaan op de beantwoording van de derde vraag waarbij de noodzakelijkheid van de beperking in een democratische samenleving bevestigend wordt beantwoord vanuit het overheidsbelang in plaats van het mensbelang.

Om te bepalen of in een concreet geval sprake is van een gerechtvaardigde beperking van een van de in de artikelen 8 tot en met 11 EVRM neergelegde mensenrechten, heeft het EVRM in de rechtspraak een toetsingskader ontwikkeld van drie met elkaar samenhangende vragen. Dit toetsingskader is in paragraaf 3.2 van de memorie van toelichting toegelicht.

De eerste vraag, of de voorgestelde beperking bij wet is voorzien, kan zonder meer bevestigend worden beantwoord. De regelingen voor alle onderwerpen bevatten juist de specifieke voorschriften over het specifieke doel en de taken waarvoor het persoonsgegevens kunnen worden verwerkt, de (categorieën van) persoonsgegevens die kunnen worden verwerkt of (verder) kunnen worden verstrekt en de partijen die een rol spelen bij de gegevensverwerking.

Ook de tweede vraag kan bevestigend beantwoord worden. In paragraaf 3.2 van de memorie van toelichting is toegelicht welke rechtsbelangen, bedoeld in artikel 8, tweede lid, EVRM met de verschillende onderwerpen zijn gediend.

De derde vraag – of de voorgestelde beperking noodzakelijk is in een democratische samenleving – kan eveneens bevestigend worden beantwoord. In hoofdstuk 2 van de memorie van toelichting zijn de noodzakelijkheid, proportionaliteit en subsidiariteit per onderdeel toegelicht. Bij deze belangenafweging is ook het mensbelang meegewogen. Dit is terug te zien in paragraaf 2.2.5 (andere meldingen), 2.3.4 (hulplijnen), 2.4.2 (taken Veilig Thuis), 2.5.1 (delegatiegrondslag IBES) en 2.6.1 (hergebruik gegevens Wzd voor Wlz). Zo is in het kader van de grondslag voor gegevensverwerking bij andere meldingen de noodzakelijke inmenging in de privacy van de betrokkene afgewogen tegen het waarborgen van de veiligheid van patiënten en de kwaliteit van zorg. In het kader van de verwerkingsgrondslag voor de hulplijnen en Veilig Thuis is juist het kunnen bieden van hulp aan mensen respectievelijk de veiligheid van betrokkenen reden om deze grondslagen te creëren. In paragraaf 2.7.1 omtrent de verwerkingsgrondslag Kaderwet VWS-subsidies en paragraaf 2.8.4 omtrent de grondslag voor gegevensuitwisseling bij fraudeonderzoeken komt het mensbelang minder duidelijk naar voren, maar is het mensbelang wel degelijk meegewogen. In het kader van subsidies is gegevensverwerking noodzakelijk om rechtmatig subsidie te kunnen verstrekken. Op deze manier komt de subsidie terecht op de plek waarvoor het ook daadwerkelijk bedoeld is. Het is in ieders belang dat de subsidie, en de daarmee gefinancierde zorg, op de juiste plek terechtkomt. Ook de bestrijding van fraude in de zorg is voor cliënten van belang, omdat fraude in de zorg niet alleen risico’s met zich meebrengt op ondermaatse kwaliteit van zorg, maar ook daar, net als bij subsidies, geldt dat geld terecht moet komen op de plek waarvoor het ook daadwerkelijk bedoeld is. Bovendien ondermijnt fraude in de zorg het vertrouwen dat cliënten hebben in de zorgverleners, hetgeen ernstige gevolgen kan hebben voor met name cliënten in een kwetsbare positie.

4. Gegevensbeschermingseffectbeoordeling (DPIA)

De leden van de D66-fractie vragen aan de regering wat precies het oordeel van de verschillende voorgestelde wijzigingen is waarbij een DPIA is uitgevoerd.

Een DPIA heeft als doel om privacyrisico’s in kaart te brengen. In de DPIA’s behorende bij dit wetsvoorstel zijn verschillende risico’s gesignaleerd. Waar mogelijk zijn die voorzien van maatregelen die de risico’s aanzienlijk terugbrengen. Op deze manier zijn de risico’s tot een minimum beperkt. Er blijft daarbij sprake van een restrisico dat onjuiste persoonsgegevens worden verstrekt of persoonsgegevens bovenmatig, voor andere doeleinden of door niet-bevoegden, worden gebruikt. Dat risico blijft bij gegevensverwerkingen altijd bestaan. Het restrisico is als acceptabel beoordeeld gelet op het belang bij de verwerking, de kans dat het restrisico zich voordoet en de impact van de gevolgen van het restrisico voor de betrokkene. Naar aanleiding van de DPIA zijn de wettekst en toelichting op een aantal punten aangescherpt. Zo zijn de teksten over de verplichting tot het aanleveren van gegevens naar aanleiding van een andere melding verduidelijkt en is artikel 5.2.9 Wmo 2015 aangepast, zodat daaruit duidelijk blijkt wanneer Veilig Thuis het BSN gebruikt. Ook is de toelichting aangescherpt ten aanzien van de grondslag voor gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars. Gegevensuitwisseling ten behoeve van het fraudeonderzoek betekent dat persoonsgegevens met gemeenten en ziektekostenverzekeraars gedeeld kunnen worden, waar dat zonder deze grondslag niet gebeurd zou zijn. Hierbij kunnen eventueel risico’s ontstaan op een datalek. Betrokken instanties zullen passende technische en organisatorische maatregelen moeten treffen die een op het risico afgestemd beschermingsniveau waarborgen. Hiertoe zal ook een gegevensbeschermingseffectbeoordeling gericht op de praktijk worden uitgevoerd.

5. Gevolgen (m.u.v. financiële gevolgen)

De leden van de NSC-fractie vragen de regering of een reëel gevolg van de wijziging van de wet het doorbreken van medisch beroepsgeheim kan betekenen.

Bij de onderdelen «inzagebevoegdheid IGJ» (paragraaf 2.1 memorie van toelichting) en «gegevensverwerking door de IGJ bij andere meldingen» (paragraaf 2.2 memorie van toelichting) is sprake van doorbreking van het medisch beroepsgeheim. Een doorbreking van het medisch beroepsgeheim moet zorgvuldig worden afgewogen tegen de bescherming van de vertrouwelijkheid van medische informatie en het recht op privacy van de patiënt. Het onderdeel inzagebevoegdheid IGJ betreft een verduidelijking en creëert geen nieuwe doorbreking. Deze afweging is daarom voor dit onderdeel niet opnieuw gemaakt. Voor het onderdeel «gegevensverwerking door de IGJ bij andere meldingen» is deze afweging hieronder toegelicht. Dit is tevens terug te vinden in paragraaf 2.2.3 en 2.2.5 van de memorie van toelichting.

De bescherming van het medisch beroepsgeheim vloeit voort uit de bescherming van het recht op privacy van de cliënt en ook uit het algemene belang van de volksgezondheid, waarin het belangrijk is dat mensen die medische hulp nodig hebben die in moeten kunnen roepen zonder vrees dat zijn aldus beschikbaar komende gezondheidsgegevens op welke wijze dan ook voor andere doelen worden gebruikt. Het beroepsgeheim is een cruciaal aspect van de relatie tussen hulpverlener en cliënt. In uitzonderingssituaties is het mogelijk om het beroepsgeheim te doorbreken, zoals bij een wettelijke verplichting. Het voorstel tot een verplichting voor zorgaanbieders om gegevens (over gezondheid) te verstrekken aan de IGJ als deze voor de IGJ noodzakelijk zijn om een andere melding te onderzoeken, is hier een voorbeeld van. De doorbreking van het beroepsgeheim is in dit geval noodzakelijk omdat het kunnen onderzoeken van andere meldingen in het belang is van de bescherming van de gezondheid. De noodzakelijke inmenging in de privacy van de betrokkene zal tot een minimum worden beperkt. In de wetgeving zijn tot slot stevige waarborgen voor het geheimhouden van deze gegevens opgenomen. Denk hierbij onder andere aan het afgeleid beroepsgeheim wat op ambtenaren van de IGJ rust indien zij met gebruik van hun inzagebevoegdheid kennisnemen van informatie in dossiers waarop een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift rust.

6. Uitvoering

De leden van de NSC-fractie vragen of de regering wettelijke bewaartermijnen wil instellen voor gegevens verzameld door hulplijnen.

In de materiewetten zijn geen specifieke wettelijke termijnen opgenomen voor de gegevens die zijn opgeslagen door de hulplijnen. Dat is ook niet noodzakelijk. Ingevolge de AVG mogen gegevens al niet langer worden bewaard dan noodzakelijk. De hulplijnen hebben hierover afspraken opgenomen in de verwerkersovereenkomsten en informeren betrokkenen via hun websites.

Wil de regering verder laten opnemen dat bij iedere AMvB genoemd in deze verzamelwet een voorhangprocedure vereist wordt?

Alleen in de wijziging van de Wet bevorderen samenwerking en rechtmatige zorg zijn delegatiegrondslagen opgenomen voor het stellen van nadere regels bij amvb. In de Wet bevorderen samenwerking en rechtmatige zorg is al opgenomen dat de krachtens deze wet vast te stellen amvb wordt voorgehangen. Het is dus niet nodig om dit in dit wetsvoorstel nogmaals te regelen.

7. Toezicht en handhaving

De leden van de NSC-fractie vragen of de regering bekend is met het onderzoek «Een zorgelijk gebrek aan daadkracht» van de Algemene Rekenkamer.

Dit onderzoek is bekend.

De leden van de NSC-fractie vragen of de conclusie uit dit onderzoek gedeeld wordt: «in dit onderzoek zagen we dat organisaties onderling veel informatie over mogelijke fraude met elkaar uitwisselen. Niet altijd verloopt dat soepel en soms is de privacybescherming zelfs belemmerend voor een effectieve aanpak, maar een belangrijker hindernis is dat organisaties die zorgfraude bestrijden in onze casussen bijna nooit stappen zetten tot zinvolle actie op basis van de beschikbare informatie. In theorie gaan de beleidsdocumenten uit van een «integrale aanpak» waarbij alle instrumenten worden overwogen die de fraude kunnen stoppen».

Het onderzoek van de Algemene Rekenkamer (AR) schetst een zorgelijk beeld van de aanpak van zorgfraude. De aanpak van zorgfraude kan en moet beter.

Op 29 juni 2022 is uw Kamer door middel van de Hoofdlijnenbrief1 geïnformeerd over de afspraken die ik met de Taskforce Integriteit Zorg heb gemaakt om de effectiviteit van de (gezamenlijke) aanpak te verbeteren. Daarnaast zijn in deze brief brede ambities neergelegd om op te treden tegen fraude in de zorgsector en daarmee de aanpak van niet-integere zorgaanbieders. Het rapport van de AR beschrijft de noodzaak voor wettelijke grondslagen voor gegevensuitwisseling ten behoeve van de aanpak van fraude in de zorg. De AR benoemt dat er problemen zijn in gegevensuitwisseling bij de aanpak van fraude in de zorg en noemt daarbij als voorbeeld gegevensuitwisseling tussen zorgkantoren en gemeenten die geregeld te maken hebben met dezelfde zorgaanbieder, die zich dus niet beperkt tot een enkel zorgdomein.

8. Advies en consultatie

De leden van de GroenLinks-PvdA-fractie lezen dat de AP op verschillende punten bezwaar heeft gemaakt tegen het concept van de wet en heeft geadviseerd om de wet niet voort te zetten. De regering heeft de wet daarna op verschillende punten aangepast. De leden vragen de regering of de AP nog advies is gevraagd nadat het wetsvoorstel is aangepast. Zo ja, hoe luidt dat advies? Zo niet, waarom is er niet opnieuw advies gevraagd? Zeker bij een wetsvoorstel dat zo sterk draait om gegevensuitwisseling en dat eerder een negatief advies kreeg van de AP.

Het wetsvoorstel is aangepast naar aanleiding van het advies van de Autoriteit Persoonsgegevens (AP). Daarbij is de regering zo veel mogelijk tegemoetgekomen aan de adviezen. Waar dat niet mogelijk is, is dit in de toelichting uitgelegd. Na verwerking van het advies is de AP niet opnieuw om advies gevraagd. Dat is ook niet gebruikelijk, behalve in gevallen waarin het wetsvoorstel in aanzienlijke mate wordt gewijzigd en voor deze nieuwe onderdelen een nieuw advies noodzakelijk is. In dit geval is het wetsvoorstel niet zodanig gewijzigd dat er een nieuw advies nodig was.

De leden van de NSC-fractie vragen of de regering bekend is met het advies van de AP over Verzamelwet Gegevensverwerking VWS I. Zij vragen wat de beweegreden is van de regering om af te wijken van het advies van de AP: «De noodzaak van doorbreking van het afgeleid beroepsgeheim van IGJ en IJenV ten behoeve van het aanhangig maken van een Jeugdwet-tuchtzaak zonder toestemming van de jeugdige is onvoldoende aangetoond.». De genoemde leden vragen de regering daarnaast voor elk advies van AP dat niet is overgenomen uitleg te geven.

De regering is bekend met het advies van de AP. Naar aanleiding van het advies van de AP is het wetsvoorstel aangepast. Daarbij is de regering zo veel mogelijk tegemoetgekomen aan de adviezen. Waar dat niet mogelijk is, is dit in paragraaf 11.1 van de memorie van toelichting uitgelegd.

Voor het aangehaalde advies geldt dat het oorspronkelijke voornemen was om met dit wetsvoorstel ook een expliciete wettelijke mogelijkheid tot het doorbreken van de geheimhoudingsplicht bij het indienen van een tuchtklacht op grond van de Jeugdwet te creëren. Ten aanzien van dit voorstel heeft de AP geadviseerd de doorbrekingsgrond voor de Jeugdwet nader te motiveren. De Inspectie Justitie en Veiligheid (IJenV) heeft opgemerkt dat zij tot op heden nog geen gebruik heeft gemaakt van het kunnen indienen van een tuchtklacht. Evenwel heeft de IJenV aangegeven de verduidelijking in de wet van de mogelijkheid tot doorbreking van het beroepsgeheim een goede aanvulling te vinden op de bevoegdheid tot het indienen van een tuchtklacht. De IGJ heeft erop gewezen dat zij ook buiten het jeugddomein, namelijk op grond van de Wet BIG, bevoegd is tot het indienen van tuchtklachten vanwege het belang van de kwaliteit en veiligheid van de zorg. Het uitsluitend opnemen van een expliciete wettelijke doorbrekingsgrond ten aanzien van de Jeugdwet zou tot een discrepantie met de Wet BIG leiden. De IGJ heeft daarom verzocht ook een expliciete wettelijke doorbrekingsgrond van de (afgeleide) geheimhoudingsplicht voor het indienen van tuchtklachten op grond van de Wet BIG op te nemen.

In hoeverre het noodzakelijk is deze doorbrekingsgrond ten aanzien van zowel de Jeugdwet als de Wet BIG wettelijk te regelen, vergt nader onderzoek. Om verdere vertraging te voorkomen, is daarom besloten dit onderdeel dit wetsvoorstel te halen en een eventueel noodzakelijke doorbrekingsgrond mee te nemen in een volgende wetswijziging.

Verder adviseerde de AP na te gaan of de verwerkingen door de hulplijnen kunnen worden gebaseerd op toestemming. Uit onderzoek van de Kindertelefoon is gebleken dat een toestemmingstekst een te grote drempel opwerpt. Terwijl de hulplijnen juist een laagdrempelig luisterend oor wil bieden. Om die reden is toestemming geen geschikte grondslag en is het passend om een grondslag wettelijk vast te leggen. In het algemeen deel van de toelichting is dit uitgebreider toegelicht.

Ten slotte adviseerde de AP om de gegevensverwerking van Veilig Thuis ten behoeve van beleidsinformatie zodanig vorm te geven dat de brongegevens in anonieme vorm worden verstrekt aan het college, de Minister van VWS en aan de Minister voor Rechtsbescherming, en artikel 4.2.12 Wmo 2015 hierop aan te passen. Dit is niet mogelijk. In paragraaf 11.1 van de memorie van toelichting is daarom in reactie op dit advies toegelicht waarom de brongegevens t.b.v. beleidsinformatie niet reeds bij aanlevering door Veilig Thuis zelf kunnen worden geaggregeerd en geanonimiseerd.

De leden van de BBB-fractie willen graag meer uitleg om de zorgen weg te nemen die respondenten hebben over de privacy van personen, beschreven in de memorie van toelichting in het hoofdstuk over advies en consultatie. Genoemde leden zijn vooral benieuwd naar het antwoord op de opmerking over een grotere inbreuk op de privacy van mensen met een beperking of een hulpvraag, en of personen zelf kunnen kiezen met welke instanties ze informatie delen. De genoemde leden vragen welke maatregelen worden overwogen om deze zorgen aan te pakken, waarbij verwezen wordt naar het feit dat een van de respondenten schrijft dat het altijd gewenst is dat de persoon over wie het gaat toestemming geeft.

In dit wetsvoorstel is ervoor gekozen om een aantal gegevensverwerkingen wettelijk te regelen. Toestemming is namelijk niet altijd geschikt als grondslag. Bijvoorbeeld omdat:

  • niet altijd toestemming wordt gegeven waardoor andere meldingen niet (volledig) door de IGJ kunnen worden onderzocht waardoor onveilige situaties voor patiënten kunnen blijven bestaan;

  • het vragen van toestemming drempels opwerpt voor het gebruik van bepaalde dienstverlening waarvoor laagdrempeligheid van groot belang is (hulplijnen);

  • toestemming in het geval van subsidies niet vrijelijk kan worden gegeven.

Hierbij is in hoofdstuk 2 van de memorie van toelichting per onderwerp een belangenafweging gemaakt tussen enerzijds het recht op privacy en anderzijds het belang dat met de gegevensverwerking is gediend. Daarnaast is voorzien in kaders en waarborgen. Regels over transparantie en rechten van betrokkenen volgen uit de AVG en zijn toegelicht in paragraaf 3.8 van de memorie van toelichting. Voor burgers moet duidelijk zijn hoe hun gegevens worden verwerkt, met wie die worden gedeeld en hoe zorgvuldige omgang wordt gewaarborgd.

De leden van de BBB-fractie zijn op de hoogte van de uitleg van de regering en de geruststelling dat het meenemen van dossiers amper voorkomt. Toch vragen de leden van de BBB-fractie de regering wat de voorgestelde oplossing is voor het risico van mogelijke datalekken.

Uitgangspunt voor de IGJ is dat het verwerken van de (persoons)gegevens die zij in het kader van haar inzagerecht heeft meegenomen, noodzakelijk moet zijn voor het doel waarvoor de IGJ ze gebruikt. Daarbij geldt dat de IGJ niet meer (persoons)gegevens zal verwerken dan noodzakelijk is voor dit doel (minimalisatie van de informatie). Als het niet nodig is voor het onderzoek om (persoons)gegevens te verwerken, zal de IGJ deze gegevens niet meenemen uit een dossier of zal zij deze verwijderen of onzichtbaar maken.

Dossiers die de IGJ in het kader van haar inzagerecht inziet kunnen fysiek (op papier) of digitaal zijn. Als het om een digitaal dossier gaat, zal de IGJ, indien dat noodzakelijk is, hiervan een kopie maken en deze kopie digitaal opslaan. In de huidige tijd komt het meenemen van een papieren dossier in beginsel niet meer voor, omdat het mogelijk is om van de relevante passages uit het dossier, indien dat noodzakelijk is, foto’s te maken. De IGJ beschikt over handleidingen voor iOS devices en Android devices waarin beschreven is hoe medewerkers veilig met een beveiligde IGJ-telefoon en/of beveiligde IGJ-tablet foto’s kunnen maken en opslaan. Daarnaast heeft de IGJ beveiligingsmaatregelen getroffen om de gegevens die de IGJ verwerkt, afdoende te beschermen tegen onrechtmatige verwerking en ongeoorloofde raadpleging door inspectiemedewerkers. De IGJ moet in dit kader onder meer voldoen aan het Voorschrift informatiebeveiliging rijksdienst 2007 (VIR 2007), het Voorschrift informatiebeveiliging rijksdienst-bijzondere informatie 2013 (VIR-BI 2013) en de norm Baseline Informatiebeveiliging Overheid (BIO). Op basis van risicoanalyses en onder meer de BIO heeft de IGJ beleid vastgesteld (onder meer informatiebeveiligingsbeleid en een beleid logische toegangsbeveiliging) dat is geïmplementeerd in haar organisatie, haar processen en de ICT-systemen. Daarnaast is aan het inzagerecht van de IGJ een geheimhouding gekoppeld (afgeleid beroepsgeheim) en is aandacht voor bewustwording en training van medewerkers voor het veilig en verantwoord omgaan met (vertrouwelijke) informatie.

De leden van de BBB-fractie hebben zorgen dat als de anonimiteit bij hulplijnen wegvalt, deze lijnen minder zullen worden gebruikt. Zij vragen de regering of zij deze zorgen kan wegnemen en kan garanderen dat de anonimiteit van deze lijnen niet in gevaar komt. Zij vragen de regering daarnaast wat zij vindt van de suggestie dat bezoekers kunnen kiezen voor anoniem of openbaar contact.

In de huidige situatie is strikt genomen geen sprake van anonimiteit in de zin van AVG, maar zijn er wel passende waarborgen getroffen die de vertrouwelijkheid garanderen. De huidige mate van vertrouwelijkheid in de praktijk blijft onverkort van toepassing.

Om een verbinding tussen de beller/chatter en een vrijwilliger mogelijk te maken is een telefoonnummer of IP-adres nodig. De vrijwilliger met wie de persoon het gesprek voert dan wel chat, ziet dit telefoonnummer of IP-adres niet. Deze gegevens zijn versleuteld (gepseudonimiseerd). Ook de versleutelde gegevens ziet de vrijwilliger niet. De verwerker deelt het IP-adres of telefoonnummer alleen (op verzoek van de Kindertelefoon of de Luisterlijn) in zeer uitzonderlijke situaties met een van de daarvoor specifiek aangewezen medewerkers van de hulplijnen zodat de politie kan worden ingeschakeld. Denk hierbij aan uitzonderlijke situaties waarin er een reëel risico is op moord, doodslag of een terroristische aanslag. De inhoudelijke informatie uit de chat wordt uitsluitend verstrekt op vordering van de officier van justitie. Op deze wordt voldaan aan de belangrijke voorwaarde voor de laagdrempelige toegankelijkheid en vertrouwelijkheid van de hulplijnen: dat personen gesprekken kunnen blijven voeren die niet direct tot hen kunnen worden herleid.

Van anonimiteit in de zin van de AVG is enkel sprake indien elke mogelijkheid tot identificatie van betrokkenen onherroepelijk wordt uitgesloten. Bij de hulplijnen kan indirecte herleidbaarheid door middel van het telefoonnummer of IP-adres echter, ondanks technische en organisatorische maatregelen, niet volledig worden uitgesloten. Ook niet in de huidige situatie. Bij de invoering van de AVG was niet helder dat de betreffende wetten op dit punt diende te worden aangepast. Deze omissie wordt nu hersteld. Om de wet weer aan te sluiten bij de feitelijke situatie en in overeenstemming te brengen met de AVG wordt voorgesteld «anoniem» in de bepalingen die gaan over de Kindertelefoon en de Luisterlijn te vervangen door «niet direct herleidbaar».

De leden van de BBB-fractie vragen om een verduidelijking over hoe de gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars zal verlopen bij een fraudeonderzoek. Zij vragen of er specifieke stappen of procedures in het wetsvoorstel opgenomen zijn om dit proces te stroomlijnen.

Het wetsvoorstel voorziet alleen in een grondslag voor gegevensuitwisseling indien er eerst gegevens zijn ontvangen van het IKZ. Daarnaast kunnen colleges of ziekteverzekeraars alleen gegevens opvragen indien die gegevens noodzakelijk zijn voor bestrijding van fraude in de zorg. Indien er geen sprake is van noodzakelijkheid kunnen er dus geen gegevens worden opgevraagd. Ook kan een college of ziektekostenverzekeraar uitsluitend gegevens opvragen als zij zelf een onderzoek zijn gestart naar fraude in de zorg, jeugdhulp of maatschappelijke ondersteuning. De verwerking van gegevens moet wordt beëindigd als er niet langer onderzoek wordt gedaan naar fraude in de zorg. Bij algemene maatregel van bestuur wordt uitgewerkt welke beveiligingseisen zullen gelden en hoe de toegang tot de gegevens wordt beperkt tot medewerkers die uit hoofde van hun functie over deze informatie moeten beschikken en welke waarborgen zullen gelden om ongeoorloofde kennisname te voorkomen.

9. Fraudetoets

De leden van de NSC-fractie vragen in hoeverre er voldoende capaciteit en daadkracht is bij toezichthoudende instanties om fraudebestrijding effectief uit te voeren. En zij vragen hoe gewaarborgd wordt dat er niet weer ruimte ontstaat voor een toeslagenschandaal 2.0.

Met de Wet bevorderen samenwerking en rechtmatige zorg, waar deze wijziging betrekking op heeft, worden instanties in staat gesteld hun taken beter uit te voeren. Deze wet geeft instanties een betere informatiepositie en stelt ze in staat efficiënter en, met het oog op privacy, zorgvuldig te beoordelen of sprake is van fraude in de zorg. Daarmee wordt een betere inzet van de capaciteit van instanties mogelijk gemaakt.

De voorwaarden waaronder de uitvoering plaatsvindt en de (rechts)bescherming van betrokkenen is steeds een belangrijk aandachtspunt geweest bij de totstandkoming van de Wet bevorderen samenwerking en rechtmatige zorg en het huidige wetsvoorstel. Het doel van deze wet is immers juist de bescherming van de zorgbehoevende burger. De ontwikkelingen rondom de kindertoeslagenaffaire en de ten tijde van de indiening van de wet bekende inzichten daaruit, hebben het belang van goede waarborging van (rechts)bescherming van betrokkenen en de mogelijke risico’s in dat kader duidelijker inzichtelijk gemaakt en hebben de aandacht daarvoor voortdurend onderstreept. Dat heeft bijgedragen aan de wijze waarop de wet en dit wetsvoorstel zijn ingericht en hoe daarbij is voorzien in een geheel van passende maatregelen en waarborgen ten behoeve van een hoge mate van (rechts)bescherming van betrokkenen en die de inbreuk op privacy en de mogelijke gevolgen daarvan steeds tot een minimum beperken. Zo mogen volgens het wetsvoorstel gegevens worden gedeeld onder twee voorwaarden, namelijk dat er eerder een verrijkt signaal is ontvangen en dat er reeds een fraudeonderzoek is gestart. Daardoor is profilering niet mogelijk.

II. Artikelsgewijze toelichting

De leden van de NSC-fractie hebben ten aanzien van artikel 4.2.12 een vraag aan de regering over de wijziging in lid 2. Zij vragen de regering een duidelijk en diepgaande onderbouwing te geven over waarom juist voor deze specifieke onderwerpen waarop de persoonsgegevens betrekking kunnen hebben is gekozen, waarvoor de verzameling juist van deze gegevens specifiek bedoeld is en wat specifiek deze gegevens bijdragen aan de verbetering van de beschikbaarstelling van jeugdzorg.

De voorgestelde wijziging heeft alleen betrekking op de grondslag voor gegevensverstrekking door Veilig Thuis-organisaties voor de beleidsinformatie over Veilig Thuis. Deze gegevensvertrekking vindt op grond van artikel 7 van de Uitvoeringsregeling Wmo 2015 plaats aan het Centraal Bureau voor de Statistiek (hierna: CBS). Aan de gegevensverstrekking door o.a. jeugdhulpaanbieders aan het CBS voor de beleidsinformatie Jeugd verandert dit wetsvoorstel niets.

Met de voorgestelde wijziging van het eerste en het tweede lid van artikel 4.2.12 Wmo 2015 wordt beoogd om te expliciteren dat op grond van dat artikel niet alleen gegevens inzake kindermishandeling, maar ook gegevens inzake huiselijk geweld kunnen worden verstrekt voor de beleidsinformatie over Veilig Thuis.

Uit artikel 4.2.12, tweede lid, Wmo 2015, in verbinding met artikel 7.4.4, tweede lid, volgt nu dat voor de verstrekking van gegevens voor beleidsinformatie, bedoeld in het eerste lid, ook persoonsgegevens kunnen worden verwerkt, waaronder het burgerservicenummer (hierna: BSN), bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Met de voorgestelde wijziging van artikel 4.2.12, tweede lid, wordt ervoor gekozen om, anders dan nu is geregeld, geen grondslag op te nemen voor de verstrekking van alle bijzondere categorieën van persoonsgegevens, maar alleen voor die categorieën waarvoor verstrekking noodzakelijk is om inzicht te krijgen in de wijze waarop een Veilig Thuis-organisatie haar taken als meldpunt uitvoert en in de resultaten van die handelwijze. Het gaat dan om persoonsgegevens waaruit ras of etnische afkomst en religieuze of levensbeschouwelijke overtuigingen blijken, gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Om inzicht te krijgen in de wijze waarop Veilig Thuis haar taken uitvoert en in de resultaten van die handelwijze is het onder meer van belang om in kaart te brengen wat de aard is van het huiselijk geweld of de kindermishandeling die bij Veilig Thuis is gemeld en wat de aanpak van Veilig Thuis vervolgens is geweest. In dat kader is ook van belang hoe Veilig Thuis de veiligheidssituatie heeft beoordeeld. Met het verstrekken van gegevens over de aard van het geweld en over de veiligheidsbeoordeling kan het zijn dat ook de hierboven benoemde bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard worden verstrekt. Veilig Thuis registreert de bovengenoemde bijzondere categorieën van persoonsgegevens niet als zelfstandige registratiecategorieën (en verstrekt deze dus ook niet als zodanig aan het CBS). Veilig Thuis hanteert bijvoorbeeld geen specifieke registratiecategorieën voor ras, etnische afkomst of religieuze overtuigingen. De gegevens die door Veilig Thuis aan het CBS worden verstrekt kunnen echter wel gegevens zijn waaruit bijzondere categorieën persoonsgegevens zijn af te leiden. Zo zegt een melding over een bepaalde vorm van huiselijk geweld of kindermishandeling iets over de gezondheid van het slachtoffer. Uit een melding van seksueel misbruik kunnen persoonsgegevens over het seksuele gedrag of de seksuele gerichtheid van de pleger worden afgeleid. Als Veilig Thuis gegevens aan het CBS verstrekt die afkomstig zijn uit meldingsinformatie over huwelijksdwang, eergerelateerd geweld of achterlating, zouden daaruit gegevens over ras of etnische afkomst en religieuze of levensbeschouwelijke overtuiging van de directbetrokkenen kunnen worden afgeleid. Daarnaast kunnen met het verstrekken van gegevens door Veilig Thuis aan het CBS persoonsgegevens van strafrechtelijke aard worden verstrekt. Dit betreft niet alleen gegevens uit meldingsinformatie van de politie of van justitieorganisaties, maar in principe ook gegevens uit meldingsinformatie van burgers of van andere professionals die het vermoeden hebben dat er sprake is van een of meerdere vormen van huiselijk geweld of kindermishandeling (zijnde strafbare feiten).

Dat het bij de verstrekking van persoonsgegevens voor de beleidsinformatie over Veilig Thuis ook om het BSN kan gaan, volgt uit de voorgestelde wijziging van artikel 5.2.9, tweede lid, Wmo 2015. Alleen door middel van verstrekking van het BSN van betrokkenen door Veilig Thuis aan het CBS kan middels onderzoek structureel inzichtelijk worden gemaakt wat de aanpak van Veilig Thuis is bij een melding van huiselijk geweld of kindermishandeling. Welke meldingen worden door Veilig Thuis bijvoorbeeld onderzocht? Wanneer wordt na een melding van kindermishandeling bij Veilig Thuis als vervolgtraject jeugdhulp ingezet voor een jeugdige of zijn ouder? In welke gevallen wordt de raad voor de kinderbescherming ingeschakeld? Wanneer wordt de politie ingeschakeld? Heeft dit de veiligheidssituatie verbeterd of heeft bijvoorbeeld nog een hermelding plaatsgevonden? Deze informatie is noodzakelijk om te kunnen beoordelen of de Veilig Thuis-aanpak en de eventueel daaropvolgende keten- of netwerkaanpak doelmatig en doeltreffend is geweest.

Ten overvloede merk ik op dat het CBS de hierboven genoemde persoonsgegevens verwerkt conform de Wet op het Centraal bureau voor de statistiek en dat de beleidsinformatie Veilig Thuis van het CBS niet herleidbaar is tot individuen.

III. Tabel bewaartermijnen

Verwerking

Bewaartermijn

Inzagebevoegdheid IGJ

Ingevolge de AVG mogen gegevens niet langer worden bewaard dan noodzakelijk. In de Wkkgz is geen specifieke wettelijke termijn opgenomen ten aanzien van onderzoeken waarbij gebruik wordt gemaakt van de inzagebevoegdheid. De bewaartermijn daarvoor is uitgewerkt in de Concernbrede selectielijst van het Ministerie van Volksgezondheid, Welzijn en Sport (Staatscourant 2021, 2559), categorie 7, proces 7.1 en 7.7:

• indien geen wettelijke interventie: 10 jaar na afhandeling van een dossier;

• indien wettelijke interventie: 15 jaar na afhandeling van een dossier.

Gegevensverwerking door de IGJ bij andere meldingen

Ingevolge de AVG mogen gegevens niet langer worden bewaard dan noodzakelijk. In de Wkkgz is geen specifieke wettelijke termijn opgenomen ten aanzien van andere meldingen en het onderzoek daarnaar. De bewaartermijn daarvoor is uitgewerkt in de Concernbrede selectielijst van het Ministerie van Volksgezondheid, Welzijn en Sport (Staatscourant 2021, 2559), categorie 7, proces 7.1:

• indien geen wettelijke interventie: 10 jaar na afhandeling van een dossier;

• indien wettelijke interventie: 15 jaar na afhandeling van een dossier.

Gegevensverwerking bij de uitvoering van de Kindertelefoon, de Luisterlijn en de chat van Veilig Thuis

Ingevolge de AVG mogen gegevens niet langer worden bewaard dan noodzakelijk. In de Jeugdwet en Wmo 2015 zijn geen specifieke wettelijke termijn opgenomen ten aanzien van de hulplijnen. De hulplijnen hebben hierover afspraken opgenomen in de verwerkersovereenkomsten en informeren betrokkenen via hun websites.

Aanscherping taakomschrijving Veilig Thuis

Voor VT geldt (bij een melding) een wettelijke bewaartermijn van twintig jaren (artikel 5.3.4, tweede lid, Wmo 2015), te rekenen vanaf het tijdstip waarop de laatste wijziging van die persoonsgegevens is vastgelegd, of zoveel langer als redelijkerwijs in verband met een zorgvuldige uitvoering van zijn taken op grond van deze wet noodzakelijk is.

Voor de ontvangers geldt een bewaartermijn van:

• Reclassering: 7 jaar, rekenend vanaf de datum waarop iemand voor het laatst contact heeft gehad met de reclassering.

• Slachtofferhulp Nederland: ten hoogste het resterend lopend kalenderjaar en de vijf daaropvolgende kalenderjaren na het afsluiten van de casus.

• Openbaar ministerie: de wettelijk bepaalde bewaartermijnen zijn van toepassing. Deze staan beschreven in de Wet justitiële en strafvorderlijke gegevens, het Wetboek van strafvordering en de Archiefwet.

Verduidelijking grondslag gegevensverwerking voor beleidsinformatie Veilig Thuis en verbetering grondslag verwerken van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard door Veilig Thuis in artikel 5.1.6, tweede lid, Wmo 2015 en gebruik BSN door Veilig Thuis in artikel 5.2.9 Wmo 2015

De informatie t.b.v. beleidsinformatie wordt afgeleid uit de registraties van Veilig Thuis. In dit wetsvoorstel wordt voorgesteld om huidige bewaartermijn van twintig jaar, die geldt voor alle persoonsgegevens die Veilig Thuis met betrekking tot een betrokkene onder zich heeft, te beperken tot de persoonsgegevens die Veilig Thuis in verband met de uitoefening van taken onder zich heeft. Dit betekent dat die bewaartermijn alleen geldt voor persoonsgegevens inzake meldingen en niet inzake adviezen. In het Handelingsprotocol Veilig Thuis is voor adviezen nu al een bewaartermijn van twee jaar na het laatste contact opgenomen.

Voor het CBS gelden de termijnen als opgenomen in de Selectielijst van het Centraal Bureau voor de Statistiek (Staatscourant 2021, 22140)

Verduidelijking grondslag gegevensverwerking voor gevalsbehandeling

Voor het college geldt bij een gevalsbehandeling op grond van de Wet maatschappelijke ondersteuning (artikel 5.3.4, eerste lid) een termijn van vijftien jaar, te rekenen vanaf het tijdstip waarop de laatste wijziging van die persoonsgegevens is vastgelegd, of zoveel langer als redelijkerwijs in verband met een zorgvuldige uitvoering van hun taken op grond van deze wet noodzakelijk is.

Voor een gevalsbehandeling op grond van de Jeugdwet geldt geen specifieke wettelijke termijn. De bewaartermijn daarvoor is uitgewerkt in de Selectielijst gemeenten en intergemeentelijke organen 2020. Daarbij is aangesloten bij de termijn die geldt voor dossiers van jeugdhulpverleners (artikel 7.3.8, derde lid Jeugdwet), namelijk 20 jaar of zoveel langer als redelijkerwijs uit de zorg van een goed jeugdhulpverlener voortvloeit.

Delegatiegrondslag verwerking persoonsgegevens IBES

Op grond van artikel 18.4.5 eerste lid, onderdeel e, van de IBES, kunnen bij amvb regels worden gesteld over opvang en het bestrijden van huiselijk geweld. Met dit wetsvoorstel wordt voorgesteld dat deze regels ook persoonsgegevens kunnen betreffen. De bewaartermijnen zullen in deze amvb worden opgenomen. Het Besluit maatschappelijke ondersteuning en bestrijding huiselijk geweld en kindermishandeling BES is op dit moment in voorbereiding. Ten aanzien van de bewaartermijnen wordt aangesloten bij de systematiek uit de Wmo 2015. Dit betekent dat voor maatschappelijke ondersteuning een bewaartermijn geldt van 15 jaar en voor het advies en meldpunt huiselijk geweld en kindermishandeling een bewaartermijn van 10 jaar (aansluitend bij het BW BES).

Hergebruik gegevens Wzd voor Wlz door CIZ

Ingevolge de AVG mogen gegevens niet langer worden bewaard dan noodzakelijk. Wat noodzakelijk is, hangt af van de situatie. Wel zijn er voor specifieke documenten concrete bewaartermijnen opgenomen in de Wzd waar het CIZ zich aan dient te houden.

Grondslag gegevensverwerking in de Kaderwet VWS-subsidies

Ingevolge de AVG mogen gegevens niet langer worden bewaard dan noodzakelijk. In de Kaderwet VWS-subsidies is geen specifieke wettelijke termijn opgenomen. De bewaartermijn is uitgewerkt in de Concernbrede selectielijst van het Ministerie van Volksgezondheid, Welzijn en Sport (Staatscourant 2021, 2559), categorie 10, proces 10.1.1: 10 na afhandeling van dossier.

Grondslag voor gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars bij fraudeonderzoeken

Op grond van de AVG mogen gegevens niet langer worden bewaard dan noodzakelijk is. Wat noodzakelijk is, hangt af van de situatie. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Voor gemeenten is dat de Archiefwet.

Ziektekostenverzekeraars hebben in hun gedragscode (Gedragscode verwerking persoonsgegevens verzekeraars) vastgelegd dat bewaartermijn van gegevens maximaal 8 jaar is bij een fraudeverdenking.

De Minister van Volksgezondheid, Welzijn en Sport, C. Helder


X Noot
1

Tweede Kamer, vergaderjaar 2021–2022, 28 828, nr. 133.

Naar boven