Op 23 september stelden GroenLinks en D66 schriftelijke vragen over privacy bij de zorgtaken aan het college. Lees hier de beantwoording.
Formulier voor het beantwoorden van (een) schriftelijke vra(a)g(en) als bedoeld in artikel 36 van het Reglement van Orde voor de vergadering van de raad van de gemeente Gorinchem.
Schriftelijke vragen van de fracties D66 en GroenLinks d.d. 23 september 2014 , inzake vragen over het borgen privacy van inwoners bij de overdracht van persoongevoelige informatie in het kader van de 3 decentralisaties: Op 1 januari 2015 krijgt de gemeente er allerlei (zorg)taken bij in het kader van de drie decentralisaties. Met de overheveling van deze taken gaat de overdracht van een grote hoeveelheid persoonsgevoelige gegevens van inwoners gemoeid. De overdracht van zorgtaken vindt plaats onder het credo “één gezin, één regisseur, één aanpak.” Deze aanpak is gericht op het verbeteren van de zorg, maar brengt ook de nodige privacy-risico’s met zich. De beschikbare digitale kennis wordt gedeeld met vele zorgorganisaties, maar dat niet alleen, ook met andere disciplines,
vrijwilligers en hun organisaties. D66 en GL maken zich gezien de ontwikkelingen zorgen over de privacy van de inwoners van Gorinchem. Het gevaar bestaat dat er onrechtmatig gebruik wordt gemaakt van de gegevens. D66 en GL vinden het van groot belang dat de
persoonsgegevens van inwoners van Gorinchem met uiterste zorgvuldigheid worden verwerkt en goed worden beveiligd D66 en GL hebben daarom de volgende vragen aan het college:
VRAAG 1:
Hoe gaat het college nu en in de toekomst om met de privacy van iedereen die zorg en/of hulp nodig heeft?
ANTWOORD:
Dat we hier zorgvuldig en in overeenstemming met de wet mee om zullen gaan is evident. De verantwoordelijkheid voor de uitwisseling van gegevens, juist in een nieuwe context, wordt als groot ervaren. De gemeente moet deze verantwoordelijkheid op zich nemen om tot goede integrale hulp- en zorgverlening te komen. De gegevens worden alleen daar waar het voor het uitvoeren van de publieke taak nodig is gebruikt en is alleen beschikbaar voor daarvoor geautoriseerde personen. Daarnaast worden de gegevens alleen voor het specifieke doel, waarvoor zij gevraagd zijn, gebruikt. Zorginstellingen zijn gehouden aan hun eigen protocollen.
VRAAG 2:
Heeft het college extra maatregelen getroffen om de toenemende hoeveelheid persoonsgegevens, waar de gemeente per 2015 zorg voor moet dragen, te beschermen?
ANTWOORD:
Ja. Er wordt op dit moment binnen de regio, samen met de partners en zorgaanbieders, gewerkt aan het opstellen van een Privacyregeling. Deze Privacyregeling vormt een onderdeel van de inrichtingsafspraken en werkprocessen. Uiteindelijke doel is het borgen van de afspraken ten aanzien van privacy.
VRAAG 3A:
Voorziet het college privacyrisico’s op het gebied van de overheveling van zorgtaken en de daarmee gemoeide overdracht van persoonsgevoelige gegevens van vele inwoners van Gorinchem?
ANTWOORD:
Nee. In aanvulling op beantwoording van vraag 2, gaan wij er van uit dat bestaande wet en regelgeving op het gebied van privacy voldoende waarborgen biedt.
VRAAG 3B:
Zo ja, hoe denkt het college hiermee om te gaan?
ANTWOORD:
N.v.t. zie antwoord 3A
In Nederland geldt de Wet bescherming persoonsgegevens wanneer het gaat om de omgang met de privacy. Hieruit vloeit bijvoorbeeld de verplichting voort dat burgers inzage krijgen in hun gegevens.
VRAAG 4:
Hoe zorgt het college ervoor dat de inwoners van Gorinchem toegang houden tot hun zorgdossier en daarmee ook de mogelijkheid om hun gegevens te wijzigen?
ANTWOORD:
Het wettelijk correctierecht zal ook worden vastgelegd in de Privacyregeling. Gegevens mogen niet worden verzameld voor een ander doel dan waarvoor ze zijn verkregen. De gegevens die bijvoorbeeld zijn verzameld voor werk en inkomen, mogen niet worden gebruikt voor jeugdzorg. Het College Bescherming Persoonsgegevens waarschuwt voor onrechtmatig gebruik van de gegevens door gemeenten.
VRAAG 5:
Wat gaat het college doen om onrechtmatig gebruik van de persoonsgegevens tegen te gaan?
VRAAG 6:
Is de gemeente Gorinchem voornemens met een privacyconvenant te gaan werken om de privacy van de overdrachten en het werken op de zorgterreinen waar veel privacygegevens worden gedeeld, te waarborgen?
ANTWOORD OP DE VRAGEN 5 EN 6:
Binnen de gemeentelijke organisatie is sinds 2011 een privacycoördinator aangesteld die toeziet op de naleving van de wet bescherming persoonsgegevens en privacyregelingen. Onrechtmatig gebruik wordt tegengegaan door het opstellen van de Privacyregeling en door het borgen van privacy in werkprocessen en inrichtingsafspraken.
Het VNG heeft aangegeven dat een goede informatievoorziening noodzakelijk is voor het slagen van de decentralisaties
VRAAG 7A:
Is voor gemeente Gorinchem al bekend met welk ICT-systeem zij gaat werken om de gegevens van haar inwoners zo goed mogelijk te beschermen?
ANTWOORD:
Gemeente Gorinchem werkt al met een back-office applicatie. Daaraan zijn werkprocessen gekoppeld waarin de bescherming van persoonsgegevens van inwoners geborgd is. Nieuwe gegevens worden binnen de bestaande applicatie verwerkt.
VRAAG 7B:
Zo ja, waarborgt dit systeem dat niet iedereen die op de een of andere wijze bij een situatie rond een gezin of een persoon betrokken is, zonder meer toegang krijgt tot privacygevoelige gegevens?
ANTWOORD:
Alleen diegenen die uit hoofde van hun functie toegang nodig hebben tot persoonsgegevens worden geautoriseerd tot op het niveau dat noodzakelijk is. Autorisatie behoeft aanwijzing en besluitvorming.
VRAAG 7C:
Zo ja, waarborgt dit systeem dat niet iedere ambtenaar, vrijwilliger of medewerker in de zorg toegang heeft tot alle persoonsgevoelige gegevens van burgers, maar alleen die waar hij/zij vanuit zijn/haar beroep toegang nodig heeft om zijn/haar dagelijkse werkzaamheden uit te kunnen uitoefenen?
ANTWOORD:
Zie beantwoording vraag 7 B
VRAAG 7D:
En zo ja, garandeert een dergelijk systeem dat (automatisch) gegevens niet zonder meer kunnen worden onttrokken en bewaard?
ANTWOORD:
De werkwijze van autorisatie op aanwijzing en besluit moeten borgen, dat dit niet zonder meer kan. Inmiddels wordt apparatuur uitgerold binnen de organisatie, die onttrekking en bewaren van informatie buiten het centrale digitale netwerksysteem niet mogelijk maakt.
VRAAG 7E:
Zo nee, op welke termijn is deze informatie beschikbaar?
ANTWOORD:
zie antwoord 7D
Een andere verplichting uit de wet die onze persoonsgegevens beschermd is dat de persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden. En dat er een passend beveiligingsniveau wordt geboden.
VRAAG 8:
Hoe is gewaarborgd dat de persoonsgevoelige gegevens, nadat ze het doel beantwoorden, uit het systeem worden verwijderd?
ANTWOORD:
Hiervoor gelden wettelijke bewaartermijnen en worden ook als zodanig gehanteerd.
VRAAG 9:
Heeft het college nagedacht over eventuele beveiligingslekken die in de systemen kunnen ontstaan en hoe hiermee om te gaan?
ANTWOORD:
Informatiebeveiliging is bij alle gemeenten een bekend vraagstuk, zo ook in Gorinchem. In de bedrijfsvoering zijn voor 2014 middelen gereserveerd om daar aandacht aan te besteden
Burgemeester en wethouders van Gorinchem,
de secretaris, de burgemeester,