BEANTWOORDING SCHRIFTELIJKE VRAGEN
REGISTRATIENUMMER
Svr/006/03-11-2014/antwoord
(in te vullen door griffie)
Datum
24 november 2014
(in te vullen door griffie)
Aan
Aan de voorzitter van de raad
Onderwerp
Privacy, Beveiliging en Datakwaliteit bij de decentralisaties.
Gericht aan
Het college van burgemeester en wethouders
Wijze van beantwoording
Schriftelijk
Vraag / vragen
Vraag 1: 1)Hoe heeft de gemeente Kaag en Braassem privacy geborgd in het kader van de decentralisaties? a) Wie krijgt toegang tot persoonsgegevens en in hoeverre kan de betrokkene en/of zijn vertrouwenspersoon hier invloed op uitoefenen? Antwoord: Toegangsrechten worden uitsluitend verleend aan medewerkers die de persoonsgegevens nodig hebben voor de uitoefening van hun functie. Een en ander is vastgelegd in het door het college vastgestelde Reglement gegevensverstrekking BRP. b) Kan de betrokkene en/of zijn vertrouwenspersoon eenvoudig inzien wie, wanneer zijn dossier geraadpleegd heeft en waarom dit is gebeurd? Antwoord: De burger of een vertrouwenspersoon, indien die burger dat wenst, krijgt toegang tot het dossier en inzicht in het gebruik. Het Kaag en Braassems kernteam werkt volgens de methode van 1 gezin 1 plan, waarbinnen ook de toestemming voor gebruik en delen van gegevens is geborgd. Bij de inrichting van de nieuwe ondersteunende systemen zal de mogelijkheid tot inzicht in het gebruik van gegevens een eis zijn (voor bestaande systemen is dit reeds het geval). c) Welke afspraken zij over het borgen van de privacy gemaakt met de uitvoerende organisaties? Hierbij denken we ook aan de personen in de wijkteams. i)
Zijn deze afspraken ook vastgelegd in SLA’s (Service level agreement) en heeft onze gemeente ook documenten gekregen van de afspraken / sancties die deze organisaties aan hun medewerkers hebben opgelegd?
Antwoord: Wij zullen het bestaande Reglement gegevensverstrekking waar nodig aanpassen. Verder zullen wij voor de samenwerking en informatie uitwisseling met partners privacyprotocollen vaststellen. Bijvoorbeeld voor het kernteam en voor Tom (de organisatie die in de Rijnstreek de sociale participatie uitvoert. Regionaal wordt een protocol voor informatie-uitwisseling in het kader van de jeugdwet opgesteld. Wij beschikken niet over documenten m.b.t. afspraken van individuele uitvoerende organisaties met hun medewerkers. Vraag 2: 2) Hoe waarborgt de gemeente de kwaliteit van de systemen en gegevens?
a) Krijgen burgers op een begrijpelijke manier eenvoudig en inzichtelijk digitaal toegang tot hun data zodat zij meer grip krijgen op hun persoonlijke gegevens en eventuele fouten kunnen corrigeren? Antwoord: De inwoner met een ondersteuningsbehoefte heeft niet alleen inzicht maar ook de regie over zijn / haar eigen plan. Inwoners en hulpverleners werken samen aan de uitvoering van dit plan. Daarbij worden met burgers zowel mondeling als schriftelijk afspraken gemaakt over de verwerking van hun persoonsgegevens en worden zij geïnformeerd over de rechten die daarbij gelden. b) Welke informatiebeveiliging garanties kunnen er afgegeven worden over de systemen die werken met de gegevens? Welke derde partijen hebben naast de medewerkers van de gemeente nog meer toegang tot de data? Bijvoorbeeld externe systeembeheerders en database beheerders? Hoe is de geheimhouding geregeld? Antwoord: Kaag en Braassemheeft de VNG-resolutie m.b.t. informatiebeveiliging van november 2013 omarmd. Dat betekent dat Kaag en Braassem de Baseline Informatiebeveiliging Gemeenten (BIG) als uitgangspunt neemt voor de informatiebeveiliging en privacybescherming. Dit betekent weer dat wij de wettelijke regelingen als uitgangspunt nemen en in aanvulling daarop de wijze waarop informatie-uitwisseling plaatsvindt met samenwerkende (derde) partijen zullen vastleggen in het Reglement gegevensverstrekking. Externe systeembeheerders/databasebeheerders hebben geen toegang. Daarnaast laten wij jaarlijks een IT-audit uitvoeren op een aantal belangrijke IT-applicaties waar we binnen de gemeente gebruik van maken. c) Is er een PIA (Privacy Impact Assessment) [3] uitgevoerd voor alle systemen en data die in het kader van de decentralisaties nieuw of gewijzigd zijn? Zo nee, waarom niet? Antwoord: Om de informatiebeveiliging adequaat in te richten worden eerst de noodzakelijke informatievoorziening, de gegevensuitwisseling, de ICT-voorzieningen en de afhankelijkheden geanalyseerd. Vervolgens zal worden getoetst of e.e.a. voldoende beveiligd wordt door de maatregelen in de BIG en zal er naast de baselinetoets ook nog een risicoanalyse en zal een Privacy Impact Assessment worden uitgevoerd. d) Zijn in dat kader de nieuwe of gewijzigde systemen ingericht volgens het concept: privacy by design? [4] Zo
nee, waarom niet? Antwoord: Ja, dan hanteren wij het concept privacy by design. Zo is een Privacy Impact Assessment (PIA) een hulpmiddel om bij ontwikkeling van beleid, en de daarmee gepaard gaande wetgeving of bouw van ICT-systemen en aanleg van databestanden, privacy-risico's op gestructureerde en heldere wijze in kaart te brengen. Door het gebruik van de PIA zal bescherming van persoonsgegevens op een gestructureerde manier onderdeel uitmaken van de belangenafweging en besluitvorming. Op die manier kun je voorkomen dat later kostbare aanpassingen nodig zijn om alsnog de noodzakelijke beheersmaatregelen met betrekking tot privacy te implementeren ( by design). Daarnaast heeft bij de ontwikkeling van het systeem voor het Kernteam de privacy en bescherming van persoonsgegevens centraal gestaan. e) Moet de betrokkene opnieuw toestemming geven als de informatie in een nieuw systeem terecht komt en kan de betrokkene deze toestemming weer intrekken? Antwoord: Op het moment dat medewerkers van het kernteam met inwoners in gesprek gaan over hun huidige voorziening worden ook afspraken gemaakt over gebruik van gegevens (volgens methodiek 1 gezin, 1 plan) (zie ook de beantwoording bij vraag 1). f) Als een betrokkene verhuist, hoe zorgt de gemeente dan dat de gegevens mee verhuisd worden en dat deze bij de gemeente worden verwijderd? Antwoord: Wanneer iemand verhuist naar een andere gemeente, wordt samen met de inwoner besproken wat hij of zij kan doen om in de nieuwe woonplaats ondersteund te worden, Het overdragen van gegevens is onderdeel van de afspraken die de inwoner maakt met hulpverleners in de nieuwe gemeente. Voor de vernietiging van dossiers (zowel analoog als digitaal) is de geactualiseerde selectielijst, vastgesteld door het ministerie van OCW, van toepassing. Hierin is geregeld op welke termijn archiefbescheiden vernietigd moeten worden. Tot die tijd blijven ze bewaard. Kaag en Braassem hanteert deze selectielijst. Vraag 3: 3) Heeft de gemeente, met het zicht op de grote hoeveelheid gegevens als gevolg van de decentralisaties, al een functionaris gegevensbescherming ingesteld? Antwoord: Ja.
Toelichting college
De vragen van D66 zijn ook in andere gemeenten in Holland Rijnland gesteld. De gemeenten in Holland Rijnland werken intensief samen, ook op het terrein van informatie-uitwisseling en privacyvraagstukken en hebben daarom de antwoorden ook regionaal afgestemd.
Toelichting D66
In het kader van de decentralisaties krijgen gemeenten per 1 januari 2015 meer taken op het gebied van jeugdzorg, werk en inkomen en zorg aan langdurige zieken en ouderen. Door deze extra taken krijgen gemeenten meer persoonsgegevens van burgers te verwerken, waaronder gevoelige zoals medische en strafrechtelijke gegevens. Zowel ambtenaren als hulpverleners werken intensief samen met behulp van deze informatie. Het College Bescherming Persoonsgegevens vroeg eerder aandacht voor de bescherming van de persoonsgegevens [1]. Enkele weken geleden heeft het NRC handelsblad daar een artikel aan gewijd [2]. Uit onderzoek bleek dat in een groot aantal gemeenten onvoldoende bescherming wordt geboden aan privacygevoelige informatie, bij gebrek aan voorgenomen maatregelen. D66 Kaag en Braassem hecht groot belang aan privacy en wil dat onze inwoners controle hebben over hun persoonsgegevens. Bronnen: [1] http://www.cbpweb.nl/Pages/pb_20140701_gemeentendecentralisatie-privacy.aspx [2] http://www.nrcreader.nl/artikel/6563/wie-kunnen-straksallemaal-je-dossier-inzien [3] http://www.rijksoverheid.nl/documentenenpublicaties/publicaties/2013/06/24/toetsmodel-privacy-impactassessment-pia-rijksdienst.html [4] Privacy by Design gaat uit van het principe dat er in een vroeg stadium nagedacht wordt over het goede gebruik van persoonsgegevens binnen een organisatie, de noodzaak van het gebruik van deze gegevens en de bescherming ervan. Door al bij het ontwikkelen van systemen privacy en bescherming van persoonsgegevens in te bouwen is de kans op het succes ervan het grootst.
Naam en ondertekening
Route (in te vullen door griffie) Melding aan de raad Geagendeerd: datum raad
D66-fractie Conny Punt
03-11-2014 24-11-2014
Antwoorden naar raad Behandeld: datum raad
26-11-2014 15-12-2014