Collegevoorstel
Openbaar Onderwerp
Artikel 39 vragen van de fractie van D66 over privacy decentralisaties Programma / Programmanummer
BW-nummer
Zorg & Welzijn / 1051 Portefeuillehouder
B. Frings Samenvatting
Directie/afdeling, ambtenaar, telefoonnr.
De fractie van D66 heeft vragen ex artikel 39 gesteld over het beleid en MO10, Leonie Braks, 2480 de maatregelen van het college van B & W ten aanzien van privacy in Datum ambtelijk voorstel het kader van de decentralisaties in het sociale domein. Met dit 16 september 2014 collegevoorstel worden deze vragen beantwoord. Registratienummer
14.0010335
Ter besluitvorming door het college
Brief aan de fractie van D66 over privacy in het kader van de decentralisaties sociaal domein vast te stellen.
Paraaf akkoord
Datum
Paraaf akkoord
Datum
Steller Leonie Braks
Alleen ter besluitvorming door het College Besluit B&W d.d. 30 september 2014 nummer: 3.11
X Conform advies Aanhouden Anders, nl.
Bestuursagenda
Portefeuillehouder
Collegevoorstel
1
Probleemstelling
De fractie van D66 heeft vragen ex artikel 39 gesteld over het beleid en de maatregelen van ons college ten aanzien van privacy in het kader van de decentralisaties in het sociale domein. Met dit collegevoorstel worden deze vragen beantwoord. 2
Juridische aspecten
Het aangekondigde privacybeleid zal voldoen aan de wetgeving met betrekking tot privacy, met de Wet Bescherming Persoonsgegevens. 3
Doelstelling
Doelstelling van dit voorstel is het beantwoorden van de vragen van D66 ex artikel 39 over privacy in het sociale domein. 4
Argumenten
D66 vraagt met name welke maatregelen ons college tot nu toe heeft genomen of gaat nemen om ervoor te zorgen dat de persoonsgegevens van burgers bij de decentralisaties in het sociale domein voldoende worden beschermd. omdat de bescherming van persoonsgegevens in de decentralisaties een omvangrijk onderwerp is, waarbij zowel beleidsaspecten als ICT-aspecten spelen, is ervoor gekozen hier een aparte regionale privacynotitie te schrijven. Een eerste ambtelijk concept is gereed. In de privacynotitie beschrijven we het juridisch kader rondom verwerking en bescherming van persoonsgegevens binnen de decentralisaties Wmo 2015 en Jeugdwet en de wijze waarop we in de regio Nijmegen in de Sociale Wijkteams met persoonsgegevens omgaan. We gaan in de notitie ook in op gegevensuitwisseling tussen Sociale Wijkteams en hulpverleners waar wijkteams mee samenwerken, waaronder huisartsen. Uitgangspunt is, naast de eisen die voortvloeien uit de Wet bescherming persoonsgegevens en de betreffende materiewetten, dat gewerkt wordt met toestemming van betrokkene en dat een triage plaatsvindt op diverse punten in het proces om een zorgvuldige afweging te maken of gegevensuitwisseling noodzakelijk is. 5
Financiën
Aan dit voorstel zijn geen financiële consequenties verbonden. 6
Participatie en Communicatie
Over de aangekondigde privacynotitie zal voorafgaand aan vaststelling door ons college advies worden gevraagd aan de Nijmeegse adviescommissies. 7
Uitvoering en evaluatie
In de aangekondigde privacynotitie zullen uitvoeringsaspecten aan bod komen. 8
Risico
Aan dit voorstel zijn geen risico’s verbonden.
Bijlage(n):
Vragen van de fractie D66 Antwoordbrief aan de fractie van D66
Maatschappelijke Ontwikkeling Beleidsontwikkeling
Korte Nieuwstraat 6 6511 PP Nijmegen Telefoon 14024 Telefax (024) 323 59 92 E-mail
[email protected]
Aan de fractie van D66 T.a.v. de heer. P.R.M. Sanders en mevrouw. G. Visser
Postbus 9105 6500 HG Nijmegen
Datum
Ons kenmerk
Contactpersoon
30 september 2014
MO10/14.0010334
Leonie Braks
Onderwerp
Datum uw brief
Doorkiesnummer
Art. 39 vragen over privacy decentralisaties
1-9-2014
(024) 3292480
Geachte heer Sanders en mevrouw Visser, Met deze brief geven wij antwoord op de vragen ex artikel 39 die u heeft gesteld over privacy in het kader van de decentralisaties in het sociale domein. 1. Welke maatregelen heeft uw college tot nu toe genomen om ervoor te zorgen dat de persoonsgegevens van burgers bij de decentralisaties in het sociale domein voldoende worden beschermd? Omdat de bescherming van persoonsgegevens in de decentralisaties een omvangrijk onderwerp is, waarbij zowel beleidsaspecten als ICT-aspecten spelen, is ervoor gekozen hier een aparte regionale privacynotitie te schrijven. Een eerste ambtelijk concept is gereed. In de privacynotitie beschrijven we het juridisch kader rondom verwerking en bescherming van persoonsgegevens binnen de decentralisaties Wmo 2015 en Jeugdwet en de wijze waarop we in de regio Nijmegen in de Sociale Wijkteams met persoonsgegevens omgaan. We gaan in de notitie ook in op gegevensuitwisseling tussen Sociale Wijkteams en hulpverleners waar wijkteams mee samenwerken, waaronder huisartsen. Uitgangspunt is, naast de eisen die voortvloeien uit de Wet bescherming persoonsgegevens en de betreffende materiewetten, dat gewerkt wordt met toestemming van betrokkene en dat een triage plaatsvindt op diverse punten in het proces om een zorgvuldige afweging te maken of gegevensuitwisseling noodzakelijk is. Daarnaast zal een convenant over gegevensverwerking worden afgesloten tussen alle deelnemers van het Sociaal Wijkteam. In dit convenant worden afspraken vastgelegd betreffende het verwerken van persoonsgegevens binnen het Sociaal Wijkteam, het uitwisselen van persoonsgegevens met derden en de geheimhoudingsplicht. Ook worden afspraken vastgelegd betreffende het uitgangspunt van toestemming van de cliënt, wat te doen als geen toestemming gegeven wordt of gevraagd kan worden, het bewaren van persoonsgegevens in een digitaal dossier, wie toegang heeft tot welke delen van het dossier heeft en wat de rechten zijn van betrokkene. Tot slot worden afspraken gemaakt over de beveiliging van persoonsgegevens tegen verlies en onrechtmatig gebruik. Het eerste ambtelijke concept van het convenant is gereed. Het is essentieel dat persoonsgegevens die in het automatiseringssysteem van het Sociaal Wijkteam opgeslagen worden afdoende beveiligd zijn middels het vereiste niveau van beveiliging, In de aanbesteding voor het ICT-systeem dat gebruikt gaat worden in de Sociale Wijkteams zijn de nodige eisen opgenomen om de bescherming van persoonsgegevens systeemtechnisch te kunnen garanderen. De leverancier moet garanderen dat deze eisen in de software zitten. Zo www.nijmegen.nl
Brief aan D'66 art 39-vragen privacy decentralisaties
Gemeente Nijmegen Maatschappelijke Ontwikkeling Beleidsontwikkeling
Vervolgvel
1
dient alle wetgeving (Nederlandse en Europese) aangaande privacybescherming van de gegevens te worden nageleefd. Verder worden eisen gesteld betreffende encryptie van de gegevens van de opdrachtgever, autorisaties voor de toegang tot gegevens of gegevensdragers en fysieke beveiliging tegen onbevoegde toegang. Een externe partij zal periodieke audits uitvoeren. De aanbesteding is nog niet afgerond, daarom is nog niet bekend welk ICT-systeem de Sociale Wijkteams gaan gebruiken. Zodra het ICT-systeem ingericht gaat worden, moeten de rollen en rechten gedefinieerd worden. In deze fase wordt een belangrijke slag gemaakt in het waarborgen van de privacy. Het is van belang dat er dan een helder privacykader ligt. Tot slot is het van belang dat de mensen die gaan werken met persoonsgegevens (met name de Sociaal wijkteams) doordrongen zijn van het belang van het zorgvuldig omgaan met persoonsgegevens. In de instructiecursussen van het nieuwe ICT-systeem voor de Sociale Wijkteamleden zal aandacht worden gegeven aan privacy. Dit is overigens voor de meeste teamleden een bekend aspect. 2. Vindt u, net als D66, dat de gemeente Nijmegen zich moet inzetten om nog voor de decentralisaties een feit zijn (1-1-2015), in de voorhoede van gemeenten te komen op het gebied van privacybescherming omtrent deze taakverschuivingen? Welke acties gaat u daartoe ondernemen? Wij hechten groot belang aan bescherming van de privacy. Dat moet geborgd zijn in processen, afspraken en protocollen, maar vooral in het handelen van professionals. Zorgvuldig handelen stellen we in deze boven snelheid. Dit neemt niet weg dat voor 1 januari 2015 het privacybeleid helder moet zijn. Hiertoe stellen we in het najaar een privacynotitie vast betreffende de verwerking van persoonsgegevens in het kader van de decentralisaties. Voor de concrete maatregelen verwijzen wij naar het antwoord op vraag 1. 3. Bent u bereid een Privacy Impact Assessment te laten uitvoeren, waaruit moet blijken waar de zwakke punten in de gemeente Nijmegen zitten wat betreft privacy op het sociaal domein? Ja, dat het is de bedoeling om de regionale privacynotitie te laten toetsen door middel van een Privacy Impact Assessment door een onafhankelijke derde partij. Na vaststelling van de privacynotitie in het najaar van 2014 zullen wij deze ter informatie sturen naar de gemeenteraad. Nu al krijgen we vragen over privacy van cliënten(organisaties), die we beantwoorden (o.a. via ‘veelgestelde vragen’ op de site van gemeente Nijmegen) op basis van wat tot nu toe bekend en geregeld is. Zodra de privacynotitie is vastgesteld, zullen we de communicatie over privacy aanvullen en uitbreiden, onder meer via de Brug. Hoogachtend, college van Burgemeester en Wethouders van Nijmegen, De Burgemeester,
De Gemeentesecretaris,
drs. H.M.F. Bruls
drs. B. van der Ploeg
www.nijmegen.nl
Brief aan D'66 art 39-vragen privacy decentralisaties
Betreft:
Schriftelijke vragen aan het college van burgemeester en wethouders ex artikel 39 van het Reglement van Orde voor de vergaderingen en andere werkzaamheden van r, ^ .
.
.
reg.nr..
de raad.
.ccoc.^^3 5 .
O
procesverantw.: r^i^^o
tussen ambtenaren en zorgverleners op lokaal niveau, waarbij een hoop nieuw dataverkeer zal plaatsvinden. Persoonsgegevens, zoals medische en strafrechtelijke gegevens, vormen hier onderdeel van. Uit een op 16 augustus in het NRC verschenen artikel blijkt dat gemeenten niet goed zijn voorbereid op privacybescherming bij deze decentralisaties. Nijmegen behoort volgens de onderzoeksgegevens van NRC tot de middenmoot van de mate waarin gemeenten hun privacy bescherming op het sociaal domein op orde hebben. In uw brief aan adviescommissie JIVIG (16/6/14) zegt u toe in regionaal verband een privacybeleld op te stellen dat voldoet aan landelijl<e privacywetgeving. Ook in het eerdere wmo-beleidsplan 20122015 solidair, samen en solide, geeft u aan bij koppeling (registratie)systemen, aansluitend bij verwijsindex en systematiek veiligheidshuis, te willen voldoen aan de landelijks privacyregels. In de startnotitie van voor afgelopen zomer geeft u aan dat er een uitwerking komt van privacy in het nieuwe wmo-beieidsplan dat binnenkort naar de raad gaat. Voor D66 is het van belang dat de privacy van burgers wordt gewaarborgd. Verbaasd waren wij dan ook dat in het nieuwe beleidsplan privacy nauwelijks aan de orde komt en dat wij kennelijk tot de middenmoot behoren op dit gebied, ondanks bovenstaande voornemens van het college. Wij stellen u daarom de volgende vragen: 1. Welke maatregelen heeft uw college tot nu toe genomen om ervoor te zorgen dat de persoonsgegevens van burgers bij de decentralisaties in het sociale domein voldoende worden beschermd? 2. Vindt u, net als D66, dat de gemeente Nijmegen zich moet inzetten om nog voor de decentralisaties een feit zijn (1-1-2015), in de voorhoede van gemeenten te komen op het gebied van privacybescherming omtrent deze taakverschuivingen? Welke acties gaat u daartoe ondernemen? 3. Bent u bereid een Privacy Impact Assessment te laten uitvoeren, waaruit moet blijken waar de zwakke punten in de gemeente Nijmegen zitten wat betreft privacy op het sociaal domein? Hoogachtend namens D66 Nijmegen, P.R.M. Sanders Fractievolger
W (^f^^^^^-^
' G. Visser
t\
Raadslid V
Bron NRC (16-8-14): http://www.nrc.nl/nieuws/2014/08/16/gemeenten-niet-goed-voorbereid-op-privacybescherming/