In deze rubriek worden wekelijks TMC-gerelateerde Kamervragen en –antwoorden besproken. Deze week: antwoord op vragen over het datalek bij de gemeente Amersfoort, over het rapport ‘Toestemming in het sociaal domein’ en op het NOS bericht naar aanleiding van dit rapport.
Gemeenten en persoonsgegevens
Minister Plasterk heeft vragen beantwoord van kamerlid Klein (Klein) over de berichtgeving in verschillende media inzake de veiligheid van persoonsgegevens bij gemeenten. Zo ging Plasterk in op het bericht ‘Gemeente Amersfoort lekt zorggegevens’ in het AD van 12 april jl., het onderzoeksrapport ‘Toestemming in het sociaal domein’ van de Autoriteit Persoonsgegevens en het bericht ‘Gemeenten onzorgvuldig met privégegevens burgers’ op NOS.nl naar aanleiding van voornoemd rapport.
Plasterk behandelt eerst het datalek bij de gemeente Amersfoort waarbij persoonsgegevens (zoals BSN-nummers en NAW-gegevens) van 1.000 tot 1.500 personen in verkeerde handen zijn gevallen. Plasterk wijst erop dat het onjuist zou zijn om te spreken van fout beleid, aangezien het datalek het gevolg was van een persoonlijke fout. Op de vraag of gemeenten de veiligheid van persoonsgegevens op orde hebben wijst Plasterk op de regelgeving waaraan gemeenten moeten voldoen bij de verwerking van persoonsgegevens in het sociale domein, zoals de Wet bescherming persoonsgegevens, Wet maatschappelijke ondersteuning 2015 en de Jeugdwet. Daarnaast zijn er richtsnoeren opgesteld door het College bescherming persoonsgegevens (de voorloper van de Autoriteit Persoonsgegevens) over de verwerking van persoonsgegevens en hebben gemeenten zich daarnaast gecommitteerd aan de implementatie van de Baseline Informatiebeveiliging voor Gemeenten (BIG). Plasterk ziet voor de gemeenten dan ook geen problemen bij de informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder.
Vervolgens gaat Plasterk in op vragen naar aanleiding van het onderzoeksrapport van de Autoriteit Persoonsgegevens over toestemming als wettelijke grondslag voor gegevensverwerking in het sociaal domein dat in april 2016 is gepubliceerd. De Autoriteit Persoonsgegevens concludeert in het rapport dat gemeenten te vaak toestemming gebruiken als grondslag voor de verwerking van persoonsgegevens. Deze toestemming is niet altijd geldig vanwege de grote afhankelijkheid van de aanvrager ten opzichte van de gemeente als verlener. Plasterk erkent het probleem, maar licht toe dat in gevallen waar de gegeven toestemming niet geldig is er vaak wel een andere wettelijke grondslag bestaat.
Afsluitend bespreekt Plasterk de vragen naar aanleiding van het bericht op NOS.nl over voornoemd onderzoeksrapport. Gevraagd werd naar de waarborgen voor privacy bij de verwerking van persoonsgegevens door gemeenten. Plasterk geeft aan dat er zijns inziens voldoende waarborgen bestaan in de relevante wetgeving, beschikbare handreikingen en richtlijnen. Op de vraag of de regels op het gebied van privacywetgeving voldoende duidelijk zijn, antwoordt de minister dat de Wet bescherming persoonsgegevens zich niet leent voor een simpel overzicht van wat mag en wat niet mag. Ten slotte bespreekt Plasterk de sturing en steun van Den Haag aan de gemeenten en geeft daarbij aan dat het de eigen verantwoordelijkheid is van gemeenten om hun privacybeleid in overeenstemming te brengen met de wet. Wel wijst hij op de vanuit het Ministerie van Binnenlandse Zaken opgerichte taskforce Bestuur en Informatieveiligheid Dienstverlening, de kabinetsvisie ‘Zorgvuldig en Bewust’, de ‘Privacy Impact Assesment 3D’ en VNG masterclasses, initiatieven die volgens de minister voldoende sturing en ondersteuning vanuit Den Haag tonen.
Geen nieuwe, TMC-gerelateerde vragen zijn gesteld. Antwoorden op eerder gestelde vragen en nieuwe vragen zullen te lezen zijn op onze blog!
Met dank aan Merlijn van Lindenberg
