| Ingediend | 21 april 2016 |
|---|---|
| Beantwoord | 20 mei 2016 (na 29 dagen) |
| Indiener | Norbert Klein (Klein) |
| Beantwoord door | Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
| Onderwerpen | bestuur gemeenten openbare orde en veiligheid organisatie en beleid recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2016Z08254.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20152016-2564.html |
Ja.
Er was inderdaad sprake van een incident in de gemeente Amersfoort dat is gemeld bij de Autoriteit Persoonsgegevens (hierna ook: AP). De gemeente Amersfoort geeft op haar website openheid van zaken over de gebeurtenissen en de maatregelen die zij heeft getroffen om verdere verspreiding van de gegevens te voorkomen.
Wanneer gemeenten en andere organisaties persoonsgegevens verwerken, is de Wet bescherming persoonsgegevens van kracht. Voor informatieverwerking in het sociaal domein komen daar nog specifieke bepalingen uit de materiewetten zoals de Wmo 2015 en de Jeugdwet bij. De Autoriteit Persoonsgegevens ziet daarop toe. Om verwerkers van persoonsgegevens inzicht te geven in de handhaving, heeft het College bescherming persoonsgegevens (de voorloper van de Autoriteit Persoonsgegevens) in 2013 richtsnoeren gepubliceerd (http://wetten.overheid.nl/BWBR0033572). Voor informatieveiligheid hebben gemeenten zich bovenop deze wettelijke plicht die geldt voor de verwerking van persoonsgegevens gecommitteerd aan de implementatie van de Baseline Informatiebeveiliging voor Gemeenten (BIG).
Het incident in Amersfoort berustte op een menselijke fout, niet op een fout in de techniek of procedures.
In antwoord op vragen van de leden Veldman, De Caluwé en Oosenbrug (Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 2076) ging ik in op de wijze waarop gemeenten in samenwerking met hun toeleveranciers een kwetsbaarheid hebben opgelost en dat gemeenten de BIG als gezamenlijk normenkader hanteren. In dat normenkader staan fysieke, organisatorische en technische maatregelen beschreven die gemeenten doorvoeren om de beveiliging van gegevens zoveel als mogelijk te garanderen. Desondanks is een menselijke fout natuurlijk nooit 100% uit te sluiten. Het gaat er om dat gemeenten lering trekken uit dergelijke incidenten en deze benutten om hun beleid op details aan te scherpen. Ik constateer dat de gemeente Amersfoort direct actie heeft ondernomen om te trachten de fout te herstellen, en verdere verspreiding van de gelekte gegevens te voorkomen. Daarnaast heeft zij openheid van zaken gegeven naar zowel de burgers die het betreft, als naar de Amersfoortse bevolking en naar de gemeenteraad. Ook laat de gemeente het incident nader onderzoeken om te achterhalen hoe een dergelijke fout in de toekomst kan worden voorkomen. Een en ander leidt niet tot de conclusie dat gemeenten de informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben.
Ik ben het niet eens met de stelling dat de berichtgeving in het Algemeen Dagblad over het incident binnen de gemeente Amersfoort overeenkomt met de resultaten van het onderzoek dat op 19 april door de Autoriteit Persoonsgegevens is gepubliceerd. Het onderzoek van de Autoriteit Persoonsgegevens is gericht op het vragen van toestemming als wettelijke grondslag voor gegevensverwerking in het sociaal domein. De vraag of gemeenten al dan niet toestemming vragen aan hun cliënten als grondslag voor gegevensverwerking heeft niets te maken met de omgang met datalekken. Een incident als dat in Amersfoort moet gemeld worden bij de Autoriteit Persoonsgegevens. Daar is iedere gemeente van op de hoogte. De Autoriteit Persoonsgegevens heeft in december 2015 beleidsregels uitgevaardigd voor de toepassing van de meldplicht datalekken in de Wet bescherming persoonsgegevens.
Het rapport van de Autoriteit Persoonsgegevens gaat over de vraag hoe gemeenten omgaan met toestemming. De Autoriteit Persoonsgegevens constateert dat gemeenten veelal toestemming vragen voor gegevensverwerking in het sociale domein. De Autoriteit zegt dat toestemming meestal geen grondslag kan zijn in het sociaal domein omdat die toestemming niet in vrijheid gegeven kan worden, de betreffenden zijn immers afhankelijk van de gemeente voor hulp. De Autoriteit zegt echter ook dat er in die gevallen vaak een andere grondslag voor gegevensverwerking is, een in de materiewetgeving opgenomen wettelijke verplichting of publiekrechtelijke taak. Gemeenten die toestemming als grondslag zien, gaan dus uit van de verkeerde wettelijke grondslag. Aan dat onderwerp is het afgelopen jaar veel aandacht besteed in de ondersteuning van gemeenten.
Het voorbeeld dat in het artikel wordt aangehaald herken ik niet als algemeen beeld. Het is een verantwoordelijkheid van gemeenten om ervoor te zorgen dat hun medewerkers steeds zorgvuldige afwegingen maken omtrent de noodzaak om bepaalde gegevens wel of niet uit te vragen bij betrokkenen.
Natuurlijk begrijp ik dat de Autoriteit Persoonsgegevens daarvan schrikt. Het is voor de naleving van de privacyregels, waarop de Autoriteit toezicht houdt, immers van belang dat gemeenten goede kennis over die regels in huis hebben. Ik meen echter dat er sinds vorig jaar mei heel hard gewerkt is door gemeenten aan het vergroten van die kennis.
Wanneer de vragen die gemeenten stellen niet ter zake en niet nodig zijn voor het uitvoeren van de gemeentelijke taken op basis van de hulpvragen van de betreffende burgers, kan dat burgers inderdaad afschrikken. Dat is ook niet toegestaan. Voorts ben ik het met de Autoriteit Persoonsgegevens eens dat het van belang is dat gemeenten goed uitleggen waarom ze persoonlijke gegevens vragen en voor welk doel ze die gebruiken. De Wet bescherming persoonsgegevens schrijft immers voor dat betrokkenen worden geïnformeerd over hun betreffende gegevensverwerkingen. Als burgers een goede uitleg krijgen zullen ze niet zo snel afgeschrikt worden.
Ik ben van mening dat de wettelijke kaders voor die waarborgen op dit moment toereikend zijn. Ik ben ook van mening dat de handreikingen en richtlijnen die daarnaast geboden worden gemeenten in staat stellen om die waarborgen te treffen.
Nee, dat ben ik niet met de Autoriteit Persoonsgegevens eens zoals ik ook uiteengezet heb in mijn brief aan uw Kamer d.d. 29 april 2016 (Kamerstuk 32 761, nr. 98).
De Autoriteit Persoonsgegevens maakt in het rapport niet duidelijk welke regels volgens haar niet in overeenstemming zijn met elkaar. Als de Autoriteit concreet aangeeft welke regels zij bedoelt, zullen wij daar uiteraard naar kijken.
Het is inderdaad een verantwoordelijkheid van de gemeenten om ervoor te zorgen dat zij voldoen aan de wet. Zowel waar het gaat om de informatieveiligheid, als waar het gaat om de borging van de privacy van burgers.
Met betrekking tot de informatieveiligheid hebben gemeenten de afgelopen jaren veel inspanningen verricht en zich o.a. gecommitteerd aan de BIG. Bij de VNG is de IBD (Informatiebeveiligingsdienst) ingericht om gemeenten te ondersteunen bij de implementatie. Vanuit BZK hebben wij dat van februari 2013 tot februari 2015 ondersteund met de Taskforce Bestuur en Informatieveiligheid Dienstverlening
Met betrekking tot de Privacy sociaal domein heb ik u in mijn brief dd. 29 april 2016 uitgebreid geschetst hoe wij vanuit «Den Haag» richting gegeven hebben en gemeenten ondersteund hebben bij het op een goede manier borgen van de privacy.
Ik ben het met de Autoriteit Persoonsgegevens eens dat -voor zover gemeenten dat nog steeds doen – die situatie ongewenst is. In mijn brief d.d. 29 april 2016, heb ik uitgebreid geschetst hoe wij gemeenten ook op dit punt ondersteund hebben om ervoor te zorgen dat zij de juridische basis van hun gegevensverwerking goed op orde hebben. Die ondersteuning wordt nog voortgezet via masterclasses onder de vlag van de VNG.
Ik heb geen indicatie dat een onjuist gebruik van toestemming door gemeenten ertoe heeft geleid dat het vertrouwen in de overheid is afgenomen.
Binnen het wettelijke kader dat wordt geboden door de Wet bescherming persoonsgegevens is het beveiligen van persoonsgegevens bij gemeenten, net als informatiebeveiliging van gemeenten, een lokale verantwoordelijkheid. Gemeenten hebben de BIG als normenkader vastgesteld middels de Resolutie informatieveiligheid en zijn voortvarend aan de slag gegaan met de implementatie hiervan. De BIG biedt technische, organisatorische en fysieke handvatten om de beveiliging van persoonsgegevens te kunnen waarborgen. Gemeenten voeren een gefaseerde en gedifferentieerde implementatie van de BIG door die gebaseerd is op lokale (risico)afwegingen. De IBD is opgericht door gemeenten zelf en ondersteunt hen in generieke zin bij de implementatie van de BIG en faciliteert kennisdeling tussen gemeenten. Vanuit BZK is dat ondersteund met de Taskforce Bestuur en Informatieveiligheid Dienstverlening.
Er zijn duidelijke richtlijnen, dat wil niet zeggen dat daarmee alles eenvoudig is. U vraagt om een simpel overzicht van wat mag en wat niet mag, maar zo werkt de Wet bescherming persoonsgegevens niet. De wet vraagt om een afweging te maken welke gegevens noodzakelijk zijn. Wat noodzakelijk is, is afhankelijk van de specifieke casus en de specifieke situatie. Bij een eenvoudige problematiek kunnen gemeenten toe met minder gegevens. Bij complexe multi-problematiek zullen meer gegevens noodzakelijk zijn om tot goede ondersteuning te komen.
Alleen voor standaardprocessen als het maken van een beschikking of facturering is een simpel overzicht mogelijk. Dat kan echter ook per gemeente verschillen. Niet iedere gemeente werkt met contracten op basis van individuele behandelingen. Sommige gemeenten werken met lump-sum bekostiging, daar zijn geen persoonsgegevens voor nodig.
Zoals ik in mijn brief van 29 april heb uiteengezet herken ik het beeld niet dat ik de gemeenten heb laten zwemmen.
Ik ben niet van mening dat het Rijk geen duidelijkheid heeft geschapen. Wij hebben mede naar aanleiding van eerdere signalen van de Autoriteit Persoonsgegevens richting gegeven aan gemeenten middels de kabinetsvisie «Zorgvuldig en bewust». Wij hebben vervolgens nadere invulling gegeven aan de wijze waarop gemeenten de privacy moeten borgen middels de Privacy Impact Assessment 3D. Vervolgens hebben wij met de VNG masterclasses verzorgd om gemeenten verder op weg te helpen. Telkens wanneer gemeenten in de uitvoering op onduidelijkheden stuitten is er vanuit Rijk en VNG van alles aan gedaan om helderheid te scheppen door middel van handreikingen etcetera. Waar nodig is ook de wet aangepast, zoals de veegwet Jeugd. Dat is wat ik bedoel met «richting geven aan de lerende praktijk.» Daar gaan we ook mee door, zoals u in mijn brief van 29 april 2016 heeft kunnen lezen(Kamerstuk 32 761, nr. 98).
De Autoriteit heeft eerder zorgen geuit over mogelijke privacyrisico’s bij gemeenten. Mede daarom zijn er vanuit het Rijk en de VNG de afgelopen jaren allerlei acties ondernomen om gemeenten te ondersteunen bij een gestructureerde aanpak van privacy bij de nieuwe taken in het sociaal domein. Zie ook mijn antwoord op vraag 16 en mijn brief van 29 april 2016.
Ik ben de Autoriteit Persoonsgegevens zeer erkentelijk voor haar rapport. Het rapport bevestigt voor mij dat de inhoudelijke richting die wij geven aan gemeenten de goede is. Juist omdat wij in het verleden goed geluisterd hebben naar de zorgen van de Autoriteit. Ik ben blij dat de Autoriteit duidelijkheid geeft aan gemeenten over wat zij als toezichthouder belangrijk vindt, zodat gemeenten hun verantwoordelijkheid kunnen nemen, met gebruikmaking van hetgeen het Rijk en de VNG hen hebben aangereikt.