Wat kost dat nou, zo’n privacyschending?

01-11-2017

Ebbers, Corrie

De ombudsman van de gemeente Rotterdam heeft een scherpe analyse gemaakt van het sociaal domein van de gemeente Rotterdam. De bevindingen zijn neergelegd in het rapport ‘Het hemd van het lijf’’. Maar stel dat de Autoriteit Persoonsgegevens dit onderzoek had uitgevoerd, onze toezichthouder? De ombudsman van Rotterdam heeft niet de bevoegdheid om boetes op te leggen maar de Autoriteit Persoonsgegevens wel!

De ombudsman doet twaalf aanbevelingen. Ik heb deze aanbevelingen naast de boetebeleidsregels van de Autoriteit Persoonsgegevens gelegd en kom tot een boete van maximaal 4.140.000 euro (vier miljoen honderdveertigduizend euro).

De ombudsman concludeert in het rapport ‘Het hemd van het lijf’ dat het streven van de gemeente om tijdig adequate zorg te verlenen, ten koste ging van de zorgvuldigheid rond de privacy van de mensen die hulp nodig hebben.

De gemeentelijke ombudsman Anne Mieke Zwaneveld is dit onderzoek, in het voorjaar van 2016, op eigen initiatief gestart. Aanleiding vormde de klachten over de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) en de nieuwe Jeugdwet. In die klachten gaven Rotterdammers aan dat zij zich gedwongen voelen om een grote hoeveelheid persoonlijke gegevens – bijvoorbeeld medische gegevens, financiële gegevens, informatie over familierelaties en contacten met de buren – aan de gemeente te verstrekken, omdat zij anders geen ondersteuning krijgen. Ook is het Rotterdammers niet altijd duidelijk wat er met die gegevens gebeurt.

Een ombudsman heeft niet de bevoegdheid om boetes op te leggen en de aanbevelingen van de ombudsman zijn niet bindend. Maar de Autoriteit Persoonsgegevens heeft deze bevoegdheden wel. Tot dusverre heeft de AP nog weinig gebruik van gemaakt van de boetebevoegdheid.

Nu zal de Autoriteit Persoonsgegevens nooit zo maar ‘out of the blue’ boetes opleggen. En misschien zijn er verzachtende omstandigheden, zie artikel 6 van de Boetebeleidsregels. Als de AP over gaat tot onderzoek gebeurt dit in fasen. Eerst vindt een zorgvuldig onderzoek plaats. Dan kan een ‘bindende aanwijzing’ gegeven worden door de Autoriteit Persoonsgegevens. En de gemeente wordt altijd in de gelegenheid gesteld het verzuim te herstellen. Alleen als er overduidelijk sprake is van een opzettelijke schending of een ernstige nalatigheid, kan de AP direct optreden, zie art. 66 Wbp.

Hieronder staan de aanbevelingen van de Rotterdamse ombudsman. Ik heb die aanbevelingen aangevuld met het wetsartikel dat wordt overtreden uit de Wet bescherming persoonsgegevens. Aan de hand daarvan heb ik gekeken welke boete er staat op die overtreding en daarna alle boetes opgeteld. De hoogte van de boetes is terug te vinden in de ‘Boetebeleidsregels’. Bij het berekenen van de boetes ben ik mild geweest, een aantal aanbevelingen van de ombudsman heeft betrekking op hetzelfde onderwerp, die heb ik maar één keer geteld. Zoals aanbeveling 2 en 3 over het bewaren van gegevens en aanbeveling 7 en 11 over het beveiligen, en 8, 9 en 10 over de informatieplicht.

Aanbevelingen van de Ombudsman Rotterdam

  1. Beperk in de werkinstructies het verzamelen en registreren van persoonsgegevens tot die leefgebieden die relevant zijn voor de hulpvraag van de betrokken cliënt. (boete 500 duizend euro, art 11 lid 1 Wbp: kwaliteit van de gegevens en dataminimalisatie)
  2. Sla medische persoonsgegevens niet langer op in (digitale) dossiers, maar vernietig deze na kennisname of geef ze terug aan de betrokken cliënt. (boete 500 duizend euro, art. 10 Wbp: niet langer bewaren dan noodzakelijk om doel te bereiken)
  3. Borg dat cliëntdossiers na de wettelijk voorgeschreven termijn daadwerkelijk worden vernietigd en doe dat ook als de intake- procedure wordt afgebroken. (boete 500 duizend euro, art. 10 lid 1: niet langer bewaren dan noodzakelijk om doel te bereiken)
  4. Gebruik alleen de juiste en meest actuele toestemmings-verklaring voor het uitwisselen van gegevens met derden en vermeld daarop uitdrukkelijk de betreffende instanties. (boete 500 duizend euro, ondubbelzinnige toestemming bij het verwerken van ‘gewone’ gegevens, art. 8 a en/of boete 820 duizend euro, uitdrukkelijke toestemming bij het verwerken van bijzondere gegevens, 23 lid 1 sub a Wbp)
  5. Hanteer altijd de met de regionale LHV ontwikkelde modelbrief om cliënten bij hun behandelend arts gericht medische informatie te laten opvragen. (boete 820 duizend euro, uitdrukkelijke toestemming verwerken bijzondere gegevens, art. 23 lid 1 sub a Wbp)
  6. Beperk de toegangsautorisaties tot de digitale informatie- systemen in het sociaal domein tot medewerkers die bij de betreffende cliënt betrokken zijn en hun directe vervangers. (boete 820 duizend euro, verwerken bijzondere gegevens alleen door hulpverleners die een geheimhoudingsplicht hebben, voorover dat met het oog op een goede behandeling noodzakelijk is, art. 21 lid 1 en 2 Wbp)
  7. Wissel persoonsgegevens uitsluitend beveiligd met anderen uit. (boete 500 duizend euro, technische en organisatorische beveiligingsmaatregelen, art. 13 Wbp)
  8. Geef cliënten waarvan persoonsgegevens worden uitgevraagd, altijd zowel mondeling als schriftelijk informatie over de manier waarop die gegevens worden verwerkt en over hun privacy- rechten. (boete 500 duizend euro, plicht om cliënt te informeren over doel, welke gegevens, aan wie verstrekt en wie verantwoordelijk is, art. 33 Wbp)
    N.B. Overweeg in dat verband om alle cliënten steevast een (vereenvoudigde) versie van het al beschikbare ‘Informatieblad: Uw gegevens in het sociaal domein’ te verstrekken
  9. Vervang op de schriftelijke toestemmingsverklaring de formulering dat de cliënt toestemming geeft voor het verwerken van zijn persoonsgegevens door een formulering waarmee deze aangeeft daarvan kennis te hebben genomen. (boete 500 duizend euro, plicht om cliënt te informeren over doel, welke gegevens, aan wie verstrekt en wie verantwoordelijk is, art. 33 Wbp)
  10. Bespreek met cliënten hun al dan niet wenselijke en mogelijke aanwezigheid bij intern multidisciplinair overleg over hun problematiek. (boete 500 duizend euro, plicht om cliënt te informeren over doel, welke gegevens, aan wie verstrekt en wie verantwoordelijk is, art. 33 lid 3 Wbp en/of 34)
  11. Bezie de mogelijkheid om vooruitlopend op het nieuwe Servicecentrum de spreek/werkplekken bij de Vraagwijzer Rotterdam Centrum beter van elkaar af te schermen. (boete 500 duizend euro, technische en organisatorische beveiligingsmaatregelen, art. 13 Wbp)
  12. Controleer steekproefsgewijs de manier waarop medewerkers persoonsgegevens van cliënten verwerken en daarover met hen communiceren. (art. 15 Wbp: de verantwoordelijke draagt zorg voor de naleving van de regels). Nalaten zorgplicht staat geen boete bij vermeld.

Van onze partners

Opleiding Privacy in het sociaal domein - 3 daags

Met deze driedaagse opleiding wordt u opgeleid tot privacy professional in het sociaal domein.

→ Lees meer

Privacy in het sociaal domein

→ Lees meer

Privacy in de zorg

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer