Bescherming van persoonsgegevens/persoonlijke levenssfeer in de WMO

dinsdag, 27 januari 2015

Met de decentralisatie in de zorg, die op 1 januari 2015 is ingegaan, gaat er binnen de gemeente het één en ander veranderen. De (grootschalige) gegevensuitwisseling in het sociale domein is een bron van zorg. Een adequate beveiliging van het zorgdossier is meer dan ooit actueel.

In dit artikel wordt in het kort de Wet maatschappelijke ondersteuning 2015 (Wmo) besproken in relatie tot de Wet bescherming persoonsgegevens (Wbp). Meer concreet wordt ingegaan op de vraag hoe het onderzoek in het kader van het verstrekken van een maatwerkvoorziening  zich verhoudt tot de bescherming van persoonsgegevens en de inbreuk op de persoonlijke levenssfeer (privacy).

Inleiding

Het gaat om een drietal transities in het sociale domein (AWBZ naar Wmo, Participatiewet, Jeugdwet). De Wmo 2015 vervangt de voorganger van de Wmo en de delen van de Algemene wet bijzondere ziektekosten die zijn gericht op ondersteuning en participatie (*1).

De Wmo formuleert de opdracht aan het College als volgt. Ten eerste: Het gemeentebestuur draagt zorg voor de maatschappelijke ondersteuning (artikel 2.1.1, eerste lid). Ten tweede: Het gemeentebestuur draagt zorg voor de kwaliteit en de continuïteit van de voorzieningen (artikel 2.1.1, tweede lid).

De Wmo legt ook vanuit de privacybescherming een zware last op de gemeente. “Het college als verantwoordelijke moet, ook tijdens het proces van nadere definiëring van de gegevensset, zeer zorgvuldig en terughoudend zijn en conform de bepalingen van de Wbp handelen, met de clausulering dat alleen die gegevens worden verwerkt en verstrekt mogen worden die strikt noodzakelijk zijn voor de uitvoering van de wet. De waarborgen, zoals bij paragraaf 6.3.2 van dit hoofdstuk al geformuleerd, zien er verder op dat de risico’s inzake het bovenmatig delen van gegevens en het gebruik van gegevens voor een niet-verenigbaar doel worden ondervangen, ook gedurende het voorgenomen proces. Ook de eisen aan de beveiliging van gegevens worden in de amvb opgenomen”. (Kamerstukken II 2013/2014, 33 841, nr. 3).

Welke taken zijn overgeheveld naar de gemeente?

Per 1 januari 2015 hebben de gemeenten de verantwoordelijkheid voor jeugdzorg, thuiszorg voor zieken, gehandicapten en ouderen, en voor ondersteuning van mensen aan de onderkant van de arbeidsmarkt. Meer concreet betreft dit de volgende taken.

Wmo

De dagbesteding is vanaf  2015 de verantwoordelijkheid van de gemeente. De extramurale zorg en ondersteuning is naar de gemeenten overgeheveld. De huishoudelijk verzorging is alleen toegankelijk voor mensen die dit niet zelf kunnen bekostigen en is als basisvoorziening uit de Wmo gehaald.

Participatiewet

In deze wet worden onder andere de Wajong en Wet Werk en Bijstand gebundeld en geldt de wet voor alle cliënten op het terrein van werk en inkomen. Met invoering van de nieuwe wet is de toegang tot de WSW (Wet sociale werkvoorziening)  gesloten.

Het gaat verder om de jeugdbescherming, jeugdreclassering, jeugd-GGZ en zorg voor licht verstandelijke gehandicapte jongeren (de preventieve ondersteuning voor jeugd was al onderdeel van de Wmo). Uitgangspunt is één gezin, één plan, één regisseur.

Doelstelling van de Wmo

In de Memorie van Toelichting op de Wmo is de doelstelling van de Wmo als volgt samengevat. Gemeenten worden verantwoordelijk voor het ondersteunen van de zelfredzaamheid en participatie van mensen met een beperking, chronisch psychische of psychosociale problemen. De hulpverlening - ‘cliëntondersteuning’ -  moet erop gericht zijn dat mensen zo lang mogelijk in de eigen leefomgeving kunnen blijven (*2).

In de tweede plaats gaat het om de betrokkenheid van mensen bij elkaar te vergroten. De mogelijkheden van mensen of hun sociale omgeving om zelf te voorzien in hulp en ondersteuning moeten in kaart worden gebracht. Hiervoor wordt beroep gedaan op het sociaal netwerk van mensen en daar waar mogelijk ook op vrijwilligers. De wet richt zich daarom op het versterken van de positie van mantelzorgers en vrijwilligers en op wat wordt genoemd het beter verbinden van informele en formele ondersteuning en zorg.

De mantelzorger wordt betrokken bij de aanvraag van de burger die ondersteuning nodig heeft om goed af te stemmen wat de burger en de mantelzorger zelf doen en waar ondersteuning door de overheid nodig is. De regering duidt dit aan met nieuwe mengvormen van solidariteit, waarbij overheid en samenleving elkaar aanvullen en versterken. De inzet is dat  professionele ondersteuning hand in hand dient te gaan met informele ondersteuning en zorg. 

De regering verwacht dat de gemeenten, door een groter beroep te doen op de eigen mogelijkheden van mensen en hun sociale netwerken en door gebruikmaking van algemene voorzieningen en maatwerkvoorzieningen, de ondersteuning met een beperkter budget kunnen uitvoeren dan de Rijksoverheid. De samenwerking tussen gemeente, verzekeraars en aanbieders zou de kwaliteit van de dienstverlening vergroten en met een samenhangend aanbod van zorg en ondersteuning  zou dit tot een beheersing van de kosten (moeten) leiden.

Gegevensverwerking op grond van de Wmo

De Wmo (hoofdstuk 5) bevat de bepalingen inzake de verwerking van persoonsgegevens door het College, indicatieorganen, zorgaanbieders en zorgverzekeraars. Ten behoeve van de uitvoering van de Wmo worden (bijzondere) persoonsgegevens, waaronder  medische gegevens en het burgerservicenummer, verwerkt en gedeeld. In het Uitvoeringsbesluit Wmo 2015 is geregeld welke gegevens door wie mogen worden verwerkt en gedeeld.

Het advies van het College bescherming persoonsgegevens (CBP)

Het CBP was bijzonder kritisch in haar advies (*3) aan de regering.

In zijn algemeenheid constateert het CBP dat er sprake is van “intransparantie” op het terrein van het bovenmatig delen van persoonsgegevens, het gebruiken van de gegevens voor een doel dat niet verenigbaar is met het oorspronkelijke doel waarvoor ze zijn verzameld en de beveiliging. “Bovendien dreigt volstrekte intransparantie, waardoor het noch voor burgers, noch voor de overheid zelf inzichtelijk is wie welke gegevens verzamelt en gebruikt en met welk doel dat gebeurt.” Het CBP constateert dat gemeenteambtenaren straks bijvoorbeeld mogelijk toegang hebben tot een grote bak, met bijzondere medische en strafrechtelijke gegevens, terwijl dat voor hun werkzaamheden niet nodig is. Dat levert volgens de privacytoezichthouder ernstige risico’s op voor de persoonlijke levenssfeer van de betrokkenen (*4).

Het antwoord van de regering

De regering geeft aan dat de Wmo uitgaat van de verantwoordelijkheid van het Collegevoor een goede uitvoering van de taken op het gebied van de maatschappelijke ondersteuning. Daartoe behoort ook dat het College met betrekking tot de bescherming van persoonsgegevens, waaronder gezondheidsgegevens, zorgvuldig recht doet aan artikel 8 van het EVRM en de Wet bescherming persoonsgegevens (Wbp). De bevoegdheid van het College om dergelijke gegevens te verwerken voor zover die noodzakelijk zijn voor de beoordeling van de behoefte van iemand aan ondersteuning en het goed uitvoeren van de taken die het College in dat verband heeft, laat onverlet dat het College(als verantwoordelijk in de zin van de Wbp) waarborgen zal moeten treffen dat dit behoorlijk en zorgvuldig en in overeenstemming met de eisen van de Wbp geschiedt.

De regering geeft verder aan dat de ‘verantwoordelijke’ op grond van artikel 13 van de Wbp passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdende met de stand van techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

De regering stelt dat zij zich de kritiek van het CBP heeft aangetrokken.

Het advies van de CBP heeft ertoe geleid dat de keuze is gemaakt “de verwerking van persoonsgegevens zoveel mogelijk slechts met instemming van betrokkenen te laten plaatsvinden”.  Dit houdt heel in het kort in dat zoveel mogelijk betrokkenen gevraagd wordt de gegevens - in het kader van een aanvraag voor een maatwerkvoorziening - zelf aan te leveren. ‘Het inzagerecht is in het licht hiervan van groot belang. De verwerker van de gegevens zal zo nodig aan betrokkene moeten kunnen uitleggen waarom het verwerken van de gegevens noodzakelijk is. Om discussie daarover te voorkomen, verdient het aanbeveling cliënt en anderen steeds vooraf zo goed mogelijk in te lichten over de aard en het doel van de te verwerken gegevens, zodat de verwerking van de gegevens zo veel mogelijk met instemming van betrokkene plaatsvindt’.

De vraag is of de Wmo hiermee ‘privacy-proof’ is. Het geven van toestemming betekent niet altijd dat gegevensverwerking geoorloofd is. De toestemming voor verwerking van persoonsgegevens dient vrijwillig, specifiek en geïnformeerd gegeven te worden (artikel 1.i Wbp).  Hoewel in de Memorie van Toelichting is aangegeven dat het niet verstrekken van gegevens, niet - per definitie - betekent dat de maatwerkvoorziening mag worden geweigerd, is dit feitelijk niet geborgd. Artikel 2.3.2 lid 7 regelt dat cliënt of diens vertegenwoordiger het College de gegevens en bescheiden verschaft die voor het onderzoek nodig zijn. Een eenmaal toegekende maatwerkvoorziening kan worden herzien als blijkt dat niet alle gegevens zijn verstrekt (2.3.8 in relatie 2.3.10). Ook is het de vraag hoe in de praktijk het bovenmatig verzamelen van gegevens en het delen van gegevens met andere instanties en/of hulpverleners wordt tegengegaan.

Maatwerkvoorziening

Dit zal aan de hand van het onderzoek dat vooraf gaat aan een maatwerkvoorziening worden toegelicht. Artikel 2.3.1 Wmo bepaalt dat het College ervoor zorg draagt dat aan personen die daarvoor in aanmerking komen een maatwerkvoorziening wordt verstrekt.

Onderzoek maatwerkvoorziening

Op grond van artikel 2.3.2 voert het College een onderzoek uit alvorens te beslissen op een aanvraag voor een maatwerkvoorziening. Dit onderzoek wordt ook wel het ‘keukentafelgesprek’ genoemd. Het College onderzoekt op grond van deze bepaling onder meer de persoonskenmerken van betrokkene, de mogelijkheid voor betrokkene om op eigen kracht of met de gebruikelijke hulp van personen uit zijn sociaal netwerk tot verbetering van zijn zelfredzaamheid of participatie te komen en de mogelijkheden om in afstemming met andere partijen tot een zo goed mogelijk afgestemde dienstverlening te komen.

De gemeenten zullen zich dus een beeld moeten vormen van iemands vraag en behoeften op het terrein van de maatschappelijke ondersteuning, zijn gezondheidstoestand voor zover die daarbij van belang is, voorzieningen waarvan hij al gebruik maakt, zijn mogelijkheid tot participatie en de mogelijkheden van zijn sociale netwerk. Voorts wordt van gemeenten gevraagd dat zij integraal, dat wil zeggen ook met inachtneming van andere medeverantwoordelijkheden en in samenhang met de zorgverzekeraars, beoordelen welke ondersteuning iemand nodig heeft, zodat zij een integraal aanbod kunnen doen.

a. Invulling onderzoek

In artikel 5.1.1., eerste lid is bepaald dat het College in het kader van het onderzoek met betrekking tot de cliënt persoonsgegevens, waaronder gegevens betreffende gezondheid, mag verwerken die het College heeft verkregen ten behoeve van de uitvoering van de taken die de wet aan het College opdraagt, een en ander uitsluitend voor zover die gegevens daarvoor noodzakelijk zijn. Wat betreft de echtgenoot, ouders, inwonende kinderen en andere huisgenoten mogen op grond van het eerste lid geen bijzondere persoonsgegevens worden verwerkt.

Gemeenten hebben grote beleidsruimte in de wijze waarop zij dit onderzoek inrichten. De wet regelt slechts dat bij gemeentelijke verordening moet worden geregeld in welke gevallen het College een maatwerkvoorziening verstrekt en op welke wijze wordt vastgesteld of iemand voor een maatwerkvoorziening in aanmerking komt.

Het CBP vond dat een dergelijke ruime beleidsruimte voor gemeenten op het punt van gegevensverstrekking nadere clausulering behoefde. Het CBP adviseerde in de wet op te nemen welke gegevens gemeenten in het kader van het onderzoek van artikel 2.3.2 mogen verwerken en daarbij te voorzien in passende waarborgen.

In reactie hierop geeft de regering aan dat in het Uitvoeringsbesluit Wmo 2015 wel preciezer en uitvoeriger voor de afzonderlijke actoren is geregeld welke persoonsgegevens voor de onderscheiden groepen van personen c.q. voor onderscheiden taken mogen worden verwerkt, maar acht een verdergaande bepaling inzake de te verwerken gegevens niet werkbaar.

De regering stelt dat, anders dan het CBP kennelijk als mogelijkheid veronderstelt, het niet uitvoerbaar is om in een wet concreet te bepalen welke persoonsgegevens voor de verschillende categorieën van personen mogen worden verwerkt en moeten of mogen worden verstrekt. ‘Met name met het met de Wmo beoogde maatwerk, waarbij per individuele cliënt zorgvuldig en uitvoerig moet worden onderzocht hoe zijn situatie en ondersteuningsbehoefte is, welke rol hijzelf, zijn gezinsgenoten, zijn mantelzorger en anderen uit zijn sociaal netwerk kunnen spelen bij het oplossen daarvan, maakt het niet doenlijk een vaste set concrete gegevens voor te schrijven welke mogen worden verwerkt; dat zal per geval kunnen verschillen. De wetgever kan hierbij niet verder gaan dan zo precies mogelijk voor alle situaties vastleggen welke gegevens over wie voor welk doel mogen worden verwerkt en expliciet vastleggen dat deze slechts mogen worden verwerkt voor zover zij noodzakelijk zijn voor de uit te voeren taak. In de amvb zal zo concreet mogelijk nader worden afgebakend welke persoonsgegevens in de verschillende situaties door de verschillende actoren mogen worden verwerkt’.

Het zal nu dus van de omstandigheden van het geval afhangen - en zelfs per gemeente - welke gegevens verwerkt worden.

b. Personen uit het sociaal netwerk

Een bijzonder aspect van het onderzoek in het kader van de maatwerkvoorziening is dat artikel 2.3.2, tweede lid, onderdeel b, zich tevens uitstrekt tot personen uit het sociaal netwerk van de aanvrager.

Artikel 1.1.1 definieert sociaal netwerk als “personen uit huiselijke kring of andere personen met wie betrokkene een sociale relatie onderhoudt”. Personen uit de huiselijke kring zijn op grond van dit artikel de familie, de huisgenoot of de mantelzorger van de aanvrager. Met  “andere” personen met wie betrokkene een sociale relatie onderhoudt, worden blijkens de Memorie van Toelichting personen bedoeld met wie de aanvrager regelmatig contact onderhoudt, zoals buren, medeleden van een vereniging, etc.

Artikel 5.1.1, tweede lid bepaalt dat het College persoonsgegevens mag verwerken van de mantelzorger van de cliënt; ook met betrekking tot de mantelzorger kunnen dat bijzondere persoonsgegevens zijn, echter uitsluitend voor zover die gegevens betrekking hebben op de hulp die de mantelzorger aan de cliënt biedt of kan bieden (zijn inzetbaarheid en belastbaarheid).

Het derde lid van dit artikel regelt dat de persoonsgegevens van anderen uit het sociaal netwerk mogen worden verwerkt; veel zal voor deze personen kunnen worden volstaan met het verwerken van enige identificerende gegevens en informatie over wat betrokkene voor de cliënt kan betekenen. Voor het verwerken van bijzondere persoonsgegevens is ook hier slechts een basis als het gaat om de hulp die zij aan de cliënt bieden of kunnen bieden.

Tot slot is in het vierde lid een specifieke bepaling toegevoegd over het verwerken van persoonsgegevens inzake de echtgenoot, ouders, inwonende kinderen en andere huisgenoten, die het College - maar wel met ondubbelzinnige toestemming van betrokkene - heeft verkregen bij de uitvoering van enige andere wet in het sociale domein, voor zover dat noodzakelijk is ten behoeve van de goede uitvoering van de taken van het College op grond van deze wet.

Het CBP adviseerde om het doel en de noodzaak van de verwerking van persoonsgegevens van enerzijds de aanvrager en anderzijds de personen uit zijn sociaal netwerk wordt onderbouwd. “Beide verwerkingen dienen separaat te worden getoetst aan de vereisten van artikel 10 van de Grondwet, artikel 8 van het Handvest van de grondrechten van de Europese Unie, artikel 8 EVRM en de Wbp. Ook moet duidelijk worden in hoeverre het onderzoek van artikel 2.3.2, tweede lid, onderdeel b, ertoe leidt dat privédomeinen van verschillende personen met elkaar in verbinding worden gebracht. Heeft het onderzoek bijvoorbeeld tot gevolg dat bijzondere persoonsgegevens van de aanvrager worden gedeeld met personen uit zijn sociaal netwerk? En in hoeverre is het voor personen uit het sociaal netwerk van de aanvrager kenbaar dat zij onderwerp van onderzoek zijn?

Buiten het feit dat in de toelichting op de bepalingen zoveel mogelijk is aangegeven welke gegevens van belang kunnen zijn, wijst de regering nog een keer expliciet op het inzagerecht (artikel 4.1.7). Hier wordt ook weer aangegeven dat aan betrokkene moet kunnen worden uitgelegd waarom het verwerken van gegevens noodzakelijk is. Om discussie daarover te voorkomen wordt de aanbeveling gedaan steeds vooraf betrokkene zo goed mogelijk in te lichten over de aard en het doel van de te verwerken gegevens, zodat de verwerking zoveel als mogelijk met instemming van betrokkene plaatsvindt.

c. Samenwerking met zorgverzekeraars en zorgaanbieders

De wet voorziet in de mogelijkheden en ziet deels ook op verplichtingen voor gemeenten om samen te werken met andere bestuursorganen, zorgaanbieders en zorgverzekeraars. Zo bepaalt artikel 2.3.2, vierde lid, onder f, bijvoorbeeld dat het College bij een aanvraag voor een maatwerkvoorziening de mogelijkheden onderzoekt om door middel van samenwerking met zorgverzekeraars en zorgaanbieders en partijen op het gebied van jeugdhulp, onderwijs, werk en inkomen, wonen en welzijn te komen tot een zo goed mogelijk afgestemde dienstverlening.

Het CBP merkt hierover het volgende op. “Hierin is bepaald dat deze partijen moeten kunnen beschikken over elkaars relevante gegevens voor het uitoefenen van hun taak. Er wordt ingegaan op de voordelen van de samenwerking en het delen van persoonsgegevens. Eventuele risico’s voor de verwerking van persoonsgegevens zijn daarbij echter niet in kaart gebracht. Ook ontbreekt in dit kader de waarborgen waarbinnen deze vorm van verwerking van persoonsgegevens plaatsvindt. Hierbij dient in elk geval zeker te worden gesteld dat de gegevens niet worden verwerkt voor een doel dat niet verenigbaar is met het doel waarvoor de gegevens zijn verkregen (artikel 9, eerste lid, Wbp). Zo rijst de vraag in hoeverre zorgverzekeraars de op grond van de wet verkregen informatie ook kunnen gebruiken voor de uitvoering van andere taken. Tegen die achtergrond mist het CBP een uiteenzetting in de Memorie van Toelichting of het belang van zogenaamde Chinese Walls en de toepassing van artikel 87, zesde lid, onder e, Zorgverzekeringswet.

Het CPB adviseert op te nemen welke persoonsgegevens genoemde partijen met elkaar kunnen delen, wat de eventuele risico’s van deze gegevensverwerking zijn en welke maatregelen worden getroffen om deze risico’s te ondervangen.

In de toelichting is opgemerkt dat het vijfde lid van artikel 5.1.1 ruimte voor het College biedt, onder hetzelfde voorbehoud van ondubbelzinnige toestemming, om persoonsgegevens inzake de cliënt te verwerken, die het College heeft verkregen van zorgverzekeraars of zorgaanbieders. Ter zake de gegevensverwerking door aanbieders van ondersteunings-voorzieningen is een onderscheid gemaakt tussen aanbieders van maatwerkvoorzieningen, die ook bijzondere persoonsgegevens over een cliënt moeten kunnen verwerken en aanbieders van algemene voorzieningen die dat niet mogen.

In reactie op het advies van het CBP is, preciezer en uitvoeriger dan in het eerdere voorstel in aparte bepalingen voor de afzonderlijke actoren, geregeld welke persoonsgegevens voor onderscheiden taken aan andere actoren mogen of moeten worden verstrekt.

Beveiliging persoonsgegevens

Op grond van artikel 13 Wbp dienen persoonsgegevens adequaat te worden beveiligd. Ten aanzien van de beveiliging is in het bijzonder het inmiddels tweemaal gewijzigde wetsvoorstel Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP (*5) van belang. Op grond van dit wetsvoorstel gaat een meldplicht gelden voor inbreuken op de beveiliging van persoonsgegevens en komen er boetes op niet naleving van meldplicht en beveiligingsverplichtingen. Een dergelijke boete kan oplopen tot € 810.000,-.  Zie over dit wetsvoorstel ook dit eerdere artikel.

Conclusie

Gemeenten moeten bij de (nieuwe) taken en processen die voortvloeien uit de Wmo 2015 een goed beeld hebben welke eisen de Wbp (Wet bescherming persoonsgegevens) stelt. Hierop moeten de (interne-)processen worden ingericht. Het uitgangspunt hierbij moet zijn dat niet meer gegevens worden gebruikt dat strikt noodzakelijk is voor het uitvoeren van de wettelijke taken en het waarborgen dat die gegevens niet voor andere doeleinden worden gebruikt.

 


(*1) NB. De drie wetten waar het om gaat betreffen de Wet maatschappelijke ondersteuning 2015 (Stb. 2014, 280, Kamerstukken 33 841, met het bijbehorende Uitvoeringsbesluit Wmo 2015 (Stb 2014,420), de Jeugdwet (Stb. 2014, 105, Kamerstukken 33 684, met bijbehorende invoeringswet Jeugd (Kamerstukken 33 983) en de invoeringswet Participatiewet (Stb. 2014, 270, Kamerstukken 33 161). Op grond van de invoeringswet Participatiewet gaat de Wet werk en bijstand overigens voortaan Participatiewet heten.

(*2) Voor mensen met psychische of psychosociale problemen of voor mensen die, al dan niet in verband met risico’s voor hun veiligheid als gevolg van huiselijk geweld, de thuissituatie hebben verlaten, voorzien gemeenten in de behoefte aan beschermd wonen en opvang.

(*3) Kamerstukken 33841, nr.3 Externe adviezen

(*4) Persoonlijke gegevens werden tot de invoering van de Wmo 2015 nog beheerd door afzonderlijke instanties.

(*5) Kamerstukken II, 2014/2015, 33 662, nr. 9