Antwoorden op kamervragen van de Kamerleden Oosenbrug (PvdA) en Ypma (PvdA) over onveilige uitwisseling van gegevens tussen gemeenten en behandelaars in de jeugd-ggz.

...3  Heeft u kennis of ook communicatie over andere vormen van zorg, waar gemeenten verantwoordelijk voor zijn, via onbeveiligde kanalen verloopt? 

Gemeenten, politie, Veilig Thuis, de raad voor de kinderbescherming en de gecertificeerde instellingen zijn wettelijk verplicht om CORV te gebruiken voor de onderlinge uitwisseling van gegevens tussen het gemeentelijk en het justitiedomein. CORV maakt het mogelijk om tussen deze partijen op een veilige manier privacygevoelige gegevens uit te wisselen. Alle partijen maken gebruik van CORV, maar wij weten dat nog niet alle partijen dat in alle gevallen doen. Het gebruik neemt wel gestaag toe. Op dit moment vindt 65 procent van de gegevensuitwisseling plaats via CORV en er wordt hard aan gewerkt om dit percentage verder te verhogen. Wij zullen Uw Kamer in het voorjaar berichten over de voortgang. Wij hebben geen kennis of de communicatie over andere vormen van zorg via onbeveiligde kanalen verloopt. 

4 Voldoen gemeenten door versturing via e-mail aan de wettelijk geldende eisen voor de verwerking van persoonsgegevens in de zorg? Zo nee, wordt bij dit soort situaties handhavend opgetreden, en hoeveel handhavingstrajecten lopen op dit gebied? 

De wettelijke eisen zijn neergelegd in de Jeugdwet en de Wet bescherming persoonsgegevens (Wbp). Daarnaast hebben gemeenten hun eigen meer gedetailleerde norm gemaakt: de Baseline Informatiebeveiliging Gemeenten (BIG). De Informatiebeveiligingsdienst (IBD) helpt gemeenten om de BIG te implementeren. In de Buitengewone Algemene Ledenvergadering van de VNG van 29 november 2013 hebben de gemeenten de Resolutie Informatieveiligheid aangenomen. Met die resolutie hebben alle gemeenten zich verplicht om de BIG in 2017 ingevoerd te hebben.

Zie https://vng.nl/onderwerpenindex/dienstverlening-en-informatiebeleid/informatieveiligheid/brieven/resolutie-informatieveiligheid-randvoorwaarde-voor-de-professionele-gemeente en https://vng.nl/onderwerpenindex/dienstverlening-en-informatiebeleid/informatieveiligheid. 

Toezicht op de naleving van deze normen geschiedt door de gemeenteraad, het Cbp en de Inspecties. Het is aan deze partijen om te bepalen of in concrete gevallen aan de normen wordt voldaan. Wij weten dat op dit moment de Inspecties onderzoeken uitvoeren bij gemeenten en dat het Cbp de toegang onderzoekt van 41 gemeenten...

 6  Deelt u de zorg van de behandelaars dat gemeenten hen geen garanties of informatie kunnen geven voor een zorgvuldige omgang met gevoelige gegevens die zij moeten verstrekken?

Nee, deze zorg delen wij niet. De wettelijke kaders zijn duidelijk. Ook is duidelijk welke gemeentelijke normen, BIG, er gelden. Gemeenten dienen zich aan die regels te houden; de gemeenteraad, het Cbp en de Inspecties zien hierop toe. In de tijdelijke regeling over de bij de declaratie te verstrekken persoonsgegevens is limitatief opgesomd waar de gemeenten de ontvangen gegevens voor mogen gebruiken, te weten voor de formele controle, voor het opvragen van nadere informatie bij de declarant indien de ingediende rekening te weinig informatie bevat om hem te kunnen betalen, voor het betalen van de rekening, voor fraudeonderzoek en voor de vaststelling van ouderbijdragen. De informatie mag dus bijvoorbeeld niet worden gebruikt om te bepalen of aansluitend andere jeugdhulp nodig zou kunnen zijn. Uiteraard kunnen de gemeenten de aanbieders hiervan op de hoogte stellen. Evenzo kan een gemeente dit desgevraagd meedelen aan een jeugdige of zijn ouders.

Alles bij de bron; RijksOverheid