Gemeenten mailen onveilig over kinderen

Volgens psychologen houden gemeenten zich niet aan de regels voor veilig mailverkeer.

Tientallen gemeenten vragen jeugdpsychologen en psychotherapeuten vertrouwelijke informatie over patiënten te versturen via gewone, dus onbeveiligde, e-mail. Dat blijkt uit een steekproef van deze krant onder 21 jeugd-ggz-psychologen die contracten hebben met een veelvoud aan gemeenten. Het gaat om informatie als naam en adres van het kind, duur van de behandeling en, in sommige gemeenten, om medische informatie zoals het behandelplan of de verwijsbrief van de huisarts.

Gemeenten, sinds dit jaar verantwoordelijk voor de jeugdzorg, zijn volgens artikel 13 van de Wet bescherming persoonsgegevens verplicht de uitwisseling van dit soort gegevens beveiligd te laten plaatsvinden. „Versleuteling van data, zeker dit soort gevoelige gegevens, is altijd noodzakelijk”, zegt het College Bescherming Persoonsgegevens (CBP) desgevraagd. Bij gewone e-mailverbindingen is van versleuteling echter geen sprake.

Er is een beveiligd communicatiesysteem voor berichtenverkeer met zorgverleners beschikbaar, het Gemeentelijk Gegevensknooppunt, maar dat functioneert nog lang niet in alle gemeenten. Zo schrijft de regio IJmond – Beverwijk, Heemskerk, Velsen – aan jeugdpsychologen dat het „uiteindelijk” de bedoeling is de verstrekking van gegevens van nieuwe patiënten via het knooppunt te laten verlopen. Maar tot die tijd vraagt IJmond aan de jeugdpsychologen om de patiëntgegevens in te tikken in een formulier in Word, dat zij naar de gemeente moeten versturen via e-mail of de reguliere post. IJmond vraagt op het formulier naar het burgerservicenummer van het kind, en ook naar het soort zorg waar de patiënt voor in aanmerking komt: „Basis-GGZ, gespecialiseerde GGZ, of dyslexiezorg?”

Uit de rondvraag blijkt ook dat jeugdpsychologen zelden weten wat er op het raadhuis precies met de gevraagde patiëntinformatie gebeurt, en wie die inzien. „Op mijn uitdrukkelijke vragen hierover zegt de beleidsmedewerker sussend dat ze daar heel zorgvuldig mee zouden omgaan. Maar van een privacyprotocol hadden ze niet gehoord”, zegt een jeugdpsycholoog die zaken doet met een aantal Gelderse gemeenten. Een Zeeuwse behandelaar: „Als ik gemeenten hierover bevraag, krijg ik onder meer als antwoord dat ouders die dat willen weten, het maar zelf moeten vragen.”

Ook dat druist in tegen de Wet bescherming persoonsgegevens, blijkt uit richtlijnen van het CBP: de verwerking van gegevens is pas behoorlijk als de gemeente aan behandelaars en ouders laat weten wat er met die informatie gebeurt. „De gemeente moet betrokkenen informeren”, zegt een woordvoerder van het CBP.

Door gebrekkig of ondoorzichtig lokaal privacybeleid maken veel ouders van behandelde kinderen zich zorgen, blijkt uit de rondvraag. Negen van de 21 ondervraagde psychologen zegt dat er in hun praktijk ouders zijn die voor de zekerheid de zorg maar zelf betalen, om te voorkomen dat gegevens over hun kind bij de gemeente belanden. Een jeugdpsycholoog die werkt in de regio-Amsterdam schat dat een of de vijf ouders er inmiddels voor kiest de zorg zelf te betalen, een collega uit de regio-Leiden zegt dat dit in een kwart van de gevallen gebeurt.

    • Ingmar Vriesema