Rekenkamer: Amsterdam schendt privacy

Bescherming van gevoelige gegevens over inwoners? Amsterdam maakt er een potje van. En er wás gewaarschuwd.

Privacygevoelige gegevens van Amsterdamse burgers worden onvoldoende beschermd, sinds de gemeente vorig jaar verantwoordelijk werd voor jeugd-, ouderen- en gehandicaptenzorg. Dit schrijft de Rekenkamer Amsterdam in een zeer kritisch rapport dat deze donderdag is verschenen.

Privacybeleid ontbreekt, is gedateerd of de uitvoering is niet op orde, aldus de kamer. Dat leidt er bijvoorbeeld toe dat onbevoegde ambtenaren toegang krijgen tot dossiers met gevoelige, medische informatie van burgers. Ook medewerkers van softwareleveranciers kunnen bij gevoelige informatie. Denk aan persoonsgegevens van probleemjongeren, informatie over gok- of drankproblemen van ouders of schulden van gezinnen.

Op 1 januari 2015 werden de bijna vierhonderd Nederlandse gemeenten verantwoordelijk voor zorg aan jongeren en ouderen en voor het aan werk helpen van gehandicapten. Gemeenten kregen daardoor meer dan ooit te maken met gevoelige informatie van inwoners.

Extra complicatie is dat hulpverleners steeds intensiever samenwerken, in teams waarin verschillende vormen van hulp samenkomen. Deze teams krijgen onder meer persoonsgegevens, medische dossiers, details over schulden, relatieproblemen en huiselijk geweld. Vragen die daarbij rijzen zijn of ze al die gevoelige informatie mogen delen, en hoe die in de computer terechtkomt.

Al voor de overdracht van de extra taken naar gemeentes waren er zorgen over privacy van burgers. Het College Bescherming Persoonsgegevens (tegenwoordig de Autoriteit Persoonsgegevens) waarschuwde dat ambtenaren of hulpverleners zeer gevoelige informatie zonder toestemming zouden kunnen inzien. Het rapport van de Rekenkamer Amsterdam bevestigt dat die bescherming inderdaad tekortschiet.

Het is ook niet eenvoudig, schrijft de Rekenkamer Amsterdam. Ga maar na: bij de uitvoering van de Jeugdwet en de Wet maatschappelijke ondersteuning in Amsterdam zijn 119 contracten afgesloten met (zorg)instellingen en 167 contracten met vrijgevestigde hulpverleners. Zo’n 2.800 zorgverleners maken gebruik van de registratiesystemen. Al die organisaties werken met eigen privacyprotocollen en eigen regels voor opslaan en delen van gevoelige informatie. De gemeente Amsterdam is er – ruim een jaar na de decentralisaties – nog niet in geslaagd duidelijke, algemene regelgeving in te voeren. „Een visie ontbreekt [...]. Het wordt tijd voor een plan”, schrijft de Rekenkamer.

De versnippering leidt tot misstanden. Te veel personen krijgen toegang tot cliëntdossiers, terwijl nauwelijks wordt gecontroleerd wie die dossiers allemaal bekijken.

Ook komt het voor dat gevoelige gegevens van burgers worden gedeeld via onbeveiligde e-mail, terwijl dat verboden is. Jan de Ridder, directeur van de Rekenkamer Amsterdam: „De gemeente moet orde scheppen in de chaos.” De Ridder: „Stel dat een kind dreigt te radicaliseren, staat dan privacybescherming voorop of veiligheid? En waar ligt de grens? Ingewikkelde kwesties, maar de politiek zal zich erover moeten uitspreken.”

B en W stelt in het rapport zich goed te kunnen vinden in de conclusies van de Rekenkamer. De gemeente gaat verbeteringen doorvoeren.