Privacy van vluchtelingen in Rotterdam in het geding

Vluchtelingenwerk Toegang tot privégegevens van vreemden, dossiers die rondslingeren: de privacy van vluchtelingen in Rotterdam is in het geding.

Vluchtelingen in AZC Beverwaard in Rotterdam. Foto Marten van Dijl/ANP

Medewerkers van Vluchtelingenwerk in Rotterdam hebben toegang tot zeer privacygevoelige gegevens van honderden vluchtelingen die zij niet zelf begeleiden. Het betreft niet alleen gegevens als naam en adres maar ook het burgerservicenummer, mobiel nummer, kopie van bankpas en ID-kaart en, soms, de volledig uitgetypte asielverhoren door de Immigratie- en Naturalisatiedienst inclusief vluchtverhaal en medische gegevens. Dit blijkt uit onderzoek van NRC.

Volgens de Autoriteit Persoonsgegevens mogen medewerkers van geen enkele organisatie toegang hebben „tot meer persoonsgegevens dan strikt noodzakelijk is voor hun taakuitvoering.”

Vluchtelingenwerk in Rotterdam begeleidt in de stad neergestreken statushouders – vluchtelingen met een verblijfsstatus – bij hun integratie. De medewerkers, veelal vrijwilligers, helpen hen bij het vinden van een taalschool en werk. Ook helpen ze met het ordenen van hun administratie, en hebben ze namens de statushouders contact met instanties als gemeente en huisarts.

Vluchtelingenvolgsysteem

De gegevens van de statushouders zijn opgeslagen in het zogenoemde vluchtelingenvolgsysteem. Dat is ruim tien jaar geleden opgetuigd door Vluchtelingenwerk Nederland, de koepel van regiokantoren waar Rotterdam onder valt, om vluchtelingen administratief te kunnen volgen van binnenkomst tot integratie.

Op andere locaties werkt Vluchtelingenwerk deels met vaste begeleiders: zij hebben een aantal statushouders onder hun hoede en kunnen alleen bij die specifieke dossiers. Rotterdam doet de begeleiding van statushouders echter grotendeels via spreekuren. Omdat daar élke in de stad woonachtige statushouder kan langskomen, is de toegang voor spreekuurmedewerkers maximaal. Zij kunnen de dossiers inzien van 1.300 Rotterdamse statushouders. De meesten treft de gemiddelde medewerker nooit, omdat ze met een andere begeleider spreken.

Bij organisaties met brede toegang tot privacygevoelige informatie pleit de Autoriteit Persoonsgegevens voor het beperken van de inzage, „bijvoorbeeld tot de dagen dat medewerkers spreekuur draaien”, zegt een woordvoerder. Medewerkers van Vluchtelingenwerk in Rotterdam hebben op dagen zonder spreekuur ook toegang tot de dossiers, net als ’s avonds en in het weekend.

Lees ook het eerste deel van ons onderzoek naar Vluchtelingenwerk Rotterdam

„Met naam- en adresgegevens is ID-fraude mogelijk”, zegt Gerrit-Jan Zwenne, hoogleraar privacyrecht aan de Universiteit Leiden. „En in verhoorverslagen staat privacygevoelige informatie over geloof en komaf.”

Tien al dan niet voormalige medewerkers van Vluchtelingenwerk in de regio Rotterdam uiten tegen NRC hun zorgen over de open toegang. Het systeem is weliswaar beveiligd: zo kunnen medewerkers er alleen in met een wachtwoord en een ‘token’, een apparaatje dat met een druk op de knop een code uitspuwt. Maar die token mogen medewerkers mee naar huis nemen. „Ik kan thuis aan de slag gaan met de persoonlijke gegevens van allerlei mensen die bij ons in Rotterdam een intake hebben gehad”, zegt een van hen.

Vluchtelingenwerk registreert het gebruikersgedrag van medewerkers, en let op opvallende kwantitatieve afwijkingen, laat een woordvoerder weten. Als er op een van de Rotterdamse wijkkantoren op een ochtend vijf keer zo veel dossiers worden geopend als normaal, kan de organisatie fraude of misbruik onderzoeken. Vluchtelingenwerk houdt echter niet in de gaten of een individuele medewerker op een avond een handvol dossiers opent van mensen die hij nooit heeft ontmoet.

Medewerkers bevestigen dat op basis van hun eigen ervaring. „Ik weet dat mensen in dossiers kijken van cliënten die ze niet begeleiden”, zegt een van hen. „Als de IT-afdeling dat wist, zouden ze allang actie hebben ondernomen.” Een andere medewerker laat weten zélf weleens een dossier te hebben geopend van een statushouder die niet aan de andere kant van de tafel zat. „Per ongeluk. Dan typ ik het verkeerde V-nummer in [Vreemdelingennummer, red.], of klik ik per ongeluk op het dossier van de verkeerde Mohammed. En nee, ik ben hier niet voor bestraft.”

Mismanagement

Uit een artikel van NRC bleek afgelopen weekeinde dat de begeleiding van statushouders door Vluchtelingenwerk in Rotterdam als gevolg van mismanagement spaak loopt. Vrijwilligers worden niet goed ingewerkt terwijl de kennis van tal van regelingen onontbeerlijk is voor het op weg helpen van statushouders. Aanvragen van onder meer gezinsherenigingen lopen mis. Hectiek heerst: de medewerker hangt nog aan de lijn bij de zorgverzekeraar en dan klopt de volgende statushouder aan.

Wekenlang waren ze mijn dossier kwijt. Met alle huurtoeslagpapieren. Gewoon kwijt

Die wanorde komt de naleving van de privacy niet ten goede, zeggen medewerkers. „Ik vind in spreekkamers allerlei gevoelige informatie die collega’s in de haast hebben achtergelaten”, zegt een van hen. „Denk aan inloggegevens voor DigiD en ING.”

De organisatie maakte tot voor kort ook papieren dossiers aan van elke statushouder. „Er slingeren dossiers rond, printjes die overal worden uitgeprint en niet worden opgehaald”, schreven medewerkers vorig najaar in een kritische brief aan hun leidinggegevenden. Een statushouder uit Syrië, zijn naam is bij de redactie bekend: „Wekenlang waren ze mijn dossier kwijt. Met alle huurtoeslagpapieren. Gewoon kwijt.”

Vluchtelingenwerk zegt dat medewerkers de toegang tot de gegevens nodig hebben „om hun werk te kunnen doen”. „Ze kunnen alleen bij de dossiers waar zij mee moeten kunnen werken, en bij de soorten gegevens die zij nodig hebben voor hun werk.” Het volgsysteem „voldoet aan alle privacy- en beveiligingsstandaarden. Alle maatregelen die we kunnen treffen om misbruik te voorkomen, zijn genomen. Als medewerkers oneigenlijk gebruik van dossiers signaleren, moeten zij dat doorgeven aan hun leidinggevende.”