Pleio

Engels | Nederlands
  • BLOGS
  • MENSKRACHT
  • KRIJGT INFORMATIE-UITWISSELING IN HET SOCIAAL DOMEIN EEN RISICO-STATUS?
Menskracht

Menskracht

Inspiratie en ontwikkeling van professionele passie en talent

 3.7/5 Sterren (3)

Gerelateerde blogs

Meldingsplicht cybercrime-incidenten komt er aan !

Meldingsplicht cybercrime-incidenten komt er aan !

Om een snelle en effectieve aanpak van digitale...
Samen uit de crisis: menskracht is de focus voor oplossingen!

Samen uit de crisis: menskracht is de focus voor oplossingen!

Er zijn organisaties en regio’s die zich nog niet...
Generatiepact gaat Kerkrade veel opleveren!

Generatiepact gaat Kerkrade veel opleveren!

Het college van B en W van de gemeente Kerkrade...

Krijgt informatie-uitwisseling in het sociaal domein een risico-status?

    Henk Thielens
    • iedereen (publiek zichtbaar)
    • 229
    Door Henk Thielens in de groep Menskracht 602 dagen geleden

     0/5 Sterren (0)

    image

     

     

     

     

     

     

    Ik zal in deze blog een aantal ontwikkelingen signaleren die het noodzakelijk maken om stil te staan bij de status en risico’s van informatie-uitwisseling in het sociale domein. Aan de HR aspecten m.b.t. de transformaties is door het A en O fonds al veel aandacht besteed. Hoe wordt er echter sturing gegeven om er voor te zorgen dat er in het krachtenveld voldoende aandacht is om binnen de wettelijke kaders adequaat te opereren m.b.t. de integrale informatie-uitwisseling? Weten we hoe we in dit risicoveld het beste kunnen handelen en waar we gebruik van kunnen maken om risico’s te nivelleren?

    Sinds januari 2013 is de Informatiebeveiligingsdienst voor gemeenten (IBD)  operationeel. De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING).  Gemeente Kerkrade zoekt aansluiting bij de IBD die zich richt op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger niveau te tillen. De IBD heeft drie concrete doelen. Allereerst het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. In de tweede plaats het leveren van integrale coördinatie en concrete ondersteuning op gemeentes pecifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. En tot slot, gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alledag naar een hoger niveau te tillen. Om de informatieveiligheid goed te richten dan wel naar een hoger niveau te tillen stelt het IBD gemeenten een toolkit ter beschikking. Deze toolkit bevat onder meer de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en operationele producten behorend bij de BIG.

    De BIG is richtinggevend, maar de WBP vereist meer. 

    De drie decentralisaties voor jeugd, zorg en werk zijn niet als uitgangspunt genomen bij het opstellen van de BIG waardoor je niet alleen van de BIG kunt uitgaan maar waardoor het ook nodig is om voor de drie decentralisaties additionele specifieke informatiebeveiligingsmaatregelen te treffen. Binnen de drie gedecentraliseerde domeinen wordt namelijk (zeer) privacygevoelige informatie van burgers verzameld, verwerkt en uitgewisseld. Denk met name aan het Veiligheidshuis en  de multiprobleemaanpak. Om richting te geven aan een lerende praktijk en om risico’s te beperken heeft KING  de Handreiking  Informatieveiligheid Sociaal Domein uitgebracht die als richtinggevend normenkader in het sociale domein kan worden gehanteerd.

    Het doel van dit document is de veilige gegevensverwerking en -uitwisseling ook binnen de drie gedecentraliseerde domeinen te waarborgen en om mogelijke additionele informatie-beveiligingsrisico’s die door de decentralisatie kunnen ontstaan voor gemeenten en partners te verminderen. Om de informatiebeveiligingsrisico’s te verminderen dienen passende maatregelen te worden geselecteerd die genomen moeten worden bij de gemeente, de samenwerkingspartners, op knooppunten, op koppelvlakken en bij en/of door leveranciers. De maatregelen kunnen technisch, procedureel, organisatorisch of beleidsmatig van aard zijn en dienen aan te sluiten bij het niveau van gevoeligheid en de kwetsbaarheid van de informatie. Betrokken partijen, Instellingen en de gemeente zijn gebonden aan juridische kaders. Ook in geval van uitbesteding blijft de gemeente verantwoordelijk voor  de gegevensverwerking en borging van privacy en beveiliging van gegevens conform de geldende wetgeving.

    Van belang is dat de gemeente net als het rijk een heldere visie ontwikkelt op gegevensverwerking en privacy. Bij de verwerking van persoonsgegevens, wat kan voortvloeien uit een publiekrechtelijke taak, dient het bestuursorgaan te blijven binnen de grenzen van die wettelijke taak.  Met betrekking tot gegevensbeveiliging is het uitgangspunt dat de gegevensuitwisseling tenminste voldoet aan de Baseline Informatiebeveiliging Gemeenten, en uiteraard aan verplichtingen die voortvloeien uit de WBP en de betreffende materiewetten (o.a. AWBZ en Wet Langdurige Zorg, Wet geneeskundige behandelingsovereenkomst, Wet SUWI, Zorgverzekeringswet, Paticipatiewet, Wet Gemeentelijke Schuldhulpverlening). Maar kunnen gemeenten die zich dit eigen moeten maken in deze complexiteit de samenhang en interdependenties wel in voldoende mate overzien en onderkennen zij welke risico's er zijn?

    Beveiligingsrisico’s.

    Risico’s die in de ‘Handreiking - Financiën en de 3 decentralisaties’ van het ministerie van Binnenlandse Zaken zijn onderkend, zijn onderverdeeld in: sociaal inhoudelijk, personeel, juridisch, informatisering, economie / financieel, politiek, organisatie & leiderschap en samenwerking. Relevante risico’s met betrekking tot informatiebeveiliging en privacy zijn:

      Sociaal inhoudelijk

    o Dienstverlening komt niet op het gewenste niveau

     Personeel

    o Betrokken medewerkers implementeren de gewenste planning & controle maatregelen onvoldoende.

     Juridisch

    o Hulpverleners krijgen privégegevens onder ogen.

    o Het werkproces (en de daarvoor gebouwde ICT) blijkt strijdig met de Wet Bescherming Persoonsgegevens (Wbp).

    o De proeftuinen gaan van start zonder duidelijkheid over (on)mogelijkheden vanwege privacywetgeving.

    o De privacy is onvoldoende geborgd in de manier waarop de informatiesystemen worden ingericht en bijhorende handelswijze.

    o De inkoopcontracten blijken juridische onjuistheden te bevatten.

     Informatisering

    o De ICT-voorziening voldoet niet aan de gewenste kwaliteit.

    o De gemeente slaagt er niet in om per 1 januari2015 goed werkende automatiseringssystemen te implementeren.

    o Meer personen kunnen informatie (van cliënten) raadplegen en muteren dan degenen die daartoe vanuit hun functie geautoriseerd zijn.

    Economisch/financieel

    o De planning & controlcyclus prioriteert de werkzaamheden verkeerd.

    o Het kwaliteitsniveau lijdt te veel onder de aandacht voor het budget

    Samenwerking

    o De afstemming met ketenpartijen en concernpartijen is onvoldoende. Ketenpartijen hebben meer invloed op projectresultaten dan vooraf gedacht.

    Recente ontwikkelingen.

    Onlangs heeft het College bescherming persoonsgegevens (CBP) de staatssecretaris van Volksgezondheid, Welzijn en Sport en de minister van Veiligheid en Justitie een brief geschreven over een lacune in de Jeugdwet. In deze wet ontbreekt een bepaling over het doorbreken van de geheimhoudingsplicht door jeugdhulpverleners voor de financiële afwikkeling en controle op de jeugdzorg door de gemeente.

    Recent is het College bescherming persoonsgegevens (CBP) benaderd met de vraag onder welke voorwaarden het is toegestaan om als zorgaanbieder(-s) in de jeugd ggz gegevens over cliënten te verstrekken aan de gemeente in verband met de financiële afwikkeling van die zorg en welke gegevensverstrekking in dat kader als noodzakelijk kan worden beschouwd. Het CBP stelt vast dat in de Jeugdwet is voorzien in een geheimhoudingsplicht voor de jeugdhulpverlener (artikel 7.3.11, eerste lid Jeugdwet). Een dergelijke geheimhoudingsplicht impliceert dat de jeugdhulpverlener geen persoonsgegevens van cliënten aan derden mag verstrekken. Een en ander tenzij voor een specifieke verstrekking toestemming van de betrokken cliënt (c.q. diens wettelijk vertegenwoordigers) wordt verkregen of in de (Jeugd-)wet een bepaling is opgenomen die de jeugdhulpverlener verplicht tot het voor gespecificeerde doeleinden verstrekken van gespecificeerde of te specificeren persoonsgegevens aan derden. Het CBP constateert dat de Jeugdwet niet voorziet in een bepaling die specifiek ziet op het door een jeugdhulpverlener/-aanbieder bij de declaratie verstrekken van persoonsgegevens, waaronder het bsn en bijzondere persoonsgegevens, aan de gemeente ten behoeve van de financiële afwikkeling en controle van declaraties.

    Het CBP dringt er bij de bewindspersonen op aan zo spoedig mogelijk te zorgen voor een specifieke wettelijke bepaling die doorbreking van de geheimhoudingsplicht in deze gevallen mogelijk maakt.

    Het CBP stelt vast dat derhalve uitsluitend met toestemming van de betrokken cliënt (c.q. diens wettelijk vertegenwoordigers) de jeugdhulpverlener/-aanbieder gerechtigd zal zijn om persoonsgegevens aan de gemeente te verstrekken ten behoeve van de financiële afwikkeling en controle op declaraties. Bovendien staat het bepaalde in artikel 9, vierde lid, Wbp in de weg aan het door de gemeente ontvangen en verwerken van dergelijke persoonsgegevens als de jeugdhulpverlener/-aanbieder geen toestemming voor doorbreking van de geheimhoudingsplicht heeft verkregen van de betrokken cliënt (c.q. diens wettelijk vertegenwoordigers). Zie https://cbpweb.nl/sites/default/files/atoms/files/brief_cbp-gegevensverstrekkingjeugdggz.pdf

    Wanneer de overheid persoonsgegevens verwerkt, is het van belang dat de burger weet en het vertrouwen heeft dat hij daartegen in verweer kan komen. Dit betekent dat de burger een zichtbare, laagdrempelige en gezaghebbende plek moet hebben om klachten te uiten met betrekking tot verwerking van zijn of haar persoonsgegevens en privacy. Dit wordt eens te meer belangrijk, nu er zich nieuwe werkwijzen ontwikkelen in het sociaal domein, die impact hebben op de verwerking van persoonsgegevens en daarmee op de privacy van mensen.  En dat is ook de reden waarom het CBP  in een recent nieuwsbericht d.d.  14 april aangeeft dat zij 41 gemeenten heeft aangeschreven om inlichtingen te verstrekken  over de verwerking van persoonsgegevens in het sociaal domein. Het CBP onderzoekt nu onder meer in welke mate gemeenten transparant zijn richting burgers over de verwerking van hun persoonsgegevens in verband met de uitvoering van taken in het sociaal domein. Ook onderzoekt het CBP hoe in gemeenten wordt omgegaan met het vragen van toestemming voor de verwerking van persoonsgegevens in het sociaal domein. Zie https://cbpweb.nl/nl/nieuws/cbp-start-onderzoek-bij-gemeenten-naar-gebruik-persoonsgegevens

    Uit een recent artikel in VNG magazine blijkt overigens dat er steeds meer signalen zijn dat gemeenten tekort schieten in het borgen van privacyregels bij het gebruik van Suwinet. 

    Tot slot.

    Mij lijkt tegen de achtergrond van de geschetste risico’s en de recente ontwikkelingen dat gemeenten er belang bij hebben om in samenwerkingsconvenanten zaken vast te leggen, goed afstemmingsoverleg te organiseren en bewustzijn te stimuleren voor een risico nivellerende “Anders Leren” aanpak. Hierdoor kan snel en adequaat kennisintegratie tot stand komen waardoor management en professionals niet alleen hun (wets)kennis snel kunnen bijspijkeren maar ook het proces kunnen aansturen om in de transformatie de informatie-uitwisseling op een adequate wijze te structuren en inhoudelijk vorm te geven. Of dit voldoende is binnen deze context om adequaat regie te voeren zal nog moeten blijken. Er zijn door KING voldoende overzichten en handvaten ontworpen en ter beschikking gesteld.  Maar helaas zijn er toch al weer schrijnende voorbeelden die laten zien dat het behoorlijk mis kan gaan omdat partijen terughoudend zijn m.b.t. informatie-uitwisseling. En het rijk zal straks als in de evaluatie de balans wordt opgemaakt moeten afwegen of dé-regulering, stroomlijning en vereenvoudiging van regels en wettelijke kaders toch niet onontkoombaar zijn.   

     

    Henk Thielens

    Henk Thielens

    Moderator van de groep Menskracht op Pleio en de website Joboriëntatie en carrière.
    Wie ben ik

    Als HRD specialist lever ik een bijdrage aan de ontwikkeling van mensen zodat ze adequaat dealen met veranderende omstandigheden en nieuwe (taak)uitdagingen. Training en scholing lopen hierin altijd...

    Reageren is alleen mogelijk voor aangemelde gebruikers