Als je vindt dat je medische gegevens niet voor ambtenarenogen bestemd zijn, krijg je al snel de wind tegen. Grote kans dat je zorgaanvraag dan in de vertraging raakt, of zelfs wordt afgewezen. Toch kun je beter zuinig zijn op je medische informatie, want de lokale overheid gaat nog altijd niet secuur met je privacy om, ook niet als het om gevoelige medische gegevens gaat. Recente onderzoeken tonen dit aan.

Na tweeënhalf jaar datalekken in sociaal domein

Medische privacy te ingewikkeld voor gemeenten?

© Marieke Sjerps

Hoe staat het met datalekken in gemeenten, met name als het om gezondheidsgegevens van burgers gaat? De Autoriteit Persoonsgegevens (AP) heeft nieuwe kwartaalcijfers gepubliceerd: in de eerste drie maanden van dit jaar meldden 163 gemeenten samen 331 datalekken. Het ging bij het openbaar bestuur 125 keer om gezondheidsgegevens. Omdat het vooral gemeenten zijn die met dit soort gegevens werken, kun je die 125 lekken gerust toeschrijven aan gemeenten.

Slordig

Deze recente gegevens van de AP sluiten goed aan bij mijn journalistieke onderzoek waarover ik in de afgelopen weken een reeks artikelen schreef. Vanuit verschillende invalshoeken liet ik zien hoe slordig gemeenten omgaan met de medische privacy van burgers. Die verzamelen vaak veel meer dan ze nodig hebben om hun zorgtaken uit te voeren. Ik beschreef meerdere datalekken: digitaal, maar veel vaker nog die in de werkprocessen ontstaan, waarin medewerkers informatie vragen, delen, opslaan en bespreken.

Wat de AP nu bericht, komt daarmee overeen: bij 2 van de 5 meldingen waren persoonsgegevens bij een verkeerde ontvanger terechtgekomen; ook werden persoonsgegevens per abuis gepubliceerd; ambtenaren raakten gegevensdragers kwijt — zowel papieren documenten als bijvoorbeeld laptops. Digitale klantportalen op websites kunnen de privacy niet garanderen, want verscheidene burgers kregen gegevens van anderen op hun scherm te zien. Bij 11% van de datalekken ging het om hacken of phishing.

Lek als een mandje

De overheid is zo lek als een mandje als het om gevoelige gezondheidsgegevens gaat. Nog even kort hoe dit is ontstaan. Toen gemeenten in 2015 verantwoordelijk werden voor zorg en ondersteuning voor jongeren, ouderen, gehandicapten en chronisch zieken, gaf de wetgever (Wmo 2015 en Jeugdwet) hun geen richtlijnen mee hoe ze de zorgvraag zorgvuldig moeten onderzoeken. Zo komt het dat alle 390 gemeenten hun eigen werkwijzen hebben ontwikkeld. In de meeste gevallen klampen ze zich vast aan medische informatie. Dit terwijl gemeenteambtenaren en ingehuurde medewerkers doorgaans niet medisch geschoold zijn en ze die informatie helemaal niet kunnen beoordelen. Dat er nog zoiets bestaat als medische privacy en het medisch beroepsgeheim, daar hoor je haast niemand over. Cliënten die opkomen voor hun privacy en geen medische gegevens willen afgeven, merken dat het lastig is om de zorg te krijgen die ze nodig hebben. Soms krijgen ze die zelfs helemaal niet.

Al voor de decentralisatie trokken zorgverleners, de AP, cliëntenorganisaties en andere betrokkenen aan de bel dat de medische privacy het kind van de rekening zou zijn. We kunnen er kort over zijn: hun bedenkingen zijn in de wind geslagen. De locomotief was gaan rijden en stopte niet.

Dan nog kun je denken: beginnersfouten, soit. Echter, dat de werkwijzen toen niet snel alsnog zijn aangepast om de privacy te borgen, is kwalijk. Dit gebeurde ook niet of nauwelijks toen bijvoorbeeld de AP berichtte dat gemeenten slecht op de hoogte zijn van de regelgeving, niet weten wat ze mogen opvragen, en waar ze toestemming voor nodig hebben.

Tweeënhalf

Inmiddels zijn we tweeënhalf jaar verder en er gaat nog steeds van alles mis, zo blijkt uit verschillende onderzoeken in de afgelopen tijd. Zo schrijft de gemeentelijke Ombudsman van Rotterdam begin dit jaar in het rapport "Het hemd van het lijf" onder meer dat er onnodig veel persoonsgegevens van cliënten worden verzameld en vastgelegd. Ook hebben teveel medewerkers toegang tot digitale cliëntdossiers. Hoe medewerkers omgaan met medische gegevens, is zorgwekkend: regelmatig vragen ze om een kopie van het medisch dossier. Dat gezondheidsgegevens zonder meer in digitale cliëntdossiers worden opgenomen, noemt de Ombudsman ‘onaanvaardbaar’. Dat medewerkers om een uittreksel, of het hele medisch dossier vragen, hoorden we al eerder. Een half jaar geleden berichtten drie patiëntenorganisaties* hier ook al over, evenals de Landelijke Huisartsenvereniging (LHV). die uit een enquête opmaakte dat enkele honderden huisartsen meermalen per jaar zo’n verzoek krijgen.

In het afgelopen jaar verschenen er verschillende rapporten van lokale rekenkamers die het beleid in het Sociaal Domein onderzochten. Zo concludeerden de rekenkamers van Amsterdam en Enschede vorig jaar onder meer dat er geen actueel privacybeleid was, dat medewerkers de wetgeving niet kenden, dat ze teveel gegevens opsloegen en dat te veel medewerkers toegang hadden tot gevoelige bestanden. Het rapport afgelopen februari van de rekenkamer van Arnhem is vrij mild — de toon verschilt nogal per gemeente — maar ook die meldt risico’s voor het privacy- en informatieveiligheidsbeleid. Zo zijn er grote verschillen in de werkwijzen van de wijkteammedewerkers. E-mailverkeer met persoonsgegevens gebeurt onbeveiligd. Arnhemse raadsleden geven aan dat ze onvoldoende weten om te kunnen bepalen of de gemeente, maar ook samenwerkende partijen, de privacy en informatieveiligheid op orde hebben.

Een jaar geleden schreef minister Ronald Plasterk (Binnenlandse Zaken) aan de Tweede Kamer dat ‘nog niet overal en in alle haarvaten van gemeenten is doorgedrongen hoe je goede dienstverlening kunt combineren met een correcte behandeling van persoonsgegevens van de betrokkenen. Dit is’, schreef hij, ‘vooral de verantwoordelijkheid van de gemeenten zelf.’


Het is de vraag of die verantwoordelijkheid niet te groot is voor de complexe gemeentelijke organisaties, waarin zoveel mensen op allerlei verschillende afdelingen en niveaus aan het werk zijn. Binnenkort heeft Nederland een nieuwe regering. Hopelijk heeft die de moed om in te grijpen, en komt er een einde aan de medische-privacy-ellende op lokaal niveau.

*Landelijk Platform GGz, Patiëntenfederatie Nederland, Ieder(in): Privacy in de zorg

Marieke Sjerps is zelfstandig journalist. Ze schreef een serie artikelen voor LOC over hoe gemeenten in het Sociaal Domein omgaan met de medische privacy van cliënten. Eerdere artikelen:

Mail mij als mensen reageren –

Wil je een reactie geven? Als je een profiel hebt op LOC zeggenschap in zorg en je bent ingelogd kan dat hieronder. Heb je dat niet dan kun je op de meeste pagina's ook rechts op de pagina reageren of hieronder. Of maak een profiel via de nu volgende link. Dank!

Doe mee op LOC zeggenschap in zorg

De reactiemodule haalt reacties op...

LOC Zeggenschap in zorg - Churchilllaan 11 (5e etage), 3527 GV Utrecht - (030) 284 32 00 - vraagbaak@loc.nl - Veel gestelde vragen

Meer over LOC, lid worden & meedoen