Vragen over (on)veilig mailverkeer gemeente Goes
23 september 2015 publiceert de NRC het artikel ‘Gemeenten mailen onveilig over kinderen’ (klik op artikel voor grote weergave). In het verhaal staat dat gemeenten “jeugdpsychologen en psychotherapeuten vragen vertrouwelijke informatie over patiënten te versturen via gewone, dus onbeveiligde e-mail.” Het College Bescherming Persoonsgegevens stelt in het verhaal dat “versleuteling van data, zeker dit soort gevoelige data, altijd noodzakelijk is”. De Vereniging van Nederlandse Gemeenten is blijkens het artikel van mening dat het verzenden van gegevens “altijd goed beveiligd” moet verlopen. Daartoe zou een beveiligd communicatiesysteem voor berichtenverkeer met zorgverleners beschikbaar zijn, het Gemeentelijk Gegevensknooppunt. In het artikel wordt ook een Zeeuwse behandelaar aangehaald. De PvdA Goes heeft in het verleden met regelmaat haar zorgen uitgesproken over de privacy van Goesenaren in het kader van alle veranderingen in het sociaal domein. Een en ander is voor ons aanleiding tot de volgende vragen aan het college van B&W van Goes:
- Wat vindt u van de mening van het College Bescherming Persoonsgegevens en de Vereniging van Nederlandse Gemeenten dat het verzenden van gegevens altijd goed beveiligd moeten verlopen?
- Maakt de gemeente Goes gebruik van het beveiligde Gemeentelijk Gegevensknooppunt of een andere beveiligde emailomgeving?
- Zo ja, sinds wanneer doe de gemeente Goes dat?
- Zo nee, waarom niet?
- Correspondeert de gemeente Goes via onbeveiligde email met zorgaanbieders?
Zo nee:
- Is het college van mening dat de privacy nu voldoende gewaarborgd is of dienen er nog nadere stappen ondernomen te worden en zo ja, welke?
Zo ja:
- Hoe vaak is dit in 2015 gebeurd (opgesplitst naar persoonsgegevens, intakeformulieren, ondersteuningsplannen, veiligheidsplannen, diagnoses, behandelplannen en overig) en in relatie tot alle zorgaanbieders (dus niet alleen jeugdhulpverlening)?
- Waarom is gekozen voor deze privacy-bedreigende aanpak van gegevens versturen?
- Zijn de gemeente voorbeelden bekend waar gegevens in handen van niet-bevoegden zijn gekomen? Welke garanties zijn er dat er niets fout gaat met het versturen van gegevens via onbeveiligde email?
- Met welke professionals en zorginstellingen worden via de onbeveiligde mail gegevens over burgers uitgewisseld (graag een uitputtende lijst zodat iedere Goesenaar weet waar hij/zij aan toe is)?
- Kan de gemeente aangeven hoe bij deze derde partijen de privacy van de cliënten is gewaarborgd, hoe ziet de gemeente daar op toe en welke garanties heeft de gemeente dat de onbeveiligde email bij deze partijen geen privacyrisico’s met zich meebrengt?
- Is het college het eens met de PvdA Goes dat dit een erg ongewenste (en mogelijk onwettige) situatie betreft?
- Per wanneer kunnen Goesenaren er op vertrouwen dat hun gemeente vertrouwelijke gegevens als hierboven benoemd wel via beveiligde email verstuurt/ontvangt?
- NRC meldt in genoemd artikel ook dat bijna de helft van de ondervraagde psychologen in hun praktijk ouders kent die voor de zekerheid zelf de zorg betalen om te voorkomen dat gegevens over hun kind bij de gemeente belanden.
- Wat vindt het college hier van?
- Heeft het college aanwijzingen dat zoiets ook in de gemeente Goes speelt?
Naschrift:
We hebben 29 oktober 2015 antwoord gekregen op onze vragen. Volgens het college wordt er met en door de gemeente Goes niet onveilig gemaild over persoonlijke gegevens. Vertrouwelijke gegevens gaan vooralsnog via de post: “Wij zijn aangesloten op het GGK. Op advies van de Inkooporganisatie Jeugdhulp Zeeland die de Zeeuwse inkoop jeugd coördineert, gebruiken we dit systeem heel bewust nog niet voor het berichtenverkeer dat nodig is tussen gemeenten, zorgaanbieders en de inkooporganisatie Jeugd. De gegevensknooppunten zoals het GGK en CORV (justitieel gegevens knooppunt) zijn opgezet om te zorgen voor beveiligd berichtenverkeer. Deze landelijke knooppunten waren op 1 januari 2015 nog niet operationeel. CORV inmiddels wel en is in gebruik genomen, het GGK nog niet volledig. Gebruik van het GGK zou op dit moment onverantwoord zijn en chaos veroorzaken omdat nog niet alle aanbieders zijn aangesloten/ aangesloten kunnen worden. Hierdoor lopen burgers het risico dat hun zorg niet start of dat facturen niet betaald worden en hun zorg dus stopt. Om die reden verzenden en ontvangen wij berichten en plannen per post (meer veilig alternatief dan via de mail).”
Voor de volledige beantwoording: Antwoorden PvdA over privacy Sociaal Domein 291015