Nog even over de digitalisatie van al uw data. Alweer? Nou, nee. Het gaat eigenlijk dit keer niet om uw data. Daar kan je vermoedelijk nog steeds even makkelijk bij als het kopen van een brood, als je de juiste ambtenaar kent, maar daar gaat het dus nu even niet om. Het gaat nu even om de gegevens van uw kinderen.
Ambtenaren mogen gegevens opvragen over welke zorg kinderen die Jeugdhulp krijgen ontvangen. Hier kunnen de ouders niets tegen doen, dat is onderdeel van de Jeugdwet. Medische dossiers mogen dan weer niet, maar al in September rapporteerde de Volkskrant over de niet al te zorgvuldige wijze waarmee gemeenten met privacygevoelige info omgaan.
Gisteren schreef NCRV-programma De Monitor een stuk over hoe gemeenten omgaan met de medische gegevens van kinderen. Zo zijn er meerdere gevallen bekend waarbij gemeenten medische gegevens via e-mail verstuurden of ontvingen. Zo ontving Linda zelfs de dossiers van twee kinderen die ze helemaal niet kende, terwijl men van Chantal vroeg of die even per e-mail de medische gegevens van haar kind door wilde geven. Het betreft niet alleen incidenten. Sinds 1 januari moeten gemeenten een beveiligd systeem gebruiken om Verzoeken tot Onderzoek in te dienen, maar de Raad voor de Kinderbescherming becijfert volgens De Monitor dat dit in 35% van de gevallen niet gebeurt. De RvdK neemt sinds 1 juni 2015 wel alleen nog verzoeken aan die via dit systeem worden ingediend.
Het systeem waarover het gaat heet zelf CORV. Via CORV worden o.a. onderzoeksverzoeken aan de Raad voor de Kinderbescherming gestuurd door gemeenten en kunnen politie agenten meldingen maken over vermoedelijke kindermishandeling. Het systeem wordt als volgt beschreven:
Digitaal knooppunt dat zorgt voor elektronische afhandeling van het formele berichtenverkeer tussen justitie partijen en gemeenten.
Dit, wettelijk verplichte, systeem is een communicatiesysteem voor opdrachten. In een presentatie over het systeem uit November 2014 wordt gemeld dat er in het CORV geen persoonsinformatie wordt opgeslagen. Ook staat in die presentatie, 2 maanden voordat het systeem wettelijk ingevoerd wordt, het volgende:
- CORV is nieuw en nog niet volledig uitontwikkeld
- Het aantal en type berichten kan nog gaan wijzigen.
- Berichtspecificaties aan wijziging onderhevig
Dat verklaart wellicht waarom het, nergens in de processtructuur genoemde, CJIB alvast aangesloten zit op CORV. Dat het CORV nog niet volledig uitontwikkeld is blijkt ook uit berichtgeving van de NOS, die ook aangeven dat privacygevoelige gegevens onveilig worden verstuurd.
Gemeenten, politie en Veilig Thuis-organisaties wisselen deze informatie vaak uit via e-mail of per post, onbeveiligd. Ze maken geen gebruik van een beveiligd systeem dat daarvoor is gebouwd. En als ze het wel via dat systeem versturen komen meldingen soms niet aan doordat het systeem hapert.
E-mail adressen in verschillende documenten over wie te contacten om de aansluiting op CORV te regelen doen vermoeden dat we hier op Retecool dan ook al bekend zijn met het bedrijf achter dit systeem. Dan zijn er ook nog gemeenten die al wel gebruik maken van het CORV waar wel niet wel we hebben dus geen idee of er medische gegevens in opgeslagen staan. Die kunnen daarbij van handige softwarepakketten gebruik maken om één en ander makkelijker te maken. Voorbeeldje? Tuurlijk. Conclusion CVS is een voorbeeldje.
CVS staat voor het verder helemaal niet newspeakachtige “Cliënt Volg Systeem”. De ontwikkelaar adverteert ermee dat Arnhem en Utrecht dit systeem, wat informatie verzamelen voor ambtenaren makkelijker maakt, al gebruiken. Maar wat doet het? Dat vat de maker mooi samen in 5 speerpunten, waaronder:
Zorgaanbiedersportaal: zorgaanbieders kunnen inloggen voor informatie bij overdracht en gegevensuitwisseling.
Maar wat een CVS vooral heel erg handig doet is koppelen.
Interfaces met landelijke/gemeentelijke standaarden en systemen: samenwerken met betrokken ketenpartners (professionals), CORV ontsluiting, GBA koppelingen, SBVz koppeling, STuF platform, Verwijsindex Jeugd. Het Conclusion CVS ondersteunt de meest belangrijke koppelingen met interne én externe applicaties.
Met zo’n CVS heeft een ambtenaar dus toegang tot communicatie via het CORV (al dan niet met medische gegevens), de GBA gegevens, burgerservicenummergegevens via het SBVz en afhankelijk van welke verwijsindex er hier bedoeld wordt eventueel ook welke andere ambtenaren zich bezighouden met jongeren.
Dankzij de responsive web-applicatie worden de huisbezoeken eenvoudig met een tablet afgenomen en kan er aan de keukentafel geregistreerd worden.
Ja, maar hoe zit het nou met de privacy? Nou, hierboven wordt dus een behoorlijk uitgebreid scala aan gereedschappen om gevoelige gegevens te delen en op te vragen aangegeven. Daarnaast zijn er meerdere indicatoren dat ondanks die gereedschappen er ook nog overige informatie op onveilige wijze de ronde doet. Je zou hopen dat de regels qua privacybeleid zo strak dichtgetimmerd zijn dat de Inlichtendiensten er jaloers op zijn. Gelukkig is dat dan ook een focuspunt, volgens de rijksoverheidssite voordejeugd.nl. Want wat schrijft die?
Naast duidelijke afspraken en onderling vertrouwen zijn afspraken over gegevensuitwisseling en privacy hierbij van groot belang: wie krijgt wat wanneer te zien en moet wanneer wat aanleveren? Gemeenten dienen hiervoor een werkwijze op te stellen.
Mogelijke acties
- Stel beleidsregels op over omgaan met persoonsgegevens en privacy
- Organiseer voorlichting voor professionals over gegevensuitwisseling
- Faciliteer het gezamenlijke gesprek met en tussen de partijen in de regio over gegevensuitwisseling
- Zorg ervoor dat (huis)artsen in de regio weten wat/wie er gecontracteerd is voor goede ketensamenwerking.
Hoeveel gemeenten een beleid hebben m.b.t. de privacy voor Jeugdhulp is onbekend. Waar data precies worden opgeslagen en wie verantwoordelijk is voor de beveiliging is onduidelijk. Welke regels en protocollen er gelden is totaal onoverzichtelijk en als uw kind in de Jeugdhulp zit is het verwerken van persoonsgegevens weigeren onmogelijk. Het is in ieder geval te hopen dat de meeste gemeenten niet lijken op Etten-Leur, waar bezorgde vragen van wethouders gewoon met “Ah, joh, dat zit wel goed” worden afgedaan, maar zoveel is duidelijk: de privacy van het kind stond niet centraal bij het decentraliseren van Jeugdhulp.
Maar laat de data toch met rust! Alles aan elkaar koppelen lost niets op en kost wel veel geld en privacy. De enige winnaars hierin zijn de aandeelhouders van Ordina en soortgelijke kutbedrijven.
Over de prutsers die alles onversleuteld over de interwebs sturen: wees consequent en dump ook je eigen dossiers op Facebook en Kickass Torrents of desnoods op een margeblog bij u in de buurt.
Enkele jaren terug is ene Tristan tekeer gegaan in Alphen aan de Rijn. En heel bestuurlijk Nederland in rep en roer. Met gevolgen voor iedereen die schietsport beoefend.
In 2015 werd het meldkamerabonnement bij de alarminstallatie verhoogd, omdat op dit adres een wapenverlof is. Hoe weet men dat?
De houder van een verlof moet juist alles verbergen.