z2010-01224 Rapport van definitieve bevindingen April 2011 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10



Vergelijkbare documenten
Definitieve bevindingen Centrale Huisartsenpost Gorinchem

Definitieve bevindingen SPITZ Midden-Holland

De Minister van Sociale Zaken en Werkgelegenheid Wetgevingsadvies AMvB wijziging Besluit SUWI

Definitieve bevindingen Rijnland ziekenhuis




College bescherming persoonsgegevens. Huisartsendienst Twente-Oost U.A. Rapport definitieve bevindingen

College bescherming persoonsgegevens

College bescherming persoonsgegevens. Onderzoek naar het gebruik van waarneemdossiers bij Stichting. Gezondheidscentra Haarlemmermeer

Op drie punten uit uw brief van 23 februari 2006 zal het CBP hieronder nog nader ingaan.

College bescherming persoonsgegevens. Huisartsenpost Nightcare BV te Heerlen. Rapport definitieve bevindingen

Definitieve bevindingen MC/Lelystad

Arbodienst. Klacht; verzoeker/arbodienst

Rapport definitieve bevindingen

Vangnetregeling huursubsidie

de minister voor Jeugd en Gezin Ontwerpbesluit verwijsindex risicojongeren

Inhoud van het wetsvoorstel

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek.

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

Rapport definitieve bevindingen

Rapport definitieve bevindingen

Zorgverzekeraars Nederland Definitieve bevindingen Ambtshalve onderzoek aangaande toepassing Controle op Verzekering van VECOZO B.V.

Onderzoek naar de verwerking van medicatiegegevens door Emma. Apotheek Nijmegen BV te Nijmegen. Rapport definitieve bevindingen

Op grond van de door verzoeker verstrekte informatie is de klacht als volgt geformuleerd:

Het College bescherming persoonsgegevens (CBP) heeft een onderzoek gedaan naar aanleiding van de klacht bij brief van 10 maart 2006 A.

Nederlands Instituut van Psychologen inzagerecht testgegevens

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Adecco Group Nederland; z

AANGETEKEND Rijnland Ziekenhuis last onder dwangsom. Geachte A,

De Minister van Sociale Zaken en Werkgelegenheid Postbus LV Den Haag

Ruwaard van Putten Ziekenhuis. Rapportage van definitieve bevindingen

Bestuurlijk Overleg Almere. onderzoek Digidoor; eindoordeel

Winkelier. Winkelier creditcard; definitieve bevindingen

Het CBP voldoet hierbij aan dit verzoek. Kader

Privacy Policy Oude Dibbes

Gelders Archief. Defintieve bevindingen inzake onderzoek Gelders Archief. Geachte,

De CIO van de Immigratie- en Naturalisatiedienst. Postbus EH DEN HAAG AANTEKENEN

Privacyverklaring Phenox Consultants B.V.

College bescherming persoonsgegevens. Rapport definitieve bevindingen

22 oktober Privacyreglement Stichting Tuchtrecht Banken

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus EC Den Haag Ministeriële regeling afsluitingen

REGLEMENT PERSOONSGEGEVENS NHV INHOUDSOPGAVE:

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

Wet Bescherming Persoonsgegevens

Privacyreglement Bureau Beckers

De Minister van Veiligheid en Justitie. Postbus EH Den Haag. Advies wetsvoorstel toevoegen gegevens aan procesdossier minderjarige

verklaring omtrent rechtmatigheid

Meldplicht Datalekken CBP RICHTSNOEREN

Gedragscode Commissie Onderzoek Geweld in de Jeugdzorg. 1.Inleiding

de bank ambtshalve onderzoek de bank Definitieve Bevindingen

Rapport definitieve bevindingen

Ministerie van Infrastructuur en Milieu. Advies concept wetsvoorstel Basisregistratie Ondergrond. Geachte,

Privacyreglement van De Zaak van Ermelo

Secretariaat De Eendracht (BETA) Voorafgaand onderzoek Verklaring omtrent rechtmatigheid Definitief besluit. Geachte A,

De Minister van Justitie

Hieronder treft u het verloop van de zaak aan en de definitieve bevindingen van het CBP.


De Staatssecretaris van Veiligheid en Justitie Advies wetsvoorstel gebruik camerabeelden en meldplicht datalekken.

Uw persoonsgegevens en uw privacy

Bekendmaking Goedkeuring Gedragscode Verwerking Persoonsgegevens Financiële Instellingen

Met deze brief voldoet het CBP aan uw verzoek. In dit advies zullen beide voorstellen in onderlinge samenhang worden behandeld.

Privacyreglement. Inhoudsopgave. Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012

Stichting Waarschuwingsregister Logistieke Sector. z Postbus KS ZOETERMEER

Minister van Financiën. Postbus EE Den Haag

Inleiding, toelichting Algemene bepalingen Artikel 1: Begripsbepalingen Artikel 2: Reikwijdte Artikel 3: Doel...

Privacyreglement Financieel Bureau Brabant

De minister van Infrastructuur en milieu

De Minister van Justitie

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

ANPR Rotterdam-Rijnmond

College bescherming persoonsgegevens

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid

Raadsmededeling - Openbaar

De Staatssecretaris van Volksgezondheid, Welzijn en Sport. Postbus EJ DEN HAAG. Advisering Besluit langdurige zorg.

KNKV reglement persoonsregistratie via het KISS Gebaseerd op het modelreglement van NOC*NSF

Reglement KISS Ned. Floorball en Unihockey Bond 11 oktober

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

IJSHOCKEY NEDERLAND REGLEMENT KENNIS INFORMATIE SYSTEEM SPORT (KISS)

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

POSTADRES BEZOEKADRES

De Minister van Economische Zaken. Advies over de novelle behorende bij het wetvoorstel 31374

Informatiebeveiligingsplan

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV)

De Minister van Volksgezondheid, Welzijn. Advies conceptwijziging Besluit gebruik BSN in de zorg

TAEKWONDO BOND NEDERLAND

5.1 Inzage van gegevens U heeft recht op inzage van uw persoonsgegevens en een kopie daarvan te ontvangen.

Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd:

Privacyreglement wijkteams Sociaal Domein gemeente Albrandswaard

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

REGLEMENT KISS Nederlands Handbal Verbond Conceptversie t.b.v. buitengewone Bondsvergadering zaterdag 8 januari 2011

Universiteit Leiden Centrum voor Recht in de Informatiemaatschappij Postbus RA LEIDEN. privacyaspecten digitalisering cultureel erfgoed

De directeur-generaal Organisatie en Bedrijfsvoering Rijk heeft bij brief van 1 december 2009 de gestelde vragen beantwoord.

Privacyreglement Medewerkers Welzijn Stede Broec

Dit reglement is op 25 mei 2018 in werking getreden. Inleiding

PRIVACYREGLEMENT I. ALGEMENE BEPALINGEN

Privacy statement screening. Privacy statement screening

Transcriptie:

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Onderzoek naar de verwerking van medische persoonsgegevens in het kader van de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) door de gemeente Hellendoorn z2010-01224 Rapport van definitieve bevindingen April 2011

Uit hoofde van zijn toezichthoudende taak heeft het College bescherming persoonsgegevens (CBP) onderzoek gedaan naar de verwerking van medische persoonsgegevens in het kader van de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) door de gemeente Hellendoorn. Conclusie Het CBP concludeert dat de gemeente Hellendoorn in het kader van de uitvoering van de Wmo bovenmatig medische persoonsgegevens verwerkt, omdat zij bij elke eerste Wmo-aanvraag de naam van de specialist van de aanvrager opvraagt, terwijl slechts sporadisch aanvullende informatie wordt opgevraagd bij een dergelijke zorgverlener. Dit is in strijd met artikel 11, eerste lid, Wet bescherming persoonsgegevens (Wbp). Voorts concludeert het CBP dat de gemeente Hellendoorn onvoldoende beveiligingsmaatregelen treft om onrechtmatige verwerking - waaronder onbevoegde kennisneming - van de (medische) persoonsgegevens in de Wmo-dossiers te voorkomen. Uit het onderzoek blijkt dat de autorisaties ten aanzien van de digitale Wmo-dossiers onvoldoende zijn vastgelegd en dat een procedure voor het toekennen en vastleggen van autorisaties ontbreekt. Hierdoor is onduidelijk welke medewerkers op grond van welke bevoegdheid toegang hebben tot de Wmo-dossiers. Bovendien worden de Wmoproductiegegevens gekopieerd ten behoeve van testdoeleinden. Daarnaast heeft de gemeente Hellendoorn onvoldoende maatregelen getroffen om de kast en ruimten waarin de poststukken en fysieke dossiers worden bewaard af te sluiten en te beheersen wie daartoe toegang heeft. Gebleken is dat de kast waarin de in- en uitgaande post - waaronder medische gegevens afkomstig van artsen - wordt bewaard en de ruimte waarin deze kast staat niet worden afgesloten. Verder worden de gearchiveerde Wmo-dossiers in het gemeentearchief als zodanig herkenbaar en niet afgezonderd van de andere archiefstukken bewaard, terwijl deze ruimte op verzoek toegankelijk is voor bezoekers en medewerkers. Hierdoor is het risico op onbevoegde kennisneming en eventuele andere vormen van onrechtmatige verwerking van deze (gevoelige) informatie onnodig groot. De gemeente Hellendoorn handelt hierdoor in strijd met artikel 13 Wbp. Verloop onderzoek Op 13 oktober 2010 heeft het CBP een onderzoek ter plaatse uitgevoerd bij het Team Werk en Zorg van de gemeente Hellendoorn. In het kader van het onderzoek zijn interviews afgenomen bij het Hoofd Team Werk en Zorg, een Wmo adviseur, een Frontoffice medewerker Zorg en een medewerker automatisering Team Werk en Zorg. Daarnaast is dossieronderzoek gedaan en is gebruik gemaakt van informatiemateriaal van de gemeente Hellendoorn. Tenslotte zijn per e-mail vragen voorgelegd aan het Hoofd Team Informatisering en automatisering. Op 11 februari 2011 heeft het CBP zijn voorlopige bevindingen ten aanzien van dit onderzoek naar de gemeente Hellendoorn gestuurd. Op 3 maart 2011 heeft de gemeente Hellendoorn haar schriftelijke reactie gegeven op de voorlopige bevindingen. Naar aanleiding van deze reactie is het rapport van bevindingen op één punt aangepast. 2

Bevindingen Verhouding opgevraagde persoonsgegevens tot het te bereiken doel Artikel 11, eerste lid, Wbp bepaalt dat persoonsgegevens slechts mogen worden verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. Uit het onderzoek is gebleken dat de gemeente Hellendoorn drie Wmo-aanvraagformulieren hanteert (het Wmo-aanvraagformulier uitgebreid, het Wmo-aanvraagformulier verkort en het Wmo-aanvraagformulier verkort voor hulp bij het huishouden ). Deze aanvraagformulieren dienen er voor de gemeente toe te beoordelen of een Wmo-voorziening (hulp bij het huishouden, woonvoorzieningen, vervoersvoorzieningen, rolstoelvoorzieningen) kan worden toegekend. De gemeente Hellendoorn vraagt op het Wmo-aanvraagformulier uitgebreid - dat gebruikt wordt voor aanvragers die nog niet bij de gemeente bekend zijn met een Wmo-voorziening - standaard naar de naam van de specialist van de aanvrager. Het opvragen van aanvullende informatie bij de behandelend specialist gebeurt in de regel door een externe keuringsarts. Uit het dossieronderzoek blijkt dat het sporadisch voorkomt dat de specialist om aanvullende gegevens wordt gevraagd. Het CBP komt tot de conclusie dat het voor de beoordeling van Wmo-aanvragen bovenmatig is dat de gemeente Hellendoorn bij elke eerste aanvraag de naam van de specialist van de aanvrager opvraagt, omdat slechts sporadisch aanvullende informatie wordt opgevraagd bij een dergelijke zorgverlener. In geval de gemeente dan wel de externe keuringsarts aanvullende informatie nodig heeft van de behandelend specialist, kan, zodra dat aan de orde is, alsnog de naam van de specialist bij de aanvrager worden opgevraagd. Toegangsbeveiliging Artikel 13 Wbp vereist dat de verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer legt om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. De beveiligingsmaatregelen moeten, rekening houdend met de stand van de techniek en de kosten van tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Onder onrechtmatige vormen van verwerking valt onder meer onbevoegde kennisneming 1. Toegangsbeveiliging digitale dossiers Een beveiligingsmaatregel om te voorkomen dat onbevoegden toegang krijgen tot de informatiesystemen zijn de functiegebonden autorisaties. Deze autorisaties moeten binnen de organisatie zijn vastgelegd en moeten nauwkeurig worden bijgehouden bij personele wisselingen 2. Met betrekking tot de toegangsbeveiliging van de digitale Wmo-dossiers is gebleken dat een autorisatieschema (= een overzicht waarin wordt vastgelegd wie de gebruikers van het Wmosysteem zijn en wat de toegangsrechten per gebruiker zijn) ontbreekt. Ook zijn geen regels 1 Kamerstukken II 1997/98, 25 892, nr. 3, p. 98. 2 G.W. van Blarkom en drs. J.J. Borking, Beveiliging van persoonsgegevens, Achtergrondstudies en verkenningen nr. 23, Registratiekamer april 2001, p. 43. Deze achtergrondstudie geeft een normatief kader voor de concrete invulling van maatregelen en procedures ten aanzien van de beveiliging van persoonsgegevens tegen verlies of tegen onrechtmatige verwerking. 3

vastgelegd voor de toekenning van autorisaties voor de systemen waarin Wmo-gegevens worden opgeslagen. Er is weliswaar een algemeen mutatieformulier voor uitbreiding, vervanging of vertrek van personeel, maar dit formulier bevat slechts globale indicaties ten aanzien van autorisaties voor gegevensbestanden, die nog door de ontvangende applicatiebeheerder geïnterpreteerd moeten worden om tot de noodzakelijke autorisaties te komen. Hierdoor is onduidelijk welke medewerkers op grond van welke bevoegdheid toegang hebben tot de Wmodossiers. Voor het testen van informatiesystemen met bijzondere persoonsgegevens, zoals medische gegevens, mogen uitsluitend gegevens van fictieve personen worden gebruikt 3. Uit het onderzoek blijkt dat voor het testen van het Wmo-informatiesysteem niet wordt gewerkt met gegevens van fictieve personen of anonieme data. In plaats daarvan wordt door automatisering een kopie gemaakt van de Wmo-productiegegevens. Toegangsbeveiliging poststukken en fysieke dossiers Naast beveiliging van de informatiesystemen is ook fysieke toegangsbeveiliging noodzakelijk. Dit houdt in dat maatregelen moeten worden getroffen om ruimtes te kunnen afsluiten en om te beheersen wie toegang heeft tot welke ruimtes 4. Uit het onderzoek blijkt dat de in- en uitgaande post met betrekking tot de Wmo-aanvragen - waaronder ook medische gegevens afkomstig van artsen - wordt bewaard in een niet afgesloten kast bij de midoffice. De ruimte waarin deze kast staat, wordt evenmin afgesloten. In de midoffice zijn ook medewerkers van andere afdelingen werkzaam. De gearchiveerde Wmo-dossiers staan als zodanig herkenbaar in het gemeentearchief en zijn niet afgezonderd van de overige archiefstukken. Het gemeentearchief is op verzoek toegankelijk voor medewerkers van de gemeente en voor bezoekers. Hierdoor bestaat het risico op onbevoegde kennisneming. Weliswaar stelt de gemeente dat bezoekers altijd door een medewerker worden begeleid en nooit alleen worden gelaten in de archiefruimte, maar in het voor het gemeentearchief geldende bezoekersreglement met toegangsregels is dit niet vastgelegd. Het CBP acht het bestaan van deze vaste gedragslijn slechts aannemelijk als hij is opgenomen in het bezoekersreglement. Het CBP concludeert derhalve dat de gemeente ten aanzien van de digitale Wmo-gegevens geen passend beveiligingsniveau kan garanderen zoals bedoeld in artikel 13 Wbp, aangezien de autorisaties ten aanzien van de digitale Wmo-dossiers onvoldoende zijn vastgelegd, een procedure voor het toekennen en definiëren van autorisaties ontbreekt en de Wmoproductiegegevens worden gekopieerd ten behoeve van testdoeleinden. 3 G.W. van Blarkom en drs. J.J. Borking 2001, p. 42 (zie noot 2). 4 G.W. van Blarkom en drs. J.J. Borking 2001, p. 43 (zie noot 2). 4

Daarnaast heeft de gemeente Hellendoorn ten aanzien de poststukken en fysieke dossiers onvoldoende maatregelen getroffen om de kast en ruimten waarin deze worden bewaard af te sluiten en te beheersen wie daartoe toegang heeft. Hierdoor is het risico op onbevoegde kennisneming en eventuele andere vormen van onrechtmatige verwerking van deze (gevoelige) informatie onnodig groot. Aldus vastgesteld door het College bescherming persoonsgegevens op 12 april 2011. Voor het College, Mw. mr. dr. J. Beuving Lid van het College 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback