GIRFEC in Nederland: het kind als bron van datamining

GIRFECOp diverse plaatsen in Nederland zijn pogingen gaande om een uit Schotland overgewaaid bedenksel in de kind-/jeugdzorg in te voeren. Het gaat om GIRFEC. Dat staat voor: Getting It Right For Every Child, van overheidswege bedacht in Schotland om kinderen veilig te laten opgroeien. In Nederland wordt er vanuit Tilburg door de wethouder Marcelle Hendricks en door het Nederlands JeugdInstituut(NJI) flink gepusht om dit systeem in te voeren. De GIRFEC-filosofie kent uiterst discutabele kanten. In de eerste plaats: het aanstellen van een “named person”’ een soort van overheidswege aangewezen voogd met doorzettingsmacht die uitgaat boven de ouderlijke macht. In de tweede plaats voorziet GIRFEC in het verzamelen van een groot aantal data van/rond/omtrent het opgroeiende kind. Data die ook weer uitgewisseld zou moeten worden met allerlei instanties die zich met het kind bemoeien. Daarmee zou men een gigantische hoeveelheid data van elk kind verzamelen met de mogelijkheid van profiling en datamining.

In Schotland gestopt

Het concept heeft zeer vergaande consequenties waartegen ouders onoverkomelijke bezwaren hadden. In Schotland verenigden ouders zich in de beweging No To Named Persons(No2NP). Juridische procedures startten zij. In juli 2016 oordeelde het hooggerechtshof van het Verenigd Koninkrijk dat de wet waarmee GIRFEC ingevoerd zou worden, ernstige inbreuken vertoonde op de rechten van een individu, zoals vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens(EVRM). Op 19 september 2019 maakte de Deputy First Minister John Swinney bekend dat de regering de voor GIRFEC bedoelde wet, de Children and Young People (Scotland) Act 2014, introk. In Nederland hebben we iets met het overnemen van ideeën uit het Verenigd Koninkrijk die daar weer in sneuvelen. Zo probeerde men het Engelse  zorgclustermodel als voorbeeld te nemen voor een nieuw systeem voor bekostiging van de GGZ, terwijl het in het V.K.  al af geserveerd was.

Langzame infiltratie in jeugdzorg en onderwijs

Zoals gezegd probeert men op diverse plaatsen, zoals Tilburg, Haarlem en het Centrum voor jeugd en gezin Rijnmond het gedachtegoed van GIRFEC ingang in de jeugdzorg te doen vinden. Ook opleidingsinstituten, zoals hogescholen doen mee. Daarnaast is een langzame infiltratie gaan van de jeugdzorg in het onderwijs om het gedachtegoed op basis van GIRFEC te verspreiden. Uit alle macht bezweert men geen soort voogd met doorzettingsmacht boven het ouderlijk gezag te willen aanstellen. Men creëert echter wel een systeem waarmee en waarin men data van kinderen verzamelt en wil delen met allerlei instanties, zonder dat de ouders daar zicht op hebben. Data op basis waarvan het kind ook gestuurd kan worden middels “nudging”. Druk vanuit school bijv. om een kind een bepaalde sport te gaan laten doen om het gedrag te beïnvloeden zonder dat ouders de achtergrond weten.

Kansencirkel en kansenster

Hoe gebeurt zoiets nu?  Men werkt binnen het GIRFEC-gedachtengoed met de kansencirkel en de kansenster. In de kansencirkel staan acht ontwikkelgebieden: Actief, Gerespecteerd, Verantwoordelijk, Erbij horen, Veilig, Gezond, Ontplooiing, Gekoesterd. Ze vallen onder vier groepsdimensies: Zelfbewustzijn, Actief Bijdragen, Verantwoordelijkheid nemen en Succesvol ontwikkelen. Data verzamelt men over het kind  en op basis daarvan geeft men een cijfer voor op alle acht  punten van  de kansenster. Het is de bedoeling dat die data geleverd worden door alle instanties, scholen etc.  waarmee een kind tijdens zijn leven te maken heeft. Dit alles gebeurt zonder dat er zicht van ouders is op de vastgelegde data. Die cijfers worden gekoppeld aan de uitkomsten van de kansencirkel en zo wordt één en ander meetbaar en geschikt gemaakt voor de opslag van big data. In Tilburg slaan ze dit al op in een speciaal data project.

NJI

Het NJI probeert ondertussen haar handen te wassen in onschuld door te benadrukken dat zij slechts “een onafhankelijk kenniscentrum is dat actuele kennis over jeugd, vakmanschap en de organisatie van het jeugdveld verzamelt, verrijkt, duidt en deelt”. Hierbij worden echter geen ouders betrokken, want het blijft bij onderonsjes tussen professionals die bepalen wat de ‘belangrijke waarden’ zijn die kinderen moeten worden bijgebracht, met of zonder betrokkenheid van ouders. Met die ouders wordt pas gesproken over hun kind in een specifieke casus als de hele GIRFEC al is geïmplementeerd binnen het schoolsysteem. Omdat de ‘Named Person’ in Schotland nu definitief is afgeserveerd, wordt aan ouders gevraagd vrijwillig mee te werken aan GIRFEC, zonder ze te vertellen dat ze daarmee meewerken aan risico-profilering en datamining. (zie noot)

Risicoprofilering/data-sharing/data-mining

Duidelijk is het dat de data uit GIRFEC-pilots en de becijfering in de kansencirkel de basis is voor grootschalige risicoprofilering, in naam van het willen ontdekken van kwetsbare kinderen. Het doel daarbij is dat het op den duur alle kinderen in Nederland betreft, ongeacht hun zorgbehoefte, gedrag of beperkingen.  De bedoeling is het om de uitkomsten van de kansencirkel vrij te benutten in organisaties, in teams, in gesprekken met samenwerkingspartners. Dan is er sprake van data-sharing zonder dat ouders  er zicht op hebben. De vastgelegde data zijn een bron voor data-mining.

Je leest nergens over het wissen van data. Nergens staat beschreven of alle vastgelegde data wel toegankelijk zijn voor de ouders. Ook staat nergens vermeld of  en hoelang men de  data wil bewaren. Nergens staat wat men met de data wil doen als de volwassen leeftijd bereikt. Blijven die benaderbaar daarna?

Krachtige afwijzing noodzakelijk

Het overwaaien van GIRFEC naar Nederland is zeer zorgelijk en onwenselijk. Niet in de laatste plaats vanwege het wantrouwen dat GIRFEC richting ouders heeft. Zie bijvoorbeeld het betoog van de Schotse socioloog dr. Stuart Waiton, die in een paar minuten het paradepaardje fileert. De kern van zijn betoog is dat achter het opzetten van GIRFEC en GIRFEC-achtige systemen is dat die uitgaan van de gedachte dat ouders niet te vertrouwen zijn en kinderen dus in de gaten gehouden moeten worden. Daarnaast zijn overheden/overheidsinstanties  in toenemende mate gespitst zijn op veiligheid en het  labelen van zoveel mogelijk kinderen als kwetsbaar. Als laatste noemt hij de gedachte van overheden  dat door vroege interventies de ontwikkeling altijd bij te sturen is.

Conclusie

GIRFEC in welke vorm dan ook dringt diep door in de ouder-kind relatie en schaadt de privacy. Het is geen oplossing voor de jeugdzorg die vaak schotten tussen allerlei instanties tegenkomt en klaagt over weinig doorzettingsmacht. Het is echter een reële bedreiging voor ouders en kind door de profiling, de data-sharing en data-mining die er mee gebeurt. In Nieuw Zeeland stopte men al in 2016 met GIRFEC-implementatie  omdat men het systeem nutteloos vond.

Nu Nederland nog.

W.J. Jongejan, 5 december 2019

Noot: deze krachtige  alinea is volledig overgenomen uit het artikel “GIRFEC – Jeugdzorg infiltreert het onderwijs (deel 2)” van Sven Snijer.

Interessante links:

Artikel van in tekst genoemde Stuart Waiton uit 2016

GIRFEC voor Dummies:

Artikel Volkskrant  4 september 2019

De Lange Mars Plus  15 september 2019

Subsidieverdeler ZonMw met subsidieprogramma ‘Kansrijke start voor kinderen met behulp van big data’. Genomineerd voor de Big Brother Award 2019 door Bits of Freedom(zie pagina 8)

Webartikel Herken Ouderverstoting met vele relevante links daarop

 




Contraterrorisme mbv gezondheidszorg. Verwerpelijke MEDINT in de NHS

spionage

Recent werd ik attent gemaakt op een publicatie in het online magazine Security Dialogue, geschreven door Charlotte Heath-Kelly, assistent professor van het  Department of Politics and International Studies van de University of Warwick in het Verenigd Koninkrijk. De titel was “Algorithmic autoimmunity in the NHS(National Health Service): Radicalisation and the clinic”. Het is een artikel ,dat door het abstracte taalgebruik wat lastig toegankelijk is, maar glashelder wat betreft de boodschap. De kern van het stuk is dat in het Verenigd Koninkrijk werkers in de gezondheidszorg, zoals optometristen, tandartsen, dokters en verpleegkundigen verplicht en getraind zijn tekenen van radicalisatie te rapporteren aan de autoriteiten in het kader van het bestrijden van terrorisme. Het is een zeer discutabele vorm van Medical Intelligence(MEDINT). De regering van het Verenigd Koninkrijk heeft die keuze expliciet gemaakt vanwege de grote aantallen mensen uit de hele bevolking, die in contact komen met gezondheidszorg-werkers. Het is een strategie die in officieel in 2011 geformuleerd is en die sindsdien ten uitvoer is gebracht met een verplichting tot medewerking in 2015.  De strategie is bedacht door het Home Department( het ministerie van binnenlandse zaken) en destijds ten uitvoer gebracht onder leiding van Theresa May, de huidige minister-president.

Prevent-programma

Het Prevent-programma is officieel in 2011 bediscussieerd en gepubliceerd, maar was in het geheim al veel langer actief. Al in 2003 begon de regering ermee als een post 9/11-strategie, maar hield het lage tijd geheim. Onder de naam Contest, was het in regeringskringen bekend met een opzet die beruste op 4 P’s: “Prepare for attacks, Protect the public, Pursue the attackers and Prevent their radicalisation to start with.”  In 2010 werd bekend  dat in meerdere, door veel moslims bevolkte wijken van Birmingham, heimelijk bewakingscamera’s waren geplaatst, betaald door het Home department. Dat was uitgevoerd met geld voor terrorismebestrijding. Onder andere daardoor zijn in 2010 openlijke discussies gestart die toen het openlijke Prevent-programma opleverden. In de Prevent-stukken noemt men niet alleen al-Qaeda-terreur of ander moslimextremisme als te bestrijden doelen, maar ook vormen van rechts-extremisme.

Verplicht

In 2015 is krachtens de Counter-Terrorism and Security Act  deelname aan het Prevent-programma verplicht gesteld( “statutory obligation’) in sectie 26 van deze wet. Deelname door NHS in Schedule 6 in de alinea “Health and social care”. Door het in werking treden van deze wet is verscheen ook een Revised Duty Guidance van het Prevent-programma, waarin de plichten nog weer eens uitgelegd werden. Hoe het in de praktijk in onderdelen van de NHS geïmplementeerd diende te worden ziet u hier.

Uitgangspunt

De basis waar men van uit gaat bij het inschakelen van zorgmedewerkers aldus verwoord in de Prevent-Strategy:

10.143 Given the very high numbers of people who come into contact with health professionals in this country, the sector is a critical partner in Prevent. There are clearly many opportunities for doctors, nurses and other staff to help protect people from radicalisation. The key challenge is to ensure that healthcare workers can identify the signs that someone is vulnerable to radicalisation, interpret those signs correctly and access the relevant support”

En:

“10.145 The Department of Health will need to ensure that the crucial relationship of trust and confidence between patient and clinician is balanced with the clinician’s professional duty of care and their responsibility to protect wider public safety. Where a healthcare worker – be that a speech therapist, community psychiatric nurse or general practitioner – encounters someone who may be in the process of being radicalised towards terrorism, it is critical that the individual is offered the appropriate support. We believe that clear guidelines are needed for all healthcare managers and healthcare workers to ensure that cases of radicalisation whether among staff or patients are given the attention and care they deserve.”

Uit de laatste zin wordt duidelijk dat patiënten niet de enige doelgroep zijn waarover men rapportage wenst, maar ook over stafleden, eigen collegae.

Opzet binnen NHS

Het betrekken van zorgaanbieders binnen de NHS had en heeft ten doel om radicalisatie van burgers op te sporen om daarmee de samenleving te beschermen. Daartoe vindt een specifieke training plaats van medisch personeel. Bij die training krijgt de betrokkene een Powerpoint-presentatie met 41 slides te zien, waarin de zorgplicht jegens kwetsbare kinderen en volwassenen benadrukt wordt. Daarbij vinden ook testen, in de vorm van multiple-choice-vragen plaats, over de wijze waarop de gewenste informatie aan managers moet worden gemeld. Wat men wil is dat dat zorgmedewerkers melden op basis van “intuïtie” en niet zozeer op basis van een aantal tevoren vastgestelde criteria.

Stilte in NHS

In een artikel van de journaliste Anne Gulland in de British Medical Journal dat op 26 april 2017 verscheen, vraagt zij zich hardop af waarom het verplicht meewerken met het Prevent-programma in het onderwijs meer onrust veroorzaakte dan in de zorg. Zij maakt wel melding van een gering aantal meldingen aan de bevoegde autoriteiten. In een bespreking van dit artikel op een online nieuwsmagazine van de American Association for the Advancement of Science is nog duidelijker te lezen hoe de medewerking is binnen de NHS.

Volkomen verkeerde weg

Het is naar mijn mening ongekend dat gezondheidszorgwerkers in een dergelijk mate ingeschakeld worden bij politionele activiteiten. De voornaamste reden dat men in het Verenigd Koninkrijk zover heeft kunnen en willen gaan, lijkt me gelegen in het feit dat het gaat om een door de staat betaald en georganiseerd zorgstelsel. Daarin is degene die betaalt degene die bepaalt.

In eigen land heeft Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in de Nationale Contraterrorismestrategie 2016-2020 het over contacten met een breed scala aan partners, waaronder de jeugdzorg en GGZ(op pag. 9 en 13 van het document). Ziekenhuiszorg of huisartsenzorg worden niet genoemd.

Vertrouwen

Bij het bezoek aan een gezondheidszorgwerker, waaronder artsen dient de vertrouwelijkheid van wat gezegd is en wat gebeurt in de spreekkamer voorop te staan. Het is de basis van het medisch beroepsgeheim. Het geïnstitutionaliseerd melden van observaties, gebaseerd op “intuïtie”, is een volkomen verkeerde weg die begaan wordt. Bij het in de breedte bekend worden van deze activiteiten door zorgmedewerkers zal dit gaan lijden tot zorgmijden en daardoor extra gevaren voor de volksgezondheid.

Als een arts of andere zorgwerker iets crimineels verneemt wat kan lijden tot een groot gevaar voor één of meerdere personen kan hij/zij in Nederland altijd daarvan bij de bevoegde instanties melding maken op basis van een conflict van plichten. Overigens is het altijd verstandig om in zulke gevallen eerst ruggenspraak te houden met advocaten van de eigen beroepsorganisatie of KNMG.

W.J. Jongejan

Het artikel van Charlotte Heath-Kelly is toegankelijk door publicatie op het Sagepub-platform.

 




Big data analyse ongeoorloofd voor gemeenten in het sociale domein

large-895563_640WJ2

Al vanaf 2014 maakt de gemeente Zaanstad duidelijk dat zij veel werk gaat maken van het gebruik van “big data” om in het sociale domein beter beleid te kunnen voeren. Zelf spreekt men van de overgang van processturing naar monitoring. Het aandachtsveld is huiselijk geweld. Men wil tot een “monitor huiselijk geweld komen” om data te kunnen genereren waardoor de gemeente het vóórkomen van huiselijk geweld kan meten, vergelijken en wellicht voorspellen. Een jaar lang werd met het bedrijf Big Fellows, later BIG Data Company geheten, gewerkt aan die monitor huiselijk geweld. Die meldt in een conclusie in het najaar van 2015 dat het doel niet bepaald gehaald is. Desondanks kondigt Saskia de Man, strategisch adviseur Maatschappelijk Domein in Zaanstad, begin april 2016 aan dat Zaanstad met deze resultaten reden genoeg te zien om op dit dossier samenwerking te zoeken met Vereniging Nederlandse Gemeenten(VNG) en het Kwaliteits Instituut Nederlandse Gemeenten(KING) en de monitor door te ontwikkelen. Het is daarbij maar zeer de vraag of wat de gemeente Zaanstad wil, wel geoorloofd is op basis van de Wet bescherming persoonsgegevens(Wbp) en als je kijkt naar de bronnen waar de big data vandaan komen.

Bronnen

De gegevensbronnen voor de big-data-analyse(zie sheet21) zijn in Zaanstad: gemeente, de GGD, de politie, het meldpunt Veilig Thuis, Brijder verslavingszorg, de ggz-instelling Parnassia Groep en een aantal scholen, maar ook de wijkteams jeugdzorg. Die tekenden contracten met de projectleiding voor het waarborgen van de privacy. Het is maar helemaal de vraag of de burgers, van wier gegevens gebruikt werden, ingelicht zijn geweest over het onderbrengen van hun (zorg)gegevens in een database anders dan voor hun directe hulpvraag. Ik vermoed van niet. Wat men in Zaanstad beoogt is het ontwikkelen van een monitor Huiselijk Geweld waarmee ze data kunnen genereren waardoor men het vóórkomen van huiselijk geweld kan meten, vergelijken en wellicht voorspellen. Dat voorspellen is nu juist erg risicovol en daardoor onwenselijk.

Big data

Wat is eigenlijk de definitie van big data:

“Het combineren en analyseren van verschillende databases afkomstig uit verschillende bronnen, of het analyseren van een grote hoeveelheid data door een instantie met als doel hier voordeel uit te behalen in de zin van bijvoorbeeld tijdsbesparing, winst, of innovatie.”

 Dit is de beschrijving van de juriste Lisette Meij, gespecialiseerd in privacy bij big-data-gebruik. Ook al worden de gegevens in een big-data-database geanonimiseerd ingevoerd, het is altijd mogelijk bij voldoende verschillende gegevensbronnen om toch de identiteit van individuen te achterhalen. Er bestaat een uitspraak over:

“Given enough data, perfect anonymization is impossible no matter how hard one tries.”

 Eén van de doelen van big-data-analyse is het opstellen van profielen van mensen, het zogenaamde profiling om acties van individuen of groepen ervan te kunnen voorspellen. Grote supermarktketens proberen zo het koopgedrag van klanten(groepen) te voorspellen, de politie criminaliteit.

 Profiling

Het is voor te stellen dat men de gemeente Zaanstad de verleende hulp in kaart brengt op buurt- en wijkniveau, maar het willen voorspellen door middel van big-data-analyse is een vorm van profiling. Het gaat om het opstellen van profielen, die vervolgens weer gebruikt kunnen worden om te kunnen bepalen waar, desnoods achter welke voordeur huiselijk geweld te verwachten is. Een profiel wordt daarbij gebruikt om keuzes over een persoon te maken op basis van dat profiel. Het was de bedoeling om aan de hand van de monitorgegevens zorgverleners alert te maken waar huiselijk geweld te verwachten is en in de contacten met die burgers er dan extra alert op te doen zijn dan wel het aan te kaarten. Dergelijke profielen maken is een griezelige zaak. Wat in een profiel komt te staan is nooit iets dat met honderd procent zekerheid vast te stellen is. Burgers kunnen verdacht gemaakt worden zonder dat er echt sprake is (geweest) van huiselijk geweld. De juriste Lisette Meij, zegt hierover:

Onbetrouwbare of incorrecte data kan namelijk gevolgen hebben voor een individu. Aan de hand van de resultaten van een Big Data analyse kunnen conclusies getrokken worden welke nadelig zijn voor een individu. Ondanks dat een analyse een grove schets van een bepaalde groep weergeeft en niet zozeer van één individu, worden deze groepsprofielen dikwijls behandeld alsof het gegevens betreffende één persoon zijn. Hierdoor kan een betrokkene die toevallig binnen een groepsprofiel past benadeeld worden.”

Werkwijze

Geanonimiseerde gegevens werden door de contribuanten verzameld in één grote database, waarna de analyse plaatsvond. Big Data Company ervaarde het als lastig dat de data op wijk- of buurtniveau werden aangeleverd en niet op straat of huisnummer. Problematisch vond men dat veel data aangeleverd werden met te weinig detailgegevens.

Privacy

Bij het vragen van privacygevoelige informatie moet er op basis van de Wet bescherming persoonsgegevens sprake zijn van een duidelijk omschreven doelbinding(artikel 7). In artikel 9, lid 1, wordt verder beschreven dat persoonsgegevens niet verder verwerkt mogen worden op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. De gegevens die bijv. via de jeugdzorg verkregen zijn bij de hulpverlening in de wijkteams dienen een totaal ander doel dan datgene wat met de big-data-analyse beoogt wordt. In lid 3 van dit artikel wordt een uitzondering gemaakt voor een historische, statistische of wetenschappelijke verwerking mits er op toegezien wordt dat het alleen voor die doeleinden is. Overzichten maken van de verleende hulp leveren dus geen probleem op met de Wbp, wel het maken van prognoses op detailniveau.

Het maken van prognoses op detailniveau is niet toegestaan onder artikel 42, lid 1 van de Wbp. Daarin staat:

“Niemand kan worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft, indien dat besluit alleen wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens bestemd om een beeld te krijgen van bepaalde aspecten van zijn persoonlijkheid.”

Het wringt erg tussen de Wbp en het gebruik van big-data. De Wbp gaat uit van dataminimalisatie terwijl bij big-data er juist sprake is van datamaximalisatie. De wet gaat uit van het principe dat alleen de gegevens die nodig zijn om het vastgestelde doel te bereiken mogen worden verwerkt. Bij datamaximalisatie is het verzamelen van heel veel gegevens het doel om zo volledig en betrouwbaar mogelijke analyses te maken. Het moge duidelijk zijn dat ik het maken van prognoses met behulp van big-data-analyse op basis van zorggegevens niet geoorloofd vind. Het is een onjuist gebruik van bij dienstverlening verkregen gegevens. (bron:  www.ictrecht.nl )

Gemankeerd experiment

Op de website van Big Data Company staat een artikel uit het Noord-Hollands Dagblad van 17 november 2015 over het werk van deze firma. Vermeld wordt dat het eigenlijk een gemankeerd experiment is, waarbij men data die op huisnummer ingevoerd waren, node miste. Er viel eigenlijk niets te voorspellen.

Er kwam geen recept voor huiselijk geweld naar voren. Je kunt niet zeggen ’als factor X veel voorkomt, is er ook vaak huiselijk geweld’ S.ommige wijken scoorden hoog op een reeks factoren, maar niet op huiselijk geweld. Dat is interessant, maar leidt dus niet tot een scherpe verklaring van het verschijnsel.”  

Conclusie

Op dit moment heeft de gemeente Zaanstad voor 26 april aanstaande aangekondigd dat de pilot “Olievlek Big Data” van start gaat. Daarin wordt de dynamische monitor huiselijk geweld onder de aandacht gebracht. Contact is gezocht met andere gemeenten via de VNG en het KwaliteitsInstituut van Nederlands Gemeenten(KING). Nog steeds heeft men voor ogen dat men met het project voorspellend kan werken.

Huiselijk geweld is een afschuwelijk kwaad en verdient alle aandacht. Bewustwording van zorgverleners en overheden op basis van rapporten over de verleende zorg is een groot goed. Het gezamenlijk rapporteren door diensten en instellingen op basis van samenwerking kan daarbij zeer behulpzaam zijn om de werkers scherp te houden. Daarvoor is geen big-data-analyse nodig.

Het willen voorspellen waar het huiselijk geweld zich voordoet/gaat voordoen is naar mijn mening duidelijk een brug te ver. De resultaten van een jaar werken met de monitor huiselijk geweld(met overtreding van de Wbp) laten trouwens zien dat een voorspelling vooralsnog niet mogelijk is. De Wbp staat bovendien gewoon niet toe dat men kan voorspellen omdat zoiets een vorm van profiling in de zorg is. Dat de gemeenten het niet nauw nemen met de Wbp en vaak ook gewoon niet weten wat de implicaties ervan zijn, zagen we onlangs in het rapport van de Autoriteit Persoonsgegevens hierover.

W.J. Jongejan

 

 

 

 

 

 




Je kon er op wachten: groot datalek zorggegevens gemeente Amersfoort

firefighters-808901_640

Terwijl in de huisartsenwereld inmiddels wijd en zijd inmiddels bekend is dat persoons-/zorggegevens van patiënten niet per gewone e-mail verstuurd moeten worden, blijkt men bij gemeenten er een andere moraal op na te houden. Bij de gemeente Amersfoort verstuurde een ambtenaar meerdere weken geleden gegevens van 1900 burgers, afkomstig van de sociale wijkteams per mail naar een verkeerde persoon. De gegevens betreffen naam, adres, burgerservicenummers, maar gaan ook om de omschrijving van geleverde (jeugd)zorg. Op diverse websites zoals van SKIPR, RTVUtrecht en het Algemeen Dagblad wordt er melding van gemaakt. Nog kwalijker is dat men het voor de eigen wethouder en burgemeester geheim hield. Ook meldde men het niet aan de Autoriteit Persoonsgegevens. Op niet melden staat sinds 1 januari 2016 een boete van ruim achthonderdduizend euro. Uit de berichten blijkt dat de verantwoordelijke wethouder pas enkele dagen geleden is ingelicht. Het is te hopen dat die inmiddels aangifte heeft gedaan van dit datalek bij de Autoriteit Persoonsgegevens.

Zorgen

Al langere tijd hebben zorgkoepels als de KNMG en, LHV, maar ook organisaties die zich bezig houden met de privacy van burgers grote zorgen geuit over de uitvoering van de (jeugd)zorg door de gemeenten. Zowel intern als naar extern schort het aan het bewaren en bewaken van het medisch beroepsgeheim. Veel deelnemers aan sociale wijkteams die niet onder het medisch beroepsgeheim vallen hebben inzage in zeer gevoelige persoonlijke, medische gegevens. Daarenboven vragen de wijkteams bij behandelende artsen veel meer gegevens op dan relevant voor de te geven en door de gemeenten te vergoeden zorg.

Twee grote fouten

Naast de foute adressering zijn naar het zich laat aanzien  de gegevens met gewone e-mail verzonden. Er is dan geen sprake van beveiligde (zorg)mail zoals die in de huisartsen- en ziekenhuiswereld gebruikt wordt. Daarnaast heeft geen cryptografische versleuteling van het bestand plaats gevonden waardoor de gegevens direct in te zien zijn.

Lessen

Er vallen zeer veel lessen te leren uit deze casus, niet alleen door gemeenten, maar ook door regering en parlement. Bij het overhevelen van taken naar de gemeenten, met name ten aanzien van de jeugdzorg is beslist onvoldoende gekeken naar de geheimhoudingsaspecten rond zorggegevens. De (medische) privacy is niet afdoende geborgd door wetsartikelen. Het parlement heeft onvoldoende oog gehad voor deze aspecten. Men heeft het de gemeenten zelf maar laten uitzoeken. Dit zijn daar nu de kwalijke gevolgen van.

Het hele proces van de omgang met privacy gevoelige informatie van burgers door gemeenten zal op de schop moeten.

Zo niet: dan kan men wachten op het volgende incident.

W.J. Jongejan