Dick Laan en Eelco Eerenberg van de gemeente Enschede

“Onze ervaring met privacybeleid in de zorg betaalt zich nu uit”

De gemeente Enschede krijgt alom lof voor zijn privacybeleid bij de decentralisatie van de zorgtaken van het Rijk naar de gemeenten. NRC Handelsblad riep Enschede uit tot één van de vier koplopergemeenten op dit gebied. En ministeries vinden de stad op onderdelen zelfs te streng in de privacyleer. Redenen genoeg voor Tijdschrift Privacy om af te reizen naar Twente.

Tekst: René Schellingerhout
Fotografie: Geert van Tol
Fotograaf stadhuis: Christian van der Meij

 

 

In het in robuuste jaren 30-stijl opgetrokken stadhuis van Enschede zitten Dick Laan en Eelco Eerenberg samen aan tafel. Laan is Senior Adviseur CIO Office van de gemeente met het onderwerp Informatievoorziening Sociaal Domein in zijn takenpakket. Wethouder Eerenberg (D66) heeft onder meer Financiën, Stadsdeel Centrum, Onderwijs én Jeugd in zijn portefeuille. Bovendien is hij bestuurlijk verantwoordelijk voor het thema privacy in de gemeente. “Als lokale overheid krijgen we heel veel persoonsgegevens van burgers. Daarom is er iemand nodig die vanuit het bestuur verantwoordelijk is voor de omgang met die gegevens. Dat ben ik nu. Nee, een FG’er hebben we nog niet, maar die gaan we wel aanstellen.”

“We werken al acht jaar met sociale wijkteams die integrale zorg aanbieden”

 

Laboratorium

Lang voordat ‘Den Haag’ besloot om via de Wet maatschappelijke ondersteuning (Wmo) de zorgtaken over te hevelen naar gemeenten, was Enschede al bekend met de privacyvraagstukken die bij de gemeentelijke zorgverlening om de hoek komen kijken. “We werken al acht jaar met sociale wijkteams die integraal zorg aanbieden. Daarmee waren we denk ik één van de eersten in Nederland”, vertelt Laan. “Onze mensen in die wijkteams liepen meteen al tegen privacyvraagstukken aan. De vraag met wie je de verkregen gegevens mag delen, komt steeds terug. We vonden dat we een ICT-systeem nodig hadden om zorgvuldig met persoonsgegevens om te gaan. In 2012 is daarom een informatiekundig traject gestart om te onderzoeken wat nodig is om professionals in het sociaal domein goed te ondersteunen. In 2013 is een aanbestedingstraject gestart voor een leverancier die samen met de zorgprofessionals een systeem zou kunnen ontwikkelen.”

Enschede kwam al snel uit bij een IT-partner die gelieerd is aan de Universiteit Twente en de hogeschool Saxion. Met deze partner en met andere gemeenten is een zogeheten Living Lab constructie ontwikkeld. Enschede vormt samen met deze zes gemeenten het Living Lab Oost-Nederland. In dit ‘laboratorium’ worden oplossingen ontwikkeld aan de hand van praktijksituaties, ook met IT en daaraan gerelateerde privacyvraagstukken.

Enschede vervult als initiator van Living Lab een duidelijke voortrekkersrol, stelt Eerenberg. “Niks ten nadele van de andere gemeenten, maar Enschede is een grote stad met relatief veel problematiek. Daarmee hebben we ook al jaren ervaring. Kleinere gemeenten die daar veel minder mee te maken hebben, denken niet als vanzelfsprekend na over een onderwerp als IT en privacy. Als grote gemeente in de regio doen wij veel werk op privacygebied voor de andere gemeenten, maar ook samen met hen.” Laan: “Van de gemeente Rijssen-Holten kregen we te horen: ‘Doordat wij bij jullie in het Living Lab zijn aangesloten, hebben we ontzettend veel kennis in huis gehaald.’”

 

“Rijssen-Holten zei tegen ons: ‘Doordat wij bij jullie in het Living Lab zijn aangesloten, hebben we ontzettend veel kennis in huis gehaald’”

Binnen het Living Lab gebruiken de gemeenten het Topicus Overheids Platform (TOP), een informatiesysteem dat de zorgverleners in de wijkteams gebruiken om data te verwerken. Met een Privacy Impact Assessment (PIA) is beoordeeld of in Enschede de privacyprocedures volgens de regels worden nageleefd. Eerenberg: “In ons geval werd de PIA uitgevoerd samen met de ministeries van Volksgezondheid, Welzijn en Sport, Binnenlandse Zaken, Veiligheid en Justitie en Sociale Zaken en Werkgelegenheid en met het Kwaliteitsinstituut Nederlandse Gemeenten. Een van de uitkomsten was dat we op een aantal punten wel heel streng in de leer waren. Zo bevat ons privacyprotocol uit 2012 een toestemmingsvereiste waarbij mensen zelf hun fiat moeten geven aan het verzamelen en delen van gegevens ten behoeve van hun dossier. Het ministerie gaf aan dat de wet ons daarbij veel meer ruimte biedt. Nou, zeiden ze, jullie zijn wel erg zuiver in de leer. Maar goed, liever te zuiver dan het omgekeerde.” Laan: “Het ministerie vindt die toestemmingsvereiste grotendeels overbodig en de transparantie van wijkcoaches naar burgers veel belangrijker. De burger moet inzicht krijgen in het waarom en waarvoor zijn gegevens gebruikt worden. Het ministeriële advies is om van toestemming naar meer transparantie te gaan. Dat gaan we ook doen, meer transparantie en minder toestemming.”

“Het ministerie vindt de toestemmingsvereiste grotendeels overbodig en de transparantie van wijkcoaches naar burgers veel belangrijker.”

Integraal

Enschede werkt met wijkteams die onder leiding staan van een wijkteammanager. De wijkteams bestaan uit wijkcoaches. De wijkcoach die bij een probleemgezin over de vloer komt, heeft in TOP toegang tot het zogeheten regiedossier van dat gezin. “De wijkteammanager niet”, zegt Laan. “Hij heeft normaal gesproken een monitorende rol. Hij kan bijvoorbeeld wel zien dat de wijkcoach bij mevrouw A is langs geweest. Maar dat deze mevrouw een psychiatrische achtergrond heeft, kan hij niet zien. Ik verwacht overigens dat de toekomstige FG ook een rol als monitor krijgt.” Het privacybeleid voor de wijkteams is in concept klaar en ligt het ter besluitvorming bij het college, vertelt Laan (nov. 2014). “Hierbij werken we samen met veertien gemeenten in Twente, maar ook met Zwolle en Deventer. Ons uitgangspunt is integrale zorg in de wijk. Maar welke informatie de wijkcoaches en wijkteammanagers wel en niet mogen verzamelen en delen, is nog niet zo eenvoudig te zeggen. De privacykaders liggen vast in de Wet bescherming persoonsgegevens. Maar als gemeente heb je ook te maken met materiewetten als de Wmo, de Jeugdwet en de Participatiewet. Die kennen allemaal eigen privacyparagrafen die soms botsen met de integrale aanpak. Daarbij gaat het vaak om de verschillende interpretaties van de privacywetgeving door bijvoorbeeld juristen, beleidsmedewerkers en uitvoerende medewerkers. Dat geldt bijvoorbeeld voor de Participatiewet en vooral voor de Wet Structuur Uitvoeringsorganisatie Werk & Inkomen (SUWI). Begin 2015 bezoeken vier ministeries, BZK, VWS, VenJ en SZW, Enschede
om deze en andere vraagstukken te bespreken.”

“In heel veel gevallen hoef je niet te weten wat er aan de hand is, maar alleen dat er wat aan de hand is.”

 

Omslag

Een van uitgangspunten die Enschede hanteert bij het verzamelen van informatie is data-minimalisatie, een kernbegrip uit de Wbp. Maar in de praktijk van Werk, Inkomen, Zorg en Ondersteuning is de vraag welke data je wel en niet nodig hebt om passende zorg te verlenen niet eenduidig te beantwoorden, vindt Laan. “Want over welke gegevens gaat het dan? Daar zijn we hier in Enschede nog niet uit, maar ook landelijk niet. Wel is duidelijk dat je in heel veel gevallen niet hoeft te weten wat er aan de hand is, maar alleen dat er wat aan de hand is. Dat onderscheid is van belang. Bijvoorbeeld bij medische informatie. Je hoeft de huisarts niet te vragen wat meneer Jansen precies mankeert, maar wel of hij bijvoorbeeld 150 meter kan lopen. Dan kan de huisarts volstaan met ‘ja’ of ‘nee’. Vaak is dat genoeg om een bepaalde voorziening wel of niet te hoeven verstrekken. We hoeven niet alles te weten, maar dat vergt een andere manier van denken dan we gewend zijn. Onze zorgprofessionals en wijkcoaches zijn al met die omslag bezig.” Ook Eerenberg vindt dat zorgverleners het met zo min mogelijk informatie moeten doen. “Stel dat een vader met een strafblad zijn zoontje mishandelt. De gemeenteraad kan ons dan bijvoorbeeld vragen of hij bij ons bekend was en welke acties wij hebben ondernomen. Daarbij loop je het risico dat je vanuit de raad een controlereflex op incidenten krijgt. De raad kan de wethouder vragen voortaan de strafbladen van alle inwoners in het dossier te op te nemen. Ik zou dat niet willen. Daarom zijn we continu in gesprek met de raad om hier op een volwassen manier mee om te gaan. We willen niet na elk incident nieuwe regels verzinnen waardoor we nog meer informatie moeten verzamelen. Met een goede informatieverzameling en een goed IT-systeem kun je geen incidenten voorkomen. Met andere woorden, je moet kunnen accepteren dat het mis kan gaan. Maar durven we dat als politiek ook uit te spreken?”

“We willen niet na elk incident nieuwe regels verzinnen waardoor we nog meer informatie moeten verzamelen”

 

Misverstand

Gemeenten zijn vanaf 2015 ook verantwoordelijk voor de Jeugdreclassering. “Dan heb je te maken met de justitieketen, met strafbladen en delicten”, vertelt Eerenberg. “Wat mij betreft hoef ik dat niet allemaal te weten. Maar wil je een fatsoenlijke reclassering kunnen bieden, dan moet je wel weten dat iemand wat op zijn kerfstok heeft gehad. We moeten dus het justitieel dossier even kunnen inzien.” Maar dat betekent volgens Laan niet dat gemeenten alle dossiers gaan samenvoegen. “Mensen denken vaak dat we alle dossiers gaan verzamelen en daarvan één groot integraal dossier maken. Dat is een misverstand. Zo blijven de dossiers van de tweedelijns Jeugdreclassering bij de desbetreffende aanbieders liggen. Daar hoeven we echt niet alles van te weten. Het gaat hierbij weer om het verschil tussen ‘dat’ en ‘wat’. We willen weten dat er een dossier met een zorgtraject is, maar de inhoud van het dossier blijft buiten het zicht van de gemeente.”

Praten

Eerenberg benadrukt dat een grotere privacybewustwording begint met praten. “Je slaat de eerste slag door er met betrokkenen over te praten. Dat doen we volop. Bewustwording betekent ook je realiseren dat je met privacy iets waardevols in handen hebt waarmee je voorzichtig moet omgaan. Het klinkt misschien wat soft, maar praten sorteert meer effect op het gebied van bewustwording dan allerlei regels en protocollen. Je bent je dan bewuster van het belang van privacy dan wanneer je een regel leest.” Enschede bespreekt met de wijkcoaches ook concrete voorbeelden. “Een stukje casuïstiek werkt heel goed”, zegt Laan. “We bespreken praktijkgevallen met de wijkcoaches, die er ook met elkaar over spreken. Uiteraard allemaal zoveel mogelijk geanonimiseerd. Dat doen we ook in gemeentelijke werkgroepen, met mensen van verschillende disciplines, die privacy een warm hart toedragen.”
Het meest enthousiast is Laan over de drie simulaties die de gemeente in 2014 met de zorgverleners van de wijkteams, het zorgloket en Werk & Inkomen heeft uitgevoerd. Laan: “Aan de hand van een casus hebben we met een grote groep mensen het hele proces van voor naar achter doorlopen. Je begint dan heel eenvoudig. Er komt een inwoner met een zorgvraag. Waar kan hij terecht? Op de website? Bij het zorgloket? Die simulaties waren heel nuttig om dit soort zaken goed boven tafel te krijgen.”

“De echte privacydiscussie over een integrale aanpak wordt nu pas gevoerd”

 

Praktijk

Het kabinet vindt dat gemeenten in de praktijk moeten leren omgaan met privacygevoelige gegevens. “Daar zijn wij het mee eens”, vertelt Eerenberg. “Als ik met de wijkteams meeloop, zie ik dat we ervoor moeten waken om alles vooraf met regels dicht te plamuren. Het is ook een kwestie van trial and error.” Ook Laan kan zich vinden in de kabinetsvisie. “De echte privacydiscussie over een integrale aanpak wordt nu pas gevoerd. Dat komt mede door de complexe problematiek en, zoals ik al zei, conflicterende privacyparagrafen of conflicterende interpretaties van die paragrafen in de verschillende wetten. Welke gegevens je dan wel en niet mag verzamelen en delen, moet je in de praktijk ervaren. Ik vind het goed dat het kabinet daar ook zo over denkt.”
Dat Enschede op privacygebied en op veel andere terreinen voorop loopt, is volgens Laan deels een gevolg van de vuurwerkramp die de stad in 2000 zo hard trof. “Dat heeft bij de gemeente de gelederen flink opgeschud en ons hele denken veranderd. Sindsdien zijn we er veel meer van doordrongen dat vernieuwing noodzakelijk is om goed te kunnen inspelen op nieuwe ontwikkelingen.”

 

Aanbevelingen Dick Laan en Eelco Eerenberg:

• Maak zowel op ambtelijk als op bestuurlijk niveau één iemand verantwoordelijk voor de omgang met persoonsgegevens.
• Gebruik simulaties met casussen waarin je het zorgproces van begin tot eind doorloopt op privacyvraagstukken. Doe dit zowel op proces- als op bestuurlijk niveau.
• Ga in gesprek met de gemeenteraad over hoe je wilt omgaan met privacyincidenten.