Hoeveel informatie heeft de gemeente nodig?

Nummer 16, 2016

Privacy

 

Auteur: Marieke Sjerps

Sinds gemeenten verantwoordelijk zijn voor jeugdzorg, maatschappelijke ondersteuning en de zorg voor chronisch zieken en gehandicapten moeten ze de hulpvraag van burgers onderzoeken. Al snel kom je dan op het terrein van medische informatie waar speciale regels voor gelden. Omgaan met die gevoelige gegevens gebeurt nog niet zonder problemen, blijkt uit verschillende onderzoeken. Welke hobbels zijn er? Hoe ga je secuur te werk?

Wmo-consulenten, indicatiebureaus, keukentafelgesprekken. Op allerlei plaatsen zijn ambtenaren bezig met de zorgbehoefte van burgers. Er wordt immers veel besproken en opgevraagd, gelezen, genoteerd, gemaild en gedeeld. Enveloppen worden geopend, telefoontjes beantwoord en dossiers bewaard. Medewerkers willen graag de wet goed uitvoeren en burgers de zorg en ondersteuning geven waar ze recht op hebben. Maar bij verwerking van informatie raakt soms de medische privacy van die burgers in de knel.

Medische gegevens vallen onder het medisch beroepsgeheim. Wat ‘medische gegevens’ zijn, is bij gemeenten en wijkteams niet altijd vastomlijnd. Doorgaans is het duidelijk dat het dossier van de huisarts niet bij de gemeente thuishoort. Maar dan volgt een grijs gebied waarin soms diagnoses en behandelingen worden beschreven, en aantekeningen over bijvoorbeeld medicatie, of bezochte specialisten in een dossier terecht kunnen komen.

De Autoriteit Persoonsgegevens (AP) stelt scherp dat alles waaruit iemands lichamelijke of geestelijke gezondheid blijkt, medische informatie is. Dus veel meer dan alleen dat wat artsen vaststellen en opschrijven. Dat meneer darmkanker heeft en dat mevrouw sinds de laatste bevalling met bekkeninstabiliteit kampt, zijn daarom ook gevoelige persoonsgegevens.

Medische gegevens

Medische gegevens zijn gevoelige gegevens, net als die over iemands seksuele voorkeur, of politieke gezindheid. Ze zijn in beginsel alleen voor een medische setting bedoeld, voor mensen met een medische opleiding. Gegevens over de gezondheid zijn beperkt houdbaar, omdat die steeds kan veranderen. Er kunnen fouten in een dossier staan, die niet gecorrigeerd worden. De gevolgen van inbreuk op medische privacy zijn meestal niet onmiddellijk duidelijk. Concreter wordt het als er aan de hand van die gegevens onjuiste conclusies worden getrokken, gegevens gebruikt worden voor iets waarvoor ze niet bedoeld zijn, chantage, en wanneer mensen er anders door bejegend worden (stigmatisering, minder serieus genomen).
 

De wet

Gemeenten mogen gegevens verwerken die nodig zijn om de zorgbehoefte te beoordelen, zo staat in de Wmo 2015. Maar volgens de Wet bescherming persoonsgegevens (Wbp) mag je niet meer verzamelen dan er nodig is voor de taak en moet er een zwaarwegend belang zijn. Hoeveel informatie heeft de gemeente nodig om haar taak uit te voeren?

Willemijn Roozendaal, hoogleraar sociaal recht aan de Vrije Universiteit te Amsterdam, zal de eerste zijn die onderstreept dat ambtenaren soms voor een dilemma staan: ‘Ze hebben een onderzoeksplicht en moeten controleerbare besluiten nemen. Maar daar horen de gegevens die daaraan ten grondslag liggen niet bij.’ Een korte omschrijving voldoet volgens haar, zonder medische termen en diagnoses. De ziekte of aandoening noemen? Roozendaal, die regelmatig over medische privacy in het sociaal domein publiceert: ‘Goede bedoelingen ten spijt, mensen die hiervoor binnen de gemeente zijn aangesteld, zijn meestal niet geschoold om dit soort gegevens uit te vragen en te beoordelen. Alleen een medisch professional mag dit. Die kan in generieke bewoordingen concluderen dat de cliënt inderdaad behoefte heeft aan een bepaalde voorziening. Dat is voldoende.’

Roozendaal wijst graag naar andere wetgeving, zoals de WIA, waar ze de besluitvormingsprocedure zorgvuldiger vindt: ‘De verwerking van medische gegevens blijft daar in beginsel in handen van medisch professionals, die hun gegevens moeten “vertalen” naar begrijpelijke conclusies voor niet-medisch deskundigen. Die gebruiken de conclusies dan voor het beoordelen van de aanspraken.’

Moet de gemeente medische informatie inzien om een besluit te nemen?

Tandje minder

‘Natuurlijk heeft de gemeente bouwstenen nodig om een situatie te kunnen beoordelen’, stelt Jolanda van Boven, ‘maar het kan vaak wel een tandje minder.’ Van Boven is jurist gezondheidsrecht en privacy. Ze adviseert gemeenten en maakte destijds deel uit van het Ondersteunings Team Decentralisaties van de VNG. Van Boven is een warm pleitbezorger van de methodiek die ze ‘juridisch Zwitsers zakmes’ noemt. Hierin spelen drie wettelijk vastgelegde principes de hoofdrol: subsidiariteit, proportionaliteit en doelmatigheid. Die abstracte begrippen vertaalt ze zo concreet mogelijk. ‘Stel, je onderzoekt of de gemeente een traplift moet vergoeden voor een oudere man. Welk aanknopingspunt heb je? Er is bewegingsbeperking. Moet je meer weten? Nee, eigenlijk niet. Subsidiariteit betekent: het minst ingrijpende. Dat er bewegingsbeperking is, is doorgaans voldoende informatie.’

Dan de volgende stap, de proportionaliteit. Moet de gemeente medische informatie inzien om een besluit te nemen? ‘Niet nodig’, zegt Van Boven stellig. ‘Dat is bij deze aanvraag niet in proportie. Als laatste het principe doelmatigheid. Van Boven vervolgt: ‘Is het doelmatig dat je vraagt waardóór er bewegingsbeperking is – door artritis, of een ongeval waardoor de cliënt een stijve knie heeft overgehouden? Misschien vind je het handig om te weten, nice to know, maar daar gaat het niet om. Het criterium is need to know. Je hebt er als ambtenaar geen verstand van en je doet er niets mee. Voor je het weet, staan dossiers vol medische termen. Niet boeiend en het mag niet. Er is een bewegingsbeperking die rechtvaardigt dat die traplift wordt vergoed.’

Omgaan met privacy is ook een attitude

Medisch professional

Maakt de diagnose het dossier niet duidelijker en vollediger? Ook Van Boven verwijst naar de medisch professional: ‘Ik kan me voorstellen dat de gemeente zegt: ik wil dat een arts bevestigt dat er een bewegingsbeperking is. Maar ook die houdt het klein: “Ik constateer dat er inderdaad sprake is van een bewegingsbeperking”. Klaar. Je moet uitgaan van diens professionaliteit. Als je zijn werk nog eens dunnetjes gaat overdoen, organiseer je wantrouwen. Zo kun je toch niet werken?’

Is het handig om de cliënt dan maar om toestemming te vragen om medische gegevens te mogen inzien en verwerken? De Autoriteit Persoonsgegevens waarschuwt dat niet te doen: in deze context ontbreekt een wettelijke grondslag. Wel mag de indicatiearts gerichte vragen stellen aan bepaalde zorgverleners, alleen met duidelijke toestemming van de cliënt.

Bij de decentralisering van de zorgtaken in 2015 ging veel aandacht naar de bezuinigingen. Ook dat inwoners niet zonder zorg kwamen te zitten, stond begrijpelijkerwijs hoog op de agenda. Hoewel de rijksoverheid het privacyvraagstuk iets voor de ‘lerende praktijk’ vond, wijzen verschillende onderzoeken uit dat daar toch specifiek aandacht voor nodig is. Zo trok de landelijke huisartsenvereniging LHV vorige maand nog aan de bel, omdat instanties en gemeenten cliënten om hun medisch dossier vragen.

Eerder dit jaar concludeerde de Autoriteit Persoonsgegevens dat veel ge-

meenten niet weten welke gegevens ze wel en niet mogen verwerken, en dat ze de wettelijke grondslagen vaak niet kennen. Ook de rekenkamers van Amsterdam en Eindhoven kwamen met een kritisch rapport. Privacyregels werden niet altijd nageleefd en waren zelfs niet bij alle betrokken medewerkers bekend. In Eindhoven bleken vijfhonderd generalisten toegang te hebben tot alle dossiers.

Manifest

Voorzitter Mariëtte van Leeuwen (wethouder Zoetermeer) van de VNG-commissie Gezondheid en Welzijn over medische privacy: ‘We hebben het er regelmatig over hoe we onze taak kunnen vervullen en toch binnen de wet blijven.’ Dat verloopt niet vlekkeloos, beaamt ze. ‘Maar de bereidheid om te leren, staat centraal. We organiseren een privacyconferentie en met dertig partijen uit het zorgveld hebben we een manifest gesloten om privacybescherming beter te borgen. Als burgers er niet zeker van kunnen zijn dat we als gemeenten zorgvuldig met hun gegevens omgaan, worden ze zorgmijders. Dan hebben we een groot probleem.’

Op 22 juni jl. presenteerde de VNG samen met GGZ Nederland het manifest In goed vertrouwen; de privacy van de jeugd geborgd.

Maatregelen

Naar aanleiding van het rekenkamerrapport heeft laatstgenoemde gemeente inmiddels verschillende maatregelen genomen. Wethouder Mary-Ann Schreurs (D66), die dataverwerking in haar portefeuille heeft: ‘In juli hebben we het college geïnformeerd hoe we de aanbevelingen van de rekenkamer oppakken. Wat we gelijk konden verbeteren, is snel doorgevoerd. We hebben bijvoorbeeld het toestemmingsformulier herzien. Samengevat komt die wijziging erop neer dat nu toestemming wordt gevraagd voor het opvragen van specifieke gegevens bij een specifieke derde. In het oude formulier was dat veel ruimer en algemeen geformuleerd. Ons uitgangspunt is dat de inwoner zo veel mogelijk zelf zijn gegevens opvraagt, zodat die zo veel mogelijk regie houdt over zijn eigen data.’

Voor andere aanpassingen is de gemeente nog even afhankelijk van derden. Wethouder Schreurs: ‘De ruime autorisatie die generalisten hadden om dossiers in te zien, wordt beperkt. Technisch staat deze aanpassing gereed. We verwachten dat de softwareleverancier die komende maand kan doorvoeren.’

Het rekenkameronderzoek was voor Eindhoven ook aanleiding om een projectgroep privacy en informatieveiligheid te vormen. Schreurs: ‘Omgaan met privacy is ook een attitude. Onze projectgroep wordt daarom ondersteund door VNG-adviseurs. Samen organiseren we bijvoorbeeld workshops om onze medewerkers te trainen en bewuster te maken.’