[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Memorie van toelichting

Wijziging van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerkingen te verstevigen (Verzamelwet gegevensverwerking VWS I)

Memorie van toelichting

Nummer: 2023D40957, datum: 2023-10-05, bijgewerkt: 2024-04-03 11:39, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-36444-3).

Gerelateerde personen: Bijlagen:

Onderdeel van kamerstukdossier 36444 -3 Wijziging van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerkingen te verstevigen (Verzamelwet gegevensverwerking VWS I).

Onderdeel van zaak 2023Z16849:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2023-2024

36 444 Wijziging van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerkingen te verstevigen (Verzamelwet gegevensverwerking VWS I)

Nr. 3 MEMORIE VAN TOELICHTING

Inhoud

I. Algemeen deel 2
1. Inleiding 2
2. Hoofdlijnen van het voorstel 3
2.1 Inzagebevoegdheid IGJ 3
2.2 Gegevensverwerking door de IGJ bij andere meldingen 4
2.3 Gegevensverwerking bij de uitvoering van de kindertelefoon, de luisterlijn en de chat van Veilig Thuis 9
2.4 Aanscherping taakomschrijving Veilig Thuis en verduidelijking, verbetering en aanvulling van grondslagen voor gegevensverwerking door Veilig Thuis 14
2.5 Delegatiegrondslag verwerking persoonsgegevens IBES 17
2.6 Hergebruik gegevens Wzd voor Wlz door CIZ 18
2.7 Grondslag gegevensverwerking in de Kaderwet VWS-subsidies 20
2.8 Grondslag voor gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars bij fraudeonderzoeken 21
3. Verhouding tot hoger recht 27
3.1 Mensenrechtelijke bescherming 27
3.2 EVRM 28
3.3 Grondwet 29
3.4 AVG 30
3.5 Bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard 31
3.6 Doelbinding 33
3.7 Noodzakelijkheid, proportionaliteit en subsidiariteit 36
3.8 Transparantie en rechten betrokkenen 36
3.9 Beroepsgeheim 38
3.10 Caribisch Nederland 38
4. Verhouding tot nationale wetgeving 39
5. Gegevensbeschermingseffectbeoordeling (DPIA) 39
6. Gevolgen (m.u.v. financiële gevolgen) 40
7. Uitvoering 42
8. Regeldruk 43
9. Toezicht en handhaving 43
10. Financiële gevolgen 44
11. Advies en consultatie 45
11.1 Advies Autoriteit Persoonsgegevens 45
11.2 Commissie toezicht bescherming persoonsgegevens BES 49
11.3 Internetconsulatie 50
12. Fraudetoets 54
II. Artikelsgewijze toelichting 54

I. Algemeen deel

1. Inleiding

Bij de zorg voor mensen hoort ook de zorg voor hun gegevens. Het kabinet heeft om die reden aandacht voor zorgvuldige gegevensverwerking (waaronder uitwisseling) en het wegnemen van knelpunten op het VWS-terrein. Hiervoor is deels wetgeving noodzakelijk. Met dit wetsvoorstel worden acht knelpunten weggenomen:

1. In de praktijk bestaat onduidelijkheid over de reikwijdte van de inzagebevoegdheid van de Inspectie Gezondheidszorg en Jeugd (hierna: IGJ).

2. De IGJ heeft tot taak calamiteitenmeldingen, meldingen van geweld in de zorgrelatie, meldingen van ontslag bij disfunctioneren en andere meldingen te onderzoeken. Voor andere meldingen ontbreekt echter een wettelijke verplichting voor zorgaanbieders en zorgverleners om de gegevens, waaronder persoonsgegevens en bijzondere categorieën van persoonsgegevens, te verstrekken aan de IGJ die voor het onderzoeken van de melding noodzakelijk zijn. Dit heeft tot gevolg dat de IGJ in sommige situaties haar toezichthoudende taak onderzoek te doen naar andere meldingen niet volledig kan vervullen.

3. De huidige wetteksten over hulplijnen gaan uit van anonimiteit. Van anonimiteit in de zin van de Algemene verordening gegevensbescherming1 (hierna: AVG) is enkel sprake als elke mogelijkheid tot identificatie van betrokkenen onherroepelijk wordt uitgesloten. Indirecte herleidbaarheid door middel van het telefoonnummer of IP-adres kan, ondanks technische en organisatorische maatregelen, niet volledig worden uitgesloten. De Jeugdwet en de Wet maatschappelijke ondersteuning 2015 (hierna: Wmo 2015) sluiten daardoor niet aan bij de AVG en de feitelijke situatie.

4. De huidige formulering van artikel 4.1.1, tweede lid, Wmo 2015 geeft in de praktijk onduidelijkheid over met welke partijen in de strafrechtketen gegevens mogen worden gedeeld als dat noodzakelijk is voor het stoppen en duurzaam oplossen van situaties van huiselijk geweld en kindermishandeling. De wettelijke grondslag voor het verstrekken van gegevens door een Veilig Thuis-organisatie aan het college van burgemeester en wethouders (hierna: het college), de Minister van Volksgezondheid, Welzijn en Sport (hierna: de Minister van VWS) en aan de Minister voor Rechtsbescherming ten behoeve van beleidsinformatie en de grondslag voor het verstrekken van persoonsgegevens aan het college met als doel dat het college kan beoordelen of een bepaalde voorziening nodig is (de zgn. «gevalsbehandeling») zijn ook niet voldoende duidelijk.

5. De delegatiegrondslag van artikel 18.4.5, eerste lid, onderdeel e, van de Invoeringswet openbare lichamen Bonaire, Sint Eustatius en Saba (hierna: Invoeringswet BES) mist een bepaling op grond waarvan regels met betrekking tot de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens, kunnen worden gesteld.

6. Er mist een grondslag voor het Centrum Indicatiestelling Zorg (hierna: CIZ) om, indien noodzakelijk, gegevens die verkregen zijn in het kader van de Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapter patiënten (hierna: Wzd) te hergebruiken in het kader van de Wet langdurige zorg (hierna: Wlz) om op deze wijze hulpverleners, cliënten en hun directbetrokkenen alsook zorginstellingen zoveel mogelijk te ontlasten en geen dubbele uitvragen te hoeven doen.

7. Voor het beoordelen van subsidies is het in bepaalde gevallen, met name als een natuurlijk persoon de aanvrager is, noodzakelijk dat medische gegevens worden verwerkt. Deze gegevens vallen onder bijzondere categorieën van persoonsgegevens en mogen alleen verwerkt worden als er sprake is van toestemming van degene aan wie de persoonsgegevens toebehoren dan wel van een wettelijke grondslag. In dit geval is toestemming geen geschikte grondslag en ontbreekt een wettelijke grondslag in de Kaderwet VWS-subsidies.

8. Er ontbreekt een wettelijke grondslag voor de uitwisseling van persoonsgegevens tussen gemeenten, zorgkantoren en zorgverzekeraars, gemeenten onderling en binnen een gemeente (tussen verschillende zorgdomeinen). Deze gegevens kunnen noodzakelijk zijn voor een door gemeenten, zorgkantoor of zorgverzekeraar ingesteld fraudeonderzoek.

Dit wetsvoorstel betreft een verzamelwet als bedoeld in aanwijzing 6.4 van de Aanwijzingen voor de regelgeving. De verschillende onderdelen van deze wet hebben gegevensverwerking als overkoepelend thema. Voor een groot deel wordt met dit wetsvoorstel technische wijzigingen of verduidelijking beoogd. Daarnaast worden in navolging van eerdere gemaakte beleidskeuzes enkele wettelijke grondslagen gecreëerd. Met de voorgestelde wijzigingen worden geen substantiële beleidswijzigingen beoogd. Hiermee voldoet het wetsvoorstel aan de drie criteria die de regering in de brief van 20 juli 2011 heeft gesteld aan verzamelwetgeving, namelijk onderlinge samenhang, geen omvangrijke en complexe onderdelen en geen politiek omstreden inhoud.2

2. Hoofdlijnen van het voorstel

2.1. Inzagebevoegdheid IGJ

Beroepsbeoefenaren of hulpverleners kunnen op grond van hun (afgeleid) beroepsgeheim op grond van artikel 5:20, tweede lid, van de Algemene wet bestuursrecht (hierna: Awb) weigeren hun medewerking te verlenen aan de verstrekking van informatie aan de IGJ. Om haar toezicht te kunnen uitoefenen is het voor de IGJ echter noodzakelijk om patiëntendossiers in te kunnen zien en is het dus van belang dat beroepsbeoefenaren of zorgverleners zich niet op hun medisch beroepsgeheim kunnen beroepen. Op grond van artikel 7:457, eerste lid, van het Burgerlijk Wetboek en artikel 6, eerste lid, onder e, juncto artikel 9, tweede lid, onder g, AVG is voor doorbreking van het medisch beroepsgeheim respectievelijk de verwerking van bijzondere categorieën van persoonsgegevens een wettelijke grondslag vereist. Om die reden is, in afwijking van artikel 5:20, tweede lid, in diverse wetten op het terrein van de volksgezondheid de bevoegdheid voor de IGJ opgenomen om patiëntendossiers in te zien.

Tijdens de behandeling in de Eerste Kamer van de Wet van 23 januari 2019 tot Wijziging van diverse wetten op het terrein van de volksgezondheid in verband met de versterking van het handhavingsinstrumentarium van de Inspectie gezondheidszorg en jeugd en enkele andere wijzigingen (Stb. 2019, 52), ontstond een discussie over de reikwijdte van het begrip inzage dat is opgenomen in de diverse wetten.3 Destijds is aangegeven dat met het inzagerecht is bedoeld om de IGJ ten aanzien van patiëntendossiers vergelijkbare bevoegdheden te verschaffen als opgenomen in de artikelen 5:16 en 5:17 van de Awb. Het gaat dan om het recht om inlichtingen te vorderen (artikel 5:16), het recht om inzage te vorderen (artikel 5:17, eerste lid) en het recht om kopieën te maken (artikel 5:17, tweede lid).

Echter, in de huidige artikelen van de betreffende wetten is enkel de bevoegdheid voor de IGJ om de dossiers in te zien expliciet benoemd. Hierdoor wordt ten onrechte de suggestie gewekt dat de wettelijke grondslag zich beoogt te beperken tot de bevoegdheid van de IGJ om dossiers in te zien, zoals is geregeld in artikel 5:17, eerste lid, van de Awb. De toezichthoudende ambtenaren lopen in de huidige uitvoeringspraktijk aan tegen de hierdoor ontstane onduidelijkheid over hun bevoegdheden.

Om de rechtszekerheid te vergroten, heeft de toenmalige Minister van VWS aan de Eerste Kamer toegezegd dat het inzagerecht dat in de volksgezondheidswetten is opgenomen wordt gewijzigd, in die zin dat expliciet wordt aangegeven dat de IGJ bevoegd is om de bevoegdheden, bedoeld in de artikelen 5:16 en 5:17 Awb uit te oefenen.4 In de volgende wetten is het inzagerecht opgenomen en wordt voorgesteld een verduidelijking aan te brengen: Jeugdwet, Wmo 2015, Wet kwaliteit, klachten en geschillen zorg (hierna: Wkkgz), Wet op de beroepen in de individuele gezondheidszorg (hierna: Wet BIG), Gezondheidswet, Wet verplichte geestelijke gezondheidszorg (hierna: Wvggz), Wzd, Wlz, Geneesmiddelenwet, Wet donorgegevens kunstmatige bevruchting, Invoeringswet BES, Wet elektronische gegevensuitwisseling in de zorg (Wegiz) en Wet medisch-wetenschappelijk onderzoek met mensen.

De voorgestelde wijzigingen houden dus geen materiële wijziging in, maar zijn slechts een verduidelijking van het begrip inzagerecht.

2.2. Gegevensverwerking door de IGJ bij andere meldingen

2.2.1 Aanleiding

De Wkkgz heeft tot doel de veiligheid en de kwaliteit van de zorg te waarborgen. Met het oog op dit doel is in de Wkkgz opgenomen dat de IGJ de wettelijk verplichte meldingen en andere meldingen onderzoekt om vast te stellen of sprake is van een situatie die voor de veiligheid van cliënten in de zorg een ernstige bedreiging kan betekenen, of met het oog op het belang van goede zorg anderszins noodzaakt tot nader onderzoek (artikel 25, eerste lid, Wkkgz).

Een drietal meldingen is voor zorgaanbieders verplicht. Zorgaanbieders dienen melding te doen bij de IGJ van iedere calamiteit die bij de zorgverlening heeft plaatsgevonden, van geweld in de zorgrelatie en van opzegging, ontbinding of niet-voortzetting van een (arbeids)overeenkomst met een zorgverlener, omdat de zorgaanbieder van oordeel is dat een zorgverlener ernstig tekort is geschoten in zijn functioneren (artikel 11, eerste lid). Voor deze drie wettelijk verplichte meldingen is voor de verstrekking van persoonsgegevens, daaronder begrepen bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard, in de Wkkgz een rechtsgrondslag opgenomen (artikel 11, tweede lid). Onder bijzondere categorieën van persoonsgegevens vallen onder meer gegevens over de gezondheid. De zorgaanbieder en de zorgverleners die de zorg verlenen aan cliënten dienen in geval van deze wettelijk verplichte meldingen en het onderzoek daarnaar aan de IGJ deze gegevens te verstrekken, voor zover deze gegevens voor het onderzoeken van de melding noodzakelijk zijn.

Naast deze verplichte meldingen, ontvangt de IGJ vele andere meldingen. Andere meldingen zijn alle meldingen anders dan de drie hierboven genoemde wettelijk verplichte meldingen. Deze meldingen kunnen door eenieder5 worden gedaan, zoals door cliënten, naasten of nabestaanden van cliënten, zorgverleners, zorgaanbieders, organisaties en anderen die melding doen bij de IGJ over zaken in de zorg die in hun ogen niet op een juiste wijze (zijn) verlopen of waarin er anderszins zorg wordt geuit over een situatie in de zorg. De melding kan betrekking hebben op zorgaanbieders, fabrikanten en zorgverleners. De IGJ beoordeelt aan de hand van een beoordelingskader, zoals opgenomen in artikel 25 Wkkgz en in artikel 8.20 van het Uitvoeringsbesluit Wkkgz, of een andere melding nader moet worden onderzocht. Deze beoordeling vindt plaats aan de hand van de informatie in de melding.

Uit artikel 25, eerste lid, Wkkgz en artikel 8.20 van het Uitvoeringsbesluit Wkkgz blijkt dat een andere melding door de IGJ nader wordt onderzocht als de melding naar het oordeel van de IGJ wijst of kan wijzen op een situatie die voor de veiligheid van cliënten of de zorg een ernstige bedreiging betekent of kan betekenen, of als met het oog op het belang van goede zorg of de veiligheid van de cliënten de andere melding redelijkerwijs noodzaakt tot nader onderzoek. Ook wordt een andere melding gelet op artikel 8:20, eerste lid, onderdeel c, van het Uitvoeringsbesluit Wkkgz nader onderzocht indien de melding betrekking heeft op het niet of niet geheel voldoen door een zorgaanbieder aan bepaalde wettelijke verplichtingen in de Wkkgz. Het gaat dan onder meer om het ontbreken van een klachtenregeling of het ontbreken van een klachtenfunctionaris of het niet aangesloten zijn bij een geschilleninstantie. Redenen om een andere melding niet nader te onderzoeken zijn onder andere dat er wettelijk of op grond van internationale verplichtingen andere voorgeschreven procedures gehanteerd moeten worden of dat de melding al voorwerp van onderzoek door de IGJ is geweest.

Bij een dergelijk onderzoek is het uiteraard zaak precies duidelijk te krijgen wat de feiten zijn, om helder te krijgen of er inderdaad sprake is van een situatie die een ernstige bedreiging vormt voor de veiligheid van cliënten of de kwaliteit van de zorg; zodat de IGJ – indien dat het geval blijkt te zijn – handhavend op kan treden. Om de zaak goed te kunnen onderzoeken, kan het nodig zijn daarbij persoonsgegevens te vergaren en te verwerken, daaronder begrepen bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke aard. Dit kunnen persoonsgegevens zijn van de cliënt, een zorgverlener, maar ook van een derde. Voor de onderzoeken naar de verplichte meldingen is een grondslag in de Wkkgz opgenomen op grond waarvan betrokken zorgaanbieders en zorgverleners bij en naar aanleiding van een melding verplicht zijn om aan de IGJ de persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens te verstrekken, die noodzakelijk zijn voor het onderzoeken van de melding.

Voor andere meldingen ontbreekt een soortgelijke grondslag in de Wkkgz. In de Wkkgz is voor andere meldingen wel bepaald dat bij algemene maatregel van bestuur regels gesteld kunnen worden omtrent de gegevens die de melding tenminste bevat (artikel 25, tweede lid, sub a, Wkkgz). Op grond daarvan is in het Uitvoeringsbesluit Wkkgz opgenomen welke informatie een andere melding dient te bevatten (artikel 8.15 van het Uitvoeringsbesluit Wkkgz). Het gaat om onder andere de situatie waarop de melding betrekking heeft. Deze informatie is nodig om te kunnen toetsen of nader onderzoek noodzakelijk is.

Op grond van dezelfde delegatiegrondslag is opgenomen dat de betrokken zorgaanbieder en de betrokken zorgverleners bij een onderzoek naar een andere melding desgevraagd aan de IGJ alle gegevens verstrekken die voor het nader onderzoeken van een andere melding noodzakelijk zijn. Tot deze gegevens behoren persoonsgegevens van de bij de gemelde feiten betrokken cliënt(en) en van de betrokken zorgverleners (artikel 8.19 van het Uitvoeringsbesluit Wkkgz). Zoals hiervoor al is aangegeven ontbreekt echter een verplichting op wettelijk niveau voor zorgaanbieders en zorgverleners om bijzondere categorieën van persoonsgegevens te verstrekken aan de IGJ.

In de toelichting bij artikel 8.19 van het Uitvoeringsbesluit Wkkgz is destijds expliciet opgenomen dat bijzondere categorieën van persoonsgegevens niet kunnen worden verstrekt op grond van dat artikel. Voor deze verstrekking is een wettelijke grondslag vereist of, zoals in de toelichting is opgenomen, toestemming van de cliënt zelf dat die gegevens door de zorgaanbieders of de zorgverleners kunnen worden verstrekt aan de IGJ.

De grondslag voor de IGJ om in het kader van het onderzoek naar een andere melding bijzondere categorieën van persoonsgegevens te verwerken was eerder reeds opgenomen in de Aanpassingswet Algemene verordening gegevensbescherming. In deze wet is een hele reeks wetten in technische zin aangepast aan de AVG vanwege verouderde terminologie. Het opnemen van een wettelijke grondslag voor de IGJ om bij het onderzoeken van een andere melding bijzondere categorieën van persoonsgegevens te verwerken betrof volgens het advies van de Raad van State niet louter een technische wijziging, maar een materiële. Met het opstellen van de Aanpassingswet Algemene verordening gegevensbescherming was echter enkel beoogd technische wijzigingen aan te brengen. De wijziging is om die reden niet overgenomen in het wetsvoorstel zoals dat uiteindelijk bij de Tweede Kamer is ingediend.6 Met de wetswijziging die nu voorligt, wordt alsnog de materiële wijziging doorgevoerd.

2.2.2 Grondslag voor gegevensverwerking bij andere meldingen

De grondslag voor gegevensverwerking bij andere meldingen is nodig, omdat andere meldingen onder het huidige wettelijk regime niet voldoende adequaat kunnen worden onderzocht. Het ontbreken van een wettelijke verplichting tot het verstrekken van gegevens in het kader van andere meldingen heeft namelijk tot gevolg dat de IGJ in onderzoeken naar andere meldingen afhankelijk is van de bereidheid van de cliënt, zorgaanbieder of zorgverlener om (bijzondere categorieën van) persoonsgegevens af te staan. Veelal zijn zorgaanbieders en zorgverleners daartoe bereid, maar er zijn situaties waarin de betrokkene de toestemming om de gegevens te verwerken weigert of intrekt. Denk daarbij aan bijvoorbeeld de situatie van een zoon die een melding doet over een zorgelijke situatie met betrekking tot de zorg voor zijn in een verpleeghuis opgenomen moeder. Of aan de situatie waarin een zorgverlener een mogelijke verslaving van een andere zorgverlener onder de aandacht brengt. Het onderzoek kan dan slechts uitgevoerd worden voor zover dat mogelijk is zonder de bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke aard. Naast de al dan niet bereidheid van de cliënt, zorgaanbieder of zorgverlener, is het in bepaalde situaties onmogelijk of problematisch om toestemming aan de cliënt of de zorgverlener te vragen. Het gaat dan vaak om (bijzondere categorieën van) persoonsgegevens van anderen dan de melder zelf. Ook dan kan er sprake zijn van belemmeringen in de adequate uitvoering van het onderzoek naar de andere melding. Dit kan betekenen dat de IGJ in bepaalde gevallen andere meldingen niet (volledig) kan onderzoeken.

Dat de IGJ in bepaalde gevallen haar wettelijke taak andere meldingen te onderzoeken niet goed (genoeg) kan uitvoeren is uit oogpunt van de veiligheid van patiënten en de kwaliteit van de zorg ongewenst. Om die reden is het voorstel voor andere meldingen een verplichting in de Wkkgz op te nemen voor de verstrekking van persoonsgegevens, daaronder begrepen bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke aard door de zorgaanbieders en zorgverleners aan de IGJ. De verplichting is er alleen als de betreffende gegevens noodzakelijk zijn om een andere melding te onderzoeken7. Door het toevoegen van de wettelijke verplichting ook als er sprake is van een andere melding, wordt de rechtsgrondslag voor het aanleveren van gegevens in het kader van andere meldingen gelijkgetrokken met de rechtsgrondslag voor het aanleveren van gegevens in het kader van de wettelijk verplichte meldingen van calamiteit, geweld in de zorgrelatie en ontslag wegens disfunctioneren. De verstrekking van (gewone) persoonsgegevens door de zorgaanbieder en zorgverleners, die nu via een delegatiegrondslag in de wet in het Uitvoeringsbesluit Wkkgz is geregeld, wordt daarbij ook op wetsniveau getild. De voorgestelde wettelijke grondslag voor gegevensverwerking bij andere meldingen, maakt het mogelijk dat de IGJ bij het onderzoeken van andere meldingen bijzondere categorieën van persoonsgegevens – dus ook medische gegevens – kan verwerken, ook indien daar geen toestemming voor wordt gegeven. De IGJ kan dit alleen doen als dit noodzakelijk is om een andere melding goed te kunnen onderzoeken, dat wil zeggen om te kunnen onderzoeken of een gemelde situatie voor de veiligheid van cliënten of de zorg een ernstige bedreiging betekent of met het oog op het belang van goede zorg anderszins noodzaakt tot nader onderzoek. Met dit voorstel wordt er een grondslag gecreëerd voor het verstrekken van gegevens bij en naar aanleiding van een andere melding. De zinsnede «bij en naar aanleiding van» ziet op twee momenten waarop de verplichting bestaat om gegevens te verstrekken, namelijk bij het indienen van de melding zelf en het onderzoek naar aanleiding van de melding. Zowel bij de indiening van de melding, het (aanvankelijke) onderzoek als het nader onderzoek kan het noodzakelijk zijn om ook gegevens over gezondheid en andere categorieën van bijzondere persoonsgegevens en strafrechtelijke veroordelingen en strafbare feiten te beschikken.

Bij het indienen van de melding is de melder verplicht om bepaalde gegevens te verstrekken, zodat de IGJ kan beoordelen of er aanleiding bestaat om de melding nader te onderzoeken.8 De vereiste gegevens die een melding moet bevatten, zijn vastgelegd in artikel 8.15 van het Uitvoeringsbesluit Wkkgz. Het onderzoek is vervolgens in twee fasen opgedeeld: het «(aanvankelijke) onderzoek» en indien nodig een «nader onderzoek». Het «(aanvankelijke) onderzoek» is gebaseerd op de ingediende melding. Als een melding onvolledig is, wordt er uiteraard gevraagd om aanvulling van de melding. Waar nodig worden aan de melder verduidelijkende vragen gesteld. Het gaat erom dat de IGJ in het (aanvankelijke) onderzoek moet kunnen beoordelen of er aanleiding bestaat de melding nader te onderzoeken. Ook indien de IGJ heeft vastgesteld dat er aanleiding is om een andere melding nader te onderzoeken, zijn de melder en andere betrokken zorgaanbieders en zorgverleners verplicht om de gegevens te verstrekken die nodig zijn om het nader onderzoek te kunnen uitvoeren.

2.2.3 Doorbreking medisch beroepsgeheim

Met dit voorstel worden de betrokken zorgaanbieder en zorgverleners verplicht om onder andere medische gegevens te verstrekken aan de IGJ als deze voor de IGJ noodzakelijk zijn om de andere melding te onderzoeken. Dit kan betekenen dat het medisch beroepsgeheim wordt doorbroken. De bescherming van het medisch beroepsgeheim is een belangrijke waarde in onze samenleving. De bescherming van deze waarde vloeit voort uit de bescherming van het recht op privacy van de cliënt en ook uit het algemene belang van de volksgezondheid, waarin het belangrijk is dat mensen die medische hulp nodig hebben die in moeten kunnen roepen zonder vrees dat zijn aldus beschikbaar komende gezondheidsgegevens op welke wijze dan ook voor andere doelen worden gebruikt. Het beroepsgeheim is een cruciaal aspect van de relatie tussen hulpverlener en cliënt. Met het doorbreken van het medisch beroepsgeheim moet dan ook zeer terughoudend worden omgegaan. Voor die gevallen waarin onder het beroepsgeheim vallende informatie door de zorgverlener op grond van een specifieke wettelijke bepaling toch aan anderen, zoals in casu de IGJ, moet worden verstrekt, kent de wetgeving nadrukkelijk stevige waarborgen voor het geheimhouden van deze gegevens. Indien er geen toestemming is, is voor doorbreking van het medisch beroepsgeheim een wettelijke grondslag nodig. Met deze voorgestelde rechtsgrondslag in de Wkkgz wordt dit gerealiseerd.

2.2.4 Inbreuk op het recht op privacy

Deze rechtsgrondslag is ook nodig omdat de verplichting (bijzondere categorieën van) persoonsgegevens – en overigens ook strafrechtelijke gegevens – af te staan een inbreuk vormt op het recht op privacy. Een inbreuk op dit recht, onder meer geregeld in artikel 8 EVRM, is alleen gerechtvaardigd indien de inbreuk geregeld is in de wet. Voorts geldt – uit oogpunt van de bescherming van het recht op privacy – dat een dergelijke inbreuk alleen gerechtvaardigd is als zij noodzakelijk is in een democratische samenleving met het oog op specifiek in artikel 8 EVRM genoemde belangen.

2.2.5 Noodzakelijkheid, proportionaliteit en subsidiariteit

De verplichting persoonsgegevens, daaronder begrepen medische gegevens en strafrechtelijke gegevens, te verstrekken, wordt in dit wetsvoorstel geregeld, omdat de IGJ nu op belemmeringen stuit in onderzoeken naar andere meldingen. Het is noodzakelijk deze meldingen te onderzoeken omdat deze meldingen situaties kunnen betreffen die voor de veiligheid van cliënten een ernstige bedreiging betekenen of met het oog op het belang van goede zorg – en dus de kwaliteit van de zorg – anderszins noodzaken tot nader onderzoek. Het goed onderzoeken van deze risico’s is noodzakelijk in het belang van de bescherming van de gezondheid.

In de vraag of een verwerking noodzakelijk is, ligt besloten of de verwerking van gegevens proportioneel is en of de verwerking voldoet aan de eis van subsidiariteit. Of de verwerking proportioneel is hangt af van de vraag of het legitieme doel dat wordt nagestreefd in verhouding staat tot het feit dat daarvoor persoonsgegevens moeten worden verwerkt. Dit staat in het onderhavige geval in verhouding, omdat door de gegevensverwerking enerzijds de veiligheid van patiënten en de kwaliteit van de zorg wordt gewaarborgd en anderzijds de daarvoor noodzakelijke inmenging in de privacy van betrokkene tot een minimum zal worden beperkt en is voorzien van waarborgen. In het voorstel is namelijk opgenomen dat de betrokken zorgaanbieder en de zorgverleners alleen die gegevens behoeven te verstrekken die voor het onderzoeken van de andere melding noodzakelijk zijn. Dit impliceert dat de IGJ van situatie tot situatie een afweging zal moeten maken en dat zij zal moeten motiveren dat de gegevens noodzakelijk zijn9. Verder spreekt voor zich dat voorkomen moet worden dat gegevens over de gezondheid van de cliënt, die de IGJ heeft ontvangen van de zorgaanbieder of de zorgverlener, alsnog verder worden verspreid naar derden. Artikel 25, derde lid, Wkkgz voorziet hierin nu is bepaald dat in het geval de IGJ gegevens heeft ontvangen in het kader van het onderzoeken van een (wettelijk verplichte of andere) melding en deze gegevens vallen onder het beroepsgeheim van een zorgverlener, de IGJ ook een geheimhoudingsplicht heeft ten aanzien van deze gegevens. In artikel 25, derde lid, Wkkgz is bepaald dat dit geldt voor meldingen, zodat ook andere meldingen onder dit artikel vallen. Dit artikel behoeft om die reden geen aanpassing.

Subsidiariteit betreft de vraag of het genoemde doel niet op een andere, minder ingrijpende wijze kan worden bereikt. Zoals hiervoor uiteengezet is het vragen van toestemming voor de gegevensverwerking bij het onderzoeken van andere meldingen niet altijd mogelijk of wenselijk. Er zijn geen lichtere methoden dan de wettelijk verplichte afgifte van de gegevens die geringere inbreuk zouden vormen. Daarmee is de inbreuk op het recht op privacy voldoende gerechtvaardigd.

2.3. Gegevensverwerking bij de uitvoering van de kindertelefoon, de luisterlijn en de chat van Veilig Thuis

In de Jeugdwet is opgenomen dat ervoor zorg moet worden gedragen dat jeugdigen kosteloos en anoniem een telefonisch of elektronisch (chat of mail) gesprek kunnen voeren over hun persoonlijke situatie en daarover advies kunnen krijgen.

Deze luisterlijn in het kader van de Jeugdwet is in de praktijk bekend onder het begrip «kindertelefoon». Waar in deze memorie van toelichting specifiek gesproken wordt over de luisterlijn in het kader van de Jeugdwet, wordt daarom de term kindertelefoon gebruikt. Momenteel wordt deze taak uitgevoerd door de Stichting De Kindertelefoon. Stichting De Kindertelefoon voert deze taak kindvriendelijk en laagdrempelig uit en biedt jeugdigen een luisterend oor, geeft antwoorden op vragen of bedenkt samen met de jeugdige een oplossing.

In de Wmo 2015 is een soortgelijke functie opgenomen. Deze hulplijn in het kader van de Wmo 2015 is in de praktijk bekend onder het begrip «de luisterlijn». Momenteel wordt deze functie uitgeoefend door Stichting Sensoor, de landelijke luisterlijn. Op ieder moment van de dag kan kosteloos een telefonisch of chatgesprek worden gevoerd over de persoonlijke situatie of advies worden gevraagd.

In de Wmo 2015 zijn ook de taken van Veilig Thuis opgenomen. Veilig Thuis is tijdens de coronacrisis met een chatfunctie gestart voor mensen die te maken hebben met huiselijk geweld of kindermishandeling. De chatfunctie is speciaal bedoeld voor mensen die door hun thuissituatie niet kunnen bellen. Zij kunnen dan via de chat vragen stellen en een advies krijgen.

De bovenstaande drie functies worden in deze toelichting gezamenlijk aangeduid met de term «hulplijnen».

2.3.1 Aanleiding

Aanleiding voor dit wetsvoorstel is het signaal vanuit de Stichting De Kindertelefoon dat er grondslagen in de Jeugdwet ontbreken voor de gegevensverwerking die noodzakelijk zijn voor de uitvoering van een hulplijn. Het knelpunt is dat de huidige wetteksten uitgaan van anonimiteit. Van anonimiteit in de zin van de AVG is enkel sprake indien elke mogelijkheid tot identificatie van betrokkenen onherroepelijk wordt uitgesloten. Indirecte herleidbaarheid door middel van het telefoonnummer of IP-adres kan, ondanks technische en organisatorische maatregelen, echter niet volledig worden uitgesloten.

Om aan te sluiten bij de feitelijke situatie wordt voorgesteld het woord «anoniem» in de bepalingen die gaan over de kindertelefoon en de luisterlijn te vervangen door «niet direct herleidbaar».

Overigens geldt bovenstaande niet op dezelfde wijze voor de chatfunctie van Veilig Thuis. Ook de chat-functie is niet direct herleidbaar. Echter, in artikel 4.1.1, derde lid, Wmo 2015, waarin is bepaald dat Veilig Thuis advies geeft aan degene die een vermoeden heeft van huiselijk geweld of kindermishandeling, wordt al niet uitgegaan van anonimiteit. Om die reden behoeft deze bepaling geen aanpassing.

2.3.2 Grondslagen voor gegevensverwerking bij de uitvoering van de hulplijnen
De kindertelefoon en de luisterlijn

Het telefoonnummer en het IP-adres van degenen die contact zoeken met de kindertelefoon en de luisterlijn moeten worden verwerkt om deze voorziening mogelijk te maken. Zodra een persoon belt met een hulplijn krijgt de verwerker – de organisatie die zorgt voor de applicaties van de hulplijnen – automatisch het telefoonnummer waarmee wordt gebeld en bij het starten van een chat krijgt de verwerker automatisch het IP-adres van de computer. Dit telefoonnummer of IP-adres kan alleen door de verwerker ingezien worden. De vrijwilliger met wie de persoon het gesprek voert dan wel chat, ziet dit telefoonnummer of IP-adres niet. Deze gegevens zijn versleuteld (gepseudonimiseerd). De verwerker deelt deze gegevens alleen met een medewerker van een hulplijn in zeer uitzonderlijke situaties, zie hiervoor paragraaf 2.3.3. Wel kunnen de vrijwilliger en medewerkers van de kindertelefoon en de luisterlijn in het systeem zien of en zo ja hoe vaak de desbetreffende persoon contact heeft opgenomen10.

Dit zijn goede waarborgen om te voorkomen dat de gegevens herleidbaar zijn naar een persoon. Echter, ook het gebruik van versleutelde gegevens kan niet volledig voorkomen dat deze gegevens kunnen worden herleid naar de persoon om wie het gaat, nu de gegevens, ondanks goede afspraken in de verwerkersovereenkomst, indirect herleidbaar kunnen zijn tot een persoon. Om die reden is geen sprake van anonimiteit in de zin van de AVG en wordt met onderhavig voorstel een grondslag voor de kindertelefoon en de luisterlijn voorgesteld voor de verwerking van het telefoonnummer en het IP-adres van hun gesprekspartners.

De verwerking van het telefoonnummer en het IP-adres zijn ook van belang om oneigenlijk gebruik van de kindertelefoon en de luisterlijn tegen te gaan. Een klein deel van degenen die contact zoekt met deze hulplijnen, doet dat heel vaak en maakt misbruik van de mogelijkheid die de hulplijnen bieden. Voor de kindertelefoon betekende dit dat deze werd overspoeld door jeugdigen die veelvuldig contact wilden. Daardoor kwamen niet alle jeugdigen aan de beurt. De verwerker kan namens de kindertelefoon een time-out geven op basis van een IP-adres of een telefoonnummer en een aantal time-outs kan leiden tot een tijdelijke blokkering van het betreffende IP-adres of telefoonnummer. Het geven van time-outs heeft bijgedragen aan een betere bereikbaarheid van de kindertelefoon. Ditzelfde geldt voor het instellen van maximaal vier keer bellen per dag en het introduceren van een wachtrij. Ook hierbij wordt het telefoonnummer of het IP-adres van de jeugdige verwerkt. Het IP-adres en telefoonnummer worden zes weken voor bovenstaande doelen opgeslagen en worden daarna gepseudonimiseerd.

Voor de luisterlijn geldt ook dat voor het optimaliseren van de bereikbaarheid het verwerken van het IP-adres en het telefoonnummer noodzakelijk is. Een gesprekspartner ontvangt als hij reeds vier gesprekken met de luisterlijn heeft gehad en een vijfde keer een gesprek tot stand wil doen komen, de boodschap te horen dat hij zijn maximumaantal gesprekken voor die dag heeft gehad. Bij (veelvuldig) oneigenlijk gebruik of ernstig grensoverschrijdend gedrag kan een gesprekspartner voor de duur van zes maanden worden geblokkeerd.

Naast de grondslag voor de kindertelefoon en de luisterlijn om het IP-adres dan wel het telefoonnummer van degene die contact opneemt te verwerken, zijn de volgende grondslagen noodzakelijk om hun taak te kunnen uitoefenen.

Ten eerste wordt een grondslag voorgesteld op basis waarvan er (bijzondere categorieën van) persoonsgegevens kunnen worden verwerkt door de vrijwilliger in de chats dan wel door de verwerker. Deze situatie doet zich voor als de persoon die contact zoekt met de kindertelefoon of de luisterlijn uit eigen beweging (bijzondere categorieën van) persoonsgegevens heeft gedeeld met de vrijwilliger. Deze grondslag is noodzakelijk voor de chat, omdat het delen van informatie in een chatgesprek direct is aan te merken als een verwerking in de zin van de AVG, aangezien er sprake kan zijn van (indirecte) herleidbaarheid en de gesprekken bijvoorbeeld ook over (geestelijke) gezondheid kunnen gaan. Ondanks de technische en organisatorische maatregelen om herleidbaarheid te voorkomen, waarbij de vrijwilliger geen inzage heeft in het IP-adres, is er bij de verwerkers, de kindertelefoon en de luisterlijn, zowel informatie beschikbaar op basis waarvan een persoon indirect kan worden herleid (het IP-adres) als informatie over bijvoorbeeld de gezondheid. De vrijwilliger van de kindertelefoon en de luisterlijn verwerkt gepseudonimiseerde gegevens en gelet op de AVG is voor deze verwerking een grondslag en uitzondering op het verwerkingsverbod noodzakelijk vanwege de mogelijkheid dat de gegevens naar een persoon herleidbaar zijn.

Overigens is deze grondslag bij telefoongesprekken niet noodzakelijk. Een telefoongesprek is niet aan te merken als een verwerking in de zin van de AVG en de gesprekken worden niet opgeslagen. Bij de kindertelefoon worden van de telefoongesprekken ook geen verslag gemaakt. De vrijwilligers van de luisterlijn maken van de telefoongesprekken wel een verslag, maar nemen hierin geen (bijzondere categorieën van) persoonsgegevens op. Het tijdstip van bellen, de lengte van het gesprek, de herkomstregio van de beller en de ingang (nummer van de hulplijn) welke is gekozen, kan zichtbaar worden gemaakt voor stafmedewerkers.

Het gespreksverslag dat van het telefoongesprek wordt gemaakt en de chat worden gekoppeld aan het pseudoniem (het gehashte telefoonnummer of IP-adres). In tegenstelling tot een gespreksverslag kunnen in een chat wel (bijzondere categorieën van) persoonsgegevens staan. De reden hiervoor is dat chats woordelijk worden opgeslagen. Hoewel de chats niet direct terug te leiden zijn naar een persoon, zijn het telefoonnummer en het IP-adres gehasht en om die reden is herleidbaarheid naar een persoon niet uitgesloten. Om die reden is het verwerken van gepseudonimiseerde gegevens alleen mogelijk met een wettelijke grondslag.

Ten tweede wordt een grondslag voorgesteld die ziet op de verwerking van (bijzondere categorieën van) persoonsgegevens in chats door daarvoor geautoriseerde medewerkers met als doel dat de kindertelefoon en de luisterlijn hun taak doelmatig en doeltreffend kunnen uitvoeren. Dit zijn voor de kindertelefoon de werkbegeleiders en voor de luisterlijn de superuser en de trainer. Voor hen blijven de chats gepseudonimiseerd drie maanden zichtbaar in de productieomgeving van het systeem. Zij kunnen deze teruglezen ten behoeve van opleidingsdoeleinden en intervisie. Deze personen kunnen aan de hand van één chat ook eventueel eerdere chats van dezelfde persoon die contact zocht met de kindertelefoon of de luisterlijn terugkijken. Ten behoeve van de opleiding en ontwikkeling van de vrijwilligers kan de daartoe geautoriseerde persoon inloggen en daarmee kan hij al de vrijwilligers volgen. De vrijwilliger krijgt feedback middels een gesprek en/of een feedbackformulier. In dit formulier worden geen persoonsgegevens gedeeld. De bevoegde medewerker kan ook meelezen met de chats. Om die reden is het opnemen van een grondslag ten behoeve van de verwerking van (bijzondere) categorieën van persoonsgegevens door deze geautoriseerde medewerkers in chats noodzakelijk. Deze grondslag ziet ook op gegevensverwerking bij de kindertelefoon in het kader van periodiek onderzoek. Ten behoeve van de doelmatige en doeltreffende uitvoering van de dienstverlening kunnen via dit onderzoek trends onder kinderen worden gesignaleerd. Op basis van de uitkomsten kunnen methodieken worden aangepast en bereikbaarheid worden geoptimaliseerd. Vervolgens kunnen de trends ook geanonimiseerd worden geadresseerd richting de samenwerkingspartners in het sociaal domein en de samenleving. Met deze grondslag is de kindertelefoon bevoegd gepseudonimiseerd gegevens te verwerken ten behoeve van dit doel.

Tot slot wordt een specifieke grondslag opgenomen voor de kindertelefoon en de luisterlijn voor de verwerking van (bijzondere categorieën van) persoonsgegevens door geautoriseerde medewerkers bij klachtafhandeling. Bij behandeling van klachten is informatie nodig van de klager. Er kan bijvoorbeeld een klacht worden ingediend over grensoverschrijdend gedrag van een vrijwilliger. Degene die een klacht indient, stuurt een e-mail naar de kindertelefoon en legt daarbij uit waarover de klacht gaat. Op de website van de kindertelefoon wordt vermeld dat een klager dan niet langer anoniem is. Ook kan de eventuele verwerking van persoonsgegevens niet gepseudonimiseerd plaatsvinden. Aan de hand van de klacht start de daartoe bevoegde persoon van de kindertelefoon een onderzoek om zo tot een goede reactie op de klacht te komen. Als een persoon een klacht indient bij de luisterlijn, wordt gevraagd om op het formulier het tijdstip van bellen of van chatten te vermelden. Aan de hand daarvan gaat de daartoe bevoegde persoon van de luisterlijn zoeken en kan hij zien met welke vrijwilliger deze persoon contact heeft gehad. Ook kan het gespreksverslag of de chat en eventuele daaraan voorafgaande gespreksverslagen en chats worden teruggelezen. Indien er door de klager geen de contactgegevens worden ingevuld, geschiedt er geen terugkoppeling maar gebruikt de luisterlijn de informatie wel voor kwaliteitsverbetering.

Chatfunctie Veilig Thuis

Met het voorgestelde derde lid van artikel 5.1.6 Wmo 2015 wordt voor Veilig Thuis een grondslag gecreëerd om persoonsgegevens te kunnen verwerken die zijn opgenomen in de chat. Ook bij Veilig Thuis zijn het telefoonnummer en het IP-adres noodzakelijk voor het leggen van contact. Net als bij de kindertelefoon en de luisterlijn is voorzien in de nodige waarborgen. Voor medewerkers van Veilig Thuis zijn het telefoonnummer en het IP-adres versleuteld. De verwerker beschikt als enige wel over deze gegevens. Net als bij de andere hulplijnen worden deze gegevens alleen in uitzonderlijke situaties met de politie of de officier van justitie gedeeld. Anders dan ten behoeve van de kindertelefoon en de luisterlijn is in artikel 5.1.6, eerste lid, Wmo 2015 reeds een grondslag opgenomen dat Veilig Thuis persoonsgegevens, waaronder het telefoonnummer en het IP-adres, mag verwerken ten behoeve van de goede vervulling van onder meer de adviesfunctie.

Er ontbreekt in de huidige wetgeving echter een grondslag om bijzondere categorieën van persoonsgegevens te verwerken door Veilig Thuis in het kader van haar adviesfunctie. Veilig Thuis zal nooit aan degene met wie zij chat in verband met haar adviesfunctie vragen om direct naar de persoon herleidbare (bijzondere categorieën van) persoonsgegevens. Wel heeft Veilig Thuis uiteraard een beschrijving van de situatie nodig, waarin regelmatig (bijzondere categorieën van) persoonsgegevens zijn opgenomen. Verder kan het ook voorkomen dat een persoon uit eigen beweging persoonsgegevens meedeelt die direct naar diegene herleidbaar zijn. Aangezien Veilig Thuis zelf niet beschikt over het telefoonnummer en het IP-adres van degene die contact zoekt, gaat het normaliter om de verwerking van gepseudonimiseerde gegevens. Zoals uit het voorgaande blijkt, is ook voor de verwerking van gepseudonimiseerde gegevens op grond van de AVG een grondslag noodzakelijk. Net als bij de andere hulplijnen geldt ook voor Veilig Thuis dat het vragen van toestemming geen passend alternatief is.

Overigens gaat het in dat geval alleen om de verwerking van die gegevens in de chats. In het kader van haar adviesfunctie kan met Veilig Thuis ook telefonisch contact worden opgenomen. De Wmo 2015 kent daarvoor reeds de benodigde grondslagen. Zoals ook uit het voorgaande blijkt, is een telefoongesprek niet aan te merken als een verwerking in de zin van de AVG. De medewerker van Veilig Thuis die het telefoongesprek voert maakt wel een verslag van het gesprek, maar neemt daar geen bijzondere categorieën van persoonsgegevens in op. Van ieder advies worden volgens een vast format gegevens vastgelegd. Deze registratie staat op naam van de adviesvrager, tenzij de adviesvrager aangeeft anoniem te willen blijven.

2.3.3 Vertrouwelijkheid

Een belangrijke voorwaarde voor de laagdrempelige toegankelijkheid van de hulplijnen is dat mensen gesprekken kunnen blijven voeren die niet direct tot hen kunnen worden herleid. Betrokkenen zijn niet verplicht te vertellen hoe ze heten. Het komt voor dat betrokkenen informatie delen in een chatgesprek die op zichzelf of in samenhang herleidbaar zijn naar henzelf of een ander. Bijvoorbeeld een e-mailadres of de naam van de school. De medewerker of vrijwilliger signaleert dit zodat deze herleidbare gegevens vervolgens kunnen worden verwijderd uit de chatgeschiedenis.

De huidige mate van vertrouwelijkheid in de praktijk blijft onverkort van toepassing. Ook worden er geen dossiers bijgehouden. Medewerkers en vrijwilligers hebben geen toegang tot de telefoonnummers en IP-adressen en delen in beginsel met niemand wat er is besproken. In een aantal situaties wordt informatie toch gedeeld met derden. In het geval van een mogelijke situatie van huiselijk geweld of kindermishandeling kan de kindertelefoon bijvoorbeeld met toestemming van de jeugdige samen bellen met Veilig Thuis. Zodra het contact met Veilig Thuis tot stand is gebracht, zal de medewerker van de kindertelefoon het contact verbreken en er «tussenuit stappen».

In uitzonderlijke gevallen wordt het telefoonnummer of IP-adres opgevraagd en verstrekt aan derden. Dit komt zeer zelden voor: alleen bij dringende veiligheidsredenen. Het gaat hier om de situaties als bedoeld in artikel 160 van het Wetboek van strafvordering. Denk hierbij aan situaties waarin er een reëel risico is op moord, doodslag of een terroristische aanslag. In eerste instantie wordt geprobeerd de persoon zelf hulp in te laten schakelen (met name bij gevaar voor zichzelf). Lukt dat niet en is er sprake van een ernstig gevaar (met name bij een gevaar voor derden) dat alleen kan worden afgewend door derden in te schakelen, dan wordt afgewogen of het gevaar zo groot is dat het doorbreken van de vertrouwelijkheid in verhouding staat tot het gevaar (proportionaliteit) en dat het gevaar niet met een minder ingrijpend alternatief kan worden afgewend (subsidiariteit). Als dat zo is, dan kan informatie gedeeld worden. Bij inschakeling van de politie wordt eerst de urgentie van de situatie getoetst door daartoe aangewezen medewerkers en – indien de urgentie dat toelaat – via anonieme toetsing bij de politie. Alleen wanneer de ernst van de situatie daarom vraagt, wordt door een daartoe aangewezen medewerker van de hulplijn het telefoonnummer of IP-adres opgevraagd bij de verwerker en vervolgens aan de politie verstrekt. Inhoudelijke informatie uit de chat wordt alleen gedeeld op vordering van de officier van justitie.

2.3.4 Noodzakelijkheid, proportionaliteit en subsidiariteit

Hierboven is uiteengezet waarom de grondslagen voor gegevensverwerking bij de uitvoering van hulplijnen en de chatfunctie Veilig Thuis noodzakelijk zijn. Zonder de in deze toelichting beschreven verwerkingen kan de voorziening niet bestaan. Het telefoonnummer of IP-adres is nodig om het telefoongesprek of chat tot stand te brengen. In de beschrijving van de situatie in de chat moet de informatie over de situatie kunnen worden beschreven, ook als daarin bijzondere categorieën van persoonsgegevens of gegevens van strafrechtelijke aard genoemd worden. De gegevensverwerking is daarnaast proportioneel omdat het doel, namelijk mensen middels hulplijnen helpen met een persoonlijke situatie, in verhouding staat tot de daarvoor noodzakelijke inmenging in de privacy van de betrokkenen. Zoals hierboven omschreven wordt de gegevensverwerking tot een minimum beperkt en zijn er verschillende waarborgen om te voorkomen dat de gegevens herleidbaar zijn naar een persoon. Daarnaast is door de Stichting De Kindertelefoon onderzocht of de verwerkingen kunnen worden gebaseerd op toestemming. Uit onderzoek blijkt dat dit hoge drempels opwerpt voor jeugdigen. Terwijl het uitgangspunt van de kindertelefoon nu juist is dat er een laagdrempelige manier moet zijn voor jongeren om advies te vragen of hun problemen kwijt te kunnen. Dit uitgangspunt geldt ook voor de luisterlijn. Om die reden is het voorstel om de wettelijke regelingen over de hulplijnen aan te vullen met specifieke grondslagen voor de verwerking van (bijzondere categorieën van) persoonsgegevens. Er is dus tevens voldaan aan het vereiste van subsidiariteit.

2.4. Aanscherping taakomschrijving Veilig Thuis en verduidelijking, verbetering en aanvulling van grondslagen voor gegevensverwerking door Veilig Thuis

2.4.1 Aanscherping taakomschrijving Veilig Thuis

Voorgesteld wordt om de taakomschrijving van Veilig Thuis in artikel 4.1.1, tweede lid, Wmo 2015, aan te scherpen. Sinds de inwerkingtreding van de Wmo 2015 heeft Veilig Thuis samen met de partijen in de strafrechtketen een solide aanpak van huiselijk geweld en kindermishandeling ontwikkeld. Daarbij is de samenwerking tussen de partijen in de strafrechtketen en Veilig Thuis, op belangrijke momenten in de vroegtijdige afstemming bij samenloop van het zorg- en het strafdomein van cruciaal belang voor de aanpak van huiselijk geweld en kindermishandeling. Denk hierbij aan de afstemming in het ZSM-proces (Zorgvuldig, Snel en op Maat) als een verdachte is gehoord of aangehouden, maar ook op andere momenten zoals bij dreigend (risico op) gevaar als er (nog) geen verdachte is aangehouden (het Actieoverleg).

Voorheen werd niet gelijktijdig maar na elkaar afgestemd. Dat wil zeggen: Veilig Thuis verstrekte informatie aan de politie en de politie gaf deze informatie indien nodig door aan het openbaar ministerie, de reclassering en Slachtofferhulp Nederland. In de afgelopen jaren is gebleken dat deze manier van afstemmen onvoldoende bijdraagt aan het stoppen en duurzaam oplossen van geweld in gezinnen en huishoudens. De kans op escalatie of herhaling van het geweld wordt kleiner wanneer er naar aanleiding van een melding afstemming mogelijk is tussen de betrokken partners, om bijvoorbeeld afspraken te maken over de inzet van interventies om het geweld te stoppen en te voorkomen. Dit kunnen justitiële interventies betreffen én interventies vanuit de zorg. De inzet van deze interventie(s) is op elkaar afgestemd. Het eerder, beter en gezamenlijk optrekken van de partners maakt de kans op duurzaam herstel van de veiligheid groter. Dit komt de effectiviteit van de aanpak van huiselijk geweld en kindermishandeling ten goede.

Het gezamenlijke doel van partijen is om zicht te krijgen op de onveiligheid en het herstellen van de veiligheid van het slachtoffer van huiselijk geweld of kindermishandeling. Iedere partij heeft een eigen rol in deze momenten van afstemming. De rol van Veilig Thuis daarbij volgt uit de in artikel 4.1.1 Wmo 2015 opgenomen taken van Veilig Thuis in de beëindiging of de doorbreking van huiselijk geweld en kindermishandeling. De vroegtijdige afstemming draagt daartoe in belangrijke mate bij. De ontwikkelde aanpak van huiselijk geweld en kindermishandeling is nu, anders dan ten tijde van de totstandkoming van de Wmo 2015, dusdanig uitgekristalliseerd, dat het mogelijk is die ook tot uiting te brengen in de formulering van artikel 4.1.1, tweede lid, Wmo 2015. De huidige formulering geeft in de praktijk onduidelijkheid over met welke partijen in de strafrechtketen gegevens mogen worden gedeeld als dit noodzakelijk is voor het stoppen en duurzaam oplossen van situaties van huiselijk geweld en kindermishandeling. In dat verband is gekozen voor een uitbreiding van genoemd artikel, door een aantal partijen waarvan in de praktijk gebleken is dat deze van belang zijn, expliciet te benoemen.

Verder wordt voor de volledigheid opgemerkt dat Veilig Thuis na een zorgvuldige afweging bevoegd is bij bovengenoemde partijen informatie op te vragen ter beoordeling van de vraag of en zo ja, tot welke stappen een melding van huiselijk geweld of kindermishandeling aanleiding geeft. Deze gegevensverwerking is reeds geregeld in artikel 4.1.1, tweede lid, onder c, Wmo 2015, in verbinding met artikel 5.1.6, tweede lid, Wmo 2015. Daarbij hanteert Veilig Thuis het Handelingsprotocol Veilig Thuis.11

2.4.2 Noodzaak, proportionaliteit en subsidiariteit

Om in het belang van de veiligheid van betrokkenen tot een goede afstemming te komen, kan het noodzakelijk zijn voor Veilig Thuis om persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard, te verstrekken aan partijen in de strafrechtketen.

Deze gegevensverwerking is proportioneel. Het legitieme doel dat wordt nagestreefd staat in verhouding tot de gegevensverwerking, omdat door de gegevensverwerking enerzijds de veiligheid van betrokkenen wordt gewaarborgd en anderzijds de daarvoor noodzakelijke inmenging in de privacy van betrokkenen tot een minimum is beperkt. Veilig Thuis beoordeelt per voorliggende casus aan welke partijen – afhankelijk van het soort afstemmingsoverleg – het noodzakelijk is gegevens te verstrekken. Indien het bij voorbaat duidelijk is dat verstrekking aan slechts een of twee partijen noodzakelijk is, dan worden enkel gegevens aan die partijen verstrekt. Daarnaast is voldaan aan het vereiste van subsidiariteit, omdat het genoemde doel kan niet op een andere, minder ingrijpende wijze worden bereikt.

2.4.3 Verduidelijking grondslag gegevensverwerking voor beleidsinformatie en gevalsbehandeling

Artikel 4.2.12 Wmo 2015 bevat een grondslag voor het verstrekken van gegevens door Veilig Thuis aan het college, aan de Minister van VWS en aan de Minister voor Rechtsbescherming ten behoeve van beleidsinformatie. In het Uitvoeringsbesluit Wmo 2015 is bepaald dat deze gegevens door Veilig Thuis bij het Centraal Bureau voor de Statistiek (hierna: CBS) worden aangeleverd, als het gaat om een structurele verstrekking. Daarnaast is in het Uitvoeringsbesluit Wmo 2015 opgenomen welke gegevens voor beleidsinformatie worden verstrekt. Een incidentele verstrekking op grond van artikel 4.2.12 Wmo 2015 betreft geen persoonsgegevens.

Naast de grondslag voor het verstrekken van gegevens inzake beleidsinformatie bevat artikel 4.2.12 Wmo 2015 in samenhang met artikel 7.4.0, eerste lid, Jeugdwet, onder andere een grondslag voor het verstrekken van persoonsgegevens aan het college met als doel dat het college kan beoordelen of een bepaalde voorziening nodig is voor een specifieke cliënt (de zgn. «gevalsbehandeling»). Het gaat derhalve om grondslagen voor gegevensverstrekking voor twee verschillende doelen. Dat wil zeggen dat de gegevens ten behoeve van beleidsinformatie niet mogen worden gebruikt voor de gevalsbehandeling. Dat is ook niet mogelijk omdat de structurele gegevensverstrekking daarvoor via het CBS loopt en het bij de incidentele verstrekking blijkens het Uitvoeringsbesluit Wmo 2015 niet om persoonsgegevens kan gaan.

In de praktijk wordt ervan uitgegaan dat artikel 4.2.12 Wmo 2015 voor beide categorieën gegevens een grondslag biedt voor verstrekking van zowel gegevens inzake huiselijk geweld als gegevens inzake kindermishandeling. Nu het huidige artikel 4.2.12 Wmo 2015 echter alleen verwijst naar de Jeugdwet – die slechts van toepassing is in gevallen waarin jeugdigen zijn betrokken – wordt voorgesteld om de grondslagen voor gegevensverwerking in artikel 4.2.12 Wmo 2015 te verduidelijken.

Met de voorgestelde wijziging van het artikel 4.2.12 Wmo 2015 wordt voor de gegevens ten behoeve van beleidsinformatie de verwijzing naar de Jeugdwet vervangen door een eigenstandige grondslag voor het verstrekken van gegevens inzake zowel huiselijk geweld als kindermishandeling. Het is niet de bedoeling om met de voorgestelde wijziging de reikwijdte van artikel 4.2.12 Wmo 2015 te beperken. Met deze wijziging wordt slechts beoogd om te expliciteren dat de grondslag niet alleen geldt voor het verstrekken van gegevens inzake kindermishandeling, maar dat deze ook geldt voor gegevensverstrekking inzake huiselijk geweld.

Voor de verstrekking van gegevens inzake «gevalsbehandeling» wordt voorgesteld om een verwijzing naar artikel 5.1.1 Wmo 2015 toe te voegen, zodat duidelijk is dat ook in geval van een melding van huiselijk geweld waarbij geen jeugdigen betrokken zijn persoonsgegevens aan het college kunnen worden verstrekt. Op basis van deze gegevens kan het college beoordelen of een maatwerkvoorziening nodig is.

2.4.4 Overige wijzigingen

Met dit wetsvoorstel wordt tevens voorgesteld de grondslag voor het verwerken van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard door Veilig Thuis in artikel 5.1.6, tweede lid, Wmo 2015, te verbeteren. Uit de wettekst blijkt namelijk niet duidelijk dat er naast gegevens over gezondheid ook andere bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard door Veilig Thuis mogen worden verwerkt.

Veilig Thuis kan naast persoonsgegevens van strafrechtelijke aard die zij van de politie en het openbaar ministerie ontvangt, dergelijke gegevens ook verwerken van Halt en de reclassering. Vereist daarvoor is steeds dat uit een melding een redelijk vermoeden van huiselijk geweld of kindermishandeling wordt afgeleid en de verwerking van die gegevens noodzakelijk is.

Daarnaast wordt voorgesteld de grondslag voor het gebruik van het burgerservicenummer (hierna: BSN) door Veilig Thuis in artikel 5.2.9 te verbeteren.

Tot slot wordt voorgesteld artikel 5.3.4, tweede lid, inzake de voor Veilig Thuis voorgeschreven bewaartermijn voor persoonsgegevens aan te passen, zodat deze beter aansluit bij de praktijk. Dit wordt toegelicht in de artikelsgewijze toelichting bij artikel III, onderdeel L.

2.5. Delegatiegrondslag verwerking persoonsgegevens IBES

Met dit onderdeel wordt voorgesteld de delegatiegrondslag van artikel 18.4.5, eerste lid, onderdeel e, van de Invoeringswet BES aldus aan te vullen, dat op grond daarvan ook regels met betrekking tot de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens, kunnen worden gesteld. Dat artikelonderdeel houdt thans in dat bij of krachtens algemene maatregel van bestuur (hierna: amvb) regels kunnen worden gesteld met betrekking tot het bieden van maatschappelijke opvang en vrouwenopvang (hierna: opvang) en het voeren van beleid ter bestrijding van geweld dat door iemand uit de huiselijke kring van het slachtoffer is gepleegd (hierna: huiselijk geweld).

Op grond van artikel 10 van de Grondwet heeft een ieder, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. Tevens bevat artikel 10 een opdracht aan de wetgever regels te stellen ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Voor Caribisch Nederland is aan de opdracht gevolg gegeven door de vaststelling van de Wet bescherming persoonsgegevens BES (hierna: Wbp BES). De Wbp BES bevat algemene normen voor een zorgvuldige omgang met persoonsgegevens en bepaalt onder andere dat de verwerking op een zorgvuldige en behoorlijke wijze plaats dient te vinden en dat het verzamelen van persoonsgegevens met als doel deze in een bestand op te nemen, alleen is toegestaan voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Artikel 8 Wbp BES geeft een limitatieve opsomming van de gronden die een gegevensverwerking rechtvaardigen. Artikel 8, onderdeel c, Wbp BES bepaalt dat persoonsgegevens verwerkt mogen worden indien verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen. Een dergelijke verplichting kan ook bij amvb worden opgelegd. Artikel 16 Wbp BES bepaalt dat de verwerking van bijzondere persoonsgegevens is verboden, tenzij aan bepaalde voorwaarden is voldaan. Voor specifieke bijzondere persoonsgegevens zijn uitzonderingen op dit verbod opgenomen in artikel 17 tot en met 22. Artikel 21 bevat een uitzondering op het verbod voor gegevens betreffende gezondheid. Het eerste lid, onderdeel a, van dat artikel bepaalt dat het verbod niet van toepassing is indien de verwerking geschiedt door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. Indien het in verband met het bieden van maatschappelijke ondersteuning noodzakelijk is om bijzondere persoonsgegevens te verwerken zal het met name gaan om het verwerken van gegevens over de gezondheid. Daarvoor biedt artikel 21 Wbp BES een grondslag. Voor zover het voor deze hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening tevens nodig is om andere bijzondere persoonsgegevens te verwerken met het oog op een goede behandeling of verzorging van de betrokkene, kan dat op grond van het derde lid van artikel 21 Wbp BES.

De verwerking van bijzondere persoonsgegevens in het kader van huiselijk geweld kan niet worden gebaseerd op artikel 21 Wbp. Artikel 23, eerste lid, onder e, Wbp BES, bepaalt dat het verbod om bijzondere persoonsgegevens te verwerken niet van toepassing is, voor zover de verwerking noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen ter bescherming van de persoonlijke levenssfeer worden geboden en dit bij wet bepaald wordt dan wel de Commissie toezicht bescherming persoonsgegevens BES ontheffing heeft verleend.

Aansluitend bij de systematiek van hoofdstuk 6 van de IBES wordt het met voorgesteld artikel mogelijk gemaakt om in de amvb over de bestrijding van huiselijk geweld tevens regels te stellen over de in dat kader noodzakelijke verwerking van bijzondere persoonsgegevens. In hoofdstuk 6 van de IBES zijn delegatiegrondslagen opgenomen op grond waarvan op een aantal beleidsterreinen regels bij of krachtens amvb kunnen worden gesteld. Zo bevat artikel 18.4.5 eerste lid, onderdeel e, van de IBES, een delegatiegrondslag voor het stellen van regels over opvang en het bestrijden van huiselijk geweld. Deze delegatiegrondslag zou voor het bestrijden van huiselijk geweld zinloos zijn als daarbij niet tevens kan worden voorzien in regels voor het verwerken van bijzondere persoonsgegevens. Het is voor het zwaarwegende algemeen belang van een effectieve bestrijding van huiselijk geweld immers noodzakelijk om persoonsgegevens van degenen die bij dat geweld betrokken zijn te kunnen verwerken. Daarbij zal het veelal gaan om bijzondere persoonsgegevens, zoals bijvoorbeeld strafrechtelijke gegevens of gegevens over het seksuele leven van de vermoedelijk pleger van het huiselijk geweld. Aldus beschouwd wordt met de voorgestelde bepaling een omissie van de wetgever hersteld.

2.5.1 Noodzakelijkheid, proportionaliteit en subsidiariteit

Hierboven is uiteengezet dat het vanwege het zwaarwegende algemeen belang van een effectieve bestrijding van huiselijk geweld noodzakelijk is om persoonsgegevens van degenen die bij dat geweld betrokken zijn te kunnen verwerken. Voor het snel en adequaat kunnen bieden van hulp en het beëindigen van huiselijk geweld is de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens, onvermijdelijk. Er zijn geen minder ingrijpende manieren om het betrokken doel van snelle en adequate hulp aan slachtoffers van huiselijk geweld te realiseren. Er is dus tevens voldaan aan het vereiste van subsidiariteit. Indien op grond van deze delegatiegrondslag regels worden gesteld voor het verwerken van bijzondere persoonsgegevens bij de bestrijding van huiselijk geweld zal er aandacht moeten zijn voor het vereiste van proportionaliteit. Zo zullen er passende waarborgen moeten worden gesteld ter bescherming van de persoonlijke levenssfeer.

2.6. Hergebruik gegevens Wzd voor Wlz door CIZ

Vanuit het oogpunt van het belang van de veelal kwetsbare cliënt en belanghebbende is in de Wzd een grondslag opgenomen op basis waarvan het CIZ bij de behandeling van een aanvraag voor een besluit tot opname en verblijf of een rechterlijke machtiging als bedoeld in de Wzd gebruik mag maken van de informatie die aan het CIZ is verstrekt voor de beoordeling van het recht op zorg, bedoeld in de Wlz (artikelen 22, achtste lid, en 26, tweede lid, Wzd). Voorgesteld wordt om in de Wlz een vergelijkbare wijziging op te nemen, zodat het CIZ bij de behandeling van een aanvraag voor het vaststellen van het recht op zorg in het kader van de Wlz gebruik mag maken van de informatie die aan het CIZ is verstrekt bij de beoordeling van een aanvraag voor een besluit tot opname en verblijf, een rechterlijke machtiging, of een machtiging tot voortzetting van de inbewaringstelling als bedoeld in de Wzd. Tevens wordt voorgesteld op te nemen dat ook de informatie die is opgenomen in een advies aan de officier van justitie als bedoeld in artikel 28a Wzd mag worden gebruikt bij de behandeling van een aanvraag voor het vaststellen van het recht op zorg in het kader van de Wlz. Deze informatie kan bestaan uit persoonsgegevens, waaronder gegevens over gezondheid, maar ook uit andere bijzondere categorieën van persoonsgegevens. Cliënten kunnen alle informatie die zij van belang achten voor de beoordeling van het recht op zorg met het CIZ delen. Ook worden regelmatig zorgplannen gedeeld, waarin mogelijk veel persoonlijke informatie is opgenomen, bijvoorbeeld met betrekking tot levensovertuiging, geaardheid en lidmaatschappen. Op het moment dat het CIZ de informatie ontvangt en tot zich neemt, is al sprake van verwerking in de zin van de AVG. Vanzelfsprekend vraagt het CIZ uitsluitend de relevante gegevens op.

In veel gevallen wordt bij het CIZ een aanvraag voor het recht op zorg op grond van de Wlz tegelijkertijd ingediend met een aanvraag voor een besluit tot opname en verblijf als bedoeld in de Wzd. Bij een dergelijke gecombineerde aanvraag mag de aangeleverde informatie voor zowel de beoordeling in de Wlz als Wzd worden gebruikt.

Het komt echter ook met enige regelmaat voor dat er een aanvraag voor het recht op zorg als bedoeld in de Wlz wordt gedaan voor een cliënt voor wie eerder een besluit tot opname en verblijf is afgegeven, dan wel voor wie eerder een verzoek tot een rechterlijke machtiging of een verzoek tot het verlenen van een machtiging tot voortzetting van de inbewaringstelling is ingediend. De zorg en het verblijf die vanuit de Wzd wordt geleverd, is onlosmakelijk verbonden met de zorg en het verblijf die in veel gevallen vanuit de Wlz worden geleverd en beiden worden door het CIZ getoetst of geïndiceerd. Immers, de Wlz vormt hier de bekostigingstitel van de zorg die vanuit de Wzd wordt geleverd.

Ten slotte kan er ook sprake zijn van iemand voor wie het CIZ een advies aan de officier van justitie heeft gegeven in het kader van de Wet forensische zorg. Op het moment dat de officier van justitie overweegt een verzoekschrift voor een rechterlijke machtiging in te dienen met toepassing van artikel 2.3, tweede lid, Wet forensische zorg, verzoekt hij het CIZ om een schriftelijk advies over de noodzaak voor een rechterlijke machtiging en over de tenuitvoerlegging daarvan als bedoeld in artikel 28a Wzd. In haar advies aan de officier van justitie geeft het CIZ aan of het van oordeel is dat voldaan wordt aan de criteria van de Wzd en of sprake is van een indicatie op grond van de Wlz en bij gebreke daarvan, wat daarvoor de reden is en in welk zorgdomein betrokkene wel valt. Als de betrokkene niet in het bezit is van een Wlz-indicatie, maar het CIZ oordeelt wel dat een Wlz-indicatie kansrijk is, zal er in bijna alle gevallen een Wlz-indicatie volgen. In dat geval zal de zorgaanbieder die de cliënt heeft opgenomen het CIZ om een ambtshalve Wlz-indicatie voor de duur van de rechterlijke machtiging verzoeken.12 Nu de rechter al een uitspraak heeft gedaan, en de rechtspositie van de cliënt derhalve niet wordt aangetast, is het een administratieve lastenverlichting om deze gegevens te mogen hergebruiken en komt de levering van de benodigde zorg aan de cliënt niet in het gedrang doordat administratieve handelingen nog niet zijn uitgevoerd.

2.6.1 Noodzakelijkheid, proportionaliteit en subsidiariteit

Hierboven is uiteengezet dat het nodig is om de informatie waarover het CIZ al beschikt in het kader van de Wzd, te hergebruiken in het kader van de Wlz om cliënten, hun naasten of andere instanties administratief zo min mogelijk te belasten en de benodigde zorg te kunnen leveren. Dit is gerechtvaardigd en proportioneel gelet op de spoedeisendheid die in al deze situaties speelt. Ook zorgt dit voor minder administratieve lasten zonder dat dit de rechtspositie van de cliënt aantast. Immers, bij al deze cliënten is al door het CIZ en de rechter vastgesteld dat opname noodzakelijk is om ernstig nadeel te voorkomen of af te wenden. Het hergebruik vindt plaats om de hiervoor benodigde bekostigingstitel vanuit de Wlz voor de opname te realiseren. Er zijn geen minder ingrijpende manieren om tot ditzelfde resultaat te komen.

2.7. Grondslag gegevensverwerking in de Kaderwet VWS-subsidies

De meeste subsidies die door de Minister van VWS worden verstrekt zijn gebaseerd op de Kaderwet VWS-subsidies. In de praktijk wordt er bij het uitvoeren van bepaalde subsidieregelingen tegenaan gelopen dat er geen grondslag is op grond van artikel 6, eerste lid, van de AVG om persoonsgegevens te verwerken en ook is er geen uitzondering op het verbod van artikel 9, eerste lid, van de AVG om bijzondere categorieën van persoonsgegevens te verwerken. Dit speelt onder meer bij de beoordeling van een subsidieaanvraag en bij het verlenen dan wel vaststellen van een subsidie.

In uitzonderlijke gevallen kan een subsidie worden aangevraagd door een natuurlijk persoon. Vaker echter worden subsidies aangevraagd door en verleend aan zorgorganisaties ten behoeve van een natuurlijk persoon, zoals de Subsidieregeling medisch noodzakelijke zorg aan onverzekerden (hierna: Subsidieregeling onverzekerden). In die gevallen moeten in de regel ook persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens, van de betrokkene zelf of van een derde worden verwerkt. Als de subsidieregeling ligt op het terrein van volksgezondheid is het vrijwel altijd nodig dat wordt aangegeven uit welk domein de betrokkene zorg ontvangt en enkel dit gegeven is al aan te merken als een bijzonder persoonsgegeven. Zonder deze gegevens kan niet worden beoordeeld of de aanvrager in aanmerking komt voor de subsidie. Naast het verwerken van gezondheidsgegevens kan het bij de beoordeling, verlening en vaststelling van subsidies ook noodzakelijk zijn andere bijzondere categorieën van persoonsgegevens te verwerken, zoals bijvoorbeeld gegevens over seksueel gedrag dan wel seksuele gerichtheid. Ter illustratie wordt onder andere gewezen op de Subsidieregeling kunstmatige inseminatie met donorsemen13. Voorts worden ook bij de beoordeling, verlening en vaststelling van een subsidie op grond van de Subsidieregeling PrEP14 deze gegevens verwerkt. Deze subsidieregeling heeft betrekking op de subsidiëring van coördinerende GGD-en voor de medische begeleiding bij het preventief gebruik van HIV-remmers. Deze medische begeleiding is gericht op personen die behoren tot de hoogrisicogroep van mannen die seks hebben met mannen.

Als vervolgens de subsidie wordt verleend of vastgesteld, worden (bijzondere categorieën van) persoonsgegevens ook verwerkt bij de verantwoording van de subsidie. Immers, de subsidieverlening vindt plaats onder voorwaarde dat bepaalde activiteiten worden uitgevoerd. Nadat de activiteiten zijn uitgevoerd of de subsidieperiode is afgelopen vindt verantwoording plaats en wordt de subsidie vastgesteld. Op dat moment ontstaat een definitief recht op subsidie. Zoals uit het voorgaande blijkt ontbreken voor de verwerking van persoonsgegevens en bijzondere categorieën van persoonsgegevens een verwerkingsgrondslag en een uitzonderingsgrond op grond waarvan het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet geldt. Om die reden wordt momenteel gewerkt met de grondslag uit de AVG om toestemming te vragen van de persoon op wie de (bijzondere categorieën van) persoonsgegevensbetrekking hebben. Op grond van de artikelen 4, onderdeel 11, en 7, van de AVG is het vereist dat de toestemming vrijelijk kan worden gegeven. De vraag is echter of hiervan sprake is. Het niet geven van toestemming betekent immers dat een aanvraag niet (goed) kan worden behandeld en er (mogelijk) geen subsidie kan worden verstrekt. Toestemming is als verwerkingsgrondslag in zo’n geval een minder geschikte grondslag als bedoeld in de AVG. Daarbij brengt toestemming als verwerkingsgrondslag vaak uitvoeringsproblemen met zich mee, nu betrokkene van wie de gegevens moeten worden verwerkt niet altijd de aanvrager is van de subsidie. In dat geval moet de subsidieaanvrager toestemming vragen aan deze derde en de toestemming in zijn administratie bewaren. Om deze redenen wordt in dit wetsvoorstel voorgesteld een wettelijke grondslag voor de verwerking van (bijzondere categorieën van) persoonsgegevens op te nemen in de Kaderwet VWS-subsidies voor het beoordelen van een subsidieaanvraag en daarnaast voor de verlening en de vaststelling van een subsidie, zodat het vragen van toestemming in deze situaties niet meer nodig is.

2.7.1 Noodzakelijkheid, proportionaliteit en subsidiariteit

Het verwerken van bijzondere persoonsgegevens bij subsidieverstrekking is noodzakelijk om te kunnen beoordelen of de aanvrager in aanmerking komt voor subsidie. Deze gegevensverwerking is proportioneel, omdat het doel van de verwerking, namelijk rechtmatige subsidieverstrekking, in verhouding staat tot de inbreuk op de privacy van de betrokkene. In de wettelijke grondslag wordt benadrukt dat de overheid alleen die persoonsgegevens mag verwerken die noodzakelijk zijn voor de beoordeling van een subsidieaanvraag. De gegevensverwerking is dus afgebakend. Tevens is voldaan aan het vereiste van subsidiariteit. Zoals hierboven uiteengezet is toestemming als verwerkingsgrondslag niet passend. Er zijn dus geen minder ingrijpende manieren om het betrokken doel te realiseren.

2.8. Grondslag voor gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars bij fraudeonderzoeken

De Wet bevorderen samenwerking en rechtmatige zorg (hierna: Wbrsz) biedt instanties in het zorgdomein grondslagen voor de uitwisseling van gegevens, waaronder persoonsgegevens, indien dat noodzakelijk is voor de bestrijding van fraude in de zorg. De Wbsrz bevat het kader voor twee afzonderlijke instrumenten voor gegevensuitwisseling ten behoeve van bestrijding van fraude in de zorg. Het eerste instrument betreft het Waarschuwingsregister zorgfraude (Waarschuwingsregister)15. Het tweede instrument is het Informatieknooppunt zorgfraude (IKZ). Het voorliggende wetsvoorstel regelt in aanvulling daarop een grondslag voor een derde instrument, de gegevensuitwisseling tussen gemeenten onderling, binnen gemeenten en tussen gemeenten en zorgkantoren en zorgverzekeraars16 bij een fraudeonderzoek. Dit onderdeel van het wetsvoorstel zou oorspronkelijk als nota van wijziging onderdeel uitmaken van de parlementaire behandeling van de Wbsrz. Doordat de Wbsrz eerder in behandeling is genomen dan dat de nota van wijzing kon worden ingediend bij de Tweede Kamer, is deze wijziging als onderdeel van dit wetsvoorstel toegevoegd.

Dit onderdeel maakt geen doorbreking van het medisch beroepsgeheim mogelijk. In artikel 1.2 van de Wbsrz is reeds opgenomen dat gegevens waarop een medisch beroepsgeheim rust op grond van de Wbsrz niet kunnen worden uitgewisseld. Dit artikel is ook van toepassing op de gegevensuitwisseling die door middel van dit voorgestelde onderdeel mogelijk wordt gemaakt.

Met dit onderdeel wordt tevens uitwisseling van gegevens uitgesloten met betrekking tot militaire gezondheidszorg. Dit wordt verder toegelicht in de artikelsgewijze toelichting bij onderdeel A.

1.1.1 Aanleiding

Gemeenten, zorgkantoren en zorgverzekeraars hebben ieder een eigen rol bij de bestrijding van fraude in de zorg. Gemeenten zijn verantwoordelijk voor de uitvoering van de Wmo 2015 en de Jeugdwet. Zorgkantoren zijn verantwoordelijk voor de uitvoering van de Wlz en zorgverzekeraars voor de uitvoering van de Zorgverzekeringswet (Zvw).

De Vereniging van Nederlandse Gemeenten (VNG) en Zorgverzekeraars Nederland (ZN), als vertegenwoordigers van gemeenten respectievelijk ziektekostenverzekeraars, hebben sinds 2016 in de jaarlijkse Signaleringsbrieven aangegeven dat er knelpunten bestaan in de aanpak van fraude in de zorg. Het gaat onder andere om het ontbreken van een wettelijke grondslag voor de uitwisseling van persoonsgegevens17 tussen gemeenten en ziektekostenverzekeraars, gemeenten onderling en binnen een gemeente (tussen verschillende zorgdomeinen). Deze gegevens kunnen noodzakelijk zijn voor een door gemeenten of ziektekostenverzekeraars ingesteld fraudeonderzoek. Het ontbreken van de grondslag ervaren instanties als een «prangend knelpunt».

In de eerste twee hoofdstukken van de memorie van toelichting bij de Wbsrz wordt de noodzaak voor wettelijke grondslagen voor gegevensuitwisseling ten behoeve van de aanpak van fraude in de zorg in algemene zin uitgebreid onderbouwd. Deze noodzaak blijkt ook uit het rapport van de Algemene Rekenkamer (AR) over de aanpak van fraude in de zorg18. De AR benoemt dat er problemen zijn in gegevensuitwisseling bij de aanpak van fraude in de zorg en noemt daarbij als voorbeeld gegevensuitwisseling tussen zorgkantoren en gemeenten die geregeld te maken hebben met dezelfde zorgaanbieder, die zich dus niet beperkt tot een enkel zorgdomein.

Ontstaan knelpunt

Voornoemde knelpunt is ontstaan bij de overgang van de Algemene Wet Bijzondere Ziektekosten (AWBZ) naar de Wlz, de Zvw, de Wmo 2015 en de Jeugdwet per 1 januari 2015. Onder het regime van de AWBZ konden onder andere zorgkantoren en gemeenten op grond van de artikelen 54 en 55 AWBZ (persoons)gegevens met elkaar delen die noodzakelijk waren voor de uitvoering van de AWBZ. Het toenmalige College Bescherming Persoonsgegevens (CBP) was van mening dat de basis voor de gegevensverwerking te algemeen was en adviseerde specifieker te regelen welke instanties welke (soort) persoonsgegevens voor welke doelen kunnen verwerken. Daarom konden de artikelen 54 en 55 AWBZ niet ongewijzigd in de Zvw en de Wlz worden opgenomen. Met de inwerkingtreding van de Zwv, de Wlz, de Wmo 2015 en de Jeugdwet zijn voornoemde bepalingen vervolgens vervallen en niet overgenomen in de nieuwe wetten.

Mogelijkheden in de huidige wettelijke bepalingen

In de Wlz zijn op basis van de toen bekende gegevensstromen de artikelen 9.1.2 en 9.1.3 Wlz opgenomen. Die artikelen maken het mogelijk dat zorgkantoren onderling persoonsgegevens mogen uitwisselen voor het verrichten van controle en fraudeonderzoek, maar een dergelijke grondslag voor het uitwisselen van persoonsgegevens tussen gemeenten en zorgkantoren en binnen gemeenten over de domeinen Wmo 2015 en Jeugdwet ontbreekt. In de Zvw is reeds een grondslag opgenomen voor het uitwisselen van persoonsgegevens tussen zorgverzekeraars onderling en met verschillende instanties, waaronder gemeenten, indien deze gegevens noodzakelijk zijn voor de uitvoering van de zorgverzekeringen of van de Zvw (artikel 88 en artikel 89 Zvw). In de Wmo 2015 (Hoofdstuk 5) en in de Jeugdwet (Hoofdstuk 7) zijn wel grondslagen opgenomen voor de uitwisseling van persoonsgegevens tussen gemeenten en verschillende instanties, zoals bijvoorbeeld het CAK en de Sociale verzekeringsbank (Wmo 2015) of bijvoorbeeld jeugdhulpaanbieders en de Raad voor de Kinderbescherming (Jeugdwet) maar niet tussen gemeenten, ziektekostenverzekeraars, gemeenten onderling of binnen een gemeente tussen verschillende domeinen (Wmo 2015 en Jeugdwet).

De Wbsrz biedt voor dit knelpunt geen oplossing

De Wbsrz bevat bepalingen voor gegevensuitwisseling bij bestrijding van fraude in de zorg, maar biedt voor het gesignaleerde knelpunt geen volledige oplossing. Het Waarschuwingsregister komt pas aan de orde als sprake is van een vastgestelde gedraging en er aldus een gerechtvaardigde overtuiging van fraude in de zorg bestaat ten aanzien van een partij. Bij dit knelpunt wordt juist een grondslag voorgesteld voor gegevensuitwisseling gedurende een lopend fraudeonderzoek.

Bij het IKZ gaat het om signalen van fraude in de zorg. Er is een aanleiding tot een vermoeden van fraude, maar van een fraudeonderzoek is nog geen sprake. Bovendien biedt de Wbsrz een specifieke grondslag voor uitwisseling van gegevens tussen het IKZ en betrokken instanties, terwijl om dit knelpunt op te lossen een grondslag voor rechtstreekse gegevensuitwisseling nodig is tussen gemeenten en ziektekostenverzekeraars.

Wanneer gemeenten en ziektekostenverzekeraars ten behoeve van een fraudeonderzoek rechtstreeks persoonsgegevens over de Wmo 2015, de Jeugdwet, de Wlz en de Zvw met elkaar zouden kunnen uitwisselen, zou uit een lopend fraudeonderzoek bijvoorbeeld kunnen blijken dat het aantal gefactureerde uren simpelweg niet geleverd kon zijn door een zorgverlener of het beschikbare personeel van een zorgaanbieder. Dit kan blijken wanneer administratieve gegevens kunnen worden vergeleken waaruit blijkt hoeveel uren een zorgverlener of het beschikbare personeel van een zorgaanbieder heeft gewerkt. Dergelijke informatie kan in de huidige situatie niet worden uitgewisseld tussen gemeenten en ziektekostenverzekeraars omdat een grondslag daarvoor ontbreekt. De Wbsrz maakt uitwisseling van deze gegevens ook niet mogelijk en biedt evenmin grondslag om deze gegevens binnen het IKZ bij elkaar te brengen. Op grond van het instrument gegevensuitwisseling met het IKZ zal bij amvb alleen kunnen worden bepaald dat gegevens kunnen worden verstrekt en verwerkt over personen die betrokken zijn bij het signaal van fraude in de zorg. Hierdoor kunnen de persoonsgegevens van personeelsleden die werkzaam zijn voor een zorgaanbieder welke verdacht wordt van fraude, niet worden uitgewisseld op grond van het instrument gegevensuitwisseling met het IKZ, omdat die personeelsleden (over het algemeen) niet betrokken zijn bij de aanleiding tot een onderzoek. Dit kan anders zijn wanneer een bepaald personeelslid wel rechtstreeks betrokken is bij de aanleiding tot een vermoeden van fraude in de zorg.

Doordat de grondslag voor uitwisseling van deze gegevens tussen gemeenten en ziektekostenverzekeraars gedurende een fraudeonderzoek ontbreekt, kunnen frauderende zorgverleners en zorgaanbieders langdurig onopgemerkt blijven. Door het gebrek aan mogelijkheden om informatie bij elkaar op te vragen, werken instanties langs elkaar heen en wordt de effectiviteit van de aanpak van fraude in de zorg belemmerd.

2.8.2 Gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij een fraudeonderzoek

Om het hiervoor beschreven knelpunt op te lossen bevat voorliggend wetsvoorstel een grondslag voor gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij een fraudeonderzoek en wordt aanvullend op het IKZ en het Waarschuwingsregister een derde instrument geregeld. Anders dan de grondslag in de AWBZ is het voorgestelde instrument afgebakend en bevat het de nodige waarborgen. Er moet sprake zijn van een aanleiding tot een vermoeden van fraude in de zorg dat heeft geresulteerd in het starten van een fraudeonderzoek door een gemeente of ziektekostenverzekeraar en het instrument kan alleen worden toegepast nadat gegevensuitwisseling via het IKZ heeft plaatsgevonden.

Als een gemeente of ziektekostenverzekeraar van het IKZ een verrijkt signaal ontvangt, kunnen er vervolgens twee redenen zijn waarom gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars noodzakelijk is. De eerste reden is dat voor het fraudeonderzoek gegevens noodzakelijk kunnen zijn, waarvan het bij verrijking door het IKZ niet mogelijk of niet proportioneel was om deze gegevens uit te wisselen. Het al eerdergenoemde voorbeeld waarbij het aantal gefactureerde uren niet geleverd kon zijn door het beschikbare personeel zou een voorbeeld kunnen zijn van een situatie waarvan het tijdens de verrijking door het IKZ niet mogelijk is om deze gegevens uit te wisselen. Voor zo’n fraudeonderzoek is het nodig om gepseudonimiseerde gegevens te verwerken waarbij voor ieder individueel personeelslid inzichtelijk wordt gemaakt hoeveel uren deze gewerkt heeft voor een bepaalde zorgaanbieder. Zoals in de vorige paragraaf beschreven kunnen deze gegevens binnen het IKZ niet worden uitgewisseld, omdat daar alleen gegevens kunnen worden verwerkt van natuurlijke personen over wie het signaal van fraude in de zorg gaat.

Daarnaast is het denkbaar dat bepaalde gegevens bij de verrijking door het IKZ niet zijn uitgewisseld, omdat het voor het verrijken van een signaal op dat moment niet proportioneel was om die gegevens uit te wisselen. Wanneer een gemeente of ziektekostenverzekeraar een fraudeonderzoek is gestart, kan deze afweging anders zijn.

De tweede reden waarom gegevensuitwisseling noodzakelijk zou kunnen zijn voor het fraudeonderzoek, is dat het nodig blijkt gegevens uit het verrijkte signaal te actualiseren. Tussen het moment van verrijking van een signaal door het IKZ en het moment dat een gemeente of ziektekostenverzekeraar als geëigende instantie met het fraudeonderzoek aan de slag gaat, kan enige tijd verstrijken. Met een grondslag voor gegevensuitwisseling kunnen gemeenten en ziektekostenverzekeraars dan de meest actuele gegevens opvragen.

Fraudeonderzoek

Een fraudeonderzoek moet worden onderscheiden van signalen van fraude in de zorg (IKZ) en een gerechtvaardigde overtuiging van fraude in de zorg (Waarschuwingsregister). Bij een fraudeonderzoek gaat het om de situatie waarin een gemeente of ziektekostenverzekeraar een onderzoek uitvoert als bedoeld in artikel 1, eerste lid, onderdeel v, van de Regeling zorgverzekering, artikel 7.10 van de Regeling langdurige zorg en artikel 1, tweede lid, van de Regeling Jeugdwet. Deze regelingen bevatten voorschriften voor de ziektekostenverzekeraars, gemeenten en de zorgaanbieder met betrekking tot hoe zij moeten handelen bij de uitvoering van een fraudeonderzoek en wanneer een fraudeonderzoek aan de orde is. Het Protocol materiële controle bij de Gedragscode verwerking persoonsgegevens zorgverzekeraars bevat een praktische uitwerking van die voorschriften voor de ziektekostenverzekeraars. Voor de Wmo 2015 gelden geen vergelijkbare bepalingen. De gemeenten hebben de vrijheid om zelf deze regels te bepalen, zolang deze regels maar niet in strijd zijn met hogere regelgeving zoals de Wmo 2015 of de algemene beginselen van behoorlijk bestuur. Gelet op de beleidsruimte verschillen de regels per gemeente.

Gegevensset

Om in kaart te brengen welke (persoons)gegevens noodzakelijk kunnen zijn voor het fraudeonderzoek, is een werkgroep gestart met gemeenten, zorgkantoren, VNG en ZN. Deze werkgroep, die zich aanvankelijk specifiek op fraude met het persoonsgebonden budget (pgb) richtte, heeft in december 2020 een advies uitgebracht en daarin benoemd welke persoonsgegevens gemeenten en ziektekostenverzekeraars nodig kunnen hebben bij het fraudeonderzoek. Zorgaanbieders leveren steeds vaker zowel pgb-zorg als zorg in natura.19 Daarom heeft de werkgroep geadviseerd om de voorgestelde oplossing zo te formuleren dat deze geldt voor alle mogelijke leveringsvormen en niet uitsluitend voor het pgb.

In het onderhavige wetsvoorstel is opgenomen dat bij amvb wordt bepaald welke (bijzondere) (persoons)gegevens tussen deze instanties kunnen worden uitgewisseld. Dit wordt bij amvb bepaald omdat de bestrijding van fraude in de zorg in de loop der tijd een andere set aan (persoons)gegevens kan vereisen. Om fraude in de zorg in die gevallen effectief te kunnen blijven bestrijden is een aanpassing van de amvb een praktische keuze. Hierbij wordt aangesloten bij de systematiek die ook geldt voor het Waarschuwingsregister en het IKZ. De gegevens, waaronder persoonsgegevens, waaraan gedacht kan worden om in de amvb op te nemen zijn bijvoorbeeld de aantallen cliënten van de zorgaanbieder, op welke locaties een zorgaanbieder actief is en in welk domein, welk type zorg (bijvoorbeeld 24-uurs zorg, ambulant, op afroep, individueel of groep) is verleend, door welke medewerker en het aantal uren per cliënt dat geïndiceerd en geleverd en gedeclareerd is. Van belang is dat de uitwisseling van (persoons)gegevens alleen kan plaatsvinden indien dat noodzakelijk is in een specifiek fraudeonderzoek. Daarbij wordt de uitwisseling van persoonsgegevens in overeenstemming met de vereisten uit de AVG tot een minimum beperkt. Er zal steeds een afweging gemaakt moeten worden of het uitwisselen van bepaalde persoonsgegevens noodzakelijk is voor dat ene specifieke fraudeonderzoek. Daarnaast zal zoveel mogelijk gebruik gemaakt worden van beveiligingsmaatregelen en zullen persoonsgegevens van anderen dan van degene die wordt verdacht van fraude, gepseudonimiseerd worden.

2.8.3 Noodzaak tot wijziging

Op dit moment is er in de Wbrsz geen wettelijke grondslag voor rechtstreekse gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars gedurende het fraudeonderzoek. Als de wetgever niets doet, kunnen gemeenten en ziektekostenverzekeraars door het gebrek aan een grondslag om persoonsgegevens uit te wisselen gedurende een fraudeonderzoek, fraude in de zorg niet altijd vaststellen op basis van de eigen gegevens, terwijl er wel sterke vermoedens van fraude zijn. Het risico op het weglekken van zorggeld en het misbruik van mensen in een kwetsbare positie blijft dan bestaan. Geld dat voor de zorg bestemd is, kan hiermee in de handen van frauderende zorgaanbieders komen.

Door uitwisseling van persoonsgegevens tussen gemeenten en de ziektekostenverzekeraars, gemeenten onderling en binnen gemeenten worden deze instanties beter in staat gesteld hun controlerende en handhavende taak goed uit te kunnen voeren. Hierdoor kunnen ze fraude eerder aanpakken en verdere fraude mogelijk voorkomen. Met dit onderdeel in het wetsvoorstel is niet beoogd te veranderen wat op basis van geldende wet- en regelgeving al mogelijk is om samen te werken en fraude te voorkomen of anderszins te bestrijden. Het voorgestelde artikel 2.7a brengt dan ook geen verandering met zich mee voor de al bestaande grondslagen voor en mogelijkheden tot het uitwisselen van gegevens. Dit betekent dat er in bepaalde gevallen een dubbele grondslag kan bestaan om gegevens uit te wisselen. Het uitwisselen van gegevens tussen zorgkantoren kan op basis van de artikelen 9.1.2 en 9.1.3 Wlz en op grond van het voorgestelde artikel 2.7a van deze wet. Ook de brede grondslag in de artikelen 88 en 89 Zvw zal betekenen dat er overlap kan ontstaan tussen de grondslagen. Anderzijds bieden de artikelen 88 en 89 Zvw geen grondslag voor het uitwisselen van bijzondere persoonsgegevens of gegevens van strafrechtelijke aard. De artikelen 9.1.2 en 9.1.3 Wlz bieden geen grondslag voor gemeenten. Artikel 2.7a is daarom bedoeld om in bestaande wetgeving waar onduidelijkheid, een beperkte of ontbrekende grondslag is – waar die wel noodzakelijk is voor de bestrijding van fraude in de zorg – aanvullend een instrumentarium te bieden.

2.8.4 Noodzakelijkheid, proportionaliteit en subsidiariteit

Het verwerken van persoonsgegevens is alleen toegestaan als die verwerking noodzakelijk is in het kader van bestrijding van fraude in de zorg. Dit betekent dat die verwerking nodig is omdat het doel van de verwerking, te weten bestrijding van fraude in de zorg, anders redelijkerwijs niet kan worden verwezenlijkt. In de vraag of een verwerking noodzakelijk is, ligt besloten of de verwerking van gegevens proportioneel is en of de verwerking voldoet aan de eis van subsidiariteit. Of de verwerking proportioneel is hangt af van de vraag of het legitieme doel dat wordt nagestreefd in verhouding staat tot het feit dat daarvoor persoonsgegevens moeten worden verwerkt. Dit staat in het onderhavige geval in verhouding, omdat enerzijds de persoonlijke, financiële en maatschappelijke gevolgen van fraude in de zorg worden beperkt en anderzijds de daarvoor noodzakelijke inmenging in de privacy van betrokkene tot een minimum zal worden beperkt en moet worden voorzien van waarborgen. Subsidiariteit betreft de vraag of het genoemde doel niet op een andere, minder ingrijpende wijze kan worden bereikt. Bijvoorbeeld door géén of minder persoonsgegevens te verwerken. Gemeenten en ziektekostenverzekeraars geven in de Signaleringsbrieven sinds 2016 aan dat zij hier tegenaan lopen en dat ze de fraudeonderzoeken niet op een andere manier kunnen rondkrijgen. Juist het bijeenbrengen van persoonsgegevens en het daarmee versterken van de informatiepositie van gemeenten en ziektekostenverzekeraars, is cruciaal voor de uitoefening van de taken van die instanties als het gaat om het bestrijden van fraude in de zorg.

3. Verhouding tot hoger recht

3.1. Mensenrechtelijke bescherming

Dit wetsvoorstel beoogt verschillende wettelijke grondslagen te creëren voor het verwerken van persoonsgegevens en raakt daarmee de persoonlijke levenssfeer van burgers. Verschillende internationale verdragen en (nationale) regelingen, waaronder de Grondwet, bevatten uitdrukkelijke voorschriften en waarborgen ter bescherming van de persoonlijke levenssfeer of van natuurlijke personen ten aanzien van persoonsgegevens. In dit verband kan worden gewezen op de volgende voorschriften:

• In artikel 8 van het Europees Verdrag voor de Rechten van de Mens en de fundamentele vrijheden (hierna: EVRM) en artikel 17 van het Internationaal verdrag inzake burgerlijke en politieke rechten is het recht op bescherming van de persoonlijke levenssfeer gewaarborgd.

• In artikel 7 van het Handvest van de grondrechten van de Europese Unie (2016/C 202/02, hierna: het Handvest) is het recht op eerbiediging van het privéleven opgenomen. In artikel 8 van het Handvest is het recht vastgelegd van eenieder op bescherming van persoonsgegevens.

• Artikel 16, tweede lid, van het Verdrag betreffende de werking van de Europese Unie (hierna: VWEU) bevat een rechtsgrondslag voor het stellen van voorschriften betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens. Hier wordt uitvoering aan gegeven door middel van de AVG.

• Artikel 10, eerste lid, van de Grondwet erkent het recht op eerbiediging van de persoonlijke levenssfeer.

Hieronder wordt uiteengezet op welke wijze in dit wetsvoorstel rekening is gehouden met de bovenstaande rechten.

3.2. EVRM

Het recht op bescherming van persoonsgegevens is niet als zelfstandig recht vastgelegd in het EVRM. Volgens de rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) is het recht op bescherming van persoonsgegevens in algemene zin van fundamentele betekenis voor het recht op eerbiediging van de persoonlijke levenssfeer. Aangezien dit wetsvoorstel voorschriften over de verwerking van persoonsgegevens bevat, en daarmee onder de reikwijdte van de bescherming van artikel 8 van het EVRM valt, wordt uiteengezet dat de voorgestelde regeling een toegestane inmenging door de overheid in de uitoefening van de persoonlijke levenssfeer van haar burgers vormt.

Artikel 8, eerste lid, EVRM bepaalt dat een ieder recht heeft op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en correspondentie. Inmenging van de overheid in de uitoefening van dit recht is volgens het tweede lid van dit artikel slechts gerechtvaardigd, wanneer deze bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

Om te bepalen of in een concreet geval sprake is van een gerechtvaardigde beperking van een van de in de artikelen 8 tot en met 11 EVRM neergelegde mensenrechten, heeft het EVRM in zijn rechtspraak een bepaalde systematiek ontwikkeld. Uit deze systematiek kan een toetsingskader worden afgeleid waarbij drie met elkaar samenhangende vragen kunnen worden onderscheiden. Deze vragen luiden achtereenvolgens als volgt:

1. Is de beperking bij wet voorzien?

• Berust de inmenging op een naar behoren bekend gemaakt wettelijk voorschrift?

• Kunnen burgers daaruit met voldoende precisie opmaken welke op zijn privéleven betrekking hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel kunnen worden bewerkt, bewaard en gebruikt?20

2. Dient de beperking tot bescherming van een legitieme doelstelling («legitimate aim»), namelijk één of meer van de in het tweede lid van artikel 8 EVRM opgesomde rechtsbelangen?

3. Is de beperking noodzakelijk in een democratische samenleving («necessary in a democratic society»)?

• Is de beperking ingegeven door een dringende maatschappelijke behoefte («pressing social need»)?

• Bestaat er een redelijke verhouding («proportionality») tussen de zwaarte van de beperking en het gewicht van het belang dat met de inbreuk wordt gediend?

De eerste vraag, of de voorgestelde beperking bij wet is voorzien, kan zonder meer bevestigend worden beantwoord. De regelingen voor alle onderwerpen bevatten juist de specifieke voorschriften over het specifieke doel en de taken waarvoor het persoonsgegevens kunnen worden verwerkt, de (categorieën van) persoonsgegevens die kunnen worden verwerkt of (verder) kunnen worden verstrekt en de partijen die een rol spelen bij de gegevensverwerking.

Ook de tweede vraag kan bevestigend beantwoord worden. Zoals in hoofdstuk 2 is aangegeven, beoogt dit wetsvoorstel ertoe te leiden dat:

• Toezicht kan worden gehouden op de naleving van het bepaalde bij of krachten de betreffende wetten. Zie paragraaf 2.1.

• Onderzocht kan worden of sprake is van een situatie die voor de veiligheid van cliënten of de zorg een ernstige bedreiging kan betekenen of met het oog op het belang van goede zorg anderszins noodzaakt tot nader onderzoek. Het goed onderzoeken van deze risico’s is noodzakelijk in het belang van de bescherming van de gezondheid (de bescherming van de gezondheid). Zie paragraaf 2.2.

• Jeugdigen en volwassenen kosteloos een telefonisch of elektronisch gesprek kunnen voeren over hun persoonlijke situatie en daarover advies kunnen krijgen zonder dat het gesprek direct naar hen herleidbaar is (de bescherming van de gezondheid). Zie paragraaf 2.3.

• Veilig Thuis bij een melding van huiselijk geweld of kindermishandeling haar taken als bedoeld in artikel 4.1.1, tweede lid, Wmo 2015 kan uitvoeren. Naar aanleiding van een melding bij Veilig Thuis door het college kan worden onderzocht of een bepaalde voorziening van jeugdhulp of maatwerkondersteuning vanuit de Wmo 2015 nodig is. En: beleid kan worden gemaakt en bijgesteld en stelselverantwoordelijkheid kan worden genomen op basis van beleidsinformatie over zowel kindermishandeling als huiselijk geweld (de bescherming van de gezondheid, goede zeden en de rechten en vrijheden van betrokkenen). Zie paragraaf 2.4.

• Er bij het stellen van regels over het bestrijden van huiselijk geweld in Caribisch Nederland tevens kan worden voorzien in regels voor het verwerken van bijzondere persoonsgegevens. Het is voor het zwaarwegende algemeen belang van een effectieve bestrijding van huiselijk geweld noodzakelijk om persoonsgegevens van degenen die bij dat geweld betrokken zijn te kunnen verwerken. Zie paragraaf 2.5.

• De aanvraag voor de Wlz snel en zorgvuldig kan worden behandeld (de bescherming van de gezondheid). Zie paragraaf 2.6.

• Beoordeeld kan worden of een subsidieaanvrager in aanmerking komt voor de subsidie (de bescherming van de gezondheid). Zie paragraaf 2.7.

• Fraude in de zorg kan worden aangepakt (economisch welzijn van het land, het voorkomen van strafbare feiten en de bescherming van de gezondheid). Zie paragraaf 2.8.

De derde vraag – of de voorgestelde beperking noodzakelijk is in een democratische samenleving – wordt eveneens bevestigend beantwoord. Zoals geschetst in hoofdstuk 2 zijn de beoogde grondslagen voor gegevensverwerking nodig om de verscheidene taken uit te kunnen voeren. Het wetsvoorstel voorziet in een redelijke verhouding tussen de zwaarte van de beperking en het gewicht van het belang dat met de beperking wordt gediend. De eventuele inbreuk op de privacy van burgers gaat zodoende niet verder dan noodzakelijk is voor het doel. Wat betreft de subsidiariteit geldt dat niet kan worden volstaan met lichtere, minder ingrijpende instrumenten. De noodzakelijkheid, proportionaliteit en subsidiariteit zijn per onderdeel toegelicht in hoofdstuk 2. Indien slechts sprake is van een verduidelijking van bestaande grondslagen is de noodzakelijkheid, proportionaliteit en subsidiariteit niet toegelicht. Deze afweging heeft reeds plaatsgevonden bij het wetsvoorstel waarmee de nieuwe verwerkingsgrondslag werd gecreëerd.

3.3. Grondwet

De Grondwet geeft in artikel 10, eerste lid, eenieder, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. Ook dit recht is niet absoluut: bij of krachtens de wet kunnen aan dat recht beperkingen worden gesteld. Dit voorstel voorziet in de vereiste wettelijke basis. De hierboven geschetste lijn ter rechtvaardiging van de inbreuk op het recht op respect voor het privéleven in artikel 8 van het EVRM, gelden evenzeer ter onderbouwing van de wettelijke beperkingen op grond van artikel 10 van de Grondwet.

3.4. AVG

Elke gegevensverwerking moet gerechtvaardigd zijn. Daarvan is alleen sprake wanneer het doel van de verwerking kan worden gebaseerd op een van de rechtsgrondslagen in de AVG. Voor de meeste onderdelen bestaan reeds expliciete taken die een grondslag vormen voor de verwerking als bedoeld in artikel 6, eerste lid, onderdeel e, van de AVG: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Het gaat om:

• de in de betreffende wetten opgenomen toezichtstaak van de IGJ en daarvoor benodigde inzagebevoegdheid (zie paragraaf 2.1);

• de onderzoekstaak van de IGJ op grond van artikel 25 Wkkgz (zie paragraaf 2.2);

• de taken als omschreven in artikel 1a.1 Jeugdwet, 3a.1.2 en artikel 4.1.1, derde lid (nieuw) Wmo 2015 (hulplijnen) (zie paragraaf 2.3);

• de taken van Veilig Thuis, bedoeld in artikel 4.1.1, tweede lid, Wmo 2015 (zie paragraaf 2.4);

• de taak van het CIZ, bedoeld in artikel 3.2.3, Wlz (zie paragraaf 2.6);

• de bevoegdheid van de Minister van VWS om organisaties die een Subsidieregeling uitvoeren, zoals Dienst Uitvoering Subsidies aan instellingen (hierna: DUS-I), subsidies te verstrekken op de in artikel 2 van de Kaderwet genoemde terreinen (zie paragraaf 2.7).

Waar nodig verduidelijkt dit wetsvoorstel de bestaande taken en bevoegdheden, zie hoofdstuk 2. Dat geldt in het bijzonder voor de inzagebevoegdheid van de IGJ.

Het wetsvoorstel creëert daarnaast een grondslag als bedoeld in artikel 6, eerste lid, onderdeel c, AVG: de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting:

• de voorgestelde regeling ten aanzien van de informatieverstrekking aan de IGJ bij andere meldingen in de Wkkgz gaat uit van een verplichting voor partijen om (desgevraagd) persoonsgegevens te verstrekken (zie paragraaf 2.2);

• artikel 4.2.12 Wmo 2015 gaat uit van een verplichting van Veilig Thuis om kosteloos gegevens te verstrekken het college, aan de Minister van VWS en aan de Minister voor Rechtsbescherming (zie paragraaf 2.4).

• de voorgestelde wijziging in de Wbrsz ten aanzien van een grondslag voor gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars brengt zowel een plicht als bevoegdheid voor de bevraagde partij met zich mee om de betreffende gegevens te verstrekken (zie paragraaf 2.8).

Het onderdeel «inzagebevoegdheid IGJ» (paragraaf 2.1) en «delegatiegrondslag verwerking persoonsgegevens IBES» (paragraaf 2.5) worden in paragraaf 3.4 tot en met 3.8 niet apart toegelicht, omdat het een verduidelijking respectievelijk een delegatiegrondslag betreft. Het zijn dus geen nieuwe verwerkingsgrondslagen. Daarnaast geldt in Caribisch Nederland niet de AVG, maar de Wbp BES. Zie paragraaf 2.1 respectievelijk paragraaf 2.5.

3.5. Bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard

In een aantal onderdelen van het wetsvoorstel wordt geregeld dat bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard worden verwerkt. Op grond van artikel 9, eerste lid, AVG is de verwerking van bijzondere categorieën van persoonsgegevens, waaronder gegevens over gezondheid, verboden tenzij een van de in artikel 9, tweede lid, genoemde uitzondering van toepassing is. Het tweede lid, onderdelen f, g, h en i bieden de mogelijkheid om bijzondere categorieën van persoonsgegevens te verwerken, als:

f. de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;

g. de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang en dit op grond van (Unierecht of) lidstatelijk recht wordt geregeld, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de inwoner;

h. de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen;

i. de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim;

Met dit wetsvoorstel wordt gebruik gemaakt van de bovenstaande mogelijkheden. Hieronder volgt per onderdeel een toelichting.

Gegevensverwerking door de IGJ bij andere meldingen (par 2.2)

Voor dit onderwerp is gebruik gemaakt van de mogelijkheden die artikel 9, tweede lid, onderdelen h en i, van de AVG, bieden om een uitzondering te maken indien de verwerking noodzakelijk is voor het beheren van gezondheidszorgstelsels en – diensten en de waarborging van hoge normen inzake kwaliteit en veiligheid in de gezondheidszorg. Uit de overwegingen bij de AVG met betrekking op onderdeel h blijkt dat hieronder ook de verwerking met het oog op kwaliteitscontrole en toezicht wordt gevat.

Daarnaast wordt voldaan aan de eisen zoals gesteld in artikel 9, derde lid, AVG. De toezichthoudende ambtenaren zijn gebonden aan geheimhouding op grond van artikel 25 Wkkgz.

Gegevensverwerking bij de uitvoering van de kindertelefoon, de luisterlijn en de chat van Veilig Thuis (par 2.3)

Voor dit onderdeel is gebruik gemaakt van de mogelijkheid die artikel 9, tweede lid, onderdeel g, van de AVG biedt om een uitzondering te maken om redenen van zwaarwegend algemeen belang.

Bij de verschillende hulplijnen kunnen jeugdigen en volwassenen gratis per telefoon of chat terecht bij de medewerkers en vrijwilligers met vragen en problemen zonder dat het gesprek direct naar hen herleidbaar is. Deze voorzieningen bieden een luisterend oor, geven antwoorden op vragen of bedenken samen met de jeugdige of volwassene een oplossing. Jaarlijks worden er vele duizenden gesprekken gevoerd.

Zonder de in deze toelichting beschreven verwerkingen kan de voorziening niet bestaan. Het telefoonnummer of IP-adres is nodig om het telefoongesprek of chat tot stand te brengen. In de beschrijving van de situatie in de chat moet de informatie over de situatie kunnen worden beschreven, ook als daarin bijzondere categorieën van persoonsgegevens of gegevens van strafrechtelijke aard genoemd worden. De uitzondering is bewust niet beperkt tot specifieke categorieën van persoonsgegevens, omdat de gesprekken over alle onderwerpen kunnen gaan en er dus verschillende bijzondere categorieën van persoonsgegevens aan bod kunnen komen.

Aanscherping taakomschrijving Veilig Thuis en verduidelijking, verbetering en aanvulling van grondslagen voor gegevensverwerking door Veilig Thuis (par 2.4)

Op de verwerking ten behoeve van het voorgestelde artikel 4.1.1, tweede lid, onder e, Wmo 2015 is artikel 9, tweede lid, onderdeel g, van de AVG van toepassing. Er is sprake van een zwaarwegend algemeen belang. De verwerking is voor een goede aanpak van huiselijk geweld en kindermishandeling, waarin de veiligheid van de slachtoffers op het spel staat en deze informatiedeling een wezenlijke bijdrage kan leveren aan het maken van een goede inschatting van de (on)veiligheid en aan het herstel van de veiligheid van het slachtoffer. Dit doel kan niet op een andere manier worden bereikt zonder af te doen aan de effectiviteit. Met dit wetsvoorstel wordt de uitzondering (zoals onderdeel g vereist) vastgelegd in «lidstatelijk recht» via een aanscherping van de taak in combinatie met artikel 5.1.6, tweede lid, Wmo 2015. Op grond van het laatstgenoemde artikel mag Veilig Thuis bepaalde bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke aard verwerken indien uit een melding redelijkerwijs een vermoeden van huiselijk geweld of kindermishandeling kan worden afgeleid en de verwerking noodzakelijk is te achten voor de uitoefening van de taken van Veilig Thuis.

Voor het overige is sprake van een verduidelijking en verbetering. Aangezien het hier niet gaat om nieuwe uitzonderingen zijn deze onderdelen hier niet afzonderlijk toegelicht. Zie paragraaf 2.4.

Hergebruik gegevens Wzd voor Wlz door CIZ (par 2.6)

Voor dit onderdeel is gebruik gemaakt van de mogelijkheid die artikel 9, tweede lid, onderdeel h, AVG biedt om een uitzondering te maken op dit verbod in verband met het verstrekken van gezondheidszorg. Om de Wlz-aanvraag te kunnen beoordelen is het van belang dat gegevens van cliënten die al eerder bij het CIZ zijn overlegd in het kader van de Wzd-aanvraag mogen worden hergebruikt bij de beoordeling van de Wlz-aanvraag.

Grondslag gegevensverwerking in de Kaderwet VWS-subsidies (par 2.7)

Voor dit onderdeel is gebruik gemaakt van de mogelijkheid die artikel 9, tweede lid, onderdeel i, AVG biedt om een uitzondering te maken in verband met redenen van algemeen belang op het gebied van de volksgezondheid. Het kunnen verstrekken van subsidies en de daarvoor noodzakelijke beoordeling van de subsidieaanvragen wordt hieronder geschaard.

Grondslag gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij fraudeonderzoek (par 2.8)

De aanpak van fraude in de zorg kan gezien het maatschappelijk en economisch belang, zoals onder meer beschreven in hoofdstuk 2, gezien worden als een reden van zwaarwegend algemeen belang (artikel 9, tweede lid, onderdeel g). Het uitwisselen van persoonsgegevens tussen gemeenten onderling, binnen gemeenten en tussen gemeenten en ziektekostenverzekeraars bij een fraudeonderzoek moet bijdragen aan het kunnen aanpakken van fraude in de zorg. Waar het uiteindelijk om gaat is dat zorgbehoevenden de zorg krijgen waar zij recht op hebben en het misbruik van mensen in een kwetsbare positie voorkomen en gestopt wordt. De inmenging in privacy in het kader van bestrijding van fraude in de zorg is noodzakelijk voor het economisch welzijn van het land, het voorkomen van strafbare feiten en de bescherming van de gezondheid. Hierdoor is er sprake van een zwaarwegend algemeen belang dat de inmenging in de privacy van betrokkenen rechtvaardigt. Om dit zwaarwegend algemeen belang te kunnen behartigen en waarborgen, is samenwerking tussen de gemeenten onderling, binnen gemeenten en tussen gemeenten en zorgkantoren noodzakelijk. Voor een goede samenwerking tussen die instanties is het noodzakelijk dat zij gegevens, waaronder persoonsgegevens, met elkaar kunnen uitwisselen. Met dit onderdeel van dit wetsvoorstel is beoogd een efficiënte en zorgvuldige samenwerking tussen gemeenten en ziektekostenverzekeraars, en tussen en binnen gemeenten over de zorgdomeinen van de Wmo 2015, Wlz, Zvw en de Jeugdwet te faciliteren.

Ten aanzien van de verwerking van «persoonsgegevens betreffende stafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen» bepaalt artikel 10 AVG dat deze alleen mogen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de inwoner bieden. Met de voorgestelde wijzigingen in dit wetsvoorstel, wordt hieraan voldaan.

3.6. Doelbinding

Persoonsgegevens mogen op grond van artikel 5, eerste lid, onderdeel b, AVG slechts worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Met voorliggend wetsvoorstel wordt een aantal wettelijke bepalingen als bedoeld in artikel 6, vierde lid, AVG opgenomen op grond waarvan gegevens verder worden verwerkt. Verder verduidelijkt dit wetsvoorstel voor welke doeleinden gegevens van Veilig Thuis kunnen worden verstrekt aan het CBS t.b.v. beleidsinformatie en het college t.b.v. de «gevalsbehandeling», zie hoofdstuk 2 en uitgebreider de artikelsgewijze toelichting.

Gegevensverwerking door de IGJ bij andere meldingen (par 2.2)

De wijziging betreft een bepaling op grond waarvan zorgverleners en zorgaanbieders de gegevens verder kunnen verwerken, namelijk verstrekken ten behoeve van toezicht (artikel 23, eerste lid, onder h en i, AVG). Uit het wetsvoorstel blijkt duidelijk het doel van de verdere verwerking, de categorieën van persoonsgegevens en het toepassingsgebied (artikel 23, tweede lid, onder a-c, AVG). Ook zijn er waarborgen ter voorkoming van misbruik. Artikel 25, derde lid, Wkkgz voorziet hierin, nu is bepaald dat in het geval de IGJ gegevens heeft ontvangen in het kader van het onderzoeken van een (wettelijk verplichte of andere) melding en deze gegevens vallen onder het beroepsgeheim van een zorgverlener, de IGJ ook een geheimhoudingsplicht heeft ten aanzien van deze gegevens (artikel 23, tweede lid, onder d, AVG). Helder is dat het Ministerie van VWS (organisatieonderdeel IGJ) verwerkingverantwoordelijke is (artikel 23, tweede lid, onder e, AVG). De opslagperiodes blijken uit de concernbrede selectielijst (artikel 23, tweede lid, onder f, AVG). De risico’s op rechten en vrijheden van betrokkenen zijn door middel van een gegevensbeschermingseffectbeoordeling (hierna: DPIA) afgewogen (artikel 23, tweede lid, onder g, AVG), zie hoofdstuk 5 van deze toelichting. De rechten van betrokkenen worden niet ingeperkt tenzij dit afbreuk kan doen aan het doel van de beperking (artikel 23, tweede lid, onder h, AVG).

Gegevensverwerking bij de uitvoering van de kindertelefoon, de luisterlijn en de chat van Veilig Thuis (par 2.3)

De persoonsgegevens die oorspronkelijk worden verzameld worden tevens gebruikt voor andere doelen.

Het voorkomen van misbruik:

Een klein deel van de personen die contact zoekt, doet dat heel vaak en maakt misbruik of overmatig gebruik van de mogelijkheid die de hulplijnen bieden. Dit maakte dat o.a. de kindertelefoon werd overspoeld waardoor niet alle jeugdigen die graag contact wilden, aan de beurt kwamen. Bovendien kan overmatig gebruik schadelijk zijn voor de hulpvrager zelf. Er kan een time-out worden gegeven op basis van een IP-adres of een telefoonnummer en een aantal time-outs kan leiden tot een tijdelijke blokkering van het betreffende IP-adres of telefoonnummer. Eventueel kan er ook een gedragslijn worden afgesproken of gecommuniceerd met de persoon die overmatig gebruik maakt van de hulplijnen. Het geven van time-outs heeft bijgedragen aan een betere bereikbaarheid. Ditzelfde geldt voor het instellen van maximaal vier keer bellen per dag en het introduceren van een wachtrij. Ook hierbij wordt het telefoonnummer of het IP-adres van de betrokkene door de verwerkers van de organisaties verwerkt. Voor deze vorm van hergebruik is een expliciete grondslag opgenomen.

Opleiding en training:

Vrijwilligers en werkbegeleiders, die medewerkers en vrijwilligers begeleiden luisteren soms mee tijdens een gesprek voor functioneringsdoeleinden en deskundigheidsbevordering en er wordt feedback gegeven op geanonimiseerde chatgesprekken. Betrokkenen worden hierover geïnformeerd via de websites van de hulplijnen. Zij krijgen geen bandje te horen aan het begin van het gesprek i.v.m. vereiste laagdrempeligheid, zie hierover paragraaf 2.3.2.

Kwaliteitsverbetering en beleidssignalen afleiden:

De gegevens worden tevens gebruikt voor beleidsonderzoek ter verbetering van de kwaliteit en om trends te signalering die van belang zijn voor de dienstverlening en samenwerkingspartners. Zo wordt bijvoorbeeld het gebruik van de dienst in beeld gebracht om trends onder de doelgroep te signaleren (met gebruikmaking van gepseudonimiseerde gesprekken) en om de dienstverlening te laten aansluiten op de vraag van de doelgroep (zoals patronen over wanneer en hoe de doelgroep contact opneemt). In het wetsvoorstel is hiervoor een expliciete grondslag opgenomen.

Aanscherping taakomschrijving Veilig Thuis en verduidelijking, verbetering en aanvulling van grondslagen voor gegevensverwerking door Veilig Thuis (par 2.4)

Op grond van het voorgestelde artikel 4.1.1, tweede lid, onder e, Wmo 2015, in verbinding met artikel 5.1.6, tweede lid, Wmo 2015, kan Veilig Thuis ook persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard, verstrekken aan het openbaar ministerie, de reclassering en Slachtofferhulp Nederland, indien het belang van de betrokkene dan wel de ernst van de situatie waarop de melding betrekking heeft daartoe aanleiding geeft. Het gaat hier om een verdere verwerking (zie artikel 6, vierde lid, AVG) en dit betreft de bescherming van de betrokkene of de rechten en vrijheden van anderen (artikel 23, eerste lid, onder i, AVG) en het voorkomen van strafbare feiten (artikel 23, eerste lid, onder d, AVG). Uit het wetsvoorstel blijkt duidelijk het doel van de verdere verwerking, de categorieën van persoonsgegevens en het toepassingsgebied (artikel 23, tweede lid, onder a-c, AVG). Ook zijn er waarborgen ter voorkoming van misbruik. Artikel 5.3.3, eerste en derde lid, bepalen dat Veilig Thuis alleen gegevens aan anderen dan de betrokkene mag verstrekken zonder toestemming van de betrokkene, indien hun medewerking vereist is voor de uitvoering van haar taken en artikel 4.1.1, derde lid, van het Uitvoeringsbesluit Wmo 2015 stelt als eis dat Veilig Thuis vastlegt op welke wijze wordt gewaarborgd dat persoonsgegevens niet worden verwerkt voor andere doelen dan haar taakuitvoering. Ook het openbaar ministerie, de reclassering (artikel 37 van de Reclasseringsregeling 1995) en Slachtofferhulp Nederland (op basis van overeenkomsten) hebben allen een geheimhoudingsplicht ten aanzien van de gegevens. Zij mogen die alleen verstrekken indien dat voor de uitvoering van hun wettelijke taken noodzakelijk is (artikel 23, tweede lid, onder d, AVG). Helder is dat Veilig Thuis verwerkingsverantwoordelijke is voor de verstrekking (artikel 23, tweede lid, onder e, AVG). Er wordt geen verslag gemaakt van de afstemming, iedere partij neemt alleen de informatie mee uit het overleg die nodig is voor de eigen taakuitvoering en slaat die op in de eigen systemen gedurende de wettelijke bewaartermijn (artikel 23, tweede lid, onder f, AVG). De risico’s op rechten en vrijheden van betrokkenen zijn door middel van een DPIA afgewogen (artikel 23, tweede lid, onder g, AVG) en er kan (tijdelijk) worden afgezien van het recht van de betrokkenen om op de hoogte te worden gesteld als dit noodzakelijk kan worden geacht om een situatie van huiselijk geweld of kindermishandeling te beëindigen of een redelijk vermoeden daarvan te onderzoeken (artikel 23, tweede lid, onder h, AVG).

Voor het overige is sprake van een verduidelijking. Aangezien het hier niet gaat om nieuwe uitzonderingen zijn deze onderdelen hier niet afzonderlijk toegelicht. Zie paragraaf 2.4.

Hergebruik gegevens Wzd voor Wlz door CIZ (par 2.6)

Deze wijziging maakt het mogelijk dat het CIZ gegevens die zij heeft ontvangen bij de beoordeling van een aanvraag voor een besluit tot opname en verblijf, een rechterlijke machtiging, of een machtiging tot voortzetting van de inbewaringstelling als bedoeld in de Wzd verder verwerkt, namelijk bij de behandeling van een aanvraag voor het vaststellen van het recht op zorg in het kader van de Wlz. Deze verdere verwerking (zie artikel 6, vierde lid, AVG) betreft de bescherming van de betrokkene of de rechten en vrijheden van anderen (artikel 23, eerste lid, onder i, AVG). Immers, bij al deze cliënten is al door het CIZ en de rechter vastgesteld dat opname noodzakelijk is om ernstig nadeel te voorkomen of af te wenden. Het hergebruik vindt plaats om de hiervoor benodigde bekostigingstitel vanuit de Wlz te realiseren. Uit het wetsvoorstel blijkt duidelijk het doel van de verdere verwerking, de categorieën van persoonsgegevens en het toepassingsgebied (artikel 23, tweede lid, onder a-c, AVG). Ook zijn er waarborgen ter voorkoming van misbruik. Het CIZ kan de gegevens die zij heeft verkregen op grond van de Wzd alleen hergebruiken voor zover noodzakelijk voor de behandeling van een aanvraag op grond van de Wlz (artikel 23, tweede lid, onder d, AVG). Het CIZ is verwerkingsverantwoordelijke voor verdere verwerking (artikel 23, tweede lid, onder e, AVG) en dient zich te houden aan de wettelijke bewaartermijn (artikel 23, tweede lid, onder f, AVG). De risico’s op rechten en vrijheden van betrokkenen zijn door middel van een DPIA afgewogen (artikel 23, tweede lid, onder g, AVG). Betrokkenen worden van de verdere verwerking op de hoogte gesteld (artikel 23, tweede lid, onder h, AVG).

Grondslag gegevensverwerking in de Kaderwet VWS-subsidies (par 2.7)

De (bijzondere categorieën van) persoonsgegevens binnen deze subsidieregeling worden niet doorgegeven aan partijen die niet direct een rol hebben bij de uitvoering van de subsidieverstrekking of controle daarop zoals deze zijn.

Grondslag gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij fraudeonderzoek (par 2.8)

Bij de gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars mogen alleen die persoonsgegevens worden verwerkt die noodzakelijk zijn om het gestelde doel (fraude in de zorg bestrijden) te bereiken. Welke persoonsgegevens tussen gemeenten en ziektekostenverzekeraars, tussen gemeenten onderling en binnen gemeenten over de zorgdomeinen Wmo 2015 en Jeugdwet mogen worden uitgewisseld wordt bij amvb bepaald.

3.7. Noodzakelijkheid, proportionaliteit en subsidiariteit

De noodzaak, proportionaliteit en alternatieven zijn per onderdeel toegelicht in hoofdstuk 2, tenzij enkel sprake is van een verduidelijking van bestaande grondslagen. In dat laatste geval heeft deze afweging reeds plaatsgevonden bij het wetsvoorstel waarmee de nieuwe verwerkingsgrondslag werd gecreëerd.

3.8. Transparantie en rechten betrokkenen

De AVG

In de AVG zijn onder andere de verplichtingen van de verwerkende instantie en de rechten van betrokkenen geregeld. Verplichtingen van verwerkende instanties zijn bijvoorbeeld de in de artikelen 13 en 14 AVG opgenomen verplichtingen om betrokkenen actief te informeren, transparant te zijn over de op hen betrekking hebbende gegevens die zij hebben verwerkt en hen te wijzen op het bestaan van klacht-, bezwaar en beroepsmogelijkheden.

De rechten van betrokkenen zijn opgenomen in artikel 15 tot en met 22 AVG. Denk hierbij aan het recht op inzage (artikel 15), rectificatie (artikel 16) en verwijdering (artikel 17) van gegevens. Indien een betrokkene wilt weten welke informatie wordt verwerkt en of die informatie juist is en op de juiste manier wordt verwerkt, dan kan de betrokkene aan de verwerkingsverantwoordelijke een verzoek om inzage (en afschrift) doen. Wanneer de informatie die wordt verwerkt onjuist, niet actueel of niet volledig is dan kan de betrokkene rectificatie verzoeken. Besluit de verwerkingsverantwoordelijke de informatie aan te vullen of te wijzigen en zijn in het voorafgaande jaar de (onjuiste) gegevens aan andere partijen doorgegeven, dan moet de verwerkingsverantwoordelijke ook zo snel mogelijk de wijzigingen aan deze andere partijen doorgeven. Wordt er meer informatie verwerkt dan nodig of is de verwerking onrechtmatig, dan kan de betrokkene verzoeken om de gegevens te wissen. Is er een specifieke situatie waardoor de cliënt liever niet heeft dat de informatie nog wordt gebruikt, dan kan de betrokkene de verwerkingsverantwoordelijke vragen om de persoonsgegevens niet meer te gebruiken. Dit heet het recht van bezwaar. De verwerkingsverantwoordelijke moet het gebruik van de gegevens dan stoppen, tenzij er goede redenen zijn om de gegevens te blijven verwerken en deze zwaarder wegen dan de belangen van de betrokkene of er maatregelen zijn genomen die deze belangen beschermen. Zo lang nog niet duidelijk is wat zwaarder weegt, mag de organisatie de gegevens niet gebruiken. In de in artikel 18 AVG genoemde gevallen, kan worden gevraagd om een beperking van de verwerking in te stellen. Dat wil zeggen dat de gegevens tijdelijk niet mogen worden gebruikt.

De verwerkingsverantwoordelijke kan alleen besluiten een verzoek te weigeren als niet voldaan is aan de voorwaarden voor een verzoek of als er sprake is van een uitzondering als bedoeld in de AVG. Deze uitzonderingen zijn uitgewerkt in de materiewetten en in artikel 41 Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG). Er moet altijd een expliciete afweging plaatsvinden of het belang van de (tijdelijke) inperking van de rechten van betrokkene opweegt tegen de inbreuk op de rechten en vrijheden van de betrokkene.

In hoofdstuk 8 AVG zijn bepalingen over beroep, aansprakelijkheid en sancties opgenomen. Er is de mogelijkheid een klacht in te dienen bij de toezichthoudende instantie, de Autoriteit Persoonsgegevens (hierna: AP), en een mogelijkheid om in rechte op te komen tegen daarop genomen besluiten. Ook heeft een betrokkene het recht een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke, een verwerker of de toezichthoudende instantie (artikelen 77 tot en met 79). Het recht op schadevergoeding en aansprakelijkheid bij inbreuk op de AVG is geregeld in artikel 82. Nationaalrechtelijk zijn de rechtsbeschermingsbepalingen uit de AVG nader uitgewerkt en ingevuld in paragraaf 3.3 van de UAVG. Zo is in artikelen 34 en 35 van de UAVG de toepasselijkheid van de Algemene wet bestuursrecht (Awb) en het burgerlijk recht geregeld ten aanzien van de uitoefening van de rechten in artikel 15 tot en met 22 AVG. Rechtsbescherming in het geval van verwerking van persoonsgegevens is langs deze lijn derhalve geborgd.

Overige rechtsmiddelen

De verwerking van gegevens zal vaak moeten worden beschouwd als een (feitelijke) handeling. Als geen sprake is van een besluit als bedoeld in de Awb biedt het bestuursrecht ook geen mogelijkheid hiertegen op te komen in bijvoorbeeld een bezwaar- en beroepsprocedure. Het civielrecht kan in dat geval wel mogelijkheden bieden om tegen (onrechtmatige) verwerking van (persoons)gegevens en de mogelijke gevolgen daarvan op te komen. Te denken valt aan een vordering op grond van onrechtmatige daad als bedoeld in artikel 6:162 BW.

Grondslag gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij fraudeonderzoek (par 2.8)

De (verwerkings)verantwoordelijke instantie die (persoons)gegevens ten behoeve van een fraudeonderzoek verstrekt, is verantwoordelijk voor die verstrekking. De instantie die de gegevens ten behoeve van het fraudeonderzoek ontvangt, is vanaf het moment van ontvangst van de gegevens zelfstandig verwerkingsverantwoordelijke voor die gegevens. De verwerkingsverantwoordelijke instantie informeert conform artikel 14 AVG de betreffende natuurlijke persoon of rechtspersoon, als sprake is van verwerking van persoonsgegevens, over de verwerking. Van het informeren kan worden afgezien indien sprake is van een situatie als bedoeld in artikel 14, vijfde lid, AVG. Het gaat dan onder andere om de situatie dat de bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking, te weten bestrijding van fraude in de zorg, onmogelijk dreigt te maken. Hier ligt redelijkerwijs een afweging en dus verantwoordelijkheid bij de verwerkingsverantwoordelijke.

Voor het geval dat van voornoemde uitzondering op de informatieplicht gebruik wordt gemaakt, moet door de betrokken instantie zijn voorzien in passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen. Specifiek ten aanzien van het afzien van de informatieplicht kan gedacht worden aan maatregelen ten aanzien van het zo spoedig mogelijk toch informeren van de betrokkene.

3.9. Beroepsgeheim

Bij de onderdelen «inzagebevoegdheid IGJ» (paragraaf 2.1) en «gegevensverwerking door de IGJ bij andere meldingen» (paragraaf 2.2) is sprake van doorbreking van het medisch beroepsgeheim. Een doorbreking van het medisch beroepsgeheim moet zorgvuldig worden afgewogen tegen de bescherming van de vertrouwelijkheid van medische informatie en het recht op privacy van de patiënt. Het onderdeel inzagebevoegdheid IGJ betreft een verduidelijking en creëert geen nieuwe doorbreking. Deze afweging is daarom voor dit onderdeel niet opnieuw gemaakt. Voor het onderdeel «gegevensverwerking door de IGJ bij andere meldingen» is deze afweging terug te vinden in paragraaf 2.2.

3.10. Caribisch Nederland

De onderwerpen andere meldingen op grond van de Wkkgz, de gegevensverwerking bij de uitvoering van de hulplijnen, de verduidelijking grondslag voor gegevensverstrekking door Veilig Thuis aan het CBS en het hergebruik van gegevens vanuit de Wzd t.b.v. de uitvoering van de Wlz, hebben geen gevolgen voor Caribisch Nederland. Caribisch Nederland heeft ten aanzien van deze onderwerpen eigen wetgeving, bijvoorbeeld op het gebied van de kwaliteit van zorg (Wet zorginstellingen BES) en langdurige zorg (Besluit zorgverzekering BES), of kent (nog) geen wettelijk kader, bijvoorbeeld op het gebied van de hulplijnen en huiselijk geweld en kindermishandeling. Inzake huiselijk geweld en kindermishandeling is het Besluit maatschappelijke ondersteuning en bestrijding huiselijk geweld en kindermishandeling BES in voorbereiding, waarin ook het verstrekken van gegevens voor beleidsinformatie door een advies- en meldpunt huiselijk geweld en kindermishandeling zal worden geregeld.

De wijzigingen uit het onderhavige wetsvoorstel kunnen niet via een verzamelwet worden doorgevoerd in Caribisch Nederland, omdat voor Caribisch Nederland een andere context geldt dan voor Europees Nederland. Zo is de Wet zorginstellingen BES anders vormgegeven dan de Wkkgz en zijn er in het kader van de (langdurige) zorg verschillen in taken en verantwoordelijkheden van het Rijk en openbare lichamen. In deze kabinetsperiode wordt wel in den brede nagedacht over hoe het wettelijk stelsel voor Caribisch Nederland verder vormgegeven kan worden op de langere termijn.21

In de Invoeringswet BES is voor de IGJ ook een inzagerecht opgenomen. Dit wetsvoorstel beoogt ook dit inzagerecht te verduidelijken. Verder wordt in dit wetsvoorstel voorgesteld om de delegatiegrondslag van artikel 18.4.5, eerste lid, onderdeel e, van de Invoeringswet BES aldus aan te vullen, dat op grond daarvan ook regels met betrekking tot de verwerking van persoonsgegevens waaronder bijzondere persoonsgegevens, kunnen worden gesteld. Zie paragraaf 2.5. Ook in de Wet tot regeling van het toezicht op krankzinnigen BES22 is een inzagerecht opgenomen. De regering werkt aan een inhoudelijke modernisering van deze wet. Eventuele verduidelijking van het inzagerecht wordt daarin meegenomen.

De wijziging in het kader van de Kaderwet VWS-subsidies geldt ook ten aanzien van subsidieaanvragers uit Caribisch Nederland.

4. Verhouding tot nationale wetgeving

De invloed van de wijzigingen op de bestaande wetgeving is voor de verschillende onderdelen toegelicht in hoofdstuk 2. Het wetsvoorstel heeft geen gevolgen voor andere (in voorbereiding zijnde) regelingen.

5. Gegevensbeschermingseffectbeoordeling (DPIA)

Gezien de aard van dit wetsvoorstel zijn gegevensbeschermingseffectbeoordelingen uitgevoerd op onderdelen van het wetsvoorstel. Met behulp hiervan is de noodzaak onderzocht van de voorgenomen verwerking van persoonsgegevens en zijn op gestructureerde wijze de gevolgen en risico’s van de gegevensverwerkingen voor de rechten en vrijheden van betrokkenen van het onderhavige wetsvoorstel in kaart gebracht voor zover deze tot nu toe te overzien zijn.

De DPIA’s gingen niet in op de onderwerpen:

• De inzagebevoegdheid van de IGJ

• Verduidelijking verwerking bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke aard door Veilig Thuis

• Aanlevering gegevens van Veilig Thuis aan het CBS

• Bewaartermijn Veilig Thuis

• Delegatiegrondslag verwerking persoonsgegevens IBES

• Hergebruik gegevens op grond van de Wzd voor de Wlz

Met de eerste vier onderwerpen worden geen nieuwe grondslagen in het leven geroepen, maar bestaande grondslagen en bewaartermijnen verduidelijkt.

Het vijfde onderwerp betreft een delegatiegrondslag. Een DPIA wordt uitgevoerd, zodra van de delegatiegrondslag gebruik wordt gemaakt.

Het laatste onderwerp betreft een spiegelbepaling zoals opgenomen in de artikelen 22, achtste lid, en 26, tweede lid, Wzd. Gezien de grote overeenkomst met deze artikelen en omdat het gaat om hergebruik binnen één organisatie is afgezien van het uitvoeren van een DPIA.

Naar aanleiding van de DPIA zijn de wettekst en toelichting op een aantal punten aangescherpt. Zo zijn de teksten over de verplichting tot het aanleveren van gegevens naar aanleiding van een andere melding verduidelijkt en is artikel 5.2.9 Wmo 2015 aangepast, zodat daaruit duidelijk blijkt wanneer Veilig Thuis het BSN gebruikt. Ook is de toelichting aangescherpt ten aanzien van de grondslag voor gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars. Gegevensuitwisseling ten behoeve van het fraudeonderzoek betekent dat persoonsgegevens met gemeenten en ziektekostenverzekeraars gedeeld kunnen worden, waar dat zonder deze grondslag niet gebeurd zou zijn. Hierbij kunnen eventueel risico’s ontstaan op een datalek. Betrokken instanties zullen passende technische en organisatorische maatregelen moeten treffen die een op het risico afgestemd beschermingsniveau waarborgen. Hiertoe zal ook een gegevensbeschermingseffectbeoordeling gericht op de praktijk worden uitgevoerd.

6. Gevolgen (m.u.v. financiële gevolgen)

De gevolgen worden hieronder per onderdeel toegelicht.

Inzagebevoegdheid IGJ (par 2.1)

Door de verduidelijking van het begrip inzage is het voor toezichthoudende ambtenaren van de IGJ en andere betrokken partijen direct duidelijk hoe ver het inzagerecht als handhavingsinstrument reikt. Hierdoor wordt het uitvoeren van de toezichtstaak vereenvoudigd.

Gegevensverwerking door de IGJ bij andere meldingen (par 2.2)

Doordat zorgaanbieders en zorgverleners worden verplicht om bij en naar aanleiding van een andere melding aan de IGJ (bijzondere categorieën van) persoonsgegevens te verstrekken in het kader van het te verrichten onderzoek, kan de IGJ haar taak beter uitvoeren. Zoals uit het voorgaande blijkt, kan dit een doorbreking van het medisch beroepsgeheim betekenen. Hier moet zeer terughoudend mee om worden gegaan. Bij het opstellen van deze bepaling is, zoals toegelicht in paragraaf 2.2 een afweging gemaakt tussen het belang van de IGJ en dus de volksgezondheid om een melding goed en volledig te kunnen onderzoeken en het belang van degene aan wie de (gezondheids)gegevens toebehoren.

Gegevensverwerking bij de uitvoering van de hulplijnen (par 2.3)

Door toevoeging van een grondslag voor de verwerking van (bijzondere categorieën van) persoonsgegevens voor de hulplijnen (mogelijkheid voor jongeren om hun verhaal te kunnen doen, vragen te stellen en advies te krijgen), de kwaliteitsverbetering en beleidsvorming via de monitoring op de telefoongesprekken en chatfunctie is de uitvoering van de hulplijnen geborgd.

Door de verduidelijking van de grondslag voor de verstrekking van gegevens door Veilig Thuis ten behoeve van beleidsinformatie is voor alle betrokken partijen direct duidelijk dat de wet zowel een grondslag biedt voor verstrekking van gegevens inzake kindermishandeling als voor vormen van huiselijk geweld waarbij geen kinderen betrokken zijn.

Aanscherping taakomschrijving Veilig Thuis en grondslagen voor gegevensverwerking Veilig Thuis (par 2.4)

De uitbreiding van artikel 4.1.1, tweede lid, Wmo 2015 verduidelijkt de mogelijkheden tot vroegtijdige afstemming bij onveiligheid in gezinssystemen. Door vroegtijdige en gelijktijdige afstemming kunnen situaties van onveiligheid in gezinssystemen eerder (gezamenlijk) in beeld komen bij de betrokken partners. Het parallel (en minder volgtijdelijk) samenwerken door de betrokken partners zorgt ervoor dat zij met meer snelheid en efficiency kunnen samenwerken. De kans op escalatie of herhaling van het geweld wordt door de vroegtijdige en gelijktijdige afstemming teruggebracht. Door het hergebruik van gegevens door het CIZ worden een extra (administratieve) belasting voor de cliënt en onnodige vertraging voorkomen.

Delegatiegrondslag verwerking persoonsgegevens IBES (par 2.5)

Deze delegatiegrondslag maakt het mogelijk om in een amvb over de bestrijding van huiselijk geweld tevens regels te stellen over de in dat kader noodzakelijke verwerking van bijzondere persoonsgegevens.

Hergebruik gegevens Wzd voor Wlz door CIZ (par 2.6)

Met het hergebruik van gegevens vanuit de Wzd t.b.v. de uitvoering van de Wlz wordt de uitvoering van de Wlz vereenvoudigd. Hiermee wordt voorkomen dat de cliënt, zijn vertegenwoordiger of de betrokken zorgprofessional gegevens moeten aanleveren die al bij het CIZ aanwezig zijn. Het indicatiebesluit kan daardoor sneller worden verleend.

Grondslag gegevensverwerking in de Kaderwet VWS-subsidies (par 2.7)

Met de grondslag voor gegevensverwerking in de Kaderwet VWS-subsidies kunnen aanvragen (goed) worden behandeld en ontstaat duidelijkheid voor zowel de aanvrager als de ambtenaar die de subsidie beoordeelt.

Grondslag gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij fraudeonderzoek (par 2.8)

Met de grondslag voor gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars kunnen fraudeonderzoeken beter wordt uitgevoerd, sneller worden afgerond en kunnen er op basis van een afgerond fraudeonderzoek maatregelen genomen worden, zoals het terugvorderen van onterechte betalingen. De betrokken gemeenten en ziektekostenverzekeraars dienen wel bepaalde handelingen te verrichten om gegevens uit te kunnen wisselen. Het kan zijn dat bepaalde instanties meer worden bevraagd of vaker gegevens moet delen dan anderen, maar over de hele linie genomen zullen de baten, ten aanzien van de aanpak van fraude, opwegen tegen de lasten.

Doenvermogen

Dit wetsvoorstel heeft naar verwachting beperkte invloed op het doenvermogen van burgers, omdat met dit wetsvoorstel met name technische wijzigingen of verduidelijking is beoogd. Ten aanzien van een aantal onderwerpen hoeft er, doordat er een grondslag voor gegevensverwerking wordt geregeld, geen toestemming van de burger meer te worden gevraagd voor het verwerken van persoonsgegevens. Dit kan meer vragen van het doenvermogen van burgers die bezwaar hebben tegen de verwerking. Aan de andere kant worden burgers door deze grondslagen niet meer belast met het maken van een afweging over het al dan niet geven van toestemming voor gegevensverwerking.

Komt een betrokkene er zelf niet uit, dan zijn er verschillende ondersteuningsmogelijkheden. Voor juridische vragen kunnen betrokkenen terecht bij bijvoorbeeld het Juridisch Loket of sociaal raadslieden. Jeugdigen, ouders en pleegouders kunnen daarnaast een beroep doen op een vertrouwenspersoon, dat geldt ook voor personen die bij een melding aan Veilig Thuis zijn betrokken, cliënten met een verstandelijke beperking, psychogeriatrische aandoening of daaraan gelijkgestelde aandoening en personen voor wie een zorgmachtiging op grond van de Wvggz wordt voorbereid of afgegeven. Daarnaast kunnen cliënten die gebruikmaken van langdurige zorg terecht bij een onafhankelijke cliëntondersteuner via het zorgkantoor en kan men in alle andere gevallen terecht bij de onafhankelijke cliëntondersteuner van de gemeente. Naar aanleiding van de Parlementaire Ondervragingscommissie Kinderopvangtoeslag is geld beschikbaar gesteld aan gemeenten om de publieke dienstverlening aan burgers te verbeteren. Een deel hiervan is bestemd voor de verbetering van (lokale) rechtsbescherming. Het Programma Robuuste Rechtsbescherming is er om gemeenten hierbij te ondersteunen, met als doel het basisrecht van alle inwoners op onafhankelijke sociaal-juridische ondersteuning en rechtshulp op lokaal niveau te garanderen.

7. Uitvoering

Het merendeel van dit wetsvoorstel beoogt een technische wijziging, verduidelijking van bepalingen of creëert een wettelijke grondslag voor gegevensverwerking en leidt niet tot een wijziging in taken. De uitvoering van de bestaande taken wordt door de verduidelijking in de praktijk vereenvoudigd.

De betreffende gedeelten van het wetsvoorstel zijn afgestemd met Stichting De Kindertelefoon, Stichting Sensoor, de landelijke luisterlijn, het Landelijk Netwerk Veilig Thuis, de partijen in de strafrechtketen, het CIZ en DUS-I. Aanvullend daarop hebben Stichting de Kindertelefoon, Stichting Sensoor, de landelijke luisterlijn en het Landelijk Netwerk Veilig Thuis een uitvoeringstoets uitgevoerd23.

Stichting De Kindertelefoon en Stichting Sensoor de Luisterlijn hebben verzocht om enkele aanpassingen in de toelichting. Deze zijn verwerkt.

De leden van het Landelijk Netwerk Veilig Thuis hebben laten weten dat er wat betreft de uitvoerbaarheid van het wetsvoorstel voor de Veilig-Thuis-organisaties geen bezwaren bestaan. De wijziging m.b.t. de chat van Veilig Thuis maakt de uitvoeringspraktijk makkelijker. Dit geldt ook voor de wijzigingen m.b.t. de verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard, de gevalsbehandeling en de beleidsinformatie. De Veilig Thuis-organisaties leveren nu voor het genereren van beleidsinformatie een cliëntnummer aan bij het CBS. Na de wijziging komt het BSN hiervoor in de plaats. Voor de gebruiker heeft dit geen invloed op de uitvoerbaarheid. Bij de leverancier van de software betekent het een kleine technische wijziging waar bij het ontwerp al op voorgesorteerd was.

Van 17 augustus 2022 tot 1 november 2022 hebben de VNG en ZN de gelegenheid gekregen om de uitvoerbaarheid van het onderdeel «grondslag samenwerking tussen gemeenten, zorgkantoren en zorgverzekeraars» te toetsen. De uitkomsten van deze toetsen zijn hierna samengevat, waarbij is opgenomen wat met de uitkomsten al dan niet is gedaan in dit onderdeel en toelichting daarop.

VNG

De VNG ziet meerwaarde in de beide onderdelen binnen artikel 2.7a omdat het delen van informatie met ziektekostenverzekeraars, andere gemeenten en binnen de gemeente tussen de domeinen van de Wmo 2015 en Jeugdwet vergemakkelijkt worden. De bepalingen zorgen niet voor belemmeringen in de uitvoering.

De VNG heeft twee kanttekeningen. Allereerst is onvoldoende duidelijk welke gegevens op grond van dit onderdeel van het wetsvoorstel gedeeld mogen worden. Dit zal nader uitgewerkt bepaald worden bij amvb.

Als tweede geeft de VNG aan dat gemeenten om zorgfraude effectief te kunnen aanpakken, meer nodig hebben dan deze gegevensuitwisseling alleen. Dit laatste valt buiten de scope van dit onderdeel van het wetsvoorstel.

ZN

ZN geeft aan dat de voorgestelde aanpassing ervoor zorgt dat zorgkantoren bij fraudeonderzoek sneller en beter inzicht krijgen in het gedrag en de financiële huishouding van zorgaanbieders hetgeen eraan bijdraagt dat de fraudebestrijding sneller en beter kan plaatsvinden. ZN ziet geen belemmering in de uitvoering door beide voorgestelde bepalingen.

8. Regeldruk

Regeldruk is een verzamelnaam voor kosten die samenhangen met administratieve lasten (kosten om te voldoen aan informatieverplichtingen aan de overheid vanuit regelgeving), inhoudelijke nalevingkosten (kosten om te voldoen aan inhoudelijke eisen uit wet- en regelgeving) en toezichtlasten.

Met het hergebruik van gegevens vanuit de Wzd t.b.v. de uitvoering van de Wlz wordt beoogd de regeldruk te verminderen. Het CIZ vraagt thans dezelfde informatie voor de Wlz op bij de cliënt, zijn vertegenwoordiger of betrokken zorgprofessional. Het in het kader van Wlz nogmaals opvragen van de al bij het CIZ vanuit de Wzd bekende informatie is een extra (administratieve) belasting voor de cliënt, zijn vertegenwoordiger of betrokken zorgprofessional. Met hergebruik wordt voorkomen dat deze partijen gegevens moeten aanleveren die al bij het CIZ aanwezig zijn en kan een indicatiebesluit sneller worden verleend. Dit leidt tot een reductie van de regeldruk voor zorgprofessionals, maar ook een reductie in de regeldruk voor cliënten en vertegenwoordigers. Op dit moment is het nog niet mogelijk om de kwantitatieve effecten van dit wetsvoorstel op de regeldruk exact in kaart te brengen. Er wordt verwacht dat ongeveer 1000 keer per jaar gebruik wordt gemaakt van de mogelijkheid tot hergebruik.

Met de andere onderdelen van het wetsvoorstel wordt beoogd de grondslagen bij bestaande taken aan te vullen en te verduidelijken. De uitvoering van de bestaande taken wordt door deze verduidelijking vereenvoudigd. De gevolgen hiervan op de regeldruk zijn echter lastig te kwantificeren. In ieder geval worden geen negatieve regeldrukgevolgen verwacht.

Het Adviescollege toetsing regeldruk (ATR) heeft het dossier niet geselecteerd voor een formeel advies, omdat de – positieve – gevolgen voor de regeldruk toereikend in beeld zijn gebracht.

9. Toezicht en handhaving

Toezicht en handhaving op de verwerking van persoonsgegevens wordt – net als nu – uitgevoerd door de functionarissen gegevensbescherming en de AP. Als gegevens worden verwerkt in strijd met de privacyregels en de verwerkingsverantwoordelijke een klacht hierover niet oplost kan de betrokkene de interne toezichthouder – de functionaris gegevensbescherming – betrekken. Leidt dat niet tot een oplossing, dan kan een klacht in worden gediend bij de AP. Bij twijfel hierover kan de betrokkene de AP vooraf bellen via het gratis telefoonnummer 088 – 1805 250.

De IGJ en de Inspectie Justitie en Veiligheid (hierna: IJenV) zijn uitgenodigd om een uitvoerbaarheids- en handhaafbaarheidstoets uit te voeren24.

Ten aanzien van de verduidelijking van het inzagerecht van patiëntendossiers merkt de IJenV op dat zij deze verduidelijking op prijs stelt. Onduidelijkheid over het inzagerecht is onwenselijk en deze verduidelijking maakt daar een einde aan. Ook de IGJ wijst erop dat de onduidelijkheid in de formulering van de betreffende wetsartikelen in enkele gevallen discussies opleveren in de uitvoeringspraktijk. De IGJ onderschrijft daarom het belang dat in het voorliggende wetsvoorstel het inzagerecht op dit punt wordt verduidelijkt.

De IGJ heeft geadviseerd om de memorie van toelichting op het punt van de formulering van de (afgeleide) geheimhoudingsplicht van de IGJ te verduidelijken. De concept memorie van toelichting vermeldde niets over de achtergrond hiervan. In de toelichting is verduidelijkt dat met de nieuwe formulering geen inhoudelijke wijziging beoogd is.

Oorspronkelijk was het voornemen om met dit wetsvoorstel ook een expliciete wettelijke mogelijkheid tot het doorbreken van de geheimhoudingsplicht bij het indienen van een tuchtklacht op grond van de Jeugdwet te creëren. Ten aanzien van dit voorstel heeft de AP geadviseerd de doorbrekingsgrond voor de Jeugdwet nader te motiveren. De IJenV heeft opgemerkt dat zij tot op heden nog geen gebruik heeft gemaakt van het kunnen indienen van een tuchtklacht. Evenwel heeft de IJenV aangegeven de verduidelijking in de wet van de mogelijkheid tot doorbreking van het beroepsgeheim een goede aanvulling te vinden op de bevoegdheid tot het indienen van een tuchtklacht. De IGJ heeft erop gewezen dat zij ook buiten het jeugddomein, namelijk op grond van de Wet BIG, bevoegd is tot het indienen van tuchtklachten vanwege het belang van de kwaliteit en veiligheid van de zorg. Het uitsluitend opnemen van een expliciete wettelijke doorbrekingsgrond ten aanzien van de Jeugdwet zou tot een discrepantie met de Wet BIG leiden. De IGJ heeft daarom verzocht ook een expliciete wettelijke doorbrekingsgrond van de (afgeleide) geheimhoudingsplicht voor het indienen van tuchtklachten op grond van de Wet BIG op te nemen.

In hoeverre het noodzakelijk is deze doorbrekingsgrond ten aanzien van zowel de Jeugdwet als de Wet BIG wettelijk te regelen, vergt nader onderzoek. Om verdere vertraging te voorkomen, is daarom besloten een eventueel noodzakelijke doorbrekingsgrond mee te nemen in een volgende wetswijziging.

Handhavend en toezichthoudend optreden is verder per wet gebonden aan eigen kaders.

10. Financiële gevolgen

Het wetsvoorstel leidt niet tot een wijziging in taken. Het wetsvoorstel beoogt enkel een nadere invulling te geven aan of verduidelijking te geven van de gegevensverwerking bij bestaande wettelijke taken. De verwachting is niet dat partijen naar aanleiding van dit wetsvoorstel voor deze onderdelen met extra uitgaven zullen worden geconfronteerd.

11. Advies en consultatie25

Op grond van hun wettelijke taken hebben de AP en de Commissie toezicht bescherming persoonsgegevens BES een advies uitgebracht. Daarnaast is het wetsvoorstel in internetconsultatie geweest, die verschillende reacties heeft opgeleverd.

De AP is de toezichthouder op de juiste uitvoering van de AVG. Daarom is dit wetsvoorstel voor advies aan dit college voorgelegd. Daarnaast zijn de betreffende gedeelten van het wetsvoorstel afgestemd met de IGJ, de IJenV, Stichting De Kindertelefoon, Stichting Sensoor, de landelijke luisterlijn, Veilig Thuis en het CIZ.

11.1. Advies Autoriteit Persoonsgegevens

De AP heeft in het advies op verschillende punten bezwaar gemaakt tegen het concept en heeft geadviseerd om de procedure niet voort te zetten, tenzij het bezwaar is weggenomen.

Naar aanleiding van de wijziging van artikel 18.4.7h van de Invoeringswet BES heeft de AP daarnaast opgemerkt deze voor te leggen aan de Commissie toezicht bescherming persoonsgegevens BES (hierna: CBP BES). In het huidige artikel 18.4.7h is het inzagerecht van de IGJ in patiëntendossiers op de BES opgenomen. Zoals uit het voorgaande blijkt, is het inzagerecht van de IGJ in een heel aantal volksgezondheidswetten opgenomen en wordt dit met het wetsvoorstel verduidelijkt. Met deze wijziging worden geen nieuwe verwerkingen in het leven geroepen en om die reden is hiervoor dan ook geen DPIA opgesteld. Voor nadere toelichting wordt in dit kader verwezen naar hoofdstuk 5. Op grond van artikel 49 Wbp BES kan door de Minister aan de Wbp BES advies worden gevraagd onder meer als het gaat om een wetsvoorstel dat betrekking heeft op de verwerking van persoonsgegevens op de BES. Nu met deze verduidelijking van het inzagerecht geen nieuwe verwerking van persoonsgegevens is voorzien, is er om die reden voor gekozen de onderhavige wijziging niet voor te leggen aan de CBP BES. De verduidelijking van het inzagerecht van de volksgezondheidswetten zat in onderhavig wetsvoorstel dat integraal aan de AP is voorgelegd, omdat de meeste onderwerpen uit onderhavig wetsvoorstel wel een nieuwe gegevensverwerking in het leven riepen.

Hieronder wordt per onderdeel ingegaan op het advies.

Inzagebevoegdheid IGJ

De AP adviseert om in de memorie van toelichting aan te geven wat de achtergrond is van de afwijkende terminologie in de voorgestelde artikelen 13:1, derde lid Wvggz en 60, derde lid Wzd ten opzichte van de andere bepalingen inzage het inzagerecht, De AP adviseert daarbij om uit te leggen wat «redelijkerwijs noodzakelijk» betekent ten opzichte van «noodzakelijk». Als gevolg van dit advies is «redelijkerwijs» te komen te vervallen in de voorgestelde artikelen 13:1, derde lid, Wvggz en 60, derde lid, Wzd.

Gegevensverwerking door IGJ bij «andere meldingen»

Met betrekking tot dit onderwerp heeft de AP het volgende geadviseerd: «In artikel 25, eerste lid, Wkkgz is sprake van zowel «onderzoek» als «nader onderzoek». Tot nader onderzoek wordt pas overgegaan als aan een aantal voorwaarden is voldaan. In de memorie van toelichting wordt de noodzaak om over (bijzondere) persoonsgegevens en persoonsgegevens van strafrechtelijke aard te beschikken alleen in verband gebracht met dit nader onderzoek. De AP adviseert om in de memorie van toelichting te beargumenteren waarom de verplichte gegevensverstrekking ook al nodig is in het kader van het reguliere onderzoek.»

In reactie hierop is in de toelichting bij het onderdeel over de «andere meldingen» aangepast.

Gegevensverwerking door IGJ en IJenV bij het indienen van tuchtklachten op grond van de Jeugdwet

De AP adviseert dit onderdeel beter te verantwoorden in de memorie van toelichting door:

• de noodzaak van doorbreking van het afgeleid beroepsgeheim ten behoeve van het aanhangig maken van een tuchtzaak zonder toestemming nader te motiveren en daarbij in elk geval te vermelden wat de follow up is geweest van de in het advies aangehaalde aanbeveling van NIVEL, en

• te onderbouwen waarom de inbreuk op de persoonlijke levenssfeer van de jeugdige in dit geval gerechtvaardigd kan worden geacht.

Dit onderdeel maakt niet langer deel uit van dit wetsvoorstel om redenen als genoemd in hoofdstuk 9.

Gegevensverwerking bij de uitvoering van de kindertelefoon, de luisterlijn en de chat van Veilig Thuis

De AP adviseert alsnog na te gaan of de verwerkingen – bijvoorbeeld door aanpassing van de «toestemmingstekst» – kunnen worden gebaseerd op toestemming. Indien toch wordt gekozen voor een wettelijke grondslag, dan zal moeten vaststaan dat deze inmenging evenredig is met het nagestreefde gerechtvaardigde doel.

Uit het onderzoek is gebleken dat een toestemmingstekst een drempel opwerpt voor kinderen (8–18 jarigen) die contact zoeken met de kindertelefoon. Meer dan de helft van de kinderen twijfelt of geeft geen toestemming en 16% besluit om niet meer te gaan chatten. Ze zijn bang dat hun ouders kunnen zien dat ze hebben gechat, dat hun gegevens met derden worden gedeeld, dat er «iets achter zit», dat het gesprek niet anoniem/vertrouwelijk is. Andere redenen dat het vragen om toestemming een drempel opwerpt, is dat ze de afspraak hebben met hun ouders dat ze altijd eerst moeten overleggen voordat ze een vinkje aanklikken, ze de tekst niet snappen of ze het irritant vinden om eerst iets te moeten doorlezen voordat ze kunnen chatten. Een deel van deze knelpunten zou kunnen worden ondervangen door een eenvoudigere en duidelijkere toestemmingstekst (in kindertaal). Echter, is het de vraag of een korte simpele tekst voldoende inzicht geeft in de gegevensverwerking. De kinderen geven immers aan dat het niet meer dan één zin zou moeten zijn. Bovendien lost dit niet alle knelpunten op. Voor de kinderen die bang zijn dat er «iets achter zit», de kinderen die eerst met hun ouders moeten overleggen of die elke toestemmingstekst zien als drempel om te chatten blijft de toestemming een obstakel. Terwijl de kindertelefoon juist een laagdrempelig luisterend oor wil bieden voor alle kinderen. Ook voor de meest kwetsbare kinderen die het juist zo spannend vinden om contact te zoeken. Om die reden is toestemming geen geschikte grondslag en is het passend om een grondslag wettelijk vast te leggen.

De doelgroep van de luisterlijn en de chat van Veilig Thuis is anders, maar net als de kindertelefoon beogen ook deze hulplijnen een zo laagdrempelig mogelijke voorziening te bieden. De luisterlijn is er voor iedereen die ergens mee zit. De chat van Veilig Thuis is bedoeld als een extra laagdrempelige mogelijkheid voor iedereen die te maken heeft met huiselijk geweld en kindermishandeling en voor omstanders om advies te krijgen. Met name wanneer bellen lastig is en juist wanneer de drempel om contact te zoeken al hoog is. Het vragen van toestemming op een manier die tegemoetkomt aan de laagdrempeligheid van de functies (kort, eenvoudig en snel) en tegelijkertijd zorgvuldig is (een goede omschrijving van de gegevensverwerking omvat en specifieke vragen bevat) is niet mogelijk.

Tot slot is verwerking van het telefoonnummer of IP-adres nodig om oneigenlijk (overmatig) gebruik van de hulplijnen tegen te gaan. De verwachting is dat degenen die misbruik maken van de hulplijnen hier niet snel toestemming voor zullen geven. Toestemming is dan dus niet goed bruikbaar.

Het bij wet regelen van de gegevensverwerking en de waarborgen is voor deze functies daarom passender dan het vragen van toestemming.

Verbreding van grondslag voor gegevensverstrekking door Veilig Thuis

De AP adviseert deze gegevensverwerking zodanig vorm te geven dat de brongegevens in anonieme vorm worden verstrekt aan het college, de Minister van VWS en aan de Minister voor Rechtsbescherming, en artikel 4.2.12 Wmo 2015 hierop aan te passen. In reactie op dit advies is toegelicht waarom de brongegevens t.b.v. beleidsinformatie niet reeds bij aanlevering door Veilig Thuis zelf kunnen worden geaggregeerd en geanonimiseerd.

Verwerking van bijzondere en strafrechtelijke persoonsgegevens door Veilig Thuis

De AP adviseert daarom de strekking van artikel 5.1.6, tweede lid, Wmo 2015 te beperken tot hetgeen in dit verband aantoonbaar noodzakelijk is. In reactie op dit advies zijn de door Veilig Thuis te verwerken bijzondere categorieën van persoonsgegevens gespecificeerd. Voor de gegevens van strafrechtelijke aard is dit niet mogelijk. Het begrip «persoonsgegevens van strafrechtelijke aard» is gedefinieerd in artikel 1 UAVG. Hieronder vallen persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen als bedoeld in artikel 10 van de AVG. Voor al deze soorten van gegevens van strafrechtelijke aard geldt dat het noodzakelijk kan zijn voor Veilig Thuis om deze te verwerken.

Verstrekking van gegevens door Veilig Thuis aan partijen in de strafrechtketen

De AP adviseert terdege aandacht te schenken aan de verhouding tussen de voorgestelde verstrekkingen en de artikelen 9 en 10 AVG en aan de mitigerende maatregelen die ingevolge deze artikelen (mogelijk) zijn vereist. De AP adviseert daarnaast de verstrekking aan bij ministeriele regeling aan te wijzen andere partijen te schrappen.

Naar aanleiding van het advies is een toelichting opgenomen over de verhouding met de artikelen 9 en 10 van de AVG en is de zinsnede «aan bij ministeriële regeling aan te wijzen andere partijen» komen te vervallen. De AP heeft ook nog opgemerkt dat de zinsnede «informatie die op de melding betrekking heeft» te onbepaald is. Het voorgestelde artikel 4.1.1, tweede lid, onderdeel e, Wmo 2015 moet worden gelezen in samenhang met artikel 5.1.6, tweede lid, Wmo 2015. Daaruit volgt dat bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke aard die verband houden met de melding, alleen mogen worden gedeeld indien daartoe een noodzaak is. De aanvulling in deze zinsnede dient er juist toe om concreter te maken dat ketenpartners niet alleen van de melding zelf op de hoogte worden gesteld, maar ook van de context van de melding. In het belang van de veiligheid van betrokkenen kan het immers noodzakelijk zijn dat een strafrechtpartner die van de melding op de hoogte is of wordt gesteld, ook nog de contextinformatie ontvangt die nodig is om tot een goede afstemming te komen.

Verder heeft de AP gevraagd of de brongegevens ten behoeve van beleidsinformatie niet reeds bij Veilig Thuis zouden kunnen worden geaggregeerd en geanonimiseerd. Dat is bij de structurele gegevensverstrekking niet mogelijk. Identificerende gegevens zijn bijvoorbeeld noodzakelijk voor het CBS om koppelingen te kunnen maken tussen meerdere meldingen met betrekking tot dezelfde persoon, ook als die meldingen bij verschillende Veilig Thuis-organisaties zijn gedaan. Verder zijn identificerende gegevens nodig om verschillende statistieken, bijvoorbeeld informatie over Veilig Thuis en informatie over jeugdhulpgebruik, met elkaar in verband te kunnen brengen. Microdata (informatie op persoonsniveau) worden niet openbaar gemaakt. De inhoud van alle statistieken en rapportages die gepubliceerd worden, is niet herleidbaar tot een individu. Onderzoek op dit soort data is wel mogelijk via de zogenaamde remote access voorziening van het CBS, voor organisaties die daarvoor door het CBS geautoriseerd zijn. Ook dan geldt echter dat de gegevens die worden gepubliceerd naar aanleiding van dit onderzoek nog steeds niet tot een persoon te herleiden mogen zijn.

Grondslag gegevensverwerking in de Kaderwet VWS-subsidies

In het voorgestelde artikel 3, vierde lid, van de Kaderwet VWS-subsidies is een verwerkingsgrondslag opgenomen van onder meer bijzondere categorieën van persoonsgegevens bij het beoordelen van een subsidieaanvraag dan wel bij het verlenen of vaststellen van een subsidie. De AP heeft opgemerkt dat uit het algemeen deel van de toelichting alleen blijkt dat het ten behoeve van dit doel noodzakelijk kan zijn gezondheidsgegevens te verwerken. AP adviseert de noodzaak om ook andere bijzondere categorieën van persoonsgegevens dan gezondheidsgegevens toe te lichten. Aan het advies van de AP wordt tegemoetgekomen door de aanvulling van de toelichting met voorbeelden waaruit blijkt dat het noodzakelijk kan zijn ook andere bijzondere categorieën van persoonsgegevens te verwerken bij het uitvoeren van bepaalde subsidieregelingen.

Grondslag gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars

Volgens de AP is onvoldoende duidelijk waarom het noodzakelijk is voor de voorgestelde gegevensuitwisseling een nieuwe grondslag te creëren, en waarom de voorgestelde gegevensuitwisseling niet via het IKZ zou kunnen plaatsvinden.

Om het terechte bezwaar van de AP weg te nemen, zijn zowel de artikelen als de toelichting aangepast. In het voorgestelde artikel is nu bepaald dat gegevensuitwisseling alleen kan worden toegepast nadat het instrument van het IKZ is ingezet. Uitsluitend wanneer een gemeente of ziektekostenverzekeraar een verrijkt signaal van het IKZ heeft ontvangen, kan daarna gegevensuitwisseling plaatsvinden als dat noodzakelijk is voor het fraudeonderzoek. In hoofdstuk 2 van deze toelichting is duidelijker beschreven waarom het noodzakelijk is gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars mogelijk te maken in aanvulling op het reeds bestaande instrument van het IKZ. Ook is toegelicht in welke gevallen het IKZ niet toereikend is en dus een aanvullend instrument van noodzakelijk is. Naar verwachting is het bezwaar van de AP met deze wijzigingen weggenomen.

11.2. Commissie toezicht bescherming persoonsgegevens BES

De CBP BES heeft advies uitgebracht over het onderdeel «delegatiegrondslagen gegevensverwerking IBES» (paragraaf 2.5). De CBP BES is kritisch op de voorgestelde aanvulling van artikel 18.4.5, eerste lid, onderdeel e, van de Invoeringswet BES, met het stellen van regels over de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens. De CBP BES constateert dat de voorgestelde wijziging niet in de geest van de Wbp BES past. Belangrijkste argument voor deze constatering is dat onvoldoende specifiek in de memorie van toelichting is opgenomen welke belangenafweging ertoe heeft geleid dat de uitbreiding van de verwerkingsmogelijkheden van persoonsgegevens noodzakelijk is. De CBP BES adviseert om expliciet aan te geven welke bijzondere persoonsgegevens, voor welke doeleinden, door wie, waarom, wanneer en op welke wijze, mogen worden verwerkt. Ook adviseert de CBP BES om expliciet passende waarborgen op te nemen voor de verwerking van bijzondere persoonsgegevens.

De CBP BES vindt daarnaast dat 12 jaar na de transitiedatum en 7 jaar na het verstrijken van de termijn van de oorspronkelijk bedoelde legislatieve terughoudendheid in Caribisch Nederland de tijd rijp is om het onderwerp maatschappelijke ondersteuning onder te brengen in een wet in formele zin, waarbij de bescherming van de persoonlijke levenssfeer en in het bijzonder de bescherming van bijzondere persoonsgegevens op dezelfde manier geregeld wordt. De CBP BES adviseert dit zo spoedig mogelijk te realiseren. De CBP BES vindt het noodzakelijk om de verwerking van bijzondere persoonsgegevens in het kader van huiselijk geweld en kindermishandeling verder te specificeren en expliciteren, inclusief de passende waarborgen én deze regels te plaatsen in een wet, zoals de Wmo 2015.

Met de CBP BES ben ik van mening dat de verwerking van bijzondere persoonsgegevens in het kader van huiselijk geweld en kindermishandeling moet worden gespecificeerd en geëxpliciteerd, inclusief de passende waarborgen.

Anders dan de CPB BES vind ik dat uitwerking bij amvb voldoende kan worden onderbouwd. Daarmee wordt aangesloten bij de systematiek van hoofdstuk 6 van de IBES waarin onder meer een grondslag is opgenomen om bij amvb regels te stellen voor de maatschappelijke ondersteuning en het bestrijden van huiselijk geweld en kindermishandeling. In deze amvb wordt, conform het advies van de CBP BES, de verwerking van persoonsgegevens die noodzakelijk is voor het bestrijden van huiselijk geweld en kindermishandeling verder uitgewerkt. Zo zal concreet worden omschreven wie persoonsgegevens, waaronder bijzondere persoonsgegevens, mogen verwerken en in welke gevallen het noodzakelijk is om bijzondere persoonsgegevens te verwerken. Daarnaast worden in de amvb regels opgenomen over de informatieverschaffing aan betrokkene en over de bewaartermijn van de gegevens.

Een effectieve bestrijding van huiselijk geweld en kindermishandeling is niet mogelijk zonder het verwerken van bijzondere persoonsgegevens. Indien artikel 18.4.5, eerste lid, onderdeel e, IBES niet zou worden aangevuld, zou deze delegatiegrondslag voor het onderwerp huiselijk en kindermishandeling geweld zinledig zijn.

Naar aanleiding van het advies is de toelichting op verschillende punten aangescherpt. Zo is uitgebreider toegelicht waarom het verwerken van bijzondere persoonsgegevens noodzakelijk is en zijn daarbij ook voorbeelden genoemd. Ik ben daarmee van mening dat de voorgestelde wijziging in de geest van de Wbp BES past. In dit verband wordt nog opgemerkt dat met de voorgestelde wijziging een delegatiegrondslag wordt aangepast en dat bij het op grond van die delegatiegrondslag regelen van de gegevensverwerking in een amvb de Wbp BES uiteraard in acht zal worden genomen. Deze amvb zal ook voor advies aan de CBP BES worden voorgelegd.

Wellicht ten overvloede merk ik op dat deze wijziging van de IBES niet nodig is voor het bij amvb regelen van de verwerking van bijzondere persoonsgegevens op het terrein van maatschappelijke ondersteuning. In het geval van maatschappelijke ondersteuning zal het veelal gaan over de verwerking van gegevens over gezondheid en daarvoor biedt artikel 21, eerste lid, Wbp BES een grondslag. Voor zover het in dat kader tevens nodig is om andere bijzondere persoonsgegevens te verwerken kan dat in bepaalde situaties op grond van het derde lid van artikel 21 Wbp BES.

De praktijk leert dat er qua wetgeving voor Caribisch Nederland nog steeds sprake is van een overgangsperiode. Het beleid wordt nog gevormd en de onderwerpen maatschappelijke ondersteuning en huiselijk geweld en kindermishandeling zijn nog niet voldoende uitgekristalliseerd om bij wet in formele zin te worden geregeld. De verwachting is dat een amvb over deze onderwerpen bijdraagt aan het verder brengen hiervan. De werking van deze amvb in de praktijk kan bijdragen aan de contouren van wetgeving voor een op maat gemaakt Caribisch stelsel voor zorg, jeugd en maatschappelijke ondersteuning, zie de brief aan de Tweede Kamer van 29 september jl.26 en het wetgevingsoverzicht bij de brief aan de Tweede Kamer van 22 december 202227.

11.3. Internetconsulatie

Dit wetsvoorstel stond open voor (internet)consultatie van 8 maart tot en met 20 april 2022.

Er zijn 17 reacties ontvangen van burgers, belangenorganisaties en partijen. Het onderdeel «grondslag gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars» stond apart open voor (internet)consultatie van 10 augustus tot en met 7 september 2022.28 Hier zijn in totaal acht openbare reacties op ontvangen van onder andere een ziektekostenverzekeraar, een gemeente en brancheverenigingen. Samenvattend wordt de wenselijkheid en noodzakelijkheid van het verstevigen en verduidelijken van de grondslagen van gegevensverwerkingen door verschillende respondenten zoals de Artsenfederatie KNMG en de Veilig Thuis organisaties onderschreven. Tegelijkertijd zijn er zorgen geuit en kanttekeningen van uiteenlopende aard geplaatst, waarop hieronder zal worden ingegaan. Alle reacties zijn waardevol en gewogen. In geval van aanpassing van het wetsvoorstel is steeds gezocht naar de juiste balans en zijn gemaakte keuzes onderbouwd.

11.3.1 Algemene zorgen over privacy

Een van de respondenten schrijft dat het áltijd gewenst is dat de persoon over wie het gaat, toestemming geeft. Ook andere respondenten schrijven dat een grotere inbreuk op de privacy van mensen met een beperking of een hulpvraag onnodig is en dat personen zouden moeten kiezen met welke instanties informatie gedeeld wordt. Ook wordt aandacht gevraagd voor waarborgen, zoals dat wordt beperkt wie het dossier in kan zien. Niet ter discussie staat dat het voor burgers duidelijk moet zijn hoe hun gegevens worden verwerkt, met wie die worden gedeeld en hoe zorgvuldige omgang wordt gewaarborgd. Dit is toegelicht in paragraaf 3.8 van deze toelichting. Toestemming is daarvoor echter niet altijd een geschikte grondslag. Om die reden is er in dit wetsvoorstel voor gekozen om aan aantal gegevensverwerkingen bij wet te regelen en hier de belangenafweging te maken tussen enerzijds het recht op privacy en anderzijds het belang dat met de gegevensverwerking is gediend en voorts te voorzien van kaders en waarborgen.

11.3.2 Inzagerecht
Proportionaliteit

Verschillende respondenten waaronder het Platform Burgerrechten, de Koninklijke Nederlandse Maatschappij tot bevordering der Tandheelkunde (hierna: KNMT) en de Nederlandse GGZ vragen aandacht voor de reikwijdte van het noodzakelijkheidscriterium. De huidige wettekst biedt volgens een aantal respondenten onvoldoende duidelijkheid en waarborgt daarmee onvoldoende dat alleen gebruik wordt gemaakt van de inzagebevoegdheden (en het maken van kopieën) wanneer en voor zover dat noodzakelijk en proportioneel is.

Met name bij de «andere meldingen» is voor respondenten onduidelijk in welke gevallen het noodzakelijk is om inbreuk te maken op het medisch beroepsgeheim. De respondenten vragen om een omschrijving van de situaties en type andere meldingen waarbij het voorzienbaar is dat het verstrekken van bijvoorbeeld gegevens over de gezondheid noodzakelijk zou kunnen zijn.

In de desbetreffende artikelen is aangegeven dat de bevoegdheid geldt voor zover dat voor de vervulling van de taak van de toezichthoudende ambtenaren noodzakelijk is en in de toelichting is dit nog eens benadrukt. Per geval moet worden getoetst of en in hoeverre het gebruikmaken van inzagerecht en andere bevoegdheden noodzakelijk is. Afschriften worden bijvoorbeeld alleen gemaakt indien noodzakelijk, bijvoorbeeld ten behoeve van zorgvuldig onderzoek of als bewijs. Daarbij worden de kopieën zoveel als mogelijk direct geanonimiseerd, indien cliëntgegevens niet (meer) nodig zijn. Als gevolg van deze reactie zijn in de toelichting een aantal voorbeelden opgenomen om dit te illustreren.

In dit kader wordt voorts aangegeven dat met dit wetsvoorstel aan de met toezicht belaste ambtenaren de bevoegdheid wordt gegeven «kopieën te maken van dossiers en indien dat niet ter plaatse kan geschieden, de dossiers voor dat doel voor korte tijd mee te nemen.» Er wordt aandacht gevraagd voor het risico dat dossiers kwijtraken en er wordt gepleit voor een veilige oplossing.

De inspecties voeren hun toezicht in beginsel zo uit dat het inzien van een dossier voldoende is. Alleen wanneer het maken van een afschrift noodzakelijk, maar ter plaatse onmogelijk is, wordt het dossier fysiek meegenomen. In de praktijk komt het zelden voor dat een dossier moet worden meegenomen. Dit gebeurt uitsluitend voor de periode die nodig is om veilig kopieën te kunnen maken en is in de wet geborgd door middel van het noodzakelijkheidsvereiste.

Bewaar- en vernietigingstermijnen

Platform Burgerrechten schrijft dat de gegevens na afronding van het onderzoek naar een melding moet worden verwijderd en dat dit zou moeten worden uitgewerkt in regelgeving.

De bewaartermijnen voor de inspecties zijn vastgelegd in de concernbrede selectielijst29. Indien er geen wettelijke interventie volgt na een melding geldt een termijn van 10 jaar na afhandeling van een dossier. Indien er wel een wettelijke interventie volgt geldt een termijn van 15 jaar na afhandeling van een dossier. Daarnaast geldt de noodzakelijkheidseis. Op basis daarvan worden – zoals eerder toegelicht – kopieën uit dossiers bijvoorbeeld geanonimiseerd wanneer de cliëntgegevens niet (meer) noodzakelijk zijn.

Dwangsommen

Specifiek wordt gevraagd naar de verhouding tussen het nieuwe artikel 6.1a Wmo 2015 (oplegging last onder dwangsom) en de bevoegdheid uit artikel 5:20, derde lid, Awb (in samenhang met 5:32, eerste lid, Awb) ter handhaving van de medewerkingsplicht.

Ook wordt gevraagd wat er wordt bedoeld met de zinssnede: «Of het vorderen van inlichtingen ter zake» in het nieuwe art. 6.1, tweede lid, Wmo 2015 en hoe dit zich materieel onderscheidt van artikel 5:16 Awb.

In de Awb is een apart hoofdstuk over toezicht op de naleving opgenomen, waarin meerdere bevoegdheden zijn toegekend aan toezichthouders. De IGJ als toezichthouder kan ook gebruik maken van deze bevoegdheden. Echter, in artikel 5:20, tweede lid, van de Awb is bepaald dat personen die een geheimhoudingsplicht hebben, hun medewerking aan toezichthouders kunnen weigeren. Beroepsbeoefenaren of hulpverleners hebben een zodanige geheimhoudingsplicht ten aanzien van gezondheidsgegevens van cliënten of patiënten. Voor het houden van toezicht is toegang tot deze gegevens echter noodzakelijk voor de IGJ. Om die reden zijn in de volksgezondheidswetten deze bevoegdheden voor de IGJ apart opgenomen. Gelet hierop was het ook noodzakelijk om naast artikel 5:16 Awb, artikel 6.1, tweede lid, Wmo 2015 op te nemen. Overigens is het nieuwe artikel 6.1, tweede lid, Wmo 2015 gelijkluidend aan de nieuwe bepalingen die eveneens zijn opgenomen in de Jeugdwet, de Wlz, de Wkkgz en vele andere volksgezondheidswetten.

Daarnaast is in de huidige wetten opgenomen dat een last onder dwangsom kan worden opgelegd in het geval de IGJ wordt belemmerd haar inzagerecht uit te oefenen. Het is inderdaad niet nodig om deze handhavingsbevoegdheid in deze wetten te regelen, omdat artikel 5:20, derde lid, Awb hier reeds in voorziet. De handhavingsbevoegdheid wordt daarom uit de betreffende artikelen gehaald. Daarnaast zijn nieuw ingevoegde handhavingsbevoegdheden, waaronder het nieuwe artikel 6.1a, uit het wetsvoorstel gehaald.

11.3.3 Kindertelefoon, luisterlijn en chat Veilig Thuis
Anonimiteit en versleuteling

Een van de respondenten vindt het opvallend dat de kindertelefoon en de luisterlijn niet meer anoniem gebeld kunnen worden en stelt voor de artikelen zo te formuleren dat zowel anoniem als niet anoniem contact mogelijk is, afhankelijk van de manier waarop de beller/mailer contact opneemt. Ook de Veilig Thuis organisaties benoemen dat de chatter veelal van anonimiteit zal uitgaan, terwijl er van hem/haar wel degelijk (indirect) tot de persoon herleidbare gegevens worden geregistreerd.

De huidige mate van vertrouwelijkheid in de praktijk blijft onverkort van toepassing. Anonimiteit als bedoeld in de AVG is echter niet mogelijk. De gegevens zijn wel zo veel als mogelijk ontdaan van herleidbare gegevens en er kunnen gesprekken worden gevoerd zonder dat die direct herleidbaar zijn naar een persoon. De hulplijnen verschaffen hierover reeds via o.a. hun websites zo duidelijk mogelijke informatie.

11.3.4 Veilig Thuis

Volgens de Veilig Thuis organisaties is van belang dat alleen persoonsgegevens worden verwerkt en gedeeld als dat strikt noodzakelijk is, de informatie volledig wordt geanonimiseerd en dus niet herleidbaar is tot een te identificeren casus. En dat oneigenlijk gebruik van de verstrekte persoonsgegevens door Veilig Thuis wordt voorkomen. De Veilig Thuis organisaties missen in de toelichting bij het wetsvoorstel dat oog is voor de hiervoor geschetste context en urgentie hiervan.

Artikel 4.3.2 van het Uitvoeringsbesluit Wmo 2015 bepaalt welke gegevens verstrekt worden. De uitwerking in het (van de Uitvoeringsregeling Wmo 2015 deel uitmakende) informatieprotocol beschrijft hoe de structurele verstrekking verloopt en dat een incidentele verstrekking geen persoonsgegevens bevat. De toelichting op dit onderdeel is aangevuld om deze context beter te schetsen.

Verder ziet Veilig Thuis een knelpunt in artikel 4.2.12 Wmo 2015. Dat artikel ziet zowel op het verstrekken van informatie ten behoeve van beleidsinformatie als op verstrekking van gegevens voor «gevalsbehandeling». Hierdoor zou de suggestie kunnen worden gewekt dat de verstrekte persoonsgegevens ten behoeve van beleid ook kunnen worden aangewend voor gevalsbehandeling. Veilig Thuis vindt het raadzaam om geen wettelijke grondslag te bieden voor het verstrekken van gegevens ten behoeve van gevalsbehandeling of om het verstrekken van die gegevens in elk geval met dezelfde of vergelijkbare waarborgen te omkleden die gelden voor het verstrekken van gegevens (waaronder het BSN) voor beleidsinformatie via het CBS. Het gaat hier inderdaad om twee verschillende doelen. Om dit te verduidelijken is dat nu expliciet in het paragraaf 2.4 van deze toelichting benoemd.

11.3.5 Gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars

Meerdere reacties betreffen de volgordelijkheid van de begrippen «signalen (IKZ), fraudeonderzoek en gerechtvaardigde overtuiging (Waarschuwingsregister)» van fraude in de zorg. De reacties beschrijven dat het niet helder is op basis van welke criteria het onderzoek van de ene fase overgaat in de andere fase. Daarnaast wordt in de reacties het verzoek gedaan om het begrip «vermoeden van fraude in de zorg» en de afbakening met de andere situaties van het wetsvoorstel nader te preciseren. Mede naar aanleiding van de ontvangen reacties zijn in de toelichting de begrippen verder uitgewerkt. Op het moment van consultatie bestond het wetsvoorstel uit twee onderdelen. Daarna is een derde onderdeel toegevoegd (nu onderdeel B). Het betreft een grondslag voor gegevensuitwisseling wanneer er sprake is van een fraudeonderzoek. De samenhang tussen de verschillende onderdelen is in de toelichting specifieker toegelicht en voorzien van een voorbeeld. Hiermee is tegemoet gekomen aan de belangrijkste reacties over dit onderwerp.

Een reactie sprak zorgen uit over het medisch beroepsgeheim. In de toelichting is naar aanleiding hiervan in de verduidelijkt dat voorliggend voorstel geen doorbreking van het medisch beroepsgeheim mogelijk maakt.

De VNG heeft aangegeven dat het nodig is dat ook bijzondere persoonsgegevens worden uitgewisseld om fraude in de uitvoeringspraktijk aan te kunnen pakken en verzoekt dit expliciet te noemen in de wettekst. Op basis van de voorgestelde wettekst is het mogelijk om bijzondere persoonsgegevens te delen30. Voor de Wbsrz als geheel geldt echter, gezien het voorgestelde artikel 1.2, dat op grond van het wetsvoorstel geen gegevens worden verstrekt indien op deze gegevens een geheimhoudingsplicht rust. Artikel 1.2 is daarmee ook van toepassing op hetgeen met dit onderdeel van het wetsvoorstel ingevoegd wordt in de Wbsrz. Bij amvb wordt bepaald welke (bijzondere) persoonsgegevens tussen de instanties worden uitgewisseld. Hierbij wordt aangesloten bij de systematiek die ook geldt voor het Waarschuwingsregister en het IKZ.

Tot slot zijn er enkele reacties ontvangen die betrekking hebben op de waarborgen die gelden met betrekking tot mogelijk datalekken. Dit onderdeel van het wetsvoorstel regelt een wettelijke grondslag voor het delen van gegevens, waaronder persoonsgegevens bij een fraudeonderzoek. Met het geheel van maatregelen en waarborgen waarmee de inbreuk op privacy en de mogelijke gevolgen daarvan voor betrokken steeds tot een minimum wordt beperkt, is voorzien in passende maatregelen. Het gaat dan onder andere om de in het algemeen geldende strikte voorwaarden voor de gegevensverwerking, procedurele voorschriften en vereisten. De verantwoordelijkheden in het geval van een inbreuk in verband met persoonsgegevens (een datalek), zoals het doen van een melding bij de AP en aan betrokkene(n), volgt uit de bepalingen uit de AVG.

12. Fraudetoets

Dit wetsvoorstel brengt geen verhoogd risico op fraude met zich mee. Door het regelen van een wettelijke grondslag om gegevens te kunnen uitwisselen over de zorgdomeinen heen worden gemeenten en ziektekostenverzekeraars beter in staat gesteld hun controletaak op het rechtmatig declareren van de zorg beter uit te voeren. Op termijn verlaagt dit juist het risico op fraude.

II. Artikelsgewijze toelichting

Artikelen I, onderdelen A en C en III, onderdelen B, I (onder 2) en J

Deze onderdelen gaan over de kindertelefoon (artikel I, onderdelen A en C), de luisterlijn (artikel III, onderdelen B en J) en de chatfunctie van Veilig Thuis (artikel III, onderdeel I, onder 2). Voor deze wijzigingen wordt verwezen naar paragraaf 2.3 van het algemeen deel van de toelichting.

Artikel I, onderdeel B

Dit betreft een technische wijziging. In het huidige artikel 1a.2, vierde lid, van de Jeugdwet is «persoonsgegevens betreffende de gezondheid en strafrechtelijke persoonsgegevens» opgenomen. In artikel 1.1 zijn de begrippen «gegevens over gezondheid» en «persoonsgegevens van strafrechtelijke aard» echter gedefinieerd. Voor deze begrippen wordt in voornoemd artikel verwezen naar de AVG en de UAVG. Aangezien deze begrippen reeds zijn gedefinieerd, kunnen ze in de gehele Jeugdwet worden gebruikt.

Artikelen I, onderdelen D en E, II, onderdeel A en C, III, onderdelen C, G, H en M, IV, V, VI, VII, VIII, onderdelen B en C, IX, X, XI, onderdeel B, XII en XIII

In verscheidene wetten, waarvan wordt voorgesteld deze te wijzigen met de hier genoemde artikelen en onderdelen van artikelen, is de bevoegdheid van de IGJ31 opgenomen om patiënten- en cliëntendossiers in te zien. Op grond van artikel 5:17, eerste lid, van de Awb zijn toezichthouders ook bevoegd om inzage te vorderen. Deze bevoegdheid is echter beperkt tot het inzien van zakelijke gegevens en bescheiden en om die reden is in verscheidene wetten op het terrein van volksgezondheid het inzagerecht uitgebreid naar ook patiënten- en cliëntendossiers32. Hiermee is bedoeld om de IGJ ten aanzien van patiënten- en cliëntendossiers vergelijkbare bevoegdheden te verschaffen als opgenomen in de artikelen 5:16 en 5:17 Awb. In deze artikelen zijn het recht om inlichtingen te vorderen (artikel 5:16), het recht om inzage te vorderen (artikel 5:17, eerste lid) en het recht om kopieën te maken (artikel 5:17, tweede lid) opgenomen. In de huidige artikelen waarin het inzagerecht van de IGJ is neergelegd, is echter enkel «inzage» opgenomen. De regering heeft eerder aangegeven33 dat dit de suggestie zou kunnen wekken dat de wettelijke grondslag enkel ziet op de bevoegdheid van de IGJ om dossiers in te zien, zoals is bepaald in artikel 5:17, eerste lid, van de Awb. Om die reden is aan de Eerste Kamer de toezegging gedaan34 om de wetten waarin de inzagebevoegdheid is opgenomen, aan te passen. Om elke onduidelijkheid weg te nemen wordt in de hier genoemde artikelen en onderdelen opgenomen dat de bevoegdheden, bedoeld in de artikelen 5:16 en 5:17 Awb mede betrekking hebben op dossiers of andere gegevens waar de betreffende wet betrekking op heeft. De voorgestelde wijzigingen houden dus geen materiële wijziging in, maar zijn slechts een verduidelijking van het inzagerecht.

Om de leesbaarheid te vergroten zijn de huidige leden van artikelen die over voornoemde bevoegdheden van de IGJ gaan opgesplitst in twee leden. Dat het uitoefenen van deze bevoegdheden door de IGJ kan betekenen dat de beroepsbeoefenaar of de zorgverlener verplicht is zijn medisch beroepsgeheim te doorbreken en als dat het geval is dat vervolgens de ambtenaren van de IGJ een geheimhoudingsplicht hebben ten aanzien van deze gegevens, wordt in een apart lid opgenomen. Hierbij is gekozen voor een genderneutrale formulering die in lijn is met de formulering in artikel 5:20 Awb.

Daarnaast is in de huidige wetten opgenomen dat een last onder dwangsom kan worden opgelegd in het geval de IGJ wordt belemmerd haar inzagerecht uit te oefenen. Het gaat om artikel 9.5, derde lid, Jeugdwet (artikel I, E), artikel 29, tweede lid, Wkkgz (artikel II, C), artikel 4.3.3, derde lid, Wmo 2015 (artikel III, H), artikel 100a, onderdeel b, Wet BIG (artikel IV, B), artikel 39, derde lid, Gezondheidswet (artikel V), artikel 10.4.3, Wlz (artikel VIII, C), artikel 116a Geneesmiddelenwet (artikel IX, B), artikel 10a Wet donorgegevens kunstmatige bevruchting (artikel X, B) en artikel 4.2, vijfde lid, Wegiz (artikel XII). Het is niet nodig om in deze wetten een handhavingsbevoegdheid te regelen, omdat de medewerkingsplicht, bedoeld in artikel 5:20, eerste lid, Awb, geldt ten aanzien van alle bevoegdheden die aan een toezichthouder zijn toegekend en dus ook de medewerking aan het in een specifieke wet neergelegde inzagerecht van de IGJ omvat. Artikel 5:20, derde lid, Awb voorziet daarvoor reeds in een handhavingsbevoegdheid.35 De handhavingsbevoegdheid wordt daarom uit de hiervoor genoemde artikelen gehaald. Als gebruik wordt gemaakt van de handhavingsbevoegdheid, bedoeld in artikel 5:20, derde lid, kan artikel 5:20, tweede lid, niet worden tegengeworpen indien in een specifieke wet is bepaald dat een beroepsbeoefenaar, in afwijking van artikel 5:20, tweede lid, Awb, zich niet op het medisch beroepsgeheim kan beroepen tegenover de ambtenaren van de IGJ.

De wijzigingen in de verschillende wetten komen op hetzelfde neer. De wijziging van de Wvggz en de Wzd behoeft echter een aparte toelichting.

Net als bij de andere wetswijzigingen waarin het artikellid over het inzagerecht wordt aangepast, leiden de wijzigingen van artikel 13:1 Wvggz en van artikel 60 Wzd op dit punt ook tot twee artikelleden in plaats van een.

Het huidige vierde lid van de artikelen 13:1 Wvggz en artikel 60 Wzd bepaalt dat de zorgaanbieder, geneesheer-directeur, de zorgverantwoordelijke en alle andere betrokkenen verplicht zijn aan de toezichthouders alle door hen verlangde inlichtingen te verstrekken. Met het nieuwe derde lid van de artikelen 13:1 Wvggz en 60 Wzd wordt echter expliciet bepaald dat de aan de toezichthouder toekomende bevoegdheden, bedoeld in de artikelen 5:16 en 5:17 Awb mede betrekking hebben op dossiers. Dit komt op hetzelfde neer. Immers, ook hier vloeit een verplichting uit voort voor voornoemde partijen om de door de toezichthouder verlangde inlichtingen te verstrekken. Om die reden kunnen de huidige vierde leden van de artikelen 13:1 Wvggz en 60 Wzd komen te vervallen. Zoals uit het voorgaande blijkt, kan bij het uitoefenen van de bevoegdheden van de IGJ sprake zijn van het doorbreken van het medisch beroepsgeheim en vervolgens van een geheimhoudingsplicht voor de ambtenaren van de IGJ. Deze beide gevolgen worden opgenomen in het nieuwe vierde lid van de artikelen 13:1 Wvggz en 60 Wzd.

Overigens wordt met deze wijziging de geheimhoudingsplicht die op de IGJ rust enkel verduidelijkt en heeft dit materieel geen gevolgen.

Artikel II, onderdeel B

Met dit onderdeel worden zorgaanbieders en zorgverleners verplicht om bij en naar aanleiding van een andere melding (bijzondere categorieën van) persoonsgegevens en persoonsgegevens van strafrechtelijke aard te verstrekken aan de IGJ als dit noodzakelijk is om een andere melding te kunnen onderzoeken. Er is bewust aangesloten bij een soortgelijke bepaling over verplichte meldingen, artikel 11, tweede lid, Wkkgz. Deze wijziging is toegelicht in paragraaf 2.2 van het algemeen deel van de toelichting.

Artikel II, onderdeel C

Met betrekking tot verplichte meldingen (artikel 11, eerste lid, Wkkgz) zijn de zorgaanbieder en zorgverleners verplicht aan de IGJ (bijzondere categorieën van) persoonsgegevens te verstrekken als deze noodzakelijk zijn voor het door de IGJ te verrichten onderzoek. In artikel 29, tweede lid, is bepaald dat in het geval de zorgaanbieder of zorgverlener geen gehoor geven aan deze verplichting, aan hen een last onder dwangsom kan worden opgelegd. Met artikel II, onderdeel B, wordt in dit wetsvoorstel voorgesteld dat een zorgaanbieder of zorgverlener ook in het geval er sprake is van een andere melding verplicht is aan de IGJ (bijzondere categorieën van) persoonsgegevens te verstrekken als dit noodzakelijk is om de andere melding te kunnen onderzoeken.

Voorgesteld wordt artikel 29, tweede lid, Wkkgz zo aan te passen dat ook aan de zorgaanbieder en de zorgverlener een last onder dwangsom kan worden opgelegd als zij geen gegevens verstrekken aan de IGJ in het kader van het onderzoeken van een andere melding. De last onder dwangsom kan zowel aan de zorgverlener als zorgaanbieder worden opgelegd, omdat beiden verplicht zijn om gegevens aan de IGJ te verstrekken in het kader van het onderzoeken van een andere melding. Hiervoor is gekozen omdat de dossierplicht en geheimhoudingsplicht in de eerste plaats op de zorgverlener rust, maar ook de zorgaanbieder hier, bijvoorbeeld ten aanzien van de verantwoordelijkheid voor faciliteiten voor het bewaren van de dossiers, een rol in kan hebben.

Artikel III

Onderdeel A

Deze wijziging van de begripsbepaling van dossier betreft het herstellen van een omissie die is ontstaan op het moment dat de regeling met betrekking tot het advies en meldpunt voor huiselijk geweld en kindermishandeling (AMHK) werd overgeheveld van de Jeugdwet naar de Wmo 2015 (Kamerstukken II, 2013/14, 33 841, nr. 35). Bij die gelegenheid is een begripsomschrijving van dossier in de Wmo 2015 terechtgekomen die was toegesneden op (alleen) het AMHK (thans Veilig Thuis), waarbij abusievelijk is nagelaten te bezien of dit begrip voldoende aansloot op de gebruikte termen in andere onderdelen Wmo 2015.

Het begrip dossier komt in de Wmo 2015 – behalve bij de taken van Veilig Thuis – ook terug binnen het toezicht op de maatschappelijke ondersteuning dat door de gemeente wordt uitgevoerd en bij de door het UWV uitgevoerde tolkvoorzieningen, bedoeld in artikel 3a.1.1 Wmo 2015. Met onderhavige wijziging wordt het begrip dossier hierop aangepast.

Onderdeel D

Met dit onderdeel wordt voorgesteld om de omschrijving van de taak van Veilig Thuis in artikel 4.1.1, tweede lid, onderdeel e, aldus aan te passen, dat die taak ook voorziet in het delen van informatie door Veilig Thuis met andere partijen dan alleen de politie en de raad voor de kinderbescherming. Veilig Thuis kan op grond van het voorgestelde onderdeel, in verbinding met artikel 5.1.6, tweede lid, Wmo 2015, ook persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard, verstrekken aan het openbaar ministerie, de reclassering en Slachtofferhulp Nederland, indien het belang van de betrokkene dan wel de ernst van de situatie waarop de melding betrekking heeft daartoe aanleiding geeft. Dit is cruciaal voor een goede aanpak van huiselijk geweld en kindermishandeling, waarin de veiligheid van de slachtoffers op het spel staat en deze informatiedeling een wezenlijke bijdrage kan leveren aan het maken van een goede inschatting van de (on)veiligheid en aan het herstel van de veiligheid van het slachtoffer.

Het spreekt voor zich dat Veilig Thuis alleen gegevens verstrekt indien deze verstrekking noodzakelijk is. Er zal dus altijd een zorgvuldige belangenafweging vooraf plaatsvinden waarbij Veilig Thuis beoordeelt of gegevensverstrekking in een concreet geval noodzakelijk is.

Onderdeel E

Deze technische wijziging betreft het in diverse artikelen van de Wmo 2015 doorvoeren van de correcte benaming van de ter zake (mede)verantwoordelijke Minister (i.e. de Minister voor Rechtsbescherming).

Onderdeel F

Algemeen

Dit onderdeel ziet op de wijziging van artikel 4.2.12 Wmo 2015. Met de voorgestelde wijziging wordt de grondslag voor het verstrekken van gegevens door een Veilig Thuis-organisatie aan het college, de Minister van Volksgezondheid, Welzijn en Sport en aan de Minister voor Rechtsbescherming ten behoeve van beleidsinformatie en de grondslag voor het verstrekken van persoonsgegevens aan het college met als doel dat het college kan beoordelen of een bepaalde voorziening nodig is (de zgn. «gevalsbehandeling»), verduidelijkt. In het thans geldende artikel 4.2.12 Wmo 2015 wordt slechts verwezen naar artikelen in de Jeugdwet. Het gaat echter bij het verstrekken van gegevens voor beleidsinformatie inzake Veilig Thuis en bij het verstrekken van persoonsgegevens inzake «gevalsbehandeling» niet alleen om gegevens inzake kindermishandeling, maar ook om gegevens in gevallen van huiselijk geweld waarbij geen jeugdigen betrokken zijn. Om die reden wordt voorgesteld artikel 4.2.12 Wmo 2015 aldus te wijzigen dat daarin is geëxpliciteerd dat dit ook betrekking heeft op gegevensverstrekking inzake huiselijk geweld.

Gegevens ten behoeve van beleidsinformatie, het voorgestelde eerste en tweede lid

Volgens artikel 4.2.12, eerste lid, Wmo 2015, verstrekt Veilig Thuis gegevens ten behoeve van de verwerking, bedoeld in artikel 7.4.1 van de Jeugdwet en is op die gegevens op grond van artikel 4.2.12, tweede lid, Wmo 2015 artikel 7.4.4 van de Jeugdwet van overeenkomstige toepassing. Artikel 7.4.1 van de Jeugdwet bevat een grondslag voor de verwerking van gegevens inzake Veilig Thuis door de Ministers van VWS, de Minister voor Rechtsbescherming en het college voor beleidsdoeleinden en voor genoemde Ministers om hun stelselverantwoordelijkheid te kunnen waarborgen. Artikel 7.4.4, eerste lid, van de Jeugdwet brengt mee dat de te verwerken gegevens ook persoonsgegevens kunnen zijn, voor zover deze gegevens noodzakelijk zijn voor de in dat artikellid genoemde doelen. Aangezien die doelen echter op het terrein van de Jeugdwet liggen en door Veilig Thuis ook gegevens inzake huiselijk geweld worden verstrekt in gevallen waarin geen jeugdigen zijn betrokken, is artikel 4.2.12 Wmo 2015 niet helemaal sluitend. Met de voorgestelde wijzigingen van artikel 4.2.12, eerste en tweede lid, Wmo 2015 wordt wat betreft de gegevens voor beleidsinformatie de verwijzing naar de Jeugdwet vervangen door een eigenstandige grondslag voor het verstrekken van gegevens voor beleidsinformatie Veilig Thuis (eerste lid). Het kan daarbij om persoonsgegevens gaan voor zover de gegevens noodzakelijk zijn voor het verkrijgen van een landelijk, regionaal en lokaal geaggregeerd inzicht in de handelwijze van Veilig Thuis-organisaties naar aanleiding van meldingen van huiselijk geweld of kindermishandeling en in de resultaten van die handelwijze (tweede lid), waarbij geldt dat dit inzicht niet herleidbaar is tot individuele personen (zie artikel 37, derde lid, Wet op het Centraal bureau voor de statistiek). Volgens artikel 4.2.12, tweede lid, Wmo 2015 in verbinding met artikel 7.4.4, tweede lid, Jeugdwet, kan het bij die verstrekking van persoonsgegevens gaan om het BSN, om bijzondere categorieën van persoonsgegevens en om persoonsgegevens van strafrechtelijke aard gaan. Met het voorgestelde artikel 4.2.12, tweede lid, wordt ervoor gekozen om geen grondslag op te nemen voor de verstrekking van alle bijzondere categorieën van persoonsgegevens, maar alleen voor die categorieën waarvoor verstrekking noodzakelijk kan zijn. De grondslag voor verstrekking van persoonsgegevens van strafrechtelijke aard is één op één overgenomen uit artikel 7.4.4, tweede lid, van de Jeugdwet. Dat het bij die verstrekking van persoonsgegevens ook om het BSN kan gaan, volgt uit het voorgestelde artikel 5.2.9, tweede lid, Wmo 2015. Alleen door middel van verstrekking van het BSN van betrokkenen door Veilig Thuis aan het CBS kan middels onderzoek structureel inzichtelijk worden gemaakt wat de aanpak van Veilig Thuis is bij een melding van huiselijk geweld of kindermishandeling. Welke meldingen worden door Veilig Thuis bijvoorbeeld onderzocht? Wanneer wordt na een melding van kindermishandeling bij Veilig Thuis als vervolgtraject jeugdhulp ingezet voor een jeugdige of zijn ouder? In welke gevallen wordt de raad voor de kinderbescherming ingeschakeld? Wanneer wordt de politie ingeschakeld? Heeft dit de veiligheidssituatie verbeterd of heeft bijvoorbeeld nog een hermelding plaatsgevonden? Deze informatie is noodzakelijk om te kunnen beoordelen of de Veilig Thuis-aanpak en de eventueel daaropvolgende keten- of netwerkaanpak doelmatig en doeltreffend is geweest.

Gegevens inzake «gevalsbehandeling», het voorgestelde derde lid

Volgens het thans geldende artikel 4.2.12, eerste lid, Wmo 2015, verstrekt Veilig Thuis gegevens ten behoeve van de verwerking, bedoeld in artikel 7.4.0 van de Jeugdwet aan het college. Dit betekent dat een Veilig Thuis-organisatie persoonsgegevens van een jeugdige of van diens ouders, waaronder het BSN van de jeugdige, kan verstrekken, op grond waarvan het college kan beoordelen of een bepaalde voorziening van jeugdhulp nodig is. Met de voorgestelde wijziging van artikel 4.2.12 Wmo 2015 wordt een verwijzing naar artikel 5.1.1, eerste tot en met derde lid, Wmo 2015 toegevoegd, zodat de grondslag ook geldt voor het verstrekken van persoonsgegevens in gevallen van huiselijk geweld waarbij geen jeugdigen betrokken zijn. Daarnaast zorgt de voorgestelde wijziging van artikel 5.2.9, tweede lid, Wmo 2015 ervoor dat deze persoonsgegevens ook het BSN kunnen betreffen. Zie daarover verder de artikelsgewijze toelichting op de wijziging van artikel 5.2.9 Wmo 2015 (artikel III, onderdeel K).

Onderdeel I (onder 1)

Voorgesteld wordt om de grondslag voor verwerking van persoonsgegevens door Veilig Thuis in artikel 5.1.6, tweede lid, Wmo 2015 te verbeteren door naast gegevens over gezondheid ook andere bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard op te nemen en «gegevens over huiselijk geweld en kindermishandeling» te laten vervallen.

Bijzondere categorieën van persoonsgegevens

Artikel 5.1.6, tweede lid, Wmo 2015 bepaalt dat Veilig Thuis bevoegd is persoonsgegevens, waaronder gegevens over gezondheid, huiselijk geweld of kindermishandeling te verwerken, indien uit een melding redelijkerwijs een vermoeden van huiselijk geweld of kindermishandeling kan worden afgeleid en de verwerking noodzakelijk is te achten voor de uitoefening van de taken, bedoeld in artikel 4.1.1, tweede lid. Gegevens over de gezondheid betreffen een bijzondere categorie van persoonsgegevens. Bijzondere categorieën van persoonsgegevens zijn verder persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (zie artikel 9, eerste lid, AVG). Artikel 5.1.6, tweede lid, Wmo 2015 is in werking getreden onder de voorheen geldende Wet bescherming persoonsgegevens (hierna: Wbp). In de Wbp werden persoonsgegevens van strafrechtelijke aard niet, zoals thans in artikel 10 AVG, als aparte categorie persoonsgegevens aangemerkt, maar vielen zij onder de bijzondere persoonsgegevens, bedoeld in hoofdstuk 2, paragraaf 2, Wbp.

Uit de parlementaire geschiedenis over artikel 5.1.6 Wmo 2015 kan worden afgeleid, dat het de bedoeling van de wetgever is geweest dat dat artikel niet alleen een grondslag biedt voor de verwerking van de bijzondere categorie gegevens over gezondheid, maar ook bijvoorbeeld over het seksuele leven.36 Het blijkt in de praktijk ook noodzakelijk te zijn om bijvoorbeeld indien er naar aanleiding van een melding een redelijk vermoeden bestaat van kindermisbruik gegevens inzake de seksuele gerichtheid of het seksuele gedrag van de vermoedelijke pleger te verwerken. Ook kan het noodzakelijk zijn om gegevens over de seksuele gerichtheid van een jeugdige te verwerken indien deze seksuele gerichtheid aanleiding is (geweest) tot kindermishandeling. Dit laatste komt bijvoorbeeld voor in het geval de homoseksuele geaardheid van de jeugdige vanuit een religieuze opvatting niet gewenst is. In een dergelijk geval is het ook noodzakelijk voor Veilig Thuis om persoonsgegevens te verwerken waaruit die religieuze overtuiging blijkt. Daarnaast kan het noodzakelijk zijn om gegevens te verwerken waaruit ras of etnische afkomst blijken. Door verschil in culturele achtergronden kunnen er bijvoorbeeld spanningen ontstaan binnen een gezin Voor het onderzoek en het bepalen van de vervolgstappen is deze context, waarin ook politieke opvattingen een rol spelen, relevant. Met deze voorgestelde aanpassing wordt verduidelijkt dat Veilig Thuis niet alleen gegevens inzake gezondheid mag verwerken, maar ook een aantal andere bijzondere categorieën van persoonsgegevens, indien dit voor de uitvoering van haar taken naar aanleiding van een melding noodzakelijk is.

Persoonsgegevens van strafrechtelijke aard

Onder persoonsgegevens over huiselijk geweld of kindermishandeling in het thans geldende artikel 5.1.6, tweede lid, Wmo 2015, kunnen ook persoonsgegevens van strafrechtelijke aard worden verstaan. Met de voorgestelde aanpassing wordt dat verduidelijkt. Veilig Thuis ontvangt persoonsgegevens van strafrechtelijke aard onder andere van ketenpartners, zoals de politie, het openbaar ministerie, de reclassering en Halt. Artikel 10 AVG vereist een wettelijke grondslag voor de verwerking van die gegevens door Veilig Thuis. Artikel 33, eerste lid, onderdeel a, UAVG bepaalt voor zover hier relevant dat persoonsgegevens van strafrechtelijke aard mogen worden verwerkt, indien de verwerking geschiedt door verwerkingsverantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevens. De voorgestelde aanpassing van de verwerkingsgrondslag in artikel 5.1.6, tweede lid, Wmo 2015, met persoonsgegevens van strafrechtelijke aard zorgt ervoor dat verduidelijkt wordt dat Veilig Thuis ook persoonsgegevens van strafrechtelijke aard mag verwerken buiten het in artikel 33, eerste lid, onderdeel a, UAVG genoemde geval. Zo kan Veilig Thuis ook persoonsgegevens van strafrechtelijke aard verwerken die zij van Halt en de reclassering ontvangt. Vereist is daarbij steeds dat verwerking alleen is toegestaan indien uit een melding een redelijk vermoeden van huiselijk geweld of kindermishandeling wordt afgeleid en de verwerking van die gegevens noodzakelijk is. Het kan voor Veilig Thuis noodzakelijk zijn om persoonsgegevens van strafrechtelijke aard te verwerken om een inschatting te kunnen maken van de veiligheid van de betrokkene(n) en van professionals die in contact treden met betrokkene(n) en om te beoordelen welke veiligheidsmaatregelen eventueel nodig zijn. Zo wordt informatie over een eerdere aangifte van huiselijk geweld meegewogen in de veiligheidsbeoordeling. Daarnaast kan informatie over een eerdere veroordeling voor wapengebruik of -bezit van belang zijn voor de veiligheidsbeoordeling, maar ook voor de (zorg)professional die contact heeft met de betrokkene(n) in verband met veiligheidsrisico’s. Ook kunnen eerdere veroordelingen voor rijden onder invloed een redelijk vermoeden van huiselijk geweld door overmatig alcoholgebruik ondersteunen. Voorts kan informatie over een invrijheidsstelling met schorsende voorwaarden van belang zijn voor zowel de veiligheidsbeoordeling als voor de beoordeling welke veiligheidsmaatregelen moeten worden ingezet. Tot slot kan het indien er een redelijk vermoeden bestaat dat iemand een huisgenoot fysiek mishandelt noodzakelijk zijn om te registreren dat tegen de vermoedelijke pleger van dat huiselijk geweld al eerder een verdenking van een geweldsdelict is gerezen of dat hij daarvoor al eerder is veroordeeld. Voorop staat dat het steeds moet gaan om een persoonsgegeven van strafrechtelijke aard waarvan de verwerking noodzakelijk wordt geacht voor het uitvoeren van de taken door Veilig Thuis.

Onderdeel K

Met de voorgestelde wijziging van artikel 5.2.9 Wmo 2015 wordt een technische fout hersteld. Het eerste lid van dat artikel regelt dat een aantal instanties, waaronder Veilig Thuis, het BSN van een persoon gebruiken met het doel te waarborgen dat de in het kader van de uitvoering van de Wmo 2015 te verwerken persoonsgegevens op die persoon betrekking hebben. Echter, in dat artikellid wordt verwezen naar artikelen uit paragraaf 5.2 van de Wmo 2015, die geen van allen op Veilig Thuis betrekking hebben. Voorgesteld wordt om het gebruik van het BSN door Veilig Thuis in een nieuw tweede lid op te nemen. Het BSN wordt gebruikt om persoonsverwisseling te voorkomen. De gevolgen van persoonsverwisseling kunnen voor degenen die het betreft, en eventuele slachtoffers, zeer ernstig zijn. Ook kan persoonsverwisseling ertoe leiden dat de situatie ernstiger of juist te licht wordt ingeschat hetgeen kan leiden tot onterecht zwaar ingrijpen, of juist onvoldoende bescherming van slachtoffers.

Onderdeel L

Voorgesteld wordt om de in artikel 5.3.4, tweede lid, Wmo 2015 opgenomen bewaartermijn van twintig jaar, die geldt voor alle persoonsgegevens die Veilig Thuis met betrekking tot een betrokkene onder zich heeft, te beperken tot de persoonsgegevens die Veilig Thuis in verband met de uitoefening van taken, bedoeld in artikel 4.1.1, tweede lid, onder zich heeft. Dit betekent dat die bewaartermijn alleen geldt voor persoonsgegevens inzake meldingen en niet inzake adviezen (de in artikel 4.1.1, derde lid, genoemde taak). Voor de uitvoering van de adviestaak is het niet nodig om persoonsgegevens van de adviesvrager zo lang te bewaren. Veilig Thuis geeft in dergelijke gevallen slechts advies naar aanleiding van een adviesvraag en registreert geen persoonsgegevens van het betreffende gezin of huishouden waarop een vermoeden van huiselijk geweld of kindermishandeling betrekking heeft. In het Handelingsprotocol Veilig Thuis is voor adviezen37 nu al een bewaartermijn van twee jaar na het laatste contact opgenomen, zie artikel 15.3.4 van dit protocol. Indien een advies van Veilig Thuis erin resulteert dat een melding van huiselijk geweld of kindermishandeling wordt gedaan, geldt alsnog de termijn van twintig jaar voor het bewaren van persoonsgegevens.

Artikel VIII, onderdeel A

Met dit onderdeel wordt een wijziging voorgesteld van artikel 3.2.3 Wlz, zodat gegevens van een cliënt die het CIZ heeft verkregen in het kader van de beoordeling van een aanvraag voor een besluit tot opname en verblijf, een rechterlijke machtiging of een machtiging tot voortzetting van de inbewaringstelling als bedoeld in de Wzd ook mogen worden gebruikt bij de beoordeling van een Wlz-aanvraag. Tevens wordt voorgesteld dat ook de informatie die het CIZ heeft opgenomen in een advies aan de officier van justitie als bedoeld in artikel 28a Wzd mag worden gebruikt bij de behandeling van een aanvraag voor het vaststellen van het recht op zorg op grond van de Wlz. Wel moet het CIZ afwegen of de gegevens waarover zij beschikt in het kader van een aanvraag op grond van de Wzd ook noodzakelijk zijn om een Wlz-vraag in behandeling te kunnen nemen. In dit kader wordt verwezen naar paragraaf 2.6 van het algemeen deel van de toelichting.

Artikel XI, onderdeel A

Met dit artikel wordt voorgesteld de delegatiegrondslag van artikel 18.4.5, eerste lid, onderdeel e, van de Invoeringswet BES aldus aan te vullen, dat op grond daarvan ook de verwerking van bijzondere persoonsgegevens betreffende huiselijk geweld bij amvb kan worden geregeld.

Noodzakelijk met het oog op een zwaarwegend algemeen belang

Het bestrijden van huiselijk geweld betreft een zwaarwegend algemeen belang. Om te kunnen beoordelen of er in een bepaalde situatie sprake is van huiselijk geweld, om snel en adequaat hulp te kunnen bieden en om huiselijk geweld te beëindigen is het noodzakelijk om persoonsgegevens, waaronder bijzondere persoonsgegevens, te verwerken. Het is daarbij niet wenselijk om bijvoorbeeld afhankelijk te zijn van het verlenen van ondubbelzinnige toestemming door de vermoedelijk pleger van het huiselijk geweld voor de verwerking. Het kan bijvoorbeeld noodzakelijk zijn om bij een vermoeden van kindermisbruik, gegevens inzake het seksuele leven van de vermoedelijke pleger te verwerken. Daarnaast kan het noodzakelijk zijn om gegevens over de gezondheid van een slachtoffer te verwerken om te kunnen beoordelen hoe ernstig het huiselijk geweld is en welke hulp eventueel het beste kan worden ingezet. Ook kan het noodzakelijk zijn om gegevens over de seksuele gerichtheid van een jong slachtoffer te verwerken, indien bijvoorbeeld de homoseksuele gerichtheid van dit slachtoffer aanleiding is (geweest) om hem te mishandelen. Het kan daarnaast ook noodzakelijk zijn om strafrechtelijke persoonsgegevens te verwerken om een inschatting te kunnen maken van de veiligheid van het slachtoffer. Zo kan informatie over een eerdere aangifte van huiselijk geweld tegen de vermoedelijk pleger relevant zijn en ook een eerdere veroordeling voor wapengebruik of -bezit. Ook kunnen eerdere veroordelingen voor rijden onder invloed een redelijk vermoeden van huiselijk geweld door overmatig alcoholgebruik ondersteunen. Tot slot kan het indien er een redelijk vermoeden bestaat dat iemand een huisgenoot fysiek mishandelt noodzakelijk zijn om te registreren dat tegen de vermoedelijke pleger van dat huiselijk geweld al eerder een verdenking van een geweldsdelict is gerezen of dat hij daarvoor al eerder is veroordeeld.

Voor het snel en adequaat kunnen bieden van hulp en het beëindigen van huiselijk geweld is de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens, onvermijdelijk. Er zijn geen minder ingrijpende manieren om het betrokken doel van snelle en adequate hulp aan slachtoffers van huiselijk geweld te realiseren.

Passende waarborgen ter bescherming van de persoonlijke levenssfeer

In de op grond van deze delegatiegrondslag op te stellen amvb kunnen regels worden gesteld over de verwerking van bijzondere persoonsgegevens bij bestrijding van huiselijk geweld. In die amvb zullen passende waarborgen moeten worden gesteld ter bescherming van de persoonlijke levenssfeer. De Wbp BES bevat algemene normen voor een zorgvuldige omgang met persoonsgegevens en bepaalt onder andere dat de verwerking op een zorgvuldige en behoorlijke wijze plaats dient te vinden en dat het verzamelen van persoonsgegevens met als doel deze in een bestand op te nemen, alleen is toegestaan voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. In de amvb zal concreet worden omschreven wie persoonsgegevens, waaronder bijzondere persoonsgegevens, mogen verwerken en in welke gevallen het noodzakelijk is om bijzondere persoonsgegevens te verwerken. Daarnaast worden in de amvb regels opgenomen over de informatieverschaffing aan betrokkene en over de bewaartermijn van de gegevens.

Artikel XIV

Dit onderdeel wijzigt de Kaderwet VWS subsidies. Zoals blijkt uit paragraaf 2.7 van het algemeen deel van de toelichting kan het noodzakelijk zijn om (bijzondere categorieën van) persoonsgegevens te verwerken bij de beoordeling van een subsidieaanvraag, voor de verlening van een subsidie en de vaststelling van de subsidie. Op dit moment is de grondslag voor de verwerking van deze gegevens toestemming. Deze grondslag voldoet echter niet (paragraaf 2.7 van het algemeen deel van de toelichting). Overigens kunnen niet alleen (bijzondere categorieën van) persoonsgegevens van degene die de subsidie aanvraagt worden verwerkt, maar ook van andere betrokkenen. Een voorwaarde daarbij is uiteraard dat de verwerking van de gegevens noodzakelijk is voor de beoordelen van een aanvraag, het verlenen of het vaststellen van een subsidie.

Artikel XV

Onderdeel A

Met voorgestelde technische wijziging van de Wbsrz wordt het begrip Inspectie SZW aangepast aangezien de Inspectie SZW inmiddels de Nederlandse Arbeidsinspectie heet. Dit is abusievelijke tijdens de wetsbehandeling van de Wbsrz over het hoofd gezien.

Onderdeel B

In artikel 1.2 Wbsrz wordt geregeld dat er geen gegevens over gezondheid mogen worden verstrekt indien op deze gegevens kort gezegd een medisch beroepsgeheim rust. Dit artikel wordt met voorliggende wetsvoorstel uitgebreid met nog twee soorten gegevens die niet verstrekt mogen worden. Deze gegevens worden verstrekt in het kader van militaire gezondheidszorg. Het gaat hierbij niet alleen om gezondheidsgegevens, maar alle gegevens die ertoe kunnen leiden dat herleidbaar is dat zorg is verleend aan militairen in werkelijke dienst als bedoeld in artikel 1 van de Wet ambtenaren defensie. Daarnaast betreft het gegevens over zorg verleend door de militair geneeskundige dienst aan civiele patiënten. Het verstrekken van deze beide soorten gegevens is uitgesloten vanwege het veiligheidsbelang dat hiermee is gediend.

Onderdeel C

Artikel 2.7a

Eerste lid

Zoals al is aangegeven in hoofdstuk 2 van het algemeen deel van deze toelichting, is er alleen een grondslag voor het opvragen van gegevens door en bij colleges of ziektekostenverzekeraars indien zo’n instantie een verrijkt signaal heeft ontvangen van het IKZ.

Zoals ook is beschreven in paragraaf 4.2 in de memorie van toelichting bij de Wbrsz, zal het IKZ het verrijkte signaal verstrekken aan de meest geëigende instantie(s). Wanneer er een grondslag is voor een college of ziektekostenverzekeraar om de gegevens op te vragen, is er zowel een plicht als bevoegdheid voor de bevraagde partij om die gegevens te verstrekken. Het gaat hierbij om gegevens die noodzakelijk zijn voor het bestrijden van fraude in de zorg. De tweede voorwaarde om gegevens te kunnen opvragen is dat er een onderzoek is gestart naar aanleiding van een vermoeden van fraude in de zorg. Zie ook de toelichting in paragraaf 2.8, onder het kopje «fraudeonderzoek» wanneer hiervan sprake is.

Tweede en derde lid

Zoals aangegeven in paragraaf 2.8 van het algemeen deel van deze toelichting onder het kopje «gegevensset» is aangesloten bij de systematiek van het IKZ en het Waarschuwingsregister. Dat aangesloten wordt bij dezelfde systematiek (te weten het aanwijzen van de gegevens bij amvb die noodzakelijk zijn voor de bestrijding van fraude in de zorg) betekent niet dat dezelfde set van gegevens zal worden aangewezen. Integendeel zelfs, omdat de drie verschillende instrumenten die voorgesteld worden met de wet, elk vragen om een eigen set van gegevens, zoals ook is toegelicht in de hiervoor genoemde paragraaf.

Vierde lid

Wanneer blijkt dat het vermoeden van fraude onterecht was, bijvoorbeeld uit het uitgevoerde fraudeonderzoek, mogen de ontvangen gegevens niet langer worden bewaard en dienen deze te worden verwijderd door de instantie die de gegevens heeft opgevraagd.

Artikel 2.7b

Met dit onderdeel van het wetsvoorstel zijn er in de Wbsrz drie voorgestelde instrumenten, namelijk gegevensuitwisseling met het IKZ, gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij een fraudeonderzoek en gegevensuitwisseling bij gerechtvaardigde overtuiging van fraude in de zorg. Er zijn belangrijke verschillen tussen deze drie instrumenten en de instantie die de gegevens verwerkt. Zoals aangegeven in paragraaf 2.8 van het algemeen deel van deze toelichting volgen uit het wettelijke kader (Jeugdwet, Zvw, Wlz) al regels ter zake van het fraudeonderzoek, dan wel is er sprake van beleidsvrijheid (Wmo 2015). Ook de AVG biedt voldoende waarborgen omtrent de bewaartermijn, het wissen van gegevens, en inzage in gegevens die van iemand bewaard worden. Wel is uitdrukkelijk bepaald dat gegevens in ieder geval niet meer verwerkt mogen worden, zodra bijvoorbeeld uit het onderzoek is gebleken dat er van fraude in de zorg geen sprake is. De gegevens dienen op dat moment vanzelfsprekend te worden verwijderd.

De mogelijkheid wordt echter opengehouden om wanneer dit toch wenselijk blijkt, bijvoorbeeld om meer uniformiteit te bereiken, nadere eisen te stellen. In artikel 2.7b is daarom – anders dan in artikel 2.2 Wbsrz die daartoe verplicht – de mogelijkheid opgenomen om bij amvb eisen te stellen over de beveiliging en de bewaartermijn van de gegevens.

Onderdeel D

Met deze wijziging wordt een omissie hersteld. In de Jeugdwet is in artikel 1.1 een begripsomschrijving opgenomen waarbij onder «Onze Ministers» wordt verstaan de Minister van Volksgezondheid, Welzijn en Sport en de Minister van Veiligheid en Justitie tezamen. Voorts wordt in de Jeugdwet telkens als wordt gesproken over «Onze Minister» in enkelvoud, toegevoegd welke Minister wordt bedoeld. Dit kan naar gelang de Minister van VWS, JenV of BZK zijn. In de omschrijving van Inlichtingenbureau die wordt voorgesteld door het wetsvoorstel wordt echter alleen gedoeld op de Minister van Volksgezondheid, Welzijn en Sport, om die reden wordt overeenkomstig alle andere verwijzingen naar «Onze Minister» in de Jeugdwet nader geduid welke Minister wordt bedoeld.

Artikel XVIII

Ten behoeve van de duidelijkheid is ervoor gekozen om deze verzamelwet, ondanks dat het een wijzigingsregeling betreft, een citeertitel te geven. Er wordt namelijk met regelmaat een verzamelwet gegevensverwerking opgesteld die zonder citeertitel moeilijk van elkaar te onderscheiden zijn.

De Minister van Volksgezondheid, Welzijn en Sport,
E.J. Kuipers


  1. VERORDENING (EU) 2016/679 VAN HET EuropEES parlement EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.↩︎

  2. Kamerstukken I 2010/11, 32 500VI, M.↩︎

  3. Kamerstukken I, 2018/19, 34 874, C en E.↩︎

  4. Kamerstukken I, 2018/19, 34 874, E.↩︎

  5. Kamerstukken II 2010/11, 32 402, nr. 7, p. 46.↩︎

  6. Kamerstukken II, 2017/18, 34 939, nr. 4, p. 2.↩︎

  7. Zowel t.b.v. het onderzoek of sprake is van een situatie als bedoeld in artikel 8.20, eerste lid, Uitvoeringsbesluit Wkkgz als een eventueel nader onderzoek.↩︎

  8. Dit wordt ook wel het «(aanvankelijk) onderzoek» genoemd. In artikel 8.20 Uitvoeringsbesluit Wkkgz is geregeld wanneer een andere melding nader wordt onderzocht.↩︎

  9. Vergelijkbaar met de verplichte meldingen; Kamerstukken II, 2010/11, 32 402, nr. 7, p. 38 en Staatsblad 2015, 447, p. 58.↩︎

  10. In een systeemfunctie die uitsluitend voor specifieke personen (super-users) beschikbaar is.↩︎

  11. Zie: Handelingsprotocol Veilig Thuis 2019, https://veiligthuis.nl/wp-content/uploads/2018/12/Veiligthuis-interactief-protocol_v3.pdf.↩︎

  12. Het CIZ is hiertoe bevoegd op grond van artikel 10.5.1 Wlz↩︎

  13. Stcrt. 2019, nr. 66449↩︎

  14. Stcrt. 2019, nr. 40260↩︎

  15. Zoals aangegeven in de memorie van toelichting bij het wetsvoorstel wordt de vorm van dat systeem niet voorgeschreven en is het aan de betrokken instanties, genoemd in artikel 2.1 van het wetsvoorstel, maar gedacht wordt aan een centraal registratiesysteem. Er is beoogd de uitwisseling van gegevens zo techniek-onafhankelijk mogelijk te regelen, daargelaten de passende waarborgen bij de verwerking van persoonsgegevens. Dit registratiesysteem wordt door betrokken instanties momenteel aangeduid als het Waarschuwingsregister zorgfraude (hierna: «het Waarschuwingsregister») en wordt in deze toelichting als uitgangspunt genomen.↩︎

  16. Zorgkantoren en zorgverzekeraars worden hierna ook samen aangeduid als ziektekostenverzekeraars.↩︎

  17. Het gaat om persoonsgegevens als bedoeld in artikel 4, onderdeel 1, van de Algemene verordening gegevensbescherming. Onder persoonsgegevens worden ook gegevens over de gezondheid en persoonsgegevens van strafrechtelijke aard verstaan. Slechts als het maken van onderscheid hierin noodzakelijk is, zal dit onderscheid in deze toelichting kenbaar worden gemaakt.↩︎

  18. Kamerstukken II, 2021/22, 28 828, nr. 132.↩︎

  19. Bij een pgb koopt een zorgbehoevende zelf pgb in. Bij zorg in natura regelt de gemeente of ziektekostenverzekeraar de administratie en ontvangt de zorgbehoevende de benodigde zorg rechtstreeks van de zorgaanbieder.↩︎

  20. ABRvS 26 juli 2017, ECLI:NL:RVS:2017:2008.↩︎

  21. Kamerstukken II 2022/23, 36 200-XVI, nr. 9.↩︎

  22. Er is een amendement van de Leden Westerveld en Van den Berg aangenomen waarmee de term «krankzinnigen» uit de wet wordt gehaald (Kamerstukken II 2022/2023, 36 002, nr. 18 en 19). Dit loopt mee in het wetsvoorstel Verzamelwet VWS 2022 die op het moment van schrijven van deze toelichting bij de Eerste Kamer ligt.↩︎

  23. Tevens ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer↩︎

  24. Tevens ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer↩︎

  25. Tevens ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer↩︎

  26. Kamerstukken II 2022/23, 36 200-XVI nr. 9.↩︎

  27. Brief van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, Kamerstukken II 2022/23, 36 200-IV, nr. 44, wetgevingsoverzicht, punt 48.↩︎

  28. Toen nog vormgegeven als tweede nota van wijziging Wbrsz.↩︎

  29. Concernbrede selectielijst van het Ministerie van Volksgezondheid, Welzijn en Sport, Staatscourant 2021, 2559.↩︎

  30. In dit onderdeel van het wetsvoorstel gaat het om persoonsgegevens als bedoeld in artikel 4, onderdeel 1, van de Algemene verordening gegevensbescherming. Onder persoonsgegevens worden ook gegevens over de gezondheid en persoonsgegevens van strafrechtelijke aard verstaan (bijzondere persoonsgegevens).↩︎

  31. In de Jeugdwet zijn naast de ambtenaren van de IGJ ook de ambtenaren van de IJ&V belast met het toezicht en dus geldt de inzagebevoegdheid ook voor hen. Waar in de toelichting op deze artikelen wordt gesproken over de IGJ wordt hiermee ook de IJ&V, voor zover dit het toezicht op de Jeugdwet betreft, bedoeld.↩︎

  32. Kamerstukken I 2018/19, 34 874, E↩︎

  33. Kamerstukken I 2018/19, 34 874, C, en E.↩︎

  34. Kamerstukken I 2018/19, 34 874, E.↩︎

  35. Artikel 5:20, derde lid, is ingevoerd met de Wet van 3 maart 2021 tot wijziging van de Algemene wet bestuursrecht en enkele andere wetten in verband met het nieuwe omgevingsrecht en nadeelcompensatierecht (Stb. 2021, 135).↩︎

  36. Kamerstukken II 2013/14, 33 841, nr. 3, p. 174, p. 175.↩︎

  37. Tevens ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer↩︎