Rekenkamer detecteert risico’s privacy sociaal domein
Tussen wijkteams en zorgpartners worden mails met persoonsgegevens onbeveiligd verstuurd. Dat is een van de risico’s die de Arnhemse Rekenkamer heeft gedetecteerd in zijn onderzoek naar de privacy- en informatieveiligheid in het sociaal domein in de gemeente Arnhem.
Tussen de Arnhemse wijkteams en zorgpartners worden mails met persoonsgegevens onbeveiligd verstuurd. Dat is een van de risico’s voor gemeente en inwoners die de Arnhemse Rekenkamer heeft gedetecteerd in zijn onderzoek naar de privacy- en informatieveiligheid in het sociaal domein in de gemeente Arnhem.
Basisniveau
De Arnhemse Rekenkamer is grosso modo positief over de wijze waarop de gemeente de informatiebeveiliging en privacy in het sociaal domein heeft ingericht. De gemeente Arnhem heeft – zeker in vergelijking tot andere gemeenten – op tijd privacy en informatieveiligheid een goede plek gegeven in kaders, bestuur, beleid en organisatie, zo concludeert de Rekenkamer in zijn onderzoek dat maandagavond in de raad is toegelicht. ‘Hierdoor is in een vroeg stadium het besef van het belang van privacy en informatieveiligheid ontwikkeld bij wijkteammedewerkers. Op het gebied van informatieveiligheid heeft het college een duidelijk beeld van noodzakelijke acties om tot een goed basisniveau van veiligheid te komen.’
Teveel informatie
Het onderzoek heeft echter ook risico’s voor gemeenten en inwoners naar boven gebracht, die volgens de Rekenkamer ‘een negatieve invloed kunnen hebben op de doeltreffendheid van het privacy- en informatieveiligheidsbeleid’. Zo gaan wijkteammedewerkers verschillend om met het verzamelen en delen van gegevens. ‘Volgens zorgpartners leidt dat tot momenten waarbij wijkteammedewerkers om teveel informatie vragen (bijvoorbeeld wanneer behandelplannen moeten worden verstuurd), maar ook tot situaties waarbij privacy teveel als belemmering wordt opgeworpen om informatie te delen’, aldus de Rekenkamer. Het risico daarvan is dat aan de ene de privacy van inwoners wordt geschaad terwijl aan de andere kant onvoldoende informatie is om tot de juiste zorg of ondersteuning te komen. Er is geen sprake van een stappenplan of afwegingsinstrument waardoor elke wijkteammedewerker op dezelfde manier beslist hoe en met wie gegevens te delen.
Onbeveiligde mails
Een ander risico zijn de onbeveiligde mails tussen wijkteammedewerkers en zorgverleners. Er is een veilig communicatiesysteem voorhanden, maar zorgpartners zien toch dat er regelmatig onbeveiligd mailverkeer met persoonsgegevens plaatsvindt tussen zorgverleners en wijkteammedewerkers. Het mailverkeer tussen de gemeente en de wijkteams is wel beveiligd.
Onvoldoende grip
Zorgelijk vindt de Rekenkamer het dat het bewustzijn over privacy en informatieveiligheid binnen de ambtelijke organisatie ‘nog geen gemeengoed’ is. Daarnaast weten inwoners vaak niet goed wat er met hun gegevens gebeurt. ‘Omdat de gemeente de ambitie heeft om inwoners zo veel mogelijk zicht op en regie over hun eigen gegevens te geven, zal actieve communicatie over privacy en informatieveiligheid richting inwoners juist belangrijker worden’, adviseert de Arnhemse Rekenkamer. Raadsleden kunnen niet beoordelen of de gemeente en de samenwerkende partijen, privacy en informatieveiligheid op orde hebben; zij geven aan onvoldoende grip op het thema te hebben.
Lange adem
In een reactie stelt het college van Arnhem onder meer dat het onbeveiligde mailverkeer op korte termijn moet en zal worden opgepakt. Het college benadrukt dat de voorzieningen voor beveiligd mailverkeer aanwezig zijn, maar in de praktijk onvoldoende worden gebruikt. Het verhogen van het privacybewustzijn (en informatieveiligheidsbewustzijn) in de ambtelijke organisatie ‘is een zaak van de lange adem, waar gestaag aan wordt gewerkt’, zo stelt het college verder.
Reacties: 5
U moet ingelogd zijn om een reactie te kunnen plaatsen.
De industrie schiet hier tekort. Net als HTTPS voor beveiligde websites moet er een standaard versleuteld emailverkeer komen, een soort "SMTS" dus. De huidige oplossingen zijn allemaal propriarity met verschillende commerciele belangen. StartTLS is er al, dus even doorpakken naar een universle oplossing.