Memorie van toelichting : Memorie van toelichting

Nr. 3
MEMORIE VAN TOELICHTING

Inhoud

I.

Algemeen deel

2

 

1.

Inleiding

2

 

2.

Hoofdlijnen van het voorstel

3

 
 

2.1

Inzagebevoegdheid IGJ

3

 
 

2.2

Gegevensverwerking door de IGJ bij andere meldingen

4

 
 

2.3

Gegevensverwerking bij de uitvoering van de kindertelefoon, de luisterlijn en de chat
van Veilig Thuis

9

 
 

2.4

Aanscherping taakomschrijving Veilig Thuis en verduidelijking, verbetering en aanvulling
van grondslagen voor gegevensverwerking door Veilig Thuis

14

 
 

2.5

Delegatiegrondslag verwerking persoonsgegevens IBES

17

 
 

2.6

Hergebruik gegevens Wzd voor Wlz door CIZ

18

 
 

2.7

Grondslag gegevensverwerking in de Kaderwet VWS-subsidies

20

 
 

2.8

Grondslag voor gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars
bij fraudeonderzoeken

21

 

3.

Verhouding tot hoger recht

27

 
 

3.1

Mensenrechtelijke bescherming

27

 
 

3.2

EVRM

28

 
 

3.3

Grondwet

29

 
 

3.4

AVG

30

 
 

3.5

Bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke
aard

31

 
 

3.6

Doelbinding

33

 
 

3.7

Noodzakelijkheid, proportionaliteit en subsidiariteit

36

 
 

3.8

Transparantie en rechten betrokkenen

36

 
 

3.9

Beroepsgeheim

38

 
 

3.10

Caribisch Nederland

38

 

4.

Verhouding tot nationale wetgeving

39

 

5.

Gegevensbeschermingseffectbeoordeling (DPIA)

39

 

6.

Gevolgen (m.u.v. financiële gevolgen)

40

 

7.

Uitvoering

42

 

8.

Regeldruk

43

 

9.

Toezicht en handhaving

43

 

10.

Financiële gevolgen

44

 

11.

Advies en consultatie

45

 
 

11.1

Advies Autoriteit Persoonsgegevens

45

 
 

11.2

Commissie toezicht bescherming persoonsgegevens BES

49

 
 

11.3

Internetconsulatie

50

 

12.

Fraudetoets

54

II.

Artikelsgewijze toelichting

54

I. Algemeen deel

1. Inleiding

Bij de zorg voor mensen hoort ook de zorg voor hun gegevens. Het kabinet heeft om
die reden aandacht voor zorgvuldige gegevensverwerking (waaronder uitwisseling) en
het wegnemen van knelpunten op het VWS-terrein. Hiervoor is deels wetgeving noodzakelijk.
Met dit wetsvoorstel worden acht knelpunten weggenomen:

1. In de praktijk bestaat onduidelijkheid over de reikwijdte van de inzagebevoegdheid
van de Inspectie Gezondheidszorg en Jeugd (hierna: IGJ).

2. De IGJ heeft tot taak calamiteitenmeldingen, meldingen van geweld in de zorgrelatie,
meldingen van ontslag bij disfunctioneren en andere meldingen te onderzoeken. Voor
andere meldingen ontbreekt echter een wettelijke verplichting voor zorgaanbieders
en zorgverleners om de gegevens, waaronder persoonsgegevens en bijzondere categorieën
van persoonsgegevens, te verstrekken aan de IGJ die voor het onderzoeken van de melding
noodzakelijk zijn. Dit heeft tot gevolg dat de IGJ in sommige situaties haar toezichthoudende
taak onderzoek te doen naar andere meldingen niet volledig kan vervullen.

3. De huidige wetteksten over hulplijnen gaan uit van anonimiteit. Van anonimiteit in
de zin van de Algemene verordening gegevensbescherming1 (hierna: AVG) is enkel sprake als elke mogelijkheid tot identificatie van betrokkenen
onherroepelijk wordt uitgesloten. Indirecte herleidbaarheid door middel van het telefoonnummer
of IP-adres kan, ondanks technische en organisatorische maatregelen, niet volledig
worden uitgesloten. De Jeugdwet en de Wet maatschappelijke ondersteuning 2015 (hierna:
Wmo 2015) sluiten daardoor niet aan bij de AVG en de feitelijke situatie.

4. De huidige formulering van artikel 4.1.1, tweede lid, Wmo 2015 geeft in de praktijk
onduidelijkheid over met welke partijen in de strafrechtketen gegevens mogen worden
gedeeld als dat noodzakelijk is voor het stoppen en duurzaam oplossen van situaties
van huiselijk geweld en kindermishandeling. De wettelijke grondslag voor het verstrekken
van gegevens door een Veilig Thuis-organisatie aan het college van burgemeester en
wethouders (hierna: het college), de Minister van Volksgezondheid, Welzijn en Sport
(hierna: de Minister van VWS) en aan de Minister voor Rechtsbescherming ten behoeve
van beleidsinformatie en de grondslag voor het verstrekken van persoonsgegevens aan
het college met als doel dat het college kan beoordelen of een bepaalde voorziening
nodig is (de zgn. «gevalsbehandeling») zijn ook niet voldoende duidelijk.

5. De delegatiegrondslag van artikel 18.4.5, eerste lid, onderdeel e, van de Invoeringswet
openbare lichamen Bonaire, Sint Eustatius en Saba (hierna: Invoeringswet BES) mist
een bepaling op grond waarvan regels met betrekking tot de verwerking van persoonsgegevens,
waaronder bijzondere persoonsgegevens, kunnen worden gesteld.

6. Er mist een grondslag voor het Centrum Indicatiestelling Zorg (hierna: CIZ) om, indien
noodzakelijk, gegevens die verkregen zijn in het kader van de Wet zorg en dwang psychogeriatrische
en verstandelijk gehandicapter patiënten (hierna: Wzd) te hergebruiken in het kader
van de Wet langdurige zorg (hierna: Wlz) om op deze wijze hulpverleners, cliënten
en hun directbetrokkenen alsook zorginstellingen zoveel mogelijk te ontlasten en geen
dubbele uitvragen te hoeven doen.

7. Voor het beoordelen van subsidies is het in bepaalde gevallen, met name als een natuurlijk
persoon de aanvrager is, noodzakelijk dat medische gegevens worden verwerkt. Deze
gegevens vallen onder bijzondere categorieën van persoonsgegevens en mogen alleen
verwerkt worden als er sprake is van toestemming van degene aan wie de persoonsgegevens
toebehoren dan wel van een wettelijke grondslag. In dit geval is toestemming geen
geschikte grondslag en ontbreekt een wettelijke grondslag in de Kaderwet VWS-subsidies.

8. Er ontbreekt een wettelijke grondslag voor de uitwisseling van persoonsgegevens tussen
gemeenten, zorgkantoren en zorgverzekeraars, gemeenten onderling en binnen een gemeente
(tussen verschillende zorgdomeinen). Deze gegevens kunnen noodzakelijk zijn voor een
door gemeenten, zorgkantoor of zorgverzekeraar ingesteld fraudeonderzoek.

Dit wetsvoorstel betreft een verzamelwet als bedoeld in aanwijzing 6.4 van de Aanwijzingen
voor de regelgeving. De verschillende onderdelen van deze wet hebben gegevensverwerking
als overkoepelend thema. Voor een groot deel wordt met dit wetsvoorstel technische
wijzigingen of verduidelijking beoogd. Daarnaast worden in navolging van eerdere gemaakte
beleidskeuzes enkele wettelijke grondslagen gecreëerd. Met de voorgestelde wijzigingen
worden geen substantiële beleidswijzigingen beoogd. Hiermee voldoet het wetsvoorstel
aan de drie criteria die de regering in de brief van 20 juli 2011 heeft gesteld aan
verzamelwetgeving, namelijk onderlinge samenhang, geen omvangrijke en complexe onderdelen
en geen politiek omstreden inhoud.2

2. Hoofdlijnen van het voorstel

2.1. Inzagebevoegdheid IGJ

Beroepsbeoefenaren of hulpverleners kunnen op grond van hun (afgeleid) beroepsgeheim
op grond van artikel 5:20, tweede lid, van de Algemene wet bestuursrecht (hierna:
Awb) weigeren hun medewerking te verlenen aan de verstrekking van informatie aan de
IGJ. Om haar toezicht te kunnen uitoefenen is het voor de IGJ echter noodzakelijk
om patiëntendossiers in te kunnen zien en is het dus van belang dat beroepsbeoefenaren
of zorgverleners zich niet op hun medisch beroepsgeheim kunnen beroepen. Op grond
van artikel 7:457, eerste lid, van het Burgerlijk Wetboek en artikel 6, eerste lid,
onder e, juncto artikel 9, tweede lid, onder g, AVG is voor doorbreking van het medisch
beroepsgeheim respectievelijk de verwerking van bijzondere categorieën van persoonsgegevens
een wettelijke grondslag vereist. Om die reden is, in afwijking van artikel 5:20,
tweede lid, in diverse wetten op het terrein van de volksgezondheid de bevoegdheid
voor de IGJ opgenomen om patiëntendossiers in te zien.

Tijdens de behandeling in de Eerste Kamer van de Wet van 23 januari 2019 tot Wijziging
van diverse wetten op het terrein van de volksgezondheid in verband met de versterking
van het handhavingsinstrumentarium van de Inspectie gezondheidszorg en jeugd en enkele
andere wijzigingen (Stb. 2019, 52), ontstond een discussie over de reikwijdte van het begrip inzage dat is opgenomen
in de diverse wetten.3 Destijds is aangegeven dat met het inzagerecht is bedoeld om de IGJ ten aanzien van
patiëntendossiers vergelijkbare bevoegdheden te verschaffen als opgenomen in de artikelen
5:16 en 5:17 van de Awb. Het gaat dan om het recht om inlichtingen te vorderen (artikel
5:16), het recht om inzage te vorderen (artikel 5:17, eerste lid) en het recht om
kopieën te maken (artikel 5:17, tweede lid).

Echter, in de huidige artikelen van de betreffende wetten is enkel de bevoegdheid
voor de IGJ om de dossiers in te zien expliciet benoemd. Hierdoor wordt ten onrechte
de suggestie gewekt dat de wettelijke grondslag zich beoogt te beperken tot de bevoegdheid
van de IGJ om dossiers in te zien, zoals is geregeld in artikel 5:17, eerste lid,
van de Awb. De toezichthoudende ambtenaren lopen in de huidige uitvoeringspraktijk
aan tegen de hierdoor ontstane onduidelijkheid over hun bevoegdheden.

Om de rechtszekerheid te vergroten, heeft de toenmalige Minister van VWS aan de Eerste
Kamer toegezegd dat het inzagerecht dat in de volksgezondheidswetten is opgenomen
wordt gewijzigd, in die zin dat expliciet wordt aangegeven dat de IGJ bevoegd is om
de bevoegdheden, bedoeld in de artikelen 5:16 en 5:17 Awb uit te oefenen.4 In de volgende wetten is het inzagerecht opgenomen en wordt voorgesteld een verduidelijking
aan te brengen: Jeugdwet, Wmo 2015, Wet kwaliteit, klachten en geschillen zorg (hierna:
Wkkgz), Wet op de beroepen in de individuele gezondheidszorg (hierna: Wet BIG), Gezondheidswet,
Wet verplichte geestelijke gezondheidszorg (hierna: Wvggz), Wzd, Wlz, Geneesmiddelenwet,
Wet donorgegevens kunstmatige bevruchting, Invoeringswet BES, Wet elektronische gegevensuitwisseling
in de zorg (Wegiz) en Wet medisch-wetenschappelijk onderzoek met mensen.

De voorgestelde wijzigingen houden dus geen materiële wijziging in, maar zijn slechts
een verduidelijking van het begrip inzagerecht.

2.2. Gegevensverwerking door de IGJ bij andere meldingen

2.2.1 Aanleiding

De Wkkgz heeft tot doel de veiligheid en de kwaliteit van de zorg te waarborgen. Met
het oog op dit doel is in de Wkkgz opgenomen dat de IGJ de wettelijk verplichte meldingen
en andere meldingen onderzoekt om vast te stellen of sprake is van een situatie die
voor de veiligheid van cliënten in de zorg een ernstige bedreiging kan betekenen,
of met het oog op het belang van goede zorg anderszins noodzaakt tot nader onderzoek
(artikel 25, eerste lid, Wkkgz).

Een drietal meldingen is voor zorgaanbieders verplicht. Zorgaanbieders dienen melding
te doen bij de IGJ van iedere calamiteit die bij de zorgverlening heeft plaatsgevonden,
van geweld in de zorgrelatie en van opzegging, ontbinding of niet-voortzetting van
een (arbeids)overeenkomst met een zorgverlener, omdat de zorgaanbieder van oordeel
is dat een zorgverlener ernstig tekort is geschoten in zijn functioneren (artikel
11, eerste lid). Voor deze drie wettelijk verplichte meldingen is voor de verstrekking
van persoonsgegevens, daaronder begrepen bijzondere categorieën van persoonsgegevens
en persoonsgegevens van strafrechtelijke aard, in de Wkkgz een rechtsgrondslag opgenomen
(artikel 11, tweede lid). Onder bijzondere categorieën van persoonsgegevens vallen
onder meer gegevens over de gezondheid. De zorgaanbieder en de zorgverleners die de
zorg verlenen aan cliënten dienen in geval van deze wettelijk verplichte meldingen
en het onderzoek daarnaar aan de IGJ deze gegevens te verstrekken, voor zover deze
gegevens voor het onderzoeken van de melding noodzakelijk zijn.

Naast deze verplichte meldingen, ontvangt de IGJ vele andere meldingen. Andere meldingen
zijn alle meldingen anders dan de drie hierboven genoemde wettelijk verplichte meldingen.
Deze meldingen kunnen door eenieder5 worden gedaan, zoals door cliënten, naasten of nabestaanden van cliënten, zorgverleners,
zorgaanbieders, organisaties en anderen die melding doen bij de IGJ over zaken in
de zorg die in hun ogen niet op een juiste wijze (zijn) verlopen of waarin er anderszins
zorg wordt geuit over een situatie in de zorg. De melding kan betrekking hebben op
zorgaanbieders, fabrikanten en zorgverleners. De IGJ beoordeelt aan de hand van een
beoordelingskader, zoals opgenomen in artikel 25 Wkkgz en in artikel 8.20 van het
Uitvoeringsbesluit Wkkgz, of een andere melding nader moet worden onderzocht. Deze
beoordeling vindt plaats aan de hand van de informatie in de melding.

Uit artikel 25, eerste lid, Wkkgz en artikel 8.20 van het Uitvoeringsbesluit Wkkgz
blijkt dat een andere melding door de IGJ nader wordt onderzocht als de melding naar
het oordeel van de IGJ wijst of kan wijzen op een situatie die voor de veiligheid
van cliënten of de zorg een ernstige bedreiging betekent of kan betekenen, of als
met het oog op het belang van goede zorg of de veiligheid van de cliënten de andere
melding redelijkerwijs noodzaakt tot nader onderzoek. Ook wordt een andere melding
gelet op artikel 8:20, eerste lid, onderdeel c, van het Uitvoeringsbesluit Wkkgz nader
onderzocht indien de melding betrekking heeft op het niet of niet geheel voldoen door
een zorgaanbieder aan bepaalde wettelijke verplichtingen in de Wkkgz. Het gaat dan
onder meer om het ontbreken van een klachtenregeling of het ontbreken van een klachtenfunctionaris
of het niet aangesloten zijn bij een geschilleninstantie. Redenen om een andere melding
niet nader te onderzoeken zijn onder andere dat er wettelijk of op grond van internationale
verplichtingen andere voorgeschreven procedures gehanteerd moeten worden of dat de
melding al voorwerp van onderzoek door de IGJ is geweest.

Bij een dergelijk onderzoek is het uiteraard zaak precies duidelijk te krijgen wat
de feiten zijn, om helder te krijgen of er inderdaad sprake is van een situatie die
een ernstige bedreiging vormt voor de veiligheid van cliënten of de kwaliteit van
de zorg; zodat de IGJ – indien dat het geval blijkt te zijn – handhavend op kan treden.
Om de zaak goed te kunnen onderzoeken, kan het nodig zijn daarbij persoonsgegevens
te vergaren en te verwerken, daaronder begrepen bijzondere categorieën van persoonsgegevens
en gegevens van strafrechtelijke aard. Dit kunnen persoonsgegevens zijn van de cliënt,
een zorgverlener, maar ook van een derde. Voor de onderzoeken naar de verplichte meldingen
is een grondslag in de Wkkgz opgenomen op grond waarvan betrokken zorgaanbieders en
zorgverleners bij en naar aanleiding van een melding verplicht zijn om aan de IGJ
de persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens te verstrekken,
die noodzakelijk zijn voor het onderzoeken van de melding.

Voor andere meldingen ontbreekt een soortgelijke grondslag in de Wkkgz. In de Wkkgz
is voor andere meldingen wel bepaald dat bij algemene maatregel van bestuur regels
gesteld kunnen worden omtrent de gegevens die de melding tenminste bevat (artikel
25, tweede lid, sub a, Wkkgz). Op grond daarvan is in het Uitvoeringsbesluit Wkkgz
opgenomen welke informatie een andere melding dient te bevatten (artikel 8.15 van
het Uitvoeringsbesluit Wkkgz). Het gaat om onder andere de situatie waarop de melding
betrekking heeft. Deze informatie is nodig om te kunnen toetsen of nader onderzoek
noodzakelijk is.

Op grond van dezelfde delegatiegrondslag is opgenomen dat de betrokken zorgaanbieder
en de betrokken zorgverleners bij een onderzoek naar een andere melding desgevraagd
aan de IGJ alle gegevens verstrekken die voor het nader onderzoeken van een andere
melding noodzakelijk zijn. Tot deze gegevens behoren persoonsgegevens van de bij de
gemelde feiten betrokken cliënt(en) en van de betrokken zorgverleners (artikel 8.19
van het Uitvoeringsbesluit Wkkgz). Zoals hiervoor al is aangegeven ontbreekt echter
een verplichting op wettelijk niveau voor zorgaanbieders en zorgverleners om bijzondere
categorieën van persoonsgegevens te verstrekken aan de IGJ.

In de toelichting bij artikel 8.19 van het Uitvoeringsbesluit Wkkgz is destijds expliciet
opgenomen dat bijzondere categorieën van persoonsgegevens niet kunnen worden verstrekt
op grond van dat artikel. Voor deze verstrekking is een wettelijke grondslag vereist
of, zoals in de toelichting is opgenomen, toestemming van de cliënt zelf dat die gegevens
door de zorgaanbieders of de zorgverleners kunnen worden verstrekt aan de IGJ.

De grondslag voor de IGJ om in het kader van het onderzoek naar een andere melding
bijzondere categorieën van persoonsgegevens te verwerken was eerder reeds opgenomen
in de Aanpassingswet Algemene verordening gegevensbescherming. In deze wet is een
hele reeks wetten in technische zin aangepast aan de AVG vanwege verouderde terminologie.
Het opnemen van een wettelijke grondslag voor de IGJ om bij het onderzoeken van een
andere melding bijzondere categorieën van persoonsgegevens te verwerken betrof volgens
het advies van de Raad van State niet louter een technische wijziging, maar een materiële.
Met het opstellen van de Aanpassingswet Algemene verordening gegevensbescherming was
echter enkel beoogd technische wijzigingen aan te brengen. De wijziging is om die
reden niet overgenomen in het wetsvoorstel zoals dat uiteindelijk bij de Tweede Kamer
is ingediend.6 Met de wetswijziging die nu voorligt, wordt alsnog de materiële wijziging doorgevoerd.

2.2.2 Grondslag voor gegevensverwerking bij andere meldingen

De grondslag voor gegevensverwerking bij andere meldingen is nodig, omdat andere meldingen
onder het huidige wettelijk regime niet voldoende adequaat kunnen worden onderzocht.
Het ontbreken van een wettelijke verplichting tot het verstrekken van gegevens in
het kader van andere meldingen heeft namelijk tot gevolg dat de IGJ in onderzoeken
naar andere meldingen afhankelijk is van de bereidheid van de cliënt, zorgaanbieder
of zorgverlener om (bijzondere categorieën van) persoonsgegevens af te staan. Veelal
zijn zorgaanbieders en zorgverleners daartoe bereid, maar er zijn situaties waarin
de betrokkene de toestemming om de gegevens te verwerken weigert of intrekt. Denk
daarbij aan bijvoorbeeld de situatie van een zoon die een melding doet over een zorgelijke
situatie met betrekking tot de zorg voor zijn in een verpleeghuis opgenomen moeder.
Of aan de situatie waarin een zorgverlener een mogelijke verslaving van een andere
zorgverlener onder de aandacht brengt. Het onderzoek kan dan slechts uitgevoerd worden
voor zover dat mogelijk is zonder de bijzondere categorieën van persoonsgegevens en
gegevens van strafrechtelijke aard. Naast de al dan niet bereidheid van de cliënt,
zorgaanbieder of zorgverlener, is het in bepaalde situaties onmogelijk of problematisch
om toestemming aan de cliënt of de zorgverlener te vragen. Het gaat dan vaak om (bijzondere
categorieën van) persoonsgegevens van anderen dan de melder zelf. Ook dan kan er sprake
zijn van belemmeringen in de adequate uitvoering van het onderzoek naar de andere
melding. Dit kan betekenen dat de IGJ in bepaalde gevallen andere meldingen niet (volledig)
kan onderzoeken.

Dat de IGJ in bepaalde gevallen haar wettelijke taak andere meldingen te onderzoeken
niet goed (genoeg) kan uitvoeren is uit oogpunt van de veiligheid van patiënten en
de kwaliteit van de zorg ongewenst. Om die reden is het voorstel voor andere meldingen
een verplichting in de Wkkgz op te nemen voor de verstrekking van persoonsgegevens,
daaronder begrepen bijzondere categorieën van persoonsgegevens en gegevens van strafrechtelijke
aard door de zorgaanbieders en zorgverleners aan de IGJ. De verplichting is er alleen
als de betreffende gegevens noodzakelijk zijn om een andere melding te onderzoeken7. Door het toevoegen van de wettelijke verplichting ook als er sprake is van een andere
melding, wordt de rechtsgrondslag voor het aanleveren van gegevens in het kader van
andere meldingen gelijkgetrokken met de rechtsgrondslag voor het aanleveren van gegevens
in het kader van de wettelijk verplichte meldingen van calamiteit, geweld in de zorgrelatie
en ontslag wegens disfunctioneren. De verstrekking van (gewone) persoonsgegevens door
de zorgaanbieder en zorgverleners, die nu via een delegatiegrondslag in de wet in
het Uitvoeringsbesluit Wkkgz is geregeld, wordt daarbij ook op wetsniveau getild.
De voorgestelde wettelijke grondslag voor gegevensverwerking bij andere meldingen,
maakt het mogelijk dat de IGJ bij het onderzoeken van andere meldingen bijzondere
categorieën van persoonsgegevens – dus ook medische gegevens – kan verwerken, ook
indien daar geen toestemming voor wordt gegeven. De IGJ kan dit alleen doen als dit
noodzakelijk is om een andere melding goed te kunnen onderzoeken, dat wil zeggen om
te kunnen onderzoeken of een gemelde situatie voor de veiligheid van cliënten of de
zorg een ernstige bedreiging betekent of met het oog op het belang van goede zorg
anderszins noodzaakt tot nader onderzoek. Met dit voorstel wordt er een grondslag
gecreëerd voor het verstrekken van gegevens bij en naar aanleiding van een andere
melding. De zinsnede «bij en naar aanleiding van» ziet op twee momenten waarop de
verplichting bestaat om gegevens te verstrekken, namelijk bij het indienen van de
melding zelf en het onderzoek naar aanleiding van de melding. Zowel bij de indiening
van de melding, het (aanvankelijke) onderzoek als het nader onderzoek kan het noodzakelijk
zijn om ook gegevens over gezondheid en andere categorieën van bijzondere persoonsgegevens
en strafrechtelijke veroordelingen en strafbare feiten te beschikken.

Bij het indienen van de melding is de melder verplicht om bepaalde gegevens te verstrekken,
zodat de IGJ kan beoordelen of er aanleiding bestaat om de melding nader te onderzoeken.8 De vereiste gegevens die een melding moet bevatten, zijn vastgelegd in artikel 8.15
van het Uitvoeringsbesluit Wkkgz. Het onderzoek is vervolgens in twee fasen opgedeeld:
het «(aanvankelijke) onderzoek» en indien nodig een «nader onderzoek». Het «(aanvankelijke)
onderzoek» is gebaseerd op de ingediende melding. Als een melding onvolledig is, wordt
er uiteraard gevraagd om aanvulling van de melding. Waar nodig worden aan de melder
verduidelijkende vragen gesteld. Het gaat erom dat de IGJ in het (aanvankelijke) onderzoek
moet kunnen beoordelen of er aanleiding bestaat de melding nader te onderzoeken. Ook
indien de IGJ heeft vastgesteld dat er aanleiding is om een andere melding nader te
onderzoeken, zijn de melder en andere betrokken zorgaanbieders en zorgverleners verplicht
om de gegevens te verstrekken die nodig zijn om het nader onderzoek te kunnen uitvoeren.

2.2.3 Doorbreking medisch beroepsgeheim

Met dit voorstel worden de betrokken zorgaanbieder en zorgverleners verplicht om onder
andere medische gegevens te verstrekken aan de IGJ als deze voor de IGJ noodzakelijk
zijn om de andere melding te onderzoeken. Dit kan betekenen dat het medisch beroepsgeheim
wordt doorbroken. De bescherming van het medisch beroepsgeheim is een belangrijke
waarde in onze samenleving. De bescherming van deze waarde vloeit voort uit de bescherming
van het recht op privacy van de cliënt en ook uit het algemene belang van de volksgezondheid,
waarin het belangrijk is dat mensen die medische hulp nodig hebben die in moeten kunnen
roepen zonder vrees dat zijn aldus beschikbaar komende gezondheidsgegevens op welke
wijze dan ook voor andere doelen worden gebruikt. Het beroepsgeheim is een cruciaal
aspect van de relatie tussen hulpverlener en cliënt. Met het doorbreken van het medisch
beroepsgeheim moet dan ook zeer terughoudend worden omgegaan. Voor die gevallen waarin
onder het beroepsgeheim vallende informatie door de zorgverlener op grond van een
specifieke wettelijke bepaling toch aan anderen, zoals in casu de IGJ, moet worden
verstrekt, kent de wetgeving nadrukkelijk stevige waarborgen voor het geheimhouden
van deze gegevens. Indien er geen toestemming is, is voor doorbreking van het medisch
beroepsgeheim een wettelijke grondslag nodig. Met deze voorgestelde rechtsgrondslag
in de Wkkgz wordt dit gerealiseerd.

2.2.4 Inbreuk op het recht op privacy

Deze rechtsgrondslag is ook nodig omdat de verplichting (bijzondere categorieën van)
persoonsgegevens – en overigens ook strafrechtelijke gegevens – af te staan een inbreuk
vormt op het recht op privacy. Een inbreuk op dit recht, onder meer geregeld in artikel
8 EVRM, is alleen gerechtvaardigd indien de inbreuk geregeld is in de wet. Voorts
geldt – uit oogpunt van de bescherming van het recht op privacy – dat een dergelijke
inbreuk alleen gerechtvaardigd is als zij noodzakelijk is in een democratische samenleving
met het oog op specifiek in artikel 8 EVRM genoemde belangen.

2.2.5 Noodzakelijkheid, proportionaliteit en subsidiariteit

De verplichting persoonsgegevens, daaronder begrepen medische gegevens en strafrechtelijke
gegevens, te verstrekken, wordt in dit wetsvoorstel geregeld, omdat de IGJ nu op belemmeringen
stuit in onderzoeken naar andere meldingen. Het is noodzakelijk deze meldingen te
onderzoeken omdat deze meldingen situaties kunnen betreffen die voor de veiligheid
van cliënten een ernstige bedreiging betekenen of met het oog op het belang van goede
zorg – en dus de kwaliteit van de zorg – anderszins noodzaken tot nader onderzoek.
Het goed onderzoeken van deze risico’s is noodzakelijk in het belang van de bescherming
van de gezondheid.

In de vraag of een verwerking noodzakelijk is, ligt besloten of de verwerking van
gegevens proportioneel is en of de verwerking voldoet aan de eis van subsidiariteit.
Of de verwerking proportioneel is hangt af van de vraag of het legitieme doel dat
wordt nagestreefd in verhouding staat tot het feit dat daarvoor persoonsgegevens moeten
worden verwerkt. Dit staat in het onderhavige geval in verhouding, omdat door de gegevensverwerking
enerzijds de veiligheid van patiënten en de kwaliteit van de zorg wordt gewaarborgd
en anderzijds de daarvoor noodzakelijke inmenging in de privacy van betrokkene tot
een minimum zal worden beperkt en is voorzien van waarborgen. In het voorstel is namelijk
opgenomen dat de betrokken zorgaanbieder en de zorgverleners alleen die gegevens behoeven
te verstrekken die voor het onderzoeken van de andere melding noodzakelijk zijn. Dit
impliceert dat de IGJ van situatie tot situatie een afweging zal moeten maken en dat
zij zal moeten motiveren dat de gegevens noodzakelijk zijn9. Verder spreekt voor zich dat voorkomen moet worden dat gegevens over de gezondheid
van de cliënt, die de IGJ heeft ontvangen van de zorgaanbieder of de zorgverlener,
alsnog verder worden verspreid naar derden. Artikel 25, derde lid, Wkkgz voorziet
hierin nu is bepaald dat in het geval de IGJ gegevens heeft ontvangen in het kader
van het onderzoeken van een (wettelijk verplichte of andere) melding en deze gegevens
vallen onder het beroepsgeheim van een zorgverlener, de IGJ ook een geheimhoudingsplicht
heeft ten aanzien van deze gegevens. In artikel 25, derde lid, Wkkgz is bepaald dat
dit geldt voor meldingen, zodat ook andere meldingen onder dit artikel vallen. Dit
artikel behoeft om die reden geen aanpassing.

Subsidiariteit betreft de vraag of het genoemde doel niet op een andere, minder ingrijpende
wijze kan worden bereikt. Zoals hiervoor uiteengezet is het vragen van toestemming
voor de gegevensverwerking bij het onderzoeken van andere meldingen niet altijd mogelijk
of wenselijk. Er zijn geen lichtere methoden dan de wettelijk verplichte afgifte van
de gegevens die geringere inbreuk zouden vormen. Daarmee is de inbreuk op het recht
op privacy voldoende gerechtvaardigd.

2.3. Gegevensverwerking bij de uitvoering van de kindertelefoon, de luisterlijn en
de chat van Veilig Thuis

In de Jeugdwet is opgenomen dat ervoor zorg moet worden gedragen dat jeugdigen kosteloos
en anoniem een telefonisch of elektronisch (chat of mail) gesprek kunnen voeren over
hun persoonlijke situatie en daarover advies kunnen krijgen.

Deze luisterlijn in het kader van de Jeugdwet is in de praktijk bekend onder het begrip
«kindertelefoon». Waar in deze memorie van toelichting specifiek gesproken wordt over
de luisterlijn in het kader van de Jeugdwet, wordt daarom de term kindertelefoon gebruikt.
Momenteel wordt deze taak uitgevoerd door de Stichting De Kindertelefoon. Stichting
De Kindertelefoon voert deze taak kindvriendelijk en laagdrempelig uit en biedt jeugdigen
een luisterend oor, geeft antwoorden op vragen of bedenkt samen met de jeugdige een
oplossing.

In de Wmo 2015 is een soortgelijke functie opgenomen. Deze hulplijn in het kader van
de Wmo 2015 is in de praktijk bekend onder het begrip «de luisterlijn». Momenteel
wordt deze functie uitgeoefend door Stichting Sensoor, de landelijke luisterlijn.
Op ieder moment van de dag kan kosteloos een telefonisch of chatgesprek worden gevoerd
over de persoonlijke situatie of advies worden gevraagd.

In de Wmo 2015 zijn ook de taken van Veilig Thuis opgenomen. Veilig Thuis is tijdens
de coronacrisis met een chatfunctie gestart voor mensen die te maken hebben met huiselijk
geweld of kindermishandeling. De chatfunctie is speciaal bedoeld voor mensen die door
hun thuissituatie niet kunnen bellen. Zij kunnen dan via de chat vragen stellen en
een advies krijgen.

De bovenstaande drie functies worden in deze toelichting gezamenlijk aangeduid met
de term «hulplijnen».

2.3.1 Aanleiding

Aanleiding voor dit wetsvoorstel is het signaal vanuit de Stichting De Kindertelefoon
dat er grondslagen in de Jeugdwet ontbreken voor de gegevensverwerking die noodzakelijk
zijn voor de uitvoering van een hulplijn. Het knelpunt is dat de huidige wetteksten
uitgaan van anonimiteit. Van anonimiteit in de zin van de AVG is enkel sprake indien
elke mogelijkheid tot identificatie van betrokkenen onherroepelijk wordt uitgesloten.
Indirecte herleidbaarheid door middel van het telefoonnummer of IP-adres kan, ondanks
technische en organisatorische maatregelen, echter niet volledig worden uitgesloten.

Om aan te sluiten bij de feitelijke situatie wordt voorgesteld het woord «anoniem»
in de bepalingen die gaan over de kindertelefoon en de luisterlijn te vervangen door
«niet direct herleidbaar».

Overigens geldt bovenstaande niet op dezelfde wijze voor de chatfunctie van Veilig
Thuis. Ook de chat-functie is niet direct herleidbaar. Echter, in artikel 4.1.1, derde
lid, Wmo 2015, waarin is bepaald dat Veilig Thuis advies geeft aan degene die een
vermoeden heeft van huiselijk geweld of kindermishandeling, wordt al niet uitgegaan
van anonimiteit. Om die reden behoeft deze bepaling geen aanpassing.

2.3.2 Grondslagen voor gegevensverwerking bij de uitvoering van de hulplijnen

De kindertelefoon en de luisterlijn

Het telefoonnummer en het IP-adres van degenen die contact zoeken met de kindertelefoon
en de luisterlijn moeten worden verwerkt om deze voorziening mogelijk te maken. Zodra
een persoon belt met een hulplijn krijgt de verwerker – de organisatie die zorgt voor
de applicaties van de hulplijnen – automatisch het telefoonnummer waarmee wordt gebeld
en bij het starten van een chat krijgt de verwerker automatisch het IP-adres van de
computer. Dit telefoonnummer of IP-adres kan alleen door de verwerker ingezien worden.
De vrijwilliger met wie de persoon het gesprek voert dan wel chat, ziet dit telefoonnummer
of IP-adres niet. Deze gegevens zijn versleuteld (gepseudonimiseerd). De verwerker
deelt deze gegevens alleen met een medewerker van een hulplijn in zeer uitzonderlijke
situaties, zie hiervoor paragraaf 2.3.3. Wel kunnen de vrijwilliger en medewerkers
van de kindertelefoon en de luisterlijn in het systeem zien of en zo ja hoe vaak de
desbetreffende persoon contact heeft opgenomen10.

Dit zijn goede waarborgen om te voorkomen dat de gegevens herleidbaar zijn naar een
persoon. Echter, ook het gebruik van versleutelde gegevens kan niet volledig voorkomen
dat deze gegevens kunnen worden herleid naar de persoon om wie het gaat, nu de gegevens,
ondanks goede afspraken in de verwerkersovereenkomst, indirect herleidbaar kunnen
zijn tot een persoon. Om die reden is geen sprake van anonimiteit in de zin van de
AVG en wordt met onderhavig voorstel een grondslag voor de kindertelefoon en de luisterlijn
voorgesteld voor de verwerking van het telefoonnummer en het IP-adres van hun gesprekspartners.

De verwerking van het telefoonnummer en het IP-adres zijn ook van belang om oneigenlijk
gebruik van de kindertelefoon en de luisterlijn tegen te gaan. Een klein deel van
degenen die contact zoekt met deze hulplijnen, doet dat heel vaak en maakt misbruik
van de mogelijkheid die de hulplijnen bieden. Voor de kindertelefoon betekende dit
dat deze werd overspoeld door jeugdigen die veelvuldig contact wilden. Daardoor kwamen
niet alle jeugdigen aan de beurt. De verwerker kan namens de kindertelefoon een time-out
geven op basis van een IP-adres of een telefoonnummer en een aantal time-outs kan
leiden tot een tijdelijke blokkering van het betreffende IP-adres of telefoonnummer.
Het geven van time-outs heeft bijgedragen aan een betere bereikbaarheid van de kindertelefoon.
Ditzelfde geldt voor het instellen van maximaal vier keer bellen per dag en het introduceren
van een wachtrij. Ook hierbij wordt het telefoonnummer of het IP-adres van de jeugdige
verwerkt. Het IP-adres en telefoonnummer worden zes weken voor bovenstaande doelen
opgeslagen en worden daarna gepseudonimiseerd.

Voor de luisterlijn geldt ook dat voor het optimaliseren van de bereikbaarheid het
verwerken van het IP-adres en het telefoonnummer noodzakelijk is. Een gesprekspartner
ontvangt als hij reeds vier gesprekken met de luisterlijn heeft gehad en een vijfde
keer een gesprek tot stand wil doen komen, de boodschap te horen dat hij zijn maximumaantal
gesprekken voor die dag heeft gehad. Bij (veelvuldig) oneigenlijk gebruik of ernstig
grensoverschrijdend gedrag kan een gesprekspartner voor de duur van zes maanden worden
geblokkeerd.

Naast de grondslag voor de kindertelefoon en de luisterlijn om het IP-adres dan wel
het telefoonnummer van degene die contact opneemt te verwerken, zijn de volgende grondslagen
noodzakelijk om hun taak te kunnen uitoefenen.

Ten eerste wordt een grondslag voorgesteld op basis waarvan er (bijzondere categorieën
van) persoonsgegevens kunnen worden verwerkt door de vrijwilliger in de chats dan
wel door de verwerker. Deze situatie doet zich voor als de persoon die contact zoekt
met de kindertelefoon of de luisterlijn uit eigen beweging (bijzondere categorieën
van) persoonsgegevens heeft gedeeld met de vrijwilliger. Deze grondslag is noodzakelijk
voor de chat, omdat het delen van informatie in een chatgesprek direct is aan te merken
als een verwerking in de zin van de AVG, aangezien er sprake kan zijn van (indirecte)
herleidbaarheid en de gesprekken bijvoorbeeld ook over (geestelijke) gezondheid kunnen
gaan. Ondanks de technische en organisatorische maatregelen om herleidbaarheid te
voorkomen, waarbij de vrijwilliger geen inzage heeft in het IP-adres, is er bij de
verwerkers, de kindertelefoon en de luisterlijn, zowel informatie beschikbaar op basis
waarvan een persoon indirect kan worden herleid (het IP-adres) als informatie over
bijvoorbeeld de gezondheid. De vrijwilliger van de kindertelefoon en de luisterlijn
verwerkt gepseudonimiseerde gegevens en gelet op de AVG is voor deze verwerking een
grondslag en uitzondering op het verwerkingsverbod noodzakelijk vanwege de mogelijkheid
dat de gegevens naar een persoon herleidbaar zijn.

Overigens is deze grondslag bij telefoongesprekken niet noodzakelijk. Een telefoongesprek
is niet aan te merken als een verwerking in de zin van de AVG en de gesprekken worden
niet opgeslagen. Bij de kindertelefoon worden van de telefoongesprekken ook geen verslag
gemaakt. De vrijwilligers van de luisterlijn maken van de telefoongesprekken wel een
verslag, maar nemen hierin geen (bijzondere categorieën van) persoonsgegevens op.
Het tijdstip van bellen, de lengte van het gesprek, de herkomstregio van de beller
en de ingang (nummer van de hulplijn) welke is gekozen, kan zichtbaar worden gemaakt
voor stafmedewerkers.

Het gespreksverslag dat van het telefoongesprek wordt gemaakt en de chat worden gekoppeld
aan het pseudoniem (het gehashte telefoonnummer of IP-adres). In tegenstelling tot
een gespreksverslag kunnen in een chat wel (bijzondere categorieën van) persoonsgegevens
staan. De reden hiervoor is dat chats woordelijk worden opgeslagen. Hoewel de chats
niet direct terug te leiden zijn naar een persoon, zijn het telefoonnummer en het
IP-adres gehasht en om die reden is herleidbaarheid naar een persoon niet uitgesloten.
Om die reden is het verwerken van gepseudonimiseerde gegevens alleen mogelijk met
een wettelijke grondslag.

Ten tweede wordt een grondslag voorgesteld die ziet op de verwerking van (bijzondere
categorieën van) persoonsgegevens in chats door daarvoor geautoriseerde medewerkers
met als doel dat de kindertelefoon en de luisterlijn hun taak doelmatig en doeltreffend
kunnen uitvoeren. Dit zijn voor de kindertelefoon de werkbegeleiders en voor de luisterlijn
de superuser en de trainer. Voor hen blijven de chats gepseudonimiseerd drie maanden
zichtbaar in de productieomgeving van het systeem. Zij kunnen deze teruglezen ten
behoeve van opleidingsdoeleinden en intervisie. Deze personen kunnen aan de hand van
één chat ook eventueel eerdere chats van dezelfde persoon die contact zocht met de
kindertelefoon of de luisterlijn terugkijken. Ten behoeve van de opleiding en ontwikkeling
van de vrijwilligers kan de daartoe geautoriseerde persoon inloggen en daarmee kan
hij al de vrijwilligers volgen. De vrijwilliger krijgt feedback middels een gesprek
en/of een feedbackformulier. In dit formulier worden geen persoonsgegevens gedeeld.
De bevoegde medewerker kan ook meelezen met de chats. Om die reden is het opnemen
van een grondslag ten behoeve van de verwerking van (bijzondere) categorieën van persoonsgegevens
door deze geautoriseerde medewerkers in chats noodzakelijk. Deze grondslag ziet ook
op gegevensverwerking bij de kindertelefoon in het kader van periodiek onderzoek.
Ten behoeve van de doelmatige en doeltreffende uitvoering van de dienstverlening kunnen
via dit onderzoek trends onder kinderen worden gesignaleerd. Op basis van de uitkomsten
kunnen methodieken worden aangepast en bereikbaarheid worden geoptimaliseerd. Vervolgens
kunnen de trends ook geanonimiseerd worden geadresseerd richting de samenwerkingspartners
in het sociaal domein en de samenleving. Met deze grondslag is de kindertelefoon bevoegd
gepseudonimiseerd gegevens te verwerken ten behoeve van dit doel.

Tot slot wordt een specifieke grondslag opgenomen voor de kindertelefoon en de luisterlijn
voor de verwerking van (bijzondere categorieën van) persoonsgegevens door geautoriseerde
medewerkers bij klachtafhandeling. Bij behandeling van klachten is informatie nodig
van de klager. Er kan bijvoorbeeld een klacht worden ingediend over grensoverschrijdend
gedrag van een vrijwilliger. Degene die een klacht indient, stuurt een e-mail naar
de kindertelefoon en legt daarbij uit waarover de klacht gaat. Op de website van de
kindertelefoon wordt vermeld dat een klager dan niet langer anoniem is. Ook kan de
eventuele verwerking van persoonsgegevens niet gepseudonimiseerd plaatsvinden. Aan
de hand van de klacht start de daartoe bevoegde persoon van de kindertelefoon een
onderzoek om zo tot een goede reactie op de klacht te komen. Als een persoon een klacht
indient bij de luisterlijn, wordt gevraagd om op het formulier het tijdstip van bellen
of van chatten te vermelden. Aan de hand daarvan gaat de daartoe bevoegde persoon
van de luisterlijn zoeken en kan hij zien met welke vrijwilliger deze persoon contact
heeft gehad. Ook kan het gespreksverslag of de chat en eventuele daaraan voorafgaande
gespreksverslagen en chats worden teruggelezen. Indien er door de klager geen de contactgegevens
worden ingevuld, geschiedt er geen terugkoppeling maar gebruikt de luisterlijn de
informatie wel voor kwaliteitsverbetering.

Chatfunctie Veilig Thuis

Met het voorgestelde derde lid van artikel 5.1.6 Wmo 2015 wordt voor Veilig Thuis
een grondslag gecreëerd om persoonsgegevens te kunnen verwerken die zijn opgenomen
in de chat. Ook bij Veilig Thuis zijn het telefoonnummer en het IP-adres noodzakelijk
voor het leggen van contact. Net als bij de kindertelefoon en de luisterlijn is voorzien
in de nodige waarborgen. Voor medewerkers van Veilig Thuis zijn het telefoonnummer
en het IP-adres versleuteld. De verwerker beschikt als enige wel over deze gegevens.
Net als bij de andere hulplijnen worden deze gegevens alleen in uitzonderlijke situaties
met de politie of de officier van justitie gedeeld. Anders dan ten behoeve van de
kindertelefoon en de luisterlijn is in artikel 5.1.6, eerste lid, Wmo 2015 reeds een
grondslag opgenomen dat Veilig Thuis persoonsgegevens, waaronder het telefoonnummer
en het IP-adres, mag verwerken ten behoeve van de goede vervulling van onder meer
de adviesfunctie.

Er ontbreekt in de huidige wetgeving echter een grondslag om bijzondere
categorieën van persoonsgegevens te verwerken door Veilig Thuis in het kader van haar adviesfunctie.
Veilig Thuis zal nooit aan degene met wie zij chat in verband met haar adviesfunctie
vragen om direct naar de persoon herleidbare (bijzondere categorieën van) persoonsgegevens.
Wel heeft Veilig Thuis uiteraard een beschrijving van de situatie nodig, waarin regelmatig
(bijzondere categorieën van) persoonsgegevens zijn opgenomen. Verder kan het ook voorkomen
dat een persoon uit eigen beweging persoonsgegevens meedeelt die direct naar diegene
herleidbaar zijn. Aangezien Veilig Thuis zelf niet beschikt over het telefoonnummer
en het IP-adres van degene die contact zoekt, gaat het normaliter om de verwerking
van gepseudonimiseerde gegevens. Zoals uit het voorgaande blijkt, is ook voor de verwerking
van gepseudonimiseerde gegevens op grond van de AVG een grondslag noodzakelijk. Net
als bij de andere hulplijnen geldt ook voor Veilig Thuis dat het vragen van toestemming
geen passend alternatief is.

Overigens gaat het in dat geval alleen om de verwerking van die gegevens in de chats.
In het kader van haar adviesfunctie kan met Veilig Thuis ook telefonisch contact worden
opgenomen. De Wmo 2015 kent daarvoor reeds de benodigde grondslagen. Zoals ook uit
het voorgaande blijkt, is een telefoongesprek niet aan te merken als een verwerking
in de zin van de AVG. De medewerker van Veilig Thuis die het telefoongesprek voert
maakt wel een verslag van het gesprek, maar neemt daar geen bijzondere categorieën
van persoonsgegevens in op. Van ieder advies worden volgens een vast format gegevens
vastgelegd. Deze registratie staat op naam van de adviesvrager, tenzij de adviesvrager
aangeeft anoniem te willen blijven.

2.3.3 Vertrouwelijkheid

Een belangrijke voorwaarde voor de laagdrempelige toegankelijkheid van de hulplijnen
is dat mensen gesprekken kunnen blijven voeren die niet direct tot hen kunnen worden
herleid. Betrokkenen zijn niet verplicht te vertellen hoe ze heten. Het komt voor
dat betrokkenen informatie delen in een chatgesprek die op zichzelf of in samenhang
herleidbaar zijn naar henzelf of een ander. Bijvoorbeeld een e-mailadres of de naam
van de school. De medewerker of vrijwilliger signaleert dit zodat deze herleidbare
gegevens vervolgens kunnen worden verwijderd uit de chatgeschiedenis.

De huidige mate van vertrouwelijkheid in de praktijk blijft onverkort van toepassing.
Ook worden er geen dossiers bijgehouden. Medewerkers en vrijwilligers hebben geen
toegang tot de telefoonnummers en IP-adressen en delen in beginsel met niemand wat
er is besproken. In een aantal situaties wordt informatie toch gedeeld met derden.
In het geval van een mogelijke situatie van huiselijk geweld of kindermishandeling
kan de kindertelefoon bijvoorbeeld met toestemming van de jeugdige samen bellen met
Veilig Thuis. Zodra het contact met Veilig Thuis tot stand is gebracht, zal de medewerker
van de kindertelefoon het contact verbreken en er «tussenuit stappen».

In uitzonderlijke gevallen wordt het telefoonnummer of IP-adres opgevraagd en verstrekt
aan derden. Dit komt zeer zelden voor: alleen bij dringende veiligheidsredenen. Het
gaat hier om de situaties als bedoeld in artikel 160 van het Wetboek van strafvordering.
Denk hierbij aan situaties waarin er een reëel risico is op moord, doodslag of een
terroristische aanslag. In eerste instantie wordt geprobeerd de persoon zelf hulp
in te laten schakelen (met name bij gevaar voor zichzelf). Lukt dat niet en is er
sprake van een ernstig gevaar (met name bij een gevaar voor derden) dat alleen kan
worden afgewend door derden in te schakelen, dan wordt afgewogen of het gevaar zo
groot is dat het doorbreken van de vertrouwelijkheid in verhouding staat tot het gevaar
(proportionaliteit) en dat het gevaar niet met een minder ingrijpend alternatief kan
worden afgewend (subsidiariteit). Als dat zo is, dan kan informatie gedeeld worden.
Bij inschakeling van de politie wordt eerst de urgentie van de situatie getoetst door
daartoe aangewezen medewerkers en – indien de urgentie dat toelaat – via anonieme
toetsing bij de politie. Alleen wanneer de ernst van de situatie daarom vraagt, wordt
door een daartoe aangewezen medewerker van de hulplijn het telefoonnummer of IP-adres
opgevraagd bij de verwerker en vervolgens aan de politie verstrekt. Inhoudelijke informatie
uit de chat wordt alleen gedeeld op vordering van de officier van justitie.

2.3.4 Noodzakelijkheid, proportionaliteit en subsidiariteit

Hierboven is uiteengezet waarom de grondslagen voor gegevensverwerking bij de uitvoering
van hulplijnen en de chatfunctie Veilig Thuis noodzakelijk zijn. Zonder de in deze
toelichting beschreven verwerkingen kan de voorziening niet bestaan. Het telefoonnummer
of IP-adres is nodig om het telefoongesprek of chat tot stand te brengen. In de beschrijving
van de situatie in de chat moet de informatie over de situatie kunnen worden beschreven,
ook als daarin bijzondere categorieën van persoonsgegevens of gegevens van strafrechtelijke
aard genoemd worden. De gegevensverwerking is daarnaast proportioneel omdat het doel,
namelijk mensen middels hulplijnen helpen met een persoonlijke situatie, in verhouding
staat tot de daarvoor noodzakelijke inmenging in de privacy van de betrokkenen. Zoals
hierboven omschreven wordt de gegevensverwerking tot een minimum beperkt en zijn er
verschillende waarborgen om te voorkomen dat de gegevens herleidbaar zijn naar een
persoon. Daarnaast is door de Stichting De Kindertelefoon onderzocht of de verwerkingen
kunnen worden gebaseerd op toestemming. Uit onderzoek blijkt dat dit hoge drempels
opwerpt voor jeugdigen. Terwijl het uitgangspunt van de kindertelefoon nu juist is
dat er een laagdrempelige manier moet zijn voor jongeren om advies te vragen of hun
problemen kwijt te kunnen. Dit uitgangspunt geldt ook voor de luisterlijn. Om die
reden is het voorstel om de wettelijke regelingen over de hulplijnen aan te vullen
met specifieke grondslagen voor de verwerking van (bijzondere categorieën van) persoonsgegevens.
Er is dus tevens voldaan aan het vereiste van subsidiariteit.

2.4. Aanscherping taakomschrijving Veilig Thuis en verduidelijking, verbetering en
aanvulling van grondslagen voor gegevensverwerking door Veilig Thuis

2.4.1 Aanscherping taakomschrijving Veilig Thuis

Voorgesteld wordt om de taakomschrijving van Veilig Thuis in artikel 4.1.1, tweede
lid, Wmo 2015, aan te scherpen. Sinds de inwerkingtreding van de Wmo 2015 heeft Veilig
Thuis samen met de partijen in de strafrechtketen een solide aanpak van huiselijk
geweld en kindermishandeling ontwikkeld. Daarbij is de samenwerking tussen de partijen
in de strafrechtketen en Veilig Thuis, op belangrijke momenten in de vroegtijdige
afstemming bij samenloop van het zorg- en het strafdomein van cruciaal belang voor
de aanpak van huiselijk geweld en kindermishandeling. Denk hierbij aan de afstemming
in het ZSM-proces (Zorgvuldig, Snel en op Maat) als een verdachte is gehoord of aangehouden,
maar ook op andere momenten zoals bij dreigend (risico op) gevaar als er (nog) geen
verdachte is aangehouden (het Actieoverleg).

Voorheen werd niet gelijktijdig maar na elkaar afgestemd. Dat wil zeggen: Veilig Thuis
verstrekte informatie aan de politie en de politie gaf deze informatie indien nodig
door aan het openbaar ministerie, de reclassering en Slachtofferhulp Nederland. In
de afgelopen jaren is gebleken dat deze manier van afstemmen onvoldoende bijdraagt
aan het stoppen en duurzaam oplossen van geweld in gezinnen en huishoudens. De kans
op escalatie of herhaling van het geweld wordt kleiner wanneer er naar aanleiding
van een melding afstemming mogelijk is tussen de betrokken partners, om bijvoorbeeld
afspraken te maken over de inzet van interventies om het geweld te stoppen en te voorkomen.
Dit kunnen justitiële interventies betreffen én interventies vanuit de zorg. De inzet
van deze interventie(s) is op elkaar afgestemd. Het eerder, beter en gezamenlijk optrekken
van de partners maakt de kans op duurzaam herstel van de veiligheid groter. Dit komt
de effectiviteit van de aanpak van huiselijk geweld en kindermishandeling ten goede.

Het gezamenlijke doel van partijen is om zicht te krijgen op de onveiligheid en het
herstellen van de veiligheid van het slachtoffer van huiselijk geweld of kindermishandeling.
Iedere partij heeft een eigen rol in deze momenten van afstemming. De rol van Veilig
Thuis daarbij volgt uit de in artikel 4.1.1 Wmo 2015 opgenomen taken van Veilig Thuis
in de beëindiging of de doorbreking van huiselijk geweld en kindermishandeling. De
vroegtijdige afstemming draagt daartoe in belangrijke mate bij. De ontwikkelde aanpak
van huiselijk geweld en kindermishandeling is nu, anders dan ten tijde van de totstandkoming
van de Wmo 2015, dusdanig uitgekristalliseerd, dat het mogelijk is die ook tot uiting
te brengen in de formulering van artikel 4.1.1, tweede lid, Wmo 2015. De huidige formulering
geeft in de praktijk onduidelijkheid over met welke partijen in de strafrechtketen
gegevens mogen worden gedeeld als dit noodzakelijk is voor het stoppen en duurzaam
oplossen van situaties van huiselijk geweld en kindermishandeling. In dat verband
is gekozen voor een uitbreiding van genoemd artikel, door een aantal partijen waarvan
in de praktijk gebleken is dat deze van belang zijn, expliciet te benoemen.

Verder wordt voor de volledigheid opgemerkt dat Veilig Thuis na een zorgvuldige afweging
bevoegd is bij bovengenoemde partijen informatie op te vragen ter beoordeling van
de vraag of en zo ja, tot welke stappen een melding van huiselijk geweld of kindermishandeling
aanleiding geeft. Deze gegevensverwerking is reeds geregeld in artikel 4.1.1, tweede
lid, onder c, Wmo 2015, in verbinding met artikel 5.1.6, tweede lid, Wmo 2015. Daarbij
hanteert Veilig Thuis het Handelingsprotocol Veilig Thuis.11

2.4.2 Noodzaak, proportionaliteit en subsidiariteit

Om in het belang van de veiligheid van betrokkenen tot een goede afstemming te komen,
kan het noodzakelijk zijn voor Veilig Thuis om persoonsgegevens, waaronder bijzondere
categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard, te
verstrekken aan partijen in de strafrechtketen.

Deze gegevensverwerking is proportioneel. Het legitieme doel dat wordt nagestreefd
staat in verhouding tot de gegevensverwerking, omdat door de gegevensverwerking enerzijds
de veiligheid van betrokkenen wordt gewaarborgd en anderzijds de daarvoor noodzakelijke
inmenging in de privacy van betrokkenen tot een minimum is beperkt. Veilig Thuis beoordeelt
per voorliggende casus aan welke partijen – afhankelijk van het soort afstemmingsoverleg
– het noodzakelijk is gegevens te verstrekken. Indien het bij voorbaat duidelijk is
dat verstrekking aan slechts een of twee partijen noodzakelijk is, dan worden enkel
gegevens aan die partijen verstrekt. Daarnaast is voldaan aan het vereiste van subsidiariteit,
omdat het genoemde doel kan niet op een andere, minder ingrijpende wijze worden bereikt.

2.4.3 Verduidelijking grondslag gegevensverwerking voor beleidsinformatie en gevalsbehandeling

Artikel 4.2.12 Wmo 2015 bevat een grondslag voor het verstrekken van gegevens door
Veilig Thuis aan het college, aan de Minister van VWS en aan de Minister voor Rechtsbescherming
ten behoeve van beleidsinformatie. In het Uitvoeringsbesluit Wmo 2015 is bepaald dat
deze gegevens door Veilig Thuis bij het Centraal Bureau voor de Statistiek (hierna:
CBS) worden aangeleverd, als het gaat om een structurele verstrekking. Daarnaast is
in het Uitvoeringsbesluit Wmo 2015 opgenomen welke gegevens voor beleidsinformatie
worden verstrekt. Een incidentele verstrekking op grond van artikel 4.2.12 Wmo 2015
betreft geen persoonsgegevens.

Naast de grondslag voor het verstrekken van gegevens inzake beleidsinformatie bevat
artikel 4.2.12 Wmo 2015 in samenhang met artikel 7.4.0, eerste lid, Jeugdwet, onder
andere een grondslag voor het verstrekken van persoonsgegevens aan het college met
als doel dat het college kan beoordelen of een bepaalde voorziening nodig is voor
een specifieke cliënt (de zgn. «gevalsbehandeling»). Het gaat derhalve om grondslagen
voor gegevensverstrekking voor twee verschillende doelen. Dat wil zeggen dat de gegevens
ten behoeve van beleidsinformatie niet mogen worden gebruikt voor de gevalsbehandeling.
Dat is ook niet mogelijk omdat de structurele gegevensverstrekking daarvoor via het
CBS loopt en het bij de incidentele verstrekking blijkens het Uitvoeringsbesluit Wmo
2015 niet om persoonsgegevens kan gaan.

In de praktijk wordt ervan uitgegaan dat artikel 4.2.12 Wmo 2015 voor beide categorieën
gegevens een grondslag biedt voor verstrekking van zowel gegevens inzake huiselijk
geweld als gegevens inzake kindermishandeling. Nu het huidige artikel 4.2.12 Wmo 2015
echter alleen verwijst naar de Jeugdwet – die slechts van toepassing is in gevallen
waarin jeugdigen zijn betrokken – wordt voorgesteld om de grondslagen voor gegevensverwerking
in artikel 4.2.12 Wmo 2015 te verduidelijken.

Met de voorgestelde wijziging van het artikel 4.2.12 Wmo 2015 wordt voor de gegevens
ten behoeve van beleidsinformatie de verwijzing naar de Jeugdwet vervangen door een
eigenstandige grondslag voor het verstrekken van gegevens inzake zowel huiselijk geweld
als kindermishandeling. Het is niet de bedoeling om met de voorgestelde wijziging
de reikwijdte van artikel 4.2.12 Wmo 2015 te beperken. Met deze wijziging wordt slechts
beoogd om te expliciteren dat de grondslag niet alleen geldt voor het verstrekken
van gegevens inzake kindermishandeling, maar dat deze ook geldt voor gegevensverstrekking
inzake huiselijk geweld.

Voor de verstrekking van gegevens inzake «gevalsbehandeling» wordt voorgesteld om
een verwijzing naar artikel 5.1.1 Wmo 2015 toe te voegen, zodat duidelijk is dat ook
in geval van een melding van huiselijk geweld waarbij geen jeugdigen betrokken zijn
persoonsgegevens aan het college kunnen worden verstrekt. Op basis van deze gegevens
kan het college beoordelen of een maatwerkvoorziening nodig is.

2.4.4 Overige wijzigingen

Met dit wetsvoorstel wordt tevens voorgesteld de grondslag voor het verwerken van
bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke
aard door Veilig Thuis in artikel 5.1.6, tweede lid, Wmo 2015, te verbeteren. Uit
de wettekst blijkt namelijk niet duidelijk dat er naast gegevens over gezondheid ook
andere bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke
aard door Veilig Thuis mogen worden verwerkt.

Veilig Thuis kan naast persoonsgegevens van strafrechtelijke aard die zij van de politie
en het openbaar ministerie ontvangt, dergelijke gegevens ook verwerken van Halt en
de reclassering. Vereist daarvoor is steeds dat uit een melding een redelijk vermoeden
van huiselijk geweld of kindermishandeling wordt afgeleid en de verwerking van die
gegevens noodzakelijk is.

Daarnaast wordt voorgesteld de grondslag voor het gebruik van het burgerservicenummer
(hierna: BSN) door Veilig Thuis in artikel 5.2.9 te verbeteren.

Tot slot wordt voorgesteld artikel 5.3.4, tweede lid, inzake de voor Veilig Thuis
voorgeschreven bewaartermijn voor persoonsgegevens aan te passen, zodat deze beter
aansluit bij de praktijk. Dit wordt toegelicht in de artikelsgewijze toelichting bij
artikel III, onderdeel L.

2.5. Delegatiegrondslag verwerking persoonsgegevens IBES

Met dit onderdeel wordt voorgesteld de delegatiegrondslag van artikel 18.4.5, eerste
lid, onderdeel e, van de Invoeringswet BES aldus aan te vullen, dat op grond daarvan
ook regels met betrekking tot de verwerking van persoonsgegevens, waaronder bijzondere
persoonsgegevens, kunnen worden gesteld. Dat artikelonderdeel houdt thans in dat bij
of krachtens algemene maatregel van bestuur (hierna: amvb) regels kunnen worden gesteld
met betrekking tot het bieden van maatschappelijke opvang en vrouwenopvang (hierna:
opvang) en het voeren van beleid ter bestrijding van geweld dat door iemand uit de
huiselijke kring van het slachtoffer is gepleegd (hierna: huiselijk geweld).

Op grond van artikel 10 van de Grondwet heeft een ieder, behoudens bij of krachtens
de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
Tevens bevat artikel 10 een opdracht aan de wetgever regels te stellen ter bescherming
van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
Voor Caribisch Nederland is aan de opdracht gevolg gegeven door de vaststelling van
de Wet bescherming persoonsgegevens BES (hierna: Wbp BES). De Wbp BES bevat algemene
normen voor een zorgvuldige omgang met persoonsgegevens en bepaalt onder andere dat
de verwerking op een zorgvuldige en behoorlijke wijze plaats dient te vinden en dat
het verzamelen van persoonsgegevens met als doel deze in een bestand op te nemen,
alleen is toegestaan voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
doeleinden. Artikel 8 Wbp BES geeft een limitatieve opsomming van de gronden die een
gegevensverwerking rechtvaardigen. Artikel 8, onderdeel c, Wbp BES bepaalt dat persoonsgegevens
verwerkt mogen worden indien verwerking noodzakelijk is om een wettelijke verplichting
na te komen waaraan de verantwoordelijke is onderworpen. Een dergelijke verplichting
kan ook bij amvb worden opgelegd. Artikel 16 Wbp BES bepaalt dat de verwerking van
bijzondere persoonsgegevens is verboden, tenzij aan bepaalde voorwaarden is voldaan.
Voor specifieke bijzondere persoonsgegevens zijn uitzonderingen op dit verbod opgenomen
in artikel 17 tot en met 22. Artikel 21 bevat een uitzondering op het verbod voor
gegevens betreffende gezondheid. Het eerste lid, onderdeel a, van dat artikel bepaalt
dat het verbod niet van toepassing is indien de verwerking geschiedt door hulpverleners,
instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening
voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene,
dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is.
Indien het in verband met het bieden van maatschappelijke ondersteuning noodzakelijk
is om bijzondere persoonsgegevens te verwerken zal het met name gaan om het verwerken
van gegevens over de gezondheid. Daarvoor biedt artikel 21 Wbp BES een grondslag.
Voor zover het voor deze hulpverleners, instellingen of voorzieningen voor gezondheidszorg
of maatschappelijke dienstverlening tevens nodig is om andere bijzondere persoonsgegevens
te verwerken met het oog op een goede behandeling of verzorging van de betrokkene,
kan dat op grond van het derde lid van artikel 21 Wbp BES.

De verwerking van bijzondere persoonsgegevens in het kader van huiselijk geweld kan
niet worden gebaseerd op artikel 21 Wbp. Artikel 23, eerste lid, onder e, Wbp BES,
bepaalt dat het verbod om bijzondere persoonsgegevens te verwerken niet van toepassing
is, voor zover de verwerking noodzakelijk is met het oog op een zwaarwegend algemeen
belang, passende waarborgen ter bescherming van de persoonlijke levenssfeer worden
geboden en dit bij wet bepaald wordt dan wel de Commissie toezicht bescherming persoonsgegevens
BES ontheffing heeft verleend.

Aansluitend bij de systematiek van hoofdstuk 6 van de IBES wordt het met voorgesteld
artikel mogelijk gemaakt om in de amvb over de bestrijding van huiselijk geweld tevens
regels te stellen over de in dat kader noodzakelijke verwerking van bijzondere persoonsgegevens.
In hoofdstuk 6 van de IBES zijn delegatiegrondslagen opgenomen op grond waarvan op
een aantal beleidsterreinen regels bij of krachtens amvb kunnen worden gesteld. Zo
bevat artikel 18.4.5 eerste lid, onderdeel e, van de IBES, een delegatiegrondslag
voor het stellen van regels over opvang en het bestrijden van huiselijk geweld. Deze
delegatiegrondslag zou voor het bestrijden van huiselijk geweld zinloos zijn als daarbij
niet tevens kan worden voorzien in regels voor het verwerken van bijzondere persoonsgegevens.
Het is voor het zwaarwegende algemeen belang van een effectieve bestrijding van huiselijk
geweld immers noodzakelijk om persoonsgegevens van degenen die bij dat geweld betrokken
zijn te kunnen verwerken. Daarbij zal het veelal gaan om bijzondere persoonsgegevens,
zoals bijvoorbeeld strafrechtelijke gegevens of gegevens over het seksuele leven van
de vermoedelijk pleger van het huiselijk geweld. Aldus beschouwd wordt met de voorgestelde
bepaling een omissie van de wetgever hersteld.

2.5.1 Noodzakelijkheid, proportionaliteit en subsidiariteit

Hierboven is uiteengezet dat het vanwege het zwaarwegende algemeen belang van een
effectieve bestrijding van huiselijk geweld noodzakelijk is om persoonsgegevens van
degenen die bij dat geweld betrokken zijn te kunnen verwerken. Voor het snel en adequaat
kunnen bieden van hulp en het beëindigen van huiselijk geweld is de verwerking van
persoonsgegevens, waaronder bijzondere persoonsgegevens, onvermijdelijk. Er zijn geen
minder ingrijpende manieren om het betrokken doel van snelle en adequate hulp aan
slachtoffers van huiselijk geweld te realiseren. Er is dus tevens voldaan aan het
vereiste van subsidiariteit. Indien op grond van deze delegatiegrondslag regels worden
gesteld voor het verwerken van bijzondere persoonsgegevens bij de bestrijding van
huiselijk geweld zal er aandacht moeten zijn voor het vereiste van proportionaliteit.
Zo zullen er passende waarborgen moeten worden gesteld ter bescherming van de persoonlijke
levenssfeer.

2.6. Hergebruik gegevens Wzd voor Wlz door CIZ

Vanuit het oogpunt van het belang van de veelal kwetsbare cliënt en belanghebbende
is in de Wzd een grondslag opgenomen op basis waarvan het CIZ bij de behandeling van
een aanvraag voor een besluit tot opname en verblijf of een rechterlijke machtiging
als bedoeld in de Wzd gebruik mag maken van de informatie die aan het CIZ is verstrekt
voor de beoordeling van het recht op zorg, bedoeld in de Wlz (artikelen 22, achtste
lid, en 26, tweede lid, Wzd). Voorgesteld wordt om in de Wlz een vergelijkbare wijziging
op te nemen, zodat het CIZ bij de behandeling van een aanvraag voor het vaststellen
van het recht op zorg in het kader van de Wlz gebruik mag maken van de informatie
die aan het CIZ is verstrekt bij de beoordeling van een aanvraag voor een besluit
tot opname en verblijf, een rechterlijke machtiging, of een machtiging tot voortzetting
van de inbewaringstelling als bedoeld in de Wzd. Tevens wordt voorgesteld op te nemen
dat ook de informatie die is opgenomen in een advies aan de officier van justitie
als bedoeld in artikel 28a Wzd mag worden gebruikt bij de behandeling van een aanvraag
voor het vaststellen van het recht op zorg in het kader van de Wlz. Deze informatie
kan bestaan uit persoonsgegevens, waaronder gegevens over gezondheid, maar ook uit
andere bijzondere categorieën van persoonsgegevens. Cliënten kunnen alle informatie
die zij van belang achten voor de beoordeling van het recht op zorg met het CIZ delen.
Ook worden regelmatig zorgplannen gedeeld, waarin mogelijk veel persoonlijke informatie
is opgenomen, bijvoorbeeld met betrekking tot levensovertuiging, geaardheid en lidmaatschappen.
Op het moment dat het CIZ de informatie ontvangt en tot zich neemt, is al sprake van
verwerking in de zin van de AVG. Vanzelfsprekend vraagt het CIZ uitsluitend de relevante
gegevens op.

In veel gevallen wordt bij het CIZ een aanvraag voor het recht op zorg op grond van
de Wlz tegelijkertijd ingediend met een aanvraag voor een besluit tot opname en verblijf
als bedoeld in de Wzd. Bij een dergelijke gecombineerde aanvraag mag de aangeleverde
informatie voor zowel de beoordeling in de Wlz als Wzd worden gebruikt.

Het komt echter ook met enige regelmaat voor dat er een aanvraag voor het recht op
zorg als bedoeld in de Wlz wordt gedaan voor een cliënt voor wie eerder een besluit
tot opname en verblijf is afgegeven, dan wel voor wie eerder een verzoek tot een rechterlijke
machtiging of een verzoek tot het verlenen van een machtiging tot voortzetting van
de inbewaringstelling is ingediend. De zorg en het verblijf die vanuit de Wzd wordt
geleverd, is onlosmakelijk verbonden met de zorg en het verblijf die in veel gevallen
vanuit de Wlz worden geleverd en beiden worden door het CIZ getoetst of geïndiceerd.
Immers, de Wlz vormt hier de bekostigingstitel van de zorg die vanuit de Wzd wordt
geleverd.

Ten slotte kan er ook sprake zijn van iemand voor wie het CIZ een advies aan de officier
van justitie heeft gegeven in het kader van de Wet forensische zorg. Op het moment
dat de officier van justitie overweegt een verzoekschrift voor een rechterlijke machtiging
in te dienen met toepassing van artikel 2.3, tweede lid, Wet forensische zorg, verzoekt
hij het CIZ om een schriftelijk advies over de noodzaak voor een rechterlijke machtiging
en over de tenuitvoerlegging daarvan als bedoeld in artikel 28a Wzd. In haar advies
aan de officier van justitie geeft het CIZ aan of het van oordeel is dat voldaan wordt
aan de criteria van de Wzd en of sprake is van een indicatie op grond van de Wlz en
bij gebreke daarvan, wat daarvoor de reden is en in welk zorgdomein betrokkene wel
valt. Als de betrokkene niet in het bezit is van een Wlz-indicatie, maar het CIZ oordeelt
wel dat een Wlz-indicatie kansrijk is, zal er in bijna alle gevallen een Wlz-indicatie
volgen. In dat geval zal de zorgaanbieder die de cliënt heeft opgenomen het CIZ om
een ambtshalve Wlz-indicatie voor de duur van de rechterlijke machtiging verzoeken.12 Nu de rechter al een uitspraak heeft gedaan, en de rechtspositie van de cliënt derhalve
niet wordt aangetast, is het een administratieve lastenverlichting om deze gegevens
te mogen hergebruiken en komt de levering van de benodigde zorg aan de cliënt niet
in het gedrang doordat administratieve handelingen nog niet zijn uitgevoerd.

2.6.1 Noodzakelijkheid, proportionaliteit en subsidiariteit

Hierboven is uiteengezet dat het nodig is om de informatie waarover het CIZ al beschikt
in het kader van de Wzd, te hergebruiken in het kader van de Wlz om cliënten, hun
naasten of andere instanties administratief zo min mogelijk te belasten en de benodigde
zorg te kunnen leveren. Dit is gerechtvaardigd en proportioneel gelet op de spoedeisendheid
die in al deze situaties speelt. Ook zorgt dit voor minder administratieve lasten
zonder dat dit de rechtspositie van de cliënt aantast. Immers, bij al deze cliënten
is al door het CIZ en de rechter vastgesteld dat opname noodzakelijk is om ernstig
nadeel te voorkomen of af te wenden. Het hergebruik vindt plaats om de hiervoor benodigde
bekostigingstitel vanuit de Wlz voor de opname te realiseren. Er zijn geen minder
ingrijpende manieren om tot ditzelfde resultaat te komen.

2.7. Grondslag gegevensverwerking in de Kaderwet VWS-subsidies

De meeste subsidies die door de Minister van VWS worden verstrekt zijn gebaseerd op
de Kaderwet VWS-subsidies. In de praktijk wordt er bij het uitvoeren van bepaalde
subsidieregelingen tegenaan gelopen dat er geen grondslag is op grond van artikel
6, eerste lid, van de AVG om persoonsgegevens te verwerken en ook is er geen uitzondering
op het verbod van artikel 9, eerste lid, van de AVG om bijzondere categorieën van
persoonsgegevens te verwerken. Dit speelt onder meer bij de beoordeling van een subsidieaanvraag
en bij het verlenen dan wel vaststellen van een subsidie.

In uitzonderlijke gevallen kan een subsidie worden aangevraagd door een natuurlijk
persoon. Vaker echter worden subsidies aangevraagd door en verleend aan zorgorganisaties
ten behoeve van een natuurlijk persoon, zoals de Subsidieregeling medisch noodzakelijke
zorg aan onverzekerden (hierna: Subsidieregeling onverzekerden). In die gevallen moeten
in de regel ook persoonsgegevens, waaronder bijzondere categorieën van persoonsgegevens,
van de betrokkene zelf of van een derde worden verwerkt. Als de subsidieregeling ligt
op het terrein van volksgezondheid is het vrijwel altijd nodig dat wordt aangegeven
uit welk domein de betrokkene zorg ontvangt en enkel dit gegeven is al aan te merken
als een bijzonder persoonsgegeven. Zonder deze gegevens kan niet worden beoordeeld
of de aanvrager in aanmerking komt voor de subsidie. Naast het verwerken van gezondheidsgegevens
kan het bij de beoordeling, verlening en vaststelling van subsidies ook noodzakelijk
zijn andere bijzondere categorieën van persoonsgegevens te verwerken, zoals bijvoorbeeld
gegevens over seksueel gedrag dan wel seksuele gerichtheid. Ter illustratie wordt
onder andere gewezen op de Subsidieregeling kunstmatige inseminatie met donorsemen13. Voorts worden ook bij de beoordeling, verlening en vaststelling van een subsidie
op grond van de Subsidieregeling PrEP14 deze gegevens verwerkt. Deze subsidieregeling heeft betrekking op de subsidiëring
van coördinerende GGD-en voor de medische begeleiding bij het preventief gebruik van
HIV-remmers. Deze medische begeleiding is gericht op personen die behoren tot de hoogrisicogroep
van mannen die seks hebben met mannen.

Als vervolgens de subsidie wordt verleend of vastgesteld, worden (bijzondere categorieën
van) persoonsgegevens ook verwerkt bij de verantwoording van de subsidie. Immers,
de subsidieverlening vindt plaats onder voorwaarde dat bepaalde activiteiten worden
uitgevoerd. Nadat de activiteiten zijn uitgevoerd of de subsidieperiode is afgelopen
vindt verantwoording plaats en wordt de subsidie vastgesteld. Op dat moment ontstaat
een definitief recht op subsidie. Zoals uit het voorgaande blijkt ontbreken voor de
verwerking van persoonsgegevens en bijzondere categorieën van persoonsgegevens een
verwerkingsgrondslag en een uitzonderingsgrond op grond waarvan het verbod om bijzondere
categorieën van persoonsgegevens te verwerken niet geldt. Om die reden wordt momenteel
gewerkt met de grondslag uit de AVG om toestemming te vragen van de persoon op wie
de (bijzondere categorieën van) persoonsgegevensbetrekking hebben. Op grond van de
artikelen 4, onderdeel 11, en 7, van de AVG is het vereist dat de toestemming vrijelijk
kan worden gegeven. De vraag is echter of hiervan sprake is. Het niet geven van toestemming
betekent immers dat een aanvraag niet (goed) kan worden behandeld en er (mogelijk)
geen subsidie kan worden verstrekt. Toestemming is als verwerkingsgrondslag in zo’n
geval een minder geschikte grondslag als bedoeld in de AVG. Daarbij brengt toestemming
als verwerkingsgrondslag vaak uitvoeringsproblemen met zich mee, nu betrokkene van
wie de gegevens moeten worden verwerkt niet altijd de aanvrager is van de subsidie.
In dat geval moet de subsidieaanvrager toestemming vragen aan deze derde en de toestemming
in zijn administratie bewaren. Om deze redenen wordt in dit wetsvoorstel voorgesteld
een wettelijke grondslag voor de verwerking van (bijzondere categorieën van) persoonsgegevens
op te nemen in de Kaderwet VWS-subsidies voor het beoordelen van een subsidieaanvraag
en daarnaast voor de verlening en de vaststelling van een subsidie, zodat het vragen
van toestemming in deze situaties niet meer nodig is.

2.7.1 Noodzakelijkheid, proportionaliteit en subsidiariteit

Het verwerken van bijzondere persoonsgegevens bij subsidieverstrekking is noodzakelijk
om te kunnen beoordelen of de aanvrager in aanmerking komt voor subsidie. Deze gegevensverwerking
is proportioneel, omdat het doel van de verwerking, namelijk rechtmatige subsidieverstrekking,
in verhouding staat tot de inbreuk op de privacy van de betrokkene. In de wettelijke
grondslag wordt benadrukt dat de overheid alleen die persoonsgegevens mag verwerken
die noodzakelijk zijn voor de beoordeling van een subsidieaanvraag. De gegevensverwerking
is dus afgebakend. Tevens is voldaan aan het vereiste van subsidiariteit. Zoals hierboven
uiteengezet is toestemming als verwerkingsgrondslag niet passend. Er zijn dus geen
minder ingrijpende manieren om het betrokken doel te realiseren.

2.8. Grondslag voor gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars
bij fraudeonderzoeken

De Wet bevorderen samenwerking en rechtmatige zorg (hierna: Wbrsz) biedt instanties
in het zorgdomein grondslagen voor de uitwisseling van gegevens, waaronder persoonsgegevens,
indien dat noodzakelijk is voor de bestrijding van fraude in de zorg. De Wbsrz bevat
het kader voor twee afzonderlijke instrumenten voor gegevensuitwisseling ten behoeve
van bestrijding van fraude in de zorg. Het eerste instrument betreft het Waarschuwingsregister
zorgfraude (Waarschuwingsregister)15. Het tweede instrument is het Informatieknooppunt zorgfraude (IKZ). Het voorliggende
wetsvoorstel regelt in aanvulling daarop een grondslag voor een derde instrument,
de gegevensuitwisseling tussen gemeenten onderling, binnen gemeenten en tussen gemeenten
en zorgkantoren en zorgverzekeraars16 bij een fraudeonderzoek. Dit onderdeel van het wetsvoorstel zou oorspronkelijk als
nota van wijziging onderdeel uitmaken van de parlementaire behandeling van de Wbsrz.
Doordat de Wbsrz eerder in behandeling is genomen dan dat de nota van wijzing kon
worden ingediend bij de Tweede Kamer, is deze wijziging als onderdeel van dit wetsvoorstel
toegevoegd.

Dit onderdeel maakt geen doorbreking van het medisch beroepsgeheim mogelijk. In artikel
1.2 van de Wbsrz is reeds opgenomen dat gegevens waarop een medisch beroepsgeheim
rust op grond van de Wbsrz niet kunnen worden uitgewisseld. Dit artikel is ook van
toepassing op de gegevensuitwisseling die door middel van dit voorgestelde onderdeel
mogelijk wordt gemaakt.

Met dit onderdeel wordt tevens uitwisseling van gegevens uitgesloten met betrekking
tot militaire gezondheidszorg. Dit wordt verder toegelicht in de artikelsgewijze toelichting
bij onderdeel A.

1.1.1 Aanleiding

Gemeenten, zorgkantoren en zorgverzekeraars hebben ieder een eigen rol bij de bestrijding
van fraude in de zorg. Gemeenten zijn verantwoordelijk voor de uitvoering van de Wmo
2015 en de Jeugdwet. Zorgkantoren zijn verantwoordelijk voor de uitvoering van de
Wlz en zorgverzekeraars voor de uitvoering van de Zorgverzekeringswet (Zvw).

De Vereniging van Nederlandse Gemeenten (VNG) en Zorgverzekeraars Nederland (ZN),
als vertegenwoordigers van gemeenten respectievelijk ziektekostenverzekeraars, hebben
sinds 2016 in de jaarlijkse Signaleringsbrieven aangegeven dat er knelpunten bestaan
in de aanpak van fraude in de zorg. Het gaat onder andere om het ontbreken van een
wettelijke grondslag voor de uitwisseling van persoonsgegevens17 tussen gemeenten en ziektekostenverzekeraars, gemeenten onderling en binnen een gemeente
(tussen verschillende zorgdomeinen). Deze gegevens kunnen noodzakelijk zijn voor een
door gemeenten of ziektekostenverzekeraars ingesteld fraudeonderzoek. Het ontbreken
van de grondslag ervaren instanties als een «prangend knelpunt».

In de eerste twee hoofdstukken van de memorie van toelichting bij de Wbsrz wordt de
noodzaak voor wettelijke grondslagen voor gegevensuitwisseling ten behoeve van de
aanpak van fraude in de zorg in algemene zin uitgebreid onderbouwd. Deze noodzaak
blijkt ook uit het rapport van de Algemene Rekenkamer (AR) over de aanpak van fraude
in de zorg18. De AR benoemt dat er problemen zijn in gegevensuitwisseling bij de aanpak van fraude
in de zorg en noemt daarbij als voorbeeld gegevensuitwisseling tussen zorgkantoren
en gemeenten die geregeld te maken hebben met dezelfde zorgaanbieder, die zich dus
niet beperkt tot een enkel zorgdomein.

Ontstaan knelpunt

Voornoemde knelpunt is ontstaan bij de overgang van de Algemene Wet Bijzondere Ziektekosten
(AWBZ) naar de Wlz, de Zvw, de Wmo 2015 en de Jeugdwet per 1 januari 2015. Onder het
regime van de AWBZ konden onder andere zorgkantoren en gemeenten op grond van de artikelen
54 en 55 AWBZ (persoons)gegevens met elkaar delen die noodzakelijk waren voor de uitvoering
van de AWBZ. Het toenmalige College Bescherming Persoonsgegevens (CBP) was van mening
dat de basis voor de gegevensverwerking te algemeen was en adviseerde specifieker
te regelen welke instanties welke (soort) persoonsgegevens voor welke doelen kunnen
verwerken. Daarom konden de artikelen 54 en 55 AWBZ niet ongewijzigd in de Zvw en
de Wlz worden opgenomen. Met de inwerkingtreding van de Zwv, de Wlz, de Wmo 2015 en
de Jeugdwet zijn voornoemde bepalingen vervolgens vervallen en niet overgenomen in
de nieuwe wetten.

Mogelijkheden in de huidige wettelijke bepalingen

In de Wlz zijn op basis van de toen bekende gegevensstromen de artikelen 9.1.2 en
9.1.3 Wlz opgenomen. Die artikelen maken het mogelijk dat zorgkantoren onderling persoonsgegevens
mogen uitwisselen voor het verrichten van controle en fraudeonderzoek, maar een dergelijke
grondslag voor het uitwisselen van persoonsgegevens tussen gemeenten en zorgkantoren
en binnen gemeenten over de domeinen Wmo 2015 en Jeugdwet ontbreekt. In de Zvw is
reeds een grondslag opgenomen voor het uitwisselen van persoonsgegevens tussen zorgverzekeraars
onderling en met verschillende instanties, waaronder gemeenten, indien deze gegevens
noodzakelijk zijn voor de uitvoering van de zorgverzekeringen of van de Zvw (artikel
88 en artikel 89 Zvw). In de Wmo 2015 (Hoofdstuk 5) en in de Jeugdwet (Hoofdstuk 7)
zijn wel grondslagen opgenomen voor de uitwisseling van persoonsgegevens tussen gemeenten
en verschillende instanties, zoals bijvoorbeeld het CAK en de Sociale verzekeringsbank
(Wmo 2015) of bijvoorbeeld jeugdhulpaanbieders en de Raad voor de Kinderbescherming
(Jeugdwet) maar niet tussen gemeenten, ziektekostenverzekeraars, gemeenten onderling
of binnen een gemeente tussen verschillende domeinen (Wmo 2015 en Jeugdwet).

De Wbsrz biedt voor dit knelpunt geen oplossing

De Wbsrz bevat bepalingen voor gegevensuitwisseling bij bestrijding van fraude in
de zorg, maar biedt voor het gesignaleerde knelpunt geen volledige oplossing. Het
Waarschuwingsregister komt pas aan de orde als sprake is van een vastgestelde gedraging
en er aldus een gerechtvaardigde overtuiging van fraude in de zorg bestaat ten aanzien
van een partij. Bij dit knelpunt wordt juist een grondslag voorgesteld voor gegevensuitwisseling
gedurende een lopend fraudeonderzoek.

Bij het IKZ gaat het om signalen van fraude in de zorg. Er is een aanleiding tot een
vermoeden van fraude, maar van een fraudeonderzoek is nog geen sprake. Bovendien biedt
de Wbsrz een specifieke grondslag voor uitwisseling van gegevens tussen het IKZ en
betrokken instanties, terwijl om dit knelpunt op te lossen een grondslag voor rechtstreekse
gegevensuitwisseling nodig is tussen gemeenten en ziektekostenverzekeraars.

Wanneer gemeenten en ziektekostenverzekeraars ten behoeve van een fraudeonderzoek
rechtstreeks persoonsgegevens over de Wmo 2015, de Jeugdwet, de Wlz en de Zvw met
elkaar zouden kunnen uitwisselen, zou uit een lopend fraudeonderzoek bijvoorbeeld
kunnen blijken dat het aantal gefactureerde uren simpelweg niet geleverd kon zijn
door een zorgverlener of het beschikbare personeel van een zorgaanbieder. Dit kan
blijken wanneer administratieve gegevens kunnen worden vergeleken waaruit blijkt hoeveel
uren een zorgverlener of het beschikbare personeel van een zorgaanbieder heeft gewerkt.
Dergelijke informatie kan in de huidige situatie niet worden uitgewisseld tussen gemeenten
en ziektekostenverzekeraars omdat een grondslag daarvoor ontbreekt. De Wbsrz maakt
uitwisseling van deze gegevens ook niet mogelijk en biedt evenmin grondslag om deze
gegevens binnen het IKZ bij elkaar te brengen. Op grond van het instrument gegevensuitwisseling
met het IKZ zal bij amvb alleen kunnen worden bepaald dat gegevens kunnen worden verstrekt
en verwerkt over personen die betrokken zijn bij het signaal van fraude in de zorg.
Hierdoor kunnen de persoonsgegevens van personeelsleden die werkzaam zijn voor een
zorgaanbieder welke verdacht wordt van fraude, niet worden uitgewisseld op grond van
het instrument gegevensuitwisseling met het IKZ, omdat die personeelsleden (over het
algemeen) niet betrokken zijn bij de aanleiding tot een onderzoek. Dit kan anders
zijn wanneer een bepaald personeelslid wel rechtstreeks betrokken is bij de aanleiding
tot een vermoeden van fraude in de zorg.

Doordat de grondslag voor uitwisseling van deze gegevens tussen gemeenten en ziektekostenverzekeraars
gedurende een fraudeonderzoek ontbreekt, kunnen frauderende zorgverleners en zorgaanbieders
langdurig onopgemerkt blijven. Door het gebrek aan mogelijkheden om informatie bij
elkaar op te vragen, werken instanties langs elkaar heen en wordt de effectiviteit
van de aanpak van fraude in de zorg belemmerd.

2.8.2 Gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij een fraudeonderzoek

Om het hiervoor beschreven knelpunt op te lossen bevat voorliggend wetsvoorstel een
grondslag voor gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij
een fraudeonderzoek en wordt aanvullend op het IKZ en het Waarschuwingsregister een
derde instrument geregeld. Anders dan de grondslag in de AWBZ is het voorgestelde
instrument afgebakend en bevat het de nodige waarborgen. Er moet sprake zijn van een
aanleiding tot een vermoeden van fraude in de zorg dat heeft geresulteerd in het starten
van een fraudeonderzoek door een gemeente of ziektekostenverzekeraar en het instrument
kan alleen worden toegepast nadat gegevensuitwisseling via het IKZ heeft plaatsgevonden.

Als een gemeente of ziektekostenverzekeraar van het IKZ een verrijkt signaal ontvangt,
kunnen er vervolgens twee redenen zijn waarom gegevensuitwisseling tussen gemeenten
en ziektekostenverzekeraars noodzakelijk is. De eerste reden is dat voor het fraudeonderzoek
gegevens noodzakelijk kunnen zijn, waarvan het bij verrijking door het IKZ niet mogelijk
of niet proportioneel was om deze gegevens uit te wisselen. Het al eerdergenoemde
voorbeeld waarbij het aantal gefactureerde uren niet geleverd kon zijn door het beschikbare
personeel zou een voorbeeld kunnen zijn van een situatie waarvan het tijdens de verrijking
door het IKZ niet mogelijk is om deze gegevens uit te wisselen. Voor zo’n fraudeonderzoek
is het nodig om gepseudonimiseerde gegevens te verwerken waarbij voor ieder individueel
personeelslid inzichtelijk wordt gemaakt hoeveel uren deze gewerkt heeft voor een
bepaalde zorgaanbieder. Zoals in de vorige paragraaf beschreven kunnen deze gegevens
binnen het IKZ niet worden uitgewisseld, omdat daar alleen gegevens kunnen worden
verwerkt van natuurlijke personen over wie het signaal van fraude in de zorg gaat.

Daarnaast is het denkbaar dat bepaalde gegevens bij de verrijking door het IKZ niet
zijn uitgewisseld, omdat het voor het verrijken van een signaal op dat moment niet
proportioneel was om die gegevens uit te wisselen. Wanneer een gemeente of ziektekostenverzekeraar
een fraudeonderzoek is gestart, kan deze afweging anders zijn.

De tweede reden waarom gegevensuitwisseling noodzakelijk zou kunnen zijn voor het
fraudeonderzoek, is dat het nodig blijkt gegevens uit het verrijkte signaal te actualiseren.
Tussen het moment van verrijking van een signaal door het IKZ en het moment dat een
gemeente of ziektekostenverzekeraar als geëigende instantie met het fraudeonderzoek
aan de slag gaat, kan enige tijd verstrijken. Met een grondslag voor gegevensuitwisseling
kunnen gemeenten en ziektekostenverzekeraars dan de meest actuele gegevens opvragen.

Fraudeonderzoek

Een fraudeonderzoek moet worden onderscheiden van signalen van fraude in de zorg (IKZ)
en een gerechtvaardigde overtuiging van fraude in de zorg (Waarschuwingsregister).
Bij een fraudeonderzoek gaat het om de situatie waarin een gemeente of ziektekostenverzekeraar
een onderzoek uitvoert als bedoeld in artikel 1, eerste lid, onderdeel v, van de Regeling
zorgverzekering, artikel 7.10 van de Regeling langdurige zorg en artikel 1, tweede
lid, van de Regeling Jeugdwet. Deze regelingen bevatten voorschriften voor de ziektekostenverzekeraars,
gemeenten en de zorgaanbieder met betrekking tot hoe zij moeten handelen bij de uitvoering
van een fraudeonderzoek en wanneer een fraudeonderzoek aan de orde is. Het Protocol
materiële controle bij de Gedragscode verwerking persoonsgegevens zorgverzekeraars
bevat een praktische uitwerking van die voorschriften voor de ziektekostenverzekeraars.
Voor de Wmo 2015 gelden geen vergelijkbare bepalingen. De gemeenten hebben de vrijheid
om zelf deze regels te bepalen, zolang deze regels maar niet in strijd zijn met hogere
regelgeving zoals de Wmo 2015 of de algemene beginselen van behoorlijk bestuur. Gelet
op de beleidsruimte verschillen de regels per gemeente.

Figuur 1: verschillende instrumenten voor gegevensuitwisseling

Gegevensset

Om in kaart te brengen welke (persoons)gegevens noodzakelijk kunnen zijn voor het
fraudeonderzoek, is een werkgroep gestart met gemeenten, zorgkantoren, VNG en ZN.
Deze werkgroep, die zich aanvankelijk specifiek op fraude met het persoonsgebonden
budget (pgb) richtte, heeft in december 2020 een advies uitgebracht en daarin benoemd
welke persoonsgegevens gemeenten en ziektekostenverzekeraars nodig kunnen hebben bij
het fraudeonderzoek. Zorgaanbieders leveren steeds vaker zowel pgb-zorg als zorg in
natura.19 Daarom heeft de werkgroep geadviseerd om de voorgestelde oplossing zo te formuleren
dat deze geldt voor alle mogelijke leveringsvormen en niet uitsluitend voor het pgb.

In het onderhavige wetsvoorstel is opgenomen dat bij amvb wordt bepaald welke (bijzondere)
(persoons)gegevens tussen deze instanties kunnen worden uitgewisseld. Dit wordt bij
amvb bepaald omdat de bestrijding van fraude in de zorg in de loop der tijd een andere
set aan (persoons)gegevens kan vereisen. Om fraude in de zorg in die gevallen effectief
te kunnen blijven bestrijden is een aanpassing van de amvb een praktische keuze. Hierbij
wordt aangesloten bij de systematiek die ook geldt voor het Waarschuwingsregister
en het IKZ. De gegevens, waaronder persoonsgegevens, waaraan gedacht kan worden om
in de amvb op te nemen zijn bijvoorbeeld de aantallen cliënten van de zorgaanbieder,
op welke locaties een zorgaanbieder actief is en in welk domein, welk type zorg (bijvoorbeeld
24-uurs zorg, ambulant, op afroep, individueel of groep) is verleend, door welke medewerker
en het aantal uren per cliënt dat geïndiceerd en geleverd en gedeclareerd is. Van
belang is dat de uitwisseling van (persoons)gegevens alleen kan plaatsvinden indien
dat noodzakelijk is in een specifiek fraudeonderzoek. Daarbij wordt de uitwisseling
van persoonsgegevens in overeenstemming met de vereisten uit de AVG tot een minimum
beperkt. Er zal steeds een afweging gemaakt moeten worden of het uitwisselen van bepaalde
persoonsgegevens noodzakelijk is voor dat ene specifieke fraudeonderzoek. Daarnaast
zal zoveel mogelijk gebruik gemaakt worden van beveiligingsmaatregelen en zullen persoonsgegevens
van anderen dan van degene die wordt verdacht van fraude, gepseudonimiseerd worden.

2.8.3 Noodzaak tot wijziging

Op dit moment is er in de Wbrsz geen wettelijke grondslag voor rechtstreekse gegevensuitwisseling
tussen gemeenten en ziektekostenverzekeraars gedurende het fraudeonderzoek. Als de
wetgever niets doet, kunnen gemeenten en ziektekostenverzekeraars door het gebrek
aan een grondslag om persoonsgegevens uit te wisselen gedurende een fraudeonderzoek,
fraude in de zorg niet altijd vaststellen op basis van de eigen gegevens, terwijl
er wel sterke vermoedens van fraude zijn. Het risico op het weglekken van zorggeld
en het misbruik van mensen in een kwetsbare positie blijft dan bestaan. Geld dat voor
de zorg bestemd is, kan hiermee in de handen van frauderende zorgaanbieders komen.

Door uitwisseling van persoonsgegevens tussen gemeenten en de ziektekostenverzekeraars,
gemeenten onderling en binnen gemeenten worden deze instanties beter in staat gesteld
hun controlerende en handhavende taak goed uit te kunnen voeren. Hierdoor kunnen ze
fraude eerder aanpakken en verdere fraude mogelijk voorkomen. Met dit onderdeel in
het wetsvoorstel is niet beoogd te veranderen wat op basis van geldende wet- en regelgeving
al mogelijk is om samen te werken en fraude te voorkomen of anderszins te bestrijden.
Het voorgestelde artikel 2.7a brengt dan ook geen verandering met zich mee voor de
al bestaande grondslagen voor en mogelijkheden tot het uitwisselen van gegevens. Dit
betekent dat er in bepaalde gevallen een dubbele grondslag kan bestaan om gegevens
uit te wisselen. Het uitwisselen van gegevens tussen zorgkantoren kan op basis van
de artikelen 9.1.2 en 9.1.3 Wlz en op grond van het voorgestelde artikel 2.7a van
deze wet. Ook de brede grondslag in de artikelen 88 en 89 Zvw zal betekenen dat er
overlap kan ontstaan tussen de grondslagen. Anderzijds bieden de artikelen 88 en 89
Zvw geen grondslag voor het uitwisselen van bijzondere persoonsgegevens of gegevens
van strafrechtelijke aard. De artikelen 9.1.2 en 9.1.3 Wlz bieden geen grondslag voor
gemeenten. Artikel 2.7a is daarom bedoeld om in bestaande wetgeving waar onduidelijkheid,
een beperkte of ontbrekende grondslag is – waar die wel noodzakelijk is voor de bestrijding
van fraude in de zorg – aanvullend een instrumentarium te bieden.

2.8.4 Noodzakelijkheid, proportionaliteit en subsidiariteit

Het verwerken van persoonsgegevens is alleen toegestaan als die verwerking noodzakelijk
is in het kader van bestrijding van fraude in de zorg. Dit betekent dat die verwerking
nodig is omdat het doel van de verwerking, te weten bestrijding van fraude in de zorg,
anders redelijkerwijs niet kan worden verwezenlijkt. In de vraag of een verwerking
noodzakelijk is, ligt besloten of de verwerking van gegevens proportioneel is en of
de verwerking voldoet aan de eis van subsidiariteit. Of de verwerking proportioneel
is hangt af van de vraag of het legitieme doel dat wordt nagestreefd in verhouding
staat tot het feit dat daarvoor persoonsgegevens moeten worden verwerkt. Dit staat
in het onderhavige geval in verhouding, omdat enerzijds de persoonlijke, financiële
en maatschappelijke gevolgen van fraude in de zorg worden beperkt en anderzijds de
daarvoor noodzakelijke inmenging in de privacy van betrokkene tot een minimum zal
worden beperkt en moet worden voorzien van waarborgen. Subsidiariteit betreft de vraag
of het genoemde doel niet op een andere, minder ingrijpende wijze kan worden bereikt.
Bijvoorbeeld door géén of minder persoonsgegevens te verwerken. Gemeenten en ziektekostenverzekeraars
geven in de Signaleringsbrieven sinds 2016 aan dat zij hier tegenaan lopen en dat
ze de fraudeonderzoeken niet op een andere manier kunnen rondkrijgen. Juist het bijeenbrengen
van persoonsgegevens en het daarmee versterken van de informatiepositie van gemeenten
en ziektekostenverzekeraars, is cruciaal voor de uitoefening van de taken van die
instanties als het gaat om het bestrijden van fraude in de zorg.

3. Verhouding tot hoger recht

3.1. Mensenrechtelijke bescherming

Dit wetsvoorstel beoogt verschillende wettelijke grondslagen te creëren voor het verwerken
van persoonsgegevens en raakt daarmee de persoonlijke levenssfeer van burgers. Verschillende
internationale verdragen en (nationale) regelingen, waaronder de Grondwet, bevatten
uitdrukkelijke voorschriften en waarborgen ter bescherming van de persoonlijke levenssfeer
of van natuurlijke personen ten aanzien van persoonsgegevens. In dit verband kan worden
gewezen op de volgende voorschriften:

• In artikel 8 van het Europees Verdrag voor de Rechten van de Mens en de fundamentele
vrijheden (hierna: EVRM) en artikel 17 van het Internationaal verdrag inzake burgerlijke
en politieke rechten is het recht op bescherming van de persoonlijke levenssfeer gewaarborgd.

• In artikel 7 van het Handvest van de grondrechten van de Europese Unie (2016/C 202/02,
hierna: het Handvest) is het recht op eerbiediging van het privéleven opgenomen. In
artikel 8 van het Handvest is het recht vastgelegd van eenieder op bescherming van
persoonsgegevens.

• Artikel 16, tweede lid, van het Verdrag betreffende de werking van de Europese Unie
(hierna: VWEU) bevat een rechtsgrondslag voor het stellen van voorschriften betreffende
de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens
door de instellingen, organen en instanties van de Unie, alsook door de lidstaten,
bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht
van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die
gegevens. Hier wordt uitvoering aan gegeven door middel van de AVG.

• Artikel 10, eerste lid, van de Grondwet erkent het recht op eerbiediging van de persoonlijke
levenssfeer.

Hieronder wordt uiteengezet op welke wijze in dit wetsvoorstel rekening is gehouden
met de bovenstaande rechten.

3.2. EVRM

Het recht op bescherming van persoonsgegevens is niet als zelfstandig recht vastgelegd
in het EVRM. Volgens de rechtspraak van het Europees Hof voor de Rechten van de Mens
(EHRM) is het recht op bescherming van persoonsgegevens in algemene zin van fundamentele
betekenis voor het recht op eerbiediging van de persoonlijke levenssfeer. Aangezien
dit wetsvoorstel voorschriften over de verwerking van persoonsgegevens bevat, en daarmee
onder de reikwijdte van de bescherming van artikel 8 van het EVRM valt, wordt uiteengezet
dat de voorgestelde regeling een toegestane inmenging door de overheid in de uitoefening
van de persoonlijke levenssfeer van haar burgers vormt.

Artikel 8, eerste lid, EVRM bepaalt dat een ieder recht heeft op respect voor zijn
privéleven, zijn familie- en gezinsleven, zijn woning en correspondentie. Inmenging
van de overheid in de uitoefening van dit recht is volgens het tweede lid van dit
artikel slechts gerechtvaardigd, wanneer deze bij wet is voorzien en in een democratische
samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare
veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden
en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de
bescherming van de rechten en vrijheden van anderen.

Om te bepalen of in een concreet geval sprake is van een gerechtvaardigde beperking
van een van de in de artikelen 8 tot en met 11 EVRM neergelegde mensenrechten, heeft
het EVRM in zijn rechtspraak een bepaalde systematiek ontwikkeld. Uit deze systematiek
kan een toetsingskader worden afgeleid waarbij drie met elkaar samenhangende vragen
kunnen worden onderscheiden. Deze vragen luiden achtereenvolgens als volgt:

1. Is de beperking bij wet voorzien?

• Berust de inmenging op een naar behoren bekend gemaakt wettelijk voorschrift?

• Kunnen burgers daaruit met voldoende precisie opmaken welke op zijn privéleven betrekking
hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen
worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel
kunnen worden bewerkt, bewaard en gebruikt?20

2. Dient de beperking tot bescherming van een legitieme doelstelling («legitimate aim»),
namelijk één of meer van de in het tweede lid van artikel 8 EVRM opgesomde rechtsbelangen?

3. Is de beperking noodzakelijk in een democratische samenleving («necessary in a democratic
society»)?

• Is de beperking ingegeven door een dringende maatschappelijke behoefte («pressing
social need»)?

• Bestaat er een redelijke verhouding («proportionality») tussen de zwaarte van de beperking
en het gewicht van het belang dat met de inbreuk wordt gediend?

De eerste vraag, of de voorgestelde beperking bij wet is voorzien, kan zonder meer
bevestigend worden beantwoord. De regelingen voor alle onderwerpen bevatten juist
de specifieke voorschriften over het specifieke doel en de taken waarvoor het persoonsgegevens
kunnen worden verwerkt, de (categorieën van) persoonsgegevens die kunnen worden verwerkt
of (verder) kunnen worden verstrekt en de partijen die een rol spelen bij de gegevensverwerking.

Ook de tweede vraag kan bevestigend beantwoord worden. Zoals in hoofdstuk 2 is aangegeven,
beoogt dit wetsvoorstel ertoe te leiden dat:

• Toezicht kan worden gehouden op de naleving van het bepaalde bij of krachten de betreffende
wetten. Zie paragraaf 2.1.

• Onderzocht kan worden of sprake is van een situatie die voor de veiligheid van cliënten
of de zorg een ernstige bedreiging kan betekenen of met het oog op het belang van
goede zorg anderszins noodzaakt tot nader onderzoek. Het goed onderzoeken van deze
risico’s is noodzakelijk in het belang van de bescherming van de gezondheid (de bescherming
van de gezondheid). Zie paragraaf 2.2.

• Jeugdigen en volwassenen kosteloos een telefonisch of elektronisch gesprek kunnen
voeren over hun persoonlijke situatie en daarover advies kunnen krijgen zonder dat
het gesprek direct naar hen herleidbaar is (de bescherming van de gezondheid). Zie
paragraaf 2.3.

• Veilig Thuis bij een melding van huiselijk geweld of kindermishandeling haar taken
als bedoeld in artikel 4.1.1, tweede lid, Wmo 2015 kan uitvoeren. Naar aanleiding
van een melding bij Veilig Thuis door het college kan worden onderzocht of een bepaalde
voorziening van jeugdhulp of maatwerkondersteuning vanuit de Wmo 2015 nodig is. En:
beleid kan worden gemaakt en bijgesteld en stelselverantwoordelijkheid kan worden
genomen op basis van beleidsinformatie over zowel kindermishandeling als huiselijk
geweld (de bescherming van de gezondheid, goede zeden en de rechten en vrijheden van
betrokkenen). Zie paragraaf 2.4.

• Er bij het stellen van regels over het bestrijden van huiselijk geweld in Caribisch
Nederland tevens kan worden voorzien in regels voor het verwerken van bijzondere persoonsgegevens.
Het is voor het zwaarwegende algemeen belang van een effectieve bestrijding van huiselijk
geweld noodzakelijk om persoonsgegevens van degenen die bij dat geweld betrokken zijn
te kunnen verwerken. Zie paragraaf 2.5.

• De aanvraag voor de Wlz snel en zorgvuldig kan worden behandeld (de bescherming van
de gezondheid). Zie paragraaf 2.6.

• Beoordeeld kan worden of een subsidieaanvrager in aanmerking komt voor de subsidie
(de bescherming van de gezondheid). Zie paragraaf 2.7.

• Fraude in de zorg kan worden aangepakt (economisch welzijn van het land, het voorkomen
van strafbare feiten en de bescherming van de gezondheid). Zie paragraaf 2.8.

De derde vraag – of de voorgestelde beperking noodzakelijk is in een democratische
samenleving – wordt eveneens bevestigend beantwoord. Zoals geschetst in hoofdstuk
2 zijn de beoogde grondslagen voor gegevensverwerking nodig om de verscheidene taken
uit te kunnen voeren. Het wetsvoorstel voorziet in een redelijke verhouding tussen
de zwaarte van de beperking en het gewicht van het belang dat met de beperking wordt
gediend. De eventuele inbreuk op de privacy van burgers gaat zodoende niet verder
dan noodzakelijk is voor het doel. Wat betreft de subsidiariteit geldt dat niet kan
worden volstaan met lichtere, minder ingrijpende instrumenten. De noodzakelijkheid,
proportionaliteit en subsidiariteit zijn per onderdeel toegelicht in hoofdstuk 2.
Indien slechts sprake is van een verduidelijking van bestaande grondslagen is de noodzakelijkheid,
proportionaliteit en subsidiariteit niet toegelicht. Deze afweging heeft reeds plaatsgevonden
bij het wetsvoorstel waarmee de nieuwe verwerkingsgrondslag werd gecreëerd.

3.3. Grondwet

De Grondwet geeft in artikel 10, eerste lid, eenieder, behoudens bij of krachtens
de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
Ook dit recht is niet absoluut: bij of krachtens de wet kunnen aan dat recht beperkingen
worden gesteld. Dit voorstel voorziet in de vereiste wettelijke basis. De hierboven
geschetste lijn ter rechtvaardiging van de inbreuk op het recht op respect voor het
privéleven in artikel 8 van het EVRM, gelden evenzeer ter onderbouwing van de wettelijke
beperkingen op grond van artikel 10 van de Grondwet.

3.4. AVG

Elke gegevensverwerking moet gerechtvaardigd zijn. Daarvan is alleen sprake wanneer
het doel van de verwerking kan worden gebaseerd op een van de rechtsgrondslagen in
de AVG. Voor de meeste onderdelen bestaan reeds expliciete taken die een grondslag
vormen voor de verwerking als bedoeld in artikel 6, eerste lid, onderdeel e, van de
AVG: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang
of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de
verwerkingsverantwoordelijke is opgedragen. Het gaat om:

• de in de betreffende wetten opgenomen toezichtstaak van de IGJ en daarvoor benodigde
inzagebevoegdheid (zie paragraaf 2.1);

• de onderzoekstaak van de IGJ op grond van artikel 25 Wkkgz (zie paragraaf 2.2);

• de taken als omschreven in artikel 1a.1 Jeugdwet, 3a.1.2 en artikel 4.1.1, derde lid
(nieuw) Wmo 2015 (hulplijnen) (zie paragraaf 2.3);

• de taken van Veilig Thuis, bedoeld in artikel 4.1.1, tweede lid, Wmo 2015 (zie paragraaf
2.4);

• de taak van het CIZ, bedoeld in artikel 3.2.3, Wlz (zie paragraaf 2.6);

• de bevoegdheid van de Minister van VWS om organisaties die een Subsidieregeling uitvoeren,
zoals Dienst Uitvoering Subsidies aan instellingen (hierna: DUS-I), subsidies te verstrekken
op de in artikel 2 van de Kaderwet genoemde terreinen (zie paragraaf 2.7).

Waar nodig verduidelijkt dit wetsvoorstel de bestaande taken en bevoegdheden, zie
hoofdstuk 2. Dat geldt in het bijzonder voor de inzagebevoegdheid van de IGJ.

Het wetsvoorstel creëert daarnaast een grondslag als bedoeld in artikel 6, eerste
lid, onderdeel c, AVG: de verwerking is noodzakelijk om te voldoen aan een wettelijke
verplichting:

• de voorgestelde regeling ten aanzien van de informatieverstrekking aan de IGJ bij
andere meldingen in de Wkkgz gaat uit van een verplichting voor partijen om (desgevraagd)
persoonsgegevens te verstrekken (zie paragraaf 2.2);

• artikel 4.2.12 Wmo 2015 gaat uit van een verplichting van Veilig Thuis om kosteloos
gegevens te verstrekken het college, aan de Minister van VWS en aan de Minister voor
Rechtsbescherming (zie paragraaf 2.4).

• de voorgestelde wijziging in de Wbrsz ten aanzien van een grondslag voor gegevensuitwisseling
tussen gemeenten en ziektekostenverzekeraars brengt zowel een plicht als bevoegdheid
voor de bevraagde partij met zich mee om de betreffende gegevens te verstrekken (zie
paragraaf 2.8).

Het onderdeel «inzagebevoegdheid IGJ» (paragraaf 2.1) en «delegatiegrondslag verwerking
persoonsgegevens IBES» (paragraaf 2.5) worden in paragraaf 3.4 tot en met 3.8 niet
apart toegelicht, omdat het een verduidelijking respectievelijk een delegatiegrondslag
betreft. Het zijn dus geen nieuwe verwerkingsgrondslagen. Daarnaast geldt in Caribisch
Nederland niet de AVG, maar de Wbp BES. Zie paragraaf 2.1 respectievelijk paragraaf
2.5.

3.5. Bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke
aard

In een aantal onderdelen van het wetsvoorstel wordt geregeld dat bijzondere categorieën
van persoonsgegevens en persoonsgegevens van strafrechtelijke aard worden verwerkt.
Op grond van artikel 9, eerste lid, AVG is de verwerking van bijzondere categorieën
van persoonsgegevens, waaronder gegevens over gezondheid, verboden tenzij een van
de in artikel 9, tweede lid, genoemde uitzondering van toepassing is. Het tweede lid,
onderdelen f, g, h en i bieden de mogelijkheid om bijzondere categorieën van persoonsgegevens
te verwerken, als:

f. de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van
een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;

g. de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang en dit op
grond van (Unierecht of) lidstatelijk recht wordt geregeld, waarbij de evenredigheid
met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op
bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen
worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van
de inwoner;

h. de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde,
voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen,
het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het
beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten,
op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met
een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen;

i. de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de
volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor
de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van
de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht
of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter
bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim;

Met dit wetsvoorstel wordt gebruik gemaakt van de bovenstaande mogelijkheden. Hieronder
volgt per onderdeel een toelichting.

Gegevensverwerking door de IGJ bij andere meldingen (par 2.2)

Voor dit onderwerp is gebruik gemaakt van de mogelijkheden die artikel 9, tweede lid,
onderdelen h en i, van de AVG, bieden om een uitzondering te maken indien de verwerking
noodzakelijk is voor het beheren van gezondheidszorgstelsels en – diensten en de waarborging
van hoge normen inzake kwaliteit en veiligheid in de gezondheidszorg. Uit de overwegingen
bij de AVG met betrekking op onderdeel h blijkt dat hieronder ook de verwerking met
het oog op kwaliteitscontrole en toezicht wordt gevat.

Daarnaast wordt voldaan aan de eisen zoals gesteld in artikel 9, derde lid, AVG. De
toezichthoudende ambtenaren zijn gebonden aan geheimhouding op grond van artikel 25
Wkkgz.

Gegevensverwerking bij de uitvoering van de kindertelefoon, de luisterlijn en de chat
van Veilig Thuis (par 2.3)

Voor dit onderdeel is gebruik gemaakt van de mogelijkheid die artikel 9, tweede lid,
onderdeel g, van de AVG biedt om een uitzondering te maken om redenen van zwaarwegend
algemeen belang.

Bij de verschillende hulplijnen kunnen jeugdigen en volwassenen gratis per telefoon
of chat terecht bij de medewerkers en vrijwilligers met vragen en problemen zonder
dat het gesprek direct naar hen herleidbaar is. Deze voorzieningen bieden een luisterend
oor, geven antwoorden op vragen of bedenken samen met de jeugdige of volwassene een
oplossing. Jaarlijks worden er vele duizenden gesprekken gevoerd.

Zonder de in deze toelichting beschreven verwerkingen kan de voorziening niet bestaan.
Het telefoonnummer of IP-adres is nodig om het telefoongesprek of chat tot stand te
brengen. In de beschrijving van de situatie in de chat moet de informatie over de
situatie kunnen worden beschreven, ook als daarin bijzondere categorieën van persoonsgegevens
of gegevens van strafrechtelijke aard genoemd worden. De uitzondering is bewust niet
beperkt tot specifieke categorieën van persoonsgegevens, omdat de gesprekken over
alle onderwerpen kunnen gaan en er dus verschillende bijzondere categorieën van persoonsgegevens
aan bod kunnen komen.

Aanscherping taakomschrijving Veilig Thuis en verduidelijking, verbetering en aanvulling
van grondslagen voor gegevensverwerking door Veilig Thuis (par 2.4)

Op de verwerking ten behoeve van het voorgestelde artikel 4.1.1, tweede lid, onder
e, Wmo 2015 is artikel 9, tweede lid, onderdeel g, van de AVG van toepassing. Er is
sprake van een zwaarwegend algemeen belang. De verwerking is voor een goede aanpak
van huiselijk geweld en kindermishandeling, waarin de veiligheid van de slachtoffers
op het spel staat en deze informatiedeling een wezenlijke bijdrage kan leveren aan
het maken van een goede inschatting van de (on)veiligheid en aan het herstel van de
veiligheid van het slachtoffer. Dit doel kan niet op een andere manier worden bereikt
zonder af te doen aan de effectiviteit. Met dit wetsvoorstel wordt de uitzondering
(zoals onderdeel g vereist) vastgelegd in «lidstatelijk recht» via een aanscherping
van de taak in combinatie met artikel 5.1.6, tweede lid, Wmo 2015. Op grond van het
laatstgenoemde artikel mag Veilig Thuis bepaalde bijzondere categorieën van persoonsgegevens
en gegevens van strafrechtelijke aard verwerken indien uit een melding redelijkerwijs
een vermoeden van huiselijk geweld of kindermishandeling kan worden afgeleid en de
verwerking noodzakelijk is te achten voor de uitoefening van de taken van Veilig Thuis.

Voor het overige is sprake van een verduidelijking en verbetering. Aangezien het hier
niet gaat om nieuwe uitzonderingen zijn deze onderdelen hier niet afzonderlijk toegelicht.
Zie paragraaf 2.4.

Hergebruik gegevens Wzd voor Wlz door CIZ (par 2.6)

Voor dit onderdeel is gebruik gemaakt van de mogelijkheid die artikel 9, tweede lid,
onderdeel h, AVG biedt om een uitzondering te maken op dit verbod in verband met het
verstrekken van gezondheidszorg. Om de Wlz-aanvraag te kunnen beoordelen is het van
belang dat gegevens van cliënten die al eerder bij het CIZ zijn overlegd in het kader
van de Wzd-aanvraag mogen worden hergebruikt bij de beoordeling van de Wlz-aanvraag.

Grondslag gegevensverwerking in de Kaderwet VWS-subsidies (par 2.7)

Voor dit onderdeel is gebruik gemaakt van de mogelijkheid die artikel 9, tweede lid,
onderdeel i, AVG biedt om een uitzondering te maken in verband met redenen van algemeen
belang op het gebied van de volksgezondheid. Het kunnen verstrekken van subsidies
en de daarvoor noodzakelijke beoordeling van de subsidieaanvragen wordt hieronder
geschaard.

Grondslag gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij fraudeonderzoek
(par 2.8)

De aanpak van fraude in de zorg kan gezien het maatschappelijk en economisch belang,
zoals onder meer beschreven in hoofdstuk 2, gezien worden als een reden van zwaarwegend
algemeen belang (artikel 9, tweede lid, onderdeel g). Het uitwisselen van persoonsgegevens
tussen gemeenten onderling, binnen gemeenten en tussen gemeenten en ziektekostenverzekeraars
bij een fraudeonderzoek moet bijdragen aan het kunnen aanpakken van fraude in de zorg.
Waar het uiteindelijk om gaat is dat zorgbehoevenden de zorg krijgen waar zij recht
op hebben en het misbruik van mensen in een kwetsbare positie voorkomen en gestopt
wordt. De inmenging in privacy in het kader van bestrijding van fraude in de zorg
is noodzakelijk voor het economisch welzijn van het land, het voorkomen van strafbare
feiten en de bescherming van de gezondheid. Hierdoor is er sprake van een zwaarwegend
algemeen belang dat de inmenging in de privacy van betrokkenen rechtvaardigt. Om dit
zwaarwegend algemeen belang te kunnen behartigen en waarborgen, is samenwerking tussen
de gemeenten onderling, binnen gemeenten en tussen gemeenten en zorgkantoren noodzakelijk.
Voor een goede samenwerking tussen die instanties is het noodzakelijk dat zij gegevens,
waaronder persoonsgegevens, met elkaar kunnen uitwisselen. Met dit onderdeel van dit
wetsvoorstel is beoogd een efficiënte en zorgvuldige samenwerking tussen gemeenten
en ziektekostenverzekeraars, en tussen en binnen gemeenten over de zorgdomeinen van
de Wmo 2015, Wlz, Zvw en de Jeugdwet te faciliteren.

Ten aanzien van de verwerking van «persoonsgegevens betreffende stafrechtelijke veroordelingen
en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen» bepaalt artikel
10 AVG dat deze alleen mogen worden verwerkt onder toezicht van de overheid of indien
de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen
die passende waarborgen voor de rechten en vrijheden van de inwoner bieden. Met de
voorgestelde wijzigingen in dit wetsvoorstel, wordt hieraan voldaan.

3.6. Doelbinding

Persoonsgegevens mogen op grond van artikel 5, eerste lid, onderdeel b, AVG slechts
worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.
Met voorliggend wetsvoorstel wordt een aantal wettelijke bepalingen als bedoeld in
artikel 6, vierde lid, AVG opgenomen op grond waarvan gegevens verder worden verwerkt.
Verder verduidelijkt dit wetsvoorstel voor welke doeleinden gegevens van Veilig Thuis
kunnen worden verstrekt aan het CBS t.b.v. beleidsinformatie en het college t.b.v.
de «gevalsbehandeling», zie hoofdstuk 2 en uitgebreider de artikelsgewijze toelichting.

Gegevensverwerking door de IGJ bij andere meldingen (par 2.2)

De wijziging betreft een bepaling op grond waarvan zorgverleners en zorgaanbieders
de gegevens verder kunnen verwerken, namelijk verstrekken ten behoeve van toezicht
(artikel 23, eerste lid, onder h en i, AVG). Uit het wetsvoorstel blijkt duidelijk
het doel van de verdere verwerking, de categorieën van persoonsgegevens en het toepassingsgebied
(artikel 23, tweede lid, onder a-c, AVG). Ook zijn er waarborgen ter voorkoming van
misbruik. Artikel 25, derde lid, Wkkgz voorziet hierin, nu is bepaald dat in het geval
de IGJ gegevens heeft ontvangen in het kader van het onderzoeken van een (wettelijk
verplichte of andere) melding en deze gegevens vallen onder het beroepsgeheim van
een zorgverlener, de IGJ ook een geheimhoudingsplicht heeft ten aanzien van deze gegevens
(artikel 23, tweede lid, onder d, AVG). Helder is dat het Ministerie van VWS (organisatieonderdeel
IGJ) verwerkingverantwoordelijke is (artikel 23, tweede lid, onder e, AVG). De opslagperiodes
blijken uit de concernbrede selectielijst (artikel 23, tweede lid, onder f, AVG).
De risico’s op rechten en vrijheden van betrokkenen zijn door middel van een gegevensbeschermingseffectbeoordeling
(hierna: DPIA) afgewogen (artikel 23, tweede lid, onder g, AVG), zie hoofdstuk 5 van
deze toelichting. De rechten van betrokkenen worden niet ingeperkt tenzij dit afbreuk
kan doen aan het doel van de beperking (artikel 23, tweede lid, onder h, AVG).

Gegevensverwerking bij de uitvoering van de kindertelefoon, de luisterlijn en de chat
van Veilig Thuis (par 2.3)

De persoonsgegevens die oorspronkelijk worden verzameld worden tevens gebruikt voor
andere doelen.

Het voorkomen van misbruik:

Een klein deel van de personen die contact zoekt, doet dat heel vaak en maakt misbruik
of overmatig gebruik van de mogelijkheid die de hulplijnen bieden. Dit maakte dat
o.a. de kindertelefoon werd overspoeld waardoor niet alle jeugdigen die graag contact
wilden, aan de beurt kwamen. Bovendien kan overmatig gebruik schadelijk zijn voor
de hulpvrager zelf. Er kan een time-out worden gegeven op basis van een IP-adres of
een telefoonnummer en een aantal time-outs kan leiden tot een tijdelijke blokkering
van het betreffende IP-adres of telefoonnummer. Eventueel kan er ook een gedragslijn
worden afgesproken of gecommuniceerd met de persoon die overmatig gebruik maakt van
de hulplijnen. Het geven van time-outs heeft bijgedragen aan een betere bereikbaarheid.
Ditzelfde geldt voor het instellen van maximaal vier keer bellen per dag en het introduceren
van een wachtrij. Ook hierbij wordt het telefoonnummer of het IP-adres van de betrokkene
door de verwerkers van de organisaties verwerkt. Voor deze vorm van hergebruik is
een expliciete grondslag opgenomen.

Opleiding en training:

Vrijwilligers en werkbegeleiders, die medewerkers en vrijwilligers begeleiden luisteren
soms mee tijdens een gesprek voor functioneringsdoeleinden en deskundigheidsbevordering
en er wordt feedback gegeven op geanonimiseerde chatgesprekken. Betrokkenen worden
hierover geïnformeerd via de websites van de hulplijnen. Zij krijgen geen bandje te
horen aan het begin van het gesprek i.v.m. vereiste laagdrempeligheid, zie hierover
paragraaf 2.3.2.

Kwaliteitsverbetering en beleidssignalen afleiden:

De gegevens worden tevens gebruikt voor beleidsonderzoek ter verbetering van de kwaliteit
en om trends te signalering die van belang zijn voor de dienstverlening en samenwerkingspartners.
Zo wordt bijvoorbeeld het gebruik van de dienst in beeld gebracht om trends onder
de doelgroep te signaleren (met gebruikmaking van gepseudonimiseerde gesprekken) en
om de dienstverlening te laten aansluiten op de vraag van de doelgroep (zoals patronen
over wanneer en hoe de doelgroep contact opneemt). In het wetsvoorstel is hiervoor
een expliciete grondslag opgenomen.

Aanscherping taakomschrijving Veilig Thuis en verduidelijking, verbetering en aanvulling
van grondslagen voor gegevensverwerking door Veilig Thuis (par 2.4)

Op grond van het voorgestelde artikel 4.1.1, tweede lid, onder e, Wmo 2015, in verbinding
met artikel 5.1.6, tweede lid, Wmo 2015, kan Veilig Thuis ook persoonsgegevens, waaronder
bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke
aard, verstrekken aan het openbaar ministerie, de reclassering en Slachtofferhulp
Nederland, indien het belang van de betrokkene dan wel de ernst van de situatie waarop
de melding betrekking heeft daartoe aanleiding geeft. Het gaat hier om een verdere
verwerking (zie artikel 6, vierde lid, AVG) en dit betreft de bescherming van de betrokkene
of de rechten en vrijheden van anderen (artikel 23, eerste lid, onder i, AVG) en het
voorkomen van strafbare feiten (artikel 23, eerste lid, onder d, AVG). Uit het wetsvoorstel
blijkt duidelijk het doel van de verdere verwerking, de categorieën van persoonsgegevens
en het toepassingsgebied (artikel 23, tweede lid, onder a-c, AVG). Ook zijn er waarborgen
ter voorkoming van misbruik. Artikel 5.3.3, eerste en derde lid, bepalen dat Veilig
Thuis alleen gegevens aan anderen dan de betrokkene mag verstrekken zonder toestemming
van de betrokkene, indien hun medewerking vereist is voor de uitvoering van haar taken
en artikel 4.1.1, derde lid, van het Uitvoeringsbesluit Wmo 2015 stelt als eis dat
Veilig Thuis vastlegt op welke wijze wordt gewaarborgd dat persoonsgegevens niet worden
verwerkt voor andere doelen dan haar taakuitvoering. Ook het openbaar ministerie,
de reclassering (artikel 37 van de Reclasseringsregeling 1995) en Slachtofferhulp
Nederland (op basis van overeenkomsten) hebben allen een geheimhoudingsplicht ten
aanzien van de gegevens. Zij mogen die alleen verstrekken indien dat voor de uitvoering
van hun wettelijke taken noodzakelijk is (artikel 23, tweede lid, onder d, AVG). Helder
is dat Veilig Thuis verwerkingsverantwoordelijke is voor de verstrekking (artikel
23, tweede lid, onder e, AVG). Er wordt geen verslag gemaakt van de afstemming, iedere
partij neemt alleen de informatie mee uit het overleg die nodig is voor de eigen taakuitvoering
en slaat die op in de eigen systemen gedurende de wettelijke bewaartermijn (artikel
23, tweede lid, onder f, AVG). De risico’s op rechten en vrijheden van betrokkenen
zijn door middel van een DPIA afgewogen (artikel 23, tweede lid, onder g, AVG) en
er kan (tijdelijk) worden afgezien van het recht van de betrokkenen om op de hoogte
te worden gesteld als dit noodzakelijk kan worden geacht om een situatie van huiselijk
geweld of kindermishandeling te beëindigen of een redelijk vermoeden daarvan te onderzoeken
(artikel 23, tweede lid, onder h, AVG).

Voor het overige is sprake van een verduidelijking. Aangezien het hier niet gaat om
nieuwe uitzonderingen zijn deze onderdelen hier niet afzonderlijk toegelicht. Zie
paragraaf 2.4.

Hergebruik gegevens Wzd voor Wlz door CIZ (par 2.6)

Deze wijziging maakt het mogelijk dat het CIZ gegevens die zij heeft ontvangen bij
de beoordeling van een aanvraag voor een besluit tot opname en verblijf, een rechterlijke
machtiging, of een machtiging tot voortzetting van de inbewaringstelling als bedoeld
in de Wzd verder verwerkt, namelijk bij de behandeling van een aanvraag voor het vaststellen
van het recht op zorg in het kader van de Wlz. Deze verdere verwerking (zie artikel
6, vierde lid, AVG) betreft de bescherming van de betrokkene of de rechten en vrijheden
van anderen (artikel 23, eerste lid, onder i, AVG). Immers, bij al deze cliënten is
al door het CIZ en de rechter vastgesteld dat opname noodzakelijk is om ernstig nadeel
te voorkomen of af te wenden. Het hergebruik vindt plaats om de hiervoor benodigde
bekostigingstitel vanuit de Wlz te realiseren. Uit het wetsvoorstel blijkt duidelijk
het doel van de verdere verwerking, de categorieën van persoonsgegevens en het toepassingsgebied
(artikel 23, tweede lid, onder a-c, AVG). Ook zijn er waarborgen ter voorkoming van
misbruik. Het CIZ kan de gegevens die zij heeft verkregen op grond van de Wzd alleen
hergebruiken voor zover noodzakelijk voor de behandeling van een aanvraag op grond
van de Wlz (artikel 23, tweede lid, onder d, AVG). Het CIZ is verwerkingsverantwoordelijke
voor verdere verwerking (artikel 23, tweede lid, onder e, AVG) en dient zich te houden
aan de wettelijke bewaartermijn (artikel 23, tweede lid, onder f, AVG). De risico’s
op rechten en vrijheden van betrokkenen zijn door middel van een DPIA afgewogen (artikel
23, tweede lid, onder g, AVG). Betrokkenen worden van de verdere verwerking op de
hoogte gesteld (artikel 23, tweede lid, onder h, AVG).

Grondslag gegevensverwerking in de Kaderwet VWS-subsidies (par 2.7)

De (bijzondere categorieën van) persoonsgegevens binnen deze subsidieregeling worden
niet doorgegeven aan partijen die niet direct een rol hebben bij de uitvoering van
de subsidieverstrekking of controle daarop zoals deze zijn.

Grondslag gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij fraudeonderzoek
(par 2.8)

Bij de gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars mogen alleen
die persoonsgegevens worden verwerkt die noodzakelijk zijn om het gestelde doel (fraude
in de zorg bestrijden) te bereiken. Welke persoonsgegevens tussen gemeenten en ziektekostenverzekeraars,
tussen gemeenten onderling en binnen gemeenten over de zorgdomeinen Wmo 2015 en Jeugdwet
mogen worden uitgewisseld wordt bij amvb bepaald.

3.7. Noodzakelijkheid, proportionaliteit en subsidiariteit

De noodzaak, proportionaliteit en alternatieven zijn per onderdeel toegelicht in hoofdstuk
2, tenzij enkel sprake is van een verduidelijking van bestaande grondslagen. In dat
laatste geval heeft deze afweging reeds plaatsgevonden bij het wetsvoorstel waarmee
de nieuwe verwerkingsgrondslag werd gecreëerd.

3.8. Transparantie en rechten betrokkenen

De AVG

In de AVG zijn onder andere de verplichtingen van de verwerkende instantie en de rechten
van betrokkenen geregeld. Verplichtingen van verwerkende instanties zijn bijvoorbeeld
de in de artikelen 13 en 14 AVG opgenomen verplichtingen om betrokkenen actief te
informeren, transparant te zijn over de op hen betrekking hebbende gegevens die zij
hebben verwerkt en hen te wijzen op het bestaan van klacht-, bezwaar en beroepsmogelijkheden.

De rechten van betrokkenen zijn opgenomen in artikel 15 tot en met 22 AVG. Denk hierbij
aan het recht op inzage (artikel 15), rectificatie (artikel 16) en verwijdering (artikel
17) van gegevens. Indien een betrokkene wilt weten welke informatie wordt verwerkt
en of die informatie juist is en op de juiste manier wordt verwerkt, dan kan de betrokkene
aan de verwerkingsverantwoordelijke een verzoek om inzage (en afschrift) doen. Wanneer
de informatie die wordt verwerkt onjuist, niet actueel of niet volledig is dan kan
de betrokkene rectificatie verzoeken. Besluit de verwerkingsverantwoordelijke de informatie
aan te vullen of te wijzigen en zijn in het voorafgaande jaar de (onjuiste) gegevens
aan andere partijen doorgegeven, dan moet de verwerkingsverantwoordelijke ook zo snel
mogelijk de wijzigingen aan deze andere partijen doorgeven. Wordt er meer informatie
verwerkt dan nodig of is de verwerking onrechtmatig, dan kan de betrokkene verzoeken
om de gegevens te wissen. Is er een specifieke situatie waardoor de cliënt liever
niet heeft dat de informatie nog wordt gebruikt, dan kan de betrokkene de verwerkingsverantwoordelijke
vragen om de persoonsgegevens niet meer te gebruiken. Dit heet het recht van bezwaar.
De verwerkingsverantwoordelijke moet het gebruik van de gegevens dan stoppen, tenzij
er goede redenen zijn om de gegevens te blijven verwerken en deze zwaarder wegen dan
de belangen van de betrokkene of er maatregelen zijn genomen die deze belangen beschermen.
Zo lang nog niet duidelijk is wat zwaarder weegt, mag de organisatie de gegevens niet
gebruiken. In de in artikel 18 AVG genoemde gevallen, kan worden gevraagd om een beperking
van de verwerking in te stellen. Dat wil zeggen dat de gegevens tijdelijk niet mogen
worden gebruikt.

De verwerkingsverantwoordelijke kan alleen besluiten een verzoek te weigeren als niet
voldaan is aan de voorwaarden voor een verzoek of als er sprake is van een uitzondering
als bedoeld in de AVG. Deze uitzonderingen zijn uitgewerkt in de materiewetten en
in artikel 41 Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG).
Er moet altijd een expliciete afweging plaatsvinden of het belang van de (tijdelijke)
inperking van de rechten van betrokkene opweegt tegen de inbreuk op de rechten en
vrijheden van de betrokkene.

In hoofdstuk 8 AVG zijn bepalingen over beroep, aansprakelijkheid en sancties opgenomen.
Er is de mogelijkheid een klacht in te dienen bij de toezichthoudende instantie, de
Autoriteit Persoonsgegevens (hierna: AP), en een mogelijkheid om in rechte op te komen
tegen daarop genomen besluiten. Ook heeft een betrokkene het recht een doeltreffende
voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke, een verwerker
of de toezichthoudende instantie (artikelen 77 tot en met 79). Het recht op schadevergoeding
en aansprakelijkheid bij inbreuk op de AVG is geregeld in artikel 82. Nationaalrechtelijk
zijn de rechtsbeschermingsbepalingen uit de AVG nader uitgewerkt en ingevuld in paragraaf
3.3 van de UAVG. Zo is in artikelen 34 en 35 van de UAVG de toepasselijkheid van de
Algemene wet bestuursrecht (Awb) en het burgerlijk recht geregeld ten aanzien van
de uitoefening van de rechten in artikel 15 tot en met 22 AVG. Rechtsbescherming in
het geval van verwerking van persoonsgegevens is langs deze lijn derhalve geborgd.

Overige rechtsmiddelen

De verwerking van gegevens zal vaak moeten worden beschouwd als een (feitelijke) handeling.
Als geen sprake is van een besluit als bedoeld in de Awb biedt het bestuursrecht ook
geen mogelijkheid hiertegen op te komen in bijvoorbeeld een bezwaar- en beroepsprocedure.
Het civielrecht kan in dat geval wel mogelijkheden bieden om tegen (onrechtmatige)
verwerking van (persoons)gegevens en de mogelijke gevolgen daarvan op te komen. Te
denken valt aan een vordering op grond van onrechtmatige daad als bedoeld in artikel
6:162 BW.

Grondslag gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij fraudeonderzoek
(par 2.8)

De (verwerkings)verantwoordelijke instantie die (persoons)gegevens ten behoeve van
een fraudeonderzoek verstrekt, is verantwoordelijk voor die verstrekking. De instantie
die de gegevens ten behoeve van het fraudeonderzoek ontvangt, is vanaf het moment
van ontvangst van de gegevens zelfstandig verwerkingsverantwoordelijke voor die gegevens.
De verwerkingsverantwoordelijke instantie informeert conform artikel 14 AVG de betreffende
natuurlijke persoon of rechtspersoon, als sprake is van verwerking van persoonsgegevens,
over de verwerking. Van het informeren kan worden afgezien indien sprake is van een
situatie als bedoeld in artikel 14, vijfde lid, AVG. Het gaat dan onder andere om
de situatie dat de bedoelde verplichting de verwezenlijking van de doeleinden van
die verwerking, te weten bestrijding van fraude in de zorg, onmogelijk dreigt te maken.
Hier ligt redelijkerwijs een afweging en dus verantwoordelijkheid bij de verwerkingsverantwoordelijke.

Voor het geval dat van voornoemde uitzondering op de informatieplicht gebruik wordt
gemaakt, moet door de betrokken instantie zijn voorzien in passende maatregelen om
de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen.
Specifiek ten aanzien van het afzien van de informatieplicht kan gedacht worden aan
maatregelen ten aanzien van het zo spoedig mogelijk toch informeren van de betrokkene.

3.9. Beroepsgeheim

Bij de onderdelen «inzagebevoegdheid IGJ» (paragraaf 2.1) en «gegevensverwerking door
de IGJ bij andere meldingen» (paragraaf 2.2) is sprake van doorbreking van het medisch
beroepsgeheim. Een doorbreking van het medisch beroepsgeheim moet zorgvuldig worden
afgewogen tegen de bescherming van de vertrouwelijkheid van medische informatie en
het recht op privacy van de patiënt. Het onderdeel inzagebevoegdheid IGJ betreft een
verduidelijking en creëert geen nieuwe doorbreking. Deze afweging is daarom voor dit
onderdeel niet opnieuw gemaakt. Voor het onderdeel «gegevensverwerking door de IGJ
bij andere meldingen» is deze afweging terug te vinden in paragraaf 2.2.

3.10. Caribisch Nederland

De onderwerpen andere meldingen op grond van de Wkkgz, de gegevensverwerking bij de
uitvoering van de hulplijnen, de verduidelijking grondslag voor gegevensverstrekking
door Veilig Thuis aan het CBS en het hergebruik van gegevens vanuit de Wzd t.b.v.
de uitvoering van de Wlz, hebben geen gevolgen voor Caribisch Nederland. Caribisch
Nederland heeft ten aanzien van deze onderwerpen eigen wetgeving, bijvoorbeeld op
het gebied van de kwaliteit van zorg (Wet zorginstellingen BES) en langdurige zorg
(Besluit zorgverzekering BES), of kent (nog) geen wettelijk kader, bijvoorbeeld op
het gebied van de hulplijnen en huiselijk geweld en kindermishandeling. Inzake huiselijk
geweld en kindermishandeling is het Besluit maatschappelijke ondersteuning en bestrijding
huiselijk geweld en kindermishandeling BES in voorbereiding, waarin ook het verstrekken
van gegevens voor beleidsinformatie door een advies- en meldpunt huiselijk geweld
en kindermishandeling zal worden geregeld.

De wijzigingen uit het onderhavige wetsvoorstel kunnen niet via een verzamelwet worden
doorgevoerd in Caribisch Nederland, omdat voor Caribisch Nederland een andere context
geldt dan voor Europees Nederland. Zo is de Wet zorginstellingen BES anders vormgegeven
dan de Wkkgz en zijn er in het kader van de (langdurige) zorg verschillen in taken
en verantwoordelijkheden van het Rijk en openbare lichamen. In deze kabinetsperiode
wordt wel in den brede nagedacht over hoe het wettelijk stelsel voor Caribisch Nederland
verder vormgegeven kan worden op de langere termijn.21

In de Invoeringswet BES is voor de IGJ ook een inzagerecht opgenomen. Dit wetsvoorstel
beoogt ook dit inzagerecht te verduidelijken. Verder wordt in dit wetsvoorstel voorgesteld
om de delegatiegrondslag van artikel 18.4.5, eerste lid, onderdeel e, van de Invoeringswet
BES aldus aan te vullen, dat op grond daarvan ook regels met betrekking tot de verwerking
van persoonsgegevens waaronder bijzondere persoonsgegevens, kunnen worden gesteld.
Zie paragraaf 2.5. Ook in de Wet tot regeling van het toezicht op krankzinnigen BES22 is een inzagerecht opgenomen. De regering werkt aan een inhoudelijke modernisering
van deze wet. Eventuele verduidelijking van het inzagerecht wordt daarin meegenomen.

De wijziging in het kader van de Kaderwet VWS-subsidies geldt ook ten aanzien van
subsidieaanvragers uit Caribisch Nederland.

4. Verhouding tot nationale wetgeving

De invloed van de wijzigingen op de bestaande wetgeving is voor de verschillende onderdelen
toegelicht in hoofdstuk 2. Het wetsvoorstel heeft geen gevolgen voor andere (in voorbereiding
zijnde) regelingen.

5. Gegevensbeschermingseffectbeoordeling (DPIA)

Gezien de aard van dit wetsvoorstel zijn gegevensbeschermingseffectbeoordelingen uitgevoerd
op onderdelen van het wetsvoorstel. Met behulp hiervan is de noodzaak onderzocht van
de voorgenomen verwerking van persoonsgegevens en zijn op gestructureerde wijze de
gevolgen en risico’s van de gegevensverwerkingen voor de rechten en vrijheden van
betrokkenen van het onderhavige wetsvoorstel in kaart gebracht voor zover deze tot
nu toe te overzien zijn.

De DPIA’s gingen niet in op de onderwerpen:

• De inzagebevoegdheid van de IGJ

• Verduidelijking verwerking bijzondere categorieën van persoonsgegevens en gegevens
van strafrechtelijke aard door Veilig Thuis

• Aanlevering gegevens van Veilig Thuis aan het CBS

• Bewaartermijn Veilig Thuis

• Delegatiegrondslag verwerking persoonsgegevens IBES

• Hergebruik gegevens op grond van de Wzd voor de Wlz

Met de eerste vier onderwerpen worden geen nieuwe grondslagen in het leven geroepen,
maar bestaande grondslagen en bewaartermijnen verduidelijkt.

Het vijfde onderwerp betreft een delegatiegrondslag. Een DPIA wordt uitgevoerd, zodra
van de delegatiegrondslag gebruik wordt gemaakt.

Het laatste onderwerp betreft een spiegelbepaling zoals opgenomen in de artikelen
22, achtste lid, en 26, tweede lid, Wzd. Gezien de grote overeenkomst met deze artikelen
en omdat het gaat om hergebruik binnen één organisatie is afgezien van het uitvoeren
van een DPIA.

Naar aanleiding van de DPIA zijn de wettekst en toelichting op een aantal punten aangescherpt.
Zo zijn de teksten over de verplichting tot het aanleveren van gegevens naar aanleiding
van een andere melding verduidelijkt en is artikel 5.2.9 Wmo 2015 aangepast, zodat
daaruit duidelijk blijkt wanneer Veilig Thuis het BSN gebruikt. Ook is de toelichting
aangescherpt ten aanzien van de grondslag voor gegevensuitwisseling tussen gemeenten,
zorgkantoren en zorgverzekeraars. Gegevensuitwisseling ten behoeve van het fraudeonderzoek
betekent dat persoonsgegevens met gemeenten en ziektekostenverzekeraars gedeeld kunnen
worden, waar dat zonder deze grondslag niet gebeurd zou zijn. Hierbij kunnen eventueel
risico’s ontstaan op een datalek. Betrokken instanties zullen passende technische
en organisatorische maatregelen moeten treffen die een op het risico afgestemd beschermingsniveau
waarborgen. Hiertoe zal ook een gegevensbeschermingseffectbeoordeling gericht op de
praktijk worden uitgevoerd.

6. Gevolgen (m.u.v. financiële gevolgen)

De gevolgen worden hieronder per onderdeel toegelicht.

Inzagebevoegdheid IGJ (par 2.1)

Door de verduidelijking van het begrip inzage is het voor toezichthoudende ambtenaren
van de IGJ en andere betrokken partijen direct duidelijk hoe ver het inzagerecht als
handhavingsinstrument reikt. Hierdoor wordt het uitvoeren van de toezichtstaak vereenvoudigd.

Gegevensverwerking door de IGJ bij andere meldingen (par 2.2)

Doordat zorgaanbieders en zorgverleners worden verplicht om bij en naar aanleiding
van een andere melding aan de IGJ (bijzondere categorieën van) persoonsgegevens te
verstrekken in het kader van het te verrichten onderzoek, kan de IGJ haar taak beter
uitvoeren. Zoals uit het voorgaande blijkt, kan dit een doorbreking van het medisch
beroepsgeheim betekenen. Hier moet zeer terughoudend mee om worden gegaan. Bij het
opstellen van deze bepaling is, zoals toegelicht in paragraaf 2.2 een afweging gemaakt
tussen het belang van de IGJ en dus de volksgezondheid om een melding goed en volledig
te kunnen onderzoeken en het belang van degene aan wie de (gezondheids)gegevens toebehoren.

Gegevensverwerking bij de uitvoering van de hulplijnen (par 2.3)

Door toevoeging van een grondslag voor de verwerking van (bijzondere categorieën van)
persoonsgegevens voor de hulplijnen (mogelijkheid voor jongeren om hun verhaal te
kunnen doen, vragen te stellen en advies te krijgen), de kwaliteitsverbetering en
beleidsvorming via de monitoring op de telefoongesprekken en chatfunctie is de uitvoering
van de hulplijnen geborgd.

Door de verduidelijking van de grondslag voor de verstrekking van gegevens door Veilig
Thuis ten behoeve van beleidsinformatie is voor alle betrokken partijen direct duidelijk
dat de wet zowel een grondslag biedt voor verstrekking van gegevens inzake kindermishandeling
als voor vormen van huiselijk geweld waarbij geen kinderen betrokken zijn.

Aanscherping taakomschrijving Veilig Thuis en grondslagen voor gegevensverwerking
Veilig Thuis (par 2.4)

De uitbreiding van artikel 4.1.1, tweede lid, Wmo 2015 verduidelijkt de mogelijkheden
tot vroegtijdige afstemming bij onveiligheid in gezinssystemen. Door vroegtijdige
en gelijktijdige afstemming kunnen situaties van onveiligheid in gezinssystemen eerder
(gezamenlijk) in beeld komen bij de betrokken partners. Het parallel (en minder volgtijdelijk)
samenwerken door de betrokken partners zorgt ervoor dat zij met meer snelheid en efficiency
kunnen samenwerken. De kans op escalatie of herhaling van het geweld wordt door de
vroegtijdige en gelijktijdige afstemming teruggebracht. Door het hergebruik van gegevens
door het CIZ worden een extra (administratieve) belasting voor de cliënt en onnodige
vertraging voorkomen.

Delegatiegrondslag verwerking persoonsgegevens IBES (par 2.5)

Deze delegatiegrondslag maakt het mogelijk om in een amvb over de bestrijding van
huiselijk geweld tevens regels te stellen over de in dat kader noodzakelijke verwerking
van bijzondere persoonsgegevens.

Hergebruik gegevens Wzd voor Wlz door CIZ (par 2.6)

Met het hergebruik van gegevens vanuit de Wzd t.b.v. de uitvoering van de Wlz wordt
de uitvoering van de Wlz vereenvoudigd. Hiermee wordt voorkomen dat de cliënt, zijn
vertegenwoordiger of de betrokken zorgprofessional gegevens moeten aanleveren die
al bij het CIZ aanwezig zijn. Het indicatiebesluit kan daardoor sneller worden verleend.

Grondslag gegevensverwerking in de Kaderwet VWS-subsidies (par 2.7)

Met de grondslag voor gegevensverwerking in de Kaderwet VWS-subsidies kunnen aanvragen
(goed) worden behandeld en ontstaat duidelijkheid voor zowel de aanvrager als de ambtenaar
die de subsidie beoordeelt.

Grondslag gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars bij fraudeonderzoek
(par 2.8)

Met de grondslag voor gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars
kunnen fraudeonderzoeken beter wordt uitgevoerd, sneller worden afgerond en kunnen
er op basis van een afgerond fraudeonderzoek maatregelen genomen worden, zoals het
terugvorderen van onterechte betalingen. De betrokken gemeenten en ziektekostenverzekeraars
dienen wel bepaalde handelingen te verrichten om gegevens uit te kunnen wisselen.
Het kan zijn dat bepaalde instanties meer worden bevraagd of vaker gegevens moet delen
dan anderen, maar over de hele linie genomen zullen de baten, ten aanzien van de aanpak
van fraude, opwegen tegen de lasten.

Doenvermogen

Dit wetsvoorstel heeft naar verwachting beperkte invloed op het doenvermogen van burgers,
omdat met dit wetsvoorstel met name technische wijzigingen of verduidelijking is beoogd.
Ten aanzien van een aantal onderwerpen hoeft er, doordat er een grondslag voor gegevensverwerking
wordt geregeld, geen toestemming van de burger meer te worden gevraagd voor het verwerken
van persoonsgegevens. Dit kan meer vragen van het doenvermogen van burgers die bezwaar
hebben tegen de verwerking. Aan de andere kant worden burgers door deze grondslagen
niet meer belast met het maken van een afweging over het al dan niet geven van toestemming
voor gegevensverwerking.

Komt een betrokkene er zelf niet uit, dan zijn er verschillende ondersteuningsmogelijkheden.
Voor juridische vragen kunnen betrokkenen terecht bij bijvoorbeeld het Juridisch Loket
of sociaal raadslieden. Jeugdigen, ouders en pleegouders kunnen daarnaast een beroep
doen op een vertrouwenspersoon, dat geldt ook voor personen die bij een melding aan
Veilig Thuis zijn betrokken, cliënten met een verstandelijke beperking, psychogeriatrische
aandoening of daaraan gelijkgestelde aandoening en personen voor wie een zorgmachtiging
op grond van de Wvggz wordt voorbereid of afgegeven. Daarnaast kunnen cliënten die
gebruikmaken van langdurige zorg terecht bij een onafhankelijke cliëntondersteuner
via het zorgkantoor en kan men in alle andere gevallen terecht bij de onafhankelijke
cliëntondersteuner van de gemeente. Naar aanleiding van de Parlementaire Ondervragingscommissie
Kinderopvangtoeslag is geld beschikbaar gesteld aan gemeenten om de publieke dienstverlening
aan burgers te verbeteren. Een deel hiervan is bestemd voor de verbetering van (lokale)
rechtsbescherming. Het Programma Robuuste Rechtsbescherming is er om gemeenten hierbij
te ondersteunen, met als doel het basisrecht van alle inwoners op onafhankelijke sociaal-juridische
ondersteuning en rechtshulp op lokaal niveau te garanderen.

7. Uitvoering

Het merendeel van dit wetsvoorstel beoogt een technische wijziging, verduidelijking
van bepalingen of creëert een wettelijke grondslag voor gegevensverwerking en leidt
niet tot een wijziging in taken. De uitvoering van de bestaande taken wordt door de
verduidelijking in de praktijk vereenvoudigd.

De betreffende gedeelten van het wetsvoorstel zijn afgestemd met Stichting De Kindertelefoon,
Stichting Sensoor, de landelijke luisterlijn, het Landelijk Netwerk Veilig Thuis,
de partijen in de strafrechtketen, het CIZ en DUS-I. Aanvullend daarop hebben Stichting
de Kindertelefoon, Stichting Sensoor, de landelijke luisterlijn en het Landelijk Netwerk
Veilig Thuis een uitvoeringstoets uitgevoerd23.

Stichting De Kindertelefoon en Stichting Sensoor de Luisterlijn hebben verzocht om
enkele aanpassingen in de toelichting. Deze zijn verwerkt.

De leden van het Landelijk Netwerk Veilig Thuis hebben laten weten dat er wat betreft
de uitvoerbaarheid van het wetsvoorstel voor de Veilig-Thuis-organisaties geen bezwaren
bestaan. De wijziging m.b.t. de chat van Veilig Thuis maakt de uitvoeringspraktijk
makkelijker. Dit geldt ook voor de wijzigingen m.b.t. de verwerking van bijzondere
categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard, de
gevalsbehandeling en de beleidsinformatie. De Veilig Thuis-organisaties leveren nu
voor het genereren van beleidsinformatie een cliëntnummer aan bij het CBS. Na de wijziging
komt het BSN hiervoor in de plaats. Voor de gebruiker heeft dit geen invloed op de
uitvoerbaarheid. Bij de leverancier van de software betekent het een kleine technische
wijziging waar bij het ontwerp al op voorgesorteerd was.

Van 17 augustus 2022 tot 1 november 2022 hebben de VNG en ZN de gelegenheid gekregen
om de uitvoerbaarheid van het onderdeel «grondslag samenwerking tussen gemeenten,
zorgkantoren en zorgverzekeraars» te toetsen. De uitkomsten van deze toetsen zijn
hierna samengevat, waarbij is opgenomen wat met de uitkomsten al dan niet is gedaan
in dit onderdeel en toelichting daarop.

VNG

De VNG ziet meerwaarde in de beide onderdelen binnen artikel 2.7a omdat het delen
van informatie met ziektekostenverzekeraars, andere gemeenten en binnen de gemeente
tussen de domeinen van de Wmo 2015 en Jeugdwet vergemakkelijkt worden. De bepalingen
zorgen niet voor belemmeringen in de uitvoering.

De VNG heeft twee kanttekeningen. Allereerst is onvoldoende duidelijk welke gegevens
op grond van dit onderdeel van het wetsvoorstel gedeeld mogen worden. Dit zal nader
uitgewerkt bepaald worden bij amvb.

Als tweede geeft de VNG aan dat gemeenten om zorgfraude effectief te kunnen aanpakken,
meer nodig hebben dan deze gegevensuitwisseling alleen. Dit laatste valt buiten de
scope van dit onderdeel van het wetsvoorstel.

ZN

ZN geeft aan dat de voorgestelde aanpassing ervoor zorgt dat zorgkantoren bij fraudeonderzoek
sneller en beter inzicht krijgen in het gedrag en de financiële huishouding van zorgaanbieders
hetgeen eraan bijdraagt dat de fraudebestrijding sneller en beter kan plaatsvinden.
ZN ziet geen belemmering in de uitvoering door beide voorgestelde bepalingen.

8. Regeldruk

Regeldruk is een verzamelnaam voor kosten die samenhangen met administratieve lasten
(kosten om te voldoen aan informatieverplichtingen aan de overheid vanuit regelgeving),
inhoudelijke nalevingkosten (kosten om te voldoen aan inhoudelijke eisen uit wet-
en regelgeving) en toezichtlasten.

Met het hergebruik van gegevens vanuit de Wzd t.b.v. de uitvoering van de Wlz wordt
beoogd de regeldruk te verminderen. Het CIZ vraagt thans dezelfde informatie voor
de Wlz op bij de cliënt, zijn vertegenwoordiger of betrokken zorgprofessional. Het
in het kader van Wlz nogmaals opvragen van de al bij het CIZ vanuit de Wzd bekende
informatie is een extra (administratieve) belasting voor de cliënt, zijn vertegenwoordiger
of betrokken zorgprofessional. Met hergebruik wordt voorkomen dat deze partijen gegevens
moeten aanleveren die al bij het CIZ aanwezig zijn en kan een indicatiebesluit sneller
worden verleend. Dit leidt tot een reductie van de regeldruk voor zorgprofessionals,
maar ook een reductie in de regeldruk voor cliënten en vertegenwoordigers. Op dit
moment is het nog niet mogelijk om de kwantitatieve effecten van dit wetsvoorstel
op de regeldruk exact in kaart te brengen. Er wordt verwacht dat ongeveer 1000 keer
per jaar gebruik wordt gemaakt van de mogelijkheid tot hergebruik.

Met de andere onderdelen van het wetsvoorstel wordt beoogd de grondslagen bij bestaande
taken aan te vullen en te verduidelijken. De uitvoering van de bestaande taken wordt
door deze verduidelijking vereenvoudigd. De gevolgen hiervan op de regeldruk zijn
echter lastig te kwantificeren. In ieder geval worden geen negatieve regeldrukgevolgen
verwacht.

Het Adviescollege toetsing regeldruk (ATR) heeft het dossier niet geselecteerd voor
een formeel advies, omdat de – positieve – gevolgen voor de regeldruk toereikend in
beeld zijn gebracht.

9. Toezicht en handhaving

Toezicht en handhaving op de verwerking van persoonsgegevens wordt – net als nu –
uitgevoerd door de functionarissen gegevensbescherming en de AP. Als gegevens worden
verwerkt in strijd met de privacyregels en de verwerkingsverantwoordelijke een klacht
hierover niet oplost kan de betrokkene de interne toezichthouder – de functionaris
gegevensbescherming – betrekken. Leidt dat niet tot een oplossing, dan kan een klacht
in worden gediend bij de AP. Bij twijfel hierover kan de betrokkene de AP vooraf bellen
via het gratis telefoonnummer 088 – 1805 250.

De IGJ en de Inspectie Justitie en Veiligheid (hierna: IJenV) zijn uitgenodigd om
een uitvoerbaarheids- en handhaafbaarheidstoets uit te voeren24.

Ten aanzien van de verduidelijking van het inzagerecht van patiëntendossiers merkt
de IJenV op dat zij deze verduidelijking op prijs stelt. Onduidelijkheid over het
inzagerecht is onwenselijk en deze verduidelijking maakt daar een einde aan. Ook de
IGJ wijst erop dat de onduidelijkheid in de formulering van de betreffende wetsartikelen
in enkele gevallen discussies opleveren in de uitvoeringspraktijk. De IGJ onderschrijft
daarom het belang dat in het voorliggende wetsvoorstel het inzagerecht op dit punt
wordt verduidelijkt.

De IGJ heeft geadviseerd om de memorie van toelichting op het punt van de formulering
van de (afgeleide) geheimhoudingsplicht van de IGJ te verduidelijken. De concept memorie
van toelichting vermeldde niets over de achtergrond hiervan. In de toelichting is
verduidelijkt dat met de nieuwe formulering geen inhoudelijke wijziging beoogd is.

Oorspronkelijk was het voornemen om met dit wetsvoorstel ook een expliciete wettelijke
mogelijkheid tot het doorbreken van de geheimhoudingsplicht bij het indienen van een
tuchtklacht op grond van de Jeugdwet te creëren. Ten aanzien van dit voorstel heeft
de AP geadviseerd de doorbrekingsgrond voor de Jeugdwet nader te motiveren. De IJenV
heeft opgemerkt dat zij tot op heden nog geen gebruik heeft gemaakt van het kunnen
indienen van een tuchtklacht. Evenwel heeft de IJenV aangegeven de verduidelijking
in de wet van de mogelijkheid tot doorbreking van het beroepsgeheim een goede aanvulling
te vinden op de bevoegdheid tot het indienen van een tuchtklacht. De IGJ heeft erop
gewezen dat zij ook buiten het jeugddomein, namelijk op grond van de Wet BIG, bevoegd
is tot het indienen van tuchtklachten vanwege het belang van de kwaliteit en veiligheid
van de zorg. Het uitsluitend opnemen van een expliciete wettelijke doorbrekingsgrond
ten aanzien van de Jeugdwet zou tot een discrepantie met de Wet BIG leiden. De IGJ
heeft daarom verzocht ook een expliciete wettelijke doorbrekingsgrond van de (afgeleide)
geheimhoudingsplicht voor het indienen van tuchtklachten op grond van de Wet BIG op
te nemen.

In hoeverre het noodzakelijk is deze doorbrekingsgrond ten aanzien van zowel de Jeugdwet
als de Wet BIG wettelijk te regelen, vergt nader onderzoek. Om verdere vertraging
te voorkomen, is daarom besloten een eventueel noodzakelijke doorbrekingsgrond mee
te nemen in een volgende wetswijziging.

Handhavend en toezichthoudend optreden is verder per wet gebonden aan eigen kaders.

10. Financiële gevolgen

Het wetsvoorstel leidt niet tot een wijziging in taken. Het wetsvoorstel beoogt enkel
een nadere invulling te geven aan of verduidelijking te geven van de gegevensverwerking
bij bestaande wettelijke taken. De verwachting is niet dat partijen naar aanleiding
van dit wetsvoorstel voor deze onderdelen met extra uitgaven zullen worden geconfronteerd.

11. Advies en consultatie25

Op grond van hun wettelijke taken hebben de AP en de Commissie toezicht bescherming
persoonsgegevens BES een advies uitgebracht. Daarnaast is het wetsvoorstel in internetconsultatie
geweest, die verschillende reacties heeft opgeleverd.

De AP is de toezichthouder op de juiste uitvoering van de AVG. Daarom is dit wetsvoorstel
voor advies aan dit college voorgelegd. Daarnaast zijn de betreffende gedeelten van
het wetsvoorstel afgestemd met de IGJ, de IJenV, Stichting De Kindertelefoon, Stichting
Sensoor, de landelijke luisterlijn, Veilig Thuis en het CIZ.

11.1. Advies Autoriteit Persoonsgegevens

De AP heeft in het advies op verschillende punten bezwaar gemaakt tegen het concept
en heeft geadviseerd om de procedure niet voort te zetten, tenzij het bezwaar is weggenomen.

Naar aanleiding van de wijziging van artikel 18.4.7h van de Invoeringswet BES heeft
de AP daarnaast opgemerkt deze voor te leggen aan de Commissie toezicht bescherming
persoonsgegevens BES (hierna: CBP BES). In het huidige artikel 18.4.7h is het inzagerecht
van de IGJ in patiëntendossiers op de BES opgenomen. Zoals uit het voorgaande blijkt,
is het inzagerecht van de IGJ in een heel aantal volksgezondheidswetten opgenomen
en wordt dit met het wetsvoorstel verduidelijkt. Met deze wijziging worden geen nieuwe
verwerkingen in het leven geroepen en om die reden is hiervoor dan ook geen DPIA opgesteld.
Voor nadere toelichting wordt in dit kader verwezen naar hoofdstuk 5. Op grond van
artikel 49 Wbp BES kan door de Minister aan de Wbp BES advies worden gevraagd onder
meer als het gaat om een wetsvoorstel dat betrekking heeft op de verwerking van persoonsgegevens
op de BES. Nu met deze verduidelijking van het inzagerecht geen nieuwe verwerking
van persoonsgegevens is voorzien, is er om die reden voor gekozen de onderhavige wijziging
niet voor te leggen aan de CBP BES. De verduidelijking van het inzagerecht van de
volksgezondheidswetten zat in onderhavig wetsvoorstel dat integraal aan de AP is voorgelegd,
omdat de meeste onderwerpen uit onderhavig wetsvoorstel wel een nieuwe gegevensverwerking
in het leven riepen.

Hieronder wordt per onderdeel ingegaan op het advies.

Inzagebevoegdheid IGJ

De AP adviseert om in de memorie van toelichting aan te geven wat de achtergrond is
van de afwijkende terminologie in de voorgestelde artikelen 13:1, derde lid Wvggz
en 60, derde lid Wzd ten opzichte van de andere bepalingen inzage het inzagerecht,
De AP adviseert daarbij om uit te leggen wat «redelijkerwijs noodzakelijk» betekent
ten opzichte van «noodzakelijk». Als gevolg van dit advies is «redelijkerwijs» te
komen te vervallen in de voorgestelde artikelen 13:1, derde lid, Wvggz en 60, derde
lid, Wzd.

Gegevensverwerking door IGJ bij «andere meldingen»

Met betrekking tot dit onderwerp heeft de AP het volgende geadviseerd: «In artikel
25, eerste lid, Wkkgz is sprake van zowel «onderzoek» als «nader onderzoek». Tot nader
onderzoek wordt pas overgegaan als aan een aantal voorwaarden is voldaan. In de memorie
van toelichting wordt de noodzaak om over (bijzondere) persoonsgegevens en persoonsgegevens
van strafrechtelijke aard te beschikken alleen in verband gebracht met dit nader onderzoek.
De AP adviseert om in de memorie van toelichting te beargumenteren waarom de verplichte
gegevensverstrekking ook al nodig is in het kader van het reguliere onderzoek.»

In reactie hierop is in de toelichting bij het onderdeel over de «andere meldingen»
aangepast.

Gegevensverwerking door IGJ en IJenV bij het indienen van tuchtklachten op grond van
de Jeugdwet

De AP adviseert dit onderdeel beter te verantwoorden in de memorie van toelichting
door:

• de noodzaak van doorbreking van het afgeleid beroepsgeheim ten behoeve van het aanhangig
maken van een tuchtzaak zonder toestemming nader te motiveren en daarbij in elk geval
te vermelden wat de follow up is geweest van de in het advies aangehaalde aanbeveling
van NIVEL, en

• te onderbouwen waarom de inbreuk op de persoonlijke levenssfeer van de jeugdige in
dit geval gerechtvaardigd kan worden geacht.

Dit onderdeel maakt niet langer deel uit van dit wetsvoorstel om redenen als genoemd
in hoofdstuk 9.

Gegevensverwerking bij de uitvoering van de kindertelefoon, de luisterlijn en de chat
van Veilig Thuis

De AP adviseert alsnog na te gaan of de verwerkingen – bijvoorbeeld door aanpassing
van de «toestemmingstekst» – kunnen worden gebaseerd op toestemming. Indien toch wordt
gekozen voor een wettelijke grondslag, dan zal moeten vaststaan dat deze inmenging
evenredig is met het nagestreefde gerechtvaardigde doel.

Uit het onderzoek is gebleken dat een toestemmingstekst een drempel opwerpt voor kinderen
(8–18 jarigen) die contact zoeken met de kindertelefoon. Meer dan de helft van de
kinderen twijfelt of geeft geen toestemming en 16% besluit om niet meer te gaan chatten.
Ze zijn bang dat hun ouders kunnen zien dat ze hebben gechat, dat hun gegevens met
derden worden gedeeld, dat er «iets achter zit», dat het gesprek niet anoniem/vertrouwelijk
is. Andere redenen dat het vragen om toestemming een drempel opwerpt, is dat ze de
afspraak hebben met hun ouders dat ze altijd eerst moeten overleggen voordat ze een
vinkje aanklikken, ze de tekst niet snappen of ze het irritant vinden om eerst iets
te moeten doorlezen voordat ze kunnen chatten. Een deel van deze knelpunten zou kunnen
worden ondervangen door een eenvoudigere en duidelijkere toestemmingstekst (in kindertaal).
Echter, is het de vraag of een korte simpele tekst voldoende inzicht geeft in de gegevensverwerking.
De kinderen geven immers aan dat het niet meer dan één zin zou moeten zijn. Bovendien
lost dit niet alle knelpunten op. Voor de kinderen die bang zijn dat er «iets achter
zit», de kinderen die eerst met hun ouders moeten overleggen of die elke toestemmingstekst
zien als drempel om te chatten blijft de toestemming een obstakel. Terwijl de kindertelefoon
juist een laagdrempelig luisterend oor wil bieden voor alle kinderen. Ook voor de
meest kwetsbare kinderen die het juist zo spannend vinden om contact te zoeken. Om
die reden is toestemming geen geschikte grondslag en is het passend om een grondslag
wettelijk vast te leggen.

De doelgroep van de luisterlijn en de chat van Veilig Thuis is anders, maar net als
de kindertelefoon beogen ook deze hulplijnen een zo laagdrempelig mogelijke voorziening
te bieden. De luisterlijn is er voor iedereen die ergens mee zit. De chat van Veilig
Thuis is bedoeld als een extra laagdrempelige mogelijkheid voor iedereen die te maken
heeft met huiselijk geweld en kindermishandeling en voor omstanders om advies te krijgen.
Met name wanneer bellen lastig is en juist wanneer de drempel om contact te zoeken
al hoog is. Het vragen van toestemming op een manier die tegemoetkomt aan de laagdrempeligheid
van de functies (kort, eenvoudig en snel) en tegelijkertijd zorgvuldig is (een goede
omschrijving van de gegevensverwerking omvat en specifieke vragen bevat) is niet mogelijk.

Tot slot is verwerking van het telefoonnummer of IP-adres nodig om oneigenlijk (overmatig)
gebruik van de hulplijnen tegen te gaan. De verwachting is dat degenen die misbruik
maken van de hulplijnen hier niet snel toestemming voor zullen geven. Toestemming
is dan dus niet goed bruikbaar.

Het bij wet regelen van de gegevensverwerking en de waarborgen is voor deze functies
daarom passender dan het vragen van toestemming.

Verbreding van grondslag voor gegevensverstrekking door Veilig Thuis

De AP adviseert deze gegevensverwerking zodanig vorm te geven dat de brongegevens
in anonieme vorm worden verstrekt aan het college, de Minister van VWS en aan de Minister
voor Rechtsbescherming, en artikel 4.2.12 Wmo 2015 hierop aan te passen. In reactie
op dit advies is toegelicht waarom de brongegevens t.b.v. beleidsinformatie niet reeds
bij aanlevering door Veilig Thuis zelf kunnen worden geaggregeerd en geanonimiseerd.

Verwerking van bijzondere en strafrechtelijke persoonsgegevens door Veilig Thuis

De AP adviseert daarom de strekking van artikel 5.1.6, tweede lid, Wmo 2015 te beperken
tot hetgeen in dit verband aantoonbaar noodzakelijk is. In reactie op dit advies zijn
de door Veilig Thuis te verwerken bijzondere categorieën van persoonsgegevens gespecificeerd.
Voor de gegevens van strafrechtelijke aard is dit niet mogelijk. Het begrip «persoonsgegevens
van strafrechtelijke aard» is gedefinieerd in artikel 1 UAVG. Hieronder vallen persoonsgegevens
betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband
houdende veiligheidsmaatregelen als bedoeld in artikel 10 van de AVG. Voor al deze
soorten van gegevens van strafrechtelijke aard geldt dat het noodzakelijk kan zijn
voor Veilig Thuis om deze te verwerken.

Verstrekking van gegevens door Veilig Thuis aan partijen in de strafrechtketen

De AP adviseert terdege aandacht te schenken aan de verhouding tussen de voorgestelde
verstrekkingen en de artikelen 9 en 10 AVG en aan de mitigerende maatregelen die ingevolge
deze artikelen (mogelijk) zijn vereist. De AP adviseert daarnaast de verstrekking
aan bij ministeriele regeling aan te wijzen andere partijen te schrappen.

Naar aanleiding van het advies is een toelichting opgenomen over de verhouding met
de artikelen 9 en 10 van de AVG en is de zinsnede «aan bij ministeriële regeling aan
te wijzen andere partijen» komen te vervallen. De AP heeft ook nog opgemerkt dat de
zinsnede «informatie die op de melding betrekking heeft» te onbepaald is. Het voorgestelde
artikel 4.1.1, tweede lid, onderdeel e, Wmo 2015 moet worden gelezen in samenhang
met artikel 5.1.6, tweede lid, Wmo 2015. Daaruit volgt dat bijzondere categorieën
van persoonsgegevens en gegevens van strafrechtelijke aard die verband houden met
de melding, alleen mogen worden gedeeld indien daartoe een noodzaak is. De aanvulling
in deze zinsnede dient er juist toe om concreter te maken dat ketenpartners niet alleen
van de melding zelf op de hoogte worden gesteld, maar ook van de context van de melding.
In het belang van de veiligheid van betrokkenen kan het immers noodzakelijk zijn dat
een strafrechtpartner die van de melding op de hoogte is of wordt gesteld, ook nog
de contextinformatie ontvangt die nodig is om tot een goede afstemming te komen.

Verder heeft de AP gevraagd of de brongegevens ten behoeve van beleidsinformatie niet
reeds bij Veilig Thuis zouden kunnen worden geaggregeerd en geanonimiseerd. Dat is
bij de structurele gegevensverstrekking niet mogelijk. Identificerende gegevens zijn
bijvoorbeeld noodzakelijk voor het CBS om koppelingen te kunnen maken tussen meerdere
meldingen met betrekking tot dezelfde persoon, ook als die meldingen bij verschillende
Veilig Thuis-organisaties zijn gedaan. Verder zijn identificerende gegevens nodig
om verschillende statistieken, bijvoorbeeld informatie over Veilig Thuis en informatie
over jeugdhulpgebruik, met elkaar in verband te kunnen brengen. Microdata (informatie
op persoonsniveau) worden niet openbaar gemaakt. De inhoud van alle statistieken en
rapportages die gepubliceerd worden, is niet herleidbaar tot een individu. Onderzoek
op dit soort data is wel mogelijk via de zogenaamde remote access voorziening van
het CBS, voor organisaties die daarvoor door het CBS geautoriseerd zijn. Ook dan geldt
echter dat de gegevens die worden gepubliceerd naar aanleiding van dit onderzoek nog
steeds niet tot een persoon te herleiden mogen zijn.

Grondslag gegevensverwerking in de Kaderwet VWS-subsidies

In het voorgestelde artikel 3, vierde lid, van de Kaderwet VWS-subsidies is een verwerkingsgrondslag
opgenomen van onder meer bijzondere categorieën van persoonsgegevens bij het beoordelen
van een subsidieaanvraag dan wel bij het verlenen of vaststellen van een subsidie.
De AP heeft opgemerkt dat uit het algemeen deel van de toelichting alleen blijkt dat
het ten behoeve van dit doel noodzakelijk kan zijn gezondheidsgegevens te verwerken.
AP adviseert de noodzaak om ook andere bijzondere categorieën van persoonsgegevens
dan gezondheidsgegevens toe te lichten. Aan het advies van de AP wordt tegemoetgekomen
door de aanvulling van de toelichting met voorbeelden waaruit blijkt dat het noodzakelijk
kan zijn ook andere bijzondere categorieën van persoonsgegevens te verwerken bij het
uitvoeren van bepaalde subsidieregelingen.

Grondslag gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars

Volgens de AP is onvoldoende duidelijk waarom het noodzakelijk is voor de voorgestelde
gegevensuitwisseling een nieuwe grondslag te creëren, en waarom de voorgestelde gegevensuitwisseling
niet via het IKZ zou kunnen plaatsvinden.

Om het terechte bezwaar van de AP weg te nemen, zijn zowel de artikelen als de toelichting
aangepast. In het voorgestelde artikel is nu bepaald dat gegevensuitwisseling alleen
kan worden toegepast nadat het instrument van het IKZ is ingezet. Uitsluitend wanneer
een gemeente of ziektekostenverzekeraar een verrijkt signaal van het IKZ heeft ontvangen,
kan daarna gegevensuitwisseling plaatsvinden als dat noodzakelijk is voor het fraudeonderzoek.
In hoofdstuk 2 van deze toelichting is duidelijker beschreven waarom het noodzakelijk
is gegevensuitwisseling tussen gemeenten en ziektekostenverzekeraars mogelijk te maken
in aanvulling op het reeds bestaande instrument van het IKZ. Ook is toegelicht in
welke gevallen het IKZ niet toereikend is en dus een aanvullend instrument van noodzakelijk
is. Naar verwachting is het bezwaar van de AP met deze wijzigingen weggenomen.

11.2. Commissie toezicht bescherming persoonsgegevens BES

De CBP BES heeft advies uitgebracht over het onderdeel «delegatiegrondslagen gegevensverwerking
IBES» (paragraaf 2.5). De CBP BES is kritisch op de voorgestelde aanvulling van artikel
18.4.5, eerste lid, onderdeel e, van de Invoeringswet BES, met het stellen van regels
over de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens. De
CBP BES constateert dat de voorgestelde wijziging niet in de geest van de Wbp BES
past. Belangrijkste argument voor deze constatering is dat onvoldoende specifiek in
de memorie van toelichting is opgenomen welke belangenafweging ertoe heeft geleid
dat de uitbreiding van de verwerkingsmogelijkheden van persoonsgegevens noodzakelijk
is. De CBP BES adviseert om expliciet aan te geven welke bijzondere persoonsgegevens,
voor welke doeleinden, door wie, waarom, wanneer en op welke wijze, mogen worden verwerkt.
Ook adviseert de CBP BES om expliciet passende waarborgen op te nemen voor de verwerking
van bijzondere persoonsgegevens.

De CBP BES vindt daarnaast dat 12 jaar na de transitiedatum en 7 jaar na het verstrijken
van de termijn van de oorspronkelijk bedoelde legislatieve terughoudendheid in Caribisch
Nederland de tijd rijp is om het onderwerp maatschappelijke ondersteuning onder te
brengen in een wet in formele zin, waarbij de bescherming van de persoonlijke levenssfeer
en in het bijzonder de bescherming van bijzondere persoonsgegevens op dezelfde manier
geregeld wordt. De CBP BES adviseert dit zo spoedig mogelijk te realiseren. De CBP
BES vindt het noodzakelijk om de verwerking van bijzondere persoonsgegevens in het
kader van huiselijk geweld en kindermishandeling verder te specificeren en expliciteren,
inclusief de passende waarborgen én deze regels te plaatsen in een wet, zoals de Wmo
2015.

Met de CBP BES ben ik van mening dat de verwerking van bijzondere persoonsgegevens
in het kader van huiselijk geweld en kindermishandeling moet worden gespecificeerd
en geëxpliciteerd, inclusief de passende waarborgen.

Anders dan de CPB BES vind ik dat uitwerking bij amvb voldoende kan worden onderbouwd.
Daarmee wordt aangesloten bij de systematiek van hoofdstuk 6 van de IBES waarin onder
meer een grondslag is opgenomen om bij amvb regels te stellen voor de maatschappelijke
ondersteuning en het bestrijden van huiselijk geweld en kindermishandeling. In deze
amvb wordt, conform het advies van de CBP BES, de verwerking van persoonsgegevens
die noodzakelijk is voor het bestrijden van huiselijk geweld en kindermishandeling
verder uitgewerkt. Zo zal concreet worden omschreven wie persoonsgegevens, waaronder
bijzondere persoonsgegevens, mogen verwerken en in welke gevallen het noodzakelijk
is om bijzondere persoonsgegevens te verwerken. Daarnaast worden in de amvb regels
opgenomen over de informatieverschaffing aan betrokkene en over de bewaartermijn van
de gegevens.

Een effectieve bestrijding van huiselijk geweld en kindermishandeling is niet mogelijk
zonder het verwerken van bijzondere persoonsgegevens. Indien artikel 18.4.5, eerste
lid, onderdeel e, IBES niet zou worden aangevuld, zou deze delegatiegrondslag voor
het onderwerp huiselijk en kindermishandeling geweld zinledig zijn.

Naar aanleiding van het advies is de toelichting op verschillende punten aangescherpt.
Zo is uitgebreider toegelicht waarom het verwerken van bijzondere persoonsgegevens
noodzakelijk is en zijn daarbij ook voorbeelden genoemd. Ik ben daarmee van mening
dat de voorgestelde wijziging in de geest van de Wbp BES past. In dit verband wordt
nog opgemerkt dat met de voorgestelde wijziging een delegatiegrondslag wordt aangepast
en dat bij het op grond van die delegatiegrondslag regelen van de gegevensverwerking
in een amvb de Wbp BES uiteraard in acht zal worden genomen. Deze amvb zal ook voor
advies aan de CBP BES worden voorgelegd.

Wellicht ten overvloede merk ik op dat deze wijziging van de IBES niet nodig is voor
het bij amvb regelen van de verwerking van bijzondere persoonsgegevens op het terrein
van maatschappelijke ondersteuning. In het geval van maatschappelijke ondersteuning
zal het veelal gaan over de verwerking van gegevens over gezondheid en daarvoor biedt
artikel 21, eerste lid, Wbp BES een grondslag. Voor zover het in dat kader tevens
nodig is om andere bijzondere persoonsgegevens te verwerken kan dat in bepaalde situaties
op grond van het derde lid van artikel 21 Wbp BES.

De praktijk leert dat er qua wetgeving voor Caribisch Nederland nog steeds sprake
is van een overgangsperiode. Het beleid wordt nog gevormd en de onderwerpen maatschappelijke
ondersteuning en huiselijk geweld en kindermishandeling zijn nog niet voldoende uitgekristalliseerd
om bij wet in formele zin te worden geregeld. De verwachting is dat een amvb over
deze onderwerpen bijdraagt aan het verder brengen hiervan. De werking van deze amvb
in de praktijk kan bijdragen aan de contouren van wetgeving voor een op maat gemaakt
Caribisch stelsel voor zorg, jeugd en maatschappelijke ondersteuning, zie de brief
aan de Tweede Kamer van 29 september jl.26 en het wetgevingsoverzicht bij de brief aan de Tweede Kamer van 22 december 202227.

11.3. Internetconsulatie

Dit wetsvoorstel stond open voor (internet)consultatie van 8 maart tot en met 20 april
2022.

Er zijn 17 reacties ontvangen van burgers, belangenorganisaties en partijen. Het onderdeel
«grondslag gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars»
stond apart open voor (internet)consultatie van 10 augustus tot en met 7 september
2022.28 Hier zijn in totaal acht openbare reacties op ontvangen van onder andere een ziektekostenverzekeraar,
een gemeente en brancheverenigingen. Samenvattend wordt de wenselijkheid en noodzakelijkheid
van het verstevigen en verduidelijken van de grondslagen van gegevensverwerkingen
door verschillende respondenten zoals de Artsenfederatie KNMG en de Veilig Thuis organisaties
onderschreven. Tegelijkertijd zijn er zorgen geuit en kanttekeningen van uiteenlopende
aard geplaatst, waarop hieronder zal worden ingegaan. Alle reacties zijn waardevol
en gewogen. In geval van aanpassing van het wetsvoorstel is steeds gezocht naar de
juiste balans en zijn gemaakte keuzes onderbouwd.

11.3.1 Algemene zorgen over privacy

Een van de respondenten schrijft dat het áltijd gewenst is dat de persoon over wie
het gaat, toestemming geeft. Ook andere respondenten schrijven dat een grotere inbreuk
op de privacy van mensen met een beperking of een hulpvraag onnodig is en dat personen
zouden moeten kiezen met welke instanties informatie gedeeld wordt. Ook wordt aandacht
gevraagd voor waarborgen, zoals dat wordt beperkt wie het dossier in kan zien. Niet
ter discussie staat dat het voor burgers duidelijk moet zijn hoe hun gegevens worden
verwerkt, met wie die worden gedeeld en hoe zorgvuldige omgang wordt gewaarborgd.
Dit is toegelicht in paragraaf 3.8 van deze toelichting. Toestemming is daarvoor echter
niet altijd een geschikte grondslag. Om die reden is er in dit wetsvoorstel voor gekozen
om aan aantal gegevensverwerkingen bij wet te regelen en hier de belangenafweging
te maken tussen enerzijds het recht op privacy en anderzijds het belang dat met de
gegevensverwerking is gediend en voorts te voorzien van kaders en waarborgen.

11.3.2 Inzagerecht

Proportionaliteit

Verschillende respondenten waaronder het Platform Burgerrechten, de Koninklijke Nederlandse
Maatschappij tot bevordering der Tandheelkunde (hierna: KNMT) en de Nederlandse GGZ
vragen aandacht voor de reikwijdte van het noodzakelijkheidscriterium. De huidige
wettekst biedt volgens een aantal respondenten onvoldoende duidelijkheid en waarborgt
daarmee onvoldoende dat alleen gebruik wordt gemaakt van de inzagebevoegdheden (en
het maken van kopieën) wanneer en voor zover dat noodzakelijk en proportioneel is.

Met name bij de «andere meldingen» is voor respondenten onduidelijk in welke gevallen
het noodzakelijk is om inbreuk te maken op het medisch beroepsgeheim. De respondenten
vragen om een omschrijving van de situaties en type andere meldingen waarbij het voorzienbaar
is dat het verstrekken van bijvoorbeeld gegevens over de gezondheid noodzakelijk zou
kunnen zijn.

In de desbetreffende artikelen is aangegeven dat de bevoegdheid geldt voor zover dat
voor de vervulling van de taak van de toezichthoudende ambtenaren noodzakelijk is
en in de toelichting is dit nog eens benadrukt. Per geval moet worden getoetst of
en in hoeverre het gebruikmaken van inzagerecht en andere bevoegdheden noodzakelijk
is. Afschriften worden bijvoorbeeld alleen gemaakt indien noodzakelijk, bijvoorbeeld
ten behoeve van zorgvuldig onderzoek of als bewijs. Daarbij worden de kopieën zoveel
als mogelijk direct geanonimiseerd, indien cliëntgegevens niet (meer) nodig zijn.
Als gevolg van deze reactie zijn in de toelichting een aantal voorbeelden opgenomen
om dit te illustreren.

In dit kader wordt voorts aangegeven dat met dit wetsvoorstel aan de met toezicht
belaste ambtenaren de bevoegdheid wordt gegeven «kopieën te maken van dossiers en
indien dat niet ter plaatse kan geschieden, de dossiers voor dat doel voor korte tijd
mee te nemen.» Er wordt aandacht gevraagd voor het risico dat dossiers kwijtraken
en er wordt gepleit voor een veilige oplossing.

De inspecties voeren hun toezicht in beginsel zo uit dat het inzien van een dossier
voldoende is. Alleen wanneer het maken van een afschrift noodzakelijk, maar ter plaatse
onmogelijk is, wordt het dossier fysiek meegenomen. In de praktijk komt het zelden
voor dat een dossier moet worden meegenomen. Dit gebeurt uitsluitend voor de periode
die nodig is om veilig kopieën te kunnen maken en is in de wet geborgd door middel
van het noodzakelijkheidsvereiste.

Bewaar- en vernietigingstermijnen

Platform Burgerrechten schrijft dat de gegevens na afronding van het onderzoek naar
een melding moet worden verwijderd en dat dit zou moeten worden uitgewerkt in regelgeving.

De bewaartermijnen voor de inspecties zijn vastgelegd in de concernbrede selectielijst29. Indien er geen wettelijke interventie volgt na een melding geldt een termijn van
10 jaar na afhandeling van een dossier. Indien er wel een wettelijke interventie volgt
geldt een termijn van 15 jaar na afhandeling van een dossier. Daarnaast geldt de noodzakelijkheidseis.
Op basis daarvan worden – zoals eerder toegelicht – kopieën uit dossiers bijvoorbeeld
geanonimiseerd wanneer de cliëntgegevens niet (meer) noodzakelijk zijn.

Dwangsommen

Specifiek wordt gevraagd naar de verhouding tussen het nieuwe artikel 6.1a Wmo 2015
(oplegging last onder dwangsom) en de bevoegdheid uit artikel 5:20, derde lid, Awb
(in samenhang met 5:32, eerste lid, Awb) ter handhaving van de medewerkingsplicht.

Ook wordt gevraagd wat er wordt bedoeld met de zinssnede: «Of het vorderen van inlichtingen
ter zake» in het nieuwe art. 6.1, tweede lid, Wmo 2015 en hoe dit zich materieel onderscheidt
van artikel 5:16 Awb.

In de Awb is een apart hoofdstuk over toezicht op de naleving opgenomen, waarin meerdere
bevoegdheden zijn toegekend aan toezichthouders. De IGJ als toezichthouder kan ook
gebruik maken van deze bevoegdheden. Echter, in artikel 5:20, tweede lid, van de Awb
is bepaald dat personen die een geheimhoudingsplicht hebben, hun medewerking aan toezichthouders
kunnen weigeren. Beroepsbeoefenaren of hulpverleners hebben een zodanige geheimhoudingsplicht
ten aanzien van gezondheidsgegevens van cliënten of patiënten. Voor het houden van
toezicht is toegang tot deze gegevens echter noodzakelijk voor de IGJ. Om die reden
zijn in de volksgezondheidswetten deze bevoegdheden voor de IGJ apart opgenomen. Gelet
hierop was het ook noodzakelijk om naast artikel 5:16 Awb, artikel 6.1, tweede lid,
Wmo 2015 op te nemen. Overigens is het nieuwe artikel 6.1, tweede lid, Wmo 2015 gelijkluidend
aan de nieuwe bepalingen die eveneens zijn opgenomen in de Jeugdwet, de Wlz, de Wkkgz
en vele andere volksgezondheidswetten.

Daarnaast is in de huidige wetten opgenomen dat een last onder dwangsom kan worden
opgelegd in het geval de IGJ wordt belemmerd haar inzagerecht uit te oefenen. Het
is inderdaad niet nodig om deze handhavingsbevoegdheid in deze wetten te regelen,
omdat artikel 5:20, derde lid, Awb hier reeds in voorziet. De handhavingsbevoegdheid
wordt daarom uit de betreffende artikelen gehaald. Daarnaast zijn nieuw ingevoegde
handhavingsbevoegdheden, waaronder het nieuwe artikel 6.1a, uit het wetsvoorstel gehaald.

11.3.3 Kindertelefoon, luisterlijn en chat Veilig Thuis

Anonimiteit en versleuteling

Een van de respondenten vindt het opvallend dat de kindertelefoon en de luisterlijn
niet meer anoniem gebeld kunnen worden en stelt voor de artikelen zo te formuleren
dat zowel anoniem als niet anoniem contact mogelijk is, afhankelijk van de manier
waarop de beller/mailer contact opneemt. Ook de Veilig Thuis organisaties benoemen
dat de chatter veelal van anonimiteit zal uitgaan, terwijl er van hem/haar wel degelijk
(indirect) tot de persoon herleidbare gegevens worden geregistreerd.

De huidige mate van vertrouwelijkheid in de praktijk blijft onverkort van toepassing.
Anonimiteit als bedoeld in de AVG is echter niet mogelijk. De gegevens zijn wel zo
veel als mogelijk ontdaan van herleidbare gegevens en er kunnen gesprekken worden
gevoerd zonder dat die direct herleidbaar zijn naar een persoon. De hulplijnen verschaffen
hierover reeds via o.a. hun websites zo duidelijk mogelijke informatie.

11.3.4 Veilig Thuis

Volgens de Veilig Thuis organisaties is van belang dat alleen persoonsgegevens worden
verwerkt en gedeeld als dat strikt noodzakelijk is, de informatie volledig wordt geanonimiseerd
en dus niet herleidbaar is tot een te identificeren casus. En dat oneigenlijk gebruik
van de verstrekte persoonsgegevens door Veilig Thuis wordt voorkomen. De Veilig Thuis
organisaties missen in de toelichting bij het wetsvoorstel dat oog is voor de hiervoor
geschetste context en urgentie hiervan.

Artikel 4.3.2 van het Uitvoeringsbesluit Wmo 2015 bepaalt welke gegevens verstrekt
worden. De uitwerking in het (van de Uitvoeringsregeling Wmo 2015 deel uitmakende)
informatieprotocol beschrijft hoe de structurele verstrekking verloopt en dat een
incidentele verstrekking geen persoonsgegevens bevat. De toelichting op dit onderdeel
is aangevuld om deze context beter te schetsen.

Verder ziet Veilig Thuis een knelpunt in artikel 4.2.12 Wmo 2015. Dat artikel ziet
zowel op het verstrekken van informatie ten behoeve van beleidsinformatie als op verstrekking
van gegevens voor «gevalsbehandeling». Hierdoor zou de suggestie kunnen worden gewekt
dat de verstrekte persoonsgegevens ten behoeve van beleid ook kunnen worden aangewend
voor gevalsbehandeling. Veilig Thuis vindt het raadzaam om geen wettelijke grondslag
te bieden voor het verstrekken van gegevens ten behoeve van gevalsbehandeling of om
het verstrekken van die gegevens in elk geval met dezelfde of vergelijkbare waarborgen
te omkleden die gelden voor het verstrekken van gegevens (waaronder het BSN) voor
beleidsinformatie via het CBS. Het gaat hier inderdaad om twee verschillende doelen.
Om dit te verduidelijken is dat nu expliciet in het paragraaf 2.4 van deze toelichting
benoemd.

11.3.5 Gegevensuitwisseling tussen gemeenten, zorgkantoren en zorgverzekeraars

Meerdere reacties betreffen de volgordelijkheid van de begrippen «signalen (IKZ),
fraudeonderzoek en gerechtvaardigde overtuiging (Waarschuwingsregister)» van fraude
in de zorg. De reacties beschrijven dat het niet helder is op basis van welke criteria
het onderzoek van de ene fase overgaat in de andere fase. Daarnaast wordt in de reacties
het verzoek gedaan om het begrip «vermoeden van fraude in de zorg» en de afbakening
met de andere situaties van het wetsvoorstel nader te preciseren. Mede naar aanleiding
van de ontvangen reacties zijn in de toelichting de begrippen verder uitgewerkt. Op
het moment van consultatie bestond het wetsvoorstel uit twee onderdelen. Daarna is
een derde onderdeel toegevoegd (nu onderdeel B). Het betreft een grondslag voor gegevensuitwisseling
wanneer er sprake is van een fraudeonderzoek. De samenhang tussen de verschillende
onderdelen is in de toelichting specifieker toegelicht en voorzien van een voorbeeld.
Hiermee is tegemoet gekomen aan de belangrijkste reacties over dit onderwerp.

Een reactie sprak zorgen uit over het medisch beroepsgeheim. In de toelichting is
naar aanleiding hiervan in de verduidelijkt dat voorliggend voorstel geen doorbreking
van het medisch beroepsgeheim mogelijk maakt.

De VNG heeft aangegeven dat het nodig is dat ook bijzondere persoonsgegevens worden
uitgewisseld om fraude in de uitvoeringspraktijk aan te kunnen pakken en verzoekt
dit expliciet te noemen in de wettekst. Op basis van de voorgestelde wettekst is het
mogelijk om bijzondere persoonsgegevens te delen30. Voor de Wbsrz als geheel geldt echter, gezien het voorgestelde artikel 1.2, dat
op grond van het wetsvoorstel geen gegevens worden verstrekt indien op deze gegevens
een geheimhoudingsplicht rust. Artikel 1.2 is daarmee ook van toepassing op hetgeen
met dit onderdeel van het wetsvoorstel ingevoegd wordt in de Wbsrz. Bij amvb wordt
bepaald welke (bijzondere) persoonsgegevens tussen de instanties worden uitgewisseld.
Hierbij wordt aangesloten bij de systematiek die ook geldt voor het Waarschuwingsregister
en het IKZ.

Tot slot zijn er enkele reacties ontvangen die betrekking hebben op de waarborgen
die gelden met betrekking tot mogelijk datalekken. Dit onderdeel van het wetsvoorstel
regelt een wettelijke grondslag voor het delen van gegevens, waaronder persoonsgegevens
bij een fraudeonderzoek. Met het geheel van maatregelen en waarborgen waarmee de inbreuk
op privacy en de mogelijke gevolgen daarvan voor betrokken steeds tot een minimum
wordt beperkt, is voorzien in passende maatregelen. Het gaat dan onder andere om de
in het algemeen geldende strikte voorwaarden voor de gegevensverwerking, procedurele
voorschriften en vereisten. De verantwoordelijkheden in het geval van een inbreuk
in verband met persoonsgegevens (een datalek), zoals het doen van een melding bij
de AP en aan betrokkene(n), volgt uit de bepalingen uit de AVG.

12. Fraudetoets

Dit wetsvoorstel brengt geen verhoogd risico op fraude met zich mee. Door het regelen
van een wettelijke grondslag om gegevens te kunnen uitwisselen over de zorgdomeinen
heen worden gemeenten en ziektekostenverzekeraars beter in staat gesteld hun controletaak
op het rechtmatig declareren van de zorg beter uit te voeren. Op termijn verlaagt
dit juist het risico op fraude.

II. Artikelsgewijze toelichting

Artikelen I, onderdelen A en C en III, onderdelen B, I (onder 2) en J

Deze onderdelen gaan over de kindertelefoon (artikel I, onderdelen A en C), de luisterlijn
(artikel III, onderdelen B en J) en de chatfunctie van Veilig Thuis (artikel III,
onderdeel I, onder 2). Voor deze wijzigingen wordt verwezen naar paragraaf 2.3 van
het algemeen deel van de toelichting.

Artikel I, onderdeel B

Dit betreft een technische wijziging. In het huidige artikel 1a.2, vierde lid, van
de Jeugdwet is «persoonsgegevens betreffende de gezondheid en strafrechtelijke persoonsgegevens»
opgenomen. In artikel 1.1 zijn de begrippen «gegevens over gezondheid» en «persoonsgegevens
van strafrechtelijke aard» echter gedefinieerd. Voor deze begrippen wordt in voornoemd
artikel verwezen naar de AVG en de UAVG. Aangezien deze begrippen reeds zijn gedefinieerd,
kunnen ze in de gehele Jeugdwet worden gebruikt.

Artikelen I, onderdelen D en E, II, onderdeel A en C, III, onderdelen C, G, H en M,
IV, V, VI, VII, VIII, onderdelen B en C, IX, X, XI, onderdeel B, XII en XIII

In verscheidene wetten, waarvan wordt voorgesteld deze te wijzigen met de hier genoemde
artikelen en onderdelen van artikelen, is de bevoegdheid van de IGJ31 opgenomen om patiënten- en cliëntendossiers in te zien. Op grond van artikel 5:17,
eerste lid, van de Awb zijn toezichthouders ook bevoegd om inzage te vorderen. Deze
bevoegdheid is echter beperkt tot het inzien van zakelijke gegevens en bescheiden
en om die reden is in verscheidene wetten op het terrein van volksgezondheid het inzagerecht
uitgebreid naar ook patiënten- en cliëntendossiers32. Hiermee is bedoeld om de IGJ ten aanzien van patiënten- en cliëntendossiers vergelijkbare
bevoegdheden te verschaffen als opgenomen in de artikelen 5:16 en 5:17 Awb. In deze
artikelen zijn het recht om inlichtingen te vorderen (artikel 5:16), het recht om
inzage te vorderen (artikel 5:17, eerste lid) en het recht om kopieën te maken (artikel
5:17, tweede lid) opgenomen. In de huidige artikelen waarin het inzagerecht van de
IGJ is neergelegd, is echter enkel «inzage» opgenomen. De regering heeft eerder aangegeven33 dat dit de suggestie zou kunnen wekken dat de wettelijke grondslag enkel ziet op
de bevoegdheid van de IGJ om dossiers in te zien, zoals is bepaald in artikel 5:17,
eerste lid, van de Awb. Om die reden is aan de Eerste Kamer de toezegging gedaan34 om de wetten waarin de inzagebevoegdheid is opgenomen, aan te passen. Om elke onduidelijkheid
weg te nemen wordt in de hier genoemde artikelen en onderdelen opgenomen dat de bevoegdheden,
bedoeld in de artikelen 5:16 en 5:17 Awb mede betrekking hebben op dossiers of andere
gegevens waar de betreffende wet betrekking op heeft. De voorgestelde wijzigingen
houden dus geen materiële wijziging in, maar zijn slechts een verduidelijking van
het inzagerecht.

Om de leesbaarheid te vergroten zijn de huidige leden van artikelen die over voornoemde
bevoegdheden van de IGJ gaan opgesplitst in twee leden. Dat het uitoefenen van deze
bevoegdheden door de IGJ kan betekenen dat de beroepsbeoefenaar of de zorgverlener
verplicht is zijn medisch beroepsgeheim te doorbreken en als dat het geval is dat
vervolgens de ambtenaren van de IGJ een geheimhoudingsplicht hebben ten aanzien van
deze gegevens, wordt in een apart lid opgenomen. Hierbij is gekozen voor een genderneutrale
formulering die in lijn is met de formulering in artikel 5:20 Awb.

Daarnaast is in de huidige wetten opgenomen dat een last onder dwangsom kan worden
opgelegd in het geval de IGJ wordt belemmerd haar inzagerecht uit te oefenen. Het
gaat om artikel 9.5, derde lid, Jeugdwet (artikel I, E), artikel 29, tweede lid, Wkkgz
(artikel II, C), artikel 4.3.3, derde lid, Wmo 2015 (artikel III, H), artikel 100a,
onderdeel b, Wet BIG (artikel IV, B), artikel 39, derde lid, Gezondheidswet (artikel
V), artikel 10.4.3, Wlz (artikel VIII, C), artikel 116a Geneesmiddelenwet (artikel
IX, B), artikel 10a Wet donorgegevens kunstmatige bevruchting (artikel X, B) en artikel
4.2, vijfde lid, Wegiz (artikel XII). Het is niet nodig om in deze wetten een handhavingsbevoegdheid
te regelen, omdat de medewerkingsplicht, bedoeld in artikel 5:20, eerste lid, Awb,
geldt ten aanzien van alle bevoegdheden die aan een toezichthouder zijn toegekend
en dus ook de medewerking aan het in een specifieke wet neergelegde inzagerecht van
de IGJ omvat. Artikel 5:20, derde lid, Awb voorziet daarvoor reeds in een handhavingsbevoegdheid.35 De handhavingsbevoegdheid wordt daarom uit de hiervoor genoemde artikelen gehaald.
Als gebruik wordt gemaakt van de handhavingsbevoegdheid, bedoeld in artikel 5:20,
derde lid, kan artikel 5:20, tweede lid, niet worden tegengeworpen indien in een specifieke
wet is bepaald dat een beroepsbeoefenaar, in afwijking van artikel 5:20, tweede lid,
Awb, zich niet op het medisch beroepsgeheim kan beroepen tegenover de ambtenaren van
de IGJ.

De wijzigingen in de verschillende wetten komen op hetzelfde neer. De wijziging van
de Wvggz en de Wzd behoeft echter een aparte toelichting.

Net als bij de andere wetswijzigingen waarin het artikellid over het inzagerecht wordt
aangepast, leiden de wijzigingen van artikel 13:1 Wvggz en van artikel 60 Wzd op dit
punt ook tot twee artikelleden in plaats van een.

Het huidige vierde lid van de artikelen 13:1 Wvggz en artikel 60 Wzd bepaalt dat de
zorgaanbieder, geneesheer-directeur, de zorgverantwoordelijke en alle andere betrokkenen
verplicht zijn aan de toezichthouders alle door hen verlangde inlichtingen te verstrekken.
Met het nieuwe derde lid van de artikelen 13:1 Wvggz en 60 Wzd wordt echter expliciet
bepaald dat de aan de toezichthouder toekomende bevoegdheden, bedoeld in de artikelen
5:16 en 5:17 Awb mede betrekking hebben op dossiers. Dit komt op hetzelfde neer. Immers,
ook hier vloeit een verplichting uit voort voor voornoemde partijen om de door de
toezichthouder verlangde inlichtingen te verstrekken. Om die reden kunnen de huidige
vierde leden van de artikelen 13:1 Wvggz en 60 Wzd komen te vervallen. Zoals uit het
voorgaande blijkt, kan bij het uitoefenen van de bevoegdheden van de IGJ sprake zijn
van het doorbreken van het medisch beroepsgeheim en vervolgens van een geheimhoudingsplicht
voor de ambtenaren van de IGJ. Deze beide gevolgen worden opgenomen in het nieuwe
vierde lid van de artikelen 13:1 Wvggz en 60 Wzd.

Overigens wordt met deze wijziging de geheimhoudingsplicht die op de IGJ rust enkel
verduidelijkt en heeft dit materieel geen gevolgen.

Artikel II, onderdeel B

Met dit onderdeel worden zorgaanbieders en zorgverleners verplicht om bij en naar
aanleiding van een andere melding (bijzondere categorieën van) persoonsgegevens en
persoonsgegevens van strafrechtelijke aard te verstrekken aan de IGJ als dit noodzakelijk
is om een andere melding te kunnen onderzoeken. Er is bewust aangesloten bij een soortgelijke
bepaling over verplichte meldingen, artikel 11, tweede lid, Wkkgz. Deze wijziging
is toegelicht in paragraaf 2.2 van het algemeen deel van de toelichting.

Artikel II, onderdeel C

Met betrekking tot verplichte meldingen (artikel 11, eerste lid, Wkkgz) zijn de zorgaanbieder
en zorgverleners verplicht aan de IGJ (bijzondere categorieën van) persoonsgegevens
te verstrekken als deze noodzakelijk zijn voor het door de IGJ te verrichten onderzoek.
In artikel 29, tweede lid, is bepaald dat in het geval de zorgaanbieder of zorgverlener
geen gehoor geven aan deze verplichting, aan hen een last onder dwangsom kan worden
opgelegd. Met artikel II, onderdeel B, wordt in dit wetsvoorstel voorgesteld dat een
zorgaanbieder of zorgverlener ook in het geval er sprake is van een andere melding
verplicht is aan de IGJ (bijzondere categorieën van) persoonsgegevens te verstrekken
als dit noodzakelijk is om de andere melding te kunnen onderzoeken.

Voorgesteld wordt artikel 29, tweede lid, Wkkgz zo aan te passen dat ook aan de zorgaanbieder
en de zorgverlener een last onder dwangsom kan worden opgelegd als zij geen gegevens
verstrekken aan de IGJ in het kader van het onderzoeken van een andere melding. De
last onder dwangsom kan zowel aan de zorgverlener als zorgaanbieder worden opgelegd,
omdat beiden verplicht zijn om gegevens aan de IGJ te verstrekken in het kader van
het onderzoeken van een andere melding. Hiervoor is gekozen omdat de dossierplicht
en geheimhoudingsplicht in de eerste plaats op de zorgverlener rust, maar ook de zorgaanbieder
hier, bijvoorbeeld ten aanzien van de verantwoordelijkheid voor faciliteiten voor
het bewaren van de dossiers, een rol in kan hebben.

Artikel III

Onderdeel A

Deze wijziging van de begripsbepaling van dossier betreft het herstellen van een omissie
die is ontstaan op het moment dat de regeling met betrekking tot het advies en meldpunt
voor huiselijk geweld en kindermishandeling (AMHK) werd overgeheveld van de Jeugdwet
naar de Wmo 2015 (Kamerstukken II, 2013/14, 33 841, nr. 35). Bij die gelegenheid is een begripsomschrijving van dossier in de Wmo 2015 terechtgekomen
die was toegesneden op (alleen) het AMHK (thans Veilig Thuis), waarbij abusievelijk
is nagelaten te bezien of dit begrip voldoende aansloot op de gebruikte termen in
andere onderdelen Wmo 2015.

Het begrip dossier komt in de Wmo 2015 – behalve bij de taken van Veilig Thuis – ook
terug binnen het toezicht op de maatschappelijke ondersteuning dat door de gemeente
wordt uitgevoerd en bij de door het UWV uitgevoerde tolkvoorzieningen, bedoeld in
artikel 3a.1.1 Wmo 2015. Met onderhavige wijziging wordt het begrip dossier hierop
aangepast.

Onderdeel D

Met dit onderdeel wordt voorgesteld om de omschrijving van de taak van Veilig Thuis
in artikel 4.1.1, tweede lid, onderdeel e, aldus aan te passen, dat die taak ook voorziet
in het delen van informatie door Veilig Thuis met andere partijen dan alleen de politie
en de raad voor de kinderbescherming. Veilig Thuis kan op grond van het voorgestelde
onderdeel, in verbinding met artikel 5.1.6, tweede lid, Wmo 2015, ook persoonsgegevens,
waaronder bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke
aard, verstrekken aan het openbaar ministerie, de reclassering en Slachtofferhulp
Nederland, indien het belang van de betrokkene dan wel de ernst van de situatie waarop
de melding betrekking heeft daartoe aanleiding geeft. Dit is cruciaal voor een goede
aanpak van huiselijk geweld en kindermishandeling, waarin de veiligheid van de slachtoffers
op het spel staat en deze informatiedeling een wezenlijke bijdrage kan leveren aan
het maken van een goede inschatting van de (on)veiligheid en aan het herstel van de
veiligheid van het slachtoffer.

Het spreekt voor zich dat Veilig Thuis alleen gegevens verstrekt indien deze verstrekking
noodzakelijk is. Er zal dus altijd een zorgvuldige belangenafweging vooraf plaatsvinden
waarbij Veilig Thuis beoordeelt of gegevensverstrekking in een concreet geval noodzakelijk
is.

Onderdeel E

Deze technische wijziging betreft het in diverse artikelen van de Wmo 2015 doorvoeren
van de correcte benaming van de ter zake (mede)verantwoordelijke Minister (i.e. de
Minister voor Rechtsbescherming).

Onderdeel F

Algemeen

Dit onderdeel ziet op de wijziging van artikel 4.2.12 Wmo 2015. Met de voorgestelde
wijziging wordt de grondslag voor het verstrekken van gegevens door een Veilig Thuis-organisatie
aan het college, de Minister van Volksgezondheid, Welzijn en Sport en aan de Minister
voor Rechtsbescherming ten behoeve van beleidsinformatie en de grondslag voor het
verstrekken van persoonsgegevens aan het college met als doel dat het college kan
beoordelen of een bepaalde voorziening nodig is (de zgn. «gevalsbehandeling»), verduidelijkt.
In het thans geldende artikel 4.2.12 Wmo 2015 wordt slechts verwezen naar artikelen
in de Jeugdwet. Het gaat echter bij het verstrekken van gegevens voor beleidsinformatie
inzake Veilig Thuis en bij het verstrekken van persoonsgegevens inzake «gevalsbehandeling»
niet alleen om gegevens inzake kindermishandeling, maar ook om gegevens in gevallen
van huiselijk geweld waarbij geen jeugdigen betrokken zijn. Om die reden wordt voorgesteld
artikel 4.2.12 Wmo 2015 aldus te wijzigen dat daarin is geëxpliciteerd dat dit ook
betrekking heeft op gegevensverstrekking inzake huiselijk geweld.

Gegevens ten behoeve van beleidsinformatie, het voorgestelde eerste en tweede lid

Volgens artikel 4.2.12, eerste lid, Wmo 2015, verstrekt Veilig Thuis gegevens ten
behoeve van de verwerking, bedoeld in artikel 7.4.1 van de Jeugdwet en is op die gegevens
op grond van artikel 4.2.12, tweede lid, Wmo 2015 artikel 7.4.4 van de Jeugdwet van
overeenkomstige toepassing. Artikel 7.4.1 van de Jeugdwet bevat een grondslag voor
de verwerking van gegevens inzake Veilig Thuis door de Ministers van VWS, de Minister
voor Rechtsbescherming en het college voor beleidsdoeleinden en voor genoemde Ministers
om hun stelselverantwoordelijkheid te kunnen waarborgen. Artikel 7.4.4, eerste lid,
van de Jeugdwet brengt mee dat de te verwerken gegevens ook persoonsgegevens kunnen
zijn, voor zover deze gegevens noodzakelijk zijn voor de in dat artikellid genoemde
doelen. Aangezien die doelen echter op het terrein van de Jeugdwet liggen en door
Veilig Thuis ook gegevens inzake huiselijk geweld worden verstrekt in gevallen waarin
geen jeugdigen zijn betrokken, is artikel 4.2.12 Wmo 2015 niet helemaal sluitend.
Met de voorgestelde wijzigingen van artikel 4.2.12, eerste en tweede lid, Wmo 2015
wordt wat betreft de gegevens voor beleidsinformatie de verwijzing naar de Jeugdwet
vervangen door een eigenstandige grondslag voor het verstrekken van gegevens voor
beleidsinformatie Veilig Thuis (eerste lid). Het kan daarbij om persoonsgegevens gaan
voor zover de gegevens noodzakelijk zijn voor het verkrijgen van een landelijk, regionaal
en lokaal geaggregeerd inzicht in de handelwijze van Veilig Thuis-organisaties naar
aanleiding van meldingen van huiselijk geweld of kindermishandeling en in de resultaten
van die handelwijze (tweede lid), waarbij geldt dat dit inzicht niet herleidbaar is
tot individuele personen (zie artikel 37, derde lid, Wet op het Centraal bureau voor
de statistiek). Volgens artikel 4.2.12, tweede lid, Wmo 2015 in verbinding met artikel
7.4.4, tweede lid, Jeugdwet, kan het bij die verstrekking van persoonsgegevens gaan
om het BSN, om bijzondere categorieën van persoonsgegevens en om persoonsgegevens
van strafrechtelijke aard gaan. Met het voorgestelde artikel 4.2.12, tweede lid, wordt
ervoor gekozen om geen grondslag op te nemen voor de verstrekking van alle bijzondere
categorieën van persoonsgegevens, maar alleen voor die categorieën waarvoor verstrekking
noodzakelijk kan zijn. De grondslag voor verstrekking van persoonsgegevens van strafrechtelijke
aard is één op één overgenomen uit artikel 7.4.4, tweede lid, van de Jeugdwet. Dat
het bij die verstrekking van persoonsgegevens ook om het BSN kan gaan, volgt uit het
voorgestelde artikel 5.2.9, tweede lid, Wmo 2015. Alleen door middel van verstrekking
van het BSN van betrokkenen door Veilig Thuis aan het CBS kan middels onderzoek structureel
inzichtelijk worden gemaakt wat de aanpak van Veilig Thuis is bij een melding van
huiselijk geweld of kindermishandeling. Welke meldingen worden door Veilig Thuis bijvoorbeeld
onderzocht? Wanneer wordt na een melding van kindermishandeling bij Veilig Thuis als
vervolgtraject jeugdhulp ingezet voor een jeugdige of zijn ouder? In welke gevallen
wordt de raad voor de kinderbescherming ingeschakeld? Wanneer wordt de politie ingeschakeld?
Heeft dit de veiligheidssituatie verbeterd of heeft bijvoorbeeld nog een hermelding
plaatsgevonden? Deze informatie is noodzakelijk om te kunnen beoordelen of de Veilig
Thuis-aanpak en de eventueel daaropvolgende keten- of netwerkaanpak doelmatig en doeltreffend
is geweest.

Gegevens inzake «gevalsbehandeling», het voorgestelde derde lid

Volgens het thans geldende artikel 4.2.12, eerste lid, Wmo 2015, verstrekt Veilig
Thuis gegevens ten behoeve van de verwerking, bedoeld in artikel 7.4.0 van de Jeugdwet
aan het college. Dit betekent dat een Veilig Thuis-organisatie persoonsgegevens van
een jeugdige of van diens ouders, waaronder het BSN van de jeugdige, kan verstrekken,
op grond waarvan het college kan beoordelen of een bepaalde voorziening van jeugdhulp
nodig is. Met de voorgestelde wijziging van artikel 4.2.12 Wmo 2015 wordt een verwijzing
naar artikel 5.1.1, eerste tot en met derde lid, Wmo 2015 toegevoegd, zodat de grondslag
ook geldt voor het verstrekken van persoonsgegevens in gevallen van huiselijk geweld
waarbij geen jeugdigen betrokken zijn. Daarnaast zorgt de voorgestelde wijziging van
artikel 5.2.9, tweede lid, Wmo 2015 ervoor dat deze persoonsgegevens ook het BSN kunnen
betreffen. Zie daarover verder de artikelsgewijze toelichting op de wijziging van
artikel 5.2.9 Wmo 2015 (artikel III, onderdeel K).

Onderdeel I (onder 1)

Voorgesteld wordt om de grondslag voor verwerking van persoonsgegevens door Veilig
Thuis in artikel 5.1.6, tweede lid, Wmo 2015 te verbeteren door naast gegevens over
gezondheid ook andere bijzondere categorieën van persoonsgegevens en persoonsgegevens
van strafrechtelijke aard op te nemen en «gegevens over huiselijk geweld en kindermishandeling»
te laten vervallen.

Bijzondere categorieën van persoonsgegevens

Artikel 5.1.6, tweede lid, Wmo 2015 bepaalt dat Veilig Thuis bevoegd is persoonsgegevens,
waaronder gegevens over gezondheid, huiselijk geweld of kindermishandeling te verwerken,
indien uit een melding redelijkerwijs een vermoeden van huiselijk geweld of kindermishandeling
kan worden afgeleid en de verwerking noodzakelijk is te achten voor de uitoefening
van de taken, bedoeld in artikel 4.1.1, tweede lid. Gegevens over de gezondheid betreffen
een bijzondere categorie van persoonsgegevens. Bijzondere categorieën van persoonsgegevens
zijn verder persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen,
religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond
blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog
op de unieke identificatie van een persoon, of gegevens met betrekking tot iemands
seksueel gedrag of seksuele gerichtheid (zie artikel 9, eerste lid, AVG). Artikel
5.1.6, tweede lid, Wmo 2015 is in werking getreden onder de voorheen geldende Wet
bescherming persoonsgegevens (hierna: Wbp). In de Wbp werden persoonsgegevens van
strafrechtelijke aard niet, zoals thans in artikel 10 AVG, als aparte categorie persoonsgegevens
aangemerkt, maar vielen zij onder de bijzondere persoonsgegevens, bedoeld in hoofdstuk
2, paragraaf 2, Wbp.

Uit de parlementaire geschiedenis over artikel 5.1.6 Wmo 2015 kan worden afgeleid,
dat het de bedoeling van de wetgever is geweest dat dat artikel niet alleen een grondslag
biedt voor de verwerking van de bijzondere categorie gegevens over gezondheid, maar
ook bijvoorbeeld over het seksuele leven.36 Het blijkt in de praktijk ook noodzakelijk te zijn om bijvoorbeeld indien er naar
aanleiding van een melding een redelijk vermoeden bestaat van kindermisbruik gegevens
inzake de seksuele gerichtheid of het seksuele gedrag van de vermoedelijke pleger
te verwerken. Ook kan het noodzakelijk zijn om gegevens over de seksuele gerichtheid
van een jeugdige te verwerken indien deze seksuele gerichtheid aanleiding is (geweest)
tot kindermishandeling. Dit laatste komt bijvoorbeeld voor in het geval de homoseksuele
geaardheid van de jeugdige vanuit een religieuze opvatting niet gewenst is. In een
dergelijk geval is het ook noodzakelijk voor Veilig Thuis om persoonsgegevens te verwerken
waaruit die religieuze overtuiging blijkt. Daarnaast kan het noodzakelijk zijn om
gegevens te verwerken waaruit ras of etnische afkomst blijken. Door verschil in culturele
achtergronden kunnen er bijvoorbeeld spanningen ontstaan binnen een gezin Voor het
onderzoek en het bepalen van de vervolgstappen is deze context, waarin ook politieke
opvattingen een rol spelen, relevant. Met deze voorgestelde aanpassing wordt verduidelijkt
dat Veilig Thuis niet alleen gegevens inzake gezondheid mag verwerken, maar ook een
aantal andere bijzondere categorieën van persoonsgegevens, indien dit voor de uitvoering
van haar taken naar aanleiding van een melding noodzakelijk is.

Persoonsgegevens van strafrechtelijke aard

Onder persoonsgegevens over huiselijk geweld of kindermishandeling in het thans geldende
artikel 5.1.6, tweede lid, Wmo 2015, kunnen ook persoonsgegevens van strafrechtelijke
aard worden verstaan. Met de voorgestelde aanpassing wordt dat verduidelijkt. Veilig
Thuis ontvangt persoonsgegevens van strafrechtelijke aard onder andere van ketenpartners,
zoals de politie, het openbaar ministerie, de reclassering en Halt. Artikel 10 AVG
vereist een wettelijke grondslag voor de verwerking van die gegevens door Veilig Thuis.
Artikel 33, eerste lid, onderdeel a, UAVG bepaalt voor zover hier relevant dat persoonsgegevens
van strafrechtelijke aard mogen worden verwerkt, indien de verwerking geschiedt door
verwerkingsverantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens
of de Wet justitiële en strafvorderlijke gegevens. De voorgestelde aanpassing van
de verwerkingsgrondslag in artikel 5.1.6, tweede lid, Wmo 2015, met persoonsgegevens
van strafrechtelijke aard zorgt ervoor dat verduidelijkt wordt dat Veilig Thuis ook
persoonsgegevens van strafrechtelijke aard mag verwerken buiten het in artikel 33,
eerste lid, onderdeel a, UAVG genoemde geval. Zo kan Veilig Thuis ook persoonsgegevens
van strafrechtelijke aard verwerken die zij van Halt en de reclassering ontvangt.
Vereist is daarbij steeds dat verwerking alleen is toegestaan indien uit een melding
een redelijk vermoeden van huiselijk geweld of kindermishandeling wordt afgeleid en
de verwerking van die gegevens noodzakelijk is. Het kan voor Veilig Thuis noodzakelijk
zijn om persoonsgegevens van strafrechtelijke aard te verwerken om een inschatting
te kunnen maken van de veiligheid van de betrokkene(n) en van professionals die in
contact treden met betrokkene(n) en om te beoordelen welke veiligheidsmaatregelen
eventueel nodig zijn. Zo wordt informatie over een eerdere aangifte van huiselijk
geweld meegewogen in de veiligheidsbeoordeling. Daarnaast kan informatie over een
eerdere veroordeling voor wapengebruik of -bezit van belang zijn voor de veiligheidsbeoordeling,
maar ook voor de (zorg)professional die contact heeft met de betrokkene(n) in verband
met veiligheidsrisico’s. Ook kunnen eerdere veroordelingen voor rijden onder invloed
een redelijk vermoeden van huiselijk geweld door overmatig alcoholgebruik ondersteunen.
Voorts kan informatie over een invrijheidsstelling met schorsende voorwaarden van
belang zijn voor zowel de veiligheidsbeoordeling als voor de beoordeling welke veiligheidsmaatregelen
moeten worden ingezet. Tot slot kan het indien er een redelijk vermoeden bestaat dat
iemand een huisgenoot fysiek mishandelt noodzakelijk zijn om te registreren dat tegen
de vermoedelijke pleger van dat huiselijk geweld al eerder een verdenking van een
geweldsdelict is gerezen of dat hij daarvoor al eerder is veroordeeld. Voorop staat
dat het steeds moet gaan om een persoonsgegeven van strafrechtelijke aard waarvan
de verwerking noodzakelijk wordt geacht voor het uitvoeren van de taken door Veilig
Thuis.

Onderdeel K

Met de voorgestelde wijziging van artikel 5.2.9 Wmo 2015 wordt een technische fout
hersteld. Het eerste lid van dat artikel regelt dat een aantal instanties, waaronder
Veilig Thuis, het BSN van een persoon gebruiken met het doel te waarborgen dat de
in het kader van de uitvoering van de Wmo 2015 te verwerken persoonsgegevens op die
persoon betrekking hebben. Echter, in dat artikellid wordt verwezen naar artikelen
uit paragraaf 5.2 van de Wmo 2015, die geen van allen op Veilig Thuis betrekking hebben.
Voorgesteld wordt om het gebruik van het BSN door Veilig Thuis in een nieuw tweede
lid op te nemen. Het BSN wordt gebruikt om persoonsverwisseling te voorkomen. De gevolgen
van persoonsverwisseling kunnen voor degenen die het betreft, en eventuele slachtoffers,
zeer ernstig zijn. Ook kan persoonsverwisseling ertoe leiden dat de situatie ernstiger
of juist te licht wordt ingeschat hetgeen kan leiden tot onterecht zwaar ingrijpen,
of juist onvoldoende bescherming van slachtoffers.

Onderdeel L

Voorgesteld wordt om de in artikel 5.3.4, tweede lid, Wmo 2015 opgenomen bewaartermijn
van twintig jaar, die geldt voor alle persoonsgegevens die Veilig Thuis met betrekking
tot een betrokkene onder zich heeft, te beperken tot de persoonsgegevens die Veilig
Thuis in verband met de uitoefening van taken, bedoeld in artikel 4.1.1, tweede lid,
onder zich heeft. Dit betekent dat die bewaartermijn alleen geldt voor persoonsgegevens
inzake meldingen en niet inzake adviezen (de in artikel 4.1.1, derde lid, genoemde
taak). Voor de uitvoering van de adviestaak is het niet nodig om persoonsgegevens
van de adviesvrager zo lang te bewaren. Veilig Thuis geeft in dergelijke gevallen
slechts advies naar aanleiding van een adviesvraag en registreert geen persoonsgegevens
van het betreffende gezin of huishouden waarop een vermoeden van huiselijk geweld
of kindermishandeling betrekking heeft. In het Handelingsprotocol Veilig Thuis is
voor adviezen37 nu al een bewaartermijn van twee jaar na het laatste contact opgenomen, zie artikel
15.3.4 van dit protocol. Indien een advies van Veilig Thuis erin resulteert dat een
melding van huiselijk geweld of kindermishandeling wordt gedaan, geldt alsnog de termijn
van twintig jaar voor het bewaren van persoonsgegevens.

Artikel VIII, onderdeel A

Met dit onderdeel wordt een wijziging voorgesteld van artikel 3.2.3 Wlz, zodat gegevens
van een cliënt die het CIZ heeft verkregen in het kader van de beoordeling van een
aanvraag voor een besluit tot opname en verblijf, een rechterlijke machtiging of een
machtiging tot voortzetting van de inbewaringstelling als bedoeld in de Wzd ook mogen
worden gebruikt bij de beoordeling van een Wlz-aanvraag. Tevens wordt voorgesteld
dat ook de informatie die het CIZ heeft opgenomen in een advies aan de officier van
justitie als bedoeld in artikel 28a Wzd mag worden gebruikt bij de behandeling van
een aanvraag voor het vaststellen van het recht op zorg op grond van de Wlz. Wel moet
het CIZ afwegen of de gegevens waarover zij beschikt in het kader van een aanvraag
op grond van de Wzd ook noodzakelijk zijn om een Wlz-vraag in behandeling te kunnen
nemen. In dit kader wordt verwezen naar paragraaf 2.6 van het algemeen deel van de
toelichting.

Artikel XI, onderdeel A

Met dit artikel wordt voorgesteld de delegatiegrondslag van artikel 18.4.5, eerste
lid, onderdeel e, van de Invoeringswet BES aldus aan te vullen, dat op grond daarvan
ook de verwerking van bijzondere persoonsgegevens betreffende huiselijk geweld bij
amvb kan worden geregeld.

Noodzakelijk met het oog op een zwaarwegend algemeen belang

Het bestrijden van huiselijk geweld betreft een zwaarwegend algemeen belang. Om te
kunnen beoordelen of er in een bepaalde situatie sprake is van huiselijk geweld, om
snel en adequaat hulp te kunnen bieden en om huiselijk geweld te beëindigen is het
noodzakelijk om persoonsgegevens, waaronder bijzondere persoonsgegevens, te verwerken.
Het is daarbij niet wenselijk om bijvoorbeeld afhankelijk te zijn van het verlenen
van ondubbelzinnige toestemming door de vermoedelijk pleger van het huiselijk geweld
voor de verwerking. Het kan bijvoorbeeld noodzakelijk zijn om bij een vermoeden van
kindermisbruik, gegevens inzake het seksuele leven van de vermoedelijke pleger te
verwerken. Daarnaast kan het noodzakelijk zijn om gegevens over de gezondheid van
een slachtoffer te verwerken om te kunnen beoordelen hoe ernstig het huiselijk geweld
is en welke hulp eventueel het beste kan worden ingezet. Ook kan het noodzakelijk
zijn om gegevens over de seksuele gerichtheid van een jong slachtoffer te verwerken,
indien bijvoorbeeld de homoseksuele gerichtheid van dit slachtoffer aanleiding is
(geweest) om hem te mishandelen. Het kan daarnaast ook noodzakelijk zijn om strafrechtelijke
persoonsgegevens te verwerken om een inschatting te kunnen maken van de veiligheid
van het slachtoffer. Zo kan informatie over een eerdere aangifte van huiselijk geweld
tegen de vermoedelijk pleger relevant zijn en ook een eerdere veroordeling voor wapengebruik
of -bezit. Ook kunnen eerdere veroordelingen voor rijden onder invloed een redelijk
vermoeden van huiselijk geweld door overmatig alcoholgebruik ondersteunen. Tot slot
kan het indien er een redelijk vermoeden bestaat dat iemand een huisgenoot fysiek
mishandelt noodzakelijk zijn om te registreren dat tegen de vermoedelijke pleger van
dat huiselijk geweld al eerder een verdenking van een geweldsdelict is gerezen of
dat hij daarvoor al eerder is veroordeeld.

Voor het snel en adequaat kunnen bieden van hulp en het beëindigen van huiselijk geweld
is de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens, onvermijdelijk.
Er zijn geen minder ingrijpende manieren om het betrokken doel van snelle en adequate
hulp aan slachtoffers van huiselijk geweld te realiseren.

Passende waarborgen ter bescherming van de persoonlijke levenssfeer

In de op grond van deze delegatiegrondslag op te stellen amvb kunnen regels worden
gesteld over de verwerking van bijzondere persoonsgegevens bij bestrijding van huiselijk
geweld. In die amvb zullen passende waarborgen moeten worden gesteld ter bescherming
van de persoonlijke levenssfeer. De Wbp BES bevat algemene normen voor een zorgvuldige
omgang met persoonsgegevens en bepaalt onder andere dat de verwerking op een zorgvuldige
en behoorlijke wijze plaats dient te vinden en dat het verzamelen van persoonsgegevens
met als doel deze in een bestand op te nemen, alleen is toegestaan voor welbepaalde,
uitdrukkelijk omschreven en gerechtvaardigde doeleinden. In de amvb zal concreet worden
omschreven wie persoonsgegevens, waaronder bijzondere persoonsgegevens, mogen verwerken
en in welke gevallen het noodzakelijk is om bijzondere persoonsgegevens te verwerken.
Daarnaast worden in de amvb regels opgenomen over de informatieverschaffing aan betrokkene
en over de bewaartermijn van de gegevens.

Artikel XIV

Dit onderdeel wijzigt de Kaderwet VWS subsidies. Zoals blijkt uit paragraaf 2.7 van
het algemeen deel van de toelichting kan het noodzakelijk zijn om (bijzondere categorieën
van) persoonsgegevens te verwerken bij de beoordeling van een subsidieaanvraag, voor
de verlening van een subsidie en de vaststelling van de subsidie. Op dit moment is
de grondslag voor de verwerking van deze gegevens toestemming. Deze grondslag voldoet
echter niet (paragraaf 2.7 van het algemeen deel van de toelichting). Overigens kunnen
niet alleen (bijzondere categorieën van) persoonsgegevens van degene die de subsidie
aanvraagt worden verwerkt, maar ook van andere betrokkenen. Een voorwaarde daarbij
is uiteraard dat de verwerking van de gegevens noodzakelijk is voor de beoordelen
van een aanvraag, het verlenen of het vaststellen van een subsidie.

Artikel XV

Onderdeel A

Met voorgestelde technische wijziging van de Wbsrz wordt het begrip Inspectie SZW
aangepast aangezien de Inspectie SZW inmiddels de Nederlandse Arbeidsinspectie heet.
Dit is abusievelijke tijdens de wetsbehandeling van de Wbsrz over het hoofd gezien.

Onderdeel B

In artikel 1.2 Wbsrz wordt geregeld dat er geen gegevens over gezondheid mogen worden
verstrekt indien op deze gegevens kort gezegd een medisch beroepsgeheim rust. Dit
artikel wordt met voorliggende wetsvoorstel uitgebreid met nog twee soorten gegevens
die niet verstrekt mogen worden. Deze gegevens worden verstrekt in het kader van militaire
gezondheidszorg. Het gaat hierbij niet alleen om gezondheidsgegevens, maar alle gegevens
die ertoe kunnen leiden dat herleidbaar is dat zorg is verleend aan militairen in
werkelijke dienst als bedoeld in artikel 1 van de Wet ambtenaren defensie. Daarnaast
betreft het gegevens over zorg verleend door de militair geneeskundige dienst aan
civiele patiënten. Het verstrekken van deze beide soorten gegevens is uitgesloten
vanwege het veiligheidsbelang dat hiermee is gediend.

Onderdeel C

Artikel 2.7a

Eerste lid

Zoals al is aangegeven in hoofdstuk 2 van het algemeen deel van deze toelichting,
is er alleen een grondslag voor het opvragen van gegevens door en bij colleges of
ziektekostenverzekeraars indien zo’n instantie een verrijkt signaal heeft ontvangen
van het IKZ.

Zoals ook is beschreven in paragraaf 4.2 in de memorie van toelichting bij de Wbrsz,
zal het IKZ het verrijkte signaal verstrekken aan de meest geëigende instantie(s).
Wanneer er een grondslag is voor een college of ziektekostenverzekeraar om de gegevens
op te vragen, is er zowel een plicht als bevoegdheid voor de bevraagde partij om die
gegevens te verstrekken. Het gaat hierbij om gegevens die noodzakelijk zijn voor het
bestrijden van fraude in de zorg. De tweede voorwaarde om gegevens te kunnen opvragen
is dat er een onderzoek is gestart naar aanleiding van een vermoeden van fraude in
de zorg. Zie ook de toelichting in paragraaf 2.8, onder het kopje «fraudeonderzoek»
wanneer hiervan sprake is.

Tweede en derde lid

Zoals aangegeven in paragraaf 2.8 van het algemeen deel van deze toelichting onder
het kopje «gegevensset» is aangesloten bij de systematiek van het IKZ en het Waarschuwingsregister.
Dat aangesloten wordt bij dezelfde systematiek (te weten het aanwijzen van de gegevens
bij amvb die noodzakelijk zijn voor de bestrijding van fraude in de zorg) betekent
niet dat dezelfde set van gegevens zal worden aangewezen. Integendeel zelfs, omdat
de drie verschillende instrumenten die voorgesteld worden met de wet, elk vragen om
een eigen set van gegevens, zoals ook is toegelicht in de hiervoor genoemde paragraaf.

Vierde lid

Wanneer blijkt dat het vermoeden van fraude onterecht was, bijvoorbeeld uit het uitgevoerde
fraudeonderzoek, mogen de ontvangen gegevens niet langer worden bewaard en dienen
deze te worden verwijderd door de instantie die de gegevens heeft opgevraagd.

Artikel 2.7b

Met dit onderdeel van het wetsvoorstel zijn er in de Wbsrz drie voorgestelde instrumenten,
namelijk gegevensuitwisseling met het IKZ, gegevensuitwisseling tussen gemeenten en
ziektekostenverzekeraars bij een fraudeonderzoek en gegevensuitwisseling bij gerechtvaardigde
overtuiging van fraude in de zorg. Er zijn belangrijke verschillen tussen deze drie
instrumenten en de instantie die de gegevens verwerkt. Zoals aangegeven in paragraaf
2.8 van het algemeen deel van deze toelichting volgen uit het wettelijke kader (Jeugdwet,
Zvw, Wlz) al regels ter zake van het fraudeonderzoek, dan wel is er sprake van beleidsvrijheid
(Wmo 2015). Ook de AVG biedt voldoende waarborgen omtrent de bewaartermijn, het wissen
van gegevens, en inzage in gegevens die van iemand bewaard worden. Wel is uitdrukkelijk
bepaald dat gegevens in ieder geval niet meer verwerkt mogen worden, zodra bijvoorbeeld
uit het onderzoek is gebleken dat er van fraude in de zorg geen sprake is. De gegevens
dienen op dat moment vanzelfsprekend te worden verwijderd.

De mogelijkheid wordt echter opengehouden om wanneer dit toch wenselijk blijkt, bijvoorbeeld
om meer uniformiteit te bereiken, nadere eisen te stellen. In artikel 2.7b is daarom
– anders dan in artikel 2.2 Wbsrz die daartoe verplicht – de mogelijkheid opgenomen
om bij amvb eisen te stellen over de beveiliging en de bewaartermijn van de gegevens.

Onderdeel D

Met deze wijziging wordt een omissie hersteld. In de Jeugdwet is in artikel 1.1 een
begripsomschrijving opgenomen waarbij onder «Onze Ministers» wordt verstaan de Minister
van Volksgezondheid, Welzijn en Sport en de Minister van Veiligheid en Justitie tezamen.
Voorts wordt in de Jeugdwet telkens als wordt gesproken over «Onze Minister» in enkelvoud,
toegevoegd welke Minister wordt bedoeld. Dit kan naar gelang de Minister van VWS,
JenV of BZK zijn. In de omschrijving van Inlichtingenbureau die wordt voorgesteld
door het wetsvoorstel wordt echter alleen gedoeld op de Minister van Volksgezondheid,
Welzijn en Sport, om die reden wordt overeenkomstig alle andere verwijzingen naar
«Onze Minister» in de Jeugdwet nader geduid welke Minister wordt bedoeld.

Artikel XVIII

Ten behoeve van de duidelijkheid is ervoor gekozen om deze verzamelwet, ondanks dat
het een wijzigingsregeling betreft, een citeertitel te geven. Er wordt namelijk met
regelmaat een verzamelwet gegevensverwerking opgesteld die zonder citeertitel moeilijk
van elkaar te onderscheiden zijn.

De Minister van Volksgezondheid, Welzijn en Sport,
E.J. Kuipers