woensdag 5 mei 2021

Wat is (mis met) CompetenSys?

CompetenSys is een computerprogramma voor sociale diensten en sociale werkvoorziening, voor diagnose en matching van werkzoekenden en loonwaardebepaling. Voor de diagnose maakt CompetenSys onder andere gebruik van vragenlijsten die de werkzoekende zelf kan invullen ter voorbereiding van een gesprek met een consulent. Gezien de zeer persoonlijke vragen in de vragenlijst zijn er zorgen over de privacy. 

Voor Omroep Houten onderzoek ik het gebruik van CompetenSys bij Werk en Inkomen Lekstroom (WIL), de gemeenschappelijke sociale dienst van Houten, Nieuwegein, Lopik en IJsselstein. Zowel CompetenSys als WIL hebben al veel tijd gestoken in de beantwoording van vragen, maar toch staan er nog veel vragen open. Doordat veel ambtenaren nu thuis werken vanwege corona is de beantwoording bemoeilijkt en vertraagd. Daarom zet ik dit onderzoek voorlopig op een laag pitje en sla ik zoveel mogelijk van de verzamelde informatie op in een dossier op mijn website. Daar zijn dossiers over meer  onderwerpen te vinden (o.a. algoritmes, windmolens, landbouwgif), waar de redacteuren en anderen op elk moment vrijelijk uit kunnen putten. 

Wat was de aanleiding van mijn onderzoek? 

(1) Signaal van een cliëntenraad. Een cliëntenraad van een andere sociale dienst nam contact met mij op en uitte de volgende zorgen: "Is er een goede beveiliging? Wat ons betreft schort het daar nu nogal aan. Een cliënt die zich afvroeg hoe ze de vragen kon invullen, stuurde ons de mail die ze had ontvangen van CompetenSys met de link naar de in te vullen vragenlijst. Ik kon de link zonder extra code of DigiD openen en ik bleek dus in haar persoonlijke omgeving te zijn. De vragen die ik fictief invulde om de testvragen allemaal te kunnen inzien werden direct opgeslagen. De link bleek twee weken later nog steeds actief te zijn. Er werd onder andere gevraagd naar medische beperkingen, naar strafblad, naar hobby’s, hoe ze in hun vel zitten etc. Zeer vergaande vragen!"

(2) Eerdere cliëntervaring. Eerder publiceerde ik al een brief aan WIL van 31-10-2016: "Het thuis invullen van de vragen zou 45 minuten in beslag nemen, maar het kostte me vier uren en als ik het zou onderbreken, dan had ik een nieuwe link nodig, was mij gezegd. Mijn opleidingen kwamen niet voor in de keuzemogelijkheden en de opties die wel gegeven werden, kende ik niet. Het invullen duurde eindeloos. De vraag "bent u bereid om een aangeboden baan te aanvaarden" levert geen enkele praktische informatie op maar verkeerd invullen kan je je uitkering kosten, je bent immers verplicht elke baan te accepteren. De vragen werden steeds persoonlijker: er werd gevraagd naar schulden, medische gegevens en zelfs psychiatrische gegevens. Er werd geen enkel veiligheidsprotocol getoond, de URL was mij onbekend en de naam CompetenSys zegt mij niets. De relatie van CompetenSys met WIL werd niet aangegeven, welke medewerkers van CompetenSys, WIL of enige andere organisatie de (deels medische) informatie konden inzien werd niet vermeld. De consequenties van het niet (volledig) invullen werden niet aangegeven: overtreding van de informatieplicht - op straffe van inhouding van uitkering? Na verzending was het niet mogelijk om de eigen gegevens nog in te zien (of je zou WIL hier langs juridische weg om moeten vragen, het is namelijk wettelijk verplicht) en er werd niet aangegeven wat er met de informatie gebeurt. Gezien een recente hack kan WIL kennelijk ook geen garantie geven dat de ingevulde medische en psychiatrische gegevens niet op straat komen te liggen."

(3) Informatie van een auditor bij een gemeente. “Bij het opstellen van het informatiebeheerplan heb ik geconstateerd dat Competensys (zoals wij dat hebben draaien) niet voldoet aan de Archiefwet. Er zijn twee problemen: (1) Er kunnen geen bewaartermijnen worden toegekend. (2) De structuur van Competensys is 100 % cliëntgericht, niet procesgericht, waardoor het toekennen van bewaartermijnen op resultaat van het proces niet mogelijk is.”

Daarom heb ik vragen gesteld aan WIL en aan CompetenSys. Directeur Paul Ensink van CompetenSys reageerde direct met een uitgebreide mail en een al evenzeer lang telefoongesprek. Het antwoord van WIL liet, mede vanwege de coronacrisis, langer op zich wachten. 


Directeur Paul Ensink van CompetenSys benadrukt dat er geen verplichting is om de vragenlijst in te vullen. Het is een leidraad voor een gesprek met de consulent. Het gaat juist om een gesprek zonder de druk van de informatieplicht van de uitkeringsgerechtigde. De lege vragenlijst en de ingevulde antwoorden worden opgeslagen op separate servers, die zijn ondergebracht bij Previder, een gecertificeerd hostingbedrijf dat voldoet aan alle veiligheidsnormen.

WIL kopieert voor een groot deel de antwoorden die ik al eerder van CompetenSys heb ontvangen. Daardoor is mij nog niet duidelijk of de cliënt ook wéét dat hij of zij niet verplicht is alle vragen te beantwoorden en dat de informatieplicht in dit geval bij wijze van uitzondering niet geldt. Dit terwijl uitkeringstrekkers voortdurend gewezen worden op de ernstige consequenties van het per ongeluk of expres niet voldoen aan de informatieplicht. In de beleidsnota van 2019 staat dat WIL signalen uit CompetenSys gebruikt voor effectieve controle, fraude-onderzoek en sanctioneren op maat.

Gevoelige gegevens gevraagd?

Het antwoord van WIL over gevoelige vragen is wat tegenstrijdig. Volgens mijn bronnen wordt er gevraagd naar medische beperkingen. Op mijn vraag: "Worden medische, psychiatrische, sociale en andere gevoelige gegevens gevraagd en vastgelegd?" antwoordt WIL: "Wij leggen gevoelige informatie alleen vast met als doel om clienten te helpen richting de arbeidsmarkt". Op de vraag wat er gebeurt als een cliënt weigert gevoelige vragen in te vullen (consequenties informatieplicht), dan is het antwoord: "Een cliënt hoeft deze niet in te vullen, omdat ze ook niet gevraagd worden."

Wordt er nou wel of niet gevraagd naar medische informatie? Dit zou volgens mij expliciet vastgesteld moeten worden, omdat medische gegevens bijzondere bescherming behoeven. Overigens mág een sociale dienst medische gegevens volgens een uitzonderingsbepaling in de de Uitvoeringswet AVG (art. 30) wel registreren als deze voor de re-integratie nodig zijn. Volgens mijn bron werd gevraagd "naar medische beperkingen, naar strafblad, naar hobby's, hoe ze in hun veld zitten etc." Dus kennelijk zijn er vragen naar medische beperkingen, die de cliënt thuis invult, dat wil zeggen: niet mondeling en zonder toelichting of steun van de consulent. 

Mijn vragen gaan dus vooral over de communicatie van WIL over deze vragenlijst met de cliënt. Is de situatie sinds 2016 verbeterd? 

Externe rapporten

Een rapport van de rekenkamercommissie van de gemeente Gooise Meren uit 2017 stelt dezelfde vraag: "Verder wordt nog aandacht gevraagd voor de medische gegevens die de gemeente opvraagt: het is bij cliënten onbekend hoe daarmee om wordt gegaan. Dan gaat het ook over gegevens die bij de re-integratie worden gebruikt, bijvoorbeeld uit Competensys.” 

Divosa (de vereniging van gemeentelijke directeuren en leidinggevenden in het sociale domein) heeft in 2017 een vergelijking gemaakt van verschillende 'diagnose-instrumenten', waaronder CompetenSys. Daarin is te lezen dat CompetenSys ook informatie geeft over "houding en gedrag" en over "frauderisico". De klant kan de rapportage zelf niet downloaden

Bijzonder kritisch over de wijze waarop CompetenSys door sommige gemeenten wordt gebruikt is de adviseur arbeidsrecht en sociale zekerheid Mr. Dolf Gregoire. In 2018 schrijft hij: “Van meerdere kanten is er gewezen op de technieken die gemeenten gebruiken om een aanvraag van een bijstandsuitkering te vertragen. (*) Zo is er dat vreemde onderscheid tussen een intake en een aanvraag. Pas als er sprake is van een aanvraag gaan de wettelijke beslistermijnen lopen en kun je als burger rechtsbescherming inroepen. De eerste vertragingstechniek is dus het intake-gesprek. Daar kan nu een tweede aan worden toegevoegd: de analyse van arbeidsmogelijkheden. Dit is een online in te vullen vragenlijst, verzonden door CompetenSys. De truc zit ‘m dus hierin dat de intake wordt opgeschoven tot nà het invullen van deze lijst. Pas nadat de vragenlijst is ingevuld kan een afspraak worden gemaakt voor een intake, en daarna pas een afspraak voor het indienen voor een aanvraag voor een uitkering. Hoeveel weken zijn we dan verder?” 
(*) Nationale Ombudsman: Twaalf gemeenten laten aanvragers bijstand ten onrechte lang wachten. 

Bovengenoemde rapporten zijn te vinden in deel (6) Overige informatiebronnen van het dossier. 

Verwerkingsregister verouderd

Nog even terug naar WIL. Het viel mij op dat CompetenSys niet in het openbare verwerkingsregister van WIL staat vermeld, terwijl Totta, het programma dat het frauderisico van uitkeringsgerechtigden berekent maar waarmee WIL in 2019 wegens personeelsgebrek is gestopt, er nog wel in staat. Hetzelfde geldt voor zorgverzekeraar Menzis, terwijl WIL nu werkt met VGZ

WIL laat weten dat CompetenSys niet in de openbare versie staat, maar wel in de interne versie. De AVG vereist niet dat het verplichte verwerkingsregister wordt gepubliceerd, het is een document dat op verzoek getoond moet worden aan de Autoriteit Persoonsgegevens. Voor de transparantie heeft WIL een deel openbaar gemaakt. Een deel blijft vertrouwelijk omdat het hackers op een idee zou kunnen brengen.

De woordvoerder van WIL geeft toe dat het verwerkingsregister sinds 2018 niet meer is bijgewerkt. De herziene versie is naar verwachting medio 2021 gereed. Daarmee neemt WIL een risico, want een verwerkingsregister moet op elk moment een actueel en compleet inzicht bieden in alle verwerkingen. De toezichthouder, de Autoriteit Persoonsgegevens, kan op elk moment inzage vragen in het register. 

Informatie van alle kanten welkom

Zoals gezegd staan er nog veel vragen open. Ik laat dit onderwerp nu even rusten, maar aanvullende informatie van alle kanten - van WIL, van experts, van cliënten en cliëntenraden - is van harte welkom. 

Geen opmerkingen:

Een reactie posten