Dossier CompetenSys: (1) Aanleiding en vragen; (2) Vraaggesprek met CompetenSys; (3) Schriftelijk antwoord van CompetenSys; (4) Schriftelijk antwoord van WIL; (5) Documenten van WIL; (6) Overige informatiebronnen.
Wat is (mis met) CompetenSys?
CompetenSys is een computerprogramma en dienstverlening voor onder andere sociale diensten van gemeenten en sociale werkplaatsen voor diagnose en matching van werkzoekenden en uitkeringsgerechtigden en voor loonwaardebepaling: het meten van arbeidsprestaties op de werkplek in vergelijking met een reguliere werknemer. Voor de diagnose maakt CompetenSys onder andere gebruik van vragenlijsten die de werkzoekende geheel of gedeeltelijk zelf kan invullen ter voorbereiding van een gesprek met een consulent. Gezien de zeer persoonlijke vragen in de vragenlijst zijn er zorgen over de privacy. Voor Omroep Houten onderzoek ik (Ytzen Lont, Stylo) het gebruik van CompetenSys bij Werk en Inkomen Lekstroom (WIL), de gemeenschappelijke sociale dienst van Houten, Nieuwegein, Lopik en IJsselstein. Zowel CompetenSys als WIL hebben veel tijd gestoken in de beantwoording van vragen, maar toch staan er nog veel vragen open en doordat veel medewerkers thuis werken vanwege corona is de beantwoording bemoeilijkt en vertraagd. Daarom zet ik dit onderzoek voorlopig op een laag pitje en sla ik zoveel mogelijk van de verzamelde informatie op in dit 'dossier'.
1) Maakt WIL nog gebruik van Competensys?
2) Zijn er beleidsdocumenten, besluiten, evaluaties over het gebruik van het systeem?
3) Wat is het doel, de functie van het gebruik van Competensys?
4) Wie vult de gegevens in?
- Cliënt zelf, - WIL-medewerker in overleg met de cliënt, - WIL-medewerker geheel of gedeeltelijk zonder overleg met de clIënt?
5) Waar worden de gegevens opgeslagen en wie hebben toegang tot de gegevens?
- Fysieke server binnen WIL? - Fysieke server bij een externe dienstverlener?
- In de cloud 'van WIL'? - In de cloud 'van Competensys of een andere dienstverlener'?
6) Ziet/weet de clIënt waar de gegevens heengaan en is duidelijk hoe deze gebruikt (kunnen) worden?
7)) Worden medische, psychiatrische, sociale en andere gevoelige gegevens gevraagd en vastgelegd?
8) Wat is het wettelijk kader daarvoor (hoe verhoudt zich dit bijvoorbeeld met het medisch geheim)?
9) Wordt Competensys vermeld in het verwerkingsregister? Waarom niet?
10) Wat gebeurt er als een cliënt weigert gevoelige vragen in te vullen / te beantwoorden (consequenties informatieplicht)?
Beantwoording door WIL, zie Dossier CompetenSys: (4) Schriftelijk antwoord van WIL.
Aanleiding tot de vragen:
(1) Signaal van een cliëntenraad
Een cliëntenraad van een andere sociale dienst nam contact met mij op en uitte de volgende zorgen: "Is er een goede beveiliging? Wat ons betreft schort het daar nu nogal aan. Een cliënt die zich afvroeg hoe ze de vragen kon invullen, stuurde ons de mail die ze had ontvangen van CompetenSys met de link naar de in te vullen vragenlijst. Ik kon de link zonder extra code of DigiD openen en ik bleek dus in haar persoonlijke omgeving te zijn. De vragen die ik fictief in vulde om de testvragen allemaal te kunnen inzien werden direct opgeslagen. De link bleek twee weken later nog steeds actief te zijn. Er werd onder andere gevraagd naar medische beperkingen, naar strafblad, naar hobby’s, hoe ze in hun vel zitten etc. Zeer vergaande vragen!"
Brief aan WIL 31-10-16: "Het thuis invullen van de vragen zou 45 minuten in beslag nemen, maar het kostte me vier uren en als ik het zou onderbreken, dan had ik een nieuwe link nodig, was mij gezegd. Mijn opleidingen kwamen niet voor in de keuzemogelijkheden en de opties die wel gegeven werden kende ik niet. Het invullen duurde eindeloos. De vraag "bent u bereid om een aangeboden baan te aanvaarden" levert geen enkele praktische informatie op maar verkeerd invullen kan je je uitkering kosten, je bent immers verplicht elke baan te accepteren. De vragen werden steeds persoonlijker: er werd gevraagd naar schulden, medische gegevens en zelfs psychiatrische gegevens. Er werd geen enkel veiligheidsprotocol getoond, de URL was mij onbekend en de naam CompetenSys zegt mij niets. De relatie van CompetenSys met WIL werd niet aangegeven, welke medewerkers van CompetenSys, WIL of enige andere organisatie de (deels medische) informatie konden inzien werd niet vermeld. De consequenties van het niet (volledig) invullen werden niet aangegeven: overtreding van de informatieplicht - op straffe van inhouding van uitkering? Na verzending was het niet mogelijk om de eigen gegevens nog in te zien (of je zou WIL hier langs juridische weg om moeten vragen, het is namelijk wettelijk verplicht) en er werd niet aangegeven wat er met de informatie gebeurt. Gezien een recente hack kan WIL kennelijk ook geen garantie geven dat de ingevulde medische en psychiatrische gegevens niet op straat komen te liggen."
(3) Informatie van een auditor bij een gemeente
→ via breednetwerk.nl en mailwisseling
“Binnen mijn organisatie wordt voor een aantal processen gewerkt met het systeem Competensys. Bij het opstellen van het informatiebeheerplan voor de betreffende afdelingen heb ik geconstateerd dat hierin archief wordt gevormd en dat dat Competensys (in ieder geval zoals wij dat hebben draaien) niet voldoet aan de Archiefwet. - Op welke punten voldoet CompetenSys niet aan de Archiefwet? - Er zijn twee problemen (in mijn ogen): (1) Er kunnen geen bewaartermijnen worden toegekend. (2) De structuur van Competensys is 100 % cliëntgericht, niet procesgericht, waardoor het toekennen van bewaartermijnen op resultaat van het proces niet mogelijk is. Het systeem wordt namelijk gebruikt voor verschillende processen met verschillende bewaartermijnen. (...) We gaan een tweesporenbeleid volgen: enerzijds het thema agenderen voor de volgende aanbesteding, zodat informatiebeheer wel meegenomen wordt. Bij het volgende systeem kunnen we dan het wel 'by design' inrichten. Voor nu gaan we kijken wat er mogelijk is en voor de organisatie in ieder geval de risico's (ook ten aanzien van privacy) inzichtelijk maken, zodat we geïnformeerde en onderbouwde keuzes kunnen maken.”
Dossier CompetenSys: (1) Aanleiding en vragen; (2) Vraaggesprek met CompetenSys; (3) Schriftelijk antwoord van CompetenSys; (4) Schriftelijk antwoord van WIL; (5) Documenten van WIL; (6) Overige informatiebronnen.