Notitie Privacy in het Sociale Domein

lnleiding

Gemeenten staan voor een enorme uitdaging om per 1 januari 2015 de dienstverlening op het gebied van jeugd, zorg, werk en inkomen zo effectief en efficiënt mogelijk te organiseren. Efficiëntie is noodzakelijk omdat er ook een kostenbesparing moet worden bewerkstelligd. Daarnaast is de opdracht vanuit de politiek om expliciet in te zetten op vernieuwing door invulling te geven aan integrale dienstverlening. Het overgaan naar integrale dienstverlening impliceert dat gemeenten over de grenzen van sectoren in het sociaal domeinen moeten kijken, Als de situatie daarom vraagt, moeten persoonsgegevens uit verschillende sectoren bij elkaar kunnen worden gebracht. Deze werkwijze is een logisch en noodzakelijk gevolg van de doelstellingen van de politiek, Omdat het scheppen van eigen kaders geheel aan gemeenten wordt overgelaten, is de situatie ontstaan dat gemeenten zich vrij voelen zo breed mogelijk over de betrokkene uit te vragen. Deze kabinetsdoelstelling staat op gespannen voet met de privacywetgeving, waardoor het risico om privacy van burgers te schenden groot wordt. Dit wordt versterkt omdat de privacy waarborgen uit de Wet bescherming persoonsgegevens (verder te noemen: Wbp) niet staan opgenomen in de nieuwe wetgeving. Daarnaast is er geen eigenstandige bevoegdheid om, over de domeinen heen, persoons- gegevens te verwerken.

Het College voor bescherming persoonsgegevens (CBP) heeft meerdere keren gewaarschuwd voor de risico’s van bovenmatig delen van persoonsgegevens, het gebruiken van de gegevens voor een doel dat niet verenigbaar is met het oorspronkelijke doel waarvoor zij zijn verzameld en de beveiliging'. Bovendien dreigt volstrekte ondoorzichtigheid, zo stelt het college. 'Waardoor het noch voor burgers noch voor de overheid zelf inzichtelijk is wie welke gegevens verzamelt en gebruikt en met welk doel dat gebeurt.'

Op dit moment geldt nog onze nationale privacy wetgeving, de Wbp. Naar verwachting zal in 2015 de Europese Unie de Algemene Verordening Gegevensbescherming vaststellen. Deze verordening heeft als doelstelling om voor 27 verschillende lidstaten één uniforme verordening te realiseren. De regels voor de verwerking van persoonsgegevens worden op veel punten aangescherpt, meer randvoorwaarden verplicht gesteld en op overtreding worden zeer hoge boetes gesteld.

De huidige situatie, de ontwikkelingen over de wijze waarop gemeenten om zullen gaan met de verwerking van persoonsgegevensverwerking en de daarmee gepaarde risico's op grove privacy-schendingen, roept ook maatschappelijk veel vragen en onrust op,

Om binnen het Sociale Domein op een rechtmatige wijze om te gaan met de verwerking van persoonsgegevens, is bewustwording van de waarborgen uit de privacywetgeving van groot belang. Hiervoor is de ontwikkeling van privacy beleidsregels en een afwegingskader een belangrijke stap in de borging van privacy.

Analyse

In onze gemeente is privacy op onderdelen geregeld maar er is geen gemeentebreed privacy beleid en/of protocol vastgesteld. Uit de inventarisatie komt naar voren dat het thema privacy niet (voldoende) bekend en geborgd is binnen de organisatie. Hierdoor maken de afwegingsgronden en waarborgen die voortvloeien uit de Wet bescherming persoonsgegevens onvoldoende onderdeel uit van het 'privacy-bewustzijn' binnen de werkprocessen- en werkwijze.

Doelen

Nu de Wet bescherming persoonsgegevens en het EVRM niet zijn aangepast op de nieuwe maatschappelijke opdracht die de gemeenten per 1 januari 2015 krijgt van het Rijk, is het sluitend regelen van privacy een ingewikkelde opgave. De gemeente Westland kan wel de keuze maken om het zo goed mogelijk te willen regelen. Hiervoor zal het thema privacy op de agenda moeten blijven staan, kaders en beleid moeten worden ontwikkeld en vastgesteld en trainingen worden verzorgd om binnen de gemeente een bewustwording op gang te brengen en te houden. Voor ons de uitdaging om ervoor te zorgen dat zich een praktijk ontwikkelt waarin de juiste balans wordt gevonden tussen ruimte voor de professionals om een optimale ondersteuning aan de burgers te kunnen verlenen en tegelijkertijd de privacy van burgers te borgen.

Beleidsregels

Onze visie is dat het vergroten van bewustwording van privacy waarborgen, onze grootste kracht is om privacy schendingen te kunnen voorkomen

De gemeente Westland is zich bewust van het spanningsveld tussen de opdrachten die voortkomen uit de nieuwe wetgeving en het ontbreken van belangrijke kaders uit de privacywetgeving. Hiervoor is het noodzakelijk dat de waarborgen uit de Wet bescherming persoonsgegevens (Wbp) worden ingebracht in het werkproces.

• ●

  Wij gaan om met de privacyrechten van de ander zoals we zelf willen dat er met onze privacy rechten wordt omgegaan

• ●

  Wij beschouwen persoonsgegevens als persoonlijke gegevens, waarvan de persoon in grote mate zelf bepaalt welke gegevens er worden gedeeld.

• ●

  Op een goede manier omgaan met persoonsgegevens en voorkomen van privacy schendingen is een verlengde van de beginselen als zorgvuldigheid en integriteit

• ●

  Integer handelen geeft vertrouwen en dus meer bereidheid om hulp te vragen en hiervoor informatie te geven

• ●

  Omdat de gemeente breed en preventief wil faciliteren, zijn we afhankelijk van de hulpvraag van de burger. Dit is voor ons de ingang om te faciliteren.

• ●

  Bij een goede dienstverlening past maatwerk om de burger zo goed mogelijk te kunnen faciliteren, Hierbij wordt bewust gekozen om de hulpvraag van de bewoner leidend te laten zijn. Ook als het gaat om verwerken of delen van informatie (persoonsgegevens van de bewoner) is de hulpvraag van de bewoner leidend. De informatie die verwerkt of gedeeld wordt is dus altijd gerelateerd aan die hulpvraag.

• ●

  Dit geldt ook ten aanzien van vroegtijdig signaleren. Dit vindt plaats door de inzet en zichtbaarheid van de sociaal makelaars in de wijk en het gesprek met en de hulpvraag van de inwoner. Ook hier is de hulpvraag leidend niet het raadplegen van bronnen of risicoprofielen.

• ●

  Door de hulpvraag leidend te laten zijn, is de dienstverlening gericht op de facilitering van de behoefte van de burger. De hulpvraag en niet de hulpvrager is onderwerp van nader doorvragen en onderzoek!

• ●

  Er wordt veel van de professionaliteit en de integriteit van alle betrokken medewerkers verwacht

• ●

  Per hulpvraag wordt een afweging gemaakt ten aanzien van de doelbinding, proportionaliteit en subsidiariteit als het gaat om het verwerken of delen van persoonsgegevens van de burger. Dit wordt beschreven in het afwegingskader en het afwegingsdocument.

• ●

  Dit uitgangspunt maakt onze gemeente een betrouwbare partner, die respect heeft voor de burger en de privacy waarborgen.

• ●

  Burgers worden altijd geïnformeerd wat er met welk doel wordt verwerkt en met wie deze gegevens worden gedeeld.

• ●

  Alleen in zeer uitzonderlijke gevallen kunnen op grond van artikel 8 onder f Wbp privacy rechten opzij worden gezet, als er sprake is van een gerechtvaardigd belang dat prevaleert. De gemeente is zich bewust van de zware criteria, die vooraf zeer goed moeten worden afgewogen, gemotiveerd en gedocumenteerd.

• ●

  De gemeente zorgt dat de medewerker binnen het sociaal domein worden gefaciliteerd met afwegingskaders en een afwegingsdocument die ondersteunen bíj het werken met duidelijke overweging momenten die de Wbp geeft.

• ●

  Van de medewerker binnen het sociaal domein wordt verwacht dat gewerkt wordt conform het afwegingskader en het bijbehorende document wordt ingevuld ten behoeve van het afleggen van verplichte verantwoording, intervisie, lering en borging van privacy waarborgen.

• ●

  Het 'privacy bewustzijn' is een proces dat continue actueel gehouden moet worden, Door training, intervisie, coaching en (juridische) advisering op maat wordt privacy bewustzijn gestimuleerd waardoor het risico op privacy schendingen aanzienlijk wordt verkleind.

 

Versterken positie burser

 

Nu zich nieuwe werkwijzen ontwikkelen in het sociaal domein, is het voor de gemeente van belang dat de burger weet welke rechten er gelden met betrekking tot gegevensverwerking door betrokken partijen, zoals inzage en correctierecht van gegevens en de mogelijkheid verzet aan te tekenen tegen verwerking. Hiervoor zal actief beleid worden gevoerd, deze rechten te communiceren aan onze burgers.

 

Uitbesteding van taken

 

Een deel van onze hun taken hebben wij uitbesteed aan private partijen. Wij zijn ook in die gevallen verantwoordelijk voor de zorgvuldigheid van de

gegevensverwerking, borging van de privacy en beveiliging van gegevens conform de geldende wetgeving. Wij moet dit borgen in bewerkersovereenkomsten met de uitvoerende partijen.

 

Doelbinding versus gedecentraliseerde integratie

 

Bij de wetgeving inzake privacy gaat het onder andere ook over het vereiste van doelbinding.

 

Allereerst mogen persoonsgegevens alleen verwerkt worden als de Wet bescherming persoonsgegevens hiervoor toestemming geeft (grondslag artikel 8 Wbp).Zonder een toepasselijke wettelijke grondslag is verwerking niet toegestaan!

 

Indien vaststaat dat persoonsgegevens mogen worden verwerkt, staat daarmee tevens vast voor welk doel de gegevens verwerkt mogen worden. Dat is namelijk een vereiste voor rechtmatige verwerking.

 

Als het doel van de verwerking vaststaat mogen de persoonsgegevens ook voor andere doeleinden gebruikt word en, zolang die verenigbaar zijn met het oorspronkelijke doel. Hier moet een strikte uitleg aan worden gegeven. "Hoe gevoeliger het gegeven, hoe minder snel mag worden aangenomen dat er sprake is van verenigbaar gebruik indien bij enige verwerking wordt afgeweken van het oorspronkelijk doel."

 

De decentralisatie gaat over zorgverlening waarbij vrijwel op elk punt medische gegevens gebruikt worden. Dit zijn UITERMATE gevoelige gegevens, waarbij dus in zeer uitzonderlijke situaties een verenigbaar doel kan worden aangenomen.

 

De doelbinding staat in veel gevallen de uitwisseling van persoonsgegevens over verschillende domeinen in de weg. ln de verschillende materiewetten is vastgelegd dat er informatie mag worden verwerkt, voor welk doel, en met wie deze informatie kan worden gewisseld. Uitwisseling binnen een domein is vaak mogelijk, maar een uitwisseling tussen de zorgsector en de jeugdsector is juridisch lastig omdat de doeleinden voor gegevensverwerking in deze materiewetten aanzienlijk van elkaar verschillen en een doelbinding niet voor de hand ligt.

 

Binnen de bestaande wetgeving is er geen standaard oplossing die het principe van één regisseur binnen meerdere sectoren enerzijds en doelbinding vanwege privacy anderzijds, met elkaar in het reine brengt,

 

Voor het uitwisselen van gegevens wordt een oplossing gezocht in het onderscheid van dat- en wat-informatie;

• ●

  Wat-informatie betreft de inhoudelijke informatie van een klant uit een sector van het sociaal domein.

• ●

  Dat-informatie betreft de informatie dat er inhoudelijke informatie van een klant is binnen een bepaalde sector, zonder dat de inhoud van die informatie wordt prijs gegeven.

• ●

  Gecumuleerde informatie betreft alle informatie die afgeleid is van de wat- en dat-nformatie en die gedepersonaliseerd is.

 

De wat-informatie kan bij de professionele instellingen in de verschillende sectoren blijven. De dat-informatie kan dan bij regisseurs- en managementfuncties terecht komen en algemeen geraadpleegd worden.

 

Wij hanteren het uitgangspunt dat er zo min mogelijk wat-informatie over de domeinen binnen het Sociale Domein heen worden uitgewisseld (doelbinding).

 

De basisuitgangspunten kunnen met deze definities praktisch uitgewerkt worden:

• ●

  Binnen een sector is voor de professionals van die sector de volgende informatie toegankelijk: - de wat-informatie uit de eigen sector - de dat informatie uit alle andere sectoren (voor zover de noodzakelijkheid kan worden aangetoond) - alle gecumuleerde informatie

• ●

  Voor de regisseur is de volgende informatie toegankelijk: - de watinformatie voor zover deze onmisbaar is voor het functioneren van de regisseur - de dat-informatie van alle sectoren - alle gecumuleerde informatie.

• ●

  Voor andere partijen zoals management e,d. is de volgende informatie toegankelijk: - alle gecumuleerde informatie.

 

Niet in alle gevallen is dit houdbaar of werkbaar als er redelijkerwijs voorzienbaar is dat er wat informatie nodig is dieper op de inhoud (het "wat") moet worden ingegaan om op deze wijze tegemoet te kunnen komen aan de hulpvraag van de burger.

 

Van belang is om bij dergelijke grensoverschrijdingen duidelijk aan te geven waarom over de dat-wat-grens heen is gegaan. Jurisprudentie laat zien dat het achteraf motiveren daarvan, in geval van een gerechtelijke procedure geen stand zal houden. Deze uitzonderingsgevallen moeten om die reden goed worden beargumenteerd en gedocumenteerd om hierover verantwoording te kunnen afleggen, Er is een afwegingsdocument ontwikkeld om deze afwegingen vooraf langs te lopen, te beargumenteren en te documenteren.

 

De vraagstukken rondom privacy zullen de komende jaren nog verder uitgekristalliseerd en bijgesteld (moeten)worden. Om die reden blijft het thema privacy actueel en zal er binnen onze gemeente ook structureel aandacht aan worden besteed.

 

Conclusie

 

De voorgestane integrale werkwijze door de decentralisaties in het Sociale Domein kan leiden tot gegevensuitwisseling die strijdig is met bestaande privacywetgeving.

 

Vanuit de huidige stand van zaken en de acute risico's per l januari 2015 zijn in deze notitie beleidsregels benoemd voor de gegevensverwerking en gegevensuitwisseling binnen het Sociale Domein. In- en externe medewerkers binnen het Sociale Domein kunnen per 1 januari 2015 met deze uitgangspunten en binnen het afwegingskader handelen.

 

Deze beleidsregels kunnen tevens dienen als startdocument voor het opstellen van gemeentelijk op te stellen privacy beleid