17 mei 2018
Van gemeenten wordt aan de ene kant gevraagd dat ze integraal werken, over de schotten van de verschillende rechtsgebieden heen kijken naar de burger in al zijn facetten. Doen wat nodig is en maatwerk bieden zijn veel gehoorde uitgangspunten. Aan de andere kant kunnen de verschillende afdelingen van de gemeente achter die schotten de beschikbare informatie over die burger niet zomaar met elkaar delen op grond van privacywetgeving. Deze regelgeving is complex en niet eenvoudig toe te passen.
Grondslagen
Om te kunnen beoordelen of je als gemeente goed bezig bent op het gebied van privacy, is kennis van de regelgeving nodig. Allereerst is het belangrijk om je te realiseren dat het recht op privacy in onze grondwet en in Europese verdragen is neergelegd. Daarmee hebben we het dus over een belangrijk grondrecht waarmee voorzichtig omgegaan moet worden. Het is dus voor de uitvoeringspraktijk belangrijk om te weten dat er een grondslag is vereist voor uitwisseling van persoonsgegevens (dit valt onder de wettelijke term verwerken). Dat is bepaald in artikel 8 van de Wet bescherming persoonsgegevens (Wbp). Alle mogelijke grondslagen worden in dat artikel genoemd. Een grondslag is een (juridische) basis voor gegevensdeling, een reden waarom het is toegestaan om gegevens uit te wisselen. De meest voorkomende grondslagen in het sociaal domein worden hieronder besproken.
Noodzakelijk om een wettelijke verplichting na te komen
Een voorbeeld van een grondslag is dat de uitwisseling van gegevens noodzakelijk is om een wettelijke verplichting na te komen. Dit betekent bijvoorbeeld dat er in een wet staat dat verschillende instanties de gegevens die nodig zijn om hun taken uit te voeren mogen of soms zelfs moeten uitwisselen. Hierbij zijn twee zaken van belang: (1) de uitwisseling van gegevens moet noodzakelijk zijn en (2) degene die de gegevens verwerkt is ook belast met de uitvoering van de wettelijke verplichting. Een bekend voorbeeld is artikel 64, eerste lid, van de Participatiewet. Dat artikel verplicht verschillende instanties zoals UWV, de SVB, de Belastingdienst, maar ook energieleveranciers om de gemeente, als de gemeente daarom vraagt, inlichtingen te verstrekken die noodzakelijk zijn voor het uitvoeren van de taken van de gemeente. De gegevens over het energieverbruik kunnen bijvoorbeeld een indicatie geven over hoeveel mensen er in een woning wonen. Dat gegeven is weer van belang om te controleren of de opgegeven woonsituatie wel juist is. De woonsituatie is van belang om het recht op een bijstandsuitkering te kunnen vaststellen. Dat is een taak die door de gemeente wordt uitgevoerd. Een ander voorbeeld van deze grondslag vind je in de artikelen 5.2.1 en 5.2.2 van de Wet maatschappelijke ondersteuning 2015. Deze artikelen gaan over de gegevensuitwisseling tussen de gemeente, de aanbieder van de benodigde zorg en de andere betrokken instanties als onder andere het CAK en het CIZ. Deze grondslag is genoemd in artikel 8, aanhef en onder c, van de Wbp.
“Er is een grondslag vereist voor uitwisseling van persoonsgegevens”
Noodzakelijk voor de vervulling van een publiekrechtelijke taak
Op grond van artikel 8, aanhef en onder e, van de Wbp kan verwerking van persoonsgegevens plaatsvinden door een bestuursorgaan dat een publiekrechtelijke taak uitvoert. Daarvan is bijvoorbeeld sprake als de gemeente op grond van artikel 53a, eerste lid, van de Participatiewet gegevens opvraagt om de rechtmatigheid van een verleende bijstandsuitkering te onderzoeken.
Hierbij is van belang dat hulpverleningstaken geen publiekrechtelijke taken zijn. Ook niet als deze hulpverleningstaken door de gemeente worden uitgevoerd. De gemeente verschilt daarin niet wezenlijk van private hulpverleningsorganisaties. Voor de uitwisseling van persoonsgegevens bij de uitvoering van hulpverleningstaken door de gemeente, het wijkteam of anderen kan dus geen beroep worden gedaan op dit artikel.
Overeenkomst (artikel 8, aanhef en onder b van de Wbp) of vitaal belang betrokkene (artikel 8, aanhef en onder d, van de Wbp)
Het delen van persoonsgegevens is ook toelaatbaar als dit noodzakelijk is om contractuele verplichtingen na te komen. Daarbij geldt als voorwaarde dat de betrokkene partij is bij de desbetreffende overeenkomst. Je kunt hierbij denken aan een behandelovereenkomst bijvoorbeeld in het kader van jeugdhulpverlening. Ook wanneer het delen van gegevens noodzakelijk is ter bestrijding van een ernstig gevaar voor de gezondheid van de betrokkene is dit gerechtvaardigd. Deze grondslag moet wel strikt worden geïnterpreteerd: er moet een dringende medische noodzaak aanwezig zijn de gegevens van de betrokkene uit te wisselen. Het moet gaan om een zaak van leven of dood. Als voorbeeld de situatie dat meteen medische hulp nodig is naar aanleiding van een ongeval van de betrokkene waarbij deze buiten bewustzijn is geraakt. Verder moet de noodzaak dringend zijn omdat anders aan de betrokkene zijn ondubbelzinnige toestemming gevraagd had kunnen worden. Als betrokkene toestemming kan geven, verdient dat de voorkeur.
Ondubbelzinnige toestemming (artikel 8, aanhef en onder a, van de Wbp)
In de memorie van toelichting bij de Wbp wordt het begrip toestemming omschreven als “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.” De wetgever geeft aan dat drie punten essentieel zijn om te kunnen spreken van een daadwerkelijk toestemming van de betrokkene.
Allereerst moet de betrokkene in vrijheid zijn wil kunnen uiten. Er kan bijvoorbeeld niet van een rechtsgeldige toestemming worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke, tot toestemming is overgegaan.
Ten tweede moet de wilsuiting betrekking hebben op een bepaalde gegevensverwerking. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden.
Als derde voorwaarde geldt het “informed consent”: de betrokkene kan slechts verantwoord zijn toestemming geven wanneer hij zo goed mogelijk is ingelicht.
Kort gezegd, de betrokkene moet zonder dwang, voldoende specifiek en goed geïnformeerd toestemming hebben gegeven dat zijn gegevens worden gedeeld. Dit betekent dat de constructie “wie niet piept, stemt toe”, in dit verband niet opgaat. Hierbij moet nog worden opgemerkt dat een betrokkene de verleende toestemming te allen tijde kan intrekken.
“Nog te vaak horen we vanuit de praktijk dat in de hulpverlening het delen van gegevens lastig is”
Praktijk
Tot zover de theorie. Hoe werkt dit nu in de praktijk? Het voorgaande betekent dat men zich bij elke uitwisseling van gegevens moet afvragen of er wel een grondslag voor is en zo ja, welke. Gemeenten ervaren dat in de praktijk als vertragend en in sommige gevallen als ronduit belemmerend.
Met de decentralisaties in 2015 hebben de gemeenten er taken bij gekregen zoals de uitvoering van de Jeugdwet, de uitbreiding van de doelgroep van de Participatiewet en de overheveling van taken vanuit bijvoorbeeld de Wet langdurige zorg naar de Wet maatschappelijke ondersteuning 2015. Dat betekent dat er meer gegevens zijn die moeten worden verwerkt maar ook dat er in het kader van het leveren van maatwerk en integraal werken meer aanleiding en meer behoefte is om die gegevens te kunnen delen. De burger verwacht immers ook van een goed handelende overheid dat de linkerhand weet wat de rechterhand aan het doen is. Vanuit efficiëntie maar ook vanuit preventief oogpunt. Als je als gemeente tijdig hulp wilt bieden, bij vooral de multiprobleemgezinnen, moeten signalen dat van een dergelijke situatie sprake is de gemeente wel kunnen bereiken. Nog te vaak horen we vanuit de praktijk dat in de hulpverlening het delen van gegevens lastig is. Daar speelt het beroepsgeheim van sommige hulpverleners natuurlijk ook een belangrijke rol in. Maar ook de samenwerking tussen vakafdeling en sociaal wijkteam loopt op dit vlak in veel gemeenten verre van soepel. Als je de klant integraal wilt kunnen bekijken moet je natuurlijk wel het hele plaatje in beeld kunnen krijgen. Dat lukt nu vaak niet. En dat terwijl de burger in veel gevallen verzucht dat hij al deze gegevens toch al een keer eerder aan de afdeling zo en zo heeft geleverd en niet begrijpt waarom hij deze nu nog een keer moet aanleveren.
Autoriteit Persoonsgegevens
Hoe komt dat nu? En belangrijker nog, wat kan de gemeente hieraan doen? De Autoriteit persoonsgegevens wijdde in april 2016 een onderzoek aan dit onderwerp, in het bijzonder toegespitst op de rol van de toestemming en deed onderzoek onder 41 gemeenten. Uit de resultaten van dit onderzoek blijkt dat de onderzochte gemeenten niet beschikken over één duidelijk overzicht van welke persoonsgegevens in het sociaal domein mogen worden verwerkt voor welke doelen en op basis van welke grondslagen. De vertaling van de voor de verwerking van persoonsgegevens geldende regels naar de uitvoering van taken in het sociaal domein in de eigen gemeente en de daarbij behorende doelen en regels, ontbreekt.
De Autoriteit Persoonsgegevens concludeert verder dat de grondslag van de toestemming vaak wordt gebruikt in gevallen waarin er ook een andere grondslag mogelijk is. De Autoriteit Persoonsgegevens wijst erop dat moet worden voorkomen dat burgers het idee krijgen dat er alleen gegevens over hen mogen worden verwerkt als zij daarvoor toestemming geven, terwijl dat in werkelijkheid niet zo is. Daarmee worden burgers niet goed geïnformeerd over hoe de Wbp werkt. Daarnaast is de Autoriteit Persoonsgegevens van mening dat in het sociaal domein vaak geen sprake zal zijn van een toestemming die aan de hier eerder genoemde vereisten (zonder dwang, voldoende specifiek en goed geïnformeerd) voldoet. Vooral niet als gemeenten die toestemming vragen in situaties waarin de betrokkenen afhankelijk zijn van de gemeente voor hulp, zoals de intake/toegangsverlening. Betrokkenen kunnen daarbij niet in vrijheid toestemming geven, aldus de Autoriteit Persoonsgegevens.
“Als je de klant integraal wilt kunnen bekijken moet je natuurlijk wel het hele plaatje in beeld kunnen krijgen”
Helpende hand?
De Autoriteit Persoonsgegevens onderkent de complexiteit van de taak van gemeenten in het sociaal domein: zij moeten, terwijl de praktijk zich nog aan het ontwikkelen is, helderheid scheppen zonder verdere handreikingen van de wetgever. Daarnaast geeft de Autoriteit Persoonsgegevens aan dat gemeenten een overzicht nodig hebben van de doelen, grondslagen en persoonsgegevens in het sociaal domein. Dit overzicht is onder meer noodzakelijk om de taken in het sociaal domein te onderkennen die niet wettelijk zijn geregeld.
Zou het de Autoriteit Persoonsgegevens niet passen om hier in de omissie van de wetgever te stappen en de gemeenten te helpen bij het ontwikkelen van een kader? Nu kijkt men toe en ziet men hoe de gemeenten vastlopen in deze complexe materie en om de burger toch te kunnen helpen, bijvoorbeeld grijpen naar de toestemming als grondslag voor gegevensuitwisseling in praktisch alle gevallen. Wellicht past het niet helemaal binnen de taakomschrijving die de Autoriteit Persoonsgegevens heeft, maar nu hoort de gemeente vooral wat er niet mag en hoe het niet moet. Het moet toch mogelijk zijn dat de Autoriteit Persoonsgegevens daar wat uitleg over geeft? Hoe één en ander in de materieregelgeving is neergelegd en wat dat betekent in de praktijk en vooral wat er dus wél kan. Dat doet de Autoriteit Persoonsgegevens nu immers ook met de aanstaande nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming, en alles wat daarbij komt kijken. Ten behoeve van de bescherming van de privacyrechten van de burger zou dit een goede zaak zijn.
Dit artikel heeft ook gestaan in het magazine Privacy van Sociaalweb.
Dit artikel heeft ook gestaan in het magazine Privacy van Sociaalweb.
Algemene Verordening Gegevensbescherming
Met ingang van 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming 2016/679 de Wet bescherming persoonsgegevens. De in dit artikel behandelde grondslagen worden met deze verordening niet wezenlijk gewijzigd. Wel is in de AVG opgenomen dat toestemming geen geldige rechtsgrond kan zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke. Daarvan is met name sprake wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend.
De slimste manier om privacy en informatieveiligheid te borgen
Als FG, CISO of PO heeft u de risico’s rond privacy en informatieveiligheid goed in kaart gebracht. Maar hoe houdt u zicht op alle vervolgstappen die de organisatie moet zetten? Hoe zorgt u dat afdelingen doen wat ze moeten doen? En hoe zorgt u dat iedereen dat eens in de zoveel tijd controleert? Want privacy en informatieveiligheid vraagt om continue aandacht. De totaaloplossingen KiC Privacy en KiC Informatieveiligheid van Stimulansz helpt u hierbij op een slimme manier.
