Grondslagen
Om te kunnen beoordelen of je als gemeente goed bezig bent op het gebied van privacy, is kennis van de regelgeving nodig. Allereerst is het belangrijk om je te realiseren dat het recht op privacy in onze grondwet en in Europese verdragen is neergelegd. Daarmee hebben we het dus over een belangrijk grondrecht waarmee voorzichtig omgegaan moet worden. Het is dus voor de uitvoeringspraktijk belangrijk om te weten dat er een grondslag is vereist voor uitwisseling van persoonsgegevens (dit valt onder de wettelijke term verwerken). Dat is bepaald in artikel 8 van de Wet bescherming persoonsgegevens (Wbp). Alle mogelijke grondslagen worden in dat artikel genoemd. Een grondslag is een (juridische) basis voor gegevensdeling, een reden waarom het is toegestaan om gegevens uit te wisselen. De meest voorkomende grondslagen in het sociaal domein worden hieronder besproken.
Noodzakelijk om een wettelijke verplichting na te komen
Een voorbeeld van een grondslag is dat de uitwisseling van gegevens noodzakelijk is om een wettelijke verplichting na te komen. Dit betekent bijvoorbeeld dat er in een wet staat dat verschillende instanties de gegevens die nodig zijn om hun taken uit te voeren mogen of soms zelfs moeten uitwisselen. Hierbij zijn twee zaken van belang: (1) de uitwisseling van gegevens moet noodzakelijk zijn en (2) degene die de gegevens verwerkt is ook belast met de uitvoering van de wettelijke verplichting. Een bekend voorbeeld is artikel 64, eerste lid, van de Participatiewet. Dat artikel verplicht verschillende instanties zoals UWV, de SVB, de Belastingdienst, maar ook energieleveranciers om de gemeente, als de gemeente daarom vraagt, inlichtingen te verstrekken die noodzakelijk zijn voor het uitvoeren van de taken van de gemeente. De gegevens over het energieverbruik kunnen bijvoorbeeld een indicatie geven over hoeveel mensen er in een woning wonen. Dat gegeven is weer van belang om te controleren of de opgegeven woonsituatie wel juist is. De woonsituatie is van belang om het recht op een bijstandsuitkering te kunnen vaststellen. Dat is een taak die door de gemeente wordt uitgevoerd. Een ander voorbeeld van deze grondslag vind je in de artikelen 5.2.1 en 5.2.2 van de Wet maatschappelijke ondersteuning 2015. Deze artikelen gaan over de gegevensuitwisseling tussen de gemeente, de aanbieder van de benodigde zorg en de andere betrokken instanties als onder andere het CAK en het CIZ. Deze grondslag is genoemd in artikel 8, aanhef en onder c, van de Wbp.
“Er is een grondslag vereist voor uitwisseling van persoonsgegevens”
Noodzakelijk voor de vervulling van een publiekrechtelijke taak
Op grond van artikel 8, aanhef en onder e, van de Wbp kan verwerking van persoonsgegevens plaatsvinden door een bestuursorgaan dat een publiekrechtelijke taak uitvoert. Daarvan is bijvoorbeeld sprake als de gemeente op grond van artikel 53a, eerste lid, van de Participatiewet gegevens opvraagt om de rechtmatigheid van een verleende bijstandsuitkering te onderzoeken.
Overeenkomst (artikel 8, aanhef en onder b van de Wbp) of vitaal belang betrokkene (artikel 8, aanhef en onder d, van de Wbp)
Het delen van persoonsgegevens is ook toelaatbaar als dit noodzakelijk is om contractuele verplichtingen na te komen. Daarbij geldt als voorwaarde dat de betrokkene partij is bij de desbetreffende overeenkomst. Je kunt hierbij denken aan een behandelovereenkomst bijvoorbeeld in het kader van jeugdhulpverlening. Ook wanneer het delen van gegevens noodzakelijk is ter bestrijding van een ernstig gevaar voor de gezondheid van de betrokkene is dit gerechtvaardigd. Deze grondslag moet wel strikt worden geïnterpreteerd: er moet een dringende medische noodzaak aanwezig zijn de gegevens van de betrokkene uit te wisselen. Het moet gaan om een zaak van leven of dood. Als voorbeeld de situatie dat meteen medische hulp nodig is naar aanleiding van een ongeval van de betrokkene waarbij deze buiten bewustzijn is geraakt. Verder moet de noodzaak dringend zijn omdat anders aan de betrokkene zijn ondubbelzinnige toestemming gevraagd had kunnen worden. Als betrokkene toestemming kan geven, verdient dat de voorkeur.
Ondubbelzinnige toestemming (artikel 8, aanhef en onder a, van de Wbp)
In de memorie van toelichting bij de Wbp wordt het begrip toestemming omschreven als “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.” De wetgever geeft aan dat drie punten essentieel zijn om te kunnen spreken van een daadwerkelijk toestemming van de betrokkene.
Allereerst moet de betrokkene in vrijheid zijn wil kunnen uiten. Er kan bijvoorbeeld niet van een rechtsgeldige toestemming worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke, tot toestemming is overgegaan.
Ten tweede moet de wilsuiting betrekking hebben op een bepaalde gegevensverwerking. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden.
Als derde voorwaarde geldt het “informed consent”: de betrokkene kan slechts verantwoord zijn toestemming geven wanneer hij zo goed mogelijk is ingelicht.
Kort gezegd, de betrokkene moet zonder dwang, voldoende specifiek en goed geïnformeerd toestemming hebben gegeven dat zijn gegevens worden gedeeld. Dit betekent dat de constructie “wie niet piept, stemt toe”, in dit verband niet opgaat. Hierbij moet nog worden opgemerkt dat een betrokkene de verleende toestemming te allen tijde kan intrekken.
“Nog te vaak horen we vanuit de praktijk dat in de hulpverlening het delen van gegevens lastig is”
Praktijk
Tot zover de theorie. Hoe werkt dit nu in de praktijk? Het voorgaande betekent dat men zich bij elke uitwisseling van gegevens moet afvragen of er wel een grondslag voor is en zo ja, welke. Gemeenten ervaren dat in de praktijk als vertragend en in sommige gevallen als ronduit belemmerend.
Met de decentralisaties in 2015 hebben de gemeenten er taken bij gekregen zoals de uitvoering van de Jeugdwet, de uitbreiding van de doelgroep van de Participatiewet en de overheveling van taken vanuit bijvoorbeeld de Wet langdurige zorg naar de Wet maatschappelijke ondersteuning 2015. Dat betekent dat er meer gegevens zijn die moeten worden verwerkt maar ook dat er in het kader van het leveren van maatwerk en integraal werken meer aanleiding en meer behoefte is om die gegevens te kunnen delen. De burger verwacht immers ook van een goed handelende overheid dat de linkerhand weet wat de rechterhand aan het doen is. Vanuit efficiëntie maar ook vanuit preventief oogpunt. Als je als gemeente tijdig hulp wilt bieden, bij vooral de multiprobleemgezinnen, moeten signalen dat van een dergelijke situatie sprake is de gemeente wel kunnen bereiken. Nog te vaak horen we vanuit de praktijk dat in de hulpverlening het delen van gegevens lastig is. Daar speelt het beroepsgeheim van sommige hulpverleners natuurlijk ook een belangrijke rol in. Maar ook de samenwerking tussen vakafdeling en sociaal wijkteam loopt op dit vlak in veel gemeenten verre van soepel. Als je de klant integraal wilt kunnen bekijken moet je natuurlijk wel het hele plaatje in beeld kunnen krijgen. Dat lukt nu vaak niet. En dat terwijl de burger in veel gevallen verzucht dat hij al deze gegevens toch al een keer eerder aan de afdeling zo en zo heeft geleverd en niet begrijpt waarom hij deze nu nog een keer moet aanleveren.
Autoriteit Persoonsgegevens
Hoe komt dat nu? En belangrijker nog, wat kan de gemeente hieraan doen? De Autoriteit persoonsgegevens wijdde in april 2016 een onderzoek aan dit onderwerp, in het bijzonder toegespitst op de rol van de toestemming en deed onderzoek onder 41 gemeenten. Uit de resultaten van dit onderzoek blijkt dat de onderzochte gemeenten niet beschikken over één duidelijk overzicht van welke persoonsgegevens in het sociaal domein mogen worden verwerkt voor welke doelen en op basis van welke grondslagen. De vertaling van de voor de verwerking van persoonsgegevens geldende regels naar de uitvoering van taken in het sociaal domein in de eigen gemeente en de daarbij behorende doelen en regels, ontbreekt.
De Autoriteit Persoonsgegevens concludeert verder dat de grondslag van de toestemming vaak wordt gebruikt in gevallen waarin er ook een andere grondslag mogelijk is. De Autoriteit Persoonsgegevens wijst erop dat moet worden voorkomen dat burgers het idee krijgen dat er alleen gegevens over hen mogen worden verwerkt als zij daarvoor toestemming geven, terwijl dat in werkelijkheid niet zo is. Daarmee worden burgers niet goed geïnformeerd over hoe de Wbp werkt. Daarnaast is de Autoriteit Persoonsgegevens van mening dat in het sociaal domein vaak geen sprake zal zijn van een toestemming die aan de hier eerder genoemde vereisten (zonder dwang, voldoende specifiek en goed geïnformeerd) voldoet. Vooral niet als gemeenten die toestemming vragen in situaties waarin de betrokkenen afhankelijk zijn van de gemeente voor hulp, zoals de intake/toegangsverlening. Betrokkenen kunnen daarbij niet in vrijheid toestemming geven, aldus de Autoriteit Persoonsgegevens.
“Als je de klant integraal wilt kunnen bekijken moet je natuurlijk wel het hele plaatje in beeld kunnen krijgen”
Helpende hand?
De Autoriteit Persoonsgegevens onderkent de complexiteit van de taak van gemeenten in het sociaal domein: zij moeten, terwijl de praktijk zich nog aan het ontwikkelen is, helderheid scheppen zonder verdere handreikingen van de wetgever. Daarnaast geeft de Autoriteit Persoonsgegevens aan dat gemeenten een overzicht nodig hebben van de doelen, grondslagen en persoonsgegevens in het sociaal domein. Dit overzicht is onder meer noodzakelijk om de taken in het sociaal domein te onderkennen die niet wettelijk zijn geregeld.
Dit artikel heeft ook gestaan in het magazine Privacy van Sociaalweb.
Algemene Verordening Gegevensbescherming
Met ingang van 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming 2016/679 de Wet bescherming persoonsgegevens. De in dit artikel behandelde grondslagen worden met deze verordening niet wezenlijk gewijzigd. Wel is in de AVG opgenomen dat toestemming geen geldige rechtsgrond kan zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke. Daarvan is met name sprake wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend.
De slimste manier om privacy en informatieveiligheid te borgen
Als FG, CISO of PO heeft u de risico’s rond privacy en informatieveiligheid goed in kaart gebracht. Maar hoe houdt u zicht op alle vervolgstappen die de organisatie moet zetten? Hoe zorgt u dat afdelingen doen wat ze moeten doen? En hoe zorgt u dat iedereen dat eens in de zoveel tijd controleert? Want privacy en informatieveiligheid vraagt om continue aandacht. De totaaloplossingen KiC Privacy en KiC Informatieveiligheid van Stimulansz helpt u hierbij op een slimme manier.