Verwerking van persoonsgegevens in het kader van de gemeentelijke taken ingevolge Jeugdwet en Wmo. Een privacynotitie voor de regio Nijmegen

Transcriptie

1 Verwerking van persoonsgegevens in het kader van de gemeentelijke taken ingevolge Jeugdwet en Wmo Een privacynotitie voor de regio Nijmegen 1

2 Verwerking van persoonsgegevens in het kader van de Jeugdwet en Wmo Deze notitie beschrijft het juridisch kader voor de verwerking van persoonsgegevens in het kader van de gemeentelijke taken uit de Jeugdwet en de Wmo Met de decentralisaties van de jeugdzorg, onderdelen van de AWBZ en taken op het terrein van werk en inkomen worden gemeenten verantwoordelijk voor een brede waaier aan taken, op verschillende terreinen. De opdracht aan gemeenten om de kwaliteit van hulp en ondersteuning in het sociaal domein te verbeteren vraagt om een andere manier van werken. De nieuwe wetgeving geeft gemeenten veel beleidsvrijheid bij het vormgeven aan integraliteit van dienstverlening. Het is nadrukkelijk de bedoeling dat gemeenten een zo integraal mogelijke beleid voeren en dat schotten tussen beleidsterreinen worden weggenomen. Een dergelijke integrale aanpak leidt ertoe dat persoonsgegevens die in het ene deel van het sociaal domein voor de daartoe omschreven doelen worden verwerkt ook in de overige delen van het sociaal domein (moeten) worden gebruikt. Daarbij zal ook sprake zijn van bijzondere persoonsgegevens, zoals medische en strafrechtelijke gegevens. Aan de andere kant heeft de burger het recht op eerbiediging van zijn persoonlijke levenssfeer. Dit wordt erkend in verschillende verdragen en in de Grondwet. De gegevensverwerking moet plaatsvinden binnen de kaders van de privacywetgeving. Het is van groot belang dat het gebruik van de informatie zorgvuldig gebeurt en dat de privacybelangen van de burger continu gewaarborgd zijn. Bovenmatige en onnodige gegevensverwerking dient te worden voorkomen. Gezien dit spanningsveld is het van belang dat een juridisch kader wordt geschetst voor de verwerking van persoonsgegevens dat handvatten biedt voor een zorgvuldige en betere wijze van gegevensverwerking binnen het sociaal domein. 1 Het juridisch kader De Wet bescherming persoonsgegevens (Wbp) is leidend als kader voor het goed en zorgvuldig omgaan met persoonsgegevens. Zij is de uitwerking van internationaal en Europees recht en van de Grondwet. Voor het sociaal domein zijn verder de verschillende materiële wetten (Jeugdwet, Wet maatschappelijke ondersteuning 2015 (Wmo) en participatiewet) van belang. Zowel in de Wmo als in de Jeugdwet zijn bepalingen opgenomen over gegevensdeling. Voor BIG-geregistreerden speelt de Wet geneeskundige behandelingsovereenkomst, met daarin het medisch beroepsgeheim, een rol. De Wbp vereist dat persoonsgegevens op een behoorlijke en zorgvuldige manier worden verwerkt en alleen gebruikt kunnen worden voor duidelijk omschreven doelen. Persoonsgegevens mogen slechts worden verwerkt als daar een wettelijke grondslag voor is. De Wbp somt limitatief de gronden op voor gegevensverwerking.voor zover van belang worden hier genoemd: - de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen, of - de gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt. Indien één van deze grondslagen ontbreekt kunnen persoonsgegevens verwerkt worden op voorwaarde dat de betrokkene zijn ondubbelzinnige toestemming heeft verleend. Als geen toestemming is verleend of kan worden gevraagd, kunnen persoonsgegevens worden verwerkt als dat noodzakelijk is ter vrijwaring van een vitaal belang van betrokkene. De jurisprudentie legt de aanwezigheid van een vitaal belang eng uit. Medische gegevens zijn bijzondere persoonsgegevens volgens de Wbp. Daarvoor geldt een verzwaarde toets: in principe mogen deze gegevens niet verwerkt worden, tenzij betrokkene daarvoor zijn uitdrukkelijke toestemming heeft verleend of de gegevens uitdrukkelijk openbaar zijn gemaakt. Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke 2

3 dienstverlening mogen gegevens betreffende de gezondheid verwerken voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is. Hulpverleners mogen de gegevens zonder toestemming delen met andere hulpverleners die bij de behandeling betrokken zijn. Vervolgens moet bij elke verwerking zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Ingevolge het subsidiariteitsbeginsel mogen persoonsgegevens alleen worden verwerkt als dat doel in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kan worden verwerkelijkt. De Wbp bepaalt voorts dat er niet méér gegevens mogen worden verwerkt dan noodzakelijk zijn voor het doel. De verantwoordelijke moet de nodige maatregelen treffen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn. Verdere verwerking van persoonsgegevens is alleen toegestaan op een wijze die verenigbaar is met de doeleinden waarvoor ze zijn verkregen. Bij de afweging of verdere verwerking verenigbaar is wordt rekening gehouden met: a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor de betrokkene; d. de wijze waarop de gegevens zijn verkregen en e. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. Met dit kader voor ogen zal steeds de afweging gemaakt moeten worden of verwerking van persoonsgegevens in het specifieke geval rechtmatig is. In het algemeen geldt dat terughoudend omgegaan moet worden met het verwerken van persoonsgegevens. Voorts bepaalt de Wbp dat betrokkene geïnformeerd dient te worden over de verwerking van zijn persoonsgegevens. Als de gegevens van betrokkene zelf verkregen worden dient hij voorafgaand aan de vraag naar persoonsgegevens geïnformeerd te worden over het doel van de verwerking en wie de verantwoordelijke is. Als de gegevens op een andere wijze verkregen worden, dient betrokkene geïnformeerd te worden op het moment van vastlegging of verstrekking aan een ander van de persoonsgegevens. Het informeren kan achterwege blijven als het onmogelijk is, een onevenredige inspanning kost of indien vastlegging of verstrekking van de gegevens bij wet is voorgeschreven. Ten slotte worden het rechten van betrokkene (inzage en correctie) beschreven en de wordt de verantwoordelijke verplicht passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beveiligen. Dit juridisch kader van de Wbp geldt in principe voor alle gegevensverwerkingen, tenzij in de betreffende bijzondere wet daarvan wordt afgeweken. Zoals bijvoorbeeld bij het medisch beroepsgeheim van de Wet op de geneeskundige behandelingsovereenkomst. Wmo 2015 De Wmo 2015 voorziet in een wettelijke basis voor het overdragen van individuele cliëntgegevens aan gemeenten voor zover noodzakelijk voor het uitvoeren van de wettelijke taken. De Wmo 2015 regelt uitvoerig welke gegevens het college, de aanbieder van een voorziening (in natura of middels pgb), het Centraal Administratiekantoor (CAK), de Sociale Verzekeringsbank (SVB) of de instantie die belast is met de vaststelling en inning van een eigen bijdrage in de maatschappelijke opvang en/of beschermd wonen, de toezichthoudende ambtenaren en het AMHK mogen verwerken (zie bijlage 1). Limitatief is opgesomd aan welke entiteiten en onder welke voorwaarden gemeenten gegevens kunnen verstrekken. Vervolgens is per entiteit bepaald aan welke entiteiten zij persoonsgegevens 3

4 mogen verstrekken, indien noodzakelijk ter uitvoering van met name genoemde acties uit de Wmo Verder besteedt de Wmo 2015 aandacht aan de rechten van betrokkene op het gebied van informatie en inzage, aan de bewaartermijn en vernietiging van het dossier. Tot slot krijgt het college de opdracht de wijze van uitvoering van de Wmo af te stemmen met zorgverzekeraars en afspraken met hen te maken over beleid ten aanzien van maatschappelijke ondersteuning, publieke gezondheid, zorg, jeugdzorg, welzijn en preventie, teneinde te komen tot een integrale dienstverlening aan cliënten en verzekerden. Ter uitvoering van die afspraken verstrekken het college en de aanbieders de benodigde persoonsgegevens aan de zorgverzekeraars. Jeugdwet Binnen de taken die de Jeugdwet kent 1 waarbij persoonsgegevens zullen worden verwerkt, moet onderscheid gemaakt worden tussen: 1. de toegang tot en 2. de uitvoering van de jeugdhulp, 3. de uitvoering van kinderbeschermingsmaatregelen en jeugdreclassering en 4. de financiering. Ad. 1. Inzake de toegang tot jeugdhulp (en het treffen van de voorziening op het gebied van jeugdhulp) mogen gegevens verwerkt worden die het mogelijk maken om te bepalen of het nodig is dat voor een jeugdige een voorziening wordt getroffen en zo ja, welke. Afhankelijk van de route die door de jeugdige en diens ouders wordt gevolgd (via de huisarts of via de gemeentelijk te organiseren toegang) zijn hier verschillende regels op van toepassing. Ad. 2. Bij de uitvoering van de jeugdhulp zijn de instellingen die de jeugdhulp leveren gebonden aan de regels van het desbetreffende werkveld, ook wat betreft de gegevensverwerking (jeugdhulp, waaronder geneeskundige behandeling). Ad. 3. De uitvoering van kinderbeschermingsmaatregelen en jeugdreclassering geschiedt feitelijk door de gecertificeerde instelling. In dit kader zal de gecertificeerde instelling persoonsgegevens delen met de jeugdhulpaanbieder in het kader van de uitvoering van jeugdhulp en met de gemeente in het kader van de financiering. De gecertificeerde instelling is gehouden aan het privacy kader dat voor hem geldt. Ad 4. Inzake de financiering zal de gemeente gegevens verwerken in verband met de inkoop, bekostiging en betaling van jeugdhulp en de uitvoering van kinderbeschermingsmaatregelen en jeugdreclassering. Voor zover het daarbij om persoonsgegevens gaat, betreft het met name gegevens in het kader van de facturering. Ook waar sprake is van zeldzame, kostbare jeugdhulp, die niet door de gemeente is ingekocht, zal de gemeente om zijn jeugdhulpplicht uit te voeren, moeten weten voor welke persoon en welk probleem een voorziening moet worden getroffen. Uit de Jeugdwet, de Wbp en het Burgerlijk Wetboek is op hoofdlijnen af te leiden welke persoonsgegevens gemeenten, jeugdhulpaanbieders, het Advies- en Meldpunt Huiselijk geweld en Kindermishandeling (AMHK) of gecertificeerde instellingen in het kader van een goede uitvoering van de wet primair verwerken (Bijlage 2). Omdat de mogelijkheden van gegevensverwerking in de Jeugdwet minder ingekaderd zijn dan in de Wmo 2015, is het belang dat in concrete gevallen de proportionaliteit en subsidiariteit wordt afgewogen veel groter dan in de Wmo Gegevensuitwisseling over de domeinen heen Voor het overgrote deel van de situaties waarin burgers een beroep doen op de overheid voor ondersteuning geldt dat de dienstverlening zich afspeelt binnen één domein (jeugd, Wmo of Werk en Inkomen). De noodzakelijke gegevensverwerking is geregeld in de betreffende sectorwetgeving. 1 De toegangstaak (art. 2.6, eerste lid, onderdeel b), de jeugdhulpplicht (art. 2.3, eerste lid), meldingen doen aan de raad voor de kinderbescherming (art. 2.4, eerste lid), uitvoeren van kinderbeschermingsmaatregelen en jeugdreclassering (art. 2.4, tweede lid), het voorzien in een toereikend aanbod (artikel 2.6, eerste lid, onderdeel a) en de dossierplicht (art ). 4

5 De wijze van gegevensverwerking binnen een domein is neergelegd in de algemene regelgeving over het verwerken van persoonsgegevens, met name in de Wbp en aanvullend in de relevante sectorwetgeving. Dit laatste geldt ook voor de meeste multiprobleemhuishoudens, omdat de sectorwetgeving regelt onder welke omstandigheden voor het ene domein verzamelde gegevens verder kunnen worden verwerkt voor een hulpvraag of voorziening in een ander domein 2. Elke keer als gegevens verwerkt (lees: uitgewisseld, gebruikt etc.) worden voor een ander doel dan waarvoor de gegevens verzameld zijn, moet deze afweging op basis van de concrete omstandigheden van het geval plaatsvinden. Uitwisseling van gegevens tussen domeinen dient zich te beperken tot 'dat-informatie'. Dat-informatie' beperkt zich tot het gegeven dàt iemand ondersteuning ontvangt. Signaleren gebeurt alleen met 'dat-informatie'. Het uitwisselen van 'watgegevens' is niet nodig en daarom niet toegestaan. 3 Meest gehoorde kritiek over gegevensverwerking in de decentralisaties Als een burger ondersteuning of jeugdhulp nodig heeft, beoordeelt de gemeente straks welke hulp geboden kan worden. Bij deze beoordeling worden gemeenten wettelijk verplicht zeer breed de persoonlijke situatie van de burger te bekijken. Zo worden in de Wmo maar liefst acht aandachtsgebieden genoemd waar gegevens over verzameld moeten worden, waaronder onderwijs, religieuze overtuiging, betaald werk, hulp volgens de Jeugdwet en de ontvangen ondersteuning volgens de Participatiewet (onder andere bijstand, Wajong en sociale werkplaats). Gemeenten zijn straks ook bevoegd gegevens te verzamelen over familie, huisgenoten en anderen in het sociale netwerk van de 'cliënt' om te beoordelen waar deze personen kunnen bijspringen. Gemeenten krijgen op deze manier een totaalbeeld van het leven van een burger. De vrees bestaat bij de critici voor bovenmatige gegevensverwerking. Uitgangspunt in de wet is dat betrokkene toestemming voor het gebruik van gegevens geeft. Volgens de wet bescherming persoonsgegevens (Wbp) dient toestemming vrijwillig, geïnformeerd en specifiek gegeven te worden, maar daarvan is in het wetsvoorstel geen sprake. Als de burger geen toestemming geeft, krijgt hij namelijk geen of minder ondersteuning. Met dat als gevolg, is toestemming geven dus niet vrijwillig. Gemeenten zijn volledig vrij de uitvoering zelf in te vullen en eigen kaders te scheppen. Critici vrezen dat dit tot privacy-schendingen zal leiden. Daarom is het van belang dat bij de uitvoering van de taken in het kader van de decentralisaties zorgvuldig omgegaan wordt met persoonsgegevens en transparant is hoe dat gebeurt. 4 De beleidsvisie van het Rijk Als reactie op deze kritiek en de roep vanuit onder andere het Cbp om een overkoepelende visie, heeft het Rijk de beleidsvisie Zorgvuldig en bewust, gegevensverwerking en privacy in een gedecentraliseerd sociaal domein gepresenteerd. De conclusie is dat het bestaande en in de nieuwe wetten gegeven kader voor gegevensverwerking zou moeten kunnen volstaan voor de uitvoering in de praktijk van de verschillende taken en werkzaamheden van gemeenten. De visie van het Rijk is gebouwd op drie pijlers: 1. Balans tussen noodzakelijke gegevensverwerking vanuit de maatschappelijke opgave in het sociale domein en borging van de privacy; 2. Versterking van de positie van de burger; 3. Versterking van de democratische verantwoording over gegevensverwerking en privacy op lokaal niveau. 1. Balans tussen noodzakelijke gegevensverwerking en borging van de privacy 2 Aldus de Beleidsvisie Zorgvuldig en bewust, pagina 3. 5

6 De burger moet erop kunnen vertrouwen dat niet onnodig of bovenmatig gegevens verwerkt worden en dat gegevens goed zijn beveiligd tegen ongeoorloofde inzage en gebruik. De nieuwe Wmo vraagt van gemeenten om breed te kijken als een burger zich meldt met een hulpvraag. Zij moeten onderzoeken of samenwerking met instanties uit andere domeinen noodzakelijk is (waaronder zorg, jeugdhulp, onderwijs, werk en inkomen). Dit roept een dilemma op: wanneer is breed kijken breed genoeg en wanneer wordt het onnodig of bovenmatig? Hieruit volgt dat het van belang is om effectief het onderscheid te maken tussen eenvoudige situaties en potentiële multiprobleemsituaties. Dat kan door het inrichten van een zorgvuldig proces van triage waarin stapsgewijze afwegingen ten aanzien van gegevensverwerking een plaats hebben. Privacy wordt zo een onderdeel van de kwaliteit van het dienstverleningsproces en de professionaliteit van de medewerker. 2. Versterking van de positie van de burger. Het is van belang dat de burger weet en het vertrouwen heeft dat hij tegen gegevensverwerking door de overheid in verweer kan komen. Hij moet een zichtbare, laagdrempelige en gezaghebbende plek hebben om klachten te uiten met betrekking tot de verwerking van zijn persoonsgegevens en privacy. Het Rijk roept tenminste tot aan de eerste evaluatie van de decentralisatiewetten een ombudsfunctie in het leven rond gegevensuitwisseling in het sociale domein. Gemeenten en samenwerkingspartners moeten een actief beleid hebben om burgers te wijzen op hun rechten, zoals bezwaar en beroep, inzage en correctie van gegevens. Het moet eenvoudiger worden voor burgers om te kunnen weten welke personen op welk moment zijn gegevens hebben ingezien, tenzij er zwaarwegende redenen zijn om dit niet te doen. Met betrekking tot gegevensbeveiliging is het uitgangspunt dat gegevensuitwisseling tenminste voldoet aan de Baseline Informatiebeveiliging Gemeenten en uiteraard aan de verplichtingen die voortvloeien uit de materiële wetten, waaronder de Jeugdwet en Wmo Toegang van persoonsgegevens is beveiligd op basis van autorisaties. Alle gegevensuitwisseling vindt plaats in beveiligde systemen en via beveiligde infrastructuren. De wijze waarop gemeenten omgaan met de verwerking van persoonsgegevens in het kader van de decentralisaties wordt onderdeel van de evaluatie van de decentralisaties van het Rijk. 3. Versterking van de democratische verantwoording over privacy op lokaal niveau Het college is verantwoordelijk voor de zorgvuldigheid van de gegevensverwerking die door of namens de gemeente plaatsvindt. Zij stelt eisen aan beveiliging en borging van privacy en is verantwoording verschuldigd aan de raad voor de wijze waarop het hieraan invulling geeft. De afspraken die gemeenten maken over gegevensverwerking en privacy dienen transparant te zijn en onderdeel van het lokale democratische proces. Voor zover de gemeente haar taken in samenwerking uitvoert, is het college ervoor verantwoordelijk dat gegevensverwerking is ingebed in een zorgvuldig proces van triage en maakt hierover afspraken met samenwerkingspartners. Ook indien de gemeente een deel van haar taken uitbesteed aan private partijen, blijft de gemeente verantwoordelijk voor de zorgvuldigheid van de gegevensverwerking. Zij moet dit borgen in de contracten met de uitvoerende partijen, waarin een beveiligingsniveau moet worden afgesproken dat minimaal op het niveau als neergelegd in de Baseline Informatiebeveiliging Gemeenten (BIG) moet zijn. Ook moet continuïteit van dienstverlening worden afgesproken (bv. bij storingen of faillissement) en ook, waar nodig, afspraken bevatten over voorafgaand overleg bij voorgenomen aanpassingen in de ondernemingsrechtelijke structuur om het risico op doorgifte van persoonsgegevens aan derde landen zoveel mogelijk te beperken. Hergebruik van gestandaardiseerde gegevens voor standaardprocessen en voorzieningen Hergebruik van gestandaardiseerde gegevens moet zijn geregeld in de wet- en regelgeving van de betreffende sectoren, op basis van wederkerigheid. Bijvoorbeeld de mogelijkheid om de toekenning van bepaalde voorzieningen afhankelijk te stellen van de hoogte van het inkomen. Het gebruik van 6

7 de daarvoor noodzakelijke gegevens moet zowel in de regelgeving van de Wmo als SUWI geborgd zijn. Triage Het is van belang dat gemeenten het vermogen ontwikkelen om effectief onderscheid te maken tussen eenvoudige en meervoudige situaties en potentiële complexe (multi)problematiek. Dat kan door het inrichten van een zorgvuldig triageproces. Triage is het proces van verhelderen, routeren en escaleren (bijvoorbeeld naar een veiligheidshuis) van vragen en casussen. Triage zoals het in deze notitie gebruikt wordt moet niet verward worden met de triage die in de gezonheidszorg plaatsvindt Triage betekent hier dat er een stapsgewijs proces plaatsvindt waarin de afweging wordt gemaakt of gegeven de situatie, bredere of diepgaandere gegevensverwerking noodzakelijk is of niet, en zo ja, met welk doel. Het is erop gericht om op een gestructureerde en gestandaardiseerde manier de mate van integraliteit vast te stellen. Met andere woorden: is er sprake van een enkelvoudige of meervoudige vraag, of complexe multiproblematiek? Een enkelvoudige vraag kan snel worden afgehandeld. Als blijkt dat sprake is van een meervoudige vraag kan bijvoorbeeld gekozen worden om andere leden van het sociaal wijkteam in te zetten voor integrale afhandeling van de hulpvragen. Wanneer sprake is van een zware multiprobleemcasus is het wellicht nodig om te zorgen voor escalatie naar het regieteam of naar het veiligheidshuis. Door middel van triage wordt bepaald waar in de piramide de vraag thuishoort en welke mate van gegevensverwerking noodzakelijk is. Zo wordt privacy onderdeel van de kwaliteit van het dienstverleningsproces en de professionaliteit van de medewerker en wordt bovenmatige en onnodige gegevensdeling en uitvraag voorkomen. De ondersteuning en de daarvoor noodzakelijke gegevensverwerking zullen in de regel in samenspraak met betrokkene plaatsvinden. Echter ook dan heeft de overheid de plicht om terughoudend om te gaan met de uitvraag en registratie van persoonsgegevens. Zij is dan gehouden aan de criteria van noodzaak, subsidiariteit en proportionaliteit. Slechts in een zeer beperkt aantal gevallen zal de overheid gegevens uitwisselen buiten de betrokkenheid en zonder samenspraak met betrokkene. Tijdens het proces van dienst- en zorgverlening in het sociale domein kunnen zich tal van keuzes voordoen, waarin professionele inschattingen gemaakt moeten worden die betrekking hebben op het belang van gezondheid en veiligheid enerzijds en het belang van privacy anderzijds. Daarbij is het goed uitvoeren van triage belangrijk. Triage kan op meerdere punten in het proces plaatsvinden. Vragen die de betreffende medewerker zich bijvoorbeeld achtereenvolgens kan stellen zijn: -moet ik de situatie verder met de klant verkennen, of kan ik de aanvraag meteen in behandeling nemen en afhandelen als gestandaardiseerd proces? -is hier sprake van een meervoudige problematiek en moet ik meerdere professionals betrekken om te komen tot een samenhangend plan of niet? En als hij besluit gegevens te delen met andere professionals: -wat is het doel van dit casusoverleg en wie moeten daarbij aanwezig zijn? -welke informatie willen we met elkaar delen en waar liggen de grenzen? De antwoorden op die vragen bepalen de mate waarin er gegevens worden verwerkt en informatie wordt uitgewisseld tussen professionals en instanties. Uitgangspunten bij een zorgvuldig en transparant triageproces: De gemeente richt een zorgvuldig proces van triage in voor de dienstverlening in het sociaal domein en maakt hierover afspraken met samenwerkingspartners Voor de betrokken(n) moet altijd duidelijk zijn waarom gegevens worden verwerkt of uitgewisseld en deze moet(en) de mogelijkheid hebben om bezwaren kenbaar te maken. Hierop zijn uitzonderingen mogelijk. De betrokkene(n) worden altijd geïnformeerd over het verwerken van persoonsgegevens. Hierop zijn uitzonderingen mogelijk. Als gegevens worden verwerkt zonder betrokkene(n) hierover vooraf te informeren, worden zij hier altijd zo spoedig mogelijk achteraf over geïnformeerd. 7

8 Aan verwerken van gegevens zonder de betrokkenen hier vooraf over te informeren ligt een voor de burger verifieerbaar besluit ten grondslag. Er wordt in principe gesproken met de betrokkene(n), in plaats van over de betrokkene(n). Dat betekent dat bij casusoverleg betrokken burgers altijd aanwezig kunnen zijn bij hun eigen casus en worden betrokken bij het opstellen van het ondersteuningsplan. Hierop zijn uitzonderingen mogelijk. De juridische kaders en professionele standaarden van professionals worden gerespecteerd. in de afspraken tussen gemeente en samenwerkingspartners en op de werkvloer. Het verwerken van persoonsgegevens gebeurt alleen op need-to-know basis en zoveel mogelijk op basis van zogenaamde dat-informatie. De gemeente heeft te allen tijde de plicht om de verwerking van persoonsgegevens zo minimaal mogelijk te houden. Ook als verwerking gebeurt in samenspraak met betrokkene(n). De privacy en de beveiliging van gegevens in geautomatiseerde systemen wordt geborgd volgens de principes van Privacy en security by design. Gemeenten werken conform de wettelijke bepalingen voor gegevensbeveiliging en implementeren de Baseline Informatiebeveiliging Gemeenten. 5 Het sociaal wijkteam Hoe wordt het geschetste juridisch kader en de beleidsvisie van het Rijk vormgegeven in het Sociaal wijkteam? De sociaal wijkteams hebben een spilfunctie in het realiseren van de Wmo-doelstellingen en de vertegenwoordiging van het jeugddomein wordt in de wijkteams versterkt. Het sociaal wijkteam voert taken die de wet aan het college opdraagt, in mandaat uit. Dat betekent dat waar de Wmo 2015 en de Jeugdwet het college bevoegdheden geeft voor het verwerken van persoonsgegevens, deze bevoegdheid overgaat op het sociaal wijkteam. Uit het Beleidskader Wmo en Jeugd blijkt dat wordt toegewerkt naar een netwerk van professionals in de 0 e, 1 e en 2 e lijn, die korte lijnen met elkaar hebben. Afhankelijk van de situatie in de wijk kan de jeugdhulpverlener een vaste plek in het sociaal wijkteam krijgen, of worden goede afspraken gemaakt met scholen en kinderopvang. Dat betekent dat niet alleen persoonsgegevens binnen het sociaal wijkteam zullen worden uitgewisseld, maar ook tussen leden van het sociaal wijkteam en andere professionals uit het netwerk. Dit alles moet gebeuren binnen de grenzen van de privacywetgeving. In bijlagen 1 en 2 zijn de juridische kaders uit de Wmo 2015, respectievelijk de grondslagen voor gegevensverwerking ingevolge de jeugdwet opgenomen. 5.1 Gegevensverwerking binnen het sociaal wijkteam Om dit te borgen wordt een convenant opgesteld waarin de afspraken over het omgaan met de verwerking van persoonsgegevens worden vastgelegd. Alle leden van het Sociaal wijkteam zijn gehouden aan dit convenant. Belangrijk uitgangspunt is dat de verwerking van persoonsgegevens zo transparant mogelijk is voor de burger en met zijn toestemming plaatsvindt. Voorts wordt de doelbinding beschreven, wie de verantwoordelijke in de zin van de Wbp is, wat het afwegingskader is bij de beoordeling of gegevens verwerkt mogen worden binnen het sociaal wijkteam en in het geval van uitwisseling met derden. Speciale aandacht wordt besteed aan de verwerking van medische en/of strafrechtelijke gegevens en de uitdrukkelijke toestemming die hiervoor nodig is. Voorts wordt afgesproken en beschreven welke gegevens vastgelegd kunnen worden in het geautomatiseerde systeem, wat de rechten van betrokkene zijn en hoe hij ze kan uitoefenen. Tenslotte worden afspraken opgenomen over bewaartermijnen en beveiliging tegen verlies of onrechtmatig gebruik van de persoonsgegevens. Persoonsgegevens worden alleen uitgewisseld tussen de leden van het Sociaal wijkteam die betrokken zijn bij de betreffende casus. In de praktijk zal in veel gevallen na een melding van betrokkene dat hij behoefte heeft aan maatschappelijke ondersteuning of jeugdhulp een onderzoek plaatsvinden. Uitgangspunt is dat de 8

9 hulpvraag leidend is. Het onderzoek zal in eerste instantie plaatsvinden op basis van informatie die de burger geeft. De professional maakt vervolgens de afweging of het noodzakelijk is om gegevens te delen met een ander wijkteamlid, of met een derde. Het zal dan in eerste instantie gaan om dat gegevens. Dat zijn gegevens die aangeven dat sprake is van een bepaalde situatie, vorm van ondersteuning of voorziening, zonder inhoudelijke informatie. Als hij inschat dat het nodig is derden te consulteren, vraagt hij daarvoor toestemming aan betrokkene. In samenspraak met betrokkene en andere professionals wordt vervolgens een samenhangend plan van aanpak gemaakt. Als betrokkene geen toestemming voor gegevensdeling geeft, moet de professional inschatten of de situatie dusdanig is dat hij de bezwaren van betrokkene naast zich neerlegt, of niet. Voor de professionele derde met wie het wijkteamlid gegevens wil delen speelt de afweging of hij vanuit de juridische kaders en richtlijnen van zijn professie informatie kan delen of niet en tot op welk niveau. Toestemming Uitgangspunt bij de toegangspoort tot maatschappelijke ondersteuning en jeugdzorg is dat betrokkene altijd om toestemming voor gegevensuitwisseling gevraagd wordt. Indien de betrokkene minderjarig is en de leeftijd van zestien jaren nog niet heeft bereikt, of onder curatele is gesteld, dan wel ten behoeve van de betrokkene een mentorschap is ingesteld, is de toestemming van de wettelijk vertegenwoordiger vereist. Een toestemming kan door de betrokkene of zijn wettelijk vertegenwoordiger te allen tijde worden ingetrokken. Om daadwerkelijk te kunnen spreken van toestemming zijn drie punten essentieel: 1. betrokkene moet in vrijheid zijn wil kunnen uiten; 2. de wilsuiting moet betrekking hebben op een bepaalde gegevensverwerking, of een bepaalde categorie van gegevensverwerkingen; 3. betrokkene moet beschikken over de noodzakelijke inlichtingen om het geven van toestemming goed te kunnen beoordelen (informatieplicht van de verantwoordelijke). Dat kan betekenen dat in een bepaald geval betrokkene toestemming gevraagd wordt voor gegevensverwerking binnen het Sociaal wijkteam ten behoeve van de beoordeling van zijn behoefte aan jeugdhulp, voor gegevensverwerking over de domeinen heen omdat uit de triage blijkt dat er noodzaak is integraal te kijken naar de situatie van het gezin en voor gegevensuitwisseling met bijvoorbeeld de huisarts in het kader van de hulpvraag. Informeren Uitgangspunt is dat betrokkene tijdig geïnformeerd wordt over het gebruik van de gegevens, ook als dit zonder zijn toestemming gebeurt. Concreet betekent dit dat hij geïnformeerd wordt over wie de verantwoordelijke is voor de gegevensverwerking en voor welk doel zijn gegevens verwerkt worden. Een en ander geldt voor zover betrokkene nog niet van deze informatie op de hoogte is. (Complexe) multiproblematiek In sommige gemeenten vindt de aanpak en begeleiding van (complexe) multiproblematiek en woonoverlast in de Sociaal wijkteams plaats, in andere gemeenten is dit op een andere manier belegd. In Wijchen houdt het regieteam zich bezig met deze zware multiproblematiek waarbij sprake is van overlast of een bedreiging van de veiligheid van betrokkene(n) of zijn(/hun) omgeving. In het geval van overlastveroorzakers en huishoudens met complexe multiproblematiek, zal het vragen van toestemming soms geen optie zijn. Het is dan van belang dat de professional die het signaal ontvangen heeft de afweging maakt of er een andere grond is om toch gegevens uit te wisselen. Veelal zal in deze gevallen de afweging zijn of er sprake is van een risico voor de gezondheid of veiligheid van betrokkene zelf en/of anderen, dat zodanig is dat het belang van ingrijpen en daartoe gegevens uitwisselen zwaarder weegt dan het belang van bescherming van de privésfeer van betrokkene. In dat geval is het Rijk van mening dat een grondslag voor gegevensverwerking gevonden kan worden in artikel 8d van de Wbp: vrijwaring van een vitaal belang van betrokkene. In de juridische praktijk wordt dit criterium eng geïnterpreteerd. Regelmatig 9

10 dient te worden geëvalueerd door de professional of er nog steeds redenen zijn de rechten van betrokkene te beperken. Voor de situaties die gedefinieerd kunnen worden als bemoeizorg, zoals in het Wijchense regieteam, is de handreiking Gegevensuitwisseling in het kader van bemoeizorg door GGD Nederland, GGZ Nederland en KNMG geschreven. Bemoeizorg wordt in de handreiking gedefinieerd als het bieden van (ongevraagde) hulp aan (zorgwekkende) zorgmijders met een (vaak) complexe problematiek, waarbij verbetering van de kwaliteit van leven en reductie van overlast als uitgangspunten dienen. In de handreiking wordt beschreven dat tot het tijdelijk beperken van de rechten van de cliënt (waaronder het verstrekken van persoonsgegevens aan anderen zonder diens toestemming) in de bemoeizorg alleen wordt overgegaan indien daartoe een evident belang aanwezig is. Het zal daarbij altijd moeten gaan om een dringend gezondheidsbelang van de cliënt, al dan niet gecombineerd met ernstige overlast die deze cliënt voor anderen veroorzaakt. Casusoverleg Binnen het Sociaal wijkteam vinden werkoverleggen plaats, waarin casussen geanonimiseerd besproken worden. Er is dan geen sprake van tot de persoon herleidbare gegevens, dus niet van persoonsgegevens. Gewaakt dient te worden dat er niet zoveel details gedeeld worden dat de casus toch tot de persoon herleidbaar wordt voor een of meerdere deelnemers aan het casusoverleg. Afwegingskader 3 De volgende afweging moet elke keer worden gemaakt wanneer een professional voornemens is om gegevens te verwerken. Dat kan dus op meerdere momenten in het proces zijn. -Doel: wat is het doel dat wordt nagestreefd met het verwerken van persoonsgegevens? -Noodzaak: wat is de noodzaak om de persoonsgegevens in een bepaald geval te willen delen met andere betrokken professionals? Concretiseer de zorgen en inventariseer welke acties beschikbaar zijn om het doel te bereiken (bv anoniem bespreken van de casus met andere professionals, niet anoniem bespreken van gehele dossier met een andere professional). Maak voor het maken van de af- en overwegingen gebruik van de drie principes die eerder zijn besproken in het juridisch kader: -Principe van proportionaliteit Staat de actie in verhouding tot het doel? Geef antwoord op de vraag: Staat het op deze wijze afstemmen en samenwerken in verhouding tot de (veronderstelde) zorgen en het doel dat ik heb met betrokkene? -Principe van subsidiariteit Is dit de minst ingrijpende actie? Is de actie echt nodig met het oog op het belang van betrokkene? Is er een andere (minder ingrijpende actie) mogelijk om het doel te bereiken? Geef een antwoord op de vraag Is het echt nodig - met het oog op het belang van de jongere - dat ik op deze wijze afstem of samen werk met andere betrokken professionals? Of zou het ook wel een tandje minder kunnen? Kan ik het afstemmen en samenwerken op een andere manier doen, uitstellen of nalaten? Bereik ik dan nog mijn oorspronkelijke doel? -Principe van doelmatigheid is dit de meest geschikte actie? Wordt met deze actie het beoogde doel bereikt? Geef een antwoord op de vraag of het op deze wijze afstemmen en samenwerken de (meest) aangewezen weg is, dit met het oog op het belang van betrokkene. Vervolgens is het van belang het gekozen standpunt te motiveren en documenteren. Dit moet niet achteraf gebeuren, maar gedurende het proces. 3 Uit Samenwerken in de jeugdketen. Dit instrument is opgesteld voor jeugdhulpverleners. Het vormt een vertaling van de eisen uit de Wgbo en kan ook goed gebruikt worden om het afwegingskader voor gegevensuitwisseling in andere domeinen helder te krijgen. 10

11 Registratie/dossier In het Sociaal wijkteam zullen persoonsgegevens geregistreerd worden in een geautomatiseerd systeem. Uitgangspunt is ook hier weer dat terughoudend omgegaan wordt met het verwerken van gegevens. Persoonsgegevens worden per persoon en per domein afgescheiden bewaard. Het is aan te raden een apart of afgescheiden dossier te maken voor het plan van aanpak. Daarin worden procesafspraken, betrokken behandelaars, termijnen en dergelijke vastgelegd. Het plan van aanpak bevat géén informatie over de achtergrond van de problematiek of de inhoudelijke overwegingen. De onderliggende detailgegevens worden vastgelegd in een afgescheiden dossier waar alleen de betreffende casusregisseur voor geautoriseerd is. Voor zover het noodzakelijk is dat inhoudelijke gegevens vastgelegd worden in het registratiesysteem van het Sociaal wijkteam, draagt de verantwoordelijke (het college van burgemeester en wethouders) er zorg voor dat ze alleen toegankelijk zijn voor de bij de casus betrokken hulpverleners. Medische en strafrechtelijke gegevens zijn alleen toegankelijk voor de professional die ze heeft ingebracht. Betrokkene heeft te allen tijde inzage in zijn dossier en kan opvragen wie zijn dossier heeft ingezien, of aan wie gegevens zijn verstrekt. Het is dus van belang dat goed gedocumenteerd wordt met wie persoonsgegevens zijn gedeeld. Gedeelten van het dossier zijn niet ter inzage van derden zonder uitdrukkelijke toestemming van betrokkene. De geautomatiseerde verwerking van persoonsgegevens wordt door het college gemeld bij het College bescherming persoonsgegevens. 5.2 Gegevensuitwisseling Sociaal wijkteam derden professionals Het kan noodzakelijk zijn dat het Sociaal wijkteam persoonsgegevens met derden professionals uitwisselt. Zowel met professionals binnen de lokale toegangspoort, met huisartsen, Zorg adviesteams van scholen, of het Advies en Meldpunt Huiselijk geweld en Kindermishandeling (AMHK), als met professionals buiten de lokale toegangspoort, zoals de gecontracteerde aanbieders van jeugdhulp of maatschappelijke ondersteuning in het kader van consultatie en advies. Professionals met medisch beroepsgeheim Op grond van artikel 88 Wet op de Beroepen in de Individuele Gezondheidszorg (Wet BIG) hebben artsen, tandartsen, apothekers, gezondheidszorgpsychologen, psychotherapeuten, fysiotherapeuten, verloskundigen en verpleegkundigen een medisch beroepsgeheim. Aan het medisch beroepsgeheim wordt nadere invulling gegeven in de Wet op de Geneeskundige Behandelingsovereenkomst (Wgbo). De Wgbo is opgenomen in het Burgerlijk Wetboek (BW). De instelling waar een hulpverlener werkzaam is heeft de plicht tot geheimhouding. Daarnaast is de geheimhoudingsplicht voor bijvoorbeeld maatschappelijk werkers geregeld in een beroepscode. Het medisch beroepsgeheim houdt in dat een hulpverlener geen gegevens van een patiënt aan anderen mag verstrekken. Doorbreking van het medisch beroepsgeheim mag alleen als sprake is van: toestemming van de patiënt: de patiënt dient volledig te zijn geïnformeerd alvorens hij toestemming kan geven; informatie-uitwisseling met degenen die direct bij de behandeling zijn betrokken; wettelijk voorschrift; conflict van plichten: Een conflict van plichten kan zich voordoen wanneer een zwaarwegend belang van de patiënt of een ander dan de patiënt de doorbreking van de geheimhoudingsplicht rechtvaardigt, omdat het bewaren van het geheim voor de patiënt of de ander ernstig nadeel of gevaar oplevert. Van een conflict van plichten is slechts in zeer uitzonderlijke gevallen sprake, het moet gaan om een noodsituatie. Deze zorgvuldige afweging dient de hulpverlener zelf te maken. Hij moet kunnen verantwoorden waarom hij inbreuk maakt op de geheimhoudingsplicht die hij tegenover zijn patiënt heeft, of 11

12 wetenschappelijk onderzoek: alleen onder bepaalde voorwaarden kunnen medische gegevens verstrekt worden voor wetenschappelijk onderzoek. De Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG) geeft de volgende richtlijnen aan artsen bij gegevensverstrekking op verzoek van derden: Bij een verzoek om informatie geeft de aanvrager aan met welk doel hij gegevens opvraagt en (indien van toepassing) over welke gegevens hij al beschikt. De aanvrager stelt vervolgens gerichte vragen aan de behandelend arts m.b.t. de gegevens die hij wenst te verkrijgen. De arts dient bij een informatieverzoek van het Sociaal wijkteam: -informatie in te winnen bij verzoeker (waarom informatie nodig: doel?) -navraag te doen bij patiënt en verifiëren of patiënt toestemming heeft verleend aan gemeente (kan rechtsreeks aan arts mondeling of via schriftelijke machtiging). -het concrete verzoek te beoordelen. -anoniem overleg te voeren met collega s met dezelfde gedragscode. -navraag te doen naar de randvoorwaarden voor verstrekking: hoe lang worden de gegevens bewaard, waar en hoe worden ze opgeslagen? -zich te houden aan de dossierplicht (toestemming aantekenen in dossier en vermelden welke informatie met welk doel aan wie is verstrekt). Vervolgens: beantwoording gerichte vragen, slechts relevante medische informatie van feitelijke aard verstrekken. Geen antwoord op vragen van oordelende aard, te algemene of brede vragen. Van belang is dat het medisch beroepsgeheim de gegevens volgt. Dus als een huisarts ervoor kiest om bepaalde gegevens te verstrekken over zijn patiënt, is degene die de gegevens ontvangt gehouden aan het medisch beroepsgeheim voor wat betreft deze gegevens. Voor andere professionals met medisch beroepsgeheim in de zorg geldt dat zij op vergelijkbare wijze als bovenbeschreven de omvang en grenzen van hun zwijgplicht per geval dienen te bepalen. Daarnaast kan de rechter de geheimhouder in sommige gevallen gelasten dat hij zijn geheimhoudingsplicht doorbreekt door inlichtingen te verstrekken of gegevens af te staan voor onderzoek. Er is een aantal meldrechten in het leven geroepen door de wetgever: het beroepsgeheim kan om specifieke redenen verbroken worden, zoals wanneer het vermoeden bestaat van huiselijk geweld en kindermishandeling. Dit geldt bijvoorbeeld voor het AMHK en de Verwijsindex risicojongeren. Voor beroepsgroepen die te maken kunnen krijgen met huiselijk geweld of kindermishandeling zijn meldcodes ontwikkeld, zoals de Meldcode Huiselijk Geweld en Kindermishandeling voor organisaties en zelfstandige beroepsbeoefenaren en de Meldcode Kindermishandeling van de KNMG. Het AMHK Het college is verantwoordelijk voor het organiseren van een AMHK. Het AMHK is ook een lokale toegangspoort. Het AMHK krijgt de wettelijke opdracht om een instelling die passende hulp aanbiedt (als dit nodig is), in kennis te stellen. Dit houdt in dat als het AMHK denkt dat er bepaalde zorg nodig is, de zorgaanbieder hiervan op de hoogte wordt gesteld. Als het nodig is, zal het AMHK de Raad voor de Kinderbescherming (RvdK) en/of de politie inschakelen. Na de melding bij de RvdK zal het AMHK de gemeente informeren. Voor het uitoefenen van deze taken is het onvermijdelijk dat het AMHK persoonsgegevens verwerkt. Dit zal moeten gebeuren binnen de juridische kaders. Het AMHK heeft de bevoegdheid gekregen om zonder medeweten van betrokkene gegevens op te vragen. Het AMHK heeft een eigen privacyprotocol. Veiligheidshuis De meest complexe en risicovolle casuïstiek wordt binnen het veiligheidshuis behandeld. Met het oog op de op- en afschaling is het van belang dat het Veiligheidshuis snel kan schakelen met Sociaal 12

13 wijkteams of regieteams. Daartoe is gegevensuitwisseling tussen het Veiligheidshuis en Sociaal wijkteams in bepaalde gevallen noodzakelijk. Samenwerkingsverbanden passend onderwijs Om ervoor te zorgen dat in de toeleiding naar zorg en ondersteuning wordt gewerkt volgens het principe één kind, één gezin, één plan is intensieve samenwerking tussen gemeenten en de samenwerkingsverbanden passend onderwijs voor het primair en voortgezet onderwijs noodzakelijk. Regionaal werkbedrijf De regie over de extramurale arbeidsmatige dagbesteding valt onder verantwoordelijkheid van het werkbedrijf. De arbeidsmatige dagbesteding is een van de maatwerkvoorzieningen in het kader van de Wmo. Bij het treffen van deze individuele voorziening zal verwerking van persoonsgegevens eveneens noodzakelijk zijn. Justitie en gemeenten In de Jeugdwet is de aansluiting op en het gebruik van de Collectieve Opdracht Routeer Voorziening (CORV) verplicht gesteld. De CORV is een digitaal knooppunt dat zorgt voor de elektronische afhandeling van het formele berichtenverkeer tussen justitiële partijen (de raad voor de kinderbescherming, de politie, het Centraal Justitieel Incassobureau (CJIB) en de rechtbanken) en het gemeentelijke domein (de gemeenten zelf, het advies- en meldpunt huiselijk geweld en kindermishandeling, de gecertificeerde instellingen en de eventuele gemandateerden). De berichtenuitwisseling via de CORV maakt de uitvoeringsketen tussen gemeentelijk en justitiële domein sluitend; specifiek waar het gaat om de informatie die voor partijen o.a. in het kader van jeugdreclassering en jeugdbescherming noodzakelijk is voor regie en uitvoering. De berichten worden veelal uitgewisseld op basis van dat-informatie. Het betreft opdrachten waarbij actie wordt verwacht van de ontvangende partij. Voor aansluiting op de CORV moeten alle partijen beschikken over een beveiligde elektronische aansluiting. De uit te wisselen gegevens kennen een hoge privacy gevoeligheid. De CORV slaat hierom in geen enkele vorm persoonsinformatie op zodat de mogelijkheid om gegevens in te zien niet bestaat. Deze opsomming is niet uitputtend en dient om een indruk te krijgen van de partijen waar het sociaal wijkteam mee te maken kan krijgen. 6 Eenmalige gegevensoverdracht Jeugd (artt en 12.4 Jeugdwet) Gegevens afkomstig van jeugdzorgaanbieders, zorgkantoren, CIZ en bureau Jeugdzorg gaan over naar gemeenten, om de continuïteit van de jeugdhulp te kunnen borgen. De eenmalige overdracht mag niet voor andere doeleinden worden gebruikt dan voor jeugdigen voor wie een reëel probleem dreigt te ontstaan als zij niet tijdig bekend zijn bij gemeenten. Verder gebruik voor de uitvoering van de Jeugdwet (ook na afronding van decentralisatieproces) is toegestaan, echter niet voor de uitvoering van bijvoorbeeld de Wmo of participatiewet. Uiterlijk moeten deze gegevens vernietigd worden, tenzij sprake is van een lopend traject jeugdzorg (10.4, lid 6 Jeugdwet). Wmo De gemeenten ontvangen gegevens van de huidige AWBZ-cliënten die zijn aangewezen op de gemeente voor ondersteuning. Zo kan de gemeente de continuïteit van deze ondersteuning aan de cliënt waarborgen. Ze kunnen al in 2014 in gesprek gaan met de AWBZ-cliënten in hun gemeente. Met een technische voorziening die op landelijk niveau wordt gevuld door CIZ en Vektis krijgen gemeenten via het CAK portaal bestanden met de gegevens van de geselecteerde AWBZ-cliënten. 13

14 Vanaf het moment dat de Wmo 2015 is gepubliceerd in het Staatsblad hebben gemeenten een wettelijke verantwoordelijkheid, ook voor de verdere gegevensverwerking van deze persoonsgegevens. 7. Andere gegevensverwerkingen in de Jeugdwet De verwijsindex risicojongeren De verwijsindex risicojongeren (VIR) is een gesloten digitaal systeem dat risicosignalen van hulpverleners over jongeren (tot 23 jaar) bij elkaar brengt. Het college organiseert de aansluiting van meldingsbevoegde instanties en functionarissen op de verwijsindex en bevordert het gebruik daarvan. Het college draagt er zorg voor dat wordt nagegaan of de meldingsbevoegden die een jeugdige aan de verwijsindex hebben gemeld en vervolgens daaruit een signaal hebben ontvangen, met elkaar contact hebben opgenomen. Uitsluitend voor dit doel heeft degene die dit onderzoekt toegang tot de verwijsindex. 8. Aanbevelingen Voor een zorgvuldige omgang met persoonsgegevens is het van belang om met samenwerkingspartners in gesprek te blijven over privacy. Op die manier wordt de kwaliteit van de gegevensuitwisseling voortdurend gewaarborgd. Het omgaan met persoonsgegevens dient een vast onderdeel uit te maken van de periodieke bijscholing van de professionals in de lokale toegangspoort. Persoonsgegevens uit verschillende domeinen dienen gescheiden te blijven: uitwisseling van gegevens over de domeinen heen zal snel strijd met de Wbp, tenzij dit uitdrukkelijk in beide van toepassing zijnde materiële wetten mogelijk is gemaakt. Daarom wordt aangeraden om, na afweging van noodzaak, proportionaliteit en subsidiariteit, alleen dat informatie over de domeinen heen uit te wisselen. Het is raadzaam dat lokale toegangspoorten, zoals sociaal wijkteams, een privacyconvenant of - protocol hebben, zodat binnen wijkteams afspraken over omgang met persoonsgegevens worden geborgd en het bewustzijn betreffende het belang van privacybescherming wordt verhoogd. Om te voorkomen dat deelnemers in meerdere gemeenten (bv. ZZG) met verschillende convenanten te maken krijgen, is het raadzaam het convenant regionaal af te stemmen. In de regio Nijmegen is een model privacyconvenant opgesteld voor de sociaal wijkteams, geënt op de situatie in Nijmegen, dat is afgestemd met de regio. Voor Wijchen is dit convenant aangepast naar de lokale situatie. Vervolgens dient er aandacht te zijn voor het borgen en handhaven van de toepassing van de afspraken uit het convenant bijvoorbeeld door steeksproefsgewijs dossiers te controleren op de kwaliteit van gegevensverwerking. Tot slot raden alle critici aan een Privacy Impact Assessment (PIA) te laten uitvoeren. PIA s zijn verplicht uitgevoerd betreffende de Wmo 2015 en de Jeugdwet. Ondanks aandringen van onder meer het College bescherming persoonsgegevens is in beide wetten niet verplicht gesteld dat gemeenten PIA s laten uitvoeren betreffende hun regelingen voor gegevensverwerking. Desondanks is het in het kader van de transparantie, zowel naar de burgers als naar de samenwerkingspartners toe, raadzaam een PIA te laten uitvoeren. Het convenant dat ontwikkeld is voor de sociaal wijkteams in de regio Nijmegen is onderworpen aan een PIA. 14

15 15

16 Begrippen AMHK: Advies- en meldpunt huiselijk geweld en kindermishandeling. De naam van het AMHK is Veilig thuis. Betrokkene: degene op wie een persoonsgegeven betrekking heeft. BIG: Baseline Informatiebeveiliging Gemeenten, vast gesteld door de Buitengewone ALV van de VNG BIG-geregistreerde: een zorgverlener die geregistreerd is in het BIG-register, een register op basis van de Wet op de beroepen in de individuele gezondheidszorg, waarin degenen die aan de daarvoor bij en krachtens deze wet gestelde voorwaarden voldoen, op hun aanvrage worden ingeschreven, onderscheidenlijk als arts, tandarts, apotheker, gezondheidszorgpsycholoog, psychotherapeut, fysiotherapeut, verloskundige, verpleegkundige. CAK: Centraal Administratie Kantoor. Casusoverleg: het multidisciplinair overleg met als taken: het inventariseren en analyseren van de verschillende en complexe problemen waarmee een persoon, gezin of huishouden kampt, en het vaststellen en volgen van een gezamenlijke aanpak gericht op het wegnemen dan wel verminderen van deze problemen. CIZ: Centrum Indicatiestelling Zorg. Complexe problematiek: problematiek waarbij een persoon, gezin of huishouden zwaardere vormen van ondersteuning nodig heeft op meerdere terreinen van het sociaal domein, en een samenhangende aanpak noodzakelijk is. Dat-gegevens: gegevens die aangeven dat sprake is van een bepaalde situatie, vorm van ondersteuning of voorziening, of dat voldaan wordt aan een bepaalde norm, zonder in te gaan op de inhoud daarvan. Eén gezin één plan één regisseur: aanpak waarbij de samenwerking tussen zorg-, hulp-, en dienstverleners rond een gezin, persoon of huishouden, vorm krijgt door het opstellen van één samenhangend plan en het aanstellen van één persoon die de uitvoering daarvan coördineert. Eenvoudige problematiek: problematiek waarbij de persoon behoefte heeft aan een of meerdere vormen van ondersteuning, maar waarbij geen sprake is van samenhang tussen de problemen op meerdere leefgebieden. Enkelvoudige problematiek: Problematiek waarbij een persoon behoefte heeft aan ondersteuning op een specifiek gebied. Gezondheid: gegevens betreffende de gezondheid, zoals bedoeld in artikel 16 Wbp, zijn niet alleen gegevens die de gezondheid van een persoon direct betreffen, maar ook gegevens waaruit informatie over de gezondheid van een persoon kan worden afgeleid. Dat kan bv. ook het gegeven zijn dat iemand bij Pro Persona behandeld wordt. 16

17 Meervoudige problematiek: problematiek waarbij de persoon behoefte heeft aan meerdere vormen van ondersteuning en waarbij sprake is van samenhang tussen de problemen op meerdere leefgebieden. Multiproblematiek: een combinatie van sociaaleconomische en psychosociale problemen waar een persoon, gezin of huishouden langdurig mee kampt. Enerzijds is de persoon, het gezin of het huishouden niet bij machte dit probleemcomplex zelf op te lossen, anderzijds zijn er problemen in het hulpverleningssysteem rond het huishouden. Er is vaak dwang en drang nodig om tot een oplossing van het probleem te komen. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Privacy bij design: principe waarbij al in een vroeg stadium wordt nagedacht over het goede gebruik van persoonsgegevens en de wijze waarop de normen van het gegevensbeschermingsrecht, zoals gegevensminimilisatie, doelbinding, waarborgen van de kwaliteit van gegevens, beveiliging tegen ongeoorloofde verwerkingen en de rechten van betrokkenen, in technische structuren kunnen worden geborgd. Door al bij het ontwikkelen van systemen privacy en bescherming van persoonsgegevens in te bouwen is de kans op succes ervan het grootst. Privacy impact assessment: beoordeling met als doel om de risico s van een bepaalde verwerking van persoonsgegevens voor de betrokkenen in kaart te brengen en om waar nodig maatregelen te nemen. Regie: regie heeft betrekking op de activiteiten die de gemeente onderneemt of laat ondernemen om te komen tot een samenhangend plan voor een persoon, gezin of huishouden dat ondersteuning nodig heeft en de coördinatie van de uitvoering daarvan. Procesregie: heeft betrekking op de zorgvuldigheid van het proces. Regie die wordt gevoerd op het proces van triage en de organisatie van het casusoverleg als een casus zich voordoet. Casusregie: heeft betrekking op het ene aanspreekpunt voor betrokkene(n). De casusregisseur signaleert tijdens de uitvoering van het plan wat er wel en niet goed gaat. Stemt af met andere hulpverleners. Makelt en schakelt en intervenieert waar nodig. Routeren: het bepalen van de meest geschikte route om het beoogde doel te bereiken. Security by design: principe waarbij al in een vroeg stadium wordt nagedacht over het goede gebruik van persoonsgegevens en de wijze waarop de normen van het gegevensbeschermingsrecht, met name de beveiliging tegen ongeoorloofde verwerkingen en de rechten van betrokkenen, in technische structuren kunnen worden geborgd. Door al bij het ontwikkelen van systemen hiermee rekening te houden, is de kans op goede beveiliging het grootst. Triage: een stapsgewijs proces waarin een afweging wordt gemaakt of gegeven de situatie, bredere of diepgaandere gegevensverwerking nodig is, of niet, en zo ja met welk doel. Uitvraag van gegevens: het opvragen van persoonsgegevens. Vektis: Het landelijk informatiecentrum van de zorgverzekeraars. Vektis levert informatiediensten specifiek gericht op de zorgverzekeraars. 17

18 Verantwoordelijke: met verantwoordelijke wordt de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens bedoeld: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Verwerking van persoonsgegevens, gegevensverwerking: elke handeling of elke geheel van handelingen met betrekking tot persoonsgegevens, waaronder in elk geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending. Verspreiding of enige andere vorm van ter beschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Wat-gegevens: gegevens die inhoudelijke informatie bevatten over de situatie van een persoon, gezin of huishouden. Wat-gegevens staan tegenover dat-gegevens. 18

19 Bijlage 1 Wmo 2015 HOOFDSTUK 5. GEGEVENSVERWERKING 1. Verwerking van persoonsgegevens Artikel Het college is bevoegd tot het verwerken van persoonsgegevens van de cliënt, waaronder persoonsgegevens betreffende de gezondheid die noodzakelijk zijn voor de beoordeling van diens behoefte aan ondersteuning van zijn participatie of zelfredzaamheid dan wel opvang of beschermd wonen, alsmede persoonsgegevens van diens echtgenoot, ouders, inwonende kinderen en andere huisgenoten die noodzakelijk zijn om vast te stellen welke hulp deze aan de cliënt bieden of kunnen bieden, voor zover deze zijn verkregen in het kader van het onderzoek, bedoeld in artikel 2.3.2, dan wel op grond van artikel 2.3.8, 5.2.2, 5.2.3, of 5.2.5, en noodzakelijk zijn voor de uitvoering van artikel 2.1.4, 2.1.5, 2.3.2, 2.3.3, 2.3.5, 2.3.6, 2.3.9, , of Het college is bevoegd tot het verwerken van persoonsgegevens van de mantelzorger van de cliënt die noodzakelijk zijn om vast te stellen welke hulp deze aan de cliënt biedt of kan bieden, voor zover deze zijn verkregen van de mantelzorger of van de cliënt en noodzakelijk zijn voor de uitvoering van artikel 2.3.2, 2.3.3, 2.3.5, 2.3.6, 2.3.9, , of dan wel de uitvoering van de verordening, bedoeld in artikel Het college is bevoegd tot het verwerken van persoonsgegevens van andere personen in het sociale netwerk van de cliënt dan die bedoeld in het eerste en tweede lid die noodzakelijk zijn om vast te stellen welke hulp die deze aan de cliënt bieden of kunnen bieden, voor zover deze zijn verkregen van betrokkene of van de cliënt en noodzakelijk zijn voor de uitvoering van artikel 2.3.2, 2.3.3, of 2.3.6, 2.3.9, , of Het college is voorts, voor zover betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, bevoegd persoonsgegevens van de cliënt, waaronder persoonsgegevens betreffende de gezondheid die noodzakelijk zijn voor de beoordeling van de behoefte van de cliënt aan ondersteuning van zijn participatie of zelfredzaamheid dan wel opvang of beschermd wonen, alsmede persoonsgegevens van diens echtgenoot, ouders, inwonende kinderen en andere huisgenoten die noodzakelijk zijn met het oog op een goede afstemming van te verlenen ondersteuning op hulp aan die personen, die het college heeft verkregen ten behoeve van de uitvoering van de taken die bij of krachtens de Jeugdwet, de Participatiewet en de Wet gemeentelijke schuldhulpverlening aan het college zijn opgedragen, tevens te verwerken voor zover dat noodzakelijk is voor de uitvoering van artikel 2.3.2, 2.3.3, 2.3.5, 2.3.6, 2.3.9, , of Het college is voorts, voor zover betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, bevoegd tot het verwerken van persoonsgegevens van de cliënt, waaronder persoonsgegevens betreffende de gezondheid die noodzakelijk zijn voor de beoordeling van diens behoefte aan ondersteuning van zijn participatie of zelfredzaamheid dan wel opvang of beschermd wonen, voor zover deze met toepassing van artikel zijn verkregen van een zorgverzekeraar of een zorgaanbieder als bedoeld in de Zorgverzekeringswet of van het indicatieorgaan, bedoeld in artikel 9b, eerste lid, van de Algemene Wet Bijzondere Ziektekosten, en noodzakelijk zijn voor de uitvoering van artikel 2.3.3, 2.3.5, 2.3.6, 2.3.9, , of Het college is de verantwoordelijke voor de verwerking, bedoeld in het eerste tot en met vijfde lid. Artikel Een aanbieder die een maatwerkvoorziening levert en een derde aan wie ten laste van een persoonsgebonden budget betalingen worden gedaan, is bevoegd tot het verwerken van persoonsgegevens van de cliënt, waaronder persoonsgegevens betreffende de gezondheid, alsmede persoonsgegevens van de mantelzorger van de cliënt met betrekking tot de hulp die deze aan de cliënt biedt of kan bieden, voor zover deze zijn verkregen van het college, van de cliënt of van de mantelzorger en noodzakelijk zijn voor: o a. het aan de cliënt leveren van de diensten, hulpmiddelen, woningaanpassingen en andere maatregelen waartoe hij zich jegens het college dan wel de cliënt heeft verbonden; 19

20 o b. de uitvoering van artikel of 2.1.5; o c. de uitoefening van het toezicht, bedoeld in artikel Een aanbieder die een algemene voorziening levert, is bevoegd tot het verwerken van de persoonsgegevens van de cliënt, voor zover deze van de cliënt zijn verkregen en noodzakelijk zijn voor: o a. het leveren van de algemene voorziening; o b. de uitvoering van artikel of 2.1.5; o c. de uitoefening van het toezicht, bedoeld in artikel De aanbieder respectievelijk de bedoelde derde is de verantwoordelijke voor de verwerking, bedoeld in het eerste en tweede lid. Artikel Het CAK en een andere instantie als bedoeld in artikel 2.1.4, zevende lid, zijn bevoegd tot het verwerken van persoonsgegevens van de cliënt, zijn echtgenoot, inwonende minderjarige kinderen en zijn ouders, waaronder persoonsgegevens betreffende de gezondheid die noodzakelijk zijn voor de vaststelling en inning van een bijdrage als bedoeld in artikel of 2.1.5, voor zover deze op grond van artikel 5.2.1, of zijn verkregen en noodzakelijk zijn voor de uitvoering van artikel of Het CAK respectievelijk de andere instantie is de verantwoordelijke voor de verwerking, bedoeld in het eerste lid. Artikel De Sociale verzekeringsbank is bevoegd tot het verwerken van persoonsgegevens van de cliënt, waaronder persoonsgegevens betreffende de gezondheid die noodzakelijk zijn voor het verrichten van betalingen en het budgetbeheer, bedoeld in artikel 2.6.2, voor zover deze zijn verkregen van de cliënt dan wel op grond van artikel 5.2.1, of en noodzakelijk zijn voor de uitvoering van de taak, bedoeld in artikel De Sociale verzekeringsbank is de verantwoordelijke voor de verwerking, bedoeld in het eerste lid. Artikel De toezichthoudende ambtenaren zijn bevoegd tot het verwerken van persoonsgegevens, waaronder persoonsgegevens betreffende de gezondheid, van de cliënt, alsmede persoonsgegevens, waaronder persoonsgegevens betreffende de gezondheid en andere bijzondere persoonsgegevens als bedoeld in de Wet bescherming persoonsgegevens, betreffende personen die betrokken bij calamiteiten, geweld bij de verstrekking van een voorziening en huiselijk geweld, voor zover deze zijn verkregen bij de uitoefening van het toezicht, bedoeld in artikel 6.1 of 6.2, en noodzakelijk zijn voor een goede uitoefening van het toezicht of het nemen van maatregelen ter handhaving van wettelijke voorschriften. 2. De toezichthoudende ambtenaren zijn de verantwoordelijken voor de verwerking, bedoeld in het eerste lid. De aanbieder en de beroepskrachten die voor hem werkzaam zijn, verstrekken bij en naar aanleiding van een melding als bedoeld in het eerste lid aan de toezichthoudende ambtenaar de gegevens, daaronder begrepen persoonsgegevens, gegevens betreffende de gezondheid en andere bijzondere persoonsgegevens als bedoeld in de Wet bescherming persoonsgegevens, voor zover deze voor het onderzoeken van de melding noodzakelijk zijn. Artikel Het AMHK is bevoegd tot het verwerken van persoonsgegevens, waaronder persoonsgegevens betreffende de gezondheid en huiselijk geweld, van personen die betrokken zijn bij huiselijk geweld, voor zover deze zijn verkregen in het kader van de uitvoering van de taken, bedoeld in artikel 4.1.1, tweede en derde lid, indien uit de melding redelijkerwijs een vermoeden van huiselijk geweld kan worden afgeleid. 2. Het AMHK is de verantwoordelijke voor de verwerking, bedoeld in het eerste lid. 2. Verstrekking van persoonsgegevens 20