Privacy sociaal domein

Transcriptie

1 Privacy sociaal domein December 2014 Intern Advies Juridisch Advies en Control Jacco Beks Gwen Paling 1

2 Inleiding Met de decentralisaties in het sociale domein krijgen de gemeenten er een fors aantal taken bij. Hierbij zullen ze ook, meer dan voorheen, gevoelige persoonsgegevens moeten verwerken. De wens om integraal te werken, leidt ertoe dat de gemeenten over de sectoren heen moeten kijken. Zij moeten ontschot werken en dus persoonsgegevens uit verschillende sectoren samenbrengen als de situatie daar om vraagt. Deze situatie roept vragen op, hoe gemeenten hierbij de privacy van burgers kunnen respecteren. De gemeenten zullen, zo zegt de Minister van BZK, op een soepele manier informatie over burgers moeten kunnen opvragen en uitwisselen, zonder dat er nodeloos of overmatig gegevens worden opgevraagd, uitgewisseld, of anderszins worden verwerkt 1. Dit is het uitgangspunt. De Minister geeft voorts aan dat er sprake is van een lerende praktijk. De gemeenten hebben de ruimte om eigen keuzen te maken bij de inrichting van werkprocessen. Deze uitspraak van de Minister is overigens door het College bescherming persoonsgegevens genuanceerd; het CBP hecht eraan te benadrukken dat gemeenten de naleving van de Wet bescherming Persoonsgegevens (Wbp) niet kunnen opschorten als gevolg van een lerende praktijk die na enige tijd zal worden geëvalueerd. Temeer niet daar het hier vrijwel altijd de verwerking van bijzondere persoonsgegevens betreft 2. Ten tijde van het opstellen van het onderhavige document leven nog vragen over het aspect privacy in het sociale domein. Zo leeft de vraag, of er wel een afdoende wettelijke basis is om een integrale of domeinoverstijgende verwerking van persoonsgegevens mogelijk te maken. Het Cbp (College bescherming persoonsgegevens) heeft aangegeven op dit punt grote vragen te hebben. 3 In reactie hierop heeft de staatssecretaris een brief aan de Tweede Kamer gezonden. 4 Hierin geeft hij aan, dat hij van oordeel is anders dan het Cbp dat de gemeente wel degelijk domeinoverstijgend en integraal haar diensten kan verlenen. Daarbij verwijst hij o.a. naar artikel 2.1, onderdeel f, van de Jeugdwet, waar de opdracht is geformuleerd om bij een multiproblematiek integrale hulp te verlenen. Deze lezing van het Rijk onderschrijven wij. In aanloop naar 2015 is het van belang de inrichting van het privacy aspect ondanks de nog levende onduidelijkheden zo goed als mogelijk op orde te hebben. De burger verwacht terecht dat de overheid invulling geeft aan de verantwoordelijkheid om zorgvuldig om te gaan met persoonsgegevens. Voor u ligt daarom dit document, waarin het privacyaspect voor het sociale domein handen en voeten heeft gekregen. Hierbij is gebruik gemaakt van handreikingen, modellen en informatie van onder andere de speciaal hiervoor ingerichte website een bron van informatie samengesteld door de VNG en KING, het kwaliteitsinstituut Nederlandse Gemeenten. Als startpunt voor dit document is uitgegaan van de in de zomer uitgevoerde Privacyscan VISD, op basis waarvan inzicht is ontstaan in de te ondernemen acties op het gebied van privacy in het sociale domein voor de vijf onderwerpen: - Beleid (het juridische en beleidsmatige kader voor gegevensuitwisseling, intern en extern; ook convenanten met ketenpartners behoren hiertoe); - Governance (inrichting van de organisatie op privacygebied, taken, rollen en verantwoordelijkheden); - Werkprocessen en Triage (inrichting van werkprocessen conform privacynormen en borgen van deze processen in werkafspraken, convenanten e.d.); - Opslag en beheer van gegevens (overzicht systemen, informatiebeveiliging, autorisaties); - Bewustwording en communicatie (training, informatie naar professionals en burgers). Bij de indeling van de hoofdstukken is uitgegaan van deze vijf onderwerpen. Het document wordt afgesloten met acties die het college van b. en w. neemt ter bevordering van het privacybewustzijn en de naleving van de privacyregelgeving. 1 Brief van 27 mei 2014, behorende bij de aanbieding van de door het Ministerie van BZK opgestelde Beleidsvisie Zorgvuldig en Bewust: gegevensverwerking en privacy in een gedecentraliseerd sociaal domein 2 Brief van 3 juni 2014 van CBP Zorgvuldige gegevensuitwisseling over sectoren heen in het kader van decentralisaties in het sociaal domein. 3 Brief Cbp aan Staatssecretaris van VWS d.d. 30 oktober Brief staatssecretarissen VWS en VJ aan TK d.d. 12 november

3 1.Beleid A. Het wettelijke kader inzake privacy in het sociale domein De Wet bescherming persoonsgegevens (Wbp) is leidend als kader voor het goed en zorgvuldig omgaan met persoonsgegevens. Zij is de uitwerking van internationaal en Europees recht en van de Grondwet. Voor het sociaal domein zijn verder de verschillende materiële wetten (Jeugdwet, Wet maatschappelijke ondersteuning 2015 (Wmo) en Participatiewet) van belang. Zowel in de Wmo als in de Jeugdwet zijn bepalingen opgenomen over het verwerken (verzamelen, delen etc.) van persoonsgegevens. Voor BIG-geregistreerden speelt de Wet geneeskundige behandelingsovereenkomst, met daarin het medisch beroepsgeheim, een rol. De wet bescherming persoonsgegevens De Wbp vereist dat persoonsgegevens op een behoorlijke en zorgvuldige manier worden verwerkt en alleen gebruikt kunnen worden voor duidelijk omschreven doelen. Transparantie en doelbinding zijn twee zeer wezenlijke aspecten van deze wet. Persoonsgegevens mogen slechts worden verwerkt als daar een wettelijke grondslag voor is. De Wbp somt limitatief de gronden op voor gegevensverwerking.voor zover van belang worden hier genoemd: - de betrokkene heeft voor de verwerking zijn ondubbelzinnige toestemming verleend; - de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen, of - de gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt. Medische gegevens zijn bijzondere persoonsgegevens volgens de Wbp. Daarvoor geldt een verzwaarde toets: in principe mogen deze gegevens niet verwerkt worden, tenzij betrokkene daarvoor zijn uitdrukkelijke toestemming heeft verleend of de gegevens uitdrukkelijk openbaar zijn gemaakt. Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening mogen gegevens betreffende de gezondheid verwerken voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is. Hulpverleners mogen de gegevens zonder toestemming delen met andere hulpverleners die bij de behandeling betrokken zijn. Vervolgens moet bij elke verwerking zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Ingevolge het subsidiariteitsbeginsel mogen persoonsgegevens alleen worden verwerkt als dat doel in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kan worden verwerkelijkt. De Wbp bepaalt voorts dat er niet méér gegevens mogen worden verwerkt dan noodzakelijk zijn voor het doel. De verantwoordelijke moet de nodige maatregelen treffen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn. Verdere verwerking van persoonsgegevens is alleen toegestaan op een wijze die verenigbaar is met de doeleinden waarvoor ze zijn verkregen. Bij de afweging of verdere verwerking verenigbaar is wordt rekening gehouden met: a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor de betrokkene; d. de wijze waarop de gegevens zijn verkregen en e. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. Met dit kader voor ogen zal steeds de afweging gemaakt moeten worden of verwerking van persoonsgegevens in het specifieke geval rechtmatig is. In het algemeen geldt dat terughoudend omgegaan moet worden met het verwerken van persoonsgegevens. Voorts bepaalt de Wbp dat betrokkene geïnformeerd dient te worden over de verwerking van zijn persoonsgegevens. Als de gegevens van betrokkene zelf verkregen worden dient hij voorafgaand aan de vraag naar persoonsgegevens geïnformeerd te worden over het doel van de verwerking en wie de verantwoordelijke is. Als de gegevens op een andere wijze verkregen worden, dient betrokkene 3

4 geïnformeerd te worden op het moment van vastlegging of verstrekking aan een ander van de persoonsgegevens. Het informeren kan achterwege blijven als het onmogelijk is, een onevenredige inspanning kost of indien vastlegging of verstrekking van de gegevens bij wet is voorgeschreven. Ten slotte worden het rechten van betrokkene (inzage en correctie) beschreven en de wordt de verantwoordelijke verplicht passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beveiligen. Dit juridisch kader van de Wbp geldt in principe voor alle gegevensverwerkingen, tenzij in de betreffende bijzondere wet daarvan wordt afgeweken. Zoals bijvoorbeeld bij het medisch beroepsgeheim van de Wet op de geneeskundige behandelingsovereenkomst. Wmo 2015 De Wmo 2015 voorziet in een wettelijke basis voor het overdragen van individuele cliëntgegevens aan gemeenten voor zover noodzakelijk voor het uitvoeren van de wettelijke taken. De Wmo 2015 regelt uitvoerig welke gegevens het college, de aanbieder van een voorziening (in natura of middels pgb), het Centraal Administratiekantoor (CAK), de Sociale Verzekeringsbank (SVB) of de instantie die belast is met de vaststelling en inning van een eigen bijdrage in de maatschappelijke opvang en/of beschermd wonen, de toezichthoudende ambtenaren en het AMHK mogen verwerken. Limitatief is opgesomd aan welke entiteiten en onder welke voorwaarden gemeenten gegevens kunnen verstrekken. Vervolgens is per entiteit bepaald aan welke entiteiten zij persoonsgegevens mogen verstrekken, indien noodzakelijk ter uitvoering van met name genoemde acties uit de Wmo Verder besteedt de Wmo 2015 aandacht aan de rechten van betrokkene op het gebied van informatie en inzage, aan de bewaartermijn en vernietiging van het dossier. Tot slot krijgt het college de opdracht de wijze van uitvoering van de Wmo af te stemmen met zorgverzekeraars en afspraken met hen te maken over beleid ten aanzien van maatschappelijke ondersteuning, publieke gezondheid, zorg, jeugdzorg, welzijn en preventie, teneinde te komen tot een integrale dienstverlening aan cliënten en verzekerden. Ter uitvoering van die afspraken verstrekken het college en de aanbieders de benodigde persoonsgegevens aan de zorgverzekeraars. Jeugdwet Binnen de taken die de Jeugdwet kent 5 waarbij persoonsgegevens zullen worden verwerkt, moet onderscheid gemaakt worden tussen: 1. de toegang tot en 2. de uitvoering van de jeugdhulp, 3. de uitvoering van kinderbeschermingsmaatregelen en jeugdreclassering en 4. de financiering. Ad. 1. Inzake de toegang tot jeugdhulp (en het treffen van de voorziening op het gebied van jeugdhulp) mogen gegevens verwerkt worden die het mogelijk maken om te bepalen of het nodig is dat voor een jeugdige een voorziening wordt getroffen en zo ja, welke. Afhankelijk van de route die door de jeugdige en diens ouders wordt gevolgd (via de huisarts of via de gemeentelijk te organiseren toegang) zijn hier verschillende regels op van toepassing. Ad. 2. Bij de uitvoering van de jeugdhulp zijn de instellingen die de jeugdhulp leveren gebonden aan de regels van het desbetreffende werkveld, ook wat betreft de gegevensverwerking (jeugdhulp, waaronder geneeskundige behandeling). Ad. 3. De uitvoering van kinderbeschermingsmaatregelen en jeugdreclassering geschiedt feitelijk door de gecertificeerde instelling. In dit kader zal de gecertificeerde instelling persoonsgegevens delen met de jeugdhulpaanbieder in het kader van de uitvoering van jeugdhulp en met de gemeente in het kader van de financiering. De gecertificeerde instelling is gehouden aan het privacy kader dat voor hem geldt. Ad 4. Inzake de financiering zal de gemeente gegevens verwerken in verband met de inkoop, bekostiging en betaling van jeugdhulp en de uitvoering van kinderbeschermingsmaatregelen en jeugdreclassering. Voor zover het daarbij om persoonsgegevens gaat, betreft het met name gegevens in het kader van de facturering. Ook waar sprake is van zeldzame, kostbare jeugdhulp, die niet door 5 De toegangstaak (art. 2.6, eerste lid, onderdeel b), de jeugdhulpplicht (art. 2.3, eerste lid), meldingen doen aan de raad voor de kinderbescherming (art. 2.4, eerste lid), uitvoeren van kinderbeschermingsmaatregelen en jeugdreclassering (art. 2.4, tweede lid), het voorzien in een toereikend aanbod (artikel 2.6, eerste lid, onderdeel a) en de dossierplicht (art ). 4

5 de gemeente is ingekocht, zal de gemeente om zijn jeugdhulpplicht uit te voeren, moeten weten voor welke persoon en welk probleem een voorziening moet worden getroffen. Uit de Jeugdwet, de Wbp en het Burgerlijk Wetboek is op hoofdlijnen af te leiden welke persoonsgegevens gemeenten, jeugdhulpaanbieders, het Advies- en Meldpunt Huiselijk geweld en Kindermishandeling (AMHK) of gecertificeerde instellingen in het kader van een goede uitvoering van de wet primair verwerken. Omdat de mogelijkheden van gegevensverwerking in de Jeugdwet minder ingekaderd zijn dan in de Wmo 2015, is het belang dat in concrete gevallen de proportionaliteit en subsidiariteit wordt afgewogen veel groter dan in de Wmo Participatiewet De participatiewet harmoniseert de WWB, WSW en Wajong. Gegevensverwerking is in deze wetten geregeld conform het gesloten verstrekkingenregime SUWI. Dat regime houdt in dat in de sector werk en inkomen gegevens uitsluitend hergebruikt mogen worden als daar een wettelijke grondslag voor is. De wet Suwi biedt in artikel 9 de grondslag voor de samenwerking tussen de ketenpartners W&I, UWV, SVB en gemeenten; In artikel 62 wet Suwi wordt de grondslag voor de gegevensverwerking via electronische voorzieningen gelegd. Deze wordt verder uitgewerkt in het Besluit Suwi art 5.24 en de Regeling Suwi hoofdstuk 6; De geheimhoudingsplicht is in artikel 74 van de wet Suwi vastgelegd. In 2008 is de Wet eenmalige gegevensuitvraag van kracht geworden. Die houdt in dat aan een burger geen gegevens gevraagd mogen, waar de uitvoerder al over kan beschikken. Welke gegevens het betreft is in bijlage II van het Besluit Suwi opgenomen. In het SUWI gegevensregister zijn alle gegevens, die in de sector W&I worden verwerkt opgenomen, op grond van welke wettelijke titel, voor welk doel en door wie zij mogen worden verwerkt. Gegevens uit het domein W&I hebben een wettelijke titel nodig voor aanwending ervan voor taken in het kader van de WMO, AWBZ en Jeugdwet. Gegevensverwerkingen (de benamingen van de bestanden, met aangeven van doel, categorieën gegevens) moeten op grond van de Wbp worden gemeld (in Arnhem) aan de FG, de Functionaris voor de Gegevensbescherming. De meldingen worden verwerkt in een openbaar register, dat voor eenieder is in te zien. Privacyprotocol Ter nadere uitwerking van dit wettelijke kader wordt er een privacyprotocol opgesteld dat ziet op de samenwerking van de gemeente met de samenwerkingpartners in de wijkteams. In dit protocol wordt omschreven hoe partijen omgaan met persoonsgegevens en hoe de privacybescherming is geborgd. B. De beleidsvisie van het Rijk Vanwege de roep vanuit onder andere het Cbp om een overkoepelende visie, heeft het Rijk in het voorjaar van 2014 de beleidsvisie Zorgvuldig en bewust, gegevensverwerking en privacy in een gedecentraliseerd sociaal domein gepresenteerd.de conclusie is dat het bestaande en in de nieuwe wetten gegeven kader voor gegevensverwerking zou moeten kunnen volstaan voor de uitvoering in de praktijk van de verschillende taken en werkzaamheden van gemeenten. De visie van het Rijk is gebouwd op drie pijlers: 1. Balans tussen noodzakelijke gegevensverwerking vanuit de maatschappelijke opgave in het sociale domein en borging van de privacy; 2. Versterking van de positie van de burger; 3. Versterking van de democratische verantwoording over gegevensverwerking en privacy op lokaal niveau. 1. Balans tussen noodzakelijke gegevensverwerking en borging van de privacy De burger moet erop kunnen vertrouwen dat niet onnodig of bovenmatig gegevens verwerkt worden en dat gegevens goed zijn beveiligd tegen ongeoorloofde inzage en gebruik. De nieuwe Wmo vraagt van gemeenten om breed te kijken als een burger zich meldt met een hulpvraag. Zij moeten onderzoeken of samenwerking met instanties uit andere domeinen noodzakelijk 5

6 is (waaronder zorg, jeugdhulp, onderwijs, werk en inkomen). Dit roept een dilemma op: wanneer is breed kijken breed genoeg en wanneer wordt het onnodig of bovenmatig? Hieruit volgt dat het van belang is om effectief het onderscheid te maken tussen eenvoudige situaties en potentiële multiprobleemsituaties. Dat kan door het inrichten van een zorgvuldig proces van triage waarin stapsgewijze afwegingen ten aanzien van gegevensverwerking een plaats hebben. Privacy wordt zo een onderdeel van de kwaliteit van het dienstverleningsproces en de professionaliteit van de medewerker. 2. Versterking van de positie van de burger. Het is van belang dat de burger weet en het vertrouwen heeft dat hij tegen gegevensverwerking door de overheid in verweer kan komen. Hij moet een zichtbare, laagdrempelige en gezaghebbende plek hebben om klachten te uiten met betrekking tot de verwerking van zijn persoonsgegevens en privacy. Gemeenten en samenwerkingspartners moeten een actief beleid hebben om burgers te wijzen op hun rechten, zoals bezwaar en beroep, inzage en correctie van gegevens. Het moet eenvoudiger worden voor burgers om te kunnen weten welke personen op welk moment zijn gegevens hebben ingezien, tenzij er zwaarwegende redenen zijn om dit niet te doen. Met betrekking tot gegevensbeveiliging is het uitgangspunt dat gegevensuitwisseling tenminste voldoet aan de Baseline Informatiebeveiliging Gemeenten en uiteraard aan de verplichtingen die voortvloeien uit de materiële wetten, waaronder de Jeugdwet en Wmo Toegang van persoonsgegevens is beveiligd op basis van autorisaties. Alle gegevensuitwisseling vindt plaats in beveiligde systemen en via beveiligde infrastructuren. De wijze waarop gemeenten omgaan met de verwerking van persoonsgegevens in het kader van de decentralisaties wordt onderdeel van de evaluatie van de decentralisaties van het Rijk. 3. Versterking van de democratische verantwoording over privacy op lokaal niveau Het college is verantwoordelijk voor de zorgvuldigheid van de gegevensverwerking die door of namens de gemeente plaatsvindt. Zij stelt eisen aan beveiliging en borging van privacy en is verantwoording verschuldigd aan de raad voor de wijze waarop het hieraan invulling geeft. De afspraken die gemeenten maken over gegevensverwerking en privacy dienen transparant te zijn en onderdeel van het lokale democratische proces. Voor zover de gemeente haar taken in samenwerking uitvoert, is het college ervoor verantwoordelijk dat gegevensverwerking is ingebed in een zorgvuldig proces van triage en maakt het hierover afspraken met samenwerkingspartners. Ook indien de gemeente een deel van haar taken uitbesteedt aan private partijen, blijft de gemeente verantwoordelijk voor de zorgvuldigheid van de gegevensverwerking. Zij moet dit borgen in de contracten met de uitvoerende partijen, waarin een beveiligingsniveau moet worden afgesproken dat minimaal op het niveau als neergelegd in de Baseline Informatiebeveiliging Gemeenten (BIG) moet zijn. Ook moet continuïteit van dienstverlening worden afgesproken (bv. bij storingen of faillissement) en ook, waar nodig, afspraken bevatten over voorafgaand overleg bij voorgenomen aanpassingen in de ondernemingsrechtelijke structuur om het risico op doorgifte van persoonsgegevens aan derde landen zoveel mogelijk te beperken. C. Arnhemse beleidsuitgangspunten inzake het omgaan met privacy Het college van b. en w. heeft het beschermen van de privacy van de burger niet alleen in het sociale domein als aparte portefeuille ondergebracht bij een wethouder. Hiermee benadrukt het college het grote belang dat het hecht aan dit onderwerp. Het beschermen van de privacy begint bij de grondhouding van de betrokken bestuurders, ambtenaren en wijkteams. Deze grondhouding moet niet zijn verzamelen omdat dat handig is, maar nee, tenzij. Privacy begint met het niét verzamelen van persoonsgegevens. Met deze grondhouding kan recht worden gedaan aan de basisprincipes van het privacyrecht. Persoonsgegevens worden uitsluitend voor een bepaald doel verzameld, indien dat voor dit doel noodzakelijk is, en niet verder dan nodig voor het bereiken van dat doel. Dit gebeurt wettelijke uitzonderingen daargelaten niet achter de rug van de burger om (transparantie). Dát is het privacyrecht in een notendop. Vanuit deze achtergrond hanteren we de volgende primaire uitgangspunten voor wat betreft het omgaan met privacy in het sociale domein: 6

7 1. Uitgangspunt bij het verzamelen van persoonsgegevens is Nee, tenzij. Bij het inrichten van een werkproces is altijd de eerste vraag, of het wel noodzakelijk is om persoonsgegevens te verzamelen. Privacy begint bij het niét verzamelen van gegevens. 2. Alleen die persoonsgegevens worden verzameld, die noodzakelijk zijn voor een bepaald, concreet omschreven doel (subsidiariteit), en vervolgens niet meer dan strikt nodig voor dát doel (proportionaliteit). Er is een belangrijk verschil tussen dat informatie (het gegeven dat iemand bekend is, ondersteuning krijgt) en wat informatie (de inhoud en achtergronden van de ondersteuning). 3. Persoonsgegevens worden in principe alleen verzameld met toestemming van de betrokkene. Dat is uitsluitend anders in wettelijk bepaalde gevallen (art. 8 van de Wet bescherming persoonsgegevens: belangrijke uitzonderingen zijn die van een vitaal belang van de betrokkene, en de uitvoering van een wettelijke plicht waaraan het college onderworpen is denk aan vormen van gedwongen jeugdzorg). 4. Verzamelde persoonsgegevens worden zo min mogelijk gedeeld en gekopieerd. Alleen daar, waar dat noodzakelijk is voor een bepaald doel (subsidiariteit), en dan niet meer dan strikt nodig is voor dat doel (proportionaliteit). 5. Persoonsgegevens worden niet langer bewaard dan strikt noodzakelijk. Verwijdering vindt, daar waar dat mogelijk is, plaats op geautomatiseerde wijze (incl. backups). 6. Het wijkteam komt in actie als iemand daar zélf om vraagt, of als er sprake is van een signaal van een derde dat naar het oordeel van het wijkteam aanleiding is om in actie te komen. Het wijkteam komt dus in actie op grond van een menselijk signaal. Mensen worden niet benaderd op grond van door een computer gegenereerde gegevens (koppelen van computerbestanden) 2. Governance Voor de organisatie moet worden vastgelegd welke taken en bevoegdheden bepaalde functionarissen hebben bij de verwerking van persoonsgegevens in het sociale domein, en aan wie zij verantwoording afleggen. De inrichting kan plaatsvinden volgens het RASIC-model (Responsible uitvoerder, Accountable eindverantwoordelijk, Supportive ondersteunt uitvoerder, Informed achteraf informeren, Consulted vooraf geraadpleegd, kan resultaat beïnvloeden). Een goede inrichting leidt tot heldere rollen en verantwoordelijkheden en tot helderheid bij een vraag wie aan zet is. Politieke verantwoordelijkheid Het college is verantwoordelijk voor de gegevensverwerking binnen het gemeentelijke sociale domein, inclusief de wijkteams. Het college legt hierover verantwoording af aan de gemeenteraad, conform het wettelijk-politieke stelsel. Door het college verantwoording af te laten leggen aan de gemeenteraad ontstaat in het openbaar zicht op de uitvoeringspraktijk en wordt deze ook op deze manier zichtbaar, controleerbaar en evalueerbaar. Het college legt aan de raad verantwoording af door: - de raad te informeren over wezenlijke aspecten van het privacybeleid en incidenten van ernstige aard; - periodiek (tenminste eenmaal per jaar) aan de raad verantwoording af te leggen bv. door middel van een raadsbrief over de wijze waarop aan het privacybeleid uitvoering is gegeven, gehouden evaluaties en eventueel genomen maatregelen ter verbetering; - de raad te informeren over de resultaten van het in de eerste helft van 2015 te houden Privacy Impact Assessment, inclusief eventuele voorstellen ter verbetering. Interne governance Om met privacy in control te zijn, is het nodig de juiste maatregelen op technisch- (informatiebeveiliging), organisatorisch- (bv. beperkte autorisaties) en gedragsgebied (bewustwording) te nemen, en wel in goede onderlinge samenhang. Het waarborgen van de privacy van de burger is altijd het resultaat van het nemen van de juiste maatregelen op deze drie gebieden. Bij de inrichting van de governance moet hier rekening mee worden gehouden 7

8 Het college van b. en w. is verantwoordelijk voor de waarborging van de privacy, ook in het sociaal domein. De directie treedt op als opdrachtnemer van het college. De Clustermanager Intern Advies is verantwoordelijk - responsible - voor het opstellen van het algemene privacybeleid (vanwege de sterke juridische component van privacy), en legt verantwoording af aan de directie (accountable). De eenheidsmanager wijkteams, en de clustermanagers Publieke Dienstverlening en Interne ondersteuning, zijn verantwoordelijk voor het opstellen van nader gedetailleerde privacyregels/werkafspraken voor de wijkteams, respectievelijk het KCC en de backoffice van de wijkteams. De eenheidsmanager legt hierover uiteindelijk verantwoording af aan de directie (accountable). De Clustermanager Intern Advies wordt over wezenlijke zaken door hen geïnformeerd (informed). De leidinggevenden binnen de wijkteams, en het KCC en de backoffice, zijn verantwoordelijk voor de uitvoering en het naleven van de privacyregels in de dagelijkse praktijk. Zij leggen hierover verantwoording af aan hun eenheidsmanager, respectievelijk clustermanager. De FG (Functionaris voor de gegevensbescherming) is op grond van de Wet bescherming persoonsgegevens belast met het houden van intern toezicht op de naleving van deze wet in de hele organisatie, inclusief de wijkteams. Deze rol is belegd bij de juridisch concerncontroller. Hij rapporteert aan het college van b. en w. De FG staat het college en de organisatie bij door het gevraagd en ongevraagd geven van advies op privacygebied. Met name naar de clustermanager Intern Advies, verantwoordelijk voor het algemene privacybeleid, ligt er een sterke link. De CIO (Chief Information Officer) is verantwoordelijk voor de organisatie van het informatiebeveiligingsbeleid. De link met het privacybeleid is evident. FG en CIO informeren en consulteren elkaar over alle aspecten die van enige importantie zijn in verband met de privacy. Dit governancestelsel zal zich geleidelijk verder uitkristalliseren. 3. Werkprocessen en Triage A. Werkprocessen De werkprocessen, die uitgevoerd worden binnen de wijkteams en de betrokken gemeentelijke afdelingen, worden vastgelegd in beschrijvingen van de hoofdprocessen. Nadere detaillering van de werkprocessen vindt plaats via de eenheidsmanager van de wijkteams. De werkprocessen worden ondersteund door gedragsregels/werkafspraken van en voor de wijkteams. B. Triage Kernpunten triage Triage is het proces van het verhelderen, routeren en escaleren van vragen en casussen. Door middel van triage wordt bepaald waar de hulpvraag thuis hoort en daarmee welke mate van gegevensverwerking noodzakelijk is. Triage draagt bij aan het zorgvuldig uitwisselen van informatie. Het is niet per definitie onwenselijk dat gegevens binnen en over verschillende domeinen en samenwerkingsverbanden worden gedeeld. Sterker nog, soms is dit noodzakelijk voor een adequate hulpverlening. Triage voorkomt dat onnodig teveel persoonsgegevens worden verzameld of gedeeld. Bij een eenvoudige en enkelvoudige vraag is de gegevensverwerking immers beperkt, terwijl er bij een complexere vraag wellicht meer partijen betrokken zijn er dus meer gegevens uitgewisseld moeten worden. Triage kan op drie momenten in het sociaal domein plaatsvinden. Hierbij wordt antwoord gegeven op de vraag of sprake is van een enkelvoudige of meervoudige vraag, of complexe (multiprobleem)- casuïstiek. Een enkelvoudige vraag kan bijvoorbeeld snel (en soms gedigitaliseerd) worden afgehandeld. Wanneer sprake is van een meervoudige vraag van de burger kan er bijvoorbeeld besloten worden om een gebiedsteam in te zetten voor integrale afhandeling van de hulpvragen van 8

9 de desbetreffende burger. Wanneer er sprake is van een zware multiprobleemcasus is het wellicht nodig om te zorgen voor escalatie (opschalen) naar bijvoorbeeld het Veiligheidshuis. Noodzaak, proportionaliteit en subsidiariteit In het triageproces besluit men over de route van een casus en bepaalt men het doel waarvoor informatiedeling noodzakelijk is. Het bepalen van het doel van informatiedeling is noodzakelijk voor het delen van informatie en het waarborgen van de privacy. De professionals gaan hierbij na in hoeverre het delen van informatie echt noodzakelijk is en waarom. De bedoeling is dat personen, instellingen en domeinen selectief informatie delen: zoveel als moet, zo weinig als mogelijk. Naast noodzaak is ook proportionaliteit van de gegevensverwerking van belang: hoe verhouden het doel en de daarvoor noodzakelijke gegevensuitwisseling zich tot de schending van de persoonlijke levenssfeer van de betrokkene en zijn omgeving? De gegevensverwerking moet ook voldoen aan de eis van subsidiariteit. De vraag: is het doel ook te bereiken met een minder ingrijpende methode? Deze afweging kan expliciet gemaakt worden in een triagebesluit. Wanneer men besluit over de route van een vraag/casus maakt men meteen de afweging wat de noodzakelijke gegevensverwerking is die daarbij hoort. Het is van belang om deze afweging vast te leggen. Zo is het voor de burger ook goed inzichtelijk te maken wat er met zijn/haar gegevens gebeurt en waarom. Drie triagemomenten in het sociaal domein Elk moment dat een afweging gemaakt wordt over de routering van een vraag of casuïstiek kan gezien worden als een triagemoment. In het sociaal domein zijn drie triagemomenten te onderscheiden. Het eerste moment is wanneer er een vraag bij de gemeente binnenkomt. Dit triagemoment wordt ook wel vraagverheldering genoemd. Het tweede triagemoment is wanneer een hulpvraag niet meer eenvoudig kan worden afgehandeld maar er echt sprake is van een meervoudige of complexe vraag. Waarschijnlijk zijn er al meerdere partijen betrokken bij deze burger en is regie op de samenwerking wenselijk. Om te bepalen of er daadwerkelijk sprake is van meervoudige en/of complexe casuïstiek en vervolgens een besluit te nemen ten aanzien van de routering van deze casus is het van belang om ook dat tweede triagemoment in te richten. Een derde triagemoment is het moment van escalatie, er wordt bepaald of escalatie naar een andere overlegtafel (bijvoorbeeld het Veiligheidshuis of een interventieteam) noodzakelijk is. Intuïtie essentieel bij triage Triage is een proces dat soms intuïtief verloopt en soms rationeel via een stappenplan. Hulpverleners laten zich enerzijds leiden door rationele afwegingen, vaak gebaseerd op feiten en cijfers. Anderzijds doen zij ook een beroep op hun professionele intuïtie. Uit onderzoek blijkt dat intuïtie een essentieel onderdeel is van een adequate en gerichte besluitvorming bij hulpverlening. Wanneer professionals hun intuïtie niet gebruiken, is het voor hen moeilijker om beslissingen te nemen over bijvoorbeeld kwetsbare jongeren (waarbij het gaat om vermoedens van misbruik en verwaarlozing). Ook gaat de kwaliteit van het besluit achteruit. Hulpverleners moeten het vertrouwen krijgen hun disciplined intuition te mogen gebruiken: een mix van getraind en bewust gebruik van het niet pluis gevoel dat een hulpverlener bij bepaalde signalen heeft. Bij de inrichting van de werkprocessen van de wijkteams wordt dit proces van triage zoveel mogelijk als privacybeschermend instrument ingezet. 4. Opslag en beheer gegevens Met persoonsgegevens dient zeer zorgvuldig te worden omgegaan. Ze mogen niet voor een ieder toegankelijk zijn (autorisaties), dienen zorgvuldig te worden beheerd (bv. bewaartermijnen) en dienen goed beveiligd te zijn. Systemen zullen moeten worden voorzien van adequate beveiliging om inbreuken door derden te voorkomen. Zij moeten voldoen aan de Baseline informatiebeveiliging Gemeenten (VNG). Bij de keuze bewaren of vernietigen willen we onderzoeken of het mogelijk is een derde (tussen)categorie te gaan hanteren: niet-toegankelijk maken van persoonsgegevens, waarbij persoonsgegevens slechts na toestemming van een bepaalde functionaris weer eenmalig mogen worden opgevraagd, als het belang van hulpverlening daarom vraagt. Dit kan een goede maatregel zijn vanuit privacy-oogpunt. 9

10 Het onderwerp dat hier aan de orde is, maakt onderdeel uit van het gemeentebrede informatiebeveiligingsbeleid. Volstaan wordt hier dan ook met een verwijzing daarnaar. Bewaartermijnen worden geregeld via de werkprocessen en het privacyprotocol voor de wijkteams. 5. Bewustwording en communicatie Bewustwording De privacyregelgeving is bijzonder gedetailleerd. Niet mag en kan worden verwacht, dat alle betrokken medewerkers op de hoogte zijn van alle regelgeving. Wel moeten zij beschikken over een goed privacybewustzijn. Vragen als is het wel nodig om nu deze gegevens te delen?, hoe lang mag ik dit bewaren? moeten medewerkers die dat bewustzijn hebben ontwikkeld, stellen. Schendingen van de privacy worden dan, aan de voorkant, voorkomen. Zie voor de wijze waarop dit privacybewustzijn permanent wordt gestimuleerd de hierna volgende Acties. Communicatie Op het gebied van privacy is het van groot belang de burger juist en zorgvuldig te informeren. De persoon wiens gegevens worden verwerkt heeft recht op informatie over de geregistreerde gegevens. Daarnaast heeft hij het recht om die gegevens te laten corrigeren. In een aantal gevallen kan de betrokkene bezwaar maken tegen gegevensverwerking ( verzet ). De gemeente en de wijkteams informeren de burgers op een transparante manier over de omgang met privacy en over de rechten van de burger (inzagerecht, correctierecht, klachtrecht). Folders met informatie zijn beschikbaar. 6. Acties ter bevordering van het privacybewustzijn en de naleving van de privacyregelgeving Om privacy werkelijk een intrinsiek onderdeel te laten zijn van de werkwijze van de wijkteams en de betrokken gemeentelijke afdelingen, zijn en worden een aantal maatregelen genomen: 1) De juridisch concerncontroller, in zijn rol als functionaris voor de gegevensbescherming, is betrokken (adviserend) bij het opstellen van gedragsregels/werkafspraken voor de wijkteams. Op deze wijze wordt privacy op een zoveel mogelijk pragmatische manier ingebed in de alledaagse praktijk van de wijkteams. 2) Op reguliere basis vindt overleg plaats tussen wijkteam(leiders) en eenheidsmanager met onder andere de functionaris voor de gegevensbescherming over dilemma s waar men vanuit privacy-oogpunt tegenaan loopt. In voorkomende gevallen wordt opgeschaald naar het juiste niveau - in laatste instantie het college van b. en w. om te beslissen op welke wijze gehandeld moet worden. Het college is verantwoordelijk voor de gegevensverwerking in de gebiedsteams. 3) Binnen wijkteamoverleggen, en in het overleg tussen eenheidsmanager en teamleiders, vormt privacy een regulier onderwerp. Speciale aandacht is er voor de hiervoor beschreven dillema s waar men tegenaan loopt. 4) De gemeente en de wijkteams informeren de burgers op een transparante manier over de omgang met privacy en over de rechten van de burger (inzagerecht, correctierecht, klachtrecht). Folders met informatie zijn beschikbaar. 5) Om met privacy in control te zijn, is het nodig de juiste maatregelen op technisch- (informatiebeveiliging), organisatorisch- (bv. beperkte autorisaties) en gedragsgebied (bewustwording) te nemen, en wel in goede onderlinge samenhang. Binnen de gemeente is al een breed samengestelde kenniskring privacy actief, waarin deze samenhang wordt behartigd. De governance ten aanzien van privacy zal bovendien nog nader gedetailleerd worden uitgewerkt en geformaliseerd. De verbinding tussen privacy en informatiebeveiliging is evident. Heldere lijnen zijn van belang om snel en adequaat te kunnen handelen. Privacy by design in systemen al privacy voor zover mogelijk waarborgen heeft onze aandacht. 6) Met de samenwerkingspartners in de wijkteams moet de gemeente in gesprek blijven over het omgaan met privacy. De meest wezenlijke elementen worden opgenomen in een privacyprotocol. 7) In de eerste helft van 2015 wordt een PIA (Privacy Impact Assesment) gehouden met betrekking tot de wijze waarop binnen de wijkteams (en betrokken gemeentelijke afdelingen) wordt omgegaan met de privacyregelgeving en de gemaakte afspraken. Met deze PIA krijgen we in beeld of wordt voldaan aan de geldende regels. Risico s zullen in beeld worden 10

11 gebracht. Met de informatie van de PIA kunnen we maatregelen voorstellen en implementeren om de privacypraktijk, waar nodig, te verbeteren. Mogelijk zijn dan ook meer belangwekkende uitspraken gedaan door de rechter of het Cbp (College bescherming persoonsgegevens) waarmee in de praktijk rekening moet worden gehouden. 8) En daarmee komen we bij het belangrijkste punt. Alle betrokkenen zijn zich er scherp van bewust, dat in het sociale domein veel persoonsgegevens worden verwerkt en dat dit gevaren voor de privacy van de burger met zich meebrengt. Het vizier is er op gericht de hulpverlening aan de burger zo goed en efficiënt mogelijk in te richten, onder gelijktijdige waarborging van de privacyrechten van de burger. Het belang van privacy heeft het college van b. en w. onderstreept, door het als apart portefeuilleonderdeel onder te brengen bij een wethouder. Het beschermen van de privacy begint bij de grondhouding van de betrokken bestuurders, ambtenaren en wijkteams. Deze grondhouding moet niet zijn verzamelen omdat dat handig is, maar nee, tenzij. Na de start van de wijkteams zullen we aanlopen tegen de nodige vragen en dilemma s, ook op privacygebied. Veel zaken zijn immers nog niet helemaal duidelijk of uitgekristalliseerd. Op vragen en dilemma s zullen we altijd snel, adequaat en open ingaan. Zodoende willen we in control blijven. 11