Kadernotitie voor Gegevensverwerking en Privacybescherming Sociaal Domein gemeente Assen. mei 2015

Transcriptie

1 Kadernotitie voor Gegevensverwerking en Privacybescherming Sociaal Domein gemeente Assen mei 2015

2 1. Inleiding Het college van burgemeester en wethouders van Assen schetst in deze kadernotitie de gemeentelijke visie en de uitgangspunten voor gegevensverwerking en privacybescherming binnen het sociaal domein (Jeugdwet, Wet maatschappelijke ondersteuning 2015 en Participatiewet). Cruciaal daarbij is dat de gemeente als regisserende instantie wettelijk verantwoordelijk is voor de privacyaspecten bij de uitvoering van deze taken. Bij het opstellen van een uitvoeringskader gaat het om het vinden van de balans tussen wettelijke vereisten en een set aan regels die professionals in staat stellen optimale zorg en ondersteuning te bieden. Daarbij geldt dat het op papier zetten van regels niet voldoende is. Het is van belang om als professionals onderling en als gemeente en uitvoerende organisaties het gesprek te blijven voeren over de praktijk. Deze kadernotitie biedt daarvoor ook de benodigde handvatten. Rol gemeente Om uitvoering te kunnen geven aan de regierol moeten gemeente en samenwerkingspartners bepaalde persoonsgegevens verwerken. Binnen de eigen organisatie en onderling. De regierol van de gemeente houdt ook in dat zij verantwoordelijk is voor de zorgvuldige verwerking van gegevens, borging van de privacy en beveiliging van gegevens. De gemeente heeft deze verantwoordelijkheid ook als zij taken heeft uitbesteed. Het college legt hierover verantwoording af aan de gemeenteraad. Op het gebied van monitoring en verantwoording sluiten we aan bij wat hierover is vastgelegd in de drie kadernotities voor het sociale domein. Externe organisaties De gemeente Assen heeft het merendeel van de taken in het sociaal domein uitbesteed aan externe organisaties. De sturing op deze partijen vindt voornamelijk plaats door middel van contracten. Hierin kunnen ook voorschriften staan over gegevensverwerking, privacy en informatieveiligheid. Daarnaast hebben deze organisaties ook een eigen verantwoordelijkheid voor de borging van deze aspecten. Richtlijnen Het ministerie van BZK heeft daarnaast richtlijnen opgesteld hoe gemeenten in de praktijk zorgvuldig kunnen omgaan met persoonsgegevens en de juiste balans kunnen vinden tussen noodzakelijke gegevensuitwisseling en borging van de privacy. Deze richtlijnen vormen het vertrekpunt voor deze kadernotitie. De richtlijnen berusten op drie pijlers: 1. balans tussen noodzakelijke gegevensverwerking voor de maatschappelijke opgave en borging van privacy; 2. versterking van de positie van inwoners en 3. verbetering van de verantwoording over gegevensverwerking en privacy op lokaal niveau. 1

3 2. Uitvoeringskaders en richtlijnen Uitvoeringskaders Professionals krijgen maximale bewegingsruimte, gericht op optimale cliëntondersteuning. Bepalend voor het beoordelen van hulpvraag en de noodzakelijke gegevensuitwisseling is het gesprek met de cliënt en zo nodig met zijn gezin: Praat met en niet over de cliënt. In het gesprek met de cliënt is de brede intake (triage) het instrument om vragen te verhelderen om zorg of ondersteuning te bieden of door te verwijzen. Dit is medebepalend voor de aard en omvang van de gegevensverwerking. Bij een eenvoudige en enkelvoudige vraag is de gegevensverwerking beperkt. Bij een complexe vraag worden vaak meer gegevens verwerkt omdat wellicht meer partijen betrokken zijn. Ook is er dan meer sprake van onderlinge uitwisseling. Elke organisatie is zelf verantwoordelijk voor het intern borgen van privacyaspecten. Het opstellen van werkprocessen, protocollen en het beveiligen van gegevens kan hierbij behulpzaam zijn, maar dat is niet voldoende. Privacy moet een logisch onderdeel zijn van trainingen voor professionals en daarnaast op verschillende niveaus regelmatig onderwerp van gesprek zijn zowel binnen elk van de betrokken organisaties als binnen de samenwerking tussen de organisaties onderling als tussen de externe partijen en de gemeente. Richtlijnen Met de onderstaande richtlijnen geeft het college invulling aan de wet- en regelgeving voor privacy en gegevensverwerking. 1. Doel (doelmatigheid) Stel in het contact met de betrokkene/cliënt en met de bij deze cliënt betrokken instanties altijd vast voor welk doel gegevens worden uitgewisseld. 2. Noodzaak (proportionaliteit) Bepaal of gegevensuitwisseling wel nodig is. Bedenk dat ook in een overleg over betrokkene gegevens worden uitgewisseld! Gegevens worden alleen dwars door sectoren heen uitgewisseld als de problematiek of de hulpvraag dit noodzakelijk maakt. 3. Niet meer informatie dan nodig (subsidiariteit) Er wordt tussen de sectoren in principe alleen dat informatie uitgewisseld. Over het feitelijke verloop van de zorg en ondersteuning de zogenaamde wat informatie wordt alleen informatie uitgewisseld als dit noodzakelijk is voor de analyse van de hulpvraag en het bieden van integrale ondersteuning. In een gezamenlijk bestand wordt als regel ook alleen dat informatie vastgelegd. 4. Regie bij de betrokkene (= cliënt) Aan de cliënt wordt toestemming gevraagd als gegevens moeten worden uitgewisseld en/of overleg moet worden gevoerd tussen de sectoren. In het gesprek tussen hulpverlener en cliënt moet het als een vanzelfsprekendheid worden ervaren dat toestemming wordt gevraagd en verleend. Toestemming hoeft niet te worden verkregen door middel van een formulier of handtekening, maar kan ook mondeling gebeuren. De hulpverlener moet bewust nagaan of deze toestemming is verleend en na afloop van het gesprek de gegeven toestemming of weigering zorgvuldig documenteren in het bestand. 5. Geen gebruik voor ander doel Gegevens die worden uitgewisseld of verstrekt voor integrale zorg en ondersteuning worden niet gebruikt voor andere doelen zoals handhaving en opsporing. 6. Uitzondering Alleen als er sprake is van een (te verwachten) zorgelijke situatie, waarbij de veiligheid of gezondheid van cliënt, zijn gezin of anderen in het geding is, hoeft de cliënt geen toestemming te geven. Dit is ook het geval, wanneer het vragen van toestemming aan de betrokkene diens veiligheid in gevaar brengt. De afweging om te bepalen of er sprake is van een uitzonderingssituatie moet concreet zijn en gaat altijd 2

4 over afzonderlijke gevallen. De afweging wordt vastgelegd in het bestand en wordt door de betrokken hulpverlener vooraf gedeeld met een collega (collegiale consultatie). Deze uitvoeringskaders en richtlijnen dienen als richtsnoer bij de uitwerking van een privacyreglement, protocollen of werkinstructies. Als bijlagen zijn een beschrijving van de belangrijkste begrippen en een omschrijving van de relevante wettelijke kaders opgenomen. 3

5 Bijlage 1: Begripsbepalingen Voor de leesbaarheid van dit document volgt hieronder een opsomming van de belangrijkste begrippen, zoals die zijn bepaald in de Wet bescherming persoonsgegevens (Wbp). Persoonsgegevens: Alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Het begrip persoonsgegevens moet ruim worden opgevat. Het gaat niet alleen om basale gegevens als naam, adres en woonplaats, maar om elk gegeven dat in verband kan worden gebracht met een (identificeerbaar) natuurlijk persoon. Een pasfoto, een vingerafdruk, een voertuigkenteken, een telefoonnummer en een adres zijn voorbeelden van persoonsgegevens. Van belang is verder dat de bescherming van persoonsgegevens alleen betrekking heeft op de bescherming van de gegevens van natuurlijke personen. Rechtspersonen kunnen op grond van de Wbp geen aanspraak maken op bescherming van de hun betreffende gegevens. Verwerken: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, vergelijken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. Als hierna over gegevensverwerking wordt gesproken, doelen we op het verwerken van persoonsgegevens. Bestand: Een bestand omvat: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. De Wbp strekt zich ook uit tot de nietgeautomatiseerde (papieren) verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen. Verantwoordelijke: De natuurlijke persoon, organisatie of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verantwoordelijke hoeft niet zelf feitelijk de gegevens te verwerken. Van belang is of de verantwoordelijke bepaalt welke gegevens, hoe lang, met welke middelen en voor welk doel worden verwerkt. Betrokkene: Degene op wie de persoonsgegevens betrekking hebben. 4

6 Bijlage 2: Wettelijke kaders privacy 2.1. Wat is privacy In de wetgeving is geen definitie gegeven van het begrip privacy. Het begrip privacy wordt veelal gebruikt om te verwijzen naar de mogelijkheid van mensen om ongestoord zichzelf te kunnen zijn. De wet- en regelgeving ter bescherming van persoonsgegevens vindt haar oorsprong in het grondrecht van de burger op eerbiediging van zijn persoonlijke levenssfeer. Privacy is een relatief begrip dat context- en functieafhankelijk is. Wat tot de persoonlijke levenssfeer moet worden gerekend is niet altijd een vast gegeven, maar kan veranderen door een andere tijdsgeest of omdat normen en waarden wijzigen. 2.2 Europees Verdrag en Grondwet Het recht op privacy is vastgelegd in internationale verdragen, zoals in artikel 7 en 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en in artikel 10 van de Grondwet. Dit grondrecht wordt nader uitgewerkt in de Wet bescherming persoonsgegevens (Wbp). 2.3 Wet bescherming persoonsgegevens (Wbp) De Wbp geeft een algemeen kader dat op veel instellingen en bedrijven van toepassing is. Daarnaast geven sectorwetten zoals de Jeugdwet, Wet structuur uitvoeringsorganisatie werk en inkomen (Wet SUWI) en de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) specifieke (extra) bepalingen. Politie en Justitie vallen niet onder de Wbp. Zij hebben eigen wetgeving zoals de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). In de context van deze notitie zijn in de Wbp met name de volgende artikelen van belang. Verwerking van persoonsgegevens (algemeen) Artikel 6 Wbp regelt dat persoonsgegevens alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier mogen worden verwerkt. Artikel 7 Wbp regelt dat persoonsgegevens alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Dit is in zekere zin de belangrijkste bepaling van het privacyrecht, omdat aan de hand van het doel van de verwerking de hoeveelheid, de soort, de kwaliteit en de bewaartermijn van de gegevens worden getoetst. Een precieze en duidelijke omschrijving van het doel van de verwerking is daarom van groot belang. Artikel 8 Wbp noemt de rechtvaardigingsgronden voor gegevensverwerking. Het gaat om een limitatieve opsomming en gegevensverwerking is alleen toegestaan op basis van één van deze 6 gronden: 1. De betrokkene daarvoor ondubbelzinnig toestemming heeft verleend; 2. Gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is; 3. Gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen; 4. Gegevensverwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene. 5. Gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt; 6. Gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigd belang van de verantwoordelijke of een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzondere het recht op bescherming van de persoonlijke levenssfeer prevaleert. Artikel 9 Wbp regelt dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen. Bij de beoordeling of een verwerking onverenigbaar is, houdt de verantwoordelijke in elk geval rekening met: 5

7 a. De verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; b. De aard van de betreffende gegevens; c. De gevolgen van de beoogde gegevensverwerking voor de betrokkene; d. De wijze waarop de gegevens zijn verkregen en e. De mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden, wordt niet als onverenigbaar beschouwd, indien de verantwoordelijke de nodige voorzieningen heeft getroffen om te verzekeren dat de verdere verwerking uitsluitend gebeurt ten behoeve van specifieke doeleinden. De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Informatieverstrekking aan betrokkene Artikel 33 Wbp regelt de informatieplicht aan de betrokkene, wanneer de gegevens worden verkregen van de betrokkene zelf, opdat betrokkene moet kunnen nagaan wat er met zijn gegevens gebeurt, tenzij hij daarvan reeds op de hoogte is. Artikel 34 Wbp regelt de informatieplicht aan betrokkene, wanneer de betrokkene de gegevens niet zelf heeft verstrekt, tenzij hij reeds daarvan op de hoogte is. Verantwoordelijke heeft alleen een actieve informatieplicht naar een betrokkene die de gegevens niet zelf heeft verstrekt, als gegevensverwerking niet gebeurt op grond van een wettelijk voorschrift of hij anderszins niet kon weten dat zijn gegevens bestemd waren voor gebruik door een derde. Informatieverstrekking als bedoeld in artikel 34 Wbp kan achterwege blijven als dit onmogelijk blijkt, of alleen met een onevenredige inspanning kan plaatsvinden. Rechten van de betrokkene Artikel 35 Wbp regelt het recht op inzage van betrokkene in de verwerking van zijn gegevens. Als een betrokkene om inzage vraagt, moet de gemeente binnen 4 weken een overzicht van de gegevens verstrekken tenzij daartegen wettelijke bezwaren bestaan. De gemeente moet in dit kader ook informatie verstrekken over het doel van de verwerking(en), de ontvangers van de gegevens en de herkomst van de gegevens. Artikel 36 Wbp regelt het recht op correctie. De betrokkene kan verzoeken de hem bekende gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Dat kan als de gegevens die gebruikt worden feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. De gemeente moet binnen 4 weken reageren op het verzoek van de betrokkene. Artikel 40 Wbp regelt het recht op verzet van betrokkene dat hij kan aantekenen tegen bepaalde vormen van gebruik van zijn gegevens in verband met zijn bijzondere persoonlijke omstandigheden. Uitzonderingen en beperkingen In artikel 43 Wbp zijn de uitzonderingen geregeld die de rechten van betrokkenen beperken. Deze beperkingen kunnen noodzakelijk zijn in verband met o.a. voorkoming, opsporing en vervolging van strafbare feiten, in het belang van de bescherming van betrokkene zelf of in het belang van de rechten en vrijheden van anderen. 2.4 Overige wetgeving In de Jeugdwet, Participatiewet en de Wet maatschappelijke ondersteuning 2015 zijn ook wettelijke grondslagen vastgelegd voor gegevensverwerking door gemeenten en samenwerkingspartners. In ieder van deze afzonderlijke wetten is een juridische basis gecreëerd om, binnen het kader van één van deze drie specifieke wetten, gegevensverwerking mogelijk te maken. Binnen de sector is voldoende ruimte om gegevens vast te leggen en binnen de sector uit te wisselen. Deze wetten bieden geen specifieke basis voor het uitwisselen tussen sectoren jeugd, maatschappelijke ondersteuning en werk en inkomen. Hiervoor is de Wbp het overkoepelende kader. Toestemming is een belangrijke basis voor intersectorale uitwisseling. 6

8 2.5 Beroepsgeheim hulpverleners Medische hulpverleners en alle andere professionals in de zorg- en hulpverlening hebben een geheimhoudingsplicht, die zijn grondslag heeft in het EVRM en de Grondwet en is vastgelegd in onder meer de Wet BIG, de Wet op de geneeskundige behandelingsovereenkomst en beroepscodes voor specifieke beroepsgroepen. 7