BESTURING EN BELEID PRIVACY APELDOORN 2015

Transcriptie

1 BESTURING EN BELEID PRIVACY APELDOORN 2015

2 1. VOLDOEN AAN PRIVACYKADERS: NOODZAAK EN NUT...2 Privacy is hot...2 Privacy in het sociaal domein...2 Bestaand wettelijk kader...2 Toekomstige Europese privacyregels...3 Toekomstige nationale regelgeving...4 Het voldoen aan privacyvoorschriften dient meerdere doelen GOVERNANCE EN BELEID...5 Directie en management zijn verantwoordelijk en hebben beleid nodig om hun verantwoordelijkheid te kunnen nemen op privacygebied...5 Privacybeleid vergt kennis, kunde én capaciteit PRIVACYBELEID IS VOORAL EEN BELANGENAFWEGING...7 Uitgangspunten van beleid...7 Beleid ten aanzien van gebruik van persoonsgegevens algemeen...7 De privacyfunctionaris...8 Beleid ten aanzien van gebruik van persoonsgegevens uit de BRP...9 Beleid ten aanzien van organisatiebrede en of teamoverschrijdende privacyissues PRIVACYBELEID TOEGEPAST OP HET SOCIAAL DOMEIN...11 Apeldoorn gaat de veranderingen in het sociaal domein privacyproof invoeren...11 Hoe voldoet Apeldoorn aan de privacyvoorschriften in het sociaal domein...11 Enkelvoudige vraagstukken sociaal domein...11 Bijzonderheden jeugdhulp...11 Bijzonderheden maatschappelijke ondersteuning...12 Meervoudige complexe vraagstukken sociaal domein...12 Communicatie en training medewerkers gemeente en partners...13 Communicatie met de burger

3 1. Voldoen aan privacykaders: noodzaak en nut Privacy is hot Privacy is de laatste maanden steeds meer het nieuws gaan beheersen. Recent sprak het College bescherming persoonsgegevens (hierna Cbp)zich nog uit over de wijze waarop de gemeenten persoonsgegevens in het sociaal domein gaan verwerken. Daaruit sprak weinig vertrouwen jegens de gemeenten op het gebied van de privacybescherming. Los van deze actuele ontwikkelingen zal de gemeente gewoon uitvoering moeten geven aan de privacywetgeving. Sterker nog, in augustus heeft ons college de gemeenteraad laten weten, de privacy in het sociaal domein op deugdelijke wijze te borgen. Privacy in het sociaal domein Met de overdracht van taken in het sociaal domein krijgt de gemeente meer en privacygevoeliger gegevens te verwerken. Door de integrale aanpak van meervoudige problemen zullen gegevens uitgewisseld gaan worden met haar partners in het sociaal wijkteam. Daarbij is van belang dat de gegevens minimaal binnen de juridische kaders van de privacywetgeving zal plaatsvinden. Bestaand wettelijk kader Sinds 1 september 2001 is de Wet bescherming persoonsgegevens (Wbp) van kracht. De wet heeft als doel het verwerken van persoonsgegevens transparant te maken voor degenen wiens persoonsgegevens worden verwerkt. Op die manier kan de betrokkene zijn privacyrechten tot gelding brengen, zoals onder meer het recht op inzage en correctie. De Wbp heeft de eisen van transparantie vorm gegeven door de verantwoordelijke voor de verwerking van persoonsgegevens een openbaar register te laten aanleggen van gegevensverwerkingen. Een aantal daarvoor in aanmerking komende gegevensverwerkingen dient de verantwoordelijke te melden bij het College bescherming persoonsgegevens (Cbp). In het zogenaamde Vrijstellingsbesluit zijn categorieën van gegevensverwerkingen opgenomen, die onder bepaalde voorwaarden van die melding zijn vrijgesteld. Naast transparantie stelt de wet voorwaarden op het gebied van rechtmatigheid, waaronder eisen aan doelbinding, kwaliteit van gegevens, bewaartermijnen en beveiliging. Daaraan koppelt artikel 15 van de Wbp een nalevingsplicht. 2

4 Toekomstige Europese privacyregels Op 21 oktober 2013 is door de commissie voor burgerlijke vrijheden van het Europees Parlement gestemd over het op 25 januari gepubliceerde voorstel voor de herziening van de Europese Privacywetgeving. Een Europese verordening voor de verwerking van persoonsgegevens met rechtstreekse werking voor de lidstaten gaat de huidige privacyrichtlijn vervangen. Belangrijke elementen in het voorstel zijn: De Europese burger moet meer controle over en keuze in de verwerking van persoonsgegevens krijgen. De Europese Commissie vindt de huidige wetgeving onvoldoende aansluiten op de nieuwe technologieën waarmee deze gegevens worden verzameld. De verordening introduceert een zogenaamd recht op het wissen van gegevens. Een organisatie moet gegevens wissen als iemand hierom vraagt. Dit sluit overigens aan op de bepalingen in de vigerende regelgeving die betrekking hebben op de bewaartermijnen. Gegevens mogen niet langer worden bewaard, dan noodzakelijk is voor het doel waarvoor ze zijn verzameld. Voor een aantal gegevensverwerkingen zijn thans concrete termijnen vastgesteld. De verordening brengt grote administratieve lasten met zich mee. Organisaties moeten als de nieuwe regels in werking treden investeren in het aanpassen van alle systemen. Daarnaast moeten zij uitgebreide documentatie bijhouden over alle verwerkingen van persoonsgegevens die zij doen en alle verwerkingen die zij uitbesteden aan bewerkers. Organisaties die gegevens van meer dan personen verwerken moeten verplichte privacy impact assesments gaan uitvoeren bij de invoering van ICTsystemen en een data protectionofficer (functionaris voor de gegevensbescherming) aanstellen. Zogenaamde datalekken dienen te worden gemeld bij het College bescherming persoonsgegevens en bij degene wiens gegevens gelekt zijn. Het voorstel is in maart met grote meerderheid aangenomen door het Europees Parlement en ligt voor bij de Raad van Ministers die de Verordening, al dan niet geheel of gedeeltelijk, kan aannemen. Over de inwerkingtreding doen verschillende geluiden de ronde, maar naar verwachting zal dat in 2017 zijn. Dat wil overigens niet zeggen dat in de tussentijd kan worden stilgezeten. De nationale wetgever zal in 2015 al een aantal zaken in de Nederlandse wetten regelen. 1 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), Brussels,

5 Toekomstige nationale regelgeving De WBP zal naar verwachting in 2015 de hiervoor reeds genoemde meldplicht datalekken introduceren. Het wetsvoorstel tot wijziging van de Wbp ligt ter behandeling voor bij de Tweede Kamer. Bij de wijziging van de Wbp zal het college bescherming persoonsgegevens ook worden toegerust met een handhavingsinstrumentarium in de vorm van een bestuurlijke boete. In het eind november 2014 aangepaste wetsvoorstel wordt gesproken over een geldboete van maximaal de 6 e categorie, hetgeen kan neerkomen op een bedrag van Niet alleen in de overkoepelende privacywet komen er veranderingen. De wetten die de overgang van taken in het sociaal domein regelen bevatten, zowel in de wetten zelf, als in algemene maatregelen van bestuur nadere regels met betrekking tot de verwerking van persoonsgegevens. Het voldoen aan privacyvoorschriften dient meerdere doelen De initiële werkzaamheden ter uitvoering van de Wbp zijn ten tijde van de invoering van de wet in 2001 uitgevoerd. Sinds deze werkzaamheden hebben zich binnen de gemeente Apeldoorn tal van veranderingen in organisatie en informatiehuishouding voorgedaan. Deze veranderingen hebben ook steeds gevolgen gehad voor de verwerkingen van persoonsgegevens. In 2012 heeft een algehele actualisering van de administratie en een toetsing aan de privacyregelgeving plaatsgevonden. Een jaarlijkse actualisering en toetsing van en de eventueel daarop getroffen maatregelen, zorgen er sindsdien voor dat Apeldoorn door de jaren heen adequaat uitvoering gaf aan de Wbp. Door deze uitvoering beschikt Apeldoorn over een nagenoeg actueel beeld van de persoonsinformatiehuishouding. Dat actuele beeld is tevens van belang uit oogpunt van beveiligingsbeheer. Ingevolge artikel 13 Wbp dient de verantwoordelijke de noodzakelijke beveiligingsmaatregelen te treffen ter voorkoming van misbruik en verlies van persoonsgegevens. Voor het uitvoeren van gemeentebreed veiligheidsbeleid, is het noodzakelijk om te kunnen beschikken over een beheerinstrumentarium. Het geactualiseerde beeld van de persoonsinformatiehuishouding levert een substantieel deel van dat instrumentarium. De security officer heeft daarmee immers zicht op de bedrijfsprocessen waarover zijn verantwoordelijkheid voor wat betreft de beveiliging van persoonsgegevens reikt. Door te voldoen aan de vigerende privacywetgeving anticipeert Apeldoorn tevens en met name op de administratieve verplichtingen die er op grond van de Europese verordening op haar af gaan komen. 4

6 2. Governance en beleid Directie en management zijn verantwoordelijk en hebben beleid nodig om hun verantwoordelijkheid te kunnen nemen op privacygebied De overkoepelende wetgeving op het gebied van privacybescherming is de Wbp. De Wbp is een kaderwet waaraan publieke en private organisaties zich moeten houden. De verantwoordelijkheid voor de uitvoering en handhaving ligt bij de verantwoordelijke, in casu de burgemeester respectievelijk het college van burgemeester en wethouders. Voor gegevensverwerkingen bij de Griffier (bijvoorbeeld over de raadsleden zelf of gegevens over personen in post aan de Raad gericht) is de gemeenteraad het verantwoordelijke bestuursorgaan. Ambtelijke verantwoordelijkheid verloopt via de lijnen van het mandaatbesluit, waarbij de uitvoering in de lijn in (sub)mandaat bij de directie en teammanagers ligt. Net zoals een manager zich houdt aan de financiële kaders, moet deze ook de algemene privacykaders van de Wbp en de bijzondere regels in de wetgeving die hij/zij uitvoert in acht nemen. Privacy speelt zich echter niet alleen in de lijn af. Een aantal privacyissues is eenheidsoverstijgend. De verantwoordelijkheid voor dergelijke issues ligt bij de directie. Bijvoorbeeld voor de keteninformatisering die optreedt als gevolg van de invoering van de basisregistraties of het brede gebruik van de documentaire informatievoorziening, het thuiswerken of in de Cloud werken. Het is enerzijds van belang dat directie en management zich bewust zijn van de rol en de verantwoordelijkheid die daarbij hoort en anderzijds daar ook naar kunnen en gaan handelen. Om dat te bewerkstelligen is een beleid en beheerinstrumentarium voor privacy noodzakelijk met bijbehorende besluitvormingsstructuur en procedure. Directie en management stellen het beleid vast en besluiten over de beleidsissues die zij vanuit de organisatie ter besluitvorming krijgen voorgelegd. Privacybeleid vergt kennis, kunde én capaciteit De uitvoering en handhaving van de privacywetgeving vergt tamelijk specialistische kennis en kunde, die logischerwijze niet bij directie en management voorhanden is. De kennis en de kunde die hiervoor nodig is, is belegd bij de privacyfunctionaris. Deze heeft een coördinerende, toetsende en adviserende rol op privacygebied en geeft ook uitvoering aan de administratieve en beheertaken van de Wbp. Toetsing en advisering De vrijwel permanente veranderingen in organisatie en processen als gevolg van nieuwe wetgeving, verbetering van de dienstverlening, samenwerkingen met andere gemeenten en met maatschappelijke partners, dienen getoetst te worden aan de kaders van de privacywetgeving. Dat geldt ook voor het koppelen van gegevensbestanden, zoals 5

7 bijvoorbeeld is gebeurd tussen de basisregistratie personen enerzijds en de systemen die de bedrijfsprocessen ondersteunen anderzijds. Daarnaast dienen zich nu nieuwe privacyvraagstukken aan op het gebied van het sociaal domein, moeten er besluiten genomen worden over bijvoorbeeld het thuiswerken met BRP-gegevens, het beschikbaar stellen van persoonsgegevens aan leveranciers voor testdoeleinden, cloudcomputing en Bring You rown Device (BYOD). Administratieve taken Onder de administratieve taken vallen onder meer het beheer van het register van gegevensverwerkingen en het doen van en intrekken van meldingen. De voornoemde veranderingen dienen verwerkt te worden in het openbaar register en bij het Cbp moeten eventuele meldingen worden gedaan of juist worden ingetrokken. 6

8 3. Privacybeleid is vooral een belangenafweging De toepassing en uitvoering van de wettelijke privacykaders is in het algemeen gesproken complex van aard. Bovendien is het onderwerp privacy nogal eens voorwerp van discussie en wordt vaak als sta in de weg ervaren voor de verbetering van de dienstverlening en bedrijfsvoering. De vraag die zich dan aandient is op welke manier geeft de organisatie uitvoering aan de privacywetgeving en wie is waarvoor verantwoordelijk. Anders gezegd, wie beslist binnen de organisatie of het belang van de privacy en daarvoor te treffen maatregelen opweegt tegen het organisatiebelang. In feite gaat het dan over privacybeleid. Voor dat beleid gelden de volgende uitgangspunten. Uitgangspunten van beleid 1. Burgers hebben het recht om de over hen bij de overheid bekende en beschikbare gegevens niet opnieuw te hoeven verstrekken. 2. Burgers beschikken over het grondwettelijk recht op privacy, waaronder het recht op informationele privacy. 3. Apeldoorn is voortdurend bezig de dienstverlening en bedrijfsvoering te verbeteren en een deugdelijke persoonsinformatiehuishouding geldt daarvoor als randvoorwaarde. 4. De naleving van wet en regelgeving op het gebied van de privacybescherming is uitgangspunt van handelen bij de uitvoering van primaire processen en bedrijfsvoering en wordt opgevat als kenmerk van goede dienstverlening / kwaliteit. Dat impliceert dat de wettelijke uitgangspunten in acht moeten worden genomen. 5. De Wet bescherming persoonsgegevens gaat uit van zelfregulering en laat ruimte tot interpretatie. 6. Directie, management en medewerkers hebben behoefte aan beleid op het gebied van de toepassing en uitvoering van de privacyregels. Beleid ten aanzien van gebruik van persoonsgegevens algemeen 1. Elke medewerker die persoonsgegevens nodig heeft voor de uitvoering van diens taak of taken, moet daarover op zo efficiënt mogelijke wijze kunnen beschikken. 2. Voor zover een algemeen gegeven (basisgegeven) over een persoon beschikbaar is in een van de basisregistraties, gebruikt de medewerker dat gegeven tenzij dat gegeven onjuist is. 3. Het takenpakket van een medewerker is bepalend voor de set aan gegevens waarover een medewerker mag beschikken evenals de wijze waarop deze gegevens ter beschikking worden gesteld. 7

9 4. Een teammanager is uit oogpunt van privacybescherming verantwoordelijk voor en beslist over de vaststelling van de inhoud van de gegevensset behorende bij het takenpakket van een medewerker. De teammanager neemt daarbij de wettelijke uitgangspunten in acht met betrekking tot: a. doelbinding: gegevens worden uitsluitend voor een vooraf bepaald gerechtvaardigd doel gebruikt; b. proportionaliteit: niet meer gegevens gebruiken, dan strikt noodzakelijk is; c. subsidiariteit: kan het doel zonder persoonsgegevens worden bereikt, dan heeft dat de voorkeur. 5. Eenheidsmanagers beslissen over privacyissues die teamoverschrijdend zijn 6. De Directieraad is verantwoordelijk voor de gemeentebrede naleving van de Wbp en beslist over privacyissues die eenheidsoverschrijdend zijn. 7. Bij nieuw uit te voeren processen waarbij de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens, qua inhoud en omvang complex is en van substantieel belang is voor de uitvoering van het proces, maakt een privacy impact assessment deel uit van implementatieproces. 8. Er is een privacyfunctionaris die Teammanagers, Eenheidsmanagers en Directie gevraagd en ongevraagd van advies dient met betrekking tot de bescherming van de persoonlijke levenssfeer van degenen over wie in de organisatie van de gemeente Apeldoornpersoonsgegevens worden verwerkt. De privacyfunctionaris 1. De privacyfunctionaris beoordeelt de verwerking van persoonsgegevens tegen de achtergrond van de kaders van de privacywetgeving en adviseert directieraad, eenheids- en teammanagers bij wijzigingen in procesuitvoering en bedrijfsvoering en de toepassing van een privacy impact assessment. 2. De privacyfunctionaris neemt als adviserend lid deel aan programma s en projecten waarvan het resultaat gevolgen kan hebben voor de wijze van verwerking van persoonsgegevens. 3. De privacyfunctionaris heeft verder als taak a. de uitleg van de privacyvoorschriften in de Wet bescherming persoonsgegevens en in de sectorale wetgeving; b. onderhouden van het privacybeleid; c. coördineren van de privacywerkzaamheden; 8

10 d. beheren en openbaar maken van het overzicht van gegevensverwerkingen van de gemeente Apeldoorn; e. verzorgen van meldingen en intrekkingen van meldingen bij het Cbp; f. te fungeren als aanspreekpunt voor het Cbp; g. coördineren van verzoeken om inzage, correctie en verzet en adviseren over de afhandeling; h. jaarlijks te rapporteren aan de directieraad; i. richt procedures in voor het melden van datalekken waarbij persoonsgegevens betrokken zijn Beleid ten aanzien van gebruik van persoonsgegevens uit de BRP 1. De verstrekking van persoonsgegevens uit de BRP en de wijze van verstrekking is gebaseerd op Wet BRP, Verordening gegevensverstrekking basisregistratie personen Apeldoorn 2014 en Autorisatiebesluit van de Minister van Binnenlandse Zaken d.d. 20 maart 2014, kenmerk en opvolgende versies van dat besluit. 2. De gegevensuitwisseling tussen de BRP en de gebruikers van de BRP wordt vastgelegd in het register van gegevensverwerkingen. Het register regelt de volgende onderwerpen. a. De inhoud van de taak of van de taken; b. De set aan gegevens die verstrekt wordt; c. De wijze van verstrekking: raadplegen (op persoonsniveau en/of op adresniveau) en/of mutatieberichten en/of selecties en/of koppelingen; d. Additionele voorwaarden in het geval de gebruiker werkzaamheden laat uitvoeren door een derde waarbij persoonsgegevens uit de BRP nodig zijn; e. De verplichting tot terugmelding bij gerede twijfel over de juistheid van de gegevens uit de BRP. 3. Uitbreiding van de gegevensset van een medewerker, buiten de kaders van de regels als genoemd onder 1 is slechts mogelijk, indien door het ontbreken van een gegeven diens taak niet naar behoren is uit te voeren. 4. Tot het indienen van een gemotiveerd verzoek tot uitbreiding van de gegevensset als bedoeld onder 3 is bevoegd het hoofd van het team waarbij de medewerker werkzaam is. De teammanager vergewist zich of de uitbreiding van de gegevensset voor de uitvoering van de taak noodzakelijk is en niet in strijd is met de Wet bescherming persoonsgegevens. 9

11 5. Bij onzekerheid over de uitleg van de privacywetgeving of vermoeden van strijd met deze wetgeving, legt de eenheids- of teammanager het verzoek, voorzien van een advies van de privacyfunctionaris ter besluitvorming voor aan de directieraad. Directieraad of in voorkomend geval het bestuursorgaan dat is aan te merken als de verantwoordelijke voor de verwerking van persoonsgegevens besluiten. Beleid ten aanzien van organisatiebrede en of teamoverschrijdende privacyissues Wijzigingen in de wijze waarop uitvoering wordt gegeven aan primaire en bedrijfsvoeringprocessen met al dan niet volledige organisatiebrede consequenties die ook van invloed zijn voor de manier waarop met persoonsgegevens wordt omgegaan, dienen te worden getoetst aan de privacywetgeving door de privacyfunctionaris (bijvoorbeeld thuis werken, BYOD en uitbesteding van werk aan een derde partij, gegevensdeling in het sociaal domein). 10

12 4. Privacybeleid toegepast op het sociaal domein Apeldoorn gaat de veranderingen in het sociaal domein privacyproof invoeren De nieuwe taken die de gemeente in het sociaal domein gaat uitvoeren gaan gepaard met de overdracht van, veelal bijzondere, persoonsgegevens van nieuwe klantgroepen. Bestaande processen worden opnieuw ingericht en de regie op de integrale behandeling van meervoudige problemen zal bij sociale wijkteams komen te liggen. De verwerking van persoonsgegevens in zowel de nieuwe processen als bij de sociale wijkteams moet voldoen aan de privacywetgeving, waardoor burgers er op kunnen vertrouwen dat de gemeente en haar partners zorgvuldig omgaan met hun persoonsgegevens. Hoe voldoet Apeldoorn aan de privacyvoorschriften in het sociaal domein Enkelvoudige vraagstukken sociaal domein Per onderdeel van het sociaal domein gaat de gemeente persoonsgegevens (laten) verwerken van nieuwe klantgroepen. Dat betreft bij werk en inkomen (Participatiewet), de Wajongers en de WSW-ers; bij maatschappelijke ondersteuning een belangrijk deel van de AWBZ-klanten; de jeugdgroepen die ressorteren onder de provinciale (geïndiceerde) jeugdzorg, de geestelijke gezondheidszorg voor jeugdigen (jeugd-ggz) en jeugdigen met een licht verstandelijke beperking (jeugd-lvb), de gesloten jeugdzorg, forensische zorg en de uitvoering van jeugdbeschermingsmaatregelen en jeugdreclassering. Voor de individuele gevalsbehandeling per klantgroep heeft de uitvoeringsorganisatie nieuwe processen ingericht en of bestaande processen aangepast. Deze processen zijn door de privacyfunctionaris getoetst aan de kaders van de privacywetgeving op de uitgangspunten van rechtmatigheid, proportionaliteit, subsidiariteit en doelbinding. Namens het college hebben de daartoe gemandateerde managers, de processen gemeld bij het College bescherming persoonsgegevens (Cbp). Bijzonderheden jeugdhulp De gemeente Apeldoorn heeft de toeleiding naar jeugdhulp belegd bij de Stichting Centrum voor Jeugd en Gezin Apeldoorn (CJGA). Op grond van de Wbp is het college van burgemeester en wethouders de verantwoordelijke voor de verwerking van de persoonsgegevens door het CJGA en het CJGA zelf is in termen van de Wbp bewerker van persoonsgegevens. Het college heeft met het CJGA een zogenaamde bewerkersovereenkomst gesloten, waarin is vastgelegd welke technische en organisatorische maatregelen het CJGA moet treffen ter beveiliging van de persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen, waarop de naleving wordt gecontroleerd, zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Het bestuur van het CJGA heeft voor de verwerking van persoonsgegevens over de jeugdigen en hun ouders een privacyreglement vastgesteld. Daarin is onder meer terug 11

13 te lezen welke persoonsgegevens het CJGA verwerkt en met wie die, al dan niet na de daarvoor noodzakelijke toestemming, worden gedeeld in welke situaties en hoe een jeugdige en of diens ouders inzage kunnen krijgen in de dossiers. Het privacyreglement is beoordeeld door de privacyfunctionaris van de gemeente Apeldoorn. Voor de toeleiding naar jeugdhulp is het in bepaalde situaties noodzakelijk dat het CJG informatie over jeugdigen en hun ouders deelt met partners, om te komen tot een correcte beoordeling van de inhoud van de noodzakelijke hulp. Het CJG legt de samenwerking met de jeugdzorgpartners vast in een convenant en een aanvullend privacyreglement. Bijzonderheden maatschappelijke ondersteuning Onderzoeken naar aanleiding van een verzoek om een (maatwerk)voorziening kunnen zowel door de gemeente zelf als door maatschappelijke partners uitgevoerd worden. De partners voeren zodoende een deel van de Wet maatschappelijke ondersteuning uit, onder verantwoordelijkheid van het college van burgemeester en wethouders en zijn daardoor bewerker van persoonsgegevens. Tussen deze partners worden bewerkersovereenkomsten gesloten, die qua inhoud vergelijkbaar zijn met de bewerkersovereenkomst zoals hiervoor genoemd bij de bijzonderheden jeugdhulp. Een van bepalingen in de bewerkersovereenkomst betreft de verplichting tot geheimhouding van de persoonsgegevens. Voor een onderzoek is het college van burgemeester en wethouders bevoegd om gegevens, waaronder bijzondere gegevens betreffende de gezondheid te verwerken van de aanvrager. Tevens mag het college ook gegevens vastleggen van mantelzorgers en van derden in het sociale netwerk van de aanvrager. Meervoudige complexe vraagstukken sociaal domein Meervoudige probleemsituaties vergen een geïntegreerde aanpak en bij elkaar brengen van gegevens uit de verschillende onderdelen van het sociaal domein in een informatiesysteem en het delen van informatie ook met partners in wijkteams. Het college van burgemeester en wethouders is de verantwoordelijke voor de verwerking van persoonsgegevens in een wijkteam. Vanuit die rol zorgt het college ervoor dat die verwerking voldoet aan de privacywetgeving. In een convenant zijn met de partners afspraken gemaakt over doel, inhoud en middeleninzet van de samenwerking en in een aanvullend reglement ligt vast hoe de samenwerkende partners omgaan met persoonsgegevens. De informatie die de leden van de wijkteams over een persoon delen betreft de zogenaamde DAT-informatie. Bijvoorbeeld het feit dat iemand bekend is bij een hulpverlener of bij de politie. Welke informatie (WAT-informatie) daarachter schuilgaat blijft in de dossiers van de partners. 12

14 Het proces dat het wijkteam uitvoert is door de privacyfunctionaris beoordeeld op de eerder genoemde uitgangspunten en gemeld bij het Cbp. Datzelfde geldt voor het convenant en privacyreglement. Communicatie en training medewerkers gemeente en partners Het bestuurlijk/juridisch instrumentarium dat de gemeente Apeldoorn inzet om privacyproof uitvoering te geven aan de taken in het sociaal domein, zal ook in de praktijk van de medewerkers moeten landen. Medewerkers van de gemeenten en van partners moeten kennis nemen van deze regels en geïnstrueerd worden over de manier waarop ze met persoonsgegevens kunnen en moeten omgaan. Daarvoor zijn privacyfolders voor de medewerkers beschikbaar op zowel het domein van de jeugdhulp als dat van maatschappelijke ondersteuning. Daarnaast krijgen medewerkers van de gemeente en partner in workshops nadere toelichting op hoe om te gaan met persoonsgegevens en de toepassing/uitvoering van triage. Communicatie met de burger Burgers worden op allerlei manieren op de hoogte gehouden van de veranderingen in het sociaal domein. Voor wat betreft de verwerking van persoonsgegevens is het van belang dat de burger geïnformeerd wordt over het doel van de verwerking van diens gegevens, welke gegevens op welk moment in het proces nodig zijn (ook wel triage genoemd) en met wie welke gegevens noodzakelijkerwijze gedeeld gaan worden. Het moment van informeren is in de meeste gevallen het moment waarop een burger om hulp vraagt. In sommige situaties, bijvoorbeeld in het geval de burger niet zelf om hulp vraagt, kan de burger op een later moment worden geïnformeerd. De informatieplicht jegens de burger is in de procesinrichting van gemeente en partners voorzien. Het moment van informeren wordt tevens benut om, indien nodig toestemming te vragen om gegevens te mogen verwerken of uit reeds bestaande dossiers bij de gemeente gegevens te hergebruiken en om eventuele bijzondere gegevens omtrent de gezondheid te mogen opvragen bij een medicus. Buiten de informatieplicht heeft een burger te allen tijde recht op inzage en kan de gemeente verzoeken foutieve gegevens te corrigeren. 13