Impactanalyse GCOS: Privacy & architectuur

Impactanalyse GCOS: Privacy & architectuur 24 april 2013 Universiteit Leiden & Considerati mr. dr. Bart W. Schermer mr. drs. Maria P. de Jong mr. drs. Martine D. Wubben CIPP/E

Impactanalyse GCOS: Privacy & architectuur In opdracht van het Ministerie van Justitie 24 april 2013 Universiteit Leiden Faculteit der Rechtsgeleerdheid (Afdeling Jeugdrecht & elaw@leiden) mr. drs. Maria P. de Jong review: Prof. mr. drs. Mariëlle R. Bruning Prof. mr. Simone van der Hof Considerati BV mr. dr. Bart W. Schermer mr. drs. Martine D. Wubben CIPP/E 2

Inhoudsopgave 1 INLEIDING... 5 1.1 AANLEIDING... 5 1.2 ONTWIKKELINGEN... 5 1.2.1 Professionals die gegevens delen: een zoektocht... 5 1.2.2 De inrichting van GCOS: visieontwikkeling... 5 1.3 OPDRACHT EN UITGANGSPUNTEN... 7 1.3.1 Opdracht... 7 1.3.2 Uitgangspunten... 7 1.4 VERANTWOORDING AANPAK... 9 2 PRIVACY IN DE CONTEXT VAN CASUSOVERLEG... 10 2.1 STUWENDE VERSUS VERANKERENDE BEGINSELEN... 10 2.2 CASUSOVERLEG EN PRIVACY... 11 3 GCOS ALS GEÏNTEGREERD SYSTEEM: HUIDIGE INRICHTING... 13 3.1 INLEIDING... 13 3.2 GCOS: ONDERSTEUNING VOOR ZOWEL LANDELIJK UNIFORME ALS CONTEXT- SPECIFIEKE KADERS... 13 3.3 GEGEVENSVERWERKINGEN IN GCOS... 13 3.4 CASUS- OVERSTIJGEND UITWISSELEN VAN GEGEVENS... 14 3.4.1 Uitwisselen van informatie op casussubject... 14 3.4.2 Uitwisselen van informatie op casus... 15 4 PRIVACY COMPLIANCE IN DE PRAKTIJK VAN CASUSOVERLEG... 16 4.1 VERWERKING VAN PERSOONSGEGEVENS... 16 4.1.1 Persoonsgegevens... 16 4.1.2 Bijzondere persoonsgegevens... 17 4.1.3 Identificerende nummers... 17 4.2 VERANTWOORDELIJKE... 17 4.2.1 Ontwikkeling veiligheidshuizen... 17 4.2.2 Doel en middelen... 19 4.3 DOELBEPALING... 20 4.3.1 Doelbinding en geheimhoudingsplicht... 21 4.4 GRONDSLAG VOOR DE VERWERKING... 22 4.4.1 Toestemming (8a Wbp)... 22 4.4.2 Wettelijke plicht (artikel 8c Wbp)... 23 4.4.3 Vrijwaring vitaal belang van de betrokkene (artikel 8d Wbp)... 23 4.4.4 Goede uitoefening publiekrechtelijke taak (Artikel 8e Wbp)... 23 4.4.5 Gerechtvaardigd belang van de verantwoordelijke (artikel 8f Wbp)... 24 4.4.6 Artikel 43 Wbp... 24 4.5 GRONDEN VOOR VERWERKING BIJZONDERE PERSOONSGEGEVENS... 25 4.5.1 Specifieke uitzonderingsgronden... 25 4.5.2 Uitdrukkelijke toestemming... 25 4.6 MATERIËLE EISEN WET BESCHERMING PERSOONSGEGEVENS... 26 4.6.1 Gegevenskwaliteit... 26 4.6.2 Gegevenskwantiteit... 26 4.6.3 Transparantie... 27 4.6.4 Vertrouwelijkheid... 27 4.6.5 Bewaartermijn... 28 4.6.6 Beveiliging... 28 4.6.7 Melding... 29 4.7 SAMENVATTING BEVINDINGEN... 29 3

5 ANALYSE KNELPUNTEN TEN BEHOEVE VAN VERBETERING GCOS... 31 5.1 OORZAKEN KNELPUNTEN... 31 5.1.1 Verantwoordelijkheid voor casusoverleg en keten- overstijgende samenwerking... 31 5.1.2 Rol van GCOS in ketensamenwerking: database, systeem of software?... 32 5.1.3 De rol van het veiligheidshuis... 32 5.2 WEGNEMEN KNELPUNTEN: PRIVACY EN ZORG/VEILIGHEID IN BALANS... 32 6 JURIDISCHE EN ARCHITECTURALE EISEN AAN CASUSOVERLEG... 34 6.1 BELEGGEN VERANTWOORDELIJKHEID... 34 6.1.1 Eenvoudige kaders: terugbrengen casusoverleg binnen de keten... 34 6.1.2 Complexe multi- problematiek: wettelijke basis voor veiligheidshuizen... 35 6.2 GCOS ALS SOFTWARE IN PLAATS VAN GEGEVENSVERWERKING... 36 6.2.1 Toepassing GCOS binnen specifiek casusoverleg... 37 6.2.2 Opheffen standaard landelijke raadpleegbaarheid en samenloopdetectie... 38 6.3 TRIAGE EN OVERLEG... 40 7 VISIE OP ONTWIKKELING CASUSOVERLEG IN NEDERLAND... 42 7.1 EEN SOLIDE BASIS VOOR GCOS: VISIE OP TRIAGE- EN CASUSOVERLEG... 42 7.1.1 Stap 1: melding... 42 7.1.2 Stap 2: selectie van het triageoverleg... 42 7.1.3 Stap 3: Het triageoverleg vindt plaats... 44 7.1.4 Stap 4: uitkomst triageoverleg... 44 7.1.5 Stap 5: casusoverleg... 45 7.1.6 Specifieke aspecten triage- en casusoverleg... 45 7.2 PRAKTIJKVOORBEELD: DE WEG VAN EEN MELDING HUISELIJK GEWELD EN KINDERMISHANDELING IN HET NIEUWE PROCES... 45 7.2.1 Stap 1: Melding... 46 7.2.2 Stap 2: selectie triageoverleg (interne triage)... 46 7.2.3 Stap 3: Triage (niet zijnde een ad hoc overleg)... 47 7.2.4 Stap 4: De uitkomst van het triageoverleg... 48 7.2.5 Stap 5: casusoverleg... 49 8 CONCLUSIES... 50 8.1 ANALYSE HUIDIG GEBRUIK GCOS... 50 8.2 OPLOSSINGSRICHTING... 51 8.2.1 Verantwoordelijkheid duidelijk beleggen... 51 8.2.2 Adresseren hybride aard GCOS... 52 8.2.3 Duidelijk proces van triage- en casusoverleg... 53 8.3 IMPACT... 53 8.3.1 Wettelijke basis veiligheidshuizen... 53 8.3.2 Aanpassen architectuur en functionaliteiten GCOS... 54 8.3.3 Werken conform triage- en casusoverleg structuur... 54 8.3.4 Verbeteren interne informatiehuishouding individuele casusdeelnemers... 54 9 BIJLAGE... 55 9.1 SCHEMATISCH OVERZICHT VISIE TRIAGE EN CASUSOVERLEG... 55 4

1 Inleiding 1.1 Aanleiding De afgelopen jaren is ten behoeve van het verbeteren van maatschappelijk welzijn en veiligheid het aantal casusoverleggen sterk toegenomen. Deze casusoverleggen worden meestal gevoerd onder het dak van de veiligheidshuizen in de regio en hebben een effectievere samenwerking in verschillende maatschappelijke ketens, zoals de jeugdstrafrechtketen, de veiligheidssector en de jeugdzorgketen ten doel. Deze ketens worden gekenmerkt door veel verschillende partijen die rondom één individu of casus betrokken zijn. De samenwerking wordt effectiever en efficiënter door het verzamelen en delen van informatie, het opstellen van een gezamenlijk plan van aanpak en het gestructureerd ondersteunen van ketenafspraken. Voorbeelden zijn het casusoverleg bescherming, het justitieel casusoverleg jeugd, het casusoverleg huiselijk geweld en het casusoverleg veelplegers. In toenemende mate ontstaat ook de wens om een koppeling te maken tussen verschillende typen casusoverleg zodat problemen van betrokkenen die in verschillende overleggen besproken worden, in samenhang behandeld kunnen worden. Het Ministerie van Veiligheid en Justitie heeft een generieke ICT- voorziening ontwikkeld en ter beschikking gesteld om partijen te ondersteunen bij het voeren van casusoverleg, zowel binnen als buiten het veiligheidshuis. Dit Geïntegreerd Casusoverleg Ondersteunend Systeem (GCOS) is het geheel aan middelen om het casusoverleg te ondersteunen en bestaat uit een applicatie, documentatie, voorzieningen voor ontwikkeling, beheer en productie, uitwisselingsstandaarden en een beheerorganisatie om GCOS nu en in de toekomst te kunnen gebruiken. 1.2 Ontwikkelingen 1.2.1 Professionals die gegevens delen: een zoektocht Gebleken is dat de huidige privacyregels (de Wbp en de sectorale wet- en regelgeving) veelal onvoldoende duidelijkheid en houvast bieden voor professionals in de praktijk. Hierdoor ontstaat al snel de gedachte dat er onvoldoende mogelijkheden zijn voor gegevensuitwisseling ten behoeve van de verschillende soorten casusoverleggen en gegevensuitwisselingen tussen de verschillende soorten casusoverleggen. Het ontbreken van deze duidelijkheid is onderkend en wordt in het kader van de leertuin privacy (initiatief van de Gemeente Tilburg) geadresseerd. Los van de vraag onder welke condities professionals gegevens mogen verwerken op het snijvlak van zorg en justitie (de focus van de privacy leertuin) moet het gebruik van het GCOS zelf ook voldoen aan de eisen van de Wbp. 1.2.2 De inrichting van GCOS: visieontwikkeling In november 2011 zijn door het Servicecentrum Privacy en Veiligheid een aantal knelpunten geconstateerd ten aanzien van de inrichting van GCOS. In reactie op deze knelpunten is, in opdracht van de systeemeigenaar GCOS, de Directeur Justitieel Jeugdbeleid, een visie ontwikkeld waarin is uiteengezet op welke wijze de informatiearchitectuur in het algemeen en GCOS in het bijzonder vormgegeven zou moeten worden om partijen binnen en buiten veiligheidshuizen te ondersteunen in het rechtmatig verwerken van gegevens (voldoen aan de Wbp). 1 De kernvraag die daarin is beantwoord is hoe GCOS duurzaam ingericht kan worden zodat zorgvuldige en rechtmatige gegevensverwerking ten behoeve van casusoverleg wordt 1 Ministerie van Veiligheid en Justitie (2012), Visie: GCOS architectuur en privacy, 29 mei 2012, (Borst, Gresnigt, Hommes) 5

bevorderd, de kans op onrechtmatige verwerking wordt geminimaliseerd en norm- conform gedrag wordt gestimuleerd. De context waarbinnen de veiligheidshuizen functioneren is sterk veranderd. Per 1 januari 2013 is de regie op de veiligheidshuizen overgegaan naar gemeenten. Gemeenten kunnen zo zorgen voor een optimale inbedding in, en afstemming met, lokale en regionale zorg- en veiligheidsnetwerken. Vanuit het Ministerie van Veiligheid en Justitie is, samen met alle betrokken stakeholders, vorm en invulling gegeven aan een landelijk kader voor de Veiligheidshuizen binnen de nieuwe landelijke en regionale context. Dit landelijk kader vormt de basis voor de doorontwikkeling in de verschillende regio s en brengt focus aan op de rol en activiteiten van veiligheidshuizen. 2 Een goede selectie van casuïstiek leidt tot minder behandeling van reguliere casuïstiek, waardoor er meer ruimte ontstaat voor de echt complexe casuïstiek in het veiligheidshuis, waarbij de integrale, keten- overstijgende aanpak echt een randvoorwaarde is voor een goede oplossing. Dit laat onverlet dat overige casuïstiek wel onder hetzelfde dak kan plaatsvinden, het wordt dan echter niet tot de werkzaamheden van het veiligheidshuis gerekend. 3 Focus aanbrengen in de casuïstiek van het veiligheidshuis helpt om de effectiviteit van het veiligheidshuis te vergroten; de samenwerking richt zich op het oplossen van vraagstukken met een complexe, meervoudige problematiek. 4 Veiligheidshuizen beperken zich daarom tot juist die zaken waarin de verbinding tussen de zorg- en strafrechtketen voorwaardelijk is voor een succesvolle, duurzame aanpak van (potentieel) crimineel en overlastgevend gedrag. Een casus voldoet aan de definitie complexe problematiek wanneer het aan de volgende criteria voldoet: a. Er is sprake van meerdere problemen (multi- problem) die op meer dan één leefgebied spelen en (naar verwachting) leiden tot crimineel en/of overlastgevend gedrag of verder afglijden; en: b. Samenwerking tussen meerdere ketens (minimaal dwang en drang) is nodig om tot een effectieve aanpak te komen, het lukt in de reguliere samenwerking tussen partners binnen één keten niet om deze problematiek effectief aan te pakken; en: c. De problematiek wordt beïnvloed door en heeft impact op het (gezins)systeem en/of de directe sociale leefomgeving (of wordt verwacht dat te gaan hebben); of: d. Er is sprake van ernstige lokale of gebiedsgebonden veiligheidsproblematiek, die vraagt om een ketenoverstijgende aanpak. De huidige inrichting van GCOS leunt sterk op zogenaamde casusoverlegkaders: gegevens worden digitaal vastgelegd en uitgewisseld ten behoeve van het bereiken van een tevoren gespecificeerd doel, met tevoren geselecteerde en geautoriseerde partijen. De afspraken voor een dergelijk arrangement, vaak de doelgroepaanpak genoemd, worden in een convenant vastgelegd. Met de verschuiving in de rol van veiligheidshuizen is er tevens behoefte ontstaan aan een systematiek voor het inrichten van de selectie / triage stappen binnen de kaders van privacy 2 Ministerie van Veiligheid en Justitie (2012), Landelijk Kader Veiligheidshuizen: vóór en dóór partners, p. 17 3 Ministerie van Veiligheid en Justitie (2012), Landelijk Kader Veiligheidshuizen: vóór en dóór partners, p. 17 4 Ministerie van Veiligheid en Justitie (2012), Landelijk Kader Veiligheidshuizen: vóór en dóór partners, p. 17 6

wet- en regelgeving. De doelgroepaanpak, zoals bijvoorbeeld nazorg aan ex- gedetineerden in het kader van reïntegratie of veelplegers verdwijnt hiermee niet. De kans dat dergelijk casusoverleg in het kader van deze aanpak echter buiten het veiligheidshuis plaatsvindt neemt, gegeven de noodzaak van het voldoen aan de criteria voor behandeling in het veiligheidshuis, toe. 1.3 Opdracht en uitgangspunten De wens van de opdrachtgever is om de geconstateerde privacy- gerelateerde knelpunten weg te nemen én partijen te blijven ondersteunen bij keten- overstijgende multidisciplinaire samenwerking door de informatievoorziening op zodanige wijze in te richten dat (maatschappelijk) resultaat wordt geboekt en binnen de grenzen van privacy wet- en regelgeving wordt gewerkt. De te bereiken doelen zijn daarom: 1) de geïdentificeerde knelpunten weg te nemen en de voorziening (het systeem en alle ondersteunende middelen) zodanig in te richten dat zorgvuldige en rechtmatige gegevensverwerking ten behoeve van casusoverleg wordt bevorderd, de kans op onrechtmatige verwerking wordt geminimaliseerd en normconform gedrag wordt gestimuleerd. 2) bij deze inrichting (extra) functionaliteit te bieden waarmee gegevensverwerking binnen de selectie / triage fase ondersteund wordt (waarbij deze triage zowel binnen als buiten het veiligheidshuis kan plaatsvinden). 1.3.1 Opdracht De opdracht voor de impactanalyse is als volgt: Op basis van een analyse van de (gegevensverwerking) praktijk binnen veiligheidshuizen, overwegende de architecturale principes en uitgangspunten uit de visienotitie GCOS architectuur en privacy en het Landelijke Kader Doorontwikkeling Veiligheidshuizen, de privacy eisen ten aanzien van GCOS te expliciteren en de impact te bepalen van aanpassing van GCOS op werkprocessen, convenanten en het systeem zelf. Deze analyse bestaat uit: 1. Een onderzoek naar de rechtmatigheid van gegevensverwerking in GCOS zoals die nu toegepast wordt in veiligheidshuizen (hoofdstuk 4). 2. Explicitering van de eisen waaraan de gegevensverwerking en de informatievoorziening zoals GCOS moet voldoen (hoofdstuk 6). 3. Een systematiek waarmee partijen binnen en buiten veiligheidshuizen conform de Wbp gegevens kunnen uitwisselen in zowel de triage als de casusoverlegfase (hoofdstuk 7). 1.3.2 Uitgangspunten De volgende uitgangspunten gelden bij uitvoering van de analyse: De visienotitie GCOS: privacy en architectuur is het uitgangspunt voor de architecturale inrichting van GCOS. Voorstellen voor afwijkingen daarvan kunnen voortvloeien uit de analyse en eventueel leiden tot aanpassing van de visienotitie. 7

De analyse wordt gerelateerd aan de dagelijkse praktijk van veiligheidshuizen. Daarmee wordt de top- down benadering in de visienotities verbonden met de praktische implicaties voor professionals. De impactanalyse is niet bedoeld om de impact te bepalen op de praktijk van alle veiligheidshuizen of van ketenoverleggen buiten het veiligheidshuis, de onderlinge regionale verschillen tussen de veiligheidshuizen zijn erg groot en de scope van deze analyse beperkt. Het ligt in de lijn der verwachting dat deze analyses volgen na aanbieding van een eventueel voorstel voor aanpassing van GCOS. Wel kunnen de resultaten uit de impactanalyse geabstraheerd worden tot algemene uitgangspunten waar een casusoverleg systeem aan zou moeten voldoen om zowel praktisch werkbaar te zijn en het bewaken van de privacy te bevorderen. Het landelijk kader doorontwikkeling veiligheidshuizen waarin de voorgenoemde criteria voor selectie van meervoudig complexe casussen zijn uiteengezet. GCOS ondersteunt niet alle processen in veiligheidshuizen. Vormen van triage waarbij een veiligheidshuis zelfstandig signalen ontvangt zonder beoogd kader (conform landelijk kader) en al dan niet besluit tot een casusoverleg worden niet ondersteund. Wel kan een dergelijke functionaliteit goed in samenhang met GCOS ontwikkeld worden en is voorzien als uitkomst van deze analyse. het veiligheidshuis is geen juridische entiteit waar in convenanten naar kan worden verwezen. Daarom ligt het ook niet voor de hand om medewerkers van een veiligheidshuis, bijvoorbeeld de ketenmanager, in een convenant verantwoordelijk te maken voor bijvoorbeeld vragen van burgers over inzage en afschrift of correctie van persoonsgegevens. De systematiek moet gericht zijn op het ophangen van verantwoordelijkheden aan de verantwoordelijken zoals de Wbp voorschrijft. 8

1.4 Verantwoording aanpak De analyse is in opdracht van Programma Doorontwikkeling Veiligheidshuizen uitgevoerd door een consortium bestaande uit: Privacy- en Jeugdrecht juristen van de Faculteit Rechtsgeleerdheid van de Universiteit van Leiden en adviesbureau Considerati. Manager en medewerkers van een veiligheidshuis. Adviseurs informatievoorziening binnen het Ministerie van Veiligheid en Justitie. Voor de analyse is de volgende aanpak gehanteerd: 1. Voor het onderzoek naar de rechtmatigheid van gegevensverwerking is het gebruik van GCOS binnen veiligheidshuizen als uitgangspunt genomen. Door middel van deskresearch, observaties, gesprekken en inzage in het GCOS- systeem bij een veiligheidshuis zijn de privacyrisico s van de huidige manier van werken in kaart gebracht en is de compliance met de Wbp getoetst. 2. Vervolgens zijn op basis van de compliance analyse de belangrijkste knelpunten in kaart gebracht voor wat betreft de rol van GCOS in de verwerking van persoonsgegevens bij triage- en casusoverleg. 3. Tenslotte zijn op basis van de knelpuntenanalyse GCOS voorstellen gedaan om deze knelpunten weg te nemen. De uitwerking hiervan is vervolgens getoetst aan de praktijk. Daarbij stond de vraag centraal is de voorgestelde werkwijze en inrichting van GCOS en overige ICT- hulpmiddelen werkbaar in de praktijk?. Hiervoor is onder andere de casus Huiselijk Geweld als uitgangspunt genomen (hoofdstuk 7). 9

2 Privacy in de context van casusoverleg De gemiddelde Nederlander staat in zo n 250 tot 500 databases. 5 Een groot deel van deze databases komt voor rekening van de centrale en decentrale overheid en zijn nodig voor een goede uitvoering van de overheidstaken. De explosieve toename in het aantal verwerkingen van gegevens door de overheid illustreert duidelijk dat onze overheid steeds meer een informatie- gestuurde ioverheid wordt. 2.1 Stuwende versus verankerende beginselen Hoewel informatie- gestuurd handelen en het uitwisselen van persoonsgegevens bijdragen aan de effectiviteit en efficiëntie van de overheid, worden in het WRR rapport ioverheid ook kritische kanttekeningen bij de ioverheid geplaatst. 6 Met name de vermenging van service, care en control, de circulatie van persoonsinformatie in netwerken en het werken met digitale profielen waarmee proactief beleid wordt gevoerd, leveren nieuwe risico s op voor de privacy van de burger en de legitimatie van het overheidshandelen. 7 De huidige denkkaders binnen de overheid houden momenteel nog te weinig rekening met deze risico s. 8 figuur 1: stuwende beginselen versus verankerende beginselen, bron: Rapport ioverheid, p. 74 De mogelijke negatieve neveneffecten van informatie- gestuurd handelen komen momenteel te weinig in beeld bij beslissers en beleidsmakers. Het resultaat is dat de stuwende beginselen van het overheidshandelen (veiligheid, efficiëntie) onvoldoende gewogen worden tegen de 5 Considerati (2009), Onze digitale schaduw: Een verkennend onderzoek naar het aantal databases waarin de gemiddelde Nederlander geregistreerd staat 6 WRR (2011), ioverheid, Amsterdam: Amsterdam University Press, p. 197 7 WRR (2011), ioverheid, Amsterdam: Amsterdam University Press, p. 197 8 WRR (2011), ioverheid, Amsterdam: Amsterdam University Press, p. 197 10

verankerende beginselen (privacy, keuzevrijheid). Dit heeft niet alleen tot gevolg dat burgers privacyrisico s lopen, maar ook dat geformuleerd beleid in een later stadium op maatschappelijke en politieke weerstand stuit. De negatieve consequenties hiervan voor de uitvoer van het beleid zijn pijnlijk duidelijk geworden in onder andere dossiers zoals de OV- chipkaart, het Elektronisch Patiëntendossier en de Slimme Energie Meter. 2.2 Casusoverleg en privacy De in het rapport ioverheid geschetste problematiek manifesteert zich ook in de context van casusoverleg. Casusoverleg kan op gespannen voet staan met de privacy van de betrokken cliënten en hun omgeving. Om die reden is er vanuit de maatschappij en de toezichthouder (het College bescherming persoonsgegevens) nadrukkelijk aandacht voor de verwerking van persoonsgegevens binnen casusoverleggen en de veiligheidshuizen. In maart 2011 oordeelde het CBP bijvoorbeeld dat de gegevensverwerkingen in het kader van het casusoverleg JCO in de Veiligheidshuizen Bergen op Zoom en Fryslan niet conform de Wbp plaatsvond. 9 Dit onderzoek had geen betrekking op GCOS als systeem maar veeleer op de netwerksamenwerking binnen het veiligheidshuis als zodanig. GCOS als systeem heeft het ondersteunen en faciliteren van casusoverleggen tot doel. Hiertoe biedt het systeem de mogelijkheid om persoonsgegevens te verwerken. Gegeven de aard en de omvang van de verwerkte gegevens binnen GCOS speelt het privacyvraagstuk ook binnen GCOS een prominente rol. Nu het GCOS in de meeste veiligheidshuizen en ten behoeve van (jeugd)ketens wordt gebruikt, is er een aantal vraagstukken gerezen ten aanzien van verwerking en beheer van persoonsgegevens in een multidisciplinaire omgeving. In november 2011 zijn door het Servicecentrum Privacy en Veiligheid een aantal knelpunten geconstateerd ten aanzien van de inrichting van GCOS. Zo is onder andere vastgesteld dat: 1. GCOS als landelijk raadpleegbare database - een wettelijke en daarmee juridische basis ontbeert. 2. Het niet mogelijk is om de verantwoordelijkheid voor de gehele inhoud van GCOS ondubbelzinnig toe te wijzen aan een verantwoordelijke. 3. Sommige partijen in de casusoverleggen een wettelijke grondslag ontberen om het BSN te gebruiken. 4. Door de toename van het aantal casusoverleggen en het aantal kaders, de wens om mensen persoonsgericht aan te pakken dan wel zorg te bieden en de toenemende behoefte om in elkaars systemen te kunnen kijken, het voorkomen van bovenmatig en onrechtmatig gebruik steeds moeilijker wordt. 5. Met het vastleggen van gegevens in GCOS, los van bronsystemen van ketenpartners, wordt het steeds lastiger om invulling te geven aan eisen ten aanzien van de kwaliteit en juistheid van gegevens. 9 College bescherming persoonsgegevens (2011), Veiligheidshuis district Bergen op Zoom, Onderzoek naar de verwerking van persoonsgegevens in het kader van het Justitieel Casusoverleg en JCO- Support, Rapportage van Definitieve Bevindingen (z2010-00826), maart 2011; en College bescherming persoonsgegevens (2011) Veiligheidshuis Fryslan, Onderzoek naar de verwerking van persoonsgegevens in het kader van het Justitieel Casusoverleg en JCO- Support, Rapportage van Definitieve Bevindingen (z2010-00827), maart 2011 11

Deze gesignaleerde knelpunten komen overeen met de door de Universiteit Leiden in april 2011 geconstateerde knelpunten. 10 In hoofdstuk 4 wordt gekeken in hoeverre deze knelpunten zich momenteel binnen de praktijk van het gebruik van GCOS binnen veiligheidshuizen manifesteren. 10 Bruning M.R. (2011), Notitie privacyknelpunten GCOS en herziening wetgeving, Universiteit Leiden, 21 april 2011 12

3 GCOS als geïntegreerd systeem: huidige inrichting 3.1 Inleiding GCOS is een uniform landelijk systeem voor casusoverleggen en beoogt de warme overdracht te ondersteunen (inclusief de verantwoording van besluiten), alsmede de casusregie en het verkrijgen van een betere informatiepositie ten behoeve van ketensamenwerking. Met GCOS kan er efficiënter gewerkt worden en kunnen door maatwerk de juiste maatregelen worden genomen ten aanzien van een betrokkene. Het GCOS- systeem is in het najaar van 2010 voor het eerst in een pilotversie gebruikt en is inmiddels in gebruik in ongeveer 30 veiligheidshuizen en daarnaast in diverse BJZs, PI s en JJI s. GCOS wordt in de veiligheidshuizen gebruikt om de aanpak te organiseren van (potentieel) criminele of ernstige overlast veroorzakende personen of systemen, waarachter een complexe problematiek schuilgaat. 11 In principe kan iedere casus die voldoet aan deze omschrijving worden besproken in een veiligheidshuis. De betrokkenen wiens gegevens in GCOS worden verwerkt worden casussubjecten genoemd. GCOS biedt echter ook de mogelijkheid om gegevens te registeren op een casus, waarbij ook andere personen in de gezins-, familie-, vrienden-, of relationele sfeer een rol kunnen spelen. 3.2 GCOS: ondersteuning voor zowel landelijk uniforme als context- specifieke kaders Met GCOS als generieke voorziening kunnen partijen diverse typen casusoverleggen inrichten. Zo is er een aantal veelvoorkomende kaders zoals het justitieel casusoverleg voor jeugd (JCO), het casusoverleg bescherming (COB) en het veelplegers- en huiselijk geweldoverleg waarbij ketenpartners op landelijk niveau afspraken hebben gemaakt ten aanzien van doel, middelen en benodigde partijen. Vaak zijn er voor sommige van deze landelijke kaders specifieke functionaliteiten en/of gegevenselementen toegevoegd aan GCOS om het werkproces optimaal te ondersteunen. Daarnaast biedt GCOS de mogelijkheid om context- specifieke kaders in te richten waarmee samenwerking op regionaal of lokaal niveau casusoverleg ondersteund wordt. 3.3 Gegevensverwerkingen in GCOS GCOS biedt mogelijkheden om een aantal gegevens in te voeren en met aangesloten partners te delen. Hieronder een overzicht van de gegevens die in GCOS kunnen worden ingevoerd. 12 Cliënt- gebonden gegevens 1. Cliënt (verplichte invoervelden) a. Naamsgegevens b. Geslacht c. Verantwoordelijke organisatie en persoon d. Verblijfsstatus* (legaal- illegaal) e. BSN* f. Nationaliteit* g. Geboortedatum, en land* h. Behandelregio 2. Relatie- informatie a. Familiesamenstelling b. Groepsdeelname ( Samenstellen ) 3. Casusgegevens Niet cliënt- gebonden gegevens 8. Agenda s a. Agendapunten b. Deelnemers 9. GCOS c. Meldingen/instroom d. Overleggen e. Mijn acties f. Acties eigen organisatie 10. Zoeken g. Casussubjecten h. Casus i. Personen 11 De FAQ Veiligheidshuizen daarentegen heeft het over ketenoverstijgende aanpak van complexe persoons-, systeem en gebiedsgerichte problematiek. Frequently Asked Questions Veiligheidshuizen, via http://www.veiligheidshuizen.nl/doc/qa- Veiligheidshuizen.pdf, geraadpleegd 13 maart 2013. 12 Ontleend aan de impressiepresentatie GCOS. 13

a. Omschrijving casus b. Reden van aanmelding c. Documenten (ieder bestand, bijvoorbeeld psychiatrisch rapport)* 4. Keteninformatie a. Ketenorganisatie en contactpersoon 5. Probleemanalyse a. Leefgebieden* i. dagbesteding, ii. denkwereld, iii. gedrag en motivatie iv. financieel v. identiteitsbewijs vi. justitieel vii. lichamelijk welzijn viii. psychisch welzijn ix. sociale relaties x. thuissituatie xi. verslaving xii. wonen b. Omschrijving van probleem c. Risico- taxatie 6. Plan van Aanpak ( PvA ) a. Doel b. Besluit c. Actie 7. Documenten (print (onderdelen van) dossier) Tabel 1: (bijzondere) persoonsgegevens(velden) in GCOS, uitgaande van de impressie GCOS. GCOS biedt ruimte voor diverse functionaliteiten: invoeren van gegevens over cliënt, het managen van follow- up (plan van aanpak), rapportages, alsmede agenda-, meldings-, terugkoppeling- en zoek- functies. 3.4 Casus- overstijgend uitwisselen van gegevens GCOS biedt de mogelijkheid tot casus- overstijgende samenloopdetectie en is, afhankelijk van de autorisatie, landelijk raadpleegbaar. 13 Deze functionaliteiten waarmee kan worden geïnventariseerd of een betrokkene die in een casusoverleg wordt besproken ook in andere casusoverleggen bekend is, kan nuttig en zelfs noodzakelijk zijn, bijvoorbeeld voor de afstemming van zorg of handhaving van de openbare orde. Wanneer iemand bijvoorbeeld in een casusoverleg Veelplegers besproken wordt ook casussubject is van het casusoverleg Huiselijk geweld, dan kan dit betekenen dat deze persoon ook gewelddadig is tegen zijn gezinsleden of zelf slachtoffer is van huiselijk geweld. Dit kan relevant zijn omdat het aangeeft met welke problematiek een persoon te maken heeft. 3.4.1 Uitwisselen van informatie op casussubject Omdat GCOS is ingericht om één plan voor één persoon te kunnen maken worden er naast de dat detectie ook inhoudelijke gegevens uit de leefgebieden en het plan van aanpak gedeeld. 14 Deze gegevens die daarin over het casussubject zijn verwerkt, zijn inzichtelijk voor alle (landelijke) GCOS- gebruikers die hiertoe geautoriseerd zijn. Deze autorisatie is onder meer afhankelijk van de rol en de organisatie van de gebruiker, het casusoverleg en het veiligheidshuis waarin de inhoudelijke gegevens oorspronkelijk zijn gedeeld. 13 GCOS beschikt over een complexe autorisatiestructuur die zeer selectief rechten toekent. 14 Naast één plan voor één persoon wordt nu ook gesproken over één plan voor één familie/gezin. 14

3.4.2 Uitwisselen van informatie op casus Naast registratie op casussubject niveau is het ook mogelijk om informatie enkel op casus niveau te registreren. Het overdragen van een casus (en de daarop geregistreerde gegevens) naar een ander veiligheidshuis is mogelijk via de functie casus overdragen naar ander veiligheidshuis. Daarmee is de casus inzichtelijk voor deelnemers aan beide casusoverleggen waarmee een warme overdracht wordt beoogd. 15

4 Privacy compliance in de praktijk van casusoverleg In dit hoofdstuk staat de vraag centraal hoe het gebruik van GCOS in de praktijk van het casusoverleg zich verhoudt tot het belangrijkste wettelijke kader voor gegevensbescherming, de Wet bescherming persoonsgegevens (Wbp). 15 Hierbij wordt specifiek gekeken naar de toepassing van GCOS in de praktijk van veiligheidshuizen. De verwerking van persoonsgegevens in GCOS, zoals die plaatsvindt binnen de context van de veiligheidshuizen, valt onder de reikwijdte van de Wbp, omdat sprake is van een geheel of gedeeltelijk geautomatiseerde verwerking van gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 1, sub a, jo. 2 Wbp). Derhalve moet de verwerking van persoonsgegevens binnen GCOS voldoen aan de eisen van de Wbp omtrent rechtmatigheid, melding, informatieverstrekking, rechten van de betrokkene, enzovoorts, tenzij uitzonderingen of beperkingen van toepassing zijn. Deze toetsing op hoofdlijnen vindt plaats in onderstaande paragrafen, aan de hand van de kernvereisten van de Wbp. 4.1 Verwerking van persoonsgegevens De Wbp stelt voorwaarden aan de rechtmatigheid van de verwerking van persoonsgegevens. Daarbij wordt onderscheid gemaakt tussen drie soorten persoonsgegevens: 1. Gewone persoonsgegevens: dit zijn gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. 2. Bijzondere persoonsgegevens: hebben naar hun aard een gevoelig karakter, zoals persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. De verwerking van deze bijzondere persoonsgegevens is in beginsel verboden, tenzij een specifieke uitzondering van toepassing is, of de betrokkene daarvoor diens uitdrukkelijke toestemming heeft gegeven. 3. Wettelijke persoonsnummers (identificerende nummers): deze aparte categorie bijzondere persoonsgegevens mogen slechts worden verwerkt wanneer dit ter uitvoering is van een wet of voor doeleinden bij de wet bepaald. 4.1.1 Persoonsgegevens Van gegevens 1 tot en met 7 uit tabel 1 (zie paragraaf 3.3) is sprake van verwerking van persoonsgegevens van betrokkenen, omdat deze gegevens betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. 16 Gegevens 8 tot en met 10 vormen de agenda en beheerfunctie van de GCOS- gebruiker, de casusdeelnemer. Hier is mogelijk sprake van verwerking van persoonsgegevens van de betrokken casusdeelnemer. Echter, nu deze impactanalyse zich focust op de verwerking van de persoonsgegevens van betrokkenen, wordt deze categorie persoonsgegevens in deze analyse verder buiten beschouwing gelaten. 15 Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), Staatsblad 2000, 302. 16 Dan wel cliënten, casussubjecten, dat wil zeggen personen met complexe problematiek. 16

4.1.2 Bijzondere persoonsgegevens Ter ondersteuning van het casusoverleg verwerken veiligheidshuizen in veel gevallen bijzondere persoonsgegevens over een casussubject in GCOS. GCOS biedt daar als systeem uitdrukkelijk ruimte voor. De gegevens in de tabel 1 met een asterisk (*) zijn aan te merken als bijzondere persoonsgegevens. Te denken valt aan invoervelden die expliciet betrekking hebben op gezondsheidsgegevens (fysiek, mentaal en sociaal), strafrechtelijke gegevens (politie en justitie) en gegevens over ras (nationaliteit, geboorteland). Tevens biedt GCOS ruimte voor vrije invoer en het uploaden van integrale documenten, waarbij het niet ondenkbaar is dat hier medische, strafrechtelijke of andere bijzondere persoonsgegevens worden verwerkt (bijvoorbeeld theorieën of observeringen aangaande de psychische staat van casussubject en diens gegevens, of het uploaden van een psychiatrisch rapport of strafblad). Alle casusdeelnemers die GCOS gebruiken om bijzondere persoonsgegevens te verwerken, moeten derhalve over een gerechtvaardigde grondslag beschikken om dit te mogen doen in het kader van hun eigen taak, alsook om deze gegevens te mogen delen in het kader van het casusoverleg met andere casusdeelnemers. Derhalve is het belangrijk dat GCOS casusdeelnemers niet teveel ruimte geeft om bijzondere persoonsgegevens te verwerken (zoals via de bestandsuploadfunctie), het verwerken van bijzondere persoonsgegevens verplicht stelt door gebruikmaking van dwingende vaste invoervelden, of door het bieden van de mogelijkheid van het op grote schaal delen van bijzondere persoonsgegevens te delen, zoals via het landelijk inzichtelijk maken van de leefgebieden per casussubject. 17 4.1.3 Identificerende nummers In GCOS wordt onder meer het wettelijke identificatienummers burgerservicenummer (BSN) gebruikt om gegevens te matchen met andere gegevens die beschikbaar zijn binnen GCOS over dezelfde persoon. Ook hier geldt dat GCOS er als generiek casusondersteunend systeem niet standaard vanuit kan gaan dat iedere casusdeelnemer BSN mag verwerken. BSN kan daarom niet een verplicht of standaard invoerveld zijn of altijd inzichtelijk zijn voor andere partijen. Wanneer unieke nummers voor alle partijen inzichtelijk zijn, ongeacht of zij een wettelijke basis hebben voor het verwerken van deze nummers, dan is er sprake van onrechtmatige verwerking. Weliswaar is het BSN nummer niet voor alle gebruikers zichtbaar, maar een wettelijk identificatienummer, ook al is het niet zichtbaar, mag niet op de achtergrond worden gebruikt om gegevens over een persoon te matchen, wanneer de betrokken deelnemers niet bevoegd zijn om een wettelijk identificatienummer te verwerken. 18 4.2 Verantwoordelijke Wie is op dit moment verantwoordelijk in de zin van de Wbp voor de gegevensverwerking(en) in GCOS binnen het kader van de veiligheidshuizen? Om die vraag te beantwoorden speelt de oorsprong en ontwikkeling van het concept veiligheidshuis een rol. 4.2.1 Ontwikkeling veiligheidshuizen Veiligheidshuizen zijn ontstaan door de uitbreiding van lokale initiatieven van justitiële samenwerking (Justitie in de Buurt) met zorgpartners. Veel veiligheidshuizen hebben zich 17 Om deze reden is overigens de landelijke raadpleebaarheid aan strenge autorisaties gebonden. 18 Zie notitie memo demonstratie GCOS 11 okt 2011 8 nov 2011 Servicecentrum Privacy & Veiligheid. 17

ontwikkeld tot integrale netwerkverbanden, waarbij sprake is van diverse vormen van invulling, organisatie en stadia van volwassenheid. Om de veiligheidshuizen te faciliteren bij het verder versterken en verbeteren van de samenwerking heeft het ministerie van Veiligheid en Justitie het Programma Doorontwikkeling Veiligheidshuizen ingesteld. Het Programma moet de doorontwikkeling van de veiligheidshuizen versnellen, versterken en verbeteren. Hoofddoelstelling van het programma is om te komen tot een landelijke dekking van goed werkende, effectieve veiligheidshuizen. Een onderdeel (subdoelstelling) daarvan is het landelijk kaderen en borgen van de veiligheidshuizen. Vanuit het Programma Doorontwikkeling Veiligheidshuizen van het Ministerie van Veiligheid en Justitie is met de betrokken partijen een landelijk kader voor de veiligheidshuizen tot stand gekomen. 19 Per 1 januari 2013 is vanuit de Doorontwikkeling Veiligheidshuizen de regie bij de gemeenten gelegd. Sindsdien krijgen gemeenten een rijksbijdrage in de kosten die ze maken voor de regie op veiligheidshuizen, geld dat eerder naar het Openbaar Ministerie ging. 20 Gemeenten hebben de taak gekregen te zorgen voor inbedding in en afstemming met lokale en regionale zorg- en veiligheidsnetwerken. Het landelijk kader voor veiligheidshuizen gaat in op de verantwoordelijkheden binnen de veiligheidshuizen: En Alle betrokken partners bij het veiligheidshuis behouden hun eigen verantwoordelijkheden die behoren tot hun eigen organisaties. Medewerkers van partners nemen vanuit de eigen (wettelijke) verantwoordelijkheid met mandaat deel aan casusoverleggen. Zij zijn afstemmings-, onderhandelings-, en beslissingsbevoegd, waar het gaat om de inspanningen van de eigen organisatie in een individueel traject, of in de totstandkoming en uitvoering van een breder plan van aanpak voor gebieds- of themagebonden problematiek. De regie op de (regionale) samenwerking in de Veiligheidshuizen ligt bij gemeenten. Zij zijn onder meer verantwoordelijk voor coördinatie op de regionale samenwerking en verbinding van de verschillende ketens: het bestuur (burgemeesters - openbare orde en veiligheid - en wethouders zorg en welzijn) en de straf- en zorgpartners op strategisch, bestuurlijk niveau in een regionale stuurgroep (of ander regionaal gremium). ( ) Procesregie ligt bij het veiligheidshuispersoneel en is gericht op het toezien op de totstandkoming van samenwerking op casusniveau (bijvoorbeeld door organisatie en agendering van de verschillende casusoverleggen). Casusregie is gericht op één specifieke casus en ziet erop toe dat er een integraal plan van aanpak wordt gemaakt en afspraken worden gemaakt en nagekomen. De partners zijn zelf verantwoordelijk voor het aandeel dat de eigen organisatie heeft binnen een casus en de inbreng die ze levert (expertise en interventies). 21 Afgaande op het landelijk kader, lijkt te worden aangestuurd op gezamenlijke verantwoordelijkheid van gemeenten, veiligheidshuizen en casusdeelnemers. De gemeenten zijn verantwoordelijk voor de veiligheidshuizen, de veiligheidshuizen voor de organisatie en het faciliteren van het casusoverleg en de casusdeelnemers, de ketenpartners, voor de eigen inbreng aan de casus. 19 Activiteitenplan Programma Doorontwikkeling Veiligheidshuizen 2012-2013, via http://veiligheidshuizen.nl/doc/activiteitenplan- VHH.pdf, geraadpleegd 14 maart 2013. 20 Van Houten, R., Veiligheidshuis is een netwerk, geen instituut, VNGMagazine, 01/02/2013, via http://www.vngmagazine.nl, geraadpleegd 14 maart 2013. 21 Factsheet 18

Verantwoordelijkheid voor de gegevensverwerking, in de zin van de Wbp, wordt echter niet bepaald op grond van wie verantwoordelijkheid krijgt toebedeeld, maar door de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (Wbp artikel 1, onder d). De vraag is wie het doel en de middelen voor de gegevensverwerking in GCOS zoals gebruikt binnen de veiligheidshuizen vaststelt. 4.2.2 Doel en middelen Het hoofddoel van gegevensverwerkingen in GCOS in de veiligheidshuizen is het ondersteunen van het casusoverleg in het tot stand brengen van een gezamenlijk plan ( één persoon, één plan ) in situaties waarbij sprake is van complexe problematiek. De veiligheidshuizen, de casusregisseur en de casusdeelnemers bepalen voorts wanneer aan de vereisten voor complexe problematiek is voldaan en gaan over tot daadwerkelijke gegevensverwerking om te komen tot een gezamenlijk plan. Het uiteindelijke doel voor gegevensverwerking in GCOS binnen de veiligheidshuizen, is daarmee steeds in de regel terug te voeren op het veiligheidshuizenbeleid, zoals dat recentelijk bekrachtigd is in het Landelijk Kader Veiligheidshuizen. Het Landelijk Kader Veiligheidshuizen is tot stand gekomen door de ketenpartners en gepresenteerd onder de vlag van het Ministerie van Veiligheid en Justitie in het kader van diens programma Doorontwikkeling Veiligheidshuizen. Het kan daarmee worden gezien als document dat het landelijke te volgen beleidsdoelen voor veiligheidshuizen uiteenzet (zie verder paragraaf 4.3). Daarnaast wordt GCOS als middel door het Ministerie van Veiligheid en Justitie geboden aan ketenpartners ter ondersteuning bij het casusoverleg dat zij met elkaar voeren over casussubjecten. 22 GCOS is geen verplicht middel/systeem voor gegevensverwerking in veiligheidshuizen. De keuze voor GCOS als middel wordt uiteindelijk gemaakt door de gemeente of het veiligheidshuis zelf. Nu GCOS echter is ontwikkeld door het Ministerie van Veiligheid en Justitie lijkt het aannemelijk dat gemeenten en veiligheidshuizen GCOS zien als het meest aangewezen, voor de hand liggende of wenselijke systeem, en in ieder geval als een veilig en goed systeem. Veel - maar niet alle- veiligheidshuizen gebruiken GCOS voor het verwerken van gegevens om te komen tot een gezamenlijke beoordeling en een gezamenlijk plan. De keuze voor GCOS heeft echter ook invloed op het doel van de verwerking, omdat de gegevensinvoervelden en functionaliteiten in GCOS vooraf zijn bepaald. Tenslotte vindt alle gegevensopslag binnen GCOS plaats op één gedeelde serverruimte, waarvan het beheer uiteindelijk valt onder, of in ieder geval wordt aangewezen door het Ministerie van Veiligheid en Justitie als systeemeigenaar. Samenvattend kan gesteld worden dat de verantwoordelijkheid voor GCOS en de verwerkingen die daarbinnen plaatsvinden momenteel onvoldoende duidelijk is. Hierdoor is het aannemelijk dat er een gezamenlijke of gedeelde verantwoordelijkheid (in de zin van de Wbp) voor de verwerking van persoonsgegevens via GCOS in veiligheidshuizen ontstaat, waarbij de volgende partijen betrokken zijn: 22 Project Dashboard GCOS, Rijks ICT- dashboard, publicatiedatum 07-02- 2013, via https://www.rijksictdashboard.nl/content/project/gcos- generiek- casus- ondersteunend- systeem, geraadpleegd 13 maart 2013. 19

- Het veiligheidshuis kiest het systeem, zoals GCOS en maakt keuzes in de selectie van kaders, casus en verwerkt dikwijls ook persoonsgegevens ter ondersteuning van het casusoverleg. Echter, een veiligheidshuis is een samenwerkingsverband zonder formele juridische status en kan daarmee geen (deel)verantwoordelijke zijn in de zin van de Wbp. De gemeente financiert het veiligheidshuis vanuit het landelijk beleid en budget voor veiligheidshuizen, en lijkt daarmee als bestuursorgaan de eindverantwoordelijkheid voor de veiligheidshuizen te hebben. Of de gemeenten zich bewust zijn van deze juridische verantwoordelijkheid voor de gegevensverwerking is sterk de vraag. - De afzonderlijke casusdeelnemers zijn ieder zelf verantwoordelijk voor de selectie en keuze van casuïstiek en vervolgens de daadwerkelijke verwerking van persoonsgegevens in GCOS. - Het Ministerie van Veiligheid en Justitie heeft momenteel een aanzienlijke (indirecte) invloed op het doel voor gegevensverwerking via GCOS in de veiligheidshuizen, vanuit de steun aan de doorontwikkeling van de veiligheidshuizen, het Landelijk kader en de architecturale beslissingen genomen in het ontwerp van GCOS. In de praktijk blijft deze gedeelde verantwoordelijkheid echter impliciet, waardoor formele verantwoordelijke voor de gegevensverwerking niet altijd juist wordt belegd of (h)erkend, waardoor de plichten van de verantwoordelijk en de rechten van de betrokkene onvoldoende invulling krijgen. Het niet duidelijk beleggen van de verantwoordelijkheid is een overtreding van de Wbp. Het College bescherming persoonsgegevens (CBP) kan handhavend optreden en bijvoorbeeld bestuursdwang toepassen om een eenduidige verantwoordelijkheid af te dwingen. In de aankomende Europese Privacy Verordening wordt het benoemen en beschrijven van de gedeelde, gezamenlijke verantwoordelijkheid een uitdrukkelijke plicht. Op het niet voldoen aan deze vereiste staan forse boetes voor de feitelijke verantwoordelijke, tot 500.000 euro per overtreding. 23 4.3 Doelbepaling De verantwoordelijke mag persoonsgegevens slechts verzamelen wanneer dit gebeurt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Omtrent de doelstelling van veiligheidshuizen zegt het Landelijk Kader Veiligheidshuizen: De doelstelling van de samenwerking in Veiligheidshuizen is het bijdragen aan veiligheid(sbeleving) als onderdeel van het integrale veiligheidsbeleid: het voorkomen en verminderen van recidive, (ernstige) overlast, criminaliteit en maatschappelijke uitval bij complexe problemen, door een combinatie van repressie, bestuurlijke interventie en zorg. 24 Meer specifiek inzake het doel ( opbrengst ) van het gegevensverwerking binnen het casusoverleg binnen de veiligheidshuizen: Het Veiligheidshuis is een netwerksamenwerking tussen straf-, zorg- en (andere) gemeentelijke partners, waarin zij onder eenduidige regie komen tot een ketenoverstijgende aanpak van complexe persoons-, systeem- en gebiedsgerichte problematiek om ernstige overlast en criminaliteit te bestrijden. 25 23 Artikel 24 jo. Artikel 79 lid 5 onder e Voorstel Algemene Data Protectie Verordening (COM 2012 11 NL) 24 Factsheet. 25 Landelijk Kader Veiligheidshuizen, par. Wat zijn Veiligheidshuizen?, p. 11. 20

De opbrengst van de samenwerking is het realiseren van een gezamenlijk proces en het tot stand brengen van een gezamenlijk, integraal plan van aanpak. De opbrengst van de samenwerking is afhankelijk van de casus. Meestal gaat het hierbij om een gezamenlijke probleemverkenning, planvorming en regie op de uitvoering. Het concrete resultaat van de samenwerking is een integraal plan, waarin de inzet van partners is afgestemd, met concrete afspraken over de verschillende interventies (gericht op de aanpak van problemen op verschillende leefgebieden) en eventuele vervolgstappen en monitoring. 26 Dat betekent dat een casus wordt bezien binnen de context van de (sociale) omgeving waarmee een onderlinge samenhang en wisselwerking bestaat. Dit kan het gezinssysteem zijn, maar ook de sociale omgeving, zoals vrienden, buren of school. Deze factoren worden daarom meegenomen in de probleemanalyse, en krijgen - indien nodig - een plek in de aanpak. ( ) Dit betekent ook dat de gezinsleden in casuïstiek worden meegenomen in de analyse, en indien er reden is tot zorg, er ook voor hen een aanpak tot stand komt. Het streven is te komen tot één gezin, één plan, en één regisseur. 27 Vanuit de visie van het Ministerie van Veiligheid en Justitie als (deel)verantwoordelijke zijn de doeleinden in relatie tot gegevensverwerking in GCOS nog onvoldoende bepaald en uitdrukkelijk omschreven. Dit hangt wellicht samen met de onduidelijke of onbekende positie van het ministerie als (mede)verantwoordelijke voor (een deel van) de gegevensverwerking in GCOS. De afzonderlijke veiligheidshuizen beschikken dikwijls, maar lang niet altijd over een privacy protocol, statement of policy, of ander document waarin afspraken worden gemaakt omtrent de omgang met persoonsgegevens, waarin wordt ingegaan op de doeleinden van gegevensverwerking. Daarbij bestaat het risico dat de doelomschrijving algemeen is geformuleerd, om diverse gegevensverwerkingen (casusoverleggen) te omvatten. Daarmee neemt het risico toe dat de doelomschrijving onvoldoende welbepaald en uitdrukkelijk omschreven is. Veel casusoverleggen committeren zich aan het privacy protocol van het veiligheidshuis. Echter, hiermee is nog niet voldoende omschreven wat de doeleinden van het afzonderlijke casusoverleg zijn. Daarnaast is het de vraag of het veiligheidshuis gezien het ontbreken van een formeelwettelijke grondslag überhaupt de doeleinden voor de verwerking kan formuleren. 4.3.1 Doelbinding en geheimhoudingsplicht De Wbp bepaalt dat persoonsgegevens slechts verder mogen worden verwerkt op een wijze die verenigbaar is met de doeleinden waarvoor ze zijn verkregen (doelbinding). 28 Verder moet de verwerking van persoonsgegevens achterwege blijven voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Casusdeelnemers die vanuit hun oorspronkelijke taak bevoegd zijn (bijzondere) persoonsgegevens te verwerken en delen, dienen zich derhalve te vergewissen van hun geheimhoudingsplicht en zich niet daar buiten te begeven door (goed bedoeld) maar onbevoegd via GCOS gegevens te delen met casusdeelnemers. De bescherming van het beroepsgeheim en de geheimhouding van medische en andere gegevens staat echter op gespannen voet met de landelijke raadpleegbaarheid van leefgebied- informatie (met dikwijls bijzondere persoonsgegevens) over casussubjecten. 26 Landelijk Kader Veiligheidshuizen, par. Doelstelling van de samenwerking, p. 14. 27 Landelijk Kader Veiligheidshuizen, par. Integrale werkwijze en systeembenadering, p. 26. 28 Zie in dit kader ook: Article 29 Working Party (2013), Opinion 03/2013 on purpose limitation, April 2 2013, 00569/13/EN WP 203 21

Op dezelfde voet mogen persoonsgegevens vanuit GCOS, het casusoverleg en het veiligheidshuis alleen verder worden verwerkt zolang dit in lijn is met de doeleinden zoals omschreven door de verantwoordelijke(n). 4.4 Grondslag voor de verwerking Naast de eis dat de doeleinden welbepaald en uitdrukkelijk zijn omschreven, moet er ook sprake zijn van een gerechtvaardigd doel voor gegevensverwerking in GCOS. Er is sprake van een gerechtvaardigd doel voor gegevensverwerking, wanneer de verantwoordelijke de bedoelde verwerking kan baseren op één van de in artikel 8 Wbp limitatief opgesomde verwerkingsgronden. Nu er sprake lijkt te zijn van gezamenlijke verantwoordelijkheid die onvoldoende duidelijk belegd is, is het niet eenvoudig om te bepalen of sprake is van een gerechtvaardigd doel. De reden hiervoor is dat normaliter het doel rechtstreeks gekoppeld is aan de eisen en wensen van de verantwoordelijke(n). Binnen de huidige inrichting van GCOS lopen er echter verschillende doelen en belangen door elkaar heen (de wettelijke taakuitvoering door de ketenpartners en de overkoepelende wens van Veiligheid en Justitie om te komen tot één plan, één aanpak). Hieronder zullen wij de grondslagen die in de praktijk opgevoerd (kunnen) worden voor de rechtvaardiging van de gegevensverwerking analyseren. Hierbij moet een onderscheid worden gemaakt tussen vrijwillige kaders en gedwongen kaders. Bij de vrijwillige kaders kan de uitdrukkelijke toestemming als grondslag dienen. In het kader van bemoeizorg zal aansluiting moeten worden gezocht bij andere wettelijke grondslagen. 4.4.1 Toestemming (8a Wbp) Het hebben van uitdrukkelijke toestemming van de betrokkene vormt een gerechtvaardigde grondslag voor gegevensverwerking (art. 8, sub a, Wbp en artikel 23 Wbp jo artikel 16 Wbp). Sommige veiligheidshuizen vragen daarom toestemming aan de betrokkene alvorens deze wordt besproken in een casusoverleg. Wil de toestemming voldoen aan de criteria die de Wbp daarvoor stelt, moet deze: - in vrijheid gegeven, geïnformeerd en specifiek zijn. Dat wil zeggen dat er daadwerkelijk een keuze is om al dan niet te worden besproken, en dat voldoende specifiek informatie moet worden welke gegevens, waarom (doel) en met wie worden besproken, op basis waarvan de betrokkene een geïnformeerd besluit kan nemen. - indien sprake is van bijzondere persoonsgegevens, uitdrukkelijk gegeven zijn, bijvoorbeeld schriftelijk, of via het online actief aanvinken van een tickbox. - indien sprake is van kinderen jonger dan 16 jaar, worden gegeven door de wettelijk vertegenwoordiger (artikel 5 Wbp), - na verkrijging, te allen tijde ook weer kunnen worden ingetrokken. Het is aannemelijk dat de wijze waarop momenteel toestemming wordt verkregen bij de betrokkenen, voor zover dat al plaatsvindt, in veel gevallen niet voldoet aan bovengenoemde 22