Gegevensverwerking en Privacy bij samenwerking rond arbeidsparticipatie Analyseren van knelpunten Léon Sonnenschein Programma Uitwisseling Persoonsgegevens en Privacy Sociaal Domein leon@leonsonnenschein.nl
U ziet kansen om de burger beter te helpen of problemen aan te pakken Maarrrrr. O jee. De AVG!
Juridische black box Mag het? Vraagt de medewerker Ja mits Zegt de jurist Nee tenzij Zegt de andere jurist Het mag misschien wel, maar niet op die grondslag.. Zegt de toezichthouder
De AVG: Veel hetzelfde maar toch echt anders Materieel heel veel hetzelfde, echt anders is: Aantoonbaar continu in controle Aandacht naar de voorkant van het proces Privacy By Design, Privacy By Default Privacy Impact Assessment Datalekken Verplicht aanstellen van een FG overheid Sancties (meer, hoger + sneller opgelegd) Recht om vergeten te worden/ dataportabiliteit / profiling
Zorgvuldigheidsnormen (I) Behoorlijk, zorgvuldig en in overeenstemming met de wet gegevens verwerken Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld
Zorgvuldigheidsnormen(II) Bewaartermijnen Kwaliteit gegevens: gegevens moeten toereikend + ter zake dienend + niet bovenmatig + juist en nauwkeurig zijn Beveiliging
Algemene Informatieplicht Bij Wbp was het (tenzij de betrokkene al op de hoogte is) informeren over: identiteit verantwoordelijke en doeleinden waarborgen behoorlijke en zorgvuldige verwerking rechten betrokkene Bij AVG ook: alle informatie in duidelijke taal, plus extra info over: Bewaartermijn Nieuwe rechten Ontvangers Internationale verstrekking Verstrekken gegevens verplicht of vrijwillig + gevolgen Bron van niet bij betrokkene verkregen gegevens
Data Protection Impact Assessment De gegevensbeschermingseffectbeoordeling Risico-inschatting van de effecten op het gebied van privacy bij nieuwe systemen en verwerkingen, profiling, gevoelige verwerkingen en bijzondere gegevens Beschrijving, privacy risicoanalyse, maatregelen, waarborgen + aantonen dat maatregelen en waarborgen ook werken Compliance
Juridische kaders
Juridische kaders (1) 1. De AVG en de Uitvoeringswet AVG Wetgeving die vraagt om waarden gebaseerde uitvoering Grondslagen voor gegevensverwerking Transparantie en rechten van betrokkenen Doelbinding en verenigbaarheid van doelen Doel en noodzaak (proportionaliteit en subsidiariteit) Doel, noodzaak, en verenigbaarheid van doelen worden bij maatwerk bepaald door de hulpvraag, de stap in het werkproces en de aard van de problematiek in een specifiek geval
2. Materiewetten Juridische kaders (2) Benoemen taken waarvoor en regelen voorwaarden waaronder gegevensverwerking mag plaats vinden. Het zijn de materiewetten die voorop staan bij doel, noodzaak, en verenigbaarheid van doelen. Het maatwerk op basis van de materiewetten wordt bepaald door de hulpvraag, de stap in het werkproces en de aard van de problematiek in een specifiek geval
Stappenplan Het stappenplan is een instrument om de juridische onderlegger voor de dienstverlening in het sociaal domein goed op orde te krijgen.
Stappenplan 1. Taken en werkzaamheden 2. Activiteiten en doelen gegevensverwerking 3. Noodzakelijke gegevens (doel en middel en zwaarte middel) Taken / doelen / relatie met betrokkene 4. Juridische basis 1. Basis: Materiewet + Grondslag AVG 2. Bijzondere gegevens / strafrechtelijke gegevens (verbod en opheffing) 3. Wettelijke nummers ter identificatie (wettelijk geregeld) 4. Internationaal (speelt niet) 5. Geheimhoudingsplicht
Feitelijk deel stappenplan
Opdracht tweede deel bijeenkomst Geef antwoord op de volgende vier vragen voor uw pilot/issue: 0. Waarom deze pilot (algemeen maatschappelijk doel) 1. Welke wettelijke taak speelt hier voor de medewerkers of partijen die gegevens aan elkaar willen verstrekken? 2. Wat is het concrete doel van die verstrekking? 3. Zijn die gegevens absoluut noodzakelijk of kan het doel ook bereikt worden met gegevens of informatie die de privacy minder schendt? 4. Wat is op basis hiervan de vraag die u aan een jurist zou willen voor leggen?
Taken Stap 1 Taken en werkzaamheden In het kader van welke (wettelijke) taak wilt u uw werkwijze toepassen/activiteiten verrichten en welke (wettelijke) teken spelen bij ketenpartners Werkzaamheden Welke activiteiten gaat u daarvoor ondernemen: WERKPROCES CENTRAAL!
Voorbeeld Sociaal domein Leeuwarden Toeleiding Intake Contact & erop af Opstellen & uitvoeren plan v. Aanpak Monitoren. Afsluiten Doorverwijzing vanuit KCC of vrijwilliger of Melding bewoner (uitkomst triage B) of signaal/melding professional ( uitkomst triage C) Aanmelding controleren en toewijzen aan sociaal werker. Oppakken van de Bepalen toestandsbeeld door middel van zelfredzaamheidsmatrix, inventariseren welke partijen reeds betrokken zijn of nodig zijn, vastleggen van doelbepaling en routering de burger met eigen kracht & netwerk helpen en/of In samenwerking met specialisten (ketenpartners) en/of Initiëren breed Zorgoverleg voortgang volgen gedurende nazorg fase.(2 jr) Indien nodig evalueren en /of escaleren. Afsluiten dossier (5jr na laatste contactmoment)
Stap 2 Doelen en breng in kaart Onderdelen werkproces inclusief verschillende routes Beschrijf de doelen per onderdeel/fase van het werkproces
Voorbeelden processtappen Doelen: - Melding - Aanmelding en intake - Triage en bepalen vervolg - Casusoverleg - Uitvoering hulp - Casusregie
Voorbeelden van doelformuleringen Adviseren van de aanmelder over aanpak Bepalen of een aanmelding voldoet aan de criteria om via deze pilot in behandeling te nemen Onderzoeken van de hulpvraag en zicht krijgen of er sprake is van achterliggende problematiek die in samenhang moet worden opgepakt Afstemmen van reeds lopende hulptrajecten vanwege mogelijke afhankelijkheden Zicht houden op eventuele stagnaties in de uitvoering van hun onderdeel van het plan van aanpak.
Stap 3 Noodzakelijke gegevens 1. Welke typen gegevens kunnen aan de orde kunnen zijn in algemene zin per doel 2. Neem drie gegevens waarover u twijfelt of het kan of mag. Bedenk voor elk gegeven een alternatief dat minder ingrijpend is.
Wie brengt gegevens in 1. Bij welke partner worden die gegevens opgevraagd? 2. Welke taak en rol heeft die partner in het geheel Vuistregel: hoe dichter het doel ligt bij de taak en rol van de betreffende partner hoe groter de kans dat het mag
Juridisch deel stappenplan
1. Taken en werkzaamheden 2. Doelen gegevensverwerking Stappenplan Stap 4 3. Noodzakelijke gegevens (doel en middel en zwaarte middel) Taken / doelen / relatie met betrokkene 4. Juridische basis (2 maal: verwerken door u en & verstrekken door partner) 1. Basis: Materiewet + Grondslag AVG 2. Bijzondere gegevens / strafrechtelijke gegevens (verbod en opheffing) 3. Wettelijke nummers ter identificatie (wettelijk geregeld) 4. Internationaal 5. Geheimhoudingsplicht
De grondslagen van artikel 6 AVG Ondubbelzinnige toestemming Overeenkomst (betrokkene partij) Wettelijke verplichting Vitaal belang Taak algemeen belang / goede vervulling publiekrechtelijke taak Gerechtvaardigd belang
De ene toestemming is de andere niet 1. Toestemming als grondslag voor gegevensverwerking cf de AVG 2. Toestemming om een geheimhouding te doorbreken 3. Toestemming om een handeling te verrichten Toestemming is alleen geldig als deze in vrijheid is gegeven (geen afhankelijkheidsrelatie) en gegeven wordt op basis van: In een concreet en specifiek geval Betrokkene geïnformeerd is over de mogelijke gevolgen van de toestemming en deze gevolgen kan overzien Deze toestemming ook kan worden ingetrokken
Toestemming? 1. Toestemming maakt gebrek aan noodzaak niet goed 2. Algemene toestemmingsverklaringen: NEEN! 3. Toestemming is nóóit een AVG-grondslag voor overheden en publieke organisaties 4. Toestemming kan noodzakelijk zijn noodzakelijk voor een doorbreken geheimhouding zoals medisch beroepsgeheim, of wet SUWI 5. Gebruik BSN met toestemming: NEEN! Gebruik BSN mag alleen als wettelijk toegestaan of verplicht 6. Transparantie - uitleggen wat je doet en waarom: JA!
De artikeltjes (1) Taakstellend artikel uit de materiewet Basis gegevensverwerking voor eigen taak/doel Basis voor verstrekken t.b.v. eigen taak Check: bijzondere en strafrechtelijke gegevens, wettelijke nummers Verstrekken aan ontvanger met eigen taak als voldoende basis (zo ja, dan maakt de ontvanger in principe niet uit, tenzij er sprake is van bijzondere of strafrechtelijke persoonsgegevens. Dan is van belang of de ontvanger die mag verwerken.
De artikeltjes (2) Verstrekkingen t.b.v. taak van ander Wie is de ontvanger? Wat is het taakstellend artikel van de ander waarvoor ik gevraagd wordt te verstrekken Zijn er in de materiewet specifieke bepalingen voor het verstrekken aan die ontvanger t.b.v. die taak die gebruikt kunnen worden Bijzondere gegevens / strafrechtelijke gegevens ontvanger, Wettelijke nummers ontvanger. Uitzondering bij bijv. geheimhoudingsplicht (bijv medisch beroepsgeheim)
Privacy en zorgvuldige gegevensverwerking, nog best een opgaaf 1. Er is sprake van een strikte doelbinding bij de verschillende fasen van het behandelen van casussen. Alleen de voor een bepaald doel noodzakelijke gegevens worden verwerkt. 2. Als het doel wijzigt wordt als eerste opnieuw beoordeeld of de eerder verwerkte gegevens ook daarvoor noodzakelijk zijn en vervolgens of de gegevens daarvoor ook (verder) gebruikt mogen worden 3. De aanmelder van een casus blijft gedurende de behandeling van een casus in het ZVH de leidende partij bij de gegevensverwerking totdat een casusregisseur is vastgesteld. 4. De leidende partij regelt de bevoegdheidsverlening aan (de medewerker van) het ZVH 5. Zodra een casusregisseur is vastgesteld wordt deze de leidende partij bij de (verdere) behandeling van een casus in het ZVH
Privacy en zorgvuldige gegevensverwerking, nog best een opgaaf 6. Een partij die in een bepaalde fase gegevens verstrekt behoudt de zeggenschap over het verdere gebruik van die gegevens voor een andere fase en voor andere doelen 7. Partijen die bij de behandeling van een casus kennis nemen van gegevens afkomstig van een andere partij mogen deze gegevens niet automatisch verder gebruiken voor de eigen taken en werkzaamheden eenvoudigweg met als argument dat men nu eenmaal kennis genomen heeft van die gegevens en men ze dus ook wel verder mag gebruiken 8. Partijen die bij de behandeling van een casus kennis nemen van gegevens afkomstig van een andere partij mogen deze gegevens enkel verder gebruiken voor de eigen taken als de verstrekkende partij dit afzonderlijk accordeert. Vuistregel is dat enkel partijen die een interventie (gaan) doen gegevens mee naar huis nemen voor het uitvoeren van die interventie
Privacy en zorgvuldige gegevensverwerking, nog best een opgaaf 9. Het streven blijft dat daar waar mogelijk de burger betrokken wordt bij en / of instemt met de activiteiten die bij het behandelen van casussen plaatsvinden Juridische bijzonderheid bij behandelen van complexe casussen De grondslag voor gegevensverwerking en gegevensverstrekking is niet gelegen in toestemming (art. 6, lid 1, onder a, AVG) maar in de noodzakelijkheid voor de uitvoering van taken van algemeen belang (nl: samenwerken bij complexe casus - art. 6, lid 1, onder e, AVG) + de eigen taakuitvoering (divers, zoals uitoefening van openbaar gezag, hulpverlening, behandeling, politie en OM) Wel zal in bepaalde gevallen toestemming nodig zijn om een specifieke geheimhoudingsverplichting op te kunnen heffen, bijvoorbeeld in het kader van de WGBO
Privacy en zorgvuldige gegevensverwerking, nog best een opgaaf