WORKSHOP HOE BORG JIJ DE PRIVACY VAN JE KLANTEN? BVK VOORJAARSCONGRES 2016: GLUREN BIJ DE 3D BUREN MARTINE MIDDELVELD 12 MEI 2016 1
Stelling Privacy staat integraal werken in het sociaal domein in de weg 2
Stelling Als de burger het goed vindt dat gegevens verwerkt worden, dan mag het 3
Agenda 1. Toelichting privacy in het sociaal domein 2. Introductie Triage-methode 3. Casus 4
5 1. Toelichting privacy in het sociaal domein
Wettelijke kaders Informationele privacy bescherming van persoonsgegevens Wettelijke kaders: o.a. in de (nieuwe) Jeugdwet, Participatiewet en de Wmo staat beschreven hoe met persoonsgegevens om moet worden gegaan binnen het desbetreffende domein. Domeinoverstijgende dienstverlening (bv. multiprobleem gezinnen): in die gevallen geldt de Wet bescherming persoonsgegevens. Onlangs nieuwe wetgeving aangenomen: General Data Protection Regulation (GDPR). 6
Privacy moet onderdeel zijn van ontwikkelproces in sociaal domein > Het belang van privacy is niet nieuw. Gemeenten moeten altijd al zorgvuldig omgaan met persoonsgegevens van burgers > Vanwege nieuwe taken in het sociaal domein, waardoor er meer gegevens in handen van de gemeenten komen, is het nu een goed moment om privacy tegen licht te houden en direct mee te nemen in ontwerp nieuwe werkwijzen Het borgen van privacy vraagt bewustwording, tijd en inzet van gemeenten 7
Uitdaging zit in het vinden van de juiste balans > Uitdaging voor gemeenten om wettelijke kaders toe te passen in de praktijk > Het gaat om het vinden van de juiste balans tussen noodzakelijke gegevensverwerking vanuit maatschappelijke opgave sociaal domein én borging van de privacy > Gegevens opvragen/verwerken en delen gebeurt altijd op basis van noodzaak, proportionaliteit en subsidiariteit en op basis van een professionele afweging > Verwerking van persoonsgegevens is situatie-afhankelijk. No-one size fits all De Wbp dwingt steeds tot een zorgvuldige afweging 8
De hoeveelheid benodigde persoonsgegevens verschilt waar in de piramide een hulpvraag zich bevindt Sociaal domein Multiprobleem- situaties Meervoudige of complexe vragen Enkelvoudige vragen Toegang 9
Kabinetsvisie Zorgvuldig & Bewust > Geeft richting waar het gaat om borging van privacy in het sociaal domein > Burger-gericht uitgangspunt: Hulpvraag burger is leidend en Wij werken op basis van informatie die de burger geeft. NB: Slechts in een zeer beperkt aantal gevallen zal de overheid gegevens uitwisselen buiten de betrokkenheid en zonder samenspraak met de burger > Gemeenten moeten het vermogen ontwikkelen om effectief het onderscheid te maken tussen eenvoudige situaties en potentiële multiprobleem-situaties > Het College van B&W is verantwoordelijk: voor de zorgvuldigheid van de gegevensverwerking die door of namens de gemeente plaats vindt. Het college is voor de wijze waarop het hieraan invulling geeft verantwoording verschuldigd aan de raad. 10
Dit betekent concreet. > Goede afspraken maken met samenwerkingspartners, aanbieders bij wie zorg wordt ingekocht en partijen aan wie gemeentelijke taken worden uitbesteed Gemeenten blijven verantwoordelijk voor gemeentelijke taken wanneer zij die uitbesteden > Scheiding maken tussen regie-informatie (plan) en inhoudelijke informatie (dossier) Het 1-plan bevat in beginsel géén informatie over de achtergrond van de problematiek, of de inhoudelijke overwegingen vanuit de verschillende disciplines of hulpverleners. Deze informatie is vastgelegd in de eigen dossiers van de verschillende hulpverleners. > Professionals trainen om een zorgvuldige afweging expliciet te maken Uitgangspunt is transparantie naar de burger
Wees transparant naar de burger over de verwerking van zijn persoonsgegevens > Ga uit van het transparantiebeginsel > Geen algemene toestemmingsverklaring waarin de burger toestemming geeft om persoonsgegevens te verwerken, want: o éénmaal getekend, heeft de burger geen zicht meer op wanneer persoonsgegevens worden verwerkt en met welk doel. o burger is in afhankelijkheidsrelatie met de gemeente > Wanneer burger het niet eens is met gegevensverwerking o Wanneer situatie dusdanig ernstig is en de burger dringend ondersteuning nodig heeft dan mogen er toch persoonsgegevens worden gedeeld o Leg altijd vast in het dossier!
Wanneer is expliciete toestemming van de burger vereist? > Toestemming is in specifieke gevallen nodig om geheimhoudingsverplichtingen (zoals het medisch beroepsgeheim) te doorbreken > Ook in die gevallen dient de gegevensverwerking noodzakelijk te zijn voor de goede taakuitvoering > Maak aan de burger duidelijk met welk doel de gemeente gegevens wil verwerken > Vraag expliciet om toestemming en wijs de burger op zijn/haar rechten. Deze toestemming moet specifiek zijn en gemotiveerd
Privacy vraagt om een integrale aanpak Governance Governance richt zich op de inrichting van de organisatie m.b.t. privacy. Denk hierbij aan rollen en verantwoordelijkheden, wie voert de regie, wie controleert, hoe wordt verantwoording afgelegd en op welke wijze. Werkprocessen & triage Het inrichten van werkprocessen rondom het omgaan met persoonsgegevens, het uitwerken van processen mbt vraagverheldering, selectie en toeleiding van vragen en het borgen van deze processen in werkafspraken en convenanten. Governance Werkprocessen & Triages Beheer en opslag gegevens Beleid Bewustwording & training Beheer en opslag gegevens Persoonsgegevens worden in allerlei systemen geregistreerd, gedeeld en openbaar gemaakt. Denk bv. aan vragen als; is er nagedacht over welke rol welke informatie mag inzien? Wat voor type persoonsgegevens worden opgeslagen? En met welke termijn? Welke systemen intern en extern hier toegang tot hebben? Beleid Dit onderdeel beschrijft het kader waarbinnen de verwerking van persoonsgegevens gegevensuitwisseling in het sociaal domein plaatsvindt. Het kader betreft zowel het beleidsmatige kader als ook het juridisch kader. Hierin wordt beschreven hoe de gemeenten, zowel intern als extern, om moet gaan met persoonsgegevens. Bewustwording en training Betrokken professionals moeten over een zekere mate van privacy bewustzijn beschikken om privacy situaties te herkennen. Ze moeten getraind worden in hoe zij met specifieke situaties om moeten gaan. Communicatie intern en aan burgers zijn essentieel. 14
15 2. Introductie Triage-methode
Triage > Triagemomenten zijn momenten waarop een afweging door de professional wordt gemaakt hoe er in die situatie gehandeld moet worden: welke gegevens mogen worden gedeeld en welke niet? > Triage is het proces van verhelderen, routeren en escaleren van vragen en casussen > Triage maakt het professionele afwegingsproces expliciet. > Voor het borgen van de privacy is het belangrijk om het triagebesluit vast te leggen. 16
Expliciete triagemomenten in het werkproces > Er zijn 3 triagemomenten te onderscheiden: 1. Vraagverheldering en eerste routering 2. Meervoudige problematiek Plan van aanpak 3. Evaluatie en escalatie > Bij elk triagemoment de volgende vragen stellen: Noodzaak (doel): Welke gegevens zijn noodzakelijk (dat is iets anders dan mogelijk en wenselijk) gegeven het gestelde doel? Subsidiariteit (bronkeuze): is het delen of opvragen van informatie de minst ingrijpende maatregel? Proportionaliteit (zwaarte): staan het delen of opvragen van de informatie en doel met elkaar in verhouding? Kan het ook met minder? Kan het en mag het: zijn er beperkingen of specifieke regels? 17
Triage-methode > De triage-methode helpt om de afweging inzichtelijk te maken over de verwerking van persoonsgegevens en dit vast te leggen in een zogenaamd triagebesluit. > Vier stappen triage-methode: 1. Komen tot een aanpak 2. Afwegen gegevensverwerking 3. Informeren 4. Documenteren 18
Fictief voorbeeld traigemomenten werkproces > In onderstaand werkproces zijn de triagemomenten benoemd: 19
20 3. Casus
Opdracht > Lees de casus eerst goed door. Bespreek daarna de casus in tweetallen en beantwoord de volgende vragen: 1. Welke triagemomenten zijn te definiëren in de casus? 2. Is er op deze momenten gehandeld volgens de triage-methodiek? Waar en hoe zou het beter kunnen? 21
Samenvattend > Wat mag wel, wat mag niet met gegevens van de burger is situatieafhankelijk > Van belang om te inventariseren en identificeren in je eigen werkprocessen wanneer er triagemomenten zitten. Vervolgens op elk moment dat een afweging moet worden gemaakt is het belangrijk om de triage-methodiek toe te passen: 1. Komen tot een aanpak 2. Afwegen gegevensverwerking: noodzakelijkheid, subsidiariteit en proportionaliteit 3. Informeren 4. Documenten > Wees transparant naar de burger. 22
Instrumenten en voorbeelden Privacy https://www.visd.nl/visd/gegevensuitwisseling-en-privacy 23 Privacy Governance Sociaal domein Handreiking verantwoording aan de gemeenteraad Aandachtspunten privacy bestekteksten bij uitbesteden taken Factsheet Triage Triagekader en instrument Informatie analyse op het werkproces Werkprocessen privacy: inzage, wijzigen en verwijderen van gegevens Governance Werkprocessen & Triages Beleid Bewustwording & training Beheer en opslag gegevens > https://www.ibdgemeenten.nl/ Kabinetsvisie Zorgvuldig en bewust PIA 3D PIA Jeugd Factsheet Privacy Stappenplan Privacy beleid sociaal domein Factsheet omgaan met toestemming PIF Jeugd Handreiking Communiceren met burgers over privacy Handreiking Privacy voor de professional Factsheet: de gegevens van uw kind vastgelegd
Vragen? Martine Middelveld Consultant security & privacy Phone: 0627159956 E-Mail: martine.middelveld@capgemini.com