VNG Congres 2016 Privacy in het sociaal domein Sessie 2J Eric Schreuders schreuders@n2l.nl
Stelling 1 Bij (1) een duidelijke toebedeling van werkzaamheden en de daarbij behorende bevoegdheden, (2) duidelijke werkprocessen en (3) scheiding/afscherming van gegevens als meerdere verschillende taken/werkzaamheden uitgevoerd worden en zeker als er daarvoor verschillende juridische regimes zijn, komt het (4) vervolgens voor de werkvloer neer op een vakkundige beoordeling welke gegevens in een bepaald geval noodzakelijk zijn. En die noodzakelijke gegevens? Vraag jezelf eens af wat er fout gaat als je bepaalde gegevens niet hebt.
Stelling 2 Als de vier zaken van stelling 1 goed lopen, dan komt het met privacy en privacyregelgeving ook goed (want privacy laat zich voor zeker 80% organiseren en is dan helemaal zo "raar juridisch" niet meer).
Stelling 3 De beheersmatige kant (met informatiebeveiliging, verantwoordelijken, bewerkers en instructies) is vooral met de onderdelen 1 en 3 van stelling 1 in te regelen
Relatie met betrokkene Beleid en Organisatie Informatiebeveiliging Informatiebehoefte MAAT- REGELEN & NALEVING ICT Taken en Werkprocessen
https://vng.nl/onderwerpenindex/sociaal-domein/isd-informatievoorziening-sociaaldomein/publicaties/privacy-impact-assessment-drie-decentralisaties-pia-3d (zoek op: pia 3d)
https://vng.nl/onderwerpenindex/sociaal-domein/isd-informatievoorziening-sociaaldomein/privacy-en-gegevensuitwisseling
Werkprocessen en Triage
KCC, Post? Intake Werkproces centraal Behoeftenbepaling en planvorming Bezwaar, beroep? Besluitvorming Uitvoering en levering Regievoering Financiële afwikkeling Management- en beleidsinformatie
Privacy & Triage Wat is het Triage-proces Triage is het proces van verhelderen, routeren en escaleren van vragen en casussen. Triage is belangrijk om: Door middel van triage bepaal je waar in pyramide de vraag thuis hoort en welke mate van gegevensverwerking noodzakelijk is. Bij een eenvoudige en enkelvoudige vraag is de gegevensverwerking beperkt terwijl er bij een complexere vraag wellicht meer partijen betrokken zijn er dus meer gegevens verwerkt (en uitgewisseld) worden. Privacy regime verschilt voor elk onderdeel van de piramide, expliciet maken van het professionele afwegingsproces (noodzaak, proportionaliteit, subsidiariteit) als het gaat om verwerken, verzamelen en delen van gegevens. Leg besluiten vast om privacy te borgen Voor het borgen van de privacy is het belangrijk om het triage besluit vast te leggen.
Expliciete Triagemomenten in het werkproces voorkomen bovenmatige en onnodige gegevensdeling en uitvraag Er zijn meestal 3 triage momenten te onderscheiden in het werkproces in het sociaal domein 1. Vraagverheldering en eerste routering 2. Meervoudige problematiek: Plan van aanpak 3. Evaluatie en escalatie
Organisatie
Bevoegdheidsverlening 1. Rechtsgevolg en publiekrechtelijk:? 2. Rechtsgevolg en privaatrechtelijke:? 3. Feitelijk handelen:? 4. Taken, werkzaamheden EN Wbp 5. Verwarring mandaat en delegatie?
Verantwoordelijke en bewerker 1. Doel en middelen 2. Hiërarchisch onderworpen? 3. Intern en extern 4. Hosting, technisch beheer en inhoudelijke werkzaamheden
Privacy, Persoonlijke Levensfeer 1. Privacy als grondrechten (lichaam, huis, relaties, informatie) 2. Geen eenduidige definitie (rust, zelfbeschikking, oordelen) 3. Persoonlijke invulling 4. niks te verbergen OF niks mee te maken?
Regels gegevensverwerking 1. Regels gegevensverwerking ter bescherming grondrecht 2. Het mag pas als het mag 3. Persoonsgegevens (alles) en verwerken (alles) 4. Aantasting persoonlijke levenssfeer NIET van belang voor toepasselijkheid regels gegevensbescherming
Juridische kaders 1. Wbp 2. Materiewetten: Wmo, Jeugd, P-wet Benoemen taken waarvoor en regelen voorwaarden waaronder gegevensverwerking mag plaats vinden. 3. Overige wetten Brp (authentieke gegevens), Awb (beschikkingen / toezicht) Archiefwet
Stappenplan Het stappenplan is een instrument om de juridische onderlegger voor de dienstverlening in het sociaal domein goed op orde te krijgen.
Stappenplan 1. Taken en werkzaamheden 2. Doelen gegevensverwerking 3. Noodzakelijke gegevens 4. Juridische basis 1. Grondslag artikel 8 Wbp 2. Bijzondere gegevens / gevoelige gegevens (verbod en opheffing) 3. Wettelijke nummers ter identificatie (wettelijk geregeld) 4. Internationaal 5. Geheimhoudingsplicht
Stappenplan in schema Taak vlg de wet (toeleiding, hulp, etc) Wiens taak (College, hulpverlener etc) Activiteit uitvoering Doelen Noodzakelijkheidsafweging gegevens? Grondslag? Specifieke aspecten (geheimhouding, etc)
Grondslagen artikel 8 Wbp 1. b : overeenkomst / betrokkene / uitvoering 2. c : wettelijk voorschrift / verantwoordelijke / gericht op gegevens (geen taakstellende artikelen) 3. e : publiekrechtelijke taak bestuursorgaan (eigen en ontvanger) 4. f : goede taakuitvoering / werkzaamheden (eigen en ontvanger) 5. d : vitaal belang / betrokkene / UITZONDERING / verstrekken / geen doel?
Toestemming? 1. Algemene toestemmingsverklaringen: NEEN! 2. Transparantie - uitleggen wat je doet en waarom: JA! 3. Toestemming maakt gebrek aan noodzaak niet goed 4. Toestemming noodzakelijk voor doorbreken geheimhouding: Jeugdwet / WGBO / Suwi / Belastingen: JA! 5. Toestemming als extra voorwaarde in Wmo 2015 voor gebruik Jeugdgegevens en W&I gegevens: JA! 6. Gebruik BSN met toestemming: NEEN! Gebruik BSN mag alleen als wettelijk toegestaan of verplicht