Congres: de AVG bent u er klaar voor? 06-06-2017 Workshop privacy en Sociaal Domein
Wie zijn we? Wat gaan we doen?
Wat verandert er met de komst van de AVG?
Actualiteit, media, politiek Calamiteiten Te weinig samenwerking en informatiedeling door professionals roep om meer regie. Juridische kritiek Autoriteit Persoonsgegevens: Gemeenten begrijpen het niet. Verkeerde omgang met toestemming. Gebruik verkeerde grondslag. Kritiek op wetgever mbt domeinoverstijgende gegevensdeling. Privacy incidenten Maatvoering: te veel niet relevante gegevens, te brede inzage, uitvraag medische dossiers. Misbruik (SUWI). Bejegening: mensen onder druk. Veiligheid: Datalekken.
Van juridische black box naar gestructureerde borging. Professionele kwaliteit binnen organisatorische randvoorwaarden.
Professionele kwaliteit Erkennen spanningsveld tussen grondrechten. Sociaal domein is veelal maatwerk; Dat vraagt niet om regels, maar om professionele afweging (triage) t.a.v. inhoud en gegevens. Borg in werkproces dat de afweging zorgvuldig en bewust wordt gemaakt en ben transparant naar betrokkenen. Zorg dat je steeds beter wordt in die afwegingen en leg verantwoording af.
Organisatorische randvoorwaarden Juridische onderlegger moet kloppen (taken, verantwoordelijkheden, grondslagen, overeenkomsten en convenanten). Formuleer uitgangspunten voor de omgang met de burger en zijn/haar gegevens; laat zien waar je op aanspreekbaar bent en vertaal dat naar werkprocessen. Equipeer professionals: Triage hoe doe je dat (verbinding inhoudelijke en privacy-afwegingen), reflecteren en leren. Ontzorg de professional en zorg dat de inrichting van de ICT hem/haar faciliteert in het borgen van de privacy. Standaardiseer wat je kunt standaardiseren op basis van noodzaak-principe. Laat zien hoe je privacy hebt geborgd en dat het werkt.
Gestructureerde borging
Raamwerk gestructureerde borging A. Juridische analyse & Beleid B. Governance & Organisatie C. Werkprocessen en triage D. Bewustwording & training medewerkers E. Transparantie & positie burger F. Opslag, beheer & informatieveiligheid
Juridische analyse Welke wettelijke taken worden waar belegd (binnen en/of buiten de organisatie)? Op welke artikelen in de wetten zijn die taken gebaseerd en welk juridisch regime dus van toepassing is? Voor welke doelen worden gegevens verwerkt? Hoe wordt de noodzakelijkheidsafweging gemaakt? Welke grondslagen uit de Wbp zijn voor welke taken van toepassing zijn? Welke specifieke aspecten kunnen spelen zoals medisch beroepsgeheim, toestemming geheimhoudingsplicht te doorbreken e.d.?
Governance en Organisatorische randvoorwaarden Maak bestuurlijke en organisatorische verantwoordelijkheid expliciet. Vertaal je uitgangspunten naar werkprocessen. Ontzorg de professonal en zorg dat de inrichting van de ICT hem/haar faciliteert in het borgen van privacy. Standaardiseer wat je kunt standaardiseren op basis van het noodzaakprincipe.
Triage: afweging over inhoud en noodzaak van gegevensverwerking Triage is het proces van verhelderen, routeren en escaleren van vragen en casussen. Door middel van triage bepaal je wat de aard van de problematiek is, of wat het doel van een processtap is, gekoppeld aan welke mate van gegevensverwerking daarvoor noodzakelijk is. Bij een eenvoudige problematiek is de gegevensverwerking beperkt terwijl er bij een complexere problematiek er wellicht meer partijen betrokken moeten worden, of meer informatie over gedragen moet worden om het doel te bereiken. Het professionele afwegingsproces als het gaat om verwerken, verzamelen en delen van gegevens wordt expliciet gemaakt. Voor het borgen van de privacy en transparantie is het belangrijk om de afweging tav gegevens te bespreken met betrokkene en vast te leggen.
Waar gebeurt dit in de praktijk al?
Wat is er nodig om het verder te brengen?
Nieuwe ontwikkelingen Partners in het veld zoeken elkaar op (manifest partners, Handvat veiligheidshuizen). Het veld verbreedt zich (zorg en veiligheid, onderwijs, schuldhulpverlening). De knelpunten komen duidelijker in beeld Ruimte voor nieuwe oplossingen.