Privacy in het jeugddomein VNG-regiobijeenkomsten Jeugd 16-12-2016 Hans Versteeg, VNG
Privacy in de actualiteit Calamiteiten Te weinig samenwerking en informatiedeling door professionals roep om meer regie Juridische kritiek Autoriteit Persoonsgegevens: Gemeenten begrijpen het niet Verkeerde omgang met toestemming Gebruik verkeerde grondslag Wbp Kritiek op wetgever mbt domeinoverstijgende gegevensdeling Teveel evidente missers Privacy incidenten Maatvoering: te veel niet relevante gegevens, te brede inzage, uitvraag medische dossiers Misbruik (SUWI) Bejegening: mensen onder druk Veiligheid: Datalekken Onderliggend vaak: Angst voor lange termijn effect, stigmatisering, schaamte
Autoriteit Persoonsgegevens rapport april 2016 Onderzoek bij 41 grootste gemeenten naar gebruik toestemming De Autoriteit Persoonsgegevens constateert dat gemeenten géén duidelijk beeld hebben van welke gegevens zij in het sociaal domein mogen verwerken, voor welke doelen zij dit mogen en op basis van welke grondslagen. Ook heeft geen van de 41 gemeenten duidelijk bepaald wat de rol van toestemming daarbij kan of moet zijn.
Van juridische black box. Mag het? Vraagt de medewerker Ja mits Zegt de jurist Nee tenzij Zegt de andere jurist Het mag misschien wel, maar niet op die grondslag.. Zegt de toezichthouder
.. Naar professionele kwaliteit Erkennen spanningsveld tussen grondrecht Privacy en gegevensverwerking tbv goede zorg en ondersteuning Sociaal domein is veelal maatwerk; Dat vraagt niet om regels, maar om professionele afweging (triage) t.a.v. inhoud en gegevens Borg in werkproces dat de afweging zorgvuldig en bewust wordt gemaakt en ben transparant naar betrokkenen Zorg dat je steeds beter wordt in die afwegingen en leg verantwoording af
Basisprincipes privacy in de jeugdwet 6
Art. 8 EVRM 1 Een ieder heeft recht op respect voor zijn privé leven, zijn familieen gezinsleven, zijn woning en zijn correspondentie. 2 Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.
Privacy als maatschappelijke waarde Privacy gaat over een zorgvuldige en betrouwbare overheid Legitimiteit van het openbaar bestuur Borging van publieke rechten (rechtsstaat) Toegang tot zorg, vertrouwelijkheid Zorgvuldige bejegening van burgers (gelijkheidsbeginsel) Het draait om VERTROUWEN
Vuistregels 1. Respecteer de rechten van betrokkenen 2. Praten mét betrokkenen, niet óver hen zonder hen 3. Vertrouwelijkheid is een waarborg voor de toegankelijkheid 4. Vertrouwen in de deskundigheid van mede-professionals 5. Nooit méér persoonsgegevens vragen dan strikt noodzakelijk 6. Transparant over het doel van persoonsgegevens 7. Respecteren van positie (geheimhouding) van mede-professionals 8. Verstrekken persoonsgegevens alleen na een zorgvuldige afweging 9. Vertrouwen in de afweging van mede-professionals 10. Problemen van betrokkene oplossen, ook als gegevensuitwisseling niet mogelijk is
Juridische kaders 1. De Wet Bescherming Persoonsgegevens (Wbp) Grondslagen voor gegevensverwerking Doel en noodzaak, proportionaliteit en subsidiariteit Doelbinding en verenigbaarheid van doelen Transparantie en rechten van betrokkenen 2. Materiewetten: Wmo, Jeugd, P-wet Benoemen taken waarvoor en regelen voorwaarden waaronder gegevensverwerking mag plaats vinden. Bieden basis voor samenhang in plan en in ondersteuning waar nodig 3. Overige wetten Aanpalende gemeentelijke taken, bijvoorbeeld schuldhulpverlening Specifieke wetten, bepalingen: Wgbo (medisch beroepsgeheim), SUWI
Algemene Verordening Gegevensbescherming (AVG) Europese verordening, is aangenomen Invoeringstermijn tot en met 26 mei 2018 In verlengde van (en straks in plaats van) WBP Meer gericht op privacy als proces en privacy by design Privacy Impact Assessments (PIA) - risicoanalyse Verplicht Functionaris Gegevensverwerking (FG) Boetes en maatregelen Versterking rol toezicht (Autoriteit Persoonsgegevens) 11
Grondslagen art. 8 WBP Eén van de volgende grondslagen móet van toepassing zijn: a. Toestemming b. Overeenkomst met betrokkene c. Wettelijke verplichting d. Vitaal belang e. Publiekrechtelijke taak f. Gerechtvaardigd belang van betrokkene
Toestemming? 1. Algemene toestemmingsverklaringen: NEEN! 2. Transparantie - uitleggen wat je doet en waarom: JA! 3. Toestemming maakt gebrek aan noodzaak niet goed 4. Toestemming noodzakelijk voor doorbreken geheimhouding: Jeugdwet / WGBO / Suwi / Belastingen: JA! 5. Toestemming als extra voorwaarde in Wmo 2015 voor gebruik Jeugdgegevens en W&I gegevens: JA! 6. Gebruik BSN met toestemming: NEEN! Gebruik BSN mag alleen als wettelijk toegestaan of verplicht 7. Voorbeeld toestemmingsformulier bij de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/bijla ge_iii_toestemmingsformulier.pdf
Basisprincipes: én én én Wees u bewust hoe u persoonsgegevens gebruikt: 1. Voor welke (wettelijke) taak? 2. Met welk doel? 3. Is dat ook het doel waar de gegevens voor verzameld zijn? 4. Is het noodzakelijk? 5. Kan het met minder? (Proportionaliteit) 6. Is betrokkene geïnformeerd? (Transparantie) 7. Wat is de grondslag? (art. 8 WBP) 8. Zijn er specifieke aspecten? zoals medisch beroepsgeheim, toestemming om geheimhoudingsplicht te doorbreken e.d.
Stappenplan privacybeleid 1. Taken en werkzaamheden 2. Doelen gegevensverwerking 3. Noodzakelijke gegevens (doel en middel en zwaarte middel) Taken / doelen / relatie met betrokkene 4. Juridische basis 1. Grondslag artikel 8 Wbp 2. Bijzondere gegevens / gevoelige gegevens (verbod en opheffing) 3. Wettelijke nummers ter identificatie (wettelijk geregeld) 4. Internationaal 5. Geheimhoudingsplicht
Stappenplan in schema Taak vlg de wet (toeleiding, hulp, etc) Wiens taak (College, hulpverlener etc) Activiteit uitvoering Doelen Noodzakelijkheidsafweging gegevens? Grondslag? Specifieke aspecten (geheimhouding, etc)
Raamwerk gestructureerde borging A. Juridische analyse & Beleid B. Governance & Organisatie C. Werkprocesse n en triage D. Bewustwording & training medewerkers E. Transparantie & positie burger F. Inrichting Informatiesystemen: Opslag, beheer & informatieveiligheid
Privacy in de jeugdwet 18
Privacy in de Jeugdwet Jeugdwet hfdst 7, gegevensuitwisseling: Verwijsindex Risicojongeren (VIR) Gebruik BSN Dossierplicht jeugdhulpverlener Dossier ligt bij individuele hulpverlener Inzage alleen als collega-hulpverlener betrokken is bij hulp Gedwongen kader, VTO bij RvdK (Corv) Administratief proces Toewijzen, declareren, betalen Opsporen fraude en misbruik Beleidsinformatie, monitoring 19
Gemeentelijke taken Jeugdwet Taken in de jeugdwet waarvoor gemeenten persoonsgegevens mogen verwerken: Toegang Verzoek tot onderzoek bij RvdK (Corv) Administratief proces Toewijzen, declareren, betalen Opsporen fraude en misbruik Beleidsinformatie, monitoring Organiseren / inkoop passend zorgaanbod VIR, meldingen en coördinatie 20
Aandachtspunten Dossierplicht voor hulpverlener Toegang (wijkteam) is géén hulpverlening en heeft in principe géén inzage in dossier Delen van informatie met derden mag in principe alleen na toestemming Regie en vroeg-signalering niet expliciet geregeld Huisartsen-route Medisch beroepsgeheim bij o.a. j-ggz DBC s en opt-out Gebruik van BSN en identificatie 21
Persoonsgegevens op facturen: Regeling Jeugdhulp Naar aanleiding van signaal AP: wettelijke basis in Jeugdwet ontbreekt (zomer 2015) Wettelijk nu geregeld (zomer 2016): aanpassing Jeugdwet (art. 7.4.0) Regeling Jeugdwet (Ministeriële Regeling) Uitgangspunt is gebruik van i-jw berichten Aanvullende voorwaarden voor GGZ: Gebruik DBC-hoofdgroep is toegestaan en JW321-bericht Opt-out mbt diagnosegegevens Materiële controle onder voorwaarden toegestaan Op basis van fraude-controle plan Alleen bij vermoeden van fraude op basis van signalen en criteria Extra maatregelen bij raadplegen medische gegevens 22
DBC en diagnose informatie Algemene regel: géén diagnose-informatie in facturatie / declaratie proces Uitzondering voor jeugd-ggz: DBC-hoofdgroep is wél toegestaan op de factuur voor jeugd-ggz Opt-out: als ouders géén diagnose info op factuur willen, dan verplicht weglaten (N.B. alleen de DBC wordt weggelaten) Pas op met verstopte DBC/diagnose-informatie, bijv. op basis van tarief / prijs is DBC af te leiden DBC-systematiek geldt tot 1-1-2018 Na 2018: DBC niet langer gebruiken, daarna ook geen DBC / diagnose-informatie meer op factuur
Privacy in het proces van jeugdhulp en wmo