Privacybeleid. Sociaal domein

Vergelijkbare documenten
Wettelijke kaders voor de omgang met gegevens

Privacy Scan VISD juni Antwoordcategorie Ja/Nee/ Onbekend

Privacyprotocol. dat de veiligheid van de jeugdige altijd voorop staat en het belang van het kind de eerste overweging moet zijn (art 3 IVRK);

Bijlage bij de Deelovereenkomsten inkoopnetwerk Jeugd FoodValley. REGLEMENT Gegevensdeling in het sociale domein JEUGD FOODVALLEY

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams "Samen Doen" worden uitgevoerd in opdracht van het

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

WORKSHOP HOE BORG JIJ DE PRIVACY VAN JE KLANTEN?

Workshop Privacy en Triage

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Privacybeleid Today s Groep

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Wet Bescherming Persoonsgegevens (Wbp)1, vanaf 25 mei 2018 vervangen door de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG)

Privacyreglement Gemeente Krimpen aan den IJssel

Beleidsnotitie Gegevensdeling en Privacy in het Sociaal Domein Fryslân

PRIVACY REGLEMENT ORIONIS WALCHEREN

Privacyreglement Werkzaak Rivierenland

Privacyverklaring Therapeuten VVET

Uw privacy bij de gemeente Woerden

Privacyreglement Gemeente Borsele

KLACHTEN- EN PRIVACYREGLEMENT NEW TARGET VISION BV (met betrekking tot verwerking persoonsgegevens)

Privacyreglement Gemeente Tiel

Privacyreglement WSVH

Privacyreglement Revalidatiecentrum Haaglanden

Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

Privacyreglement Senzer

In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad 2000, 302) verstaan onder:

Privacy reglement. Pagina 1 van 9

Algemene verordening gegevensbescherming (AVG)

PRIVACYREGLEMENT HOREND BIJ DE GRONDSLAG ZORG EN VEILIGHEID GEMEENTE NIJKERK

In dit reglement laat de gemeente Bronckhorst zien op welke manier zij dagelijks omgaat met

Kadernotitie voor Gegevensverwerking en Privacybescherming Sociaal Domein gemeente Assen. mei 2015

Privacy Protocol sociaal domein gemeente Landsmeer 2016

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

Privacyreglement Waterschap Rijn en IJssel

PRIVACYREGLEMENT HOREND BIJ DE GRONDSLAG ZORG EN VEILIGHEID GEMEENTEN FOODVALLEY

Privacyprotocol Sociaal Domein regio Utrecht Zuidoost

Informatie over privacywetgeving en het omgaan met persoonsgegevens

Versie Wijzigingen Datum 1.1 VNG Realisatie lay-out

Privacy protocol zorgaanbieders Peelregio

Privacybeleid gemeente Wierden

Belastingen en gegevens Hoe, wat, waar en waarom? Femke Salverda Hans Versteeg

Privacyreglement gemeente Noordwijkerhout

Privacybeleid.

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

Privacy beleid De Kompanjie

Privacyreglement gemeente Sint Anthonis

De Leeuwarder privacyaanpak: doen wat nodig is. Tea Bouma

Privacyverklaring VVET

Actieve informatievoorzieningc

Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

Modelprivacyreglement Stichting vmbo Dienstverlening en Producten

Privacyreglement wijkteams Sociaal Domein gemeente Albrandswaard

Privacyreglement gemeente Cranendonck

PRIVACYREGLEMENT voor. Gemeenschappelijke Regeling Samenwerking. Kempengemeenten (GRSK)

Privacyreglement website

PRIVACYREGLEMENT. maakt werk van de apotheek. Stichting Bedrijfsfonds Apotheken. Paragraaf 1. Algemene bepalingen

PRIVACYREGLEMENT. Human Assistance Network for Daily Support (HANDS)

Privacyreglement Lariks

PRIVACYREGLEMENT ANG Versie 1.0 Özlem Sahin & Tinka Versteeg. ANG, Montfoort, 01 oktober 2017 Kenmerk: ANG HRM

29 PRIVACYREGLEMENT PERSONEELS- EN SALARISADMINISTRATIE

Privacy in het jeugddomein

PRIVACYREGLEMENT BEST

Privacyreglement Vakpaspoort SF-BIKUDAK Verwerking (persoons)gegevens SF-BIKUDAK.

Privacyverklaring. 1. Begripsbepalingen. Privacyreglement Dapper Kindercoaching

Privacybeleid. Gemeente Weststellingwerf

Privacyreglement voor Stichting STAIJ

Verantwoordelijke: Degene die vaststelt welke persoonsgegevens verwerkt worden en wat het doel van die verwerking is.

Persoonsgegevens en gegevensverwerking binnen Stichting Jeugd en Jongeren Midden-Holland

verantwoordelijke: de Algemeen directeur/bestuurder van het CVD

Reglement privacy gemeente Goes 18INT01558

PRIVACYBELEID EN -REGLEMENT. alles met aandacht

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

PRIVACY REGLEMENT PCBO LEIDERDORP

Privacybeleid en reglement Afier Accountants + Adviseurs

PRIVACYREGELING MEDEWERKERS

Privacy Reglement. 2 Definities. 3 Reikwijdte en doelstelling

Privacyreglement gemeente Sluis. Het college van Sluis; BESLUIT: vast te stellen het navolgende: Privacyreglement gemeente Sluis 2018

Informatie over privacywetgeving en het omgaan met persoonsgegevens

Gegevensverzameling: verzameling van persoonsgegevens over een cursisten of medewerkers met daaraan ten grondslag een bepaald doel.

Privacyreglement Leermakers Zorggroep Datum : augustus 2018 Versie : 2

SHK - Senioren Hollands

ALGEMEEN PRIVACYBELEID VAN DE

PROTOCOL. Onze vereniging

Privacy. Beleid en reglement. de Bibliotheek Bibliotheken Mar en Fean

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen

PRIVACYREGLEMENT DOCUMENTBEHEER ALGEMEEN

Privacyreglement. Artikel 1. Bereik

Privacy statement. BEGRIPSBEPALINGEN In dit reglement wordt verstaan onder:

PRIVACYREGLEMENT Springkussenverhuur Nederland

Privacyreglement Persoonsgegevens Stichting Leergeld Goirle en Riel

PRIVACYREGLEMENT Delken&Boot B.V. Paragraaf 1: Algemene bepalingen

PROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag

Algemene verordening gegevensbescherming

Algemene Verordening Gegevensbescherming

Privacy Statement Sa4-zorg

Privacy verklaring Veilig Thuis Flevoland

Transcriptie:

Privacybeleid Sociaal domein

Privacybeleid sociaal domein Inhoudsopgave Pagina Inleiding 3 Hoofdstuk 1 Juridisch kader 4 Hoofdstuk 2 Visie 6 Hoofdstuk 3 Integrale dienstverlening 7 Hoofdstuk 4 Raamwerk privacy 9 a. Beleid 10 b. Governance 10 c. Werkprocessen & triage 11 d. Bewustwording en training 12 e. Beheer en opslag 12 Bijlage: voorbeeld toestemmingsformulier 2

Inleiding Waarom een privacybeleidsplan sociaal domein? Sinds 2015 vallen nieuwe en omvangrijke doelgroepen onder de verantwoordelijkheid van de gemeente. Nieuwe doelgroepen zijn alle jeugdigen, die onder de Jeugdwet vallen, de doelgroep Wajong en Wsw, die deel uitmaakt van de Participatiewet, en de groep volwassenen, die is aangewezen op (groeps)begeleiding en beschermd wonen, als onderdeel van de Wet maatschappelijke ondersteuning. Dit betekent dat er meer persoonsgegevens dan voorheen worden verwerkt en dat er meer met diverse externe partners wordt samengewerkt, waardoor privacyrisico s zijn toegenomen. Met het sociaal domein bedoelen we de domeinen Jeugd, Wmo, Participatie en schuldhulpverlening. In de Jeugdwet, Wet maatschappelijke ondersteuning, de Participatiewet en de Wet gemeentelijke schuldhulpverlening is bepaald voor welke taken de gemeente verantwoordelijk is. Binnen de verschillende wetten wordt met verschillende privacykaders gewerkt. De Autoriteit Persoonsgegevens is van mening dat een deugdelijke wettelijke basis voor verwerking van persoonsgegevens bij een domeinoverstijgende (integrale) aanpak ontbreekt. Het kabinet stelt dat deze er wel is via de afzonderlijke domeinwetgeving. Nu de Autoriteit Persoonsgegevens en het kabinet hierover van mening verschillen, zullen gemeenten in het privacybeleid en de uitvoering ervan, helder moeten maken hoe de privacy bij de integrale aanpak is geborgd. Dit privacybeleidsplan is bedoeld als basis voor het binnen de wettelijke kaders zorgvuldig omgaan met persoonsgegevens, waarbij wordt gezocht naar de balans tussen noodzakelijke gegevensverwerking vanuit de maatschappelijke opgave in het sociaal domein en borging van de privacy, versterking van de positie van de burger, en versterken van de democratische verantwoording over gegevensverwerking en privacy op lokaal niveau. Inwoners moeten erop kunnen vertrouwen dat de gemeente de privacykaders respecteert en daar in de praktijk naar handelt. Zeker als integrale dienstverlening wordt geboden, zal de inwoner goed geïnformeerd moeten worden over wie welke persoonsgegevens mag inzien. In het jeugdteam en sociaal team werken diverse disciplines samen. Daarbij moet duidelijk zijn welke regels er gelden als het gaat om het verwerken van persoonsgegevens. Met name het delen van deze gegevens is niet zonder meer toegestaan. Dat met toestemming persoonsgegevens altijd mogen worden gedeeld is een misvatting en kan tot problemen leiden. Het privacybeleid is deels al geïmplementeerd. Op een aantal cruciale onderdelen moeten er nog stappen gezet worden. Via een quickscan is vastgesteld wat er nog geregeld moet worden. Dit beleidsplan is hierin een belangrijke stap. 3

Hoofdstuk 1 Juridisch kader In de Jeugdwet, Participatiewet, Wet gemeentelijke schuldhulpverlening en Wet maatschappelijke ondersteuning, en de daarop gebaseerde besluiten, is, al dan niet gedetailleerd, beschreven welke persoonsgegevens nodig zijn voor de uitoefening van de wettelijke taken. Ook is binnen de specifieke domeinwetgeving geregeld welke externe partners bevoegd zijn persoonsgegevens te verwerken. Daarnaast is bepaald bij welke externe organisaties bepaalde persoonsgegevens van inwoners kunnen worden opgevraagd. De basisregels voor het omgaan met persoonsgegevens staan in de Wet bescherming persoonsgegevens (Wbp). Deze wet is de Nederlandse uitwerking van de Europese richtlijn bescherming van persoonsgegevens. Verder is de Wbp gebaseerd op het bepaalde in artikel 10 lid 1 en 2 van de Grondwet. Het gaat dan om eerbiediging van de persoonlijke levenssfeer en de opdracht bij wet regels te stellen ter bescherming daarvan in verband met het vastleggen en verstrekken van persoonsgegevens. De belangrijkste algemene bepalingen uit de Wbp over het rechtmatig omgaan met persoonsgegevens zijn als volgt: Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt; Persoonsgegevens mogen alleen voor bepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en verder verwerkt voor doeleinden, die daarmee verenigbaar zijn; Degene, van wie persoonsgegevens worden verwerkt, moet tenminste op de hoogte zijn van de identiteit van de organisatie of persoon, die deze persoonsgegevens verwerkt en het doel van de gegevensverwerking; De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere persoonsgegevens, zoals ras, gezondheid en geloofsovertuiging, gelden extra strenge regels. In artikel 1 onder b Wbp is bepaald wat wordt verstaan onder de verwerking van persoonsgegevens. In ieder geval gaat het om het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken via doorzending, verspreiding of enig andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Grondslag voor verwerking persoonsgegevens Zonder grondslag mogen er geen persoonsgegevens worden verwerkt. Er zijn enkele grondslagen op basis waarvan verwerking mag plaatsvinden. a. Wettelijke plicht De gegevensverwerking op grond van een wettelijke plicht 1 is in het sociaal domein gebaseerd op de Jeugdwet, Wmo 2015, Participatiewet en Wet gemeentelijke schuldhulpverlening. De gegevensverwerking is noodzakelijk voor het organiseren van de feitelijke dienstverlening of hulpverlening. 1 Artikel 8 aanhef en onder c Wbp 4

b. Uitoefenen publiekrechtelijke taak Een andere grondslag voor noodzakelijke gegevensverwerking is de uitoefening van een publiekrechtelijke taak 2. In het sociaal domein betreft dit bijvoorbeeld het zorgen voor de beschikbaarheid van voorzieningen en de zorg voor de veiligheid van kinderen. Andere voorbeelden zijn: Het verlenen van toegang tot dienstverlening of hulpverlening, zoals beslissen op een aanvraag voor een maatwerkvoorziening of het vaststellen van rechten en plichten van jeugdigen en ouders; Het verlenen van een bijstandsuitkering en het bieden van ondersteuning bij de arbeidsinschakeling; Opstellen van beleid; Contracteren dienstverleners; Financiering dienstverlening (waaronder factuurcontrole); Het doen van een melding inzake kindermishandeling bij Veilig Thuis of bij de Raad voor de Kinderbescherming. c. Uitvoering van een overeenkomst Bij de uitvoering van hulpverleningstaken op grond van de Jeugdwet en Wmo kan sprake zijn van een behandelingsovereenkomst. In het kader van een dergelijke behandelingsovereenkomst mogen persoonsgegevens worden verwerkt mits dat noodzakelijk is voor de uitvoering van die overeenkomst. Het gaat hierbij altijd om vrijwillige hulpverlening. d. Vrije en ondubbelzinnige toestemming Verwerking van persoonsgegevens kan plaatsvinden als er sprake is van vrije en ondubbelzinnige toestemming 3 van de betrokkene. Om toestemming als grondslag te gebruiken, moet aan een aantal vereisten zijn voldaan. Zo moet de betrokkene zijn wil in vrijheid hebben geuit. Als de betrokkene onder druk van de omstandigheden heeft ingestemd met de verwerking van persoonsgegevens, is van vrije wil geen sprake. Ook als de betrokkene in een afhankelijke positie staat en onder druk daarvan met de verwerking instemt, is er geen sprake van vrije wil. In het sociaal domein zal van vrije wil over het algemeen geen sprake kunnen zijn, omdat inwoners afhankelijk zijn van de gemeente voor hulp of ondersteuning. Verder moet de betrokkene, voordat deze toestemming geeft, uitdrukkelijk worden geïnformeerd over doel en noodzaak van het verwerken van bepaalde persoonsgegevens. Een onbepaalde toestemming om persoonsgegevens te verwerken, welke niet is gericht op bepaalde gegevens en op bepaalde vormen van verwerking, is niet rechtsgeldig. Zo is bijvoorbeeld een algemeen formulier voor het verlenen van toestemming voor het delen van persoonsgegevens met derden geen rechtsgeldige grondslag. Tot slot moet de toestemming ondubbelzinnig zijn. Er mag geen twijfel zijn over de toestemming van de betrokkene. Deze twijfel kan worden voorkomen door het verzoek om toestemming zo in te richten dat de toestemming ondubbelzinnig blijkt. Bijvoorbeeld door het laten bevestigen van de toestemming door het aankruisen van een vakje op een (digitaal) formulier. De bewijslast voor het verkrijgen van de vrije en ondubbelzinnige toestemming ligt bij degene, die daarom heeft gevraagd. Ook kan toestemming op ieder moment worden ingetrokken. Op dat moment stopt de verwerking van persoonsgegevens. 2 Artikel 8 aanhef en onder e Wbp 3 Artikel 8 aanhef en onder a Wbp 5

Hoofdstuk 2 Visie In dit beleidsplan beschrijven we de gemeentelijke visie op privacy in het sociaal domein. Het is een vertaling van de privacywetgeving naar een lokale invulling. De visie van het kabinet op gegevensverwerking en privacy in het sociaal domein is neergelegd in het document Zorgvuldig en bewust. De kabinetsvisie bestaat uit drie pijlers: 1) Balans tussen noodzakelijke gegevensverwerking vanuit de maatschappelijke opgave in het sociaal domein en borging van de privacy; 2) Versterking van de positie van de inwoner; 3) Versterken van de democratische verantwoording over gegevensverwerking en privacy in op lokaal niveau. Wij sluiten aan op deze visie, waarbij de verantwoordelijkheid voor het bewaken hiervan bij het college ligt. Het college is eindverantwoordelijk en legt aan de raad verantwoording af over het gevoerde privacybeleid. In de kabinetsvisie is hierover het volgende gesteld: Het college van burgemeester en wethouders is verantwoordelijk voor de zorgvuldigheid van de gegevensverwerking, die door of namens het college plaatsvindt. Zij stelt eisen aan de beveiliging en borging van de privacy. Het college is, voor de wijze waarop het hieraan invulling geeft, verantwoording verschuldigd aan de raad. Bij de beleidsuitgangspunten gaan we nader in op de onderdelen van de visie. Onze gemeentelijke visie voor privacybeleid ontlenen we aan de eerder vastgestelde beleidsplannen op het gebied van Jeugd, Maatschappelijke Ondersteuning en Participatie: De Wmo 2015, de Jeugdwet, de Participatiewet en de Wet gemeentelijke schuldhulpverlening leggen de basis voor een meer integrale, levensbrede aanpak, waarbij de benodigde ondersteuning of zorg in samenhang en daarmee integraal wordt vormgegeven. Het denken in schotten en domeinen bij de organisatie van ondersteuning en zorg vermijden we zoveel mogelijk en het uitgangspunt van één huishouden, één plan, één regisseur brengen we over de volle breedte van het sociaal domein tot uitvoering. Daarbij proberen we de regie, daar waar dit kan, (volledig) bij de betreffende inwoner zelf te houden. Vanuit deze visie zijn integraal sociaal beleid en ons privacybeleid dienstbaar aan onze inwoners. Het is de inwoner, die bepaalt welke persoonsgegevens hij beschikbaar wil stellen. Wij informeren de inwoner over de noodzaak om te kunnen beschikken over diens persoonsgegevens. En dat zonder de noodzakelijke persoonsgegevens geen ondersteuning kan worden georganiseerd. Ook zijn wij transparant in wie welke persoonsgegevens kan inzien of met wie wij persoonsgegevens delen. Weigert de inwoner persoonsgegevens te verstrekken, dan blijven wij in gesprek en geven inzicht in de privacyregels, waar wij ons aan moeten houden. Ook wijzen we de inwoner op de gevolgen van het niet kunnen verwerken van de persoonsgegevens, namelijk het niet of slechts gedeeltelijk kunnen bieden van de benodigde ondersteuning. Daar waar veiligheid en gezondheid in gevaar komen, is het aan de betrokken medewerkers dan wel professionals om te bepalen of geheel of gedeeltelijk de regie (tijdelijk) wordt overgenomen, ook wat betreft het verzamelen en uitwisselen van persoonsgegevens. Wij vinden het belangrijk dat inwoners erop kunnen vertrouwen dat er zorgvuldig wordt omgegaan met de persoonsgegevens, die zij aan ons verstrekken. Wij willen privacyrisico s minimaliseren. Bij het inrichten van het sociaal domein en in het bijzonder bij het bieden van integrale dienstverlening houden we daar rekening mee. 6

Hoofdstuk 3 Integrale dienstverlening Sinds 2015 heeft de gemeente meer taken en verantwoordelijkheden gekregen binnen het sociaal domein. Dit leidt ertoe dat er meer mogelijkheden ontstaan om te zorgen voor integrale dienstverlening. Binnen het sociaal domein onderscheiden we de domeinen op het gebied van de Jeugdwet (Jw), Participatiewet (Pw), Wet gemeentelijke schuldhulpverlening (Wgs) en de Wet maatschappelijke ondersteuning (Wmo). Onder integrale dienstverlening verstaan we een domeinoverstijgende aanpak. Daarbij worden domeinen gecombineerd om op die manier de inwoner ondersteuning te bieden waarbij de ondersteuning in samenhang georganiseerd wordt. Integrale dienstverlening is onder meer noodzakelijk bij meervoudige, complexe problematiek en om het uitgangpunt één gezin, één plan, één regisseur in de praktijk vorm te geven. Op basis van de beleidsplannen voor de Wmo en Jeugdwet is ingezet op een lokaal en laagdrempelig team met deskundigen. In de praktijk is dit vorm gegeven via het Sociaal & Jeugdteam IJsselstein. Binnen deze teams werken professionals, die goed en tijdig kunnen inschatten welke ondersteuning nodig is en deze ondersteuning zoveel mogelijk lokaal en integraal kunnen bieden. Bij eenduidige, enkelvoudige vragen zal het Sociaal & Jeugdteam IJsselstein niet onmiddellijk ook andere levensdomeinen bij de beoordeling van de vraag hoeven te betrekken. Bij meervoudige hulpvragen is dat wel aan de orde en legt het Sociaal & Jeugdteam contact met alle andere relevante partijen in het sociaal domein, zoals Werk en Inkomen Lekstroom (WIL), de leerplichtambtenaar, vluchtelingenwerk en schuldhulpverlening. Partijen zorgen voor het beleggen van de regie en voor de totstandkoming van één integraal ondersteuningsplan, waaraan alle betrokken partijen zich (schriftelijk) committeren. De integrale werkwijze is bedoeld om te bereiken dat de ondersteuning, die op basis van de hulpvraag geboden zal worden, daadwerkelijk een antwoord biedt op de ondersteuningsbehoefte, die de inwoner heeft. Daarmee wordt voorkomen, dat de inwoner voor verschillende vragen bij verschillende loketten zal moeten aankloppen. Om tot een integrale aanpak en een integraal ondersteuningsplan te komen is er altijd sprake van domeinoverstijgend verwerken van persoonsgegevens. De Autoriteit Persoonsgegevens verstaat hieronder: Het verwerken van persoonsgegevens, die zijn verzameld voor taken in het éne domein, en mede worden gebruikt voor de uitvoering van taken in het andere domein. Ook bij een integrale intake is er sprake va domeinoverstijgend verwerken van persoonsgegevens. De feitelijke ondersteuning wordt per domein georganiseerd. Daarbij worden alleen die persoonsgegevens verwerkt, welke noodzakelijk zijn voor het inzetten van ondersteuning. Voor elke verwerking van persoonsgegevens moet er een grondslag zijn. Meestal verwerken we persoonsgegevens ter uitvoering van wettelijke dan wel publiekrechtelijke taken op basis van de Wmo, Jw, Pw en Wgs. Echter de afzonderlijke wetten in het sociaal domein bieden geen grondslag voor verwerken van persoonsgegevens voor een integrale aanpak. In het bijzonder gaat het dan over het uitwisselen van persoonsgegevens tussen de domeinen, waarvoor de specifieke domeinwetgeving geen grondslag biedt 4. Het kabinet is van mening dat er op dit moment geen noodzaak is voor een nieuw en omvattend kader voor de gegevensverwerking en privacy in het sociaal domein. De bestaande wet- en regelgeving biedt volgens het kabinet voldoende ruimte om de noodzakelijke gegevensverwerking voor integrale dienstverlening vorm te geven. De Autoriteit Persoonsgegevens denkt daar anders over en is van mening dat er geen overkoepelende regeling is voor het domeinoverstijgend uitvoeren van taken in het sociale domein. 4 Onderzoeksrapport Autoriteit Persoonsgegevens van april 2016 7

Doordat wetgeving niet voorziet in een domeinoverstijgende gegevensverwerking, kan hiervoor geen beroep worden gedaan op de grondslagen wettelijke taak of publiekrechtelijke taak. Dan blijft alleen toestemming als grondslag voor gegevensverwerking over, mits wordt voldaan aan de randvoorwaarden uit de Wbp. Onze werkwijze leggen we vast in een privacyconvenant sociaal domein. Dit convenant sluiten we in eerste instantie met het Sociaal & Jeugdteam IJsselstein en met WIL. In tweede instantie beoordelen we welke andere partijen onderdeel moeten zijn. Het doel van dit convenant is een zorgvuldige en rechtmatige omgang met persoonsgegevens bij domeinoverstijgende gegevensverwerking binnen het sociaal domein. Om integrale dienstverlening te kunnen bieden, is het kunnen delen van gegevens over de domeinen een voorwaarde. Gelet op het onderzoeksrapport van de Autoriteit Persoonsgegevens constateren we dat er voor domeinoverstijgende integrale verwerking van persoonsgegevens geen andere grondslag hiervoor is dan toestemming. Deze grondslag gebruiken we alleen als deze rechtsgeldig is. En dat is als deze vrij en specifiek is en de betreffende inwoner geïnformeerd is over de noodzaak en over diens rechten en plichten. Specifiek geven we de inwoner aan om welke persoonsgegevens het gaat waar toestemming voor verwerking voor wordt gevraagd en waarom deze gegevens noodzakelijk zijn. En wie deze gegevens mag inzien en waarom. Voorop staat dat we richting onze inwoners transparant zijn in het informeren met wie welke persoonsgegevens worden gedeeld en waarom. Pas als de inwoner hiervoor ondubbelzinnig toestemming verleend, worden deze persoonsgegevens gedeeld. Hiervoor maken we gebruik van het voorbeeld toestemmingsformulier, dat door de Autoriteit Persoonsgegevens is goedgekeurd. Dit formulier is als bijlage toegevoegd aan dit beleidsplan. De inwoner moet zich vrij voelen om nee te zeggen. Weigert een inwoner toestemming te verlenen, dan informeren wij de inwoner over de consequenties hiervan. Er kan dan geen integraal ondersteuningsplan worden gemaakt en de inwoner zal zijn persoonsgegevens per domein dienen te verstrekken zodat de ondersteuning kan worden ingezet. Grondslag voor de verwerking per domein is uitoefening van een wettelijke taak dan wel een publiekrechtelijke taak. 8

Hoofdstuk 4 Raamwerk privacy Om privacy in het sociaal domein te borgen, moet op verschillende met elkaar samenhangende gebieden organisatie en inrichting plaatsvinden. De VNG heeft hiervoor het raamwerk privacy ontwikkeld. Dit raamwerk bestaat uit vijf gebieden: a) Beleid b) Governance c) Werkprocessen en triage d) Bewustwording en training e) Beheer en opslag van gegevens Deze vijf gebieden staan niet op zichzelf, maar zijn communicerende vaten. In schema ziet dit er als volgt uit: 9

A. Beleid De basis is het privacybeleid, waarin wordt beschreven waarom het van belang is aandacht te hebben voor privacy, wat de wettelijke kaders zijn voor het verwerken van persoonsgegevens en wat de beleidsuitgangspunten zijn. Dit beleid wordt vertaald naar en geborgd in werkprocessen, in de systemen en in de samenwerking met externe partners. Cruciaal is bewustwording bij alle medewerkers, zowel op bestuurlijk niveau, directieniveau als uitvoerend niveau. Beleidsuitgangspunten Voor de bescherming van privacy in het sociaal domein hanteren we de volgende beleidsuitgangspunten: Persoonsgegevens verwerken we met inachtneming van de geldende wet- en regelgeving; Doelbinding en noodzaak: we verwerken persoonsgegevens alleen als dit noodzakelijk is om een duidelijk omschreven doel mee te behalen; Subsidiariteit: we bekijken of er alternatieven zijn, die tot minder gegevensverwerking leiden. Daarmee minimaliseren we de (administratieve) belasting van de inwoner. Proportionaliteit: we vragen niet meer persoonsgegevens dan nodig om het doel te bereiken; De grondslag toestemming gebruiken we alleen als er geen andere grondslag voor het verwerken van persoonsgegevens is. We houden daarbij rekening met de specifieke voorwaarden die hieraan verbonden zijn (vrije en ondubbelzinnige toestemming en informatieplicht); We zijn transparant naar inwoners en informeren hen actief over waarom persoonsgegevens worden verwerkt, welke persoonsgegevens worden verwerkt en wat de rechten en plichten zijn van degene, van wie persoonsgegevens worden verwerkt; Er komt een privacyconvenant sociaal domein met het Sociaal &Jeugdteam IJsselstein en WIL, met als doel bescherming van de privacy van inwoners. Naleving van dit convenant waarborgt een zorgvuldige omgang met persoonsgegevens bij een domeinoverstijgende gegevensverwerking; Bij de inrichting van werkprocessen besteden we aandacht aan verwerking van persoonsgegevens. In de werkprocessen leggen we vast op welk moment in het proces welke persoonsgegevens noodzakelijk zijn en met welk doel ze worden verwerkt; In de samenwerking met externe partners borgen we dat verwerking van persoonsgegevens plaatsvindt met inachtneming van de wettelijke kaders. Dit leggen we vast in contracten en convenanten en we toetsen de naleving hiervan in de praktijk; Het college is verantwoordelijk voor de gegevensverwerking. Dat geldt ook voor persoonsgegevens, die ter beschikking worden gesteld c.q. gedeeld met externe partijen; Het college zal binnen de P&C cyclus de raad informeren over de risico s en over de getroffen beheersmaatregelen inzake de verwerking van persoonsgegevens. B. Governance Per 25 mei 2018 is de Europese algemene verordening gegevensbescherming (AVG) van toepassing. Vanaf die datum vervalt de werking van de Wbp en gelden in alle lidstaten de Europese regels voor gegevensbescherming. In de Europese privacyregelgeving wordt het belang van privacy governance benadrukt. Voor overheidsinstanties geldt daarbij de verplichting voor het aanstellen van een functionaris gegevensbescherming (FG). Met privacy governance bedoelen we het sturen, beheersen, toezicht houden en verantwoorden binnen de gemeentelijke organisatie en de afspraken met de samenwerkingspartners. Governance blijft niet beperkt tot de interne bedrijfsvoering. Immers ook bij uitbesteding van taken blijft het college verantwoordelijk voor de zorgvuldige gegevensverwerking, borging van privacy en beveiliging van persoonsgegevens. De afspraken hierover leggen we 10

vast in contracten en samenwerkingsconvenanten, die we sluiten met onze samenwerkingspartners. De interne privacy governance werken we uit aan de hand van het organisatieorganogram. We benoemen daarbij hoe de rollen en verantwoordelijkheden binnen de organisatie zijn verdeeld en wie welke taak heeft. Gegevensverwerking in het sociaal domein voor de gemeentelijke en publieke taken vindt plaats onder de verantwoordelijkheid van het college. Het college legt aan de raad verantwoording af over het gevoerde privacybeleid. Omdat de FG de ontwikkeling, implementatie en operationele uitvoering van het privacybeleid overziet, ligt het voor de hand de FG hierover te laten rapporteren aan het college. Op basis daarvan kan het college verantwoording afleggen aan de raad. Hierbij kan worden aangesloten bij de verantwoording over informatiebeveiliging. De FG is verantwoordelijk voor alles wat te maken heeft met de bescherming van persoonsgegevens. De FG informeert en adviseert bijvoorbeeld over de verplichtingen, die uit de Europese regelgeving voortvloeien, ziet toe op de toepassing en uitvoering van het beleid met betrekking tot de bescherming van persoonsgegevens, wijst verantwoordelijkheden toe aan medewerkers, draagt zorg voor het opleiden en trainen van personeel, dat te maken heeft met gegevensverwerking, zorgt voor modellen en conceptbrieven/besluiten en behandelt verzoeken van betrokkenen om inzage of correctie. Daarnaast is de FG de contactpersoon voor de Autoriteit Persoonsgegevens. C. Werkprocessen & triage De beleidsuitgangspunten worden verwerkt in de werkprocessen in het sociaal domein. Het benoemen van de triagemomenten in het werkproces is hierin cruciaal. Op triagemomenten wordt door de medewerker bepaald welke persoonsgegevens in een bepaalde fase van het werkproces nodig zijn om de juiste ondersteuning of hulp te kunnen organiseren. Bij iedere fase in een werkproces moet de vraag worden beantwoord welke persoonsgegevens noodzakelijk zijn voor het te bereiken doel. De aard van de te verwerken gegevens, de manier waarop deze worden verwerkt en welke gegevens worden vastgelegd, verschuift in de loop van het werkproces. Triage is een hulpmiddel voor het inregelen van privacy in de werkprocessen. Het is een proces van afweging en besluitvorming. Via triage bepaalt de medewerker waar de vraag thuishoort en welke persoonsgegevens verwerkt moeten worden. Zo is bij een enkelvoudige vraag de gegevensverwerking beperkt maar bij meervoudig complexe vragen zijn vaak externe partners betrokken. Dan moet een afweging worden gemaakt welke persoonsgegevens met wie gedeeld worden en met welk doel. In alle gevallen hanteren we het uitgangspunt van dataminimalisatie: als met minder gegevens of met minder diepgaande gegevens kan worden volstaan, heeft dat de voorkeur. In de praktijk betekent dit dat niet alle, door de inwoner verstrekte, informatie wordt geregistreerd. Hiermee bedoelen we dat niet alle informatie, die bij de inwoner wordt gevraagd in het kader van diens hulpvraag, wordt vastgelegd in het geautomatiseerde systeem. De in de onderzoeksfase gevraagde uitgebreidere informatie is wel nodig om een beeld te krijgen van de mate van zelfredzaamheid van de inwoner en de situatie, waarin hij verkeert. We registreren alleen die persoonsgegevens, die nodig zijn om vervolgstappen in te zetten. En we informeren de inwoner welke gegevens dat zijn. Ook geven we informatie over wie de vastgelegde persoonsgegevens mag inzien, hoe lang de gegevens worden bewaard en welke rechten (correctierecht, inzage, vernietiging) de inwoner heeft. Bovenstaande geldt ook voor de werkprocessen van het Sociaal & Jeugdteam en WIL. Wij gaan hier nadrukkelijk op sturen om privacyrisico s te minimaliseren. Immers het college is eindverantwoordelijk, ook voor het naleven van de privacyregels door partijen, aan wie gemeentelijke taken in het sociaal domein zijn uitbesteed. 11

D. Bewustwording en training Voor het borgen van privacy in het sociaal domein besteden we aandacht aan bewustwording en het optimaliseren van kennis. Bestuur, medewerkers en externe partners moeten zich bij de uitoefening van hun taak bewust zijn van het feit dat er persoonsgegevens worden verwerkt en dat hiermee zorgvuldig moet worden omgegaan. En dat hiervoor wettelijke kaders zijn. Het is van groot belang dat alle medewerkers in het sociaal domein, zowel binnen als buiten de gemeente, zich bewust zijn van de regels en gedragsnormen rondom privacy. Persoonsgegevens mogen niet zomaar gedeeld worden. Hierover zal de betreffende persoon eerst moeten worden ingelicht. Een uitzondering op deze regel zijn noodsituaties. Als de veiligheid en/of gezondheid van volwassenen en/of kinderen in gevaar is, mogen de noodzakelijke persoonsgegevens worden gedeeld om het gevaar af te wenden. Achteraf wordt de betreffende persoon in kennis gesteld van de noodzaak van het delen van persoonsgegevens zonder vooraf gevraagde toestemming en zonder vooraf te informeren. In alle gevallen wordt aangegeven welke gegevens worden gedeeld, met wie en met welk doel. De inwoner moet hierover goed worden geïnformeerd. Uit dit oogpunt gaan we een informatieblad privacy opstellen. Hierin geven we beknopt aan waarom we persoonsgegevens vragen en welke rechten de inwoner heeft. Daarnaast informeren we de inwoner mondeling over het hoe en wat als het gaat om zijn persoonsgegevens. Doel is richting de inwoners transparant te zijn. Zij hebben het recht te weten wat er met hun persoonsgegevens gebeurd. Zodra het privacybeleid is vastgesteld, starten we met bewustwording en training van het bestuur, medewerkers met uitvoeringstaken in het sociaal domein en externe partners, aan wie taken in het sociaal domein zijn uitbesteed. Deze training is toegespitst op de beleidsuitgangspunten en het omgaan met privacyvraagstukken in de praktijk. E. Beheer en opslag gegevens De wijze van inrichting van informatiesystemen is inherent aan privacyrisico s. We borgen dat persoonsgegevens niet vrij toegankelijk zijn. Hiermee bedoelen we dat niet iedere medewerker automatisch toegang heeft tot alle persoonsgegevens van een bepaalde inwoner. Er wordt niet gewerkt met integrale klantdossiers. Domeindossiers zijn volledig gescheiden: domeinspecifieke gegevens slaan we op in de systemen van het betreffende domein. Om toegang te krijgen tot persoonsgegevens, die betrekking hebben op een ander domein, moet de leidinggevende aangeven tot welke persoonsgegevens toegang nodig is en met welk doel. Autorisatie vindt plaats op basis van functie. Dit betekent dat alle medewerkers met een bepaalde functie toegang hebben tot de voor die functie relevante persoonsgegevens. Deze regel geldt ook voor medewerkers van onze externe partners WIL en het Sociaal & Jeugdteam IJsselstein. In het digitaal verkeer zijn we terughoudend met het gebruik van persoonsgegevens. In die situaties, waarin het noodzakelijk is om wel digitaal persoonsgegevens uit te wisselen, zorgen we ervoor dat het digitaal verkeer voldoet aan de beveiligingseisen. Onze interne regels voor wat betreft het beheer en opslag van gegevens staan in het Documentair Informatiebeleid 2016-2018. Randvoorwaarde voor het zorgvuldig omgaan met persoonsgegevens is een goede informatiebeveiliging. Door de informatiebeveiligingsdienst gemeenten is de Baseline Informatiebeveiliging Gemeenten (BIG) opgesteld. Hierin staat het basisniveau beschreven waaraan informatiebeveiliging bij gemeenten aan moet voldoen. Alle gemeenten hebben zich gecommitteerd aan de BIG-norm en moeten in kaart brengen op welke onderwerpen de informatiebeveiliging in het sociaal domein nog niet aan de BIG voldoet en hier acties op ondernemen. 12

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback