Vergroot contrast

Sociaal domein

Gemeenten zijn verantwoordelijk voor de uitvoering van taken in het sociaal domein. Dit zijn de taken op het gebied van de Jeugdwet, de Wet maatschappelijke ondersteuning (Wmo 2015), de Participatiewet, de Wet gemeentelijke schuldhulpverlening en de Wet passend onderwijs. Hierbij verwerken gemeenten veel gegevens. Daaronder vallen ook gevoelige gegevens, zoals medische en strafrechtelijke gegevens. Dit brengt privacyrisico’s met zich mee.

Gemeenten voeren op verschillende manieren de taken in het sociaal domein uit en werken samen met verschillende organisaties. Er wordt bijvoorbeeld veel gewerkt met sociale wijkteams. Soms alleen voor de Wmo, maar soms ook voor andere wetten.

Deze nieuwe manier van werken en samenwerkingsverbanden zorgen voor nieuwe privacyrisico’s. Het is belangrijk dat gemeenten en andere betrokken partijen zich hiervan bewust zijn.

Wettelijke eisen

De gemeenten en alle andere partijen moeten zich aan de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) houden.

Zo mogen zij niet meer gegevens gebruiken dan noodzakelijk. En mogen zij de verzamelde persoonsgegevens niet zomaar voor een ander doel gebruiken. Ook moeten gemeenten de verzamelde persoonsgegevens goed beveiligen.

Verder moeten gemeenten mensen goed informeren over wat zij met hun gegevens doen. En mensen de mogelijkheid geven hun privacyrechten uit te oefenen.

Nieuws

Alle nieuwsberichten over het onderwerp 'Sociaal domein'

Alle antwoorden op mijn vragenPraktische vragen van gemeenten

  • Moet ik als gemeente een bewerkersovereenkomst afsluiten met gecontracteerde zorgaanbieders?

    Nee, tenzij deze zorgaanbieder een verwerker is in de zin van de Algemene verordening gegevensbescherming (AVG). In de praktijk is dat bijna nooit het geval.

    Verwerkingsverantwoordelijke en verwerker

    Een verwerkingsverantwoordelijke is degene die het doel en de middelen van de gegevensverwerking bepaalt. De concrete, feitelijke omstandigheden zijn hierbij belangrijker dan wat er in een contract staat.

    Een verwerker heeft als primaire taak het verwerken van persoonsgegevens voor de verwerkingsverantwoordelijke. Maar staat niet onder het rechtstreekse gezag van de verwerkingsverantwoordelijke.

    Is het verwerken van persoonsgegevens niet de primaire taak van een organisatie die in opdracht van de gemeente werkt, maar iets dat daaruit voortvloeit? Dan is deze organisatie geen verwerker, maar (mede)verwerkingsverantwoordelijke.

    Voorbeeld (mede)verwerkingsverantwoordelijke

    Een voorbeeld van een (mede)verwerkingsverantwoordelijke is een zorgorganisatie die op grond van de Wet maatschappelijke ondersteuning (Wmo) in opdracht van de gemeente huishoudelijke hulp verleent. Deze zorgorganisatie verwerkt bij die zorgverlening gegevens van de cliënten.

    Het verlenen van de huishoudelijke zorg is de primaire taak, het verwerken van de persoonsgegevens vloeit hieruit voort. De zorgorganisatie is geen verwerker, maar (mede)verwerkingsverantwoordelijke.

    Zorgaanbieder is meestal verwerkingsverantwoordelijke

    Een door de gemeente gecontracteerde zorgaanbieder is meestal een (mede)verwerkingsverantwoordelijke en geen verwerker. Zorgaanbieders hebben vaak veel zeggenschap over de geboden hulp en welke persoonsgegevens zij daarbij nodig hebben.

    Als gemeente hoeft u voor de verwerking van persoonsgegevens die voortvloeit uit de verlening van zorg dus bijna nooit een verwerkersovereenkomst af te sluiten met een gecontracteerde zorgaanbieder.

    Let op: het is wel belangrijk dat in het contract tussen de gemeente en de zorgaanbieder afspraken worden opgenomen over de verwerking van persoonsgegevens. Bijvoorbeeld over wat te doen bij een datalek.

  • Moet ik als hulpverlener cliënten afkappen als zij mij dingen vertellen waarnaar ik niet heb gevraagd?

    Nee, dat hoeft niet. Een cliënt kan u in een gesprek meer informatie geven dan gevraagd. U mag uw cliënt zijn verhaal laten doen en hoeft hem niet af te kappen. Maar u mag deze gegevens niet registreren als ze niet noodzakelijk zijn.

    De regels uit de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) gelden alleen voor de verwerking van persoonsgegevens. Op dat punt is er een belangrijk verschil tussen een gesprek en de verwerking van persoonsgegevens.

    Kort gezegd is er geen sprake van persoonsgegevens als dat wat u bespreekt niet afkomstig is uit een bestand en u deze gegevens ook niet na het gesprek opneemt in een bestand.

  • Hoe kan ik veilig mobiel werken in het sociaal domein?

    Als medewerker van een wijkteam werk je vaak op verschillende locaties bij de burger in de buurt. Bijvoorbeeld in een buurthuis, op school of bij mensen thuis. Daarom gebruiken wijkteams vaak mobiele gegevensdragers zoals smartphones, tablets en laptops. Bescherming van persoonsgegevens houdt óók beveiliging van persoonsgegevens in.

    Het gebruik van smartphones, tablets en laptops kan een risico zijn voor de beveiliging van persoonsgegevens. Zo is er een grotere kans op verlies en diefstal van apparatuur en het gebruik van (wifi-)netwerken buiten kantoor levert risico’s op voor de beveiliging. Er zijn daarom vaak extra beveiligingsmaatregelen nodig.

    Beveiligingsmaatregelen

    Allereerst is het noodzakelijk dat de gemeente beleid vaststelt dat regelt onder welke omstandigheden mobiel mag worden gewerkt. Daarin moeten de benodigde beveiligingsmaatregelen zijn uitgewerkt.  

    Zo zijn er maatregelen nodig die de impact van diefstal of verlies verminderen. Bijvoorbeeld versleuteling van de gegevens op het apparaat en het gebruik van 'sterke' wachtwoorden.

    Daarnaast zijn er maatregelen nodig om het risico van werken op bijvoorbeeld openbare wifi-hotspots, zoals in de trein of het buurthuis, te beperken. Dit beleid moet onder meer voorzien in sterke versleuteling van het netwerkverkeer door bijvoorbeeld gebruik te maken van een VPN (Virtual Private Network), een beveiligde verbinding om via het internet te communiceren met een lokaal netwerk.

    Ook is er beleid nodig voor het gebruik van apps. Voor apps die gebruik maken van diensten van een derde partij (cloud computing) is het bijvoorbeeld nodig een  bewerkersovereenkomst af te sluiten.

  • Mag ik als wijkteammedewerker mijn persoonlijke mobiele apparaten gebruiken om gegevens van cliënten te verwerken?

    De gemeente is er verantwoordelijk voor dat wijkteammedewerkers op een verantwoorde (veilige) manier omgaan met persoonsgegevens van cliënten.

    Daarom is het nodig dat dat in het beveiligingsbeleid is geregeld. En als dat beleid er is, onder welke voorwaarden wijkteammedewerkers in hun werk gebruik mogen maken van hun persoonlijke mobiele apparaten. Het zou immers kunnen dat de mobiele apparaten die wijkteammedewerkers gebruiken niet binnen het beveiligingsbeleid van het wijkteam passen.

  • Kan ik als wijkteammedewerker zelf bepalen welke apps en diensten ik voor mijn werk gebruik?

    De gemeente is er verantwoordelijk voor dat wijkteammedewerkers op een verantwoorde en veilige manier omgaan met persoonsgegevens van cliënten. De beveiliging van persoonsgegevens is niet te waarborgen als niet bekend is welke apps wijkteammedewerkers gebruiken.

    Apps kunnen gegevens onvoldoende beveiligen of ongemerkt persoonsgegevens delen met partijen die de gegevens niet mogen ontvangen. Veel apps maken bijvoorbeeld gebruik van clouddiensten.

    Dat kan betekenen dat persoonsgegevens (onbedoeld) worden verstrekt aan een derde partij. In dat geval is een bewerkersovereenkomst nodig.

    Daarom is het nodig dat het beveiligingsbeleid van de gemeente ingaat op de vraag of en zo ja, onder welke voorwaarden, wijkteammedewerkers bij de uitvoering van hun taken gebruik mogen maken van apps en diensten.

Alle antwoorden op mijn vragenVragen van gemeenten over de AVG

  • Wanneer mag ik persoonsgegevens verwerken in het sociaal domein?

    Om persoonsgegevens te mogen verwerken, moet u voldoen aan de Algemene verordening gegevensbescherming (AVG).

    Grondslag

    Een eerste vereiste uit de Algemene verordening gegevensverwerking (AVG) is dat uw gegevensverwerking gebaseerd is op een  grondslag. De AVG kent verschillende grondslagen (artikel 6 AVG). Voor elke verwerking die u uitvoert, heeft u een grondslag nodig. Zonder wettelijke grondslag is de verwerking van persoonsgegevens verboden.

    Noodzakelijkheidsvereiste

    Bij elke grondslag geldt dat de gegevensverwerking noodzakelijk moet zijn voor het doel van de verwerking. De eis van noodzakelijkheid wordt ingevuld door het proportionaliteits- en subsidiariteitsbeginsel. Dat wil zeggen dat ten eerste doel en middel met elkaar in verhouding moeten zijn. Ten tweede moet u altijd kiezen voor het minst ingrijpende middel.

    Dit noodzakelijkheidsvereiste beperkt de wijze waarop u gegevens kunt verwerken. Verwerkt u  veel meer gegevens voor een bepaald doel dan een andere gemeente? Dan is het de vraag of de hoeveelheid gegevens die u verwerkt noodzakelijk is.  

    Overige eisen AVG

    Naast een geldige grondslag voor uw gegevensverwerking stelt de AVG de volgende eisen:

    • Gebruik de verzamelde persoonsgegevens niet voor een ander (niet-verenigbaar) doel.
    • Zorg voor een goede beveiliging van de verzamelde persoonsgegevens.
    • Informeer mensen goed over wat u met hun gegevens doet.
    • Geef mensen de mogelijkheid hun privacyrechten uit te oefenen.
  • Wat is het verschil tussen taken van algemeen belang en dienst- of hulpverleningstaken?

    Voor het beoordelen van de rechtmatigheid van uw gegevensverwerking is het belangrijk om welke taken het gaat. Bijvoorbeeld bij het bepalen van de grondslag voor de verwerking. In het sociaal domein is er onderscheid tussen taken van algemeen belang en taken op het gebied van de feitelijke dienstverlening of hulpverlening.

    Taken van algemeen belang

    Taken van algemeen belang zijn de taken waarvan u als gemeente de verantwoordelijkheid niet kan overdragen. Het gaat om uw verantwoordelijkheid om zorg te dragen voor de beschikbaarheid van de voorzieningen. Bijvoorbeeld:

    • toegang verlenen tot de dienstverlening, zoals de beslissing op een aanvraag van een maatwerkvoorziening (Wmo) en de vaststelling van de rechten en plichten van jeugdigen of hun ouders (Jeugdwet);
    • beleid opstellen;
    • zorgaanbieders contracteren;
    • de dienstverlening financieren, zoals rekeningen van zorgaanbieders betalen en declaraties controleren.

    Feitelijke dienstverlening of hulpverlening

    De feitelijke dienstverlening of hulpverlening houdt de daadwerkelijke levering in van de voorziening of zorg die iemand krijgt op grond van de Jeugdwet, de Wmo, de Participatiewet of de Wet gemeentelijke schuldhulpverlening. Bijvoorbeeld het aanmeten van een traplift of het verlenen van zorg door een jeugdhulpaanbieder.

    Veel gemeenten besteden deze taken uit, maar u kunt er ook voor kiezen deze taken zelf uit te voeren. Als u de taken zelf uitvoert, onderscheidt u zich daarbij niet wezenlijk van andere dienstverleners of zorgaanbieders.

  • Mag ik iemands persoonsgegevens verwerken als degene hiervoor toestemming heeft gegeven?

    Nee, dat gaat in het sociaal domein vaak niet op. Toestemming is weliswaar een grondslag in de Algemene verordening gegevensbescheming (AVG), maar hiervoor gelden speciale eisen. Daaraan kunt u in het sociaal domein meestal niet voldoen.

    Artikel 6 van de AVG noemt toestemming van betrokkene als een grondslag voor de verwerking van persoonsgegevens. De betrokkene is degene van wie u persoonsgegevens verwerkt.

    Deze toestemming moet dan wel vrij en ondubbelzinnig zijn. Dat betekent dat betrokkenen in vrijheid hun wil moeten kunnen uiten. Ook mag er geen twijfel zijn of betrokkenen hun toestemming hebben gegeven en voor welke specifieke verwerking zij dit hebben gedaan.

    Afhankelijkheidsrelatie

    Bij de uitvoering van publiekrechtelijke taken in het sociaal domein is er meestal een afhankelijkheidsrelatie tussen de betrokkenen en u als gemeente. Weigeren mensen toestemming voor het verwerken van hun gegevens, dan kan dat bijvoorbeeld gevolgen hebben voor een gewenste voorziening.

    Daarom is er geen sprake van vrije toestemming in de zin van de AVG. Toestemming kan dan dus niet gelden als de grondslag voor de gegevensverwerking.

  • Wanneer is toestemming wél een geldige grondslag in het sociaal domein?

    Bij de feitelijke dienstverlening zijn situaties mogelijk waarin wél kan worden gesproken van vrije en ondubbelzinnige toestemming.

    Daarbij moet u steeds nagaan of er sprake is van een afhankelijkheidsrelatie. Kan iemand in vrijheid toestemming geven of weigeren? Zo ja, dan kunt u uw gegevensverwerking baseren op de grondslag toestemming (artikel 6 van de AVG). Zo nee, dan heeft u een andere grondslag nodig voor uw verwerking.

  • Wanneer mag ik toestemming vragen voor de uitvoering van taken in het sociaal domein?

    Bij de uitvoering van taken in het sociaal domein spelen verschillende soorten toestemming een rol. U kunt betrokkenen toestemming vragen in de zin van instemming met de hulpverlening of het hulpverleningsplan. Ook is het mogelijk dat u toestemming nodig heeft voor het opvragen van medische gegevens bij hulpverleners.

    Maar let op: deze toestemming kan doorgaans géén grondslag zijn voor de verwerking van persoonsgegevens bij de uitvoering van uw taken. U heeft dan dus een andere grondslag nodig voor uw gegevensverwerking.

  • Als ik geen toestemming vraag, hoe weten mensen dan dat ik hun gegevens verwerk?

    U heeft als gemeente op grond van artikel 13 en 14 van de Algemene verordening gegevensbescherming (AVG) een informatieplicht. Dit houdt in dat mensen het recht hebben om te weten dat u hun gegevens verwerkt en voor welk doel u dit doet.

    U kunt bijvoorbeeld in een brochure uitleggen waarom en hoe u persoonsgegevens verwerkt. Hoe gevoeliger de gegevens zijn, hoe meer reden u heeft om hierover gedetailleerd te informeren. Zie verder: Recht op informatie.

    Deze informatieplicht staat los van de grondslag op basis waarvan de verwerking gebeurt. De informatieplicht hangt samen met het transparantiebeginsel en is bedoeld om betrokkenen in staat te stellen hun privacyrechten uit te oefenen, zoals het recht op inzage van hun gegevens.

  • Wanneer kan ik uitvoering van een publiekrechtelijke taak als grondslag gebruiken?

    U kunt als gemeente de grondslag ‘goede vervulling van een publiekrechtelijke taak’ (artikel 6, eerste lid, onderdeel e, van de AVG) gebruiken als u publiekrechtelijke taken uitvoert. Maar gaat het om dienst- of hulpverleningstaken? Dan kunt u deze grondslag niet gebruiken.

    De grondslag kent twee criteria: er moet sprake zijn van een bestuursorgaan én van de uitvoering van publiekrechtelijke taken. U kunt dus niet al uw gegevensverwerkingen baseren op deze grondslag alleen maar omdat u als gemeente een bestuursorgaan bent.

    Verwerkt u persoonsgegevens bij feitelijke dienst- of hulpverlening, dan onderscheidt u zich niet wezenlijk van andere dienstverleners of zorgaanbieders. Daardoor is er geen sprake van een publiekrechtelijke taak en kunt u dus ook geen beroep doen op artikel 6, lid 1 onder e van de AVG. U heeft dan een andere grondslag voor uw verwerking nodig.

  • Kan een wijkteam vervulling van een taak van algemeen belang of in het kader van het openbaar gezag als grondslag gebruiken?

    Ook bij verwerking van persoonsgegevens door een wijkteam geldt dat er sprake moet zijn van én een bestuursorgaan én de uitvoering van taken van algemeen belang/in het kader van het openbaar gezag. Daarvoor is van belang hoe het wijkteam (bestuursrechtelijk) is vormgegeven en welke taken het wijkteam uitvoert.

    Het wijkteam kan alleen een beroep doen op de grondslag ‘vervulling van een taak van algemeen belang/taak in het kader van de uitoefening van het openbaar gezag” (artikel 6, onderdeel e, van de AVG) als het wijkteam kan worden aangemerkt als een bestuursorgaan én het wijkteam taken van algemeen belang / in het kader van het openbaar gezag uitvoert.

  • Kan ik gegevens uit het ene domein gebruiken voor het andere domein?

    Dat kan maar in zeer beperkte gevallen. U kunt dit niet doen voor een integrale aanpak of regie op de hulpverlening. Dat is omdat de afzonderlijke wetten in het sociaal domein (de Jeugdwet, Wmo, Participatiewet en Wet gemeentelijke schuldhulpverlening) geen integrale uitvoering van deze wetten regelen.

    De wetten geven soms wel de mogelijkheid om gegevens uit andere wetten/domeinen te gebruiken. Maar dat is altijd voor de uitvoering van taken in een specifiek domein en niet voor de integrale uitvoering van alle wetten.  

    De Jeugdwet regelt bijvoorbeeld dat u in bepaalde gevallen gegevens uit de Wmo en de Participatiewet mag gebruiken voor jeugdhulp. Maar daarmee is niet geregeld dat u deze gegevens ook mag gebruiken voor doelen buiten de Jeugdwet.

    Grondslagen voor (deel)verwerkingen

    In andere gevallen zou het mogelijk kunnen zijn dat u gegevens uit het ene domein gebruikt voor het andere domein. Maar omdat een overkoepelende wettelijke regeling ontbreekt, zal dit ingewikkeld zijn. U moet voor elke (deel)verwerking kijken of er een grondslag is in artikel 6 van de Algemene verordening gegevensbescherming (AVG).

    Daarbij is van belang de kanttekeningen over de grondslagen toestemming (artikel 6, eerste lid, onderdeel a, AVG) en een taak van openbaar belang (artikel 6, eerste lid, onderdeel e) steeds goed voor ogen te hebben.

    De Autoriteit Persoonsgegevens heeft er op 11 november 2014 op gewezen dat het in de praktijk lastig blijkt om een vereiste grondslag te vinden voor iedere verwerking van persoonsgegevens in het sociaal domein.

  • Kan ik het toestemming vragen vervangen door het transparantiebeginsel?

    Nee, dat kan niet. Het transparantiebeginsel wordt door sommige juristen genoemd als voldoende grond voor verwerking van persoonsgegevens. Dat klopt niet. U moet altijd een grondslag in de zin van de Algemene verordening gegevensbescherming (AVG) voor de verwerking van persoonsgegevens hebben. Dat kan toestemming zijn of één van de andere grondslagen.

    Daarnaast moet u als verantwoordelijke voor de gegevensverwerking natuurlijk in alle gevallen transparant zijn over welke gegevens u over uw burgers verwerkt en wat er met die gegevens gebeurt. Dit vloeit voort uit de informatieplicht uit de AVG.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenVragen van burgers over het sociaal domein

  • Mag de gemeente mijn gehele medische dossier inzien?

    Nee, de gemeente mag niet uw gehele medische dossier inzien. Ook niet als u daar toestemming voor geeft.

    Een gemeenteambtenaar mag in bepaalde gevallen een beperkt aantal medische gegevens over u verwerken. Bijvoorbeeld als dat noodzakelijk is voor de beoordeling van uw Wmo-aanvraag of voor uw vraag om jeugdhulp.

    De gemeente moet u dan uitleggen welke gegevens en waarom. En als de gemeente ook gegevens opvraagt bij uw huisarts of specialist, is daarvoor uw toestemming nodig én moet het gaan om goed afgebakende vragen.

  • Mag een wijkteam al mijn gegevens aan de gemeente doorgeven?

    Nee, dat mag niet. Een wijkteam mag wel een beperkt aantal gegevens over u aan de gemeente verstrekken, als dat nodig is voor de toekenning of afhandeling van uw hulpvraag. Het wijkteam moet u in elk geval informeren over wat er met uw gegevens gebeurt. Vraag daar vooral naar.

  • Wat moet ik allemaal vertellen in een keukentafelgesprek?

    U hoeft in een keukentafelgesprek alleen de gegevens te verstrekken die noodzakelijk zijn om uw hulpvraag te beoordelen. U bepaalt zelf wat uw hulpvraag is.

    Uitsluitend met uw instemming kan uw hulpvraag ook worden uitgebreid naar andere leefgebieden. De gemeente moet onderbouwen welke gegevens om welke reden noodzakelijk zijn.

    De gemeente mag uw aanvraag niet afwijzen als u niet meer gegevens wilt verstrekken dan noodzakelijk is voor uw hulpvraag.        

  • Is mijn toestemming eigenlijk wel geldig? Ik kan toch moeilijk nee zeggen?

    Uw toestemming voor de verwerking van uw gegevens is alleen geldig als u in vrijheid ja of nee kunt zeggen. Voor de aanvraag van een voorziening (bijvoorbeeld een traplift) kunt u doorgaans niet weigeren de daarvoor benodigde persoonsgegevens te verstrekken. Bij het opvragen van gegevens voor de hulpverlening is die vrijheid er vaak wel.

    Naast de toestemming die u kan worden gevraagd voor de verwerking van uw persoonsgegevens, kan u ook om toestemming worden gevraagd om de geheimheimhoudingsplicht van uw hulpverlener te doorbreken. Dit is een ander soort toestemming.

  • Mag de gemeente zonder mijn toestemming gegevens over mij verwerken?

    Het is mogelijk dat dat de gemeente zonder uw toestemming gegevens over u mag verwerken. Bijvoorbeeld omdat de wet regelt dat de gemeente dat mag.

  • Mag een wijkteam mij vragen om een algemeen toestemmingsformulier te ondertekenen?

    Een wijkteam mag u in elk geval niet vragen een toestemmingsformulier te ondertekenen waarin staat dat u toestemming geeft om alle gegevens op te vragen en te verstrekken die nodig zijn voor het behandelen van uw hulpvraag.

    Geeft u toestemming voor het opvragen of verstrekken van uw persoonsgegevens? Dan moet het duidelijk voor u zijn om welke gegevens het gaat, waarom ze nodig zijn en met wie de gegevens eventueel zullen worden gedeeld.

    U moet vervolgens kunnen aangeven voor welke verstrekking u wel en voor welke verstrekking u geen toestemming geeft. De gemeente moet u ook informeren over wat er gebeurt als u geen toestemming geeft.

  • Mag ik beperkt toestemming geven (op bijvoorbeeld een toestemmingsformulier)?

    Ja, dat mag. U bepaalt zelf voor welke verstrekkingen u toestemming geeft. Als u bijvoorbeeld vindt dat het toestemmingsformulier over te veel partijen of te veel gegevens gaat mag u op het formulier schrijven dat u slechts voor een bepaald deel toestemming geeft.

    Let wel op dat als u geen toestemming geeft voor het opvragen van noodzakelijke gegevens bij bijvoorbeeld uw behandeld arts, dat gevolgen kan hebben voor uw aanvraag. De gemeente moet u informeren wat de consequentie van het weigeren van toestemming is.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden