Sociaal domein

Nee, tenzij deze zorgaanbieder een verwerker is in de zin van de Algemene verordening gegevensbescherming (AVG). In de praktijk is dat bijna nooit het geval.

Verwerkingsverantwoordelijke en verwerker

Een verwerkingsverantwoordelijke is degene die het doel en de middelen van de gegevensverwerking bepaalt. De concrete, feitelijke omstandigheden zijn hierbij belangrijker dan wat er in een contract staat.

Een verwerker heeft als primaire taak het verwerken van persoonsgegevens voor de verwerkingsverantwoordelijke. Maar staat niet onder het rechtstreekse gezag van de verwerkingsverantwoordelijke.

Is het verwerken van persoonsgegevens niet de primaire taak van een organisatie die in opdracht van de gemeente werkt, maar iets dat daaruit voortvloeit? Dan is deze organisatie geen verwerker, maar (mede)verwerkingsverantwoordelijke.

Voorbeeld (mede)verwerkingsverantwoordelijke

Een voorbeeld van een (mede)verwerkingsverantwoordelijke is een zorgorganisatie die op grond van de Wet maatschappelijke ondersteuning (Wmo) in opdracht van de gemeente huishoudelijke hulp verleent. Deze zorgorganisatie verwerkt bij die zorgverlening gegevens van de cliënten.

Het verlenen van de huishoudelijke zorg is de primaire taak, het verwerken van de persoonsgegevens vloeit hieruit voort. De zorgorganisatie is geen verwerker, maar (mede)verwerkingsverantwoordelijke.

Zorgaanbieder is meestal verwerkingsverantwoordelijke

Een door de gemeente gecontracteerde zorgaanbieder is meestal een (mede)verwerkingsverantwoordelijke en geen verwerker. Zorgaanbieders hebben vaak veel zeggenschap over de geboden hulp en welke persoonsgegevens zij daarbij nodig hebben.

Als gemeente hoeft u voor de verwerking van persoonsgegevens die voortvloeit uit de verlening van zorg dus bijna nooit een verwerkersovereenkomst af te sluiten met een gecontracteerde zorgaanbieder.

Let op: het is wel belangrijk dat in het contract tussen de gemeente en de zorgaanbieder afspraken worden opgenomen over de verwerking van persoonsgegevens. Bijvoorbeeld over wat te doen bij een datalek.

Nee, dat hoeft niet. Een cliënt kan u in een gesprek meer informatie geven dan gevraagd. U mag uw cliënt zijn verhaal laten doen en hoeft hem niet af te kappen. Maar u mag deze gegevens niet registreren als ze niet noodzakelijk zijn.

De regels uit de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) gelden alleen voor de verwerking van persoonsgegevens. Op dat punt is er een belangrijk verschil tussen een gesprek en de verwerking van persoonsgegevens.

Kort gezegd is er geen sprake van een verwerking van persoonsgegevens als dat wat u bespreekt niet afkomstig is uit een bestand en u deze gegevens ook niet na het gesprek opneemt in een bestand.

Als medewerker van een wijkteam werk je vaak op verschillende locaties bij de burger in de buurt. Bijvoorbeeld in een buurthuis, op school of bij mensen thuis. Daarom gebruiken wijkteams vaak mobiele gegevensdragers zoals smartphones, tablets en laptops. Bescherming van persoonsgegevens houdt óók beveiliging van persoonsgegevens in.

Het gebruik van smartphones, tablets en laptops kan een risico zijn voor de beveiliging van persoonsgegevens. Zo is er een grotere kans op verlies en diefstal van apparatuur en het gebruik van (wifi-)netwerken buiten kantoor levert risico’s op voor de beveiliging. Er zijn daarom vaak extra beveiligingsmaatregelen nodig.

Beveiligingsmaatregelen

Allereerst is het noodzakelijk dat de gemeente beleid vaststelt dat regelt onder welke omstandigheden mobiel mag worden gewerkt. Daarin moeten de benodigde beveiligingsmaatregelen zijn uitgewerkt.  

Zo zijn er maatregelen nodig die de impact van diefstal of verlies verminderen. Bijvoorbeeld versleuteling van de gegevens op het apparaat en het gebruik van 'sterke' wachtwoorden.

Daarnaast zijn er maatregelen nodig om het risico van werken op bijvoorbeeld openbare wifi-hotspots, zoals in de trein of het buurthuis, te beperken. Dit beleid moet onder meer voorzien in sterke versleuteling van het netwerkverkeer door bijvoorbeeld gebruik te maken van een VPN (Virtual Private Network), een beveiligde verbinding om via het internet te communiceren met een lokaal netwerk.

Ook is er beleid nodig voor het gebruik van apps. Voor apps die gebruik maken van diensten van een derde partij (cloud computing) is het bijvoorbeeld nodig een verwerkersovereenkomst af te sluiten.

De gemeente is er verantwoordelijk voor dat wijkteammedewerkers op een verantwoorde (veilige) manier omgaan met persoonsgegevens van cliënten.

Daarom is het nodig dat dat in het beveiligingsbeleid is geregeld. En als dat beleid er is, onder welke voorwaarden wijkteammedewerkers in hun werk gebruik mogen maken van hun persoonlijke mobiele apparaten. Het zou immers kunnen dat de mobiele apparaten die wijkteammedewerkers gebruiken niet binnen het beveiligingsbeleid van het wijkteam passen.

De gemeente is er verantwoordelijk voor dat wijkteammedewerkers op een verantwoorde en veilige manier omgaan met persoonsgegevens van cliënten. De beveiliging van persoonsgegevens is niet te waarborgen als niet bekend is welke apps wijkteammedewerkers gebruiken.

Apps kunnen gegevens onvoldoende beveiligen of ongemerkt persoonsgegevens delen met partijen die de gegevens niet mogen ontvangen. Veel apps maken bijvoorbeeld gebruik van clouddiensten.

Dat kan betekenen dat persoonsgegevens (onbedoeld) worden verstrekt aan een derde partij. In dat geval is een bewerkersovereenkomst nodig.

Daarom is het nodig dat het beveiligingsbeleid van de gemeente ingaat op de vraag of en zo ja, onder welke voorwaarden, wijkteammedewerkers bij de uitvoering van hun taken gebruik mogen maken van apps en diensten.

Om persoonsgegevens te mogen verwerken, moet u voldoen aan de Algemene verordening gegevensbescherming (AVG).

Grondslag

Een eerste vereiste uit de Algemene verordening gegevensverwerking (AVG) is dat uw gegevensverwerking gebaseerd is op een  grondslag. De AVG kent verschillende grondslagen (artikel 6 AVG). Voor elke verwerking die u uitvoert, heeft u een grondslag nodig. Zonder wettelijke grondslag is de verwerking van persoonsgegevens verboden.

Noodzakelijkheidsvereiste

Bij elke grondslag geldt dat de gegevensverwerking noodzakelijk moet zijn voor het doel van de verwerking. De eis van noodzakelijkheid wordt ingevuld door het proportionaliteits- en subsidiariteitsbeginsel. Dat wil zeggen dat ten eerste doel en middel met elkaar in verhouding moeten zijn. Ten tweede moet u altijd kiezen voor het minst ingrijpende middel.

Dit noodzakelijkheidsvereiste beperkt de wijze waarop u gegevens kunt verwerken. Verwerkt u  veel meer gegevens voor een bepaald doel dan een andere gemeente? Dan is het de vraag of de hoeveelheid gegevens die u verwerkt noodzakelijk is.  

Overige eisen AVG

Naast een geldige grondslag voor uw gegevensverwerking stelt de AVG de volgende eisen:

• Gebruik de verzamelde persoonsgegevens niet voor een ander (niet-verenigbaar) doel.
• Zorg voor een goede beveiliging van de verzamelde persoonsgegevens.
• Informeer mensen goed over wat u met hun gegevens doet.
• Geef mensen de mogelijkheid hun privacyrechten uit te oefenen.

Voor het beoordelen van de rechtmatigheid van uw gegevensverwerking is het belangrijk om welke taken het gaat. Bijvoorbeeld bij het bepalen van de grondslag voor de verwerking. In het sociaal domein is er onderscheid tussen taken van algemeen belang en taken op het gebied van de feitelijke dienstverlening of hulpverlening.

Taken van algemeen belang

Taken van algemeen belang zijn de taken waarvan u als gemeente de verantwoordelijkheid niet kan overdragen. Het gaat om uw verantwoordelijkheid om zorg te dragen voor de beschikbaarheid van de voorzieningen. Bijvoorbeeld:

• toegang verlenen tot de dienstverlening, zoals de beslissing op een aanvraag van een maatwerkvoorziening (Wmo) en de vaststelling van de rechten en plichten van jeugdigen of hun ouders (Jeugdwet);
• beleid opstellen;
• zorgaanbieders contracteren;
• de dienstverlening financieren, zoals rekeningen van zorgaanbieders betalen en declaraties controleren.

Feitelijke dienstverlening of hulpverlening

De feitelijke dienstverlening of hulpverlening houdt de daadwerkelijke levering in van de voorziening of zorg die iemand krijgt op grond van de Jeugdwet, de Wmo, de Participatiewet of de Wet gemeentelijke schuldhulpverlening. Bijvoorbeeld het aanmeten van een traplift of het verlenen van zorg door een jeugdhulpaanbieder.

Veel gemeenten besteden deze taken uit, maar u kunt er ook voor kiezen deze taken zelf uit te voeren. Als u de taken zelf uitvoert, onderscheidt u zich daarbij niet wezenlijk van andere dienstverleners of zorgaanbieders.

Nee, dat gaat in het sociaal domein vaak niet op. Toestemming is weliswaar een grondslag in de Algemene verordening gegevensbescheming (AVG), maar hiervoor gelden speciale eisen. Daaraan kunt u in het sociaal domein meestal niet voldoen.

Artikel 6 van de AVG noemt toestemming van betrokkene als een grondslag voor de verwerking van persoonsgegevens. De betrokkene is degene van wie u persoonsgegevens verwerkt.

Deze toestemming moet dan wel vrij en ondubbelzinnig zijn. Dat betekent dat betrokkenen in vrijheid hun wil moeten kunnen uiten. Ook mag er geen twijfel zijn of betrokkenen hun toestemming hebben gegeven en voor welke specifieke verwerking zij dit hebben gedaan.

Afhankelijkheidsrelatie

Bij de uitvoering van publiekrechtelijke taken in het sociaal domein is er meestal een afhankelijkheidsrelatie tussen de betrokkenen en u als gemeente. Weigeren mensen toestemming voor het verwerken van hun gegevens, dan kan dat bijvoorbeeld gevolgen hebben voor een gewenste voorziening.

Daarom is er geen sprake van vrije toestemming in de zin van de AVG. Toestemming kan dan dus niet gelden als de grondslag voor de gegevensverwerking.

Bij de feitelijke dienstverlening zijn situaties mogelijk waarin wél kan worden gesproken van vrije en ondubbelzinnige toestemming.

Daarbij moet u steeds nagaan of er sprake is van een afhankelijkheidsrelatie. Kan iemand in vrijheid toestemming geven of weigeren? Zo ja, dan kunt u uw gegevensverwerking baseren op de grondslag toestemming (artikel 6 van de AVG). Zo nee, dan heeft u een andere grondslag nodig voor uw verwerking.

Bij de uitvoering van taken in het sociaal domein spelen verschillende soorten toestemming een rol. U kunt betrokkenen toestemming vragen in de zin van instemming met de hulpverlening of het hulpverleningsplan. Ook is het mogelijk dat u toestemming nodig heeft voor het opvragen van medische gegevens bij hulpverleners.

Maar let op: deze toestemming kan doorgaans géén grondslag zijn voor de verwerking van persoonsgegevens bij de uitvoering van uw taken. U heeft dan dus een andere grondslag nodig voor uw gegevensverwerking.

U heeft als gemeente op grond van artikel 13 en 14 van de Algemene verordening gegevensbescherming (AVG) een informatieplicht. Dit houdt in dat mensen het recht hebben om te weten dat u hun gegevens verwerkt en voor welk doel u dit doet.

U kunt bijvoorbeeld in een brochure uitleggen waarom en hoe u persoonsgegevens verwerkt. Hoe gevoeliger de gegevens zijn, hoe meer reden u heeft om hierover gedetailleerd te informeren. Zie verder: Recht op informatie.

Deze informatieplicht staat los van de grondslag op basis waarvan de verwerking gebeurt. De informatieplicht hangt samen met het transparantiebeginsel en is bedoeld om betrokkenen in staat te stellen hun privacyrechten uit te oefenen, zoals het recht op inzage van hun gegevens.

Wilt u zich op deze grondslag beroepen? Dan kan dat alleen als u een publieke taak uitoefent in het algemeen belang of openbaar gezag. Ook moet de verwerking noodzakelijk zijn voor het uitvoeren van uw wettelijke taak.

Wettelijke taken

Het gaat bij deze grondslag om wettelijke taken die relevant zijn voor uw gemeente. Voert u taken uit die ook normaal zijn voor gewone (private) partijen? Dan kunt u dus geen beroep doen op deze grondslag.

U heeft dan net als “gewone” organisaties een andere grondslag nodig voor de verwerking van persoonsgegevens. Vaak zal dit de grondslag ‘noodzakelijk voor uitvoering overeenkomst’ of ‘toestemming’ kunnen zijn. 

Het moet voor mensen ook duidelijk zijn dat u hun persoonsgegevens verwerkt voor de uitoefening van die specifieke wettelijke taak.

Heeft u de persoonsgegevens écht nodig?

De verwerking van de persoonsgegevens moet noodzakelijk zijn om uw wettelijke taak goed te kunnen vervullen. Dus als er een manier is om daarbij géén persoonsgegevens te verwerken dan heeft dat de voorkeur.

Over de AVG-grondslagen

Organisaties mogen alleen persoonsgegevens verwerken als zij zich kunnen baseren op 1 van de 6 grondslagen van de Algemene verordening gegevensbescherming (AVG). 

Ook bij verwerking van persoonsgegevens door een wijkteam geldt dat er sprake moet zijn van én een bestuursorgaan én de uitvoering van taken van algemeen belang/in het kader van het openbaar gezag. Daarvoor is van belang hoe het wijkteam (bestuursrechtelijk) is vormgegeven en welke taken het wijkteam uitvoert.

Het wijkteam kan alleen een beroep doen op de grondslag ‘vervulling van een taak van algemeen belang/taak in het kader van de uitoefening van het openbaar gezag” (artikel 6, onderdeel e, van de AVG) als het wijkteam kan worden aangemerkt als een bestuursorgaan én het wijkteam taken van algemeen belang / in het kader van het openbaar gezag uitvoert.

Dat kan maar in zeer beperkte gevallen. U kunt dit niet doen voor een integrale aanpak of regie op de hulpverlening. Dat is omdat de afzonderlijke wetten in het sociaal domein (de Jeugdwet, Wmo, Participatiewet en Wet gemeentelijke schuldhulpverlening) geen integrale uitvoering van deze wetten regelen.

De wetten geven soms wel de mogelijkheid om gegevens uit andere wetten/domeinen te gebruiken. Maar dat is altijd voor de uitvoering van taken in een specifiek domein en niet voor de integrale uitvoering van alle wetten.  

De Jeugdwet regelt bijvoorbeeld dat u in bepaalde gevallen gegevens uit de Wmo en de Participatiewet mag gebruiken voor jeugdhulp. Maar daarmee is niet geregeld dat u deze gegevens ook mag gebruiken voor doelen buiten de Jeugdwet.

Grondslagen voor (deel)verwerkingen

In andere gevallen zou het mogelijk kunnen zijn dat u gegevens uit het ene domein gebruikt voor het andere domein. Maar omdat een overkoepelende wettelijke regeling ontbreekt, zal dit ingewikkeld zijn. U moet voor elke (deel)verwerking kijken of er een grondslag is in artikel 6 van de Algemene verordening gegevensbescherming (AVG).

Daarbij is van belang de kanttekeningen over de grondslagen toestemming (artikel 6, eerste lid, onderdeel a, AVG) en een taak van openbaar belang (artikel 6, eerste lid, onderdeel e) steeds goed voor ogen te hebben.

De Autoriteit Persoonsgegevens heeft er op 11 november 2014 op gewezen dat het in de praktijk lastig blijkt om een vereiste grondslag te vinden voor iedere verwerking van persoonsgegevens in het sociaal domein.

Nee, dat kan niet. Het transparantiebeginsel wordt door sommige juristen genoemd als voldoende grond voor verwerking van persoonsgegevens. Dat klopt niet. U moet altijd een grondslag in de zin van de Algemene verordening gegevensbescherming (AVG) voor de verwerking van persoonsgegevens hebben. Dat kan toestemming zijn of één van de andere grondslagen.

Daarnaast moet u als verantwoordelijke voor de gegevensverwerking natuurlijk in alle gevallen transparant zijn over welke gegevens u over uw burgers verwerkt en wat er met die gegevens gebeurt. Dit vloeit voort uit de informatieplicht uit de AVG.

Nee, de gemeente mag niet uw gehele medische dossier inzien. Ook niet als u daar toestemming voor geeft.

Een gemeenteambtenaar mag in bepaalde gevallen een beperkt aantal medische gegevens over u verwerken. Bijvoorbeeld als dat noodzakelijk is voor de beoordeling van uw Wmo-aanvraag of voor uw vraag om jeugdhulp.

De gemeente moet u dan uitleggen welke gegevens en waarom. En als de gemeente ook gegevens opvraagt bij uw huisarts of specialist, is daarvoor uw toestemming nodig én moet het gaan om goed afgebakende vragen.

Nee, dat mag niet. Een wijkteam mag wel een beperkt aantal gegevens over u aan de gemeente verstrekken, als dat nodig is voor de toekenning of afhandeling van uw hulpvraag. Het wijkteam moet u in elk geval informeren over wat er met uw gegevens gebeurt. Vraag daar vooral naar.

U hoeft in een keukentafelgesprek alleen de gegevens te verstrekken die noodzakelijk zijn om uw hulpvraag te beoordelen. U bepaalt zelf wat uw hulpvraag is.

Uitsluitend met uw instemming kan uw hulpvraag ook worden uitgebreid naar andere leefgebieden. De gemeente moet onderbouwen welke gegevens om welke reden noodzakelijk zijn.

De gemeente mag uw aanvraag niet afwijzen als u niet meer gegevens wilt verstrekken dan noodzakelijk is voor uw hulpvraag.        

Uw toestemming voor de verwerking van uw gegevens is alleen geldig als u in vrijheid ja of nee kunt zeggen. Voor de aanvraag van een voorziening (bijvoorbeeld een traplift) kunt u doorgaans niet weigeren de daarvoor benodigde persoonsgegevens te verstrekken. Bij het opvragen van gegevens voor de hulpverlening is die vrijheid er vaak wel.

Naast de toestemming die u kan worden gevraagd voor de verwerking van uw persoonsgegevens, kan u ook om toestemming worden gevraagd om de geheimheimhoudingsplicht van uw hulpverlener te doorbreken. Dit is een ander soort toestemming.

Het is mogelijk dat dat de gemeente zonder uw toestemming gegevens over u mag verwerken. Bijvoorbeeld omdat de wet regelt dat de gemeente dat mag.

Een wijkteam mag u in elk geval niet vragen een toestemmingsformulier te ondertekenen waarin staat dat u toestemming geeft om alle gegevens op te vragen en te verstrekken die nodig zijn voor het behandelen van uw hulpvraag.

Geeft u toestemming voor het opvragen of verstrekken van uw persoonsgegevens? Dan moet het duidelijk voor u zijn om welke gegevens het gaat, waarom ze nodig zijn en met wie de gegevens eventueel zullen worden gedeeld.

U moet vervolgens kunnen aangeven voor welke verstrekking u wel en voor welke verstrekking u geen toestemming geeft. De gemeente moet u ook informeren over wat er gebeurt als u geen toestemming geeft.

Ja, dat mag. U bepaalt zelf voor welke verstrekkingen u toestemming geeft. Als u bijvoorbeeld vindt dat het toestemmingsformulier over te veel partijen of te veel gegevens gaat mag u op het formulier schrijven dat u slechts voor een bepaald deel toestemming geeft.

Let wel op dat als u geen toestemming geeft voor het opvragen van noodzakelijke gegevens bij bijvoorbeeld uw behandeld arts, dat gevolgen kan hebben voor uw aanvraag. De gemeente moet u informeren wat de consequentie van het weigeren van toestemming is.