Integrale gegevensverwerking in wijkteams: hoe?


In februari volgde ik één dag van de cursus ‘Privacy en informatie-uitwisseling in zorg en sociaal domein‘ en wel de dag over ‘Informatie-uitwisseling en integraal samenwerken’. In april was ik aanwezig op het congres ‘Privacy en gegevensuitwisseling in wijkteams‘. Op dergelijke dagen komt het lastige punt op tafel: hoe nu om te gaan met sector/domein overstijgende gegevensuitwisseling c.q. -verwerking? Wanneer mag dat nu wel en niet, welke informatie

wel/niet en met wie wel/niet? Dit zijn met recht complexe vragen waar dergelijke dagen ook geen sluitend antwoord op (kunnen) geven. Niettemin helpt het wel om (verder) scherp te krijgen hoe integrale gegevensverwerking in wijkteams kan plaatsvinden.

Wat is nu eigenlijk het probleem?

Voor eenieder die het probleem niet scherp heeft, hierbij een poging het samen te vatten. De ambities bij de drie decentralisaties zijn grofweg als volgt op te sommen:

  • Versterken van de eigen kracht van de burger, alsook de regie en de zelfredzaamheid
  • Zoveel mogelijk praten mét de burger in plaats van óver de burger
  • Eén gezin, één plan, één regisseur. Breed en ontschot kijken. (bij multiproblematiek)
  • (Fors bezuinigen)

Om bovenstaande ambities waar te kunnen maken is het vanzelfsprekend noodzakelijk persoonsgegevens te verwerken van de burger. Dat mag alleen als daarvoor een grondslag is. Deze grondslag is de juridische basis voor de gegevensverwerking en in de Wet bescherming persoonsgegevens (Wbp) vind je ze alle zes. Zonder grondslag kan de gegevensverwerking niet plaatsvinden. Gemeenten maken veelvuldig gebruik van de grond ‘publiekrechtelijke taak’ (Wbp, art. 8e):

De gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt.

De Jeugdwet, de WMO en de Participatiewet bieden elk afzonderlijk de mogelijkheid voor gemeenten gegevens te verwerken voor het uitvoeren van deze wetten (taken) onder bovenstaande grondslag. Maar in het kader van ‘integrale dienstverlening’, ofwel: over de schotten tussen deze wetten heen, vindt ook integrale gegevensverwerking plaats. Dus niet per afzonderlijke wet, maar integraal. Alleen is daar geen grondslag voor!

Uitwijken naar andere grondslagen?

De landelijke overheid heeft in haar woordkeus en ambities informeel druk uitgeoefend op gemeenten om zoveel mogelijk domein overstijgend te (gaan) werken, maar diezelfde overheid heeft verzuimd daar de bijpassende grondslag voor te ‘leveren’. Werkt jouw gemeente (wijkteam) ook integraal? Of in andere woorden: vraagt jouw gemeente (wijkteam) ook standaard ‘breed uit’ bij het keukentafelgesprek (ZRM)? Dan is de kans zeer groot dat dagelijks de privacywetgeving overtreden wordt.

In sommige gevallen kan je terugvallen op de grondslag ‘vitaal belang’ (Wbp, art. 8d) . Je redeneert dan dat de integrale gegevensverwerking noodzakelijk is vanwege een vitaal levens- of gezondheidsbelang. Dit zal slecht in enkele situaties het geval zijn. Een andere route is grondslag ‘toestemming’ (Wbp, art. 8a). Je vraagt dan gewoonweg de betrokkene(n) om zijn/haar ondubbelzinnige toestemming voor de integrale gegevensverwerking.

Toestemming als grondslag is echter problematisch omdat de betrokkene zijn/haar toestemming gericht, op informatie berustend en in vrijheid moet kunnen geven. Dit houdt in dat de betrokkene zich niet verplicht mag voelen tot het geven van toestemming. En gezien de afhankelijkheidsrelatie van de burger richting de gemeente valt hier zelden aan te voldoen. En voor wie denkt dat de AVG uitkomst biedt:

“Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend.”

Integrale gegevensverwerking: hoe dan wel?

Mogelijk ervaar je nu zelf tijdens het lezen ook de spanning: enerzijds de wens/ambitie/opdracht (doorhalen wat je niet van toepassing vindt) de burger zo goed mogelijk te helpen en anderzijds de privacywetgeving die eist dat de verwerking van persoonsgegevens een juridische basis kent. Laten we er vanuit gaan dat de landelijke overheid niet op korte termijn zal voorzien in een ‘extra grondslag’ die domeinoverstijgende, integrale gegevensverwerking in het sociaal domein mogelijk maakt. Een mogelijke oplossing is het aanbieden van ‘gegevensverwerking op maat’.

Daarmee wordt integrale gegevensverwerking optioneel, en niet de standaard werkwijze zoals nu wel vaak het geval is. De gemeente verwerkt zoveel mogelijk ‘enkelvoudig’ persoonsgegevens (dus binnen de schotten van de drie wetten). Waar nodig biedt ze de burger de optie om vanuit integrale dienstverlening ook integraal gegevens te gaan verwerken. Uiteraard moet je dit uitleggen als gemeente: waarom zijn gegevens uit andere domeinen nodig?

Ik schat in dat in veel, maar niet alle, gevallen de burger het belang inziet van integrale, domein overstijgende gegevensverwerking. En doet hij/zij dat niet, en geeft de persoon dus geen toestemming, dan rest de gemeente weinig anders dan een zo goed mogelijke, ‘enkelvoudige’ afhandeling binnen de individuele kaders van de Jeugdwet, WMO en/of Participatiewet. Daarmee wordt tevens goed invulling gegeven aan twee belangrijke principes uit de Wbp: doelbinding en ‘niet meer dan noodzakelijk’.

Maar we hebben al (inrichtings)keuzes gemaakt…

Lezers die belang hechten aan privacy zullen bovenstaande insteek hopelijk kunnen waarderen. Immers, het dwingt de gemeente om open te zijn richting burgers over de gegevensverwerking en hem/haar onmiddellijk bij zorgen en overleg daarover te betrekken. Het is ook op dit gebied ‘de burger centraal’ stellen, en mét de burger praten ipv over de burger. En vermoedelijk zal dit alles drempelverlagend werken waardoor de burger de weg naar de gemeenten c.q. het wijkteams sneller weet te vinden. So far, so good.

In de praktijk zijn wijkteams echter al op een bepaalde manier georganiseerd. De werkwijze is na een aantal jaren geoptimaliseerd, ondersteunende applicaties zijn conform ingericht en de werkdruk wordt in het algemeen als hoog ervaren. Hoe rijm je dat nu met het idee over ‘optionele integrale gegevensverwerking’? Dit vergt namelijk herontwerp van werkprocessen, herinrichting van applicaties en (regie)systemen en daarmee dus ook: tijd en geld. Hoe dit op te lossen is kan ik je op dit moment niet vertellen.

De winst voor nu

Maar laten we alstublieft voor nu overeenstemming bereiken over het feit dat veel gemeenten (onbewust) structureel de privacywetgeving overtreden; gegevens te makkelijk en te vaak domein overstijgend verwerkt worden zonder juridische basis en zonder de betrokkene(n) hierover te informeren. En dat is de gemeenten niet zozeer aan te rekenen, maar meer de landelijke overheid dit de principes ‘privacy by default’ en ‘privacy by design’ niet (voldoende) heeft toegepast op de decentralisaties.

Op het moment dat we inzien dat de huidige situatie om die redenen niet wenselijk en niet houdbaar is, kunnen we samen werken aan een oplossing. En de Autoriteit Persoonsgegevens ‘stimuleert’ ook door in haar ‘Agenda 2017‘ bijzondere persoonsgegevens als één van haar thema’s te benoemen.

Deze blog is deels gebaseerd op de presentatie die Lydia Janssen hield tijdens het congres ‘Privacy en gegevensuitwisseling in wijkteams’ op 19 april in Amersfoort.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.