Skip to main content

Integrale gegevensverwerking in wijkteams: hoe?

| IB&P | ,

In februari volgde ik één dag van de cursus ‘Privacy en informatie-uitwisseling in zorg en sociaal domein’ en wel de dag over ‘Informatie-uitwisseling en integraal samenwerken’. In april was ik aanwezig op het congres ‘Privacy en gegevensuitwisseling in wijkteams‘. Op dergelijke dagen komt het lastige punt op tafel: hoe nu om te gaan met sector/domein overstijgende gegevensuitwisseling c.q. -verwerking? Wanneer mag dat nu wel en niet, welke informatie

wel/niet en met wie wel/niet? Dit zijn met recht complexe vragen waar dergelijke dagen ook geen sluitend antwoord op (kunnen) geven. Niettemin helpt het wel om (verder) scherp te krijgen hoe integrale gegevensverwerking in wijkteams kan plaatsvinden.

Wat is nu eigenlijk het probleem?

Voor eenieder die het probleem niet scherp heeft, hierbij een poging het samen te vatten. De ambities bij de drie decentralisaties zijn grofweg als volgt op te sommen:

  • Versterken van de eigen kracht van de burger, alsook de regie en de zelfredzaamheid
  • Zoveel mogelijk praten mét de burger in plaats van óver de burger
  • Eén gezin, één plan, één regisseur. Breed en ontschot kijken. (bij multiproblematiek)
  • (Fors bezuinigen)

Om bovenstaande ambities waar te kunnen maken is het vanzelfsprekend noodzakelijk persoonsgegevens te verwerken van de burger. Dat mag alleen als daarvoor een grondslag is. Deze grondslag is de juridische basis voor de gegevensverwerking en in de Wet bescherming persoonsgegevens (Wbp) vind je ze alle zes. Zonder grondslag kan de gegevensverwerking niet plaatsvinden. Gemeenten maken veelvuldig gebruik van de grond ‘publiekrechtelijke taak’ (Wbp, art. 8e):

De gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt.

De Jeugdwet, de WMO en de Participatiewet bieden elk afzonderlijk de mogelijkheid voor gemeenten gegevens te verwerken voor het uitvoeren van deze wetten (taken) onder bovenstaande grondslag. Maar in het kader van ‘integrale dienstverlening’, ofwel: over de schotten tussen deze wetten heen, vindt ook integrale gegevensverwerking plaats. Dus niet per afzonderlijke wet, maar integraal. Alleen is daar geen grondslag voor!

Uitwijken naar andere grondslagen?

De landelijke overheid heeft in haar woordkeus en ambities informeel druk uitgeoefend op gemeenten om zoveel mogelijk domein overstijgend te (gaan) werken, maar diezelfde overheid heeft verzuimd daar de bijpassende grondslag voor te ‘leveren’. Werkt jouw gemeente (wijkteam) ook integraal? Of in andere woorden: vraagt jouw gemeente (wijkteam) ook standaard ‘breed uit’ bij het keukentafelgesprek (ZRM)? Dan is de kans zeer groot dat dagelijks de privacywetgeving overtreden wordt.

In sommige gevallen kan je terugvallen op de grondslag ‘vitaal belang’ (Wbp, art. 8d) . Je redeneert dan dat de integrale gegevensverwerking noodzakelijk is vanwege een vitaal levens- of gezondheidsbelang. Dit zal slecht in enkele situaties het geval zijn. Een andere route is grondslag ’toestemming’ (Wbp, art. 8a). Je vraagt dan gewoonweg de betrokkene(n) om zijn/haar ondubbelzinnige toestemming voor de integrale gegevensverwerking.

Toestemming als grondslag is echter problematisch omdat de betrokkene zijn/haar toestemming gericht, op informatie berustend en in vrijheid moet kunnen geven. Dit houdt in dat de betrokkene zich niet verplicht mag voelen tot het geven van toestemming. En gezien de afhankelijkheidsrelatie van de burger richting de gemeente valt hier zelden aan te voldoen. En voor wie denkt dat de AVG uitkomst biedt:

“Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend.”

Integrale gegevensverwerking: hoe dan wel?

Mogelijk ervaar je nu zelf tijdens het lezen ook de spanning: enerzijds de wens/ambitie/opdracht (doorhalen wat je niet van toepassing vindt) de burger zo goed mogelijk te helpen en anderzijds de privacywetgeving die eist dat de verwerking van persoonsgegevens een juridische basis kent. Laten we er vanuit gaan dat de landelijke overheid niet op korte termijn zal voorzien in een ‘extra grondslag’ die domeinoverstijgende, integrale gegevensverwerking in het sociaal domein mogelijk maakt. Een mogelijke oplossing is het aanbieden van ‘gegevensverwerking op maat’.

Daarmee wordt integrale gegevensverwerking optioneel, en niet de standaard werkwijze zoals nu wel vaak het geval is. De gemeente verwerkt zoveel mogelijk ‘enkelvoudig’ persoonsgegevens (dus binnen de schotten van de drie wetten). Waar nodig biedt ze de burger de optie om vanuit integrale dienstverlening ook integraal gegevens te gaan verwerken. Uiteraard moet je dit uitleggen als gemeente: waarom zijn gegevens uit andere domeinen nodig?

Ik schat in dat in veel, maar niet alle, gevallen de burger het belang inziet van integrale, domein overstijgende gegevensverwerking. En doet hij/zij dat niet, en geeft de persoon dus geen toestemming, dan rest de gemeente weinig anders dan een zo goed mogelijke, ‘enkelvoudige’ afhandeling binnen de individuele kaders van de Jeugdwet, WMO en/of Participatiewet. Daarmee wordt tevens goed invulling gegeven aan twee belangrijke principes uit de Wbp: doelbinding en ‘niet meer dan noodzakelijk’.

Maar we hebben al (inrichtings)keuzes gemaakt…

Lezers die belang hechten aan privacy zullen bovenstaande insteek hopelijk kunnen waarderen. Immers, het dwingt de gemeente om open te zijn richting burgers over de gegevensverwerking en hem/haar onmiddellijk bij zorgen en overleg daarover te betrekken. Het is ook op dit gebied ‘de burger centraal’ stellen, en mét de burger praten ipv over de burger. En vermoedelijk zal dit alles drempelverlagend werken waardoor de burger de weg naar de gemeenten c.q. het wijkteams sneller weet te vinden. So far, so good.

In de praktijk zijn wijkteams echter al op een bepaalde manier georganiseerd. De werkwijze is na een aantal jaren geoptimaliseerd, ondersteunende applicaties zijn conform ingericht en de werkdruk wordt in het algemeen als hoog ervaren. Hoe rijm je dat nu met het idee over ‘optionele integrale gegevensverwerking’? Dit vergt namelijk herontwerp van werkprocessen, herinrichting van applicaties en (regie)systemen en daarmee dus ook: tijd en geld. Hoe dit op te lossen is kan ik je op dit moment niet vertellen.

De winst voor nu

Maar laten we alstublieft voor nu overeenstemming bereiken over het feit dat veel gemeenten (onbewust) structureel de privacywetgeving overtreden; gegevens te makkelijk en te vaak domein overstijgend verwerkt worden zonder juridische basis en zonder de betrokkene(n) hierover te informeren. En dat is de gemeenten niet zozeer aan te rekenen, maar meer de landelijke overheid dit de principes ‘privacy by default’ en ‘privacy by design’ niet (voldoende) heeft toegepast op de decentralisaties.

Op het moment dat we inzien dat de huidige situatie om die redenen niet wenselijk en niet houdbaar is, kunnen we samen werken aan een oplossing. En de Autoriteit Persoonsgegevens ‘stimuleert’ ook door in haar ‘Agenda 2017‘ bijzondere persoonsgegevens als één van haar thema’s te benoemen.

Deze blog is deels gebaseerd op de presentatie die Lydia Janssen hield tijdens het congres ‘Privacy en gegevensuitwisseling in wijkteams’ op 19 april in Amersfoort.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…