Skip to main content

Gemeenten moeten kiezen tussen twee kwaden

| IB&P | ,

Onlangs heeft de Autoriteit Persoonsgegevens(AP) een rapport gepubliceerd naar aanleiding van onderzoek in twee gemeenten over de verwerking van persoonsgegevens in het sociaal domein. Wat blijkt? Gemeenten verzamelen meer gegevens dan noodzakelijk bij de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) en Jeugdwet en je voelt het al aankomen.. dit is in strijd met de privacywetgeving. Maar hoe ga je als gemeente goed om met domeinoverstijgende gegevensuitwisseling c.q. –verwerking?

Zelfredzaamheid

Het onderzoek is een vervolg op een rapport van de AP uit april 2016 over het gebruik van toestemming als grondslag voor de verwerking van persoonsgegevens door gemeenten in het sociaal domein. Eerder schreef ik hier de blog ‘Integrale gegevensverwerking in wijkteams’ over. In het nieuwe onderzoek spreekt AP zich uit over de inzet van het Zelfredzaamheids (ZRM) instrument in het sociaal domein. Dit is een vrij uitgebreide vragenlijst die wordt ingezet om een goed beeld te krijgen van de leefsituatie van een burger, waarbij wordt gemeten hoe ‘zelfredzaam’ mensen zijn in de diverse leefgebieden. Hierbij wordt tijdens het zogenaamde ‘keukentafelgesprek’ doorgaans ‘breed’ uitgevraagd.

Denk aan informatie over de lichamelijke en psychische gezondheid van iemand, maar ook de financiële situatie, justitie et cetera. Allemaal voorbeelden uit de eerder genoemde leefgebieden. Dit is in strijd met de wet, die stelt dat verantwoordelijken nooit meer persoonsgegevens mogen verzamelen en vastleggen dan strikt noodzakelijk is voor het doel. Echter om goede zorg aan iemand te kunnen verlenen, is het ook belangrijk om een goed beeld van de situatie te krijgen, en hiervoor is een breed beeld van iemands leven noodzakelijk. Indien de hulpvraag van de burger echter het doel vormt voor de verwerking, dan dien je ‘binnen deze lijntjes’ te blijven. Voel je de spanning?

In strijd met de wet

Uit het onderzoek van AP blijkt dat er, zoals ik al in mijn eerdere blog heb aangegeven, bij de inzet van het ZRM-instrument ook persoonsgegevens worden verzameld die niet direct van belang zijn voor het doel, indien je het doel van de verwerking gelijkt stelt aan de hulpvraag zoals door de burger geformuleerd. En daarmee overtreed je als gemeente simpelweg de wet. Kortom, wil je dit niet in strijd met de wet doen, dan dien je dus alleen die gegevens vast te leggen die ook daadwerkelijk nodig zijn voor de beoordeling en uitvoering van de hulpvraag.

Dit betekent een constante afweging tussen de wens om een burger zo goed mogelijk te helpen (invulling geven aan de hulpvraag) en het (strikt) naleven van de wet als het gaat om persoonsgegevens. Maar hoe kunnen we dit oplossen én in de praktijk werkbaar maken? Volgens AP moeten alle gemeenten die een ZRM-instrument gebruiken, hun werkwijze hierop aanpassen. Zij adviseren beleidstukken en werkinstructies hierop aan te passen, zodat je als gemeente kunt voldoen aan de zorgplicht om te waarborgen dat zorgverleners voldoende in staat zijn om te kunnen beoordelen welke persoonsgegevens nodig zijn voor de hulpvraag en welke niet.

Domeinoverstijgende gegevensverwerking

En dan is er nog iets. Met de decentralisaties zijn de uitvoering van de Jeugdwet, de Participatiewet, de Wmo en allerlei andere taken waarbij veel persoonsgegevens worden verwerkt, bij de gemeente neergelegd. Momenteel bieden zij elk afzonderlijk de mogelijkheid voor gemeenten om gegevens te verwerken voor het uitvoeren van deze wetten (taken) onder de grondslag ‘publiekrechtelijke taak’ zoals beschreven in de Wet bescherming persoonsgegevens (Wbp). Dat gebeurt dus per specifiek domein. Voor een goede integrale dienstverlening kan het echter noodzakelijk zijn om gegevens uit te wisselen tussen de domeinen (domeinoverstijgende gegevensverwerking).

Een grote tekortkoming hierbij is dat het momenteel niet wettelijk gefaciliteerd wordt om integraal gegevens te verwerken. Met als gevolg dat verantwoordelijken het risico lopen de grondrechten van burgers te schenden. Nu de toezichthouder zich heeft uitgesproken over de inzet van het ZRM-instrument, wordt het gebrek aan deze grondslag voor domeinoverstijgende gegevensverwerking des te prangender. De AP geeft aan dat zij als toezichthouder het Rijk er bij de decentralisaties op gewezen heeft dat er geen overkoepelende wetgeving is voor de domeinoverstijgende verwerking van persoonsgegevens. Hier was destijds echter geen oor voor.

Gegevensverwerking op maat

Is het dan nu tijd om de oplossing, die ik al in mijn eerdere blog beschreven heb: domeinoverstijgende gegevensverwerking optioneel te maken? En dat te doen op basis van de grondslag toestemming, ofwel het aanbieden van ‘gegevensverwerking op maat’. Hiermee wordt integrale gegevensverwerking namelijk optioneel, en niet de standaard werkwijze zoals nu wel vaak het geval is.

De gemeente verwerkt zoveel mogelijk ‘enkelvoudig’ persoonsgegevens (dus volgens de wet) en waar nodig en slim biedt ze de burger de optie om vanuit integrale dienstverlening ook integraal gegevens te gaan verwerken. Uiteraard moet je dit uitleggen als gemeente en hier toestemming voor vragen aan je burgers. Die toestemming lijkt me in dat geval in alle vrijheid gegeven. Bij in intrekken van de toestemming dient de gemeente terug te vallen op de ‘verkokerde’ verwerking van persoonsgegevens.

De AP denkt hier anders over, volgens hen kan dit probleem niet worden omzeild door toestemming te vragen aan betrokkenen maar moet er een andere oplossing komen, namelijk alsnog wachten op een geldige grondslag. En zolang deze grondslag er niet is, zullen we tot die tijd niet domeinoverstijgend persoonsgegevens mogen verwerken. Dit laatste gaat mijns inziens in tegen de visie van de decentralisaties en is, op z’n minst, (veel) minder efficiënt.

Conclusie

Het moge duidelijk zijn dat er een oplossing moet komen voor gemeenten om te kunnen voldoen aan de zorgplicht die zij hebben in het licht van de decentralisaties én het voldoen aan de huidige en komende privacywetgeving. De rapport van de AP over de inzet van het ZRM instrument maakt dit des te duidelijker. Indien met minder gegevens kan worden volstaan is brede uitvraag niet toegestaan.

Maar uiteraard kan het gebeuren, dat er meer gegevens nodig zijn om goed te kunnen voorzien in de hulpvraag. In samenspraak met de burger wordt de hulpvraag dan uitgebreid. Ook dan geldt dat alleen die gegevens mogen worden verwerkt die noodzakelijk zijn voor de toeleiding naar zorg naar aanleiding van de nader geïnventariseerde en eventueel uitgebreide hulpvraag. Echter momenteel geldt dat, indien de hulpvraag binnen de scope van Wmo, de Jeugdwet of de Participatiewet valt, brede uitvraag op meerdere gebieden conform ZRM niet proportioneel is. Deze gegevens zijn immers niet noodzakelijk voor het specifieke doel waarvoor de burger zich tot de gemeente / het wijkteam heeft gewend.

Hoe dan ook, tot de tijd dat er een oplossing is blijft het voor gemeenten kiezen uit twee kwaden.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Veiligheid begint met inzicht: zo geef je kwetsbaarhedenbeheer vorm

Het is belangrijk om kwetsbaarheden niet ad hoc, maar structureel aan te pakken. Niet alleen binnen je eigen ICT-omgeving, maar ook daarbuiten. In deze blog leggen we uit wat kwetsbaarhedenbeheer is, waarom het zo belangrijk is en hoe je het goed …

Hoe interne audits leiden tot verbetering

Informatiebeveiliging en privacy zijn essentieel, vooral voor gemeenten die werken met gevoelige gegevens en kritieke processen. Risicobeheer, naleving van wetgeving en continue verbetering zijn hierbij onmisbaar. Naast IT- en security-experts spe…

Het algoritmeregister: Hoe gemeenten algoritmes verantwoord inzetten

Steeds meer gemeenten gebruiken algoritmes om hun werk efficiënter te maken. Handig, maar het brengt ook risico’s met zich mee voor privacy, veiligheid en transparantie. Daarom is er sinds 2022 een landelijk algoritmeregister. In deze blog lees je…

Waarom een DPIA onmisbaar is binnen gemeentelijke projecten

Vanuit de AVG en BIO moet je als gemeente allerlei (verplichte) maatregelen nemen. Zo moet je bij gegevensverwerkingen met een hoog privacyrisico een Data Protection Impact Assessment (DPIA) uitvoeren. In deze blog lees je wat een DPIA precies is …

In 5 stappen naar een succesvolle GAP-analyse van de BIO

: Een GAP-analyse geeft snel inzicht in hoeverre jouw gemeente voldoet aan de normen van de BIO. Het laat zien wat al goed geregeld is en waar nog verbeteringen nodig zijn. Maar hoe voer je een GAP-analyse effectief uit? In deze blog ontdek je het…

Wat is ethisch hacken en waarom is het belangrijk?

Stel je voor dat je een inbreker bent, maar dan eentje met goede bedoelingen. Je zoekt naar zwakke plekken in een huis om de eigenaar te waarschuwen, zodat hij ze kan repareren. Dat is precies wat ethical hackers doen, maar dan met computers en ne…