Gemeenten moeten kiezen tussen twee kwaden

| Renco Schoemaker | ,

Onlangs heeft de Autoriteit Persoonsgegevens(AP) een rapport gepubliceerd naar aanleiding van onderzoek in twee gemeenten over de verwerking van persoonsgegevens in het sociaal domein. Wat blijkt? Gemeenten verzamelen meer gegevens dan noodzakelijk bij de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) en Jeugdwet en je voelt het al aankomen.. dit is in strijd met de privacywetgeving. Maar hoe ga je als gemeente goed om met domeinoverstijgende gegevensuitwisseling c.q. –verwerking?

Zelfredzaamheid

Het onderzoek is een vervolg op een rapport van de AP uit april 2016 over het gebruik van toestemming als grondslag voor de verwerking van persoonsgegevens door gemeenten in het sociaal domein. Eerder schreef ik hier de blog ‘Integrale gegevensverwerking in wijkteams’ over. In het nieuwe onderzoek spreekt AP zich uit over de inzet van het Zelfredzaamheids (ZRM) instrument in het sociaal domein. Dit is een vrij uitgebreide vragenlijst die wordt ingezet om een goed beeld te krijgen van de leefsituatie van een burger, waarbij wordt gemeten hoe ‘zelfredzaam’ mensen zijn in de diverse leefgebieden. Hierbij wordt tijdens het zogenaamde ‘keukentafelgesprek’ doorgaans ‘breed’ uitgevraagd.

Denk aan informatie over de lichamelijke en psychische gezondheid van iemand, maar ook de financiële situatie, justitie et cetera. Allemaal voorbeelden uit de eerder genoemde leefgebieden. Dit is in strijd met de wet, die stelt dat verantwoordelijken nooit meer persoonsgegevens mogen verzamelen en vastleggen dan strikt noodzakelijk is voor het doel. Echter om goede zorg aan iemand te kunnen verlenen, is het ook belangrijk om een goed beeld van de situatie te krijgen, en hiervoor is een breed beeld van iemands leven noodzakelijk. Indien de hulpvraag van de burger echter het doel vormt voor de verwerking, dan dien je ‘binnen deze lijntjes’ te blijven. Voel je de spanning?

In strijd met de wet

Uit het onderzoek van AP blijkt dat er, zoals ik al in mijn eerdere blog heb aangegeven, bij de inzet van het ZRM-instrument ook persoonsgegevens worden verzameld die niet direct van belang zijn voor het doel, indien je het doel van de verwerking gelijkt stelt aan de hulpvraag zoals door de burger geformuleerd. En daarmee overtreed je als gemeente simpelweg de wet. Kortom, wil je dit niet in strijd met de wet doen, dan dien je dus alleen die gegevens vast te leggen die ook daadwerkelijk nodig zijn voor de beoordeling en uitvoering van de hulpvraag.

Dit betekent een constante afweging tussen de wens om een burger zo goed mogelijk te helpen (invulling geven aan de hulpvraag) en het (strikt) naleven van de wet als het gaat om persoonsgegevens. Maar hoe kunnen we dit oplossen én in de praktijk werkbaar maken? Volgens AP moeten alle gemeenten die een ZRM-instrument gebruiken, hun werkwijze hierop aanpassen. Zij adviseren beleidstukken en werkinstructies hierop aan te passen, zodat je als gemeente kunt voldoen aan de zorgplicht om te waarborgen dat zorgverleners voldoende in staat zijn om te kunnen beoordelen welke persoonsgegevens nodig zijn voor de hulpvraag en welke niet.

Domeinoverstijgende gegevensverwerking

En dan is er nog iets. Met de decentralisaties zijn de uitvoering van de Jeugdwet, de Participatiewet, de Wmo en allerlei andere taken waarbij veel persoonsgegevens worden verwerkt, bij de gemeente neergelegd. Momenteel bieden zij elk afzonderlijk de mogelijkheid voor gemeenten om gegevens te verwerken voor het uitvoeren van deze wetten (taken) onder de grondslag ‘publiekrechtelijke taak’ zoals beschreven in de Wet bescherming persoonsgegevens (Wbp). Dat gebeurt dus per specifiek domein. Voor een goede integrale dienstverlening kan het echter noodzakelijk zijn om gegevens uit te wisselen tussen de domeinen (domeinoverstijgende gegevensverwerking).

Een grote tekortkoming hierbij is dat het momenteel niet wettelijk gefaciliteerd wordt om integraal gegevens te verwerken. Met als gevolg dat verantwoordelijken het risico lopen de grondrechten van burgers te schenden. Nu de toezichthouder zich heeft uitgesproken over de inzet van het ZRM-instrument, wordt het gebrek aan deze grondslag voor domeinoverstijgende gegevensverwerking des te prangender. De AP geeft aan dat zij als toezichthouder het Rijk er bij de decentralisaties op gewezen heeft dat er geen overkoepelende wetgeving is voor de domeinoverstijgende verwerking van persoonsgegevens. Hier was destijds echter geen oor voor.

Gegevensverwerking op maat

Is het dan nu tijd om de oplossing, die ik al in mijn eerdere blog beschreven heb: domeinoverstijgende gegevensverwerking optioneel te maken? En dat te doen op basis van de grondslag toestemming, ofwel het aanbieden van ‘gegevensverwerking op maat’. Hiermee wordt integrale gegevensverwerking namelijk optioneel, en niet de standaard werkwijze zoals nu wel vaak het geval is.

De gemeente verwerkt zoveel mogelijk ‘enkelvoudig’ persoonsgegevens (dus volgens de wet) en waar nodig en slim biedt ze de burger de optie om vanuit integrale dienstverlening ook integraal gegevens te gaan verwerken. Uiteraard moet je dit uitleggen als gemeente en hier toestemming voor vragen aan je burgers. Die toestemming lijkt me in dat geval in alle vrijheid gegeven. Bij in intrekken van de toestemming dient de gemeente terug te vallen op de ‘verkokerde’ verwerking van persoonsgegevens.

De AP denkt hier anders over, volgens hen kan dit probleem niet worden omzeild door toestemming te vragen aan betrokkenen maar moet er een andere oplossing komen, namelijk alsnog wachten op een geldige grondslag. En zolang deze grondslag er niet is, zullen we tot die tijd niet domeinoverstijgend persoonsgegevens mogen verwerken. Dit laatste gaat mijns inziens in tegen de visie van de decentralisaties en is, op z’n minst, (veel) minder efficiënt.

Conclusie

Het moge duidelijk zijn dat er een oplossing moet komen voor gemeenten om te kunnen voldoen aan de zorgplicht die zij hebben in het licht van de decentralisaties én het voldoen aan de huidige en komende privacywetgeving. De rapport van de AP over de inzet van het ZRM instrument maakt dit des te duidelijker. Indien met minder gegevens kan worden volstaan is brede uitvraag niet toegestaan.

Maar uiteraard kan het gebeuren, dat er meer gegevens nodig zijn om goed te kunnen voorzien in de hulpvraag. In samenspraak met de burger wordt de hulpvraag dan uitgebreid. Ook dan geldt dat alleen die gegevens mogen worden verwerkt die noodzakelijk zijn voor de toeleiding naar zorg naar aanleiding van de nader geïnventariseerde en eventueel uitgebreide hulpvraag. Echter momenteel geldt dat, indien de hulpvraag binnen de scope van Wmo, de Jeugdwet of de Participatiewet valt, brede uitvraag op meerdere gebieden conform ZRM niet proportioneel is. Deze gegevens zijn immers niet noodzakelijk voor het specifieke doel waarvoor de burger zich tot de gemeente / het wijkteam heeft gewend.

Hoe dan ook, tot de tijd dat er een oplossing is blijft het voor gemeenten kiezen uit twee kwaden.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Ga naar website

Meer blogs lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…
Verder lezen

Waarom is privacy eigenlijk belangrijk?

In onze huidige maatschappij, met alle computertechnologie, is privacy belangrijker dan ooit. In deze blog lees je waarom privacy zo belangrijk is, wat de gevaren zijn bij een gebrek eraan en hoe je als organisatie de privacy kan beschermen. Want,…
Verder lezen

Jaarrapportage informatiebeveiliging; waar rapporteer je als CISO over?

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is h…
Verder lezen

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…
Verder lezen

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…
Verder lezen

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap