Skip to main content

Gemeenten moeten kiezen tussen twee kwaden

| Renco Schoemaker | ,

Onlangs heeft de Autoriteit Persoonsgegevens(AP) een rapport gepubliceerd naar aanleiding van onderzoek in twee gemeenten over de verwerking van persoonsgegevens in het sociaal domein. Wat blijkt? Gemeenten verzamelen meer gegevens dan noodzakelijk bij de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) en Jeugdwet en je voelt het al aankomen.. dit is in strijd met de privacywetgeving. Maar hoe ga je als gemeente goed om met domeinoverstijgende gegevensuitwisseling c.q. –verwerking?

Zelfredzaamheid

Het onderzoek is een vervolg op een rapport van de AP uit april 2016 over het gebruik van toestemming als grondslag voor de verwerking van persoonsgegevens door gemeenten in het sociaal domein. Eerder schreef ik hier de blog ‘Integrale gegevensverwerking in wijkteams’ over. In het nieuwe onderzoek spreekt AP zich uit over de inzet van het Zelfredzaamheids (ZRM) instrument in het sociaal domein. Dit is een vrij uitgebreide vragenlijst die wordt ingezet om een goed beeld te krijgen van de leefsituatie van een burger, waarbij wordt gemeten hoe ‘zelfredzaam’ mensen zijn in de diverse leefgebieden. Hierbij wordt tijdens het zogenaamde ‘keukentafelgesprek’ doorgaans ‘breed’ uitgevraagd.

Denk aan informatie over de lichamelijke en psychische gezondheid van iemand, maar ook de financiële situatie, justitie et cetera. Allemaal voorbeelden uit de eerder genoemde leefgebieden. Dit is in strijd met de wet, die stelt dat verantwoordelijken nooit meer persoonsgegevens mogen verzamelen en vastleggen dan strikt noodzakelijk is voor het doel. Echter om goede zorg aan iemand te kunnen verlenen, is het ook belangrijk om een goed beeld van de situatie te krijgen, en hiervoor is een breed beeld van iemands leven noodzakelijk. Indien de hulpvraag van de burger echter het doel vormt voor de verwerking, dan dien je ‘binnen deze lijntjes’ te blijven. Voel je de spanning?

In strijd met de wet

Uit het onderzoek van AP blijkt dat er, zoals ik al in mijn eerdere blog heb aangegeven, bij de inzet van het ZRM-instrument ook persoonsgegevens worden verzameld die niet direct van belang zijn voor het doel, indien je het doel van de verwerking gelijkt stelt aan de hulpvraag zoals door de burger geformuleerd. En daarmee overtreed je als gemeente simpelweg de wet. Kortom, wil je dit niet in strijd met de wet doen, dan dien je dus alleen die gegevens vast te leggen die ook daadwerkelijk nodig zijn voor de beoordeling en uitvoering van de hulpvraag.

Dit betekent een constante afweging tussen de wens om een burger zo goed mogelijk te helpen (invulling geven aan de hulpvraag) en het (strikt) naleven van de wet als het gaat om persoonsgegevens. Maar hoe kunnen we dit oplossen én in de praktijk werkbaar maken? Volgens AP moeten alle gemeenten die een ZRM-instrument gebruiken, hun werkwijze hierop aanpassen. Zij adviseren beleidstukken en werkinstructies hierop aan te passen, zodat je als gemeente kunt voldoen aan de zorgplicht om te waarborgen dat zorgverleners voldoende in staat zijn om te kunnen beoordelen welke persoonsgegevens nodig zijn voor de hulpvraag en welke niet.

Domeinoverstijgende gegevensverwerking

En dan is er nog iets. Met de decentralisaties zijn de uitvoering van de Jeugdwet, de Participatiewet, de Wmo en allerlei andere taken waarbij veel persoonsgegevens worden verwerkt, bij de gemeente neergelegd. Momenteel bieden zij elk afzonderlijk de mogelijkheid voor gemeenten om gegevens te verwerken voor het uitvoeren van deze wetten (taken) onder de grondslag ‘publiekrechtelijke taak’ zoals beschreven in de Wet bescherming persoonsgegevens (Wbp). Dat gebeurt dus per specifiek domein. Voor een goede integrale dienstverlening kan het echter noodzakelijk zijn om gegevens uit te wisselen tussen de domeinen (domeinoverstijgende gegevensverwerking).

Een grote tekortkoming hierbij is dat het momenteel niet wettelijk gefaciliteerd wordt om integraal gegevens te verwerken. Met als gevolg dat verantwoordelijken het risico lopen de grondrechten van burgers te schenden. Nu de toezichthouder zich heeft uitgesproken over de inzet van het ZRM-instrument, wordt het gebrek aan deze grondslag voor domeinoverstijgende gegevensverwerking des te prangender. De AP geeft aan dat zij als toezichthouder het Rijk er bij de decentralisaties op gewezen heeft dat er geen overkoepelende wetgeving is voor de domeinoverstijgende verwerking van persoonsgegevens. Hier was destijds echter geen oor voor.

Gegevensverwerking op maat

Is het dan nu tijd om de oplossing, die ik al in mijn eerdere blog beschreven heb: domeinoverstijgende gegevensverwerking optioneel te maken? En dat te doen op basis van de grondslag toestemming, ofwel het aanbieden van ‘gegevensverwerking op maat’. Hiermee wordt integrale gegevensverwerking namelijk optioneel, en niet de standaard werkwijze zoals nu wel vaak het geval is.

De gemeente verwerkt zoveel mogelijk ‘enkelvoudig’ persoonsgegevens (dus volgens de wet) en waar nodig en slim biedt ze de burger de optie om vanuit integrale dienstverlening ook integraal gegevens te gaan verwerken. Uiteraard moet je dit uitleggen als gemeente en hier toestemming voor vragen aan je burgers. Die toestemming lijkt me in dat geval in alle vrijheid gegeven. Bij in intrekken van de toestemming dient de gemeente terug te vallen op de ‘verkokerde’ verwerking van persoonsgegevens.

De AP denkt hier anders over, volgens hen kan dit probleem niet worden omzeild door toestemming te vragen aan betrokkenen maar moet er een andere oplossing komen, namelijk alsnog wachten op een geldige grondslag. En zolang deze grondslag er niet is, zullen we tot die tijd niet domeinoverstijgend persoonsgegevens mogen verwerken. Dit laatste gaat mijns inziens in tegen de visie van de decentralisaties en is, op z’n minst, (veel) minder efficiënt.

Conclusie

Het moge duidelijk zijn dat er een oplossing moet komen voor gemeenten om te kunnen voldoen aan de zorgplicht die zij hebben in het licht van de decentralisaties én het voldoen aan de huidige en komende privacywetgeving. De rapport van de AP over de inzet van het ZRM instrument maakt dit des te duidelijker. Indien met minder gegevens kan worden volstaan is brede uitvraag niet toegestaan.

Maar uiteraard kan het gebeuren, dat er meer gegevens nodig zijn om goed te kunnen voorzien in de hulpvraag. In samenspraak met de burger wordt de hulpvraag dan uitgebreid. Ook dan geldt dat alleen die gegevens mogen worden verwerkt die noodzakelijk zijn voor de toeleiding naar zorg naar aanleiding van de nader geïnventariseerde en eventueel uitgebreide hulpvraag. Echter momenteel geldt dat, indien de hulpvraag binnen de scope van Wmo, de Jeugdwet of de Participatiewet valt, brede uitvraag op meerdere gebieden conform ZRM niet proportioneel is. Deze gegevens zijn immers niet noodzakelijk voor het specifieke doel waarvoor de burger zich tot de gemeente / het wijkteam heeft gewend.

Hoe dan ook, tot de tijd dat er een oplossing is blijft het voor gemeenten kiezen uit twee kwaden.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.
Verder lezen

Belangrijke vaardigheden voor een succesvolle Privacy Officer

Om de privacydoelen van de gemeente te bereiken en een succesvolle Privacy Officer te zijn, moet je over een aantal essentiële basisvaardigheden beschikken.
Verder lezen

KPI’s in informatiebeveiliging

Om de effectiviteit van informatiebeveiliging te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het belangrijk om regelmatig te monitoren en te meten hoe het ervoor staat. Dit kan aan de hand van Key Performan…
Verder lezen

Dataminimalisatie: waarom minder soms meer is.

: In de digitale wereld waarin we leven, verzamelen we een enorme hoeveelheid gegevens. Maar in deze tijd van dataverzameling is er gelukkig ook een AVG-principe dat steeds meer aandacht krijgt: gegevensminimalisatie.
Verder lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …
Verder lezen

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…
Verder lezen