Skip to main content

Gemeenten moeten kiezen tussen twee kwaden

| IB&P | ,

Onlangs heeft de Autoriteit Persoonsgegevens(AP) een rapport gepubliceerd naar aanleiding van onderzoek in twee gemeenten over de verwerking van persoonsgegevens in het sociaal domein. Wat blijkt? Gemeenten verzamelen meer gegevens dan noodzakelijk bij de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) en Jeugdwet en je voelt het al aankomen.. dit is in strijd met de privacywetgeving. Maar hoe ga je als gemeente goed om met domeinoverstijgende gegevensuitwisseling c.q. –verwerking?

Zelfredzaamheid

Het onderzoek is een vervolg op een rapport van de AP uit april 2016 over het gebruik van toestemming als grondslag voor de verwerking van persoonsgegevens door gemeenten in het sociaal domein. Eerder schreef ik hier de blog ‘Integrale gegevensverwerking in wijkteams’ over. In het nieuwe onderzoek spreekt AP zich uit over de inzet van het Zelfredzaamheids (ZRM) instrument in het sociaal domein. Dit is een vrij uitgebreide vragenlijst die wordt ingezet om een goed beeld te krijgen van de leefsituatie van een burger, waarbij wordt gemeten hoe ‘zelfredzaam’ mensen zijn in de diverse leefgebieden. Hierbij wordt tijdens het zogenaamde ‘keukentafelgesprek’ doorgaans ‘breed’ uitgevraagd.

Denk aan informatie over de lichamelijke en psychische gezondheid van iemand, maar ook de financiële situatie, justitie et cetera. Allemaal voorbeelden uit de eerder genoemde leefgebieden. Dit is in strijd met de wet, die stelt dat verantwoordelijken nooit meer persoonsgegevens mogen verzamelen en vastleggen dan strikt noodzakelijk is voor het doel. Echter om goede zorg aan iemand te kunnen verlenen, is het ook belangrijk om een goed beeld van de situatie te krijgen, en hiervoor is een breed beeld van iemands leven noodzakelijk. Indien de hulpvraag van de burger echter het doel vormt voor de verwerking, dan dien je ‘binnen deze lijntjes’ te blijven. Voel je de spanning?

In strijd met de wet

Uit het onderzoek van AP blijkt dat er, zoals ik al in mijn eerdere blog heb aangegeven, bij de inzet van het ZRM-instrument ook persoonsgegevens worden verzameld die niet direct van belang zijn voor het doel, indien je het doel van de verwerking gelijkt stelt aan de hulpvraag zoals door de burger geformuleerd. En daarmee overtreed je als gemeente simpelweg de wet. Kortom, wil je dit niet in strijd met de wet doen, dan dien je dus alleen die gegevens vast te leggen die ook daadwerkelijk nodig zijn voor de beoordeling en uitvoering van de hulpvraag.

Dit betekent een constante afweging tussen de wens om een burger zo goed mogelijk te helpen (invulling geven aan de hulpvraag) en het (strikt) naleven van de wet als het gaat om persoonsgegevens. Maar hoe kunnen we dit oplossen én in de praktijk werkbaar maken? Volgens AP moeten alle gemeenten die een ZRM-instrument gebruiken, hun werkwijze hierop aanpassen. Zij adviseren beleidstukken en werkinstructies hierop aan te passen, zodat je als gemeente kunt voldoen aan de zorgplicht om te waarborgen dat zorgverleners voldoende in staat zijn om te kunnen beoordelen welke persoonsgegevens nodig zijn voor de hulpvraag en welke niet.

Domeinoverstijgende gegevensverwerking

En dan is er nog iets. Met de decentralisaties zijn de uitvoering van de Jeugdwet, de Participatiewet, de Wmo en allerlei andere taken waarbij veel persoonsgegevens worden verwerkt, bij de gemeente neergelegd. Momenteel bieden zij elk afzonderlijk de mogelijkheid voor gemeenten om gegevens te verwerken voor het uitvoeren van deze wetten (taken) onder de grondslag ‘publiekrechtelijke taak’ zoals beschreven in de Wet bescherming persoonsgegevens (Wbp). Dat gebeurt dus per specifiek domein. Voor een goede integrale dienstverlening kan het echter noodzakelijk zijn om gegevens uit te wisselen tussen de domeinen (domeinoverstijgende gegevensverwerking).

Een grote tekortkoming hierbij is dat het momenteel niet wettelijk gefaciliteerd wordt om integraal gegevens te verwerken. Met als gevolg dat verantwoordelijken het risico lopen de grondrechten van burgers te schenden. Nu de toezichthouder zich heeft uitgesproken over de inzet van het ZRM-instrument, wordt het gebrek aan deze grondslag voor domeinoverstijgende gegevensverwerking des te prangender. De AP geeft aan dat zij als toezichthouder het Rijk er bij de decentralisaties op gewezen heeft dat er geen overkoepelende wetgeving is voor de domeinoverstijgende verwerking van persoonsgegevens. Hier was destijds echter geen oor voor.

Gegevensverwerking op maat

Is het dan nu tijd om de oplossing, die ik al in mijn eerdere blog beschreven heb: domeinoverstijgende gegevensverwerking optioneel te maken? En dat te doen op basis van de grondslag toestemming, ofwel het aanbieden van ‘gegevensverwerking op maat’. Hiermee wordt integrale gegevensverwerking namelijk optioneel, en niet de standaard werkwijze zoals nu wel vaak het geval is.

De gemeente verwerkt zoveel mogelijk ‘enkelvoudig’ persoonsgegevens (dus volgens de wet) en waar nodig en slim biedt ze de burger de optie om vanuit integrale dienstverlening ook integraal gegevens te gaan verwerken. Uiteraard moet je dit uitleggen als gemeente en hier toestemming voor vragen aan je burgers. Die toestemming lijkt me in dat geval in alle vrijheid gegeven. Bij in intrekken van de toestemming dient de gemeente terug te vallen op de ‘verkokerde’ verwerking van persoonsgegevens.

De AP denkt hier anders over, volgens hen kan dit probleem niet worden omzeild door toestemming te vragen aan betrokkenen maar moet er een andere oplossing komen, namelijk alsnog wachten op een geldige grondslag. En zolang deze grondslag er niet is, zullen we tot die tijd niet domeinoverstijgend persoonsgegevens mogen verwerken. Dit laatste gaat mijns inziens in tegen de visie van de decentralisaties en is, op z’n minst, (veel) minder efficiënt.

Conclusie

Het moge duidelijk zijn dat er een oplossing moet komen voor gemeenten om te kunnen voldoen aan de zorgplicht die zij hebben in het licht van de decentralisaties én het voldoen aan de huidige en komende privacywetgeving. De rapport van de AP over de inzet van het ZRM instrument maakt dit des te duidelijker. Indien met minder gegevens kan worden volstaan is brede uitvraag niet toegestaan.

Maar uiteraard kan het gebeuren, dat er meer gegevens nodig zijn om goed te kunnen voorzien in de hulpvraag. In samenspraak met de burger wordt de hulpvraag dan uitgebreid. Ook dan geldt dat alleen die gegevens mogen worden verwerkt die noodzakelijk zijn voor de toeleiding naar zorg naar aanleiding van de nader geïnventariseerde en eventueel uitgebreide hulpvraag. Echter momenteel geldt dat, indien de hulpvraag binnen de scope van Wmo, de Jeugdwet of de Participatiewet valt, brede uitvraag op meerdere gebieden conform ZRM niet proportioneel is. Deze gegevens zijn immers niet noodzakelijk voor het specifieke doel waarvoor de burger zich tot de gemeente / het wijkteam heeft gewend.

Hoe dan ook, tot de tijd dat er een oplossing is blijft het voor gemeenten kiezen uit twee kwaden.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…

Het beheren van verwerkersovereenkomsten

Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerk…

Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510

BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.

De kracht van ambassadeurs

Hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken.

BCM-routekaart voor gemeenten

Met een goed geïmplementeerd BCM-systeem ben je als organisatie beter voorbereid, waardoor je sneller en effectiever kunt reageren op verstoringen.