Skip to main content

Gemeenten moeten kiezen tussen twee kwaden

| IB&P | ,

Onlangs heeft de Autoriteit Persoonsgegevens(AP) een rapport gepubliceerd naar aanleiding van onderzoek in twee gemeenten over de verwerking van persoonsgegevens in het sociaal domein. Wat blijkt? Gemeenten verzamelen meer gegevens dan noodzakelijk bij de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) en Jeugdwet en je voelt het al aankomen.. dit is in strijd met de privacywetgeving. Maar hoe ga je als gemeente goed om met domeinoverstijgende gegevensuitwisseling c.q. –verwerking?

Zelfredzaamheid

Het onderzoek is een vervolg op een rapport van de AP uit april 2016 over het gebruik van toestemming als grondslag voor de verwerking van persoonsgegevens door gemeenten in het sociaal domein. Eerder schreef ik hier de blog ‘Integrale gegevensverwerking in wijkteams’ over. In het nieuwe onderzoek spreekt AP zich uit over de inzet van het Zelfredzaamheids (ZRM) instrument in het sociaal domein. Dit is een vrij uitgebreide vragenlijst die wordt ingezet om een goed beeld te krijgen van de leefsituatie van een burger, waarbij wordt gemeten hoe ‘zelfredzaam’ mensen zijn in de diverse leefgebieden. Hierbij wordt tijdens het zogenaamde ‘keukentafelgesprek’ doorgaans ‘breed’ uitgevraagd.

Denk aan informatie over de lichamelijke en psychische gezondheid van iemand, maar ook de financiële situatie, justitie et cetera. Allemaal voorbeelden uit de eerder genoemde leefgebieden. Dit is in strijd met de wet, die stelt dat verantwoordelijken nooit meer persoonsgegevens mogen verzamelen en vastleggen dan strikt noodzakelijk is voor het doel. Echter om goede zorg aan iemand te kunnen verlenen, is het ook belangrijk om een goed beeld van de situatie te krijgen, en hiervoor is een breed beeld van iemands leven noodzakelijk. Indien de hulpvraag van de burger echter het doel vormt voor de verwerking, dan dien je ‘binnen deze lijntjes’ te blijven. Voel je de spanning?

In strijd met de wet

Uit het onderzoek van AP blijkt dat er, zoals ik al in mijn eerdere blog heb aangegeven, bij de inzet van het ZRM-instrument ook persoonsgegevens worden verzameld die niet direct van belang zijn voor het doel, indien je het doel van de verwerking gelijkt stelt aan de hulpvraag zoals door de burger geformuleerd. En daarmee overtreed je als gemeente simpelweg de wet. Kortom, wil je dit niet in strijd met de wet doen, dan dien je dus alleen die gegevens vast te leggen die ook daadwerkelijk nodig zijn voor de beoordeling en uitvoering van de hulpvraag.

Dit betekent een constante afweging tussen de wens om een burger zo goed mogelijk te helpen (invulling geven aan de hulpvraag) en het (strikt) naleven van de wet als het gaat om persoonsgegevens. Maar hoe kunnen we dit oplossen én in de praktijk werkbaar maken? Volgens AP moeten alle gemeenten die een ZRM-instrument gebruiken, hun werkwijze hierop aanpassen. Zij adviseren beleidstukken en werkinstructies hierop aan te passen, zodat je als gemeente kunt voldoen aan de zorgplicht om te waarborgen dat zorgverleners voldoende in staat zijn om te kunnen beoordelen welke persoonsgegevens nodig zijn voor de hulpvraag en welke niet.

Domeinoverstijgende gegevensverwerking

En dan is er nog iets. Met de decentralisaties zijn de uitvoering van de Jeugdwet, de Participatiewet, de Wmo en allerlei andere taken waarbij veel persoonsgegevens worden verwerkt, bij de gemeente neergelegd. Momenteel bieden zij elk afzonderlijk de mogelijkheid voor gemeenten om gegevens te verwerken voor het uitvoeren van deze wetten (taken) onder de grondslag ‘publiekrechtelijke taak’ zoals beschreven in de Wet bescherming persoonsgegevens (Wbp). Dat gebeurt dus per specifiek domein. Voor een goede integrale dienstverlening kan het echter noodzakelijk zijn om gegevens uit te wisselen tussen de domeinen (domeinoverstijgende gegevensverwerking).

Een grote tekortkoming hierbij is dat het momenteel niet wettelijk gefaciliteerd wordt om integraal gegevens te verwerken. Met als gevolg dat verantwoordelijken het risico lopen de grondrechten van burgers te schenden. Nu de toezichthouder zich heeft uitgesproken over de inzet van het ZRM-instrument, wordt het gebrek aan deze grondslag voor domeinoverstijgende gegevensverwerking des te prangender. De AP geeft aan dat zij als toezichthouder het Rijk er bij de decentralisaties op gewezen heeft dat er geen overkoepelende wetgeving is voor de domeinoverstijgende verwerking van persoonsgegevens. Hier was destijds echter geen oor voor.

Gegevensverwerking op maat

Is het dan nu tijd om de oplossing, die ik al in mijn eerdere blog beschreven heb: domeinoverstijgende gegevensverwerking optioneel te maken? En dat te doen op basis van de grondslag toestemming, ofwel het aanbieden van ‘gegevensverwerking op maat’. Hiermee wordt integrale gegevensverwerking namelijk optioneel, en niet de standaard werkwijze zoals nu wel vaak het geval is.

De gemeente verwerkt zoveel mogelijk ‘enkelvoudig’ persoonsgegevens (dus volgens de wet) en waar nodig en slim biedt ze de burger de optie om vanuit integrale dienstverlening ook integraal gegevens te gaan verwerken. Uiteraard moet je dit uitleggen als gemeente en hier toestemming voor vragen aan je burgers. Die toestemming lijkt me in dat geval in alle vrijheid gegeven. Bij in intrekken van de toestemming dient de gemeente terug te vallen op de ‘verkokerde’ verwerking van persoonsgegevens.

De AP denkt hier anders over, volgens hen kan dit probleem niet worden omzeild door toestemming te vragen aan betrokkenen maar moet er een andere oplossing komen, namelijk alsnog wachten op een geldige grondslag. En zolang deze grondslag er niet is, zullen we tot die tijd niet domeinoverstijgend persoonsgegevens mogen verwerken. Dit laatste gaat mijns inziens in tegen de visie van de decentralisaties en is, op z’n minst, (veel) minder efficiënt.

Conclusie

Het moge duidelijk zijn dat er een oplossing moet komen voor gemeenten om te kunnen voldoen aan de zorgplicht die zij hebben in het licht van de decentralisaties én het voldoen aan de huidige en komende privacywetgeving. De rapport van de AP over de inzet van het ZRM instrument maakt dit des te duidelijker. Indien met minder gegevens kan worden volstaan is brede uitvraag niet toegestaan.

Maar uiteraard kan het gebeuren, dat er meer gegevens nodig zijn om goed te kunnen voorzien in de hulpvraag. In samenspraak met de burger wordt de hulpvraag dan uitgebreid. Ook dan geldt dat alleen die gegevens mogen worden verwerkt die noodzakelijk zijn voor de toeleiding naar zorg naar aanleiding van de nader geïnventariseerde en eventueel uitgebreide hulpvraag. Echter momenteel geldt dat, indien de hulpvraag binnen de scope van Wmo, de Jeugdwet of de Participatiewet valt, brede uitvraag op meerdere gebieden conform ZRM niet proportioneel is. Deze gegevens zijn immers niet noodzakelijk voor het specifieke doel waarvoor de burger zich tot de gemeente / het wijkteam heeft gewend.

Hoe dan ook, tot de tijd dat er een oplossing is blijft het voor gemeenten kiezen uit twee kwaden.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…