De gemeente Hellendoorn heeft afgelopen jaar een privacyprotocol voor het sociaal domein opgesteld en gepubliceerd. Handig om als voorbeeld te gebruiken!

Nijverdal, 20 juni 2019 Nr. 2019-010038

Burgemeester en wethouders van Hellendoorn;

Overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen het sociaal domein in de gemeente Hellendoorn;

Gelet op:

• artikel 8 van het Europees Verdrag tot Bescherming van de Rechten van de Mens (EVRM);
• de Algemene verordening gegevensbescherming;
• de Uitvoeringswet Avg;
• de Jeugdwet;
• de Wet maatschappelijke ontwikkeling 2015;
• de Participatiewet;
• de Wet gemeentelijke schuldhulpverlening;
• de Wet structuur uitvoeringsorganisatie werk en inkomen;
• de kadernota’s Jeugdhulp 2015-2019, Wmo 2015-2019 en participatiewet 2015-2018;
• de Baseline Informatiebeveiliging Gemeenten (BIG);

Besluiten:

Vast te stellen het navolgende Privacyprotocol sociaal domein Gemeente Hellendoorn

Inleiding

De gemeente Hellendoorn werkt met een aantal publieke en private organisaties samen om aan de inwoners van de gemeente integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen. De ambities van de gemeente op deze terreinen zijn beschreven in de kadernota Jeugdhulp 2015-2019:

• We zetten in op het versterken van eigen kracht
• We leggen nadruk op preventie en vroegsignalering
• We organiseren de ondersteuning zo dichtbij mogelijk
• We bieden de ondersteuning integraal: één gezin, één plan, één regisseur
• We bieden de ondersteuning zo intensief als nodig en zo lang als nodig
• We bieden de ondersteuning vraaggericht, niet aanbodgericht
• We geven organisaties en professionals vertrouwen

en de kadernota Wmo 2015-2019:

• Lokaal wat lokaal kan
• We kiezen voor een beleidsrijke invoering
• We nemen de inwoner als vertrekpunt
• We werken met het regisseursmodel
• We bieden inwoners gepaste keuzevrijheid
• We stimuleren de vernieuwing van aanbod

De decentralisaties in het sociale domein hebben als gevolg dat gemeenten meer gegevens verwerken en ook meer samenwerken met andere partners. Dat roept vragen op over bijvoorbeeld het delen van gegevens tussen medewerkers binnen ons sociaal team en met zorgleveranciers, huisartsen en overige partijen. Ook heeft de gemeente te maken met nieuwe doelgroepen met nieuwe zorgvragen. Een gevolg daarvan is dat niet alles van te voren bepaald kan worden. In de kabinetsvisie “Zorgvuldig en Bewust” is dit ook erkend en wordt gesproken over een ‘lerende praktijk’.

Gelet op bovenstaande is het van belang om als gemeente een duidelijk standpunt uit te dragen hoe zij om wenst te gaan met het thema privacy. De burger, maar ook de gemeenteraad, verwacht terecht dat de overheid op een juiste manier zorgdraagt voor de bescherming van privacygevoelige informatie. Vandaar dit privacyprotocol. Het privacyprotocol beschrijft de doorvertaling van wettelijke kaders naar de gemeentelijke situatie.

Dit protocol bevat algemene regels, geen antwoord op elke vraag. Het antwoord is namelijk sterk afhankelijk van een zorgvuldige afweging van belangen die per situatie kan verschillen. Dit protocol is opgesteld binnen de context van het sociaal domein waarin, op basis van wet- en regelgeving, er duidelijke kaders zijn voor het omgaan met privacy. Dit protocol is bedoeld voor professionals en kan eventueel ook gebruikt worden in de communicatie met ketenpartners, zorgaanbieders of andere partijen.

Juridisch kader

De Algemene verordening gegevensbescherming (hierna: Avg) geldt als leidraad voor het juist en zorgvuldig omgaan met persoonsgegevens. Daarnaast zijn in de Jeugdwet, de Wet maatschappelijke ondersteuning 2015 (Wmo) en de Participatiewet diverse bepalingen opgenomen over het verwerken van persoonsgegevens, die gelden als aanvullingen op of nadere invulling van de bepalingen uit de Avg.

Van belang is dat er een juridische grondslag aanwezig moet zijn om gegevens te verwerken. Deze grondslagen zijn beperkt tot een aantal in de Avg genoemde opties. Vaak wordt hierbij in eerste instantie gedacht aan het vragen van toestemming. Als een cliënt toestemming geeft, dan is gegevensverwerking toegestaan, zo wordt vaak verondersteld. Dat gaat echter vaak niet op. Toestemming is weliswaar een grondslag in de Avg, maar daaraan is wel de voorwaarde verbonden dat deze vrij en ondubbelzinnig moet zijn verstrekt. Bij de uitvoering van publiekrechtelijke taken in het sociaal domein is er meestal sprake van een afhankelijkheidsrelatie tussen de betrokkene en de gemeente. Daarom is er in die gevallen geen sprake van vrije toestemming in de zin van de Avg en kan toestemming dus niet dienen als grondslag voor de gegevensverwerking[2]. Voor de uitvoering van taken in het sociaal domein is de grondslag die in artikel 6, eerste lid onder e Avg genoemd wordt in de meeste gevallen voldoende:  de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan het bestuursorgaan is opgedragen”.

De Avg roept in het algemeen op tot terughoudendheid bij gegevensverwerking. Daarbij legt de Avg in artikel 5 de nadruk op doelbinding, rechtmatigheid, behoorlijkheid en transparantie, en minimale gegevensverwerking. Deze begrippen worden hierna verder uitgewerkt.

1. Doelbinding: alleen die gegevens die noodzakelijk zijn vanuit een bepaald doel worden verwerkt. Als het doel van de verwerking vaststaat, mogen de persoonsgegevens ook voor andere doeleinden gebruikt worden, zolang die verenigbaar zijn met het oorspronkelijke doel. Hier wordt een strikte uitleg aan gegeven: “Hoe gevoeliger het gegeven, hoe minder snel mag worden aangenomen dat er sprake is van verenigbaar gebruik indien bij enige verwerking wordt afgeweken van het oorspronkelijke doel”.
2. Rechtmatigheid, behoorlijkheid en transparantie: persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.
3. Minimale gegevensverwerking: persoonsgegevens dienen toereikend te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

Deze versturen we 3-4x per jaar.