Taken van decentrale overheden
De bescherming van persoonsgegevens in de EU wordt onder meer geregeld in de Algemene Verordening Gegevensbescherming (AVG). Deze moet sinds 25 mei 2018 toegepast worden. De AVG bevat ook diverse verplichtingen voor decentrale overheden, zoals het bijhouden van een register van verwerkingen en het melden van datalekken.
Gemeenten hebben bovendien al sinds januari 2015 vergaande taken gekregen met betrekking tot het sociaal domein. Dit omhelst onder andere jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen. Bij de uitvoering van de taken die gemeenten hebben in het kader van het sociaal domein moet rekening gehouden worden met de regels omtrent privacy en gegevensbescherming.
Persoonsgegevens verwerken
In het sociaal domein worden er veel persoonsgegevens verwerkt. Wat zijn persoonsgegevens? Met persoonsgegevens worden onder andere bedoeld: de naam van een persoon, een foto, het BSN, een e-mailadres, een vingerafdruk, enzovoort. In het sociaal domein gaat het zelfs regelmatig om gevoelige gegevens, zoals medische en strafrechtelijke gegevens. De verwerking hiervan moet dus volgens de AVG plaatsvinden. Het begrip ‘verwerken’ is erg ruim en omvat eigenlijk alles wat met persoonsgegevens gedaan kan worden. Het varieert van het verzamelen en het vernietigen van gegevens tot zelfs alleen al het inzien van persoonsgegevens.
Volgens de AVG mogen persoonsgegevens alleen verwerkt worden als er een grondslag voor is en de verwerkingsbeginselen gerespecteerd worden.
Grondslagen
Er zijn verschillende grondslagen waarop persoonsgegevens verwerkt mogen worden. De grondslag voor het verwerken van persoonsgegevens kan in de wet verankerd zijn. Er is dan een wettelijke verplichting voor het verwerken van deze gegevens. In februari 2019 is bijvoorbeeld een wetsvoorstel ingediend om een wettelijke grondslag te creëren om de taak van gemeenten met betrekking tot schuldhulpverlening te verankeren: de Wet gemeentelijke schuldhulpverlening (Wgs). Gemeente mogen persoonsgegevens die zij nodig hebben voor vroegsignalering direct bij uitkeringsinstanties en de belastingdienst opvragen. Hier blijkt nog vaak onduidelijkheid over te zijn, zo schreven wij in dit nieuwsbericht. Daarom heeft de Autoriteit Persoonsgegevens een handreiking opgesteld.
Decentrale overheden verwerken ook vaak persoonsgegevens als onderdeel van een taak van algemeen belang of openbaar gezag.
Toestemming
Het is mogelijk om gegevens te verwerken wanneer er toestemming van de betrokkene is. Dit is een grondslag die in het sociaal domein vaak gebruikt wordt. Er moet echter wel voorzichtig worden omgegaan met de toepassing van deze grondslag in het geval van kwetsbare personen. Toestemming moet vrijelijk worden gegeven en kan ook altijd weer worden ingetrokken.
In rechtsoverweging 32 van de AVG staat: “Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt”. Uit de Memorie van Toelichting bij de Uitvoeringswet AVG blijkt dat er geen sprake kan zijn van vrijelijk gegeven toestemming wanneer er sprake is van een duidelijke ‘wanverhouding’ tussen de betrokkene en de organisatie, zoals in geval van een overheidsorganisatie en burgers.
Verwerkingsbeginselen
Naast een grondslag moeten een verwerking ook aan de overige verwerkingsbeginselen voldoen. In het sociaal domein is het verwerkingsbeginsel ‘doelbinding’ van belang. Gegevens mogen alleen verwerkt worden met betrekking tot het doel waarvoor ze verkregen zijn. Wanneer gegevens met een ander doel verwerkt worden dan waar zij voor gegeven zijn, worden deze dus niet rechtmatig verwerkt. Er moet dan opnieuw gekeken worden naar de verwerkingsgrondslag. Het is dus niet zomaar toegestaan om informatie over burgers binnen een wijkteam of met een andere organisatie te delen.
Ook moeten decentrale overheden er voor waken dat zij niet teveel persoonsgegevens verzamelen dan noodzakelijk voor hun zorgvraag. De Autoriteit Persoonsgegevens waarschuwt bijvoorbeeld gemeenten die een zelfredzaamheidsmatrix (ZRM) gebruiken na te gaan of hun werkwijze in overeenstemming is met het beginsel van minimale gegevensverwerking.
Ondersteuning
Het ministerie van Volksgezondheid, Welzijn en Sport heeft een tool ontwikkeld om overheidsprofessionals in het sociaal domein ondersteuning te bieden bij de afweging om informatie wel of niet te delen.
Daarnaast is er binnen een samenwerkingsverband van gemeenten en andere organisaties een traject ontwikkeld om wettelijke knelpunten op te lossen. Het traject Uitwisseling persoonsgegevens en privacy (UPP) richt zich op aanpassing van de wettelijke kaders en het op orde krijgen van de wettelijke ‘privacybasis’.
