Sociaal domein en privacy

Bij de uitvoering van de taken die gemeenten hebben in het kader van het sociaal domein, worden veelvuldig persoonsgegevens verwerkt. Om een goede dienstverlening te kunnen verlenen, wordt het vaak noodzakelijk geacht om gegevens te kunnen delen binnen de gemeente, maar ook met bijvoorbeeld zorginstanties. Bij alle verwerkingen van persoonsgegevens moet rekening gehouden worden met de regels omtrent privacy en gegevensbescherming.

Privacy en Europa

De bescherming van persoonsgegevens in de EU wordt onder meer geregeld in de Algemene Verordening Gegevensbescherming (AVG). Deze moet sinds 25 mei 2018 toegepast worden. De nieuwe wetgeving stelt verplichtingen voor decentrale overheden, onder andere met betrekking tot gegevensverwerking binnen het sociaal domein.

Persoonsgegevens verwerken

Volgens de AVG mogen persoonsgegevens alleen verwerkt worden als er een grondslag voor is en de verwerkingsbeginselen gerespecteerd worden.

Wat zijn persoonsgegevens? Met persoonsgegevens worden onder andere bedoeld: de naam van een persoon, een foto, het BSN, een e-mailadres, een vingerafdruk, enzovoort. Het begrip ‘verwerken’ is erg ruim en omvat eigenlijk alles wat met persoonsgegevens gedaan kan worden. Het varieert van het verzamelen en het vernietigen van gegevens tot zelfs alleen al het inzien van persoonsgegevens.

Grondslagen

Er zijn verschillende grondslagen waarop persoonsgegevens verwerkt mogen worden. De grondslag voor het verwerken van persoonsgegevens kan in de wet verankerd zijn. Er is dan een wettelijke verplichting voor het verwerken van deze gegevens. In februari 2019 is bijvoorbeeld een wetsvoorstel ingediend om een wettelijke grondslag te creëren om de taak van gemeenten met betrekking tot schuldhulpverlening te verankeren. Zij mogen straks persoonsgegevens die zij nodig hebben voor vroegsignalering direct bij uitkeringsinstanties en de belastingdienst opvragen. Hiernaast verwerken decentrale overheden vaak persoonsgegevens als onderdeel van een taak van algemeen belang of openbaar gezag.

Toestemming

Het is mogelijk om gegevens te verwerken wanneer er toestemming van de betrokkene is. Dit is een grondslag die in het sociaal domein vaak gebruikt wordt. Er moet voorzichtheid worden betracht bij de toepassing van deze grondslag in het geval van kwetsbare personen. Toestemming moet vrijelijk worden gegeven en kan ook altijd weer worden ingetrokken.

In rechtsoverweging 32 van de AVG staat: “Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt”. Uit de Memorie van Toelichting bij de Uitvoeringswet AVG blijkt dat er geen sprake kan zijn van vrijelijk gegeven toestemming wanneer er sprake is van een duidelijke ‘wanverhouding’ tussen de betrokkene en de organisatie, zoals in geval van een overheidsorganisatie en burgers.

Hier leest u meer over alle gronden waaronder persoonsgegevens mogen worden verwerkt, en over de rechtmatigheid van het verwerken van persoonsgegevens.

Verwerkingsbeginselen – Doelbinding & minimale gegevensverwerking

Naast een grondslag moeten een verwerking ook aan de overige verwerkingsbeginselen voldoen. In het sociaal domein is het verwerkingsbeginsel ‘doelbinding’ van belang. Gegevens mogen alleen verwerkt worden met betrekking tot het doel waarvoor ze verkregen zijn. Wanneer gegevens met een ander doel verwerkt worden dan waar zij voor gegeven zijn, worden deze dus niet rechtmatig verwerkt. Er moet dan opnieuw gekeken worden naar de verwerkingsgrondslag. Het is dus niet zomaar toegestaan om informatie over burgers binnen een wijkteam of met een andere organisatie te delen.

Ook moeten decentrale overheden er voor waken dat zij niet teveel persoonsgegevens verzamelen dan noodzakelijk voor hun zorgvraag. De Autoriteit Persoonsgegevens waarschuwt bijvoorbeeld gemeenten die een zelfredzaamheidsmatrix (ZRM) gebruiken na te gaan of hun werkwijze in overeenstemming is met het beginsel van minimale gegevensverwerking.

Zie voor meer informatie onze pagina over gegevensbescherming.

Ondersteuning

Het ministerie van Volksgezondheid, Welzijn en Sport heeft een tool ontwikkeld om overheidsprofessionals in het sociaal domein ondersteuning te bieden bij de afweging om informatie wel of niet te delen. Ook heeft de VNG een raamwerk ontwikkeld om gemeenten te helpen privacy te waarborgen in het sociaal domein.

Daarnaast is er binnen een samenwerkingsverband van gemeenten en andere organisaties een traject ontwikkeld om wettelijke knelpunten op te lossen. Het traject Uitwisseling persoonsgegevens en privacy (UPP) richt zich op aanpassing van de wettelijke kaders en het op orde krijgen van de wettelijke ‘privacybasis’.

 


X