Hoe kan het social return beleid van gemeenten in overeenstemming met de privacyregels worden uitgevoerd?

mei 2018

Onze gemeente voert een actief social return beleid en wil daarmee werkgelegenheid creëren voor mensen met een afstand tot de arbeidsmarkt. Dit doen wij onder meer door social return verplichtingen te hanteren bij aanbestedingen. Bij de uitvoering van dit sociale beleid loopt de gemeente tegen de Algemene verordening gegevensbescherming (AVG) aan. Op welke wijze kan de gemeente controleren dat ondernemingen inderdaad bepaalde personen met een afstand tot de arbeidsmarkt in dienst hebben of zullen betrekken bij de uitvoering van de social return verplichting zonder dat de privacyregelgeving wordt overtreden?

Antwoord in het kort

Onder bepaalde voorwaarden is het toegestaan om persoonsgegevens te verwerken zodat duidelijk wordt welke personen uit het gemeentelijke sociale dienstbestand kunnen worden ingezet via social return. Zo moet het uitvragen van persoonsgegevens van mensen met een afstand tot de arbeidsmarkt noodzakelijk zijn voor het geven van inzicht in de realisatie van social return. Het verdient echter de voorkeur dat de gemeente geanonimiseerde gegevens opvraagt. Wanneer dit niet mogelijk is, dienen de betreffende personen met een afstand tot de arbeidsmarkt toestemming te verlenen voor het verstrekken van hun persoonsgegevens. In het geval van de inzet van social return bij aanbestedingen zijn de opdrachtnemers ervoor verantwoordelijk dat deze kwetsbare groep rechtsgeldige toestemming verleent.

Doelstelling social return beleid

De inzet van social return verplichtingen bij bijvoorbeeld (Europese) aanbestedingen stimuleert sociaal ondernemerschap en het creëren van arbeidsplaatsen voor mensen met een afstand tot de arbeidsmarkt. Doordat opdrachtnemers uitkeringsgerechtigden in dienst nemen, worden de sociale lasten van de gemeente verminderd. Er liggen veel kansen voor social return bij opdrachten die veel laaggeschoolde arbeid omvatten. Ook opdrachten met een lange looptijd bieden goede perspectieven voor het verwezenlijken van social return. Het is de bedoeling om social return zodanig in te zetten dat werkzoekenden of kwetsbare groepen niet alleen tijdens een opdracht van de gemeente aan de slag kunnen, maar dat zij ook op langere termijn kunnen blijven werken.

Het is overigens volgens onder meer de Europese vrij verkeersregels niet toegestaan dat een gemeente ondernemers voorschrijft dat de personen met een afstand tot de arbeidsmarkt die worden ingezet bij de uitvoering van de opdracht tot dezelfde gemeente moeten behoren. Dit is strijd met het beginsel van gelijke behandeling.

Rechtmatig verwerken van persoonsgegevens volgens de AVG

Gemeenten dienen ervoor te waken dat social return zo min mogelijk registratie en papierwerk oplevert. Bij het verifiëren van de invulling van de social return verplichting bij aanbestedingen kan het echter voorkomen dat gegevens van personen met een afstand tot de arbeidsmarkt worden verwerkt. Op het moment dat persoonsgegevens worden verwerkt, is de privacywetgeving van toepassing en moet er worden voldaan aan de regels van de Europese Algemene verordening gegevensbescherming (AVG).

Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een geïdentificeerde of identificeerbare natuurlijke persoon. De verwerking van persoonsgegevens omvat vrijwel elke handeling met betrekking tot persoonsgegevens, zoals het verzamelen, verstrekken, vastleggen, bewaren, wijzigen, gebruiken, verwijderen en zelfs inzien van de gegevens. Zowel het overhandigen van de persoonsgegevens door een ondernemer (in dit praktijkvoorbeeld de opdrachtnemer) als het inzien en opslaan van de persoonsgegevens door de gemeente zal dus aan de vereisten van de privacywetgeving moeten voldoen.

Degene die het doel van – en de middelen voor – de verwerking van de persoonsgegevens vaststelt, wordt aangemerkt als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG. Vaak zal dit – in een praktijkvoorbeeld als deze – de aanbestedende dienst (dus de gemeente) zijn. Deze verwerkingsverantwoordelijke heeft een aantal verplichtingen onder de AVG. Zo moet de verwerkingsverantwoordelijke er onder meer zorg voor dragen dat de persoonsgegevens rechtmatig verwerkt worden volgens de verwerkingsbeginselen van artikel 5 van de AVG.

Beginsel van de minimale gegevensverwerking

Het beginsel van minimale gegevensverwerking stelt dat het verwerken van persoonsgegevens noodzakelijk moet zijn voor het doel waarvoor de gegevens worden gebruikt. Het is met andere woorden niet toegestaan om persoonsgegevens uit te vragen in het geval dat het doel waar de gegevens voor worden uitgevraagd ook op een andere manier kan worden bereikt. Het is daarom van belang dat zowel de gemeente als ondernemers kijken naar andere mogelijkheden voor het door de ondernemer aantonen van de invulling van de social return verplichting, zonder dat er persoonsgegevens worden overhandigd. Mogelijk kan met algemene of geanonimiseerde documenten worden aangetoond dat er personen met een afstand tot de arbeidsmarkt bij het bedrijf in dienst zijn en is het verstrekken van de persoonlijke gegevens dus niet noodzakelijk. De AVG is niet van toepassing op gegevens die op zodanige wijze zijn geanonimiseerd dat deze niet meer herleidbaar zijn tot een persoon.

Rechtsgrondslag voor verwerking

Wanneer het niet mogelijk is om gegevens anoniem te verstrekken, dan dienen de ondernemer en de gemeente beiden een rechtsgrondslag te hebben waarop zij de persoonsgegevens kunnen verwerken. De mogelijke grondslagen staan opgesomd in artikel 6 van de AVG. De verwerking kan onder meer toegestaan zijn wanneer:

Toestemming van de betrokkene

Bij het aantonen van het vervullen van de social return verplichting bij aanbestedingen zullen de gemeente en de opdrachtnemer zich moeten beroepen op de grondslag toestemming van de betrokkene (artikel 6 lid 1 onder a AVG). De personen met een afstand tot de arbeidsmarkt zijn de betrokkenen die toestemming moeten geven. De VNG adviseert gemeenten in de Handreiking Social Return om bij de inzet van social return bij aanbestedingen in de publicatie van de opdracht duidelijk te maken dat ondernemers toestemming aan deze kwetsbare personen moeten vragen om de persoonsgegevens te delen.

De AVG en de nationale Uitvoeringswet stellen strengere regels aan het toestemmingsvereiste dan de voorheen geldende Wet bescherming persoonsgegevens (Wbp). De toestemming moet vrijelijk en geïnformeerd worden gegeven, voor specifieke aangelegenheden en de toestemming moet op elk moment kunnen worden ingetrokken. Bovendien dient de toestemming te worden gegeven door middel van een actieve en ondubbelzinnige handeling. Zowel de gemeente als de betrokken ondernemers dienen hier rekening mee te houden bij de uitvoering van social return beleid.

Functionaris Gegevensbescherming

Op grond van de AVG dienen alle gemeenten een Functionaris Gegevensbescherming in dienst te hebben die binnen de organisatie toezicht houdt op de toepassing en naleving van de privacyregelgeving (art. 37 AVG). Het is raadzaam om met deze functionaris te overleggen over de manier waarop persoonsgegevens voor social return door de gemeente worden verzameld.

Door:

Marieke Merkus, Europa decentraal

MEER INFORMATIE:

Social return, aanbestedingsdossier Europa decentraal
Aanbestedingen, Europa decentraal
Sociale criteria, Europa decentraal
Maatschappelijk aanbesteden, Europa decentraal
Themapagina privacy, Europa decentraal
Aanbesteden in overeenstemming met privacyregelgeving, nieuwsbericht Europa decentraal
Wanneer mogen persoonsgegevens verwerkt worden?, praktijkvraag Europa decentraal

X