32 761 Verwerking en bescherming persoonsgegevens

Nr. 98 BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 29 april 2016

Met deze brief voldoe ik, mede namens de Minister van Veiligheid en Justitie, aan het verzoek van het lid Voortman (GroenLinks) om een brief over het rapport van de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens (hierna: Autoriteit) heeft bij 41 gemeenten onderzocht hoe zij toestemming gebruiken bij de verwerking van persoonsgegevens in het sociaal domein en hoe zij hun inwoners informeren over deze verwerking van hun gegevens. Conform de Wet bescherming persoonsgegevens (Wbp) moet er voor het verwerken van persoonsgegevens onder andere sprake zijn van een wettelijke grondslag. In de Wbp staan onder artikel 8 zes mogelijke grondslagen. De eerstgenoemde grondslag in de wet is wanneer de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor het verwerken van zijn persoonsgegevens. De Autoriteit heeft in 2015 gegevensverwerking in het sociaal domein als speciaal aandachtspunt voor onderzoek geagendeerd. Zij vermoedde dat er ten aanzien van toestemming sprake was van een privacyrisico. Ik ben de Autoriteit dan ook zeer erkentelijk voor dit rapport.

Uit het onderzoek bleek dat de meeste gemeenten hun burgers toestemming vragen voor het verwerken van persoonsgegevens wanneer zij bij de gemeenten aankloppen voor ondersteuning in het sociaal domein. De Autoriteit stelt terecht dat toestemming meestal geen wettelijke grondslag kan zijn voor gegevensverwerking in het sociaal domein, omdat cliënten afhankelijk zijn van de gemeenten voor het verlenen van zorg. De Autoriteit stelt daarbij dat deze gemeenten geen duidelijk beeld hebben van welke gegevens ze mogen gebruiken, voor welke doelen ze dit mogen en op basis van welke grondslagen, noch wat de rol van toestemming daarbij kan of moet zijn.

Het rapport van de Autoriteit is gebaseerd op een onderzoek waarvoor in mei 2015 gegevens zijn opgevraagd bij gemeenten, enige maanden na de transitie van 1 januari 2015. Het afgelopen jaar heeft er met deze transitie een enorme verandering plaatsgevonden in het sociaal domein. Het doel van die verandering was meer maatwerk mogelijk te maken voor mensen die hulp en ondersteuning nodig hebben. Daarvoor is een andere manier van werken nodig. Juist de ruimte die de decentralisatiewetten bieden maakt het mogelijk voor gemeenten om samenhang te creëren in de hulpverlening uit verschillende domeinen. Deze transformatie is nog in volle gang.

Ik herken dat gemeenten aan de ene kant zo goed mogelijk invulling moeten geven aan de lokale ondersteuningsbehoefte waarvoor ze gegevens moeten verwerken en anderzijds ervoor moeten zorgen dat de gegevensuitwisseling voldoet aan de Wet bescherming persoonsgegevens en de materiewetten. Het was aanvankelijk nog niet voor alle gemeenten duidelijk hoe ze aan beide principes gelijktijdig recht kunnen doen. Uiteraard ben ik met de Autoriteit van mening dat gemeenten binnen de kaders van de wet moeten werken en dat zij daarvoor moeten weten wat die kaders inhouden en hoe zij daarmee om moeten gaan. Gemeenten zijn in de eerste plaats nu zelf verantwoordelijk voor het waarborgen van de privacy in hun werkprocessen.

Zoals gesteld, is in het afgelopen jaar heel veel gebeurd zowel bij de gemeenten als vanuit het Rijk en de VNG. Zo is er veel gedaan aan ondersteuning van gemeenten om meer helderheid te krijgen in hoe zij op een gestructureerde wijze privacy kunnen waarborgen in hun werkprocessen. Ik herken het beeld dat geschetst wordt door de Autoriteit ten aanzien van de wijze waarop gemeenten in ieder geval ten tijde van het onderzoek met het vragen van toestemming voor gegevensverwerking omgingen. Dat is ook de reden dat we aan dit onderwerp in de ondersteuning van gemeenten op verschillende manieren extra aandacht hebben besteed.

  • 1. In de eerste plaats is er de visie Zorgvuldig en bewust, gegevensverwerking en privacy in een gedecentraliseerd sociaal domein (Kamerstuk 32 761, nr. 62) die in mei 2014 gepubliceerd is.

  • 2. Daarnaast is er de Privacy Impact Assessment gemeentelijke 3D informatiehuishouding (bijlage bij Kamerstuk 32 761, nr. 76). Daarin worden de verschillende mogelijke handelingsperspectieven van gemeenten geschetst voor de vormgeving van privacy in hun werkprocessen. Op basis daarvan kunnen gemeenten een sluitende aanpak realiseren.

  • 3. Er is een aparte factsheet over de rol van toestemming voor gegevensverwerking gemaakt die te vinden is op de site van de VNG.

  • 4. Omdat het Rijk en de VNG wisten dat er op de punten die de Autoriteit noemt nog veel werk aan de winkel was, hebben ze samen zogeheten masterclasses privacy sociaal domein georganiseerd. Er hebben negen masterclasses voor beleidsmedewerkers en juristen bij gemeenten plaatsgevonden en vijf voor wijkteamleiders. Er worden op dit moment nog steeds masterclasses gegeven, nu onder de vlag van de VNG. Ook zijn er voor een aantal gemeenten in company trainingen georganiseerd. Toestemming is een thema dat hierin apart behandeld wordt. Ook de andere punten die de Autoriteit beschrijft komen hierin uitgebreid aan bod en de deelnemers krijgen de instrumenten aangereikt om het juridisch fundament voor gegevensverwerking goed in te richten langs de lijnen die in de Privacy Impact assessment 3D zijn uitgezet en die stroken met de aanbevelingen die de Autoriteit doet. Daarnaast krijgen gemeenten in de masterclasses instrumenten aangereikt om te zorgen dat professionals ook in de praktijk conform de Wet bescherming persoonsgegevens en de eisen die gesteld worden in de materiewetten kunnen handelen in de vorm van een triagekader en -instrument.

  • 5. Alle handreikingen worden (voor zover ze dat nog niet waren) ook toegankelijk gemaakt voor medewerkers van gemeenten die niet deelnamen aan de masterclasses.

  • 6. Veel gemeenten zijn het afgelopen jaar begonnen met het nemen van maatregelen gericht op een zorgvuldige omgang met persoonsgegevens, in lijn met de aanbevelingen in het rapport van de Autoriteit. Dat proces is bij veel gemeenten nog in volle gang. In aanvulling daarop zijn de directeuren sociaal domein van de G32 een traject gestart in samenwerking met BZK, dat erop gericht is om continu te kunnen sturen en bijsturen op een goede uitvoering van die maatregelen in de praktijk op basis van managementinformatie.

  • 7. Daarnaast wordt in samenwerking met de VNG, GGZ Nederland en andere beroeps- en brancheorganisaties in het sociaal domein gewerkt aan een manifest gericht op waarborging van privacy in de jeugdzorg en vuistregels voor de samenwerking tussen professionals. Het Rijk ondersteunt dit traject inhoudelijk.

Er zijn binnen deze activiteiten vanuit het Rijk handreikingen gedaan om helderheid te scheppen voor gemeenten over voor welke doelen en op basis van welke grondslagen ze gegevens mogen verwerken. Ik ben het dan ook niet eens met de Autoriteit dat het Rijk hiervoor geen handreiking zou hebben gedaan. Het is echter onwaarschijnlijk dat de resultaten van deze inspanningen al volledig zichtbaar waren ten tijde van het onderzoek.

De Autoriteit stelt dat er geen grondslag is voor domeinoverstijgende verwerking van persoonsgegevens. Zoals ik al eerder heb toegelicht in de beleidsvisie Zorgvuldig en bewust (Kamerstuk 32 761, nr. 62), acht ik overkoepelende wettelijke regelgeving op dit moment niet aangewezen. In de visie wordt de juridische basis voor domeinoverstijgende samenwerking geschetst. Die grondslag is samengesteld omdat deze op grond van de Wet bescherming persoonsgegevens op verschillende argumenten kan stoelen, afhankelijk van de specifieke verwerking per casus. Dat is verder uitgewerkt in de Privacy Impact Assessment gemeentelijke 3D informatiehuishouding (bijlage bij Kamerstuk 32 761, nr. 76). Het nader vastleggen is op dit moment niet wenselijk omdat dat de ruimte zoals die gewenst is bij de decentralisaties te zeer beperkt en daarmee maatwerk niet goed mogelijk maakt.

Het rapport van de Autoriteit vraagt op een goede manier aandacht voor de problematiek bij de gemeenten. Het is belangrijk dat gemeenten die nog onvoldoende bezig zijn met privacy kennisnemen van het rapport en aanspreekbaar zijn op hun verantwoordelijkheden in de richting van de Autoriteit. Het zou ook goed zijn wanneer de Autoriteit zou nagaan in hoeverre de situatie is verbeterd. Ik benadruk daarbij dat de gemeenten individueel verantwoordelijk zijn dat ze zich aan de wet houden. Mijn departement blijft ze zoals beschreven met raad en daad bijstaan.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, R.H.A. Plasterk

Naar boven