Gemeenteblad van Kaag en Braassem

Datum publicatieOrganisatieJaargang en nummerRubriek
Kaag en BraassemGemeenteblad 2015, 3113Overige besluiten van algemene strekking
Vaststelling Privacyreglement sociaal domein Kaag en Braassem 2015
Burgemeester en wethouders van de gemeente Kaag en Braassem;
gelet op het bepaalde in:
  • artikel 8 van het Europees Verdrag tot Bescherming van de Rechten van de Mens (EVRM);
  • de Wet bescherming persoonsgegevens;
  • de Wet basisregistratie personen;
  • de Archiefwet 1995;
  • de Jeugdwet (hoofdstuk 7);
  • de invoeringswet Participatiewet;
  • de Wet maatschappelijke ondersteuning 2015 (hoofdstuk 5);
  • de Verordening sociaal domein Kaag en Braassem;
  • de Baseline Informatiebeveiliging Gemeenten (BIG);
  • het informatiebeveiligingsbeleid gemeente Kaag en Braassem;
overwegende
  • dat de uitvoering van de taken in het kader van het sociaal domein in Kaag en Braassem het nodig en gewenst maken dat de gemeente, sociale partners en ketenpartners persoonsgegevens uitwisselen en/of anderszins verwerken;
  • dat de betrokken partijen zich bij het verwerken van persoonsgegevens ervan bewust zijn, dat zij gebonden zijn aan wet- en regelgeving over onder meer privacy en beroepsgeheim en aan verplichtingen die voortvloeien uit beroepscodes;
  • dat de betrokken partijen voor de verwerking van persoonsgegevens binnen hun eigen organisatie hun eigen privacyreglement opstellen of hebben opgesteld;
  • dat de betrokken bestuursorganen en deelnemende organisaties zich er bovendien van bewust zijn dat steeds gezocht moet worden naar een evenwicht tussen het belang van gegevensuitwisseling en -verwerking in het kader van de dienstverlening aan betrokkenen en het belang van die betrokkenen bij de bescherming van hun persoonlijke levenssfeer;
  • dat het college in verband met deze gegevensuitwisseling en -verwerking een aantal regels wil vaststellen waaraan alle partijen zich dienen te houden;
besluiten:
vast te stellen het Privacyreglement sociaal domein Kaag en Braassem 2015.
Paragraaf 1. Algemene bepalingen
Artikel 1. Begripsbepalingen
In dit reglement wordt verstaan onder:
  • a.
    persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
  • b.
    integraal plan: het plan zoals omschreven in artikel 8 van de Verordening sociaal domein Kaag en Braassem;
  • c.
    voorzieningen: diensten aan inwoners, zoals omschreven in hoofdstuk 3 van de Verordening sociaal domein Kaag en Braassem;
  • d.
    verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
  • e.
    betrokkene: degene op wie een persoonsgegeven betrekking heeft;
  • f.
    bijzondere persoonsgegevens: persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag;
  • g.
    dossier: geheel van schriftelijk of elektronisch vastgelegde gegevens met betrekking tot de verlening van ondersteuning of jeugdhulp aan een inwoner of de uitvoering van een kinderbeschermingsmaatregel of jeugdreclassering;
  • h.
    toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;
  • i.
    verantwoordelijke: de natuurlijke of rechtspersoon, ieder ander die of het bestuursorgaan dat alleen of samen met anderen, het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt;
  • j.
    derde: ieder, niet zijnde de betrokkene, de verantwoordelijke of enig persoon die onder rechtstreeks gezag van de verantwoordelijke gemachtigd is om persoonsgegevens te verwerken;
  • k.
    verstrekken van persoonsgegevens: het bekendmaken of ter beschikking stellen van persoonsgegevens;
  • l.
    verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;
  • m.
    Wbp: Wet bescherming persoonsgegevens;
  • n.
    ZRM: zelfredzaamheidsmatrix. De ZRM is een instrument waarmee de vraag en de zelfredzaamheid van een inwoner kan worden bepaald. De gegevens bestaan uit 11 levensdomeinen (Financiën, Dagbesteding, Huisvesting, Huiselijke relaties, Geestelijke gezondheid, Lichamelijke gezondheid, Verslaving, Activiteiten van het dagelijks leven, Sociaal netwerk, Maatschappelijke participatie, Justitie) en voor ieder van deze domeinen een score-aanduiding die de mate van zelfredzaamheid uitdrukt;
Paragraaf 2. Verwerking van persoonsgegevens
Artikel 2. Doelen van het verzamelen en verwerken van persoonsgegevens
Persoonsgegevens worden verzameld en verwerkt om integrale hulp en ondersteuning aan inwoners te kunnen bieden en om uitvoering te kunnen gegeven aan wet- en regelgeving binnen het sociaal domein.
  • 1.
    De verwerking van persoonsgegevens heeft ook tot doel om een integraal plan mogelijk te maken, dat gericht is op een duurzame oplossing, waarbij gestreefd wordt naar het naar vermogen zelfredzaam zijn van betrokkene op alle levensdomeinen.
  • 2.
    Persoonsgegevens worden slechts verzameld en verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk, toereikend, ter zake dienend en niet bovenmatig zijn.
Artikel 3. Voorwaarden voor de verwerking
  • 1.
    De betrokkene verleent ondubbelzinnig toestemming voor de verwerking van zijn persoonsgegevens.
  • 2.
    Indien de betrokkene geen toestemming verleent, maar de verwerking van zijn persoonsgegevens nodig is voor de uitvoering van de Jeugdwet, de Wmo 2015 of de Participatiewet of voor de behartiging van een gerechtvaardigd belang, wordt aan de betrokkene medegedeeld waarom in dit geval zijn persoonsgegevens worden verwerkt.
Artikel 4. Verantwoordelijkheid verwerken persoonsgegevens
  • 1.
    De verantwoordelijkheid voor de verwerking van de persoonsgegevens, zoals in dit protocol beschreven, berust bij het college van burgemeester en wethouders.
  • 2.
    Het college stelt met de betrokken partijen het doel en de middelen voor de verwerking van de persoonsgegevens vast.
Artikel 5. Werkwijze, integraal plan
  • 1.
    Een inwoner die voor de eerste maal een beroep doet op hulp of ondersteuning in het sociaal domein wordt vooraf schriftelijk (via een brochure) en/of mondeling geïnformeerd over de verwerking van zijn persoonsgegevens. De informatie betreft in ieder geval: algemene informatie over de werkwijze, wie de verantwoordelijke is, het doel van de verwerking, om welke gegevens het gaat en wie toegang tot deze gegevens heeft.
  • 2.
    Samen met een inwoner die een beroep doet op diensten (waaronder voorzieningen) in het sociaal domein wordt bij aanvang en periodiek de zelfredzaamheid vastgesteld aan de hand van de Zelfredzaamheidsmatrix (ZRM). De ZRM wordt niet toegepast indien bij betrokkene al eerder een ZRM is toegepast en de situatie ongewijzigd is gebleven. Ook bij een verzoek om advies of informatie of bij een enkelvoudige hulpvraag, wordt de ZRM niet toegepast.
  • 3.
    De inwoner heeft zoveel mogelijk de regie over zijn eigen hulp of ondersteuning. Indien nodig, bij meervoudige en complexe problematiek, stelt het kernteam samen met de inwoner een integraal plan op, in overleg met en/of in aanwezigheid het sociaal netwerk van de inwoner.
  • 4.
    Bij meervoudige of complexe problematiek kan de medewerker van het kernteam, alleen na instemming van de betrokkene, contact opnemen met andere professionals binnen het sociaal domein, om zo benodigde gegevens te verzamelen.
Artikel 6. Verwerken persoonsgegevens bij behandelen, toekennen en afrekenen van een maatwerkvoorziening in natura of pgb
Voor het behandelen van een hulp- of ondersteuningsvraag en voor het toekennen van, rapporteren over en afrekenen van een maatwerkvoorziening in natura of pgb, worden van de betrokkene, medewerkers van betrokken partijen en personen uit het netwerk van de betrokkene en daarmee verbonden gegevensgebieden, gegevens verwerkt zoals aangegeven in artikel 7, Tabel verwerking persoonsgegevens.
Artikel 7. Categorieën van betrokkenen en soorten van persoonsgegevens
  • 1.
    De volgende categorieën van persoonsgegevens worden verwerkt:
    • a.
      BSN-nummer;
    • b.
      NAW-gegevens;
    • c.
      gegevens uit de zelfredzaamheidsmatrix;
    • d.
      het integraal plan, opgesteld in samenspraak met betrokkene;
    • e.
      voor onderdelen b., c. en d. geldt dat ook de wijzigingen worden verwerkt.
  • 2.
    Naast de gegeven als omschreven in het eerste lid kunnen de volgende gegevens worden verwerkt:
    • a.
      registraties van gemeente en andere partijen over voorzieningen of ingezette ondersteuning, die inwoners (betrokkenen) gebruiken of geleverd krijgen. Een registratie bevat geen inhoudelijke dossiergegevens (geen wat-informatie), maar bestaat uitsluitend uit de naam en de status van de voorziening of ondersteuning (uitsluitend dat-informatie), en uit gegevens van de contactpersoon/hulpverlener van die voorziening of ondersteuning;
    • b.
      informatie over de (medische) advisering die ter beoordeling van de aanvraag is opgevraagd. Ook hier bevat een registratie uitsluitend ‘dat-informatie’.
  • 3.
    Een besluit om registraties als bedoeld in het tweede lid onder a. op te nemen kan worden genomen indien dat naar het oordeel van de gemeente nodig mocht blijken voor realisering van de doelstellingen van het gemeentelijk beleid.
Artikel 8. Tabel verwerking persoonsgegevens
Gegevens-gebied
Welke gegevens (voor zover noodzakelijk)
Wie verstrekt (verstrekker)
Aan wie (ontvanger)
Doel (grondslag in regelgeving)
A.
Cliënt, betrokkene, inwoner gemeente
Naw-gegevens,
burgerlijke staat, geboortedatum, geslacht, corre-spondentiege-gevens, telefoon-nummer(s), emailadres en BSN
Betrokkene, cliënt, (jeugd-hulp vragende jeugdige en/of ouders, ondersteuning vragende inwoner)
Kernteam
Team Wmo gemeente
Aanbieders
Huisarts
Medisch specialist
Vrijgevestigde hulpverlener
Gemeente Leiden (beschermd wonen)
Registratie voor verlening van hulp en ondersteuning, behandelen van de hulpvraag, toelei-den naar algemene voorziening en/of maatwerkvoor-ziening
B.
Personen uit het netwerk van de cliënt
Naw-gegevens, geslacht, corre-spondentiegege-vens, telefoon-nummer(s), emailadres
Door het kern-team in overleg met cliënt te benaderen personen uit het netwerk van de cliënt
Kernteam
Team Wmo gemeente
Inwinnen van informatie t.b.v. het opstellen van het plan, verlening van hulp en/of ondersteuning, behandelen van de hulpvraag
C.
Behandelen hulpvraag:
Verslag en plan
Gespreksverslag: namen gespreks-deelnemers, datum, wijze contact, naw-gegevens van cliënt, sociaal netwerk, voorstel voor aanpak
Integraal plan:
Idem als gespreks-verslag en inhoudelijk advies over toeleiden naar voorziening
De cliënt en/of het Kernteam verzamelt de informatie en stelt de documenten op
Cliënt en/of Kernteam
Bieden van ondersteuning en/of inschakelen van een algemene voorziening of maatwerkvoor-ziening
D.
Beschikking maatwerk-voorziening natura of pgb
Naw-gegevens aanvrager (cliënt), behandelend mede-werker/ contactper-soon kernteam, doel, evt. advies van deskundige, gespreksverslag en integraal plan
Het Kernteam verzamelt de informatie en stelt na overleg met de cliënt over verslag en plan de beschikking op
Cliënt
Zorgaanbieder
CAK (alleen info tbv ouderbijdra-ge/eigen bijdrage)
SVB (alleen info tbv pgb)
Toekennen van maatwerkvoor-ziening in natura of pgb
E.
Rapportage over voort-gang en uitvoering maatwerk-voorziening
Naw-gegevens cliënt, rapportage over geboden hulp of ondersteuning
Zorgaanbieder
Behandelaar/medisch specialist
Vrijgevestigde hulpverlener
Via pgb ge-contracteerde hulpverlener
Kernteam
Monitoring uitvoering toegekende maat-werkvoorziening
F.
Declareren en facture-ren door aanbieder
Beschikking toe-kennen maatwerk-voorziening in natura
Naturabeschik-king: aanbieder dient factuur in/ gemeente bevoorschot
Pgb: SVB heeft het budget, bevoorschot en controleert de facturen pgb hulpverlener
Natura: de gemeente (bij jeugd de instantie die opdrachtgeverschap uitvoert obv DVO)
Pgb: SVB informeert de gemeente (bij jeugd de instantie die opdrachtgever-schap obv DVO uitvoert
Controle rechtmatigheid natura: uitbetaling aan zorgaanbieder
Pgb: afrekenen van bestedingen uit budget.
Artikel 9. Verwerken van bijzondere persoonsgegevens
  • 1.
    De volgende bijzondere persoonsgegevens worden niet verwerkt:
    • a.
      persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven;
    • b.
      persoonsgegevens betreffende het lidmaatschap van een vakvereniging;
    • c.
      strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
  • 2.
    Het verbod om persoonsgegevens betreffende iemands gezondheid als bedoeld in het eerste lid te verwerken, is niet van toepassing indien de verwerking geschiedt door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is.
  • 3.
    Het verbod om andere persoonsgegevens als bedoeld in het eerste lid, onder a te verwerken, is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van persoonsgegevens betreffende iemands gezondheid als bedoeld in het tweede lid, met het oog op een goede behandeling of verzorging van de betrokkene.
  • 4.
    Indien verwerking van persoonsgegevens als bedoeld in het eerste lid noodzakelijk is, is uitdrukkelijke schriftelijke toestemming van de betrokkene vereist.
Paragraaf 3. Rechten van betrokkene
Artikel 10. Afkomst persoonsgegevens
  • 1.
    Persoonsgegevens worden verkregen bij de betrokkene zelf.
  • 2.
    Indien persoonsgegevens worden verkregen op een andere wijze dan bedoeld in het eerste lid, wordt dit aan de betrokkene medegedeeld, uiterlijk op het moment van vastlegging van de gegevens.
Artikel 11. Verbod verstrekking van persoonsgegevens
  • 1.
    Persoonsgegevens worden niet aan derden verstrekt, tenzij:
    • a.
      de betrokkene hier schriftelijk toestemming voor heeft gegeven;
    • b.
      de betrokkene hier schriftelijk om heeft verzocht;
    • c.
      de verstrekking op grond van een wettelijk voorschrift is vereist;
    • d.
      er dringende en gewichtige redenen zijn.
  • 2.
    Persoonsgegevens worden niet verstrekt indien de verstrekker weet of redelijkerwijs zou moeten weten dat de gegevens zullen worden gebruikt voor een doel dat niet verenigbaar is met het doel van de verwerking.
  • 3.
    Verstrekking van persoonsgegevens vindt niet plaats voor zover dit in strijd zou komen met de geheimhoudingsplicht van de medewerkers van betrokken partijen.
Artikel 12. Geheimhoudingsplicht
De personen die kennis mogen nemen van persoonsgegevens in de dossiers binnen het sociaal domein, zijn gehouden - met inachtneming van beroeps- of ambtsgeheim - tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.
Artikel 13. Recht op inzage en afschrift betrokkene
  • 1.
    Een betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mee te delen of hem betreffende persoonsgegevens worden verwerkt. De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt.
  • 2.
    Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.
  • 3.
    Voordat de verantwoordelijke een mededeling doet als bedoeld in het eerste lid, waartegen een derde naar verwachting bedenkingen zal hebben, stelt hij die derde in de gelegenheid zijn zienswijze naar voren te brengen indien de mededeling gegevens bevatten die hem betreffen, tenzij dit onmogelijk is of een onevenredige inspanning kost.
  • 4.
    Inzage in een dossier blijft achterwege voor zover dit noodzakelijk is in het belang van de bescherming van de persoonlijke levenssfeer van een ander die in het dossier voorkomt.
Artikel 14. Recht op verbetering, aanvulling, verwijdering of afscherming
1.De betrokkene die in kennis is gesteld van verwerking van hem betreffende persoonsgegevens, kan de verantwoordelijke schriftelijk verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze:
  • a.
    feitelijk onjuist dan wel onvolledig zijn,
  • b.
    voor het doel of de doeleinden van de verwerking onnodig of niet ter zake dienend zijn
  • c.
    dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.
Het verzoek bevat de aan te brengen wijzigingen.
  • 1.
    De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.
  • 2.
    De verantwoordelijke draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.
Artikel 15. Rechtsbescherming / indienen bezwaar
Tegen een besluit tot afwijzing van een verzoek om informatie, een verzoek om inzage, een verzoek om verbetering, aanvulling, verwijdering of afscherming, een verzoek om opgave van de deelnemers of derden aan wie mededeling is gedaan van de verbetering, aanvulling, verwijdering of afscherming of een verzoek om verzet, kan een belanghebbende schriftelijk bezwaar maken bij het college van burgemeester en wethouders binnen zes weken na de bekendmaking van dat besluit. De Algemene wet bestuursrecht is van toepassing.
Artikel 16. Bemiddeling en klachtrecht
  • 1.
    Een belanghebbende kan bij het College Bescherming Persoonsgegevens (CBP) een verzoek om bemiddeling bij geschillen over de uitoefening van het recht op inzage of correctie van persoonsgegevens of over de uitoefening van het recht op verzet indienen artikel 47 van de Wet bescherming persoonsgegevens.
  • 2.
    Het CBP kan ambtshalve of op verzoek van een belanghebbende een onderzoek instellen naar de naleving van het bepaalde bij of krachtens de wet en dit reglement.
Paragraaf 4. Beveiliging gegevensverwerking
Artikel 17. Beveiliging van persoonsgegevens
  • 1.
    De verantwoordelijk manager wijst een functioneel applicatiebeheerder aan. De functioneel applicatiebeheerder draagt zorg voor een goede werking van het systeem en verwerking van gegevens binnen het systeem.
  • 2.
    Het college treft passende voorzieningen op het gebied van organisatie en beveiliging van gegevens tegen verlies of aantasting en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. De maatregelen betreffen onder meer de toegang tot persoonsgegevens, de lees- en schrijfbevoegdheden van medewerkers van de gemeente en het vereiste niveau van beveiliging.
  • 3.
    Alle processen rondom de beschikbaarheid, integriteit en veiligheid van informatie worden continu beoordeeld en waar nodig verbeterd.
Artikel 18. Toegang tot persoonsgegevens, autorisatietabel en logging
  • 1.
    De toegang tot persoonsgegevens vindt plaats op basis van autorisatiestructuren. Hiervoor worden gebruikers gekoppeld aan rollen. Per rol wordt de autorisatie tot de verschillende onderdelen van de applicatie geregeld. Met een gebruikersnaam en wachtwoord krijgen gebruikers op een veilige manier toegang tot de gegevens waarvoor zij geautoriseerd zijn.
  • 2.
    De verantwoordelijk manager bepaalt de autorisatiebevoegdheden. De functioneel applicatiebeheerder draagt zorg voor het beheer en onderhoud van de autorisatietabel.
  • 3.
    Het vastleggen, bewerken en raadplegen van de persoonsgegevens is slechts toegestaan voor zover dit noodzakelijk is in het kader van de taak en de werkzaamheden van de geautoriseerde personen, en is beperkt tot die gegevens die noodzakelijk zijn voor een goede taakuitoefening.
  • 4.
    Applicaties voor digitale verwerking van persoonsgegevens hebben een logging-voorziening, waarmee vastgelegd wordt welke personen wanneer hebben ingelogd en welke gegevens zijn ingevoerd of gewijzigd.
Artikel 19. Integriteit
  • 1.
    Een medewerker ‘lekt’ geen vertrouwelijke informatie naar buiten. Een medewerker laat derden niet meeluisteren naar een gesprek over het werk of meekijken naar interne stukken.
  • 2.
    Een medewerker zorgt ervoor dat stukken met vertrouwelijke gegevens, zowel op de werkplek als op de computer, veilig zijn opgeborgen als hij/zij de werkplek verlaat.
  • 3.
    Een medewerker zorgt ervoor dat stukken met vertrouwelijke gegevens niet worden geprint zonder dat hij/zij hierbij aanwezig is.
Artikel 20. Bewaartermijnen
  • 1.
    De persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene(n) te identificeren dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of verwerkt.
  • 2.
    Op dit reglement zijn de wettelijke termijnen uit de Archiefwet, Wmo 2015, Jeugdwet en Participatiewet over bewaartermijnen van toepassing.
Paragraaf 4. Slotbepalingen
Artikel 21. Melding CBP
Het college van burgemeester en wethouders van de gemeente Kaag en Braassem draagt zorg voor de melding als bedoeld in artikel 27 Wbp aan het CBP van de verwerking van persoonsgegevens.
Artikel 22. Inwerkingtreding en citeertitel
  • 1.
    Dit besluit treedt in werking op de dag volgende op die van de bekendmaking in het Gemeenteblad en werkt terug tot en met 1 januari 2015.
  • 2.
    Dit privacyreglement wordt aangehaald als Privacyreglement sociaal domein.
Roelofarendsveen 30 december 2014

Burgemeester en wethouders van Kaag en Braassem,

de gemeentesecretaris,

M.E. Spreij

de burgemeester,

mr. K.M. van der Velde-Menting

Toelichting op het privacyreglement
Inleiding
Het Privacy protocol maakt de gegevensverwerking in het kader van de wet- en regelgeving binnen het sociaal domein inzichtelijk voor de gehele keten van betrokkenen bij het sociaal domein. Het gaat hierbij met name om medewerkers van de gemeente, vakinhoudelijk medewerkers van Kernteam, aanbieders van jeugdhulp of maatschappelijke ondersteuning aanbieders of vrij gevestigde specialisten.
In het kader van de uitvoering van de diverse wet- en regelgeving binnen het sociaal domein verwerken de gemeente, het kernteam en de aanbieders persoonsgegevens. Voor de gemeente, het kernteam en de aanbieders geldt dat zij daarbij de wettelijk gestelde de privacyregels in acht moeten nemen.
Artikel 1. Begripsbepalingen
In dit artikel zijn enkele vaak voorkomende begrippen gedefinieerd. De definities zijn overgenomen uit artikel 1 en 16 van de Wet bescherming persoonsgegevens (hierna: de Wbp). Ook zijn enkele begrippen opgenomen die in de Verordening sociaal domein nader zijn uitgewerkt.
Artikel 2. Doelen van het verzamelen en verwerken van persoonsgegevens
Eén van de voorwaarden voor een rechtmatige gegevensverwerking is dat persoonsgegevens alleen mogen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (artikel 7 Wbp). In artikel 2 van het reglement zijn de doelen van het verzamelen en anderszins verwerken van persoonsgegevens zo duidelijk en concreet mogelijk weergegeven.
Artikel 3. Voorwaarden voor de verwerking
Lid 1
De betrokkene verleent ondubbelzinnig toestemming voor de verwerking van zijn persoonsgegevens. Met “ondubbelzinnig” wordt bedoeld dat bij de verantwoordelijke elke twijfel uitgesloten moet zijn over de vraag of de betrokkene toestemming heeft gegeven en voor welke specifieke verwerkingen. De toestemming van de betrokkene moet betrekking hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden. De betrokkene kan slechts verantwoord zijn toestemming geven wanneer hij zo goed mogelijk is ingelicht. Het vragen van de toestemming van de betrokkene impliceert dat hij op de hoogte moet worden gesteld van de gang van zaken met betrekking tot de gegevensverwerking.
Lid 2
Er kunnen zich situaties voordoen waarin het verkrijgen van toestemming door de betrokkene niet kan worden afgewacht, of waarin verwerking van persoonsgegevens noodzakelijk is ondanks het feit dat door de betrokkene geen toestemming verleend is. In dat geval is het verplicht om de betrokkene op de hoogte te brengen van het feit dat zonder zijn toestemming persoonsgegevens zijn verwerkt en voor welk doel.
Artikel 4 verantwoordelijkheid verwerking persoonsgegevens
Ingevolge de Wbp is de verantwoordelijke het bestuursorgaan dat alleen, of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
In dit artikel wordt uitgewerkt dat het college van B&W verantwoordelijk is voor de verwerking van persoonsgegevens, zoals in dit protocol beschreven. Het kader waarbinnen de verwerking van persoonsgegevens plaatsvindt en de wijze waarop, wordt afgestemd met de betrokken partijen als bedoeld in dit protocol.
Artikel 5. Werkwijze, integraal plan
Het eerste lid is een uitwerking van artikel 33 Wbp, waarin een informatieplicht van de verantwoordelijke is geregeld wanneer gegevens bij de betrokkene worden verkregen.
Het voldoen aan deze informatieplicht is belangrijk omdat betrokkene zijn ‘ondubbelzinnige en uitdrukkelijke toestemming’ voor de verwerking van gegevens moet kunnen geven. (zie toelichting artikel 3)
Artikel 8. Tabel verwerking persoonsgegevens
Om een hulpvraag te kunnen behandelen en een besluit te kunnen nemen op een hulpvraag is het nodig persoonsgegevens van de aanvrager en informatie vanuit zijn omgeving te verzamelen. De wijze waarop dat gebeurt, is verbonden aan de gegevensgebieden van betrokkenen. Bij iedere stap in de behandeling van de hulpvraag is aangegeven om welke gegevens het kan gaan, wie de gegevens verstrekt en wie de ontvangen is. Tevens is aangegeven wat het doel van de gegevensverwerking is. Het doel is uitvoering geven aan een wettelijke plicht tot het bieden van jeugdhulp of ondersteuning die door de gemeente verzorgd wordt.
Door de kolomindeling van de tabel wordt duidelijk welke gegevens rechtmatig kunnen
worden gevraagd en verzameld. De opvolgende rijen laten zien welke persoonsgegevens naar een volgende fase van behandeling en bewerking kunnen gaan. De tabel laat zien over welke persoonsgegevens het kan gaan: vanaf het moment dat de hulpvraag bij het kernteam/de gemeente in behandeling komt tot de afhandeling van de declaratie van de toegekende maatwerkvoorziening door de aanbieder.
Artikel 9. Verwerken van bijzondere persoonsgegevens
Lid 1
Dit artikel brengt een verbijzondering aan voor de verwerking van persoonsgegevens.
De aard van sommige persoonsgegevens brengt mee dat de verwerking ervan een grote inbreuk kan vormen op de persoonlijke levenssfeer van de betrokkene, omdat die gegevens gevoelige informatie over iemand verschaffen. De Wbp noemt deze gegevens bijzondere persoonsgegevens. Voor de verwerking van bijzondere persoonsgegevens geldt een strenger regime dan voor gewone persoonsgegevens.
Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands: godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Verder zijn bijzondere persoonsgegevens strafrechtelijke persoonsgegevens; en persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een gebiedsverbod).
Lid 2
Op het verbod om bijzondere persoonsgegevens betreffende iemands gezondheid te verwerken, geldt een uitzondering wanneer het verwerken van deze persoonsgegevens nodig is met het oog op een goede behandeling van de betrokkene. Deze verwerking mag dan geschieden door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening. Deze bepaling is gebaseerd op art. 21, lid 1, aanhef en onder a van de Wbp.
Lid 3
Dit artikellid is een vertaling van art. 21, lid 3 Wbp, op grond waarvan het verbod om andere bijzondere persoonsgegevens niet geldt wanneer deze verwerking noodzakelijk is in aanvulling op de verwerking van persoonsgegevens betreffende iemands gezondheid, met het oog op een goede behandeling of verzorging van de betrokkene.
Lid 4
Dit artikellid is gebaseerd op art. 23, lid 1, aanhef en onder a van de Wbp op grond waarvan verwerking van bijzondere persoonsgegevens is toegestaan voor zover dit geschiedt met uitdrukkelijke toestemming van de betrokkene.
Artikel 10. Afkomst persoonsgegevens
Persoonsgegevens mogen slechts worden verwerkt indien zij rechtmatig zijn verkregen. De eerste bron voor het verkrijgen van persoonsgegevens is de betrokkene zelf. Voorafgaand aan het daadwerkelijk verkrijgen van de informatie, deelt de verantwoordelijke zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd mede.
Gegevens mogen ook bij een ander dan de betrokkene worden verkregen. Dit moet aan de betrokkene worden medegedeeld op het moment van vastlegging van die gegevens.
Daarnaast moeten de identiteit van de verantwoordelijke en de doeleinden van de verwerking aan de betrokkene worden medegedeeld.
Artikel 11. Verbod verstrekking van persoonsgegevens
Verstrekking van persoonsgegevens aan derden kan in beginsel niet zonder uitdrukkelijke toestemming van betrokkene of diens wettelijke vertegenwoordiger. Dit betekent bijvoorbeeld dat gegevens over de ene betrokkene in beginsel niet zomaar aan een andere betrokkene (bijvoorbeeld een gezinslid) mogen worden verstrekt.
Artikel 12. Geheimhoudingsplicht
Alle partijen verplichten zich om geheimhouding te betrachten ten aanzien van de persoonsgegevens waarvan zij in het kader van de dienstverlening kennisnemen. Veel van de partijen zullen al een geheimhoudingsplicht hebben op grond van de wettelijke bepalingen die specifiek voor hen gelden (bijvoorbeeld het ambts- of beroepsgeheim). Artikel 9 is als vangnet bedoeld voor de situaties waarin er geen wettelijk ambts- of beroepsgeheim is.
Een vangnet is overigens ook al opgenomen in artikel 2:5 van de Algemene wet bestuursrecht. Daarin is de hoofdregel opgenomen dat een ieder die op de een of andere wijze betrokken wordt bij de uitvoering van een taak van een bestuursorgaan en in dat kader kennis krijgt van vertrouwelijke gegevens, verplicht is tot geheimhouding daarvan.
Artikel 13. Recht op inzage en afschrift betrokkene
Het recht op inzage is een belangrijk recht van de betrokkene(n). Een betrokkene moet zich daarvoor wenden tot de verantwoordelijke, het college van burgemeester en wethouders. Een ieder moet immers in beginsel in de gelegenheid zijn om na te kunnen gaan of zijn gegevens worden verwerkt. Artikel 13 is een weergave van het artikel 35 Wbp, dat het recht op inzage beschrijft.
Het recht op inzage betreft uitsluitend de eigen gegevens van de betrokkene. Een ouder heeft bijvoorbeeld alleen maar recht op gegevens over hemzelf, en niet op gegevens over de andere ouder. De zinsnede “met redelijke tussenpozen” komt uit artikel 35, eerste lid, Wbp en is opgenomen om duidelijk te maken dat het betrokkene niet is toegestaan om de verantwoordelijke buitensporig vaak om inzage te vragen. Niet aan elk verzoek om inzage behoeft dus te worden voldaan. Van geval tot geval zal moeten worden bekeken of het verzoek redelijk is. Als er sinds de vorige keer nieuwe persoonsgegevens zijn verwerkt, zal er in het algemeen geen reden zijn om het verzoek af te wijzen omdat het onredelijk snel is ingediend.
Een reden voor afwijzing van een verzoek om inzage kan zijn dat de rechten en vrijheden van anderen daaraan in de weg staan (zie bijv. artikel 43 Wbp) Dit kan zich bijvoorbeeld voordoen wanneer anderen gegevens hebben verstrekt onder voorwaarde van geheimhouding van die gegevens. Vandaar dat in de wet ook een regeling is opgenomen ter zake het horen van andere betrokkenen of derden voordat een besluit over het recht op inzage wordt genomen.
Een besluit tot weigering van inzage (door het college) wordt aangemerkt als een besluit in de zin van de Algemene wet bestuursrecht. Dit is bepaald in artikel 45 Wbp. Betrokkene kan hiertegen binnen zes weken een bezwaarschrift bij de verantwoordelijke indienen.
Artikel 14. Recht op verbetering, aanvulling, verwijdering en afscherming
Het recht op verbetering, aanvulling of verwijdering van gegevens die onjuist zijn of ten onrechte zijn verwerkt, is in de Wbp geregeld in artikel 36. Artikel 14 van dit reglement is daaraan ontleend. Het recht op verbetering hangt niet af van de vraag of de verantwoordelijke verwijtbaar heeft gehandeld. Indien bepaalde persoonsgegevens feitelijk onjuist zijn, bestaat een recht op verbetering of aanvulling.
Een besluit tot weigering van verbetering, aanvulling, verwijdering of afscherming (door het college) wordt aangemerkt als een besluit in de zin van de Algemene wet bestuursrecht. Betrokkene kan hiertegen binnen zes weken een bezwaarschrift bij de verantwoordelijke indienen.
Artikel 15. Rechtsbescherming / indienen bezwaar
De belanghebbende kan bezwaar maken. Het gaat om besluiten van de verantwoordelijke, de gemeente, over gegevensverwerking die belanghebbende beftreffen.
Artikel 18. Toegang tot persoonsgegevens, autorisatietabel en logging
De autorisatiestructuren bevatten de rollen van medewerkers die toegang hebben tot persoonsgegevens. Deze personen worden geautoriseerd door de verantwoordelijk manager van de gemeente in samenspraak met de organisatie waarvoor zij werkzaam zijn. Zij krijgen alleen toegang tot die gegevens die voor hun taakuitoefening van belang zijn, en uitsluitend voor zover dit past binnen de doelstelling van de gegevensverwerking (zie artikel 2). Onder strikte voorwaarden kunnen persoonsgegevens worden verstrekt aan derden.
Artikel 19. Integriteit
De opgenomen bepalingen zijn vertaald overgenomen uit de gedragscode voor ambtenaren. Een belangrijk risico waar alle partijen rekening mee dienen te houden is het risico van het gebruik van applicaties via open wifi. Onbevoegden kunnen zo mogelijk inzage krijgen in persoonsgegevens.
Artikel 20. Bewaartermijnen
In de verschillende wetten zijn bepalingen opgenomen over de bewaartermijnen. Voor de Wmo 2015 en de Jeugdwet gaat het bijvoorbeeld om het bewaren van informatie “gedurende vijftien jaren, te rekenen van het tijdstip van ontvangst of vervaardiging, of zoveel langer als redelijkerwijs in verband met een zorgvuldige uitvoering van hun taken op grond van deze wet noodzakelijk is” (artikel 5.3.4 Wmo 2015, artikel 7.3.8 van de Jeugdwet is nagenoeg identiek). Voor het AMHK (Veilig Thuis) geldt het bereiken van de meerderjarige leeftijd als norm (artikel 5.3.4 Wmo 2015).
Artikel 21. Melding CBP
De geautomatiseerde verwerking van persoonsgegevens moet op grond van artikel 27 Wbp door de verantwoordelijken worden gemeld aan het College Bescherming Persoonsgegevens (CBP). Het college zal deze melding doen.