Gemeenteblad van Hellendoorn
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Hellendoorn | Gemeenteblad 2016, 29225 | Beleidsregels |
Zoals bouwplannen en verkeersmaatregelen.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Hellendoorn | Gemeenteblad 2016, 29225 | Beleidsregels |
Privacyprotocol sociaal domein Gemeente Hellendoorn
Burgemeester en wethouders van Hellendoorn;
Overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen het sociaal domein in de gemeente Hellendoorn;
Vast te stellen het navolgende
Privacyprotocol sociaal domein Gemeente Hellendoorn
De gemeente Hellendoorn werkt met een aantal publieke en private organisaties samen om aan de inwoners van de gemeente integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen. De ambities van de gemeente op deze terreinen zijn beschreven in de kadernota Jeugdhulp 2015-2019:
en de kadernota Wmo 2015-2019:
De decentralisaties hebben wel als gevolg dat gemeenten meer gegevens zullen verwerken en ook meer zullen samenwerken met andere partners. Dat roept vragen op over bijvoorbeeld het delen van gegevens tussen medewerkers binnen ons sociaal team en met zorgleveranciers, huisartsen en overige partijen. Ook heeft de gemeente nu te maken met nieuwe doelgroepen met (voor ons) nieuwe zorgvragen. Een gevolg daarvan is dat niet alles van te voren bepaald kan worden. In de kabinetsvisie “Zorgvuldig en Bewust” 1 is dit ook erkend en wordt gesproken over een ‘lerende praktijk’.
Gelet op bovenstaande is het van belang om als gemeente een duidelijk standpunt uit te dragen hoe zij om wenst te gaan met het thema privacy. De burger, maar ook de gemeenteraad, verwacht terecht dat de overheid op een juiste manier zorgdraagt voor de bescherming van privacygevoelige informatie. Vandaar dit privacyprotocol. Het privacyprotocol beschrijft de doorvertaling van wettelijke kaders naar de gemeentelijke situatie. In het protocol wordt ingegaan op wet- en regelgeving met betrekking tot privacy, de doorvertaling daarvan naar een gemeentelijke visie op het thema privacy en de praktische vertaling daarvan.
Dit protocol bevat algemene regels, geen antwoord op elke vraag. Het antwoord is namelijk sterk afhankelijk van een zorgvuldige afweging van belangen die per situatie kan verschillen. Dit protocol is opgesteld binnen de context van het sociaal domein waarin, op basis van wet- en regelgeving, er duidelijke kaders zijn voor het omgaan met privacy. Dit protocol is bedoeld voor professionals en kan eventueel ook gebruikt worden in de communicatie met ketenpartners, zorgaanbieders of andere partijen.
De Wet bescherming persoonsgegevens (hierna: Wbp) geldt als leidraad voor het juist en zorgvuldig omgaan met persoonsgegevens. Daarnaast zijn in de Jeugdwet, de Wet maatschappelijke ondersteuning 2015 (Wmo) en de Participatiewet diverse bepalingen opgenomen over het verwerken van persoonsgegevens, die dan gelden als aanvullingen op of nadere invulling van de bepalingen uit de Wbp.
Van belang is dat er een juridische grondslag aanwezig moet zijn om gegevens te verwerken. Deze grondslagen zijn beperkt tot een aantal in de Wbp genoemde opties. Vaak wordt hierbij in eerste instantie gedacht aan het vragen van toestemming. Als een cliënt toestemming geeft, dan is gegevensverwerking toegestaan, zo wordt vaak verondersteld. Dat gaat echter vaak niet op. Toestemming is weliswaar een grondslag in de Wbp, maar daaraan is wel de voorwaarde verbonden dat deze vrij en ondubbelzinnig moet zijn verstrekt. Bij de uitvoering van publiekrechtelijke taken in het sociaal domein is er meestal sprake van een afhankelijkheidsrelatie tussen de betrokkenen en de gemeente. Daarom is er in die gevallen geen sprake van vrije toestemming in de zin van de Wbp en kan toestemming dus niet dienen als grondslag voor de gegevensverwerking 2 .
Voor de uitvoering van taken in het sociaal domein is de grondslag, die in de Wbp artikel 8 onder e genoemd, wordt in de meeste gevallen voldoende: “Persoonsgegevens mogen slechts worden verwerkt indien de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt”.
De Wbp roept in het algemeen op tot terughoudendheid bij gegevensverwerking. Daarbij legt de Wbp de nadruk op zorgvuldige afwegingen met betrekking tot doelbinding, subsidiariteit en proportionaliteit van de gegevensverwerking. Deze drie begrippen worden hierna verder uitgewerkt.
Doelbinding: alleen die gegevens die noodzakelijk zijn vanuit een bepaald doel worden verwerkt. Als het doel van de verwerking vaststaat, mogen de persoonsgegevens ook voor andere doeleinden gebruikt worden, zolang die verenigbaar zijn met het oorspronkelijke doel. Hier wordt een strikte uitleg aan gegeven: “Hoe gevoeliger het gegeven, hoe minder snel mag worden aangenomen dat er sprake is van verenigbaar gebruik indien bij enige verwerking wordt afgeweken van het oorspronkelijke doel”.
Betrokkene: de persoon op wie een persoonsgegeven betrekking heeft.
Derde: elke ontvanger van persoonsgegevens, buiten de betrokkene, de partners van de gemeente en degenen die in opdracht van de gemeente gegevens verwerken (hetzij onder rechtstreeks gezag of als bewerker op basis van een bewerkingsovereenkomst).
Partner(s): de gemeente, publieke en private organisaties en zelfstandig werkende professionals die cliënten ter uitvoering van de Wet maatschappelijke ondersteuning, de Jeugdwet en de Participatiewet ondersteuning bieden.
Persoonsgegevens :alle gegevens die betrekking hebben op een geïdentificeerde of een identificeerbare natuurlijke persoon (betrokkene).
Professional: elke persoon die in het sociaal domein beroepsmatig cliëntgebonden werkzaamheden verricht. Dit kan zowel een (gemeente)ambtenaar als een hulpverlener, leerkracht of andere medewerker zijn.
Verwerking van persoonsgegevens : elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval verzamelen, vastleggen, ordenen, bewaren, bijwerken, gegevens wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen.
Verwijzer: Een professional die op basis van contacten met een inwoner een behoefte aan ondersteuning ziet en de inwoner aanmeldt bij de gemeente of een andere organisatie binnen het sociaal domein.
Doel en reikwijdte van de gegevensverwerking
Om aan inwoners van de gemeente Hellendoorn integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen worden persoonsgegevens verwerkt. Het verwerken van persoonsgegevens dient zorgvuldig te gebeuren. Dit protocol geeft daar richtlijnen voor.
Dit protocol is van toepassing op de verwerking van persoonsgegevens binnen het sociaal domein (jeugd, zorg, welzijn, wonen, werk en inkomen). Het gaat daarbij om het verwerken en uitwisselen van persoonsgegevens door de gemeente en haar partners. Welke informatie de gemeente en haar partners over en weer mogen verstrekken wordt bepaald door de privacywetgeving en eigen privacyregelingen van de gemeente en haar partners. Daarnaast maakt de gemeente op een aantal terreinen aparte samenwerkingsafspraken met haar partners. De borging van de privacy rondom de uitwisseling van gegevens maakt een belangrijk onderdeel uit van die afspraken. Dit geldt ook bij het inkopen van zorg en bij het verstrekken van subsidies.
Verantwoordelijkheden van professionals
Medewerkers van de gemeente Hellendoorn hebben op basis van hun rechtspositieregeling 3 een geheimhoudingsplicht, waarvan het zorgvuldig en vertrouwelijk omgaan met gegevens onderdeel uitmaakt. Iedereen die (binnen het doel van de gegevensbewerking) bevoegd is om persoonsgegevens te bewerken zorgt ervoor dat:
De gemeente verwacht van (de medewerkers van) haar partners in het sociaal domein dat zij op dezelfde wijze omgaan met persoonsgegevens. De gemeente legt dit ook vast in alle afspraken die zij maakt met haar partners. Bijvoorbeeld bij het sluiten van inkoopcontracten voor (jeugd)zorgtrajecten, het uitbesteden van werkzaamheden of het maken van afspraken over samenwerking binnen het sociaal domein. Daar waar partners een rol krijgen in het bewerken van persoonsgegevens sluit de gemeente een bewerkersovereenkomst af waarin de afspraken uit dit privacyprotocol meegenomen worden. Ook in andere afspraken, met partners die met ons samenwerken in het zorgdomein, zoals bijvoorbeeld subsidiebeschikkingen, wordt gewezen op het bestaan van dit privacyprotocol en wordt naleving van deze afspraken meegenomen in de afspraken.
De hoofdregels voor zorgvuldig omgaan met privacy
De verwerking van persoonsgegevens moet passen binnen het doel waarvoor deze gegevens verstrekt zijn (doelbinding). Er mogen niet méér persoonsgegevens verwerkt worden dan noodzakelijk (proportionaliteit).
Om de privacy te borgen wordt per klantvraag een afweging gemaakt over de verwerking van persoonsgegevens. Is de verwerking van persoonsgegevens noodzakelijk en zo ja, welke gegevens worden verwerkt? Deze hoofdregels zijn redelijk overzichtelijk en duidelijk, de werkelijkheid is weerbarstiger. Hoe complexer een zaak, hoe meer de afweging gemaakt moet worden tussen het verwerken van (extra) persoonsgegevens versus de noodzaak voor ondersteuning. Professionals moeten zich continu afvragen: is het noodzakelijk voor het gestelde doel, is er een wettelijke grondslag, kan het ook met minder gegevens of op een andere manier, zijn er beperkingen of specifieke regels, is er sprake van een vitaal belang of is de veiligheid van betrokkene of anderen in gevaar?
Elke betrokkene heeft recht om te weten wat er over hem is vastgelegd, tenzij de veiligheid en het vitaal belang van andere burgers daarmee in het geding is. Het recht op inzage (en afschrift, correctie of vernietiging) beperkt zich tot de eigen gegevens.
De professional zal in elk gesprek aangeven welke persoonsgegevens verwerkt moeten worden, en geeft daar ook bij aan waarom de verwerking van deze gegevens noodzakelijk is. Deze argumentatie wordt vastgelegd in het (digitale) dossier van betrokkene.
Informeren van betrokkene: het recht op informatie
Om haar publieke taak goed te kunnen vervullen, moet de gemeente met enige regelmaat persoonsgegevens verwerken. Het kan daarbij gaan om het opslaan (in dossiers), opvragen, raadplegen of verspreiden (delen) van gegevens. De cliënt wordt, zo spoedig als mogelijk is (waar mogelijk vooraf), geïnformeerd over de verwerking van zijn persoonsgegevens. Daarbij wordt aan de cliënt meegedeeld:
Het is van belang dat de professional daarbij rekening houdt met het bevattingsvermogen van de cliënt en dat de cliënt gewezen wordt op het belang dat hij of zij bij de verwerking heeft. De cliënt wordt ook geïnformeerd over de identiteit van de persoon die de verwerking doet en (in het geval van gegevensdeling) met welke partij de persoonsgegevens gedeeld worden.
De cliënt heeft de mogelijkheid om verzet aan te tekenen tegen de verwerking, dit op basis van artikel 40 in de Wbp. Het is dan ter beoordeling van de professional of de verwerking alsnog plaats moet vinden, de verantwoordelijke (de gemeente) beoordeelt binnen 4 weken na ontvangst van het verzet of het verzet gerechtvaardigd is.
Het recht op informatie kan (tijdelijk) worden beperkt, als de professional inschat dat dit noodzakelijk is in het belang van de betrokkene of van de rechten en vrijheden van anderen. Dit kan het geval zijn:
Bij een dergelijke beslissing wordt door de professional vooraf overleg gevoerd met minimaal één collega en de leidinggevende. Deze beslissing wordt met argumentatie vastgelegd in het dossier. De betrokkene wordt zo spoedig mogelijk geïnformeerd over de verstrekking. Dit informeren wordt alleen uitgesteld als er concrete aanwijzingen zijn dat de veiligheid van de betrokkene, gezin of anderen wordt bedreigd.
Verwijzing en (anonieme) signalen
Bij professionele verwijzers wordt de betrokkene geïnformeerd over wie de aanmelding gedaan heeft en welke gegevens verstrekt zijn. Bij signalen van anderen (al dan niet anoniem) wordt de naam van de melder alleen met diens toestemming vermeld. Zowel aanmeldingen als signalen worden met de betrokkene besproken vóór verdere verwerking, tenzij er aanwijzingen zijn dat de veiligheid van betrokkene, gezin of anderen wordt bedreigd.
Toegang tot vastgelegde persoonsgegevens
Persoonsgegevens die worden vastgelegd, zijn afgeschermd op basis van autorisaties: enkel voor degenen die de ondersteuning (passend binnen het doel) moeten kunnen leveren, de direct leidinggevenden en degenen die belast zijn met applicatiebeheer, administratie of de afhandeling van bezwaren en klachten over de geboden ondersteuning. Lees- en schrijfrechten (opnemen in bestanden, aanvullen, wijzigen daarvan) zijn vastgelegd, passend bij de rol. Daarnaast wordt toegang gegeven als een wettelijke plicht daartoe noodzaakt, bijvoorbeeld in het geval van wettelijk voorgeschreven rechtmatigheidscontroles door een accountant.
Verstrekken van persoonsgegevens aan derden
Verstrekking aan derden, bijvoorbeeld familieleden van de betrokkene, mensen uit zijn sociale netwerk of professionals die niet werkzaam zijn bij één van de partners, gebeurt alleen als daar een wettelijke grond voor aanwezig is. De cliënt wordt hier altijd vooraf over geïnformeerd.
Recht op informatie, inzage, afschrift, correctie en vernietiging
Iedere betrokkene heeft het recht op inzage in en eventueel een afschrift (kopie) van de eigen gegevens. Andere mensen mogen deze gegevens niet inzien. Elke betrokkene heeft ook het recht op correctie of vernietiging als de vastgelegde gegevens onjuist zijn, of als er onvoldoende relatie is tussen de gegevens en het doel van verstrekken.
Daarbij gelden de volgende bijzonderheden:
Een dossier kan gegevens van meerdere personen omvatten. En dat betekent dat bij het behandelen van de vraag om inzage wordt beoordeeld of er geen belangen van anderen geschaad kunnen worden. Dat kan betekenen dat (delen van) het dossier niet ingezien mag worden. Het is aan de professional om een zorgvuldige afweging te maken tussen het recht op inzage van de eigen gegevens en de belangen van de andere betrokkenen.
Inzage en afschrift kan mondeling worden gevraagd bij de professional, die het dossier behandelt, of door een schriftelijke aanvraag in te dienen. Ook kan correctie of vernietiging van gegevens worden gevraagd. Inzage, afschrift, correctie of vernietiging moet – indien daartoe wordt besloten – ‘zo spoedig mogelijk’ worden gerealiseerd. Ingeval wordt besloten tot correctie of vernietiging van gegevens worden ook de partners hierover geïnformeerd. Als uitgangspunt geldt voor afhandeling van de aanvraag een termijn van 4 weken. Inzage in het dossier is gratis, voor een afschrift kunnen kosten in rekening worden gebracht. Deze kosten worden vooraf inzichtelijk gemaakt.
Bewaren en vernietigen van persoonsgegevens
Iedereen heeft het recht om vergeten te worden, maar de gemeente en ook andere organisaties in het sociaal domein hebben de plicht om informatie gedurende een bepaalde tijd te bewaren. Daarom worden persoonsgegevens bewaard en vernietigd op basis van vaste (en over het algemeen wettelijk/landelijk vastgestelde) bewaar- en vernietigingstermijnen die kunnen verschillen per soort ‘zaak’. In het kader van de Jeugdwet is bepaald dat de gemeente het dossier gedurende vijftien jaar moet bewaren.
De gemeente zorgt voor een passend niveau van beveiliging van de verwerking. Dat betekent dat we rekening houden met de aard van de verwerking en de te beschermen gegevens, de daarmee samenhangende risico’s en de stand van de techniek. De gemeente neemt alle noodzakelijke maatregelen om de persoonsgegevens te beveiligen tegen verlies, enige vorm van onrechtmatige verwerking, ongeoorloofde toegang en onnodige verzameling en verdere verwerking van gegevens. Voor de vaststelling van de passende maatregelen zal de Baseline informatiebeveiliging als uitgangspunt worden genomen. Daarnaast wordt een functionaris gegevensbescherming aangesteld, die toezicht houdt op de verwerking van persoonsgegevens en controleert of de wijze van gegevensverwerking in de organisatie voldoet aan de wettelijke eisen. Naleving van het protocol wordt gecontroleerd via steekproefsgewijze controles.
Als een betrokkene bezwaar heeft tegen verwerking van zijn gegevens kan de cliënt, zoals eerder aangegeven, verzoeken om de gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Ook kan hij verzet aantekenen tegen de verwerking. In het geval van een weigering door de gemeente op een verzoek tot inzage, correctie of vernietiging, kan de cliënt bij de gemeente bezwaar maken. Betreft het een andere organisatie dan kan de betrokkene zich met zijn bezwaar tot de civiele rechter wenden.
Als een ambtenaar in de ogen van de betrokkene onzorgvuldig is omgegaan met de gegevens van betrokkene, dan kan de betrokkene een klacht indienen. Deze klacht wordt via de gemeentelijke klachtenprocedure afgehandeld. Daarbij kan na de uitspraak eventueel nog een beroep gedaan worden op de landelijke ombudsman. Klachten op het gebied van jeugdzorg kunnen daarnaast ook bij het AKJ, de landelijk ingekochte vertrouwenspersoon, ingediend worden. Klachten over onzorgvuldig handelen van (medewerkers van) andere organisaties worden afgedaan volgens de klachtenregeling van die organisatie.
Dit protocol treedt in werking op 15 maart 2016.
Dit protocol kan worden aangehaald als “Privacyprotocol Sociaal domein Gemeente Hellendoorn”.
Bijlage Stappenplan gegevensverwerking (voor professionals)
Als uitgangspunt geldt dat gegevensverwerking niet standaard maar per ondersteuningsvraag en op het individu/systeem toegesneden maatwerk is. Professionals/wijkwerkers moeten zich te allen tijde realiseren dat verantwoord omgaan met informatie betekent:
Daarom is het goed om hoe dan ook de volgende checklist te hanteren:
I. Vraag je af of gegevensuitwisseling inzake de inwoner van evident belang is:
Kies voor de minst ingrijpende gegevensuitwisseling en zie daar ook op toe. Kan het ook met minder gegevens?
III. Denk aan proportionaliteit
Bepaal of er een verhouding is tussen de hoeveelheid en aard van de gegevensuitwisseling en het doel.
Documenteer en motiveer altijd waarom over is gegaan tot gegevensuitwisseling. Doe dit altijd in overleg met collega. Volg het privacyprotocol sociaal domein Gemeente Hellendoorn.
V. Voldoe aan de rechten van de inwoner
Informeer de inwoner over de gegevensdeling. De inwoner mag altijd zijn dossier en/of gegevens inzien en een verzoek tot correctie of verwijdering indienen.
Kopieer de link naar uw clipboard
zoek.officielebekendmakingen.nl/gmb-2016-29225.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.