/1/png-2/hellendoorn.png)
Gemeenteblad van Hellendoorn
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
|---|---|---|---|
| Hellendoorn | Gemeenteblad 2019, 179575 | Verordeningen |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
Privacyprotocol sociaal domein Gemeente Hellendoorn
Nijverdal, 20 juni 2019 Nr. 2019-010038
Burgemeester en wethouders van Hellendoorn;
Overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen het sociaal domein in de gemeente Hellendoorn;
- -
- -
- -
- -
- -
- -
- -
- -
- -
- -
Vast te stellen het navolgende Privacyprotocol sociaal domein Gemeente Hellendoorn
De gemeente Hellendoorn werkt met een aantal publieke en private organisaties samen om aan de inwoners van de gemeente integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen. De ambities van de gemeente op deze terreinen zijn beschreven in de kadernota Jeugdhulp 2015-2019:
- *
- *
- *
- *
- *
- *
- *
en de kadernota Wmo 2015-2019:
- *
- *
- *
- *
- *
- *
De decentralisaties in het sociale domein hebben als gevolg dat gemeenten meer gegevens verwerken en ook meer samenwerken met andere partners. Dat roept vragen op over bijvoorbeeld het delen van gegevens tussen medewerkers binnen ons sociaal team en met zorgleveranciers, huisartsen en overige partijen. Ook heeft de gemeente te maken met nieuwe doelgroepen met nieuwe zorgvragen. Een gevolg daarvan is dat niet alles van te voren bepaald kan worden. In de kabinetsvisie “Zorgvuldig en Bewust”[1] is dit ook erkend en wordt gesproken over een ‘lerende praktijk’.
Gelet op bovenstaande is het van belang om als gemeente een duidelijk standpunt uit te dragen hoe zij om wenst te gaan met het thema privacy. De burger, maar ook de gemeenteraad, verwacht terecht dat de overheid op een juiste manier zorgdraagt voor de bescherming van privacygevoelige informatie. Vandaar dit privacyprotocol. Het privacyprotocol beschrijft de doorvertaling van wettelijke kaders naar de gemeentelijke situatie.
Dit protocol bevat algemene regels, geen antwoord op elke vraag. Het antwoord is namelijk sterk afhankelijk van een zorgvuldige afweging van belangen die per situatie kan verschillen. Dit protocol is opgesteld binnen de context van het sociaal domein waarin, op basis van wet- en regelgeving, er duidelijke kaders zijn voor het omgaan met privacy. Dit protocol is bedoeld voor professionals en kan eventueel ook gebruikt worden in de communicatie met ketenpartners, zorgaanbieders of andere partijen.
De Algemene verordening gegevensbescherming (hierna: Avg) geldt als leidraad voor het juist en zorgvuldig omgaan met persoonsgegevens. Daarnaast zijn in de Jeugdwet, de Wet maatschappelijke ondersteuning 2015 (Wmo) en de Participatiewet diverse bepalingen opgenomen over het verwerken van persoonsgegevens, die gelden als aanvullingen op of nadere invulling van de bepalingen uit de Avg.
Van belang is dat er een juridische grondslag aanwezig moet zijn om gegevens te verwerken. Deze grondslagen zijn beperkt tot een aantal in de Avg genoemde opties. Vaak wordt hierbij in eerste instantie gedacht aan het vragen van toestemming. Als een cliënt toestemming geeft, dan is gegevensverwerking toegestaan, zo wordt vaak verondersteld. Dat gaat echter vaak niet op. Toestemming is weliswaar een grondslag in de Avg, maar daaraan is wel de voorwaarde verbonden dat deze vrij en ondubbelzinnig moet zijn verstrekt. Bij de uitvoering van publiekrechtelijke taken in het sociaal domein is er meestal sprake van een afhankelijkheidsrelatie tussen de betrokkene en de gemeente. Daarom is er in die gevallen geen sprake van vrije toestemming in de zin van de Avg en kan toestemming dus niet dienen als grondslag voor de gegevensverwerking[2]. Voor de uitvoering van taken in het sociaal domein is de grondslag die in artikel 6, eerste lid onder e Avg genoemd wordt in de meeste gevallen voldoende: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan het bestuursorgaan is opgedragen”.
De Avg roept in het algemeen op tot terughoudendheid bij gegevensverwerking. Daarbij legt de Avg in artikel 5 de nadruk op doelbinding, rechtmatigheid, behoorlijkheid en transparantie, en minimale gegevensverwerking. Deze begrippen worden hierna verder uitgewerkt.
- 1.
Doelbinding: alleen die gegevens die noodzakelijk zijn vanuit een bepaald doel worden verwerkt. Als het doel van de verwerking vaststaat, mogen de persoonsgegevens ook voor andere doeleinden gebruikt worden, zolang die verenigbaar zijn met het oorspronkelijke doel. Hier wordt een strikte uitleg aan gegeven: “Hoe gevoeliger het gegeven, hoe minder snel mag worden aangenomen dat er sprake is van verenigbaar gebruik indien bij enige verwerking wordt afgeweken van het oorspronkelijke doel”.
- 2.
- 3.
- -
- -
Derde: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;
- -
- -
- -
- -
Verwerking: Een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen;
- -
Doel en reikwijdte van de gegevensverwerking
Om aan inwoners van de gemeente Hellendoorn integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen worden persoonsgegevens verwerkt. Het verwerken van persoonsgegevens dient zorgvuldig te gebeuren. Dit protocol geeft daar richtlijnen voor.
Dit protocol is van toepassing op de verwerking van persoonsgegevens binnen het sociaal domein (jeugd, zorg, welzijn, werk en inkomen). Het gaat daarbij om het verwerken van persoonsgegevens door de gemeente en haar partners. Welke informatie de gemeente en haar partners over en weer mogen verstrekken wordt bepaald door de privacywetgeving en eigen privacyregelingen van de gemeente en haar partners. Daarnaast maakt de gemeente op een aantal terreinen aparte samenwerkingsafspraken met haar partners. De borging van de privacy rondom de uitwisseling van gegevens maakt een belangrijk onderdeel uit van die afspraken. Dit geldt ook bij het inkopen van zorg en bij het verstrekken van subsidies.
Verantwoordelijkheden van professionals
Medewerkers van de gemeente Hellendoorn hebben op basis van hun rechtspositieregeling[3] een geheimhoudingsplicht, waarvan het zorgvuldig en vertrouwelijk omgaan met gegevens onderdeel uitmaakt. Iedereen die (binnen het doel van de gegevensbewerking) bevoegd is om persoonsgegevens te bewerken zorgt ervoor dat:
- -
- -
- -
De gemeente verwacht van (de medewerkers van) haar partners in het sociaal domein dat zij op dezelfde wijze omgaan met persoonsgegevens. De gemeente legt dit ook vast in alle afspraken die zij maakt met haar partners. Bijvoorbeeld bij het sluiten van inkoopcontracten voor (jeugd)zorgtrajecten, het uitbesteden van werkzaamheden of het maken van afspraken over samenwerking binnen het sociaal domein. Daar waar partners een rol krijgen in het bewerken van persoonsgegevens sluit de gemeente een verwerkersovereenkomst af waarin de afspraken uit dit privacyprotocol meegenomen worden. Ook in andere afspraken, met partners die met ons samenwerken in het zorgdomein, wordt gewezen op het bestaan van dit privacyprotocol en wordt naleving van deze afspraken meegenomen in de afspraken.
De hoofdregels voor zorgvuldig omgaan met privacy
- 1.
De verwerking van persoonsgegevens moet passen binnen het doel waarvoor deze gegevens verstrekt zijn (doelbinding). Er mogen niet méér persoonsgegevens verwerkt worden dan noodzakelijk (minimale gegevensverwerking).
Om de privacy te borgen wordt per klantvraag een afweging gemaakt over de verwerking van persoonsgegevens. Is de verwerking van persoonsgegevens noodzakelijk en zo ja, welke gegevens worden verwerkt? Deze hoofdregels zijn redelijk overzichtelijk en duidelijk, de werkelijkheid is weerbarstiger. Hoe complexer een zaak, hoe meer de afweging gemaakt moet worden tussen het verwerken van (extra) persoonsgegevens versus de noodzaak voor ondersteuning. Professionals moeten zich continu afvragen: is het noodzakelijk voor het gestelde doel, is er een wettelijke grondslag, kan het ook met minder gegevens of op een andere manier, zijn er beperkingen of specifieke regels, is er sprake van een vitaal belang of is de veiligheid van betrokkene of anderen in gevaar?
- 2.
Elke betrokkene heeft het recht om te weten wat er over hem is vastgelegd. Hij heeft onder meer het recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens, deze mee te nemen naar een andere verwerkingsverantwoordelijke en deze gegevens te laten corrigeren. Deze rechten zijn beperkt tot de eigen persoonsgegevens.
De professional zal in elk gesprek aangeven welke persoonsgegevens verwerkt worden en geeft daar ook bij aan waarom de verwerking van deze gegevens noodzakelijk is. Dit zal van persoon tot persoon kunnen verschillen, afhankelijk van diens specifieke positie. De argumentatie wordt vastgelegd in het (digitale) dossier van betrokkene.
Informeren van betrokkene: het recht op informatie
Om haar publieke taak goed te kunnen vervullen moet de gemeente met enige regelmaat persoonsgegevens verwerken. Het kan daarbij gaan om het opslaan (in dossiers), opvragen, raadplegen of verspreiden (delen) van gegevens. De cliënt wordt zo spoedig als mogelijk is (waar mogelijk vooraf) geïnformeerd over de verwerking van zijn persoonsgegevens. Daarbij wordt aan de cliënt meegedeeld:
- -
- -
- -
Het is van belang dat de professional daarbij rekening houdt met het bevattingsvermogen van de cliënt en dat de cliënt gewezen wordt op het belang dat hij of zij bij de verwerking heeft. De cliënt wordt ook geïnformeerd over de identiteit van de persoon die de verwerking doet en (in het geval van gegevensdeling) met welke partij de persoonsgegevens gedeeld worden.
De cliënt heeft de mogelijkheid om bezwaar aan te tekenen tegen de verwerking, dit op basis van artikel 21 Avg. Het is dan ter beoordeling van het college of de verwerking nog langer plaats moet vinden, de verantwoordelijke (de gemeente) beoordeelt binnen een maand na ontvangst van het bezwaar of het bezwaar gerechtvaardigd is.
Het recht op informatie kan (tijdelijk) worden beperkt in de gevallen, zoals omschreven in artikel 23 Avg/artikel 41 Uitvoeringswet Algemene verordening gegevensbescherming (bijvoorbeeld de bescherming van de betrokkene of van de rechten of vrijheden van anderen). Bij een dergelijke beslissing wordt door de professional vooraf overleg gevoerd met de functionaris gegevensbescherming (f.g.). Uiteindelijk neemt de f.g. (op basis van een door b. en w. verleend mandaat) de beslissing. Deze beslissing wordt met argumentatie vastgelegd in het dossier. De betrokkene wordt zo spoedig mogelijk geïnformeerd over de verstrekking. Dit informeren wordt alleen uitgesteld als er concrete aanwijzingen zijn dat de veiligheid van de betrokkene, gezin of anderen wordt bedreigd.
Verwijzing en (anonieme) signalen
Bij professionele verwijzers wordt de betrokkene geïnformeerd over wie de aanmelding gedaan heeft en welke gegevens verstrekt zijn. Bij signalen van anderen (al dan niet anoniem) wordt de naam van de melder alleen met diens toestemming vermeld. Zowel aanmeldingen als signalen worden met de betrokkene besproken vóór verdere verwerking, tenzij er aanwijzingen zijn dat de veiligheid van betrokkene, gezin of anderen wordt bedreigd.
Toegang tot vastgelegde persoonsgegevens
Persoonsgegevens die worden vastgelegd zijn afgeschermd op basis van autorisaties: enkel voor degenen die de ondersteuning (passend binnen het doel) moeten kunnen leveren, de direct leidinggevenden en degenen die belast zijn met applicatiebeheer, administratie of de afhandeling van bezwaren en klachten over de geboden ondersteuning. Lees- en schrijfrechten (opnemen in bestanden, aanvullen, wijzigen daarvan) zijn vastgelegd, passend bij de rol. Daarnaast wordt toegang gegeven als een wettelijke plicht daartoe noodzaakt, bijvoorbeeld in het geval van wettelijk voorgeschreven rechtmatigheidscontroles door een accountant.
Verstrekken van persoonsgegevens aan derden
Verstrekking aan derden, bijvoorbeeld familieleden van de betrokkene, mensen uit zijn sociale netwerk of professionals die niet werkzaam zijn bij één van de partners, gebeurt alleen als daar een wettelijke grond voor aanwezig is. De cliënt wordt hier altijd vooraf over geïnformeerd.
Recht op inzage, afschrift, correctie en vernietiging
Iedere betrokkene heeft het recht op inzage in en eventueel een afschrift (kopie) van de eigen gegevens. Derden mogen deze gegevens niet inzien. Elke betrokkene heeft ook het recht op rectificatie of wissing als de vastgelegde gegevens onjuist zijn, of als er onvoldoende relatie is tussen de gegevens en het doel van verstrekken. Daarnaast bestaat het recht op beperking van de verwerking, het recht op overdraagbaarheid van gegevens en het recht op bezwaar tegen de gegevensverwerking. De bevoegdheid tot het nemen van een beslissing op de uitoefening van één van deze rechten is neergelegd bij de unit juridische zaken.
Voor kinderen jonger dan 16 jaar geldt dat de toestemming van de persoon, die de ouderlijke macht uitoefent, is vereist (artikel 8 Avg en artikel 5 Uitvoeringswet Avg).
Een dossier kan gegevens van meerdere personen omvatten. En dat betekent dat bij het behandelen van de vraag om inzage wordt beoordeeld of er geen belangen van anderen geschaad kunnen worden. Dat kan betekenen dat (delen van) het dossier niet ingezien mag worden. Het is aan de professional om een zorgvuldige afweging te maken tussen het recht op inzage van de eigen gegevens en de belangen van de andere betrokkenen.
Inzage en afschrift kunnen mondeling worden gevraagd bij de professional die het dossier behandelt, of door een schriftelijke aanvraag in te dienen. Ook kan correctie of vernietiging van gegevens worden gevraagd. Inzage, afschrift, correctie of vernietiging moet – indien daartoe wordt besloten – ‘zo spoedig mogelijk’ worden gerealiseerd. Ingeval wordt besloten tot correctie of vernietiging van gegevens worden ook de partners hierover geïnformeerd. Als uitgangspunt geldt voor afhandeling van de aanvraag een termijn van een maand. Inzage in het dossier is gratis, voor een afschrift worden in beginsel geen kosten in rekening worden gebracht (artikel 12 Avg).
Bewaren en vernietigen van persoonsgegevens
Iedereen heeft het recht om vergeten te worden, maar de gemeente en ook andere organisaties in het sociaal domein hebben de plicht om informatie gedurende een bepaalde tijd te bewaren. Daarom worden persoonsgegevens bewaard en vernietigd op basis van vaste (en over het algemeen wettelijk/landelijk vastgestelde) bewaar- en vernietigingstermijnen die kunnen verschillen per soort ‘zaak’. In het kader van de Jeugdwet is bepaald dat de gemeente het dossier gedurende vijftien jaar moet bewaren.
De gemeente zorgt voor een passend niveau van beveiliging van de verwerking. Dat betekent dat we rekening houden met de aard van de verwerking en de te beschermen gegevens, de daarmee samenhangende risico’s en de stand van de techniek. De gemeente neemt alle noodzakelijke maatregelen om de persoonsgegevens te beveiligen tegen verlies, enige vorm van onrechtmatige verwerking, ongeoorloofde toegang en onnodige verzameling en verdere verwerking van gegevens. Voor de vaststelling van de passende maatregelen zal de Baseline informatiebeveiliging als uitgangspunt worden genomen. Daarnaast is een f.g. aangesteld, die toezicht houdt op de verwerking van persoonsgegevens en controleert of de wijze van gegevensverwerking in de organisatie voldoet aan de wettelijke eisen. Naleving van het protocol wordt gecontroleerd via steekproefsgewijze controles.
Bijzondere (categorieën van) persoonsgegevens zijn persoonsgegevens omtrent:
- -
- -
- -
- -
- -
- -
- -
- -
De verwerking van dergelijke gegevens is in beginsel verboden (artikel 9 Avg). Onder bepaalde omstandigheden is de verwerking van bijzondere persoonsgegevens wel mogelijk. Deze omstandigheden zijn neergelegd in het tweede lid van artikel 9 en in de artikelen 22 tot en met 30 Uitvoeringswet Avg. Voor de verwerking van strafrechtelijke gegevens geldt bovendien het bepaalde in artikel 10 Avg en in artikel 31 Uitvoeringswet Avg.
Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, zoals een Burgerservicenummer (BSN), mag slechts worden gebruikt ter uitvoering van die wet, voor doeleinden bij de wet omschreven of in gevallen, die bij algemene maatregel van bestuur zijn bepaald. Dit is vastgelegd in artikel 46 van de Uitvoeringswet Avg.
In de Wet algemene bepalingen burgerservicenummer, met name de artikelen 10 e.v., is bepaald dat het BSN wordt gebruikt voor de uitwisseling van persoonsgegevens tussen gebruikers onderling. Onder “gebruiker” wordt verstaan een overheidsorgaan en daarnaast ieder ander dan een overheidsorgaan of degene aan wie het burgerservicenummer is toegekend, voor zover deze werkzaamheden verricht waarbij het gebruik door hem of haar van het burgerservicenummer bij of krachtens de wet is voorgeschreven.
Volgens de MvT bij de wet mag het BSN alleen gebruikt worden wanneer dat nodig is. Volgens § 8.3 impliceert het vereiste van doelbinding dat het burgerservicenummer alleen gebruikt wordt in die situaties waarin het gebruik van een persoonsnummer noodzakelijk is voor de betrokken handeling of dienst van de gebruikende organisaties. In de situatie waarin een gebruiker geen persoonsgegevens van de burger hoeft vast te leggen voor de uit te voeren handeling of dienst, is er geen sprake van een toegestane gegevensverwerking en is dus ook het gebruik van het burgerservicenummer niet toegestaan.
Het burgerservicenummer mag gebruikt worden in de communicatie tussen de overheid en de burger of tussen de overheid en bepaalde in de wet aangewezen instanties. In het sociaal domein zijn de artikelen 68 Participatiewet, 5.2.9 e.v. Wmo en artikel 7.2.1 e.v. Jeugdwet van belang.
Als een betrokkene bezwaar heeft tegen verwerking van zijn gegevens kan de cliënt - zoals hierboven aangegeven - verzoeken om de gegevens te rectificeren, te verwijderen of af te schermen. Ook kan hij bezwaar aantekenen tegen de verwerking. In het geval van een weigering door de gemeente op een verzoek tot inzage, correctie of vernietiging kan de cliënt bij de gemeente bezwaar maken (artikel 34 Uitvoeringswet Avg).
Als een ambtenaar in de ogen van de betrokkene onzorgvuldig is omgegaan met de gegevens van betrokkene, dan kan de betrokkene een klacht indienen. Deze klacht wordt via de gemeentelijke klachtenprocedure afgehandeld. Daarbij kan na de uitspraak eventueel nog een beroep gedaan worden op de Nationale ombudsman. Klachten op het gebied van jeugdzorg kunnen daarnaast ook bij de Stichting Kwaliteitsregister Jeugd ingediend worden.
Ook kan een klacht bij de f.g. of bij de Autoriteit Persoonsgegevens worden ingediend.
Klachten over onzorgvuldig handelen van (medewerkers van) andere organisaties worden afgedaan volgens de klachtenregeling van die organisatie.
- -
- -
[1] De beleidsvisie ‘Zorgvuldig en bewust’ bevat richtlijnen voor het zorgvuldig omgaan met persoonsgegevens in de gemeentelijke praktijk in het kader van de decentralisaties.
[2] Uitzonderingen hierop zijn mogelijk: daar waar geen sprake is van afhankelijkheid kan toestemming wel degelijk een grondslag vormen voor gegevensverwerking. Dit zal in de praktijk per geval beoordeeld en beargumenteerd moeten worden.
[3] Op grond van artikel 125a, derde lid Ambtenarenwet geldt een verplichting tot geheimhouding van hetgeen hem in verband met zijn functie ter kennis is gekomen
Bijlage: Stappenplan gegevensverwerking (voor professionals)
Als uitgangspunt geldt dat gegevensverwerking niet standaard maar per ondersteuningsvraag en op het individu/systeem toegesneden maatwerk is. Professionals moeten zich te allen tijde realiseren dat verantwoord omgaan met informatie betekent:
- dat men zich ook in de samenwerking met partners dient te houden aan de voor de eigen organisatie geldende spelregels en voorschriften voor het verantwoord omgaan met gegevens;
- dat alleen de “need to know” informatie (enkel de noodzakelijke informatie om het gezamenlijke doel te bereiken) gedeeld wordt.
Daarom is het goed om hoe dan ook de volgende checklist te hanteren:
I. Vraag je af of gegevensuitwisseling inzake de inwoner van evident belang is:
a. is er een dringend gezondheidsbelang;
b. bestaat de vrees voor ernstig nadeel;
c. al dan niet in combinatie met ernstige overlast.
II. Denk aan het beginsel van de doelbinding
Kies voor de minst ingrijpende gegevensuitwisseling en zie daar ook op toe. Kan het ook met minder gegevens?
III. Denk aan het beginsel van de minimale gegevensverwerking
Bepaal of er een verhouding is tussen de hoeveelheid en aard van de gegevensuitwisseling en het doel.
Documenteer en motiveer altijd waarom over is gegaan tot gegevensuitwisseling. Doe dit altijd in overleg met een collega. Volg het Privacyprotocol sociaal domein Gemeente Hellendoorn.
V. Voldoe aan de rechten van de inwoner
Informeer de inwoner over de gegevensdeling. De inwoner mag altijd zijn dossier en/of gegevens inzien en een verzoek tot correctie of verwijdering indienen. Een dergelijk verzoek wordt behandeld door de unit juridische zaken.
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/gmb-2019-179575.html