Skip to main content

Integrale gegevensverwerking in wijkteams: hoe?

| IB&P | ,

In februari volgde ik één dag van de cursus ‘Privacy en informatie-uitwisseling in zorg en sociaal domein’ en wel de dag over ‘Informatie-uitwisseling en integraal samenwerken’. In april was ik aanwezig op het congres ‘Privacy en gegevensuitwisseling in wijkteams‘. Op dergelijke dagen komt het lastige punt op tafel: hoe nu om te gaan met sector/domein overstijgende gegevensuitwisseling c.q. -verwerking? Wanneer mag dat nu wel en niet, welke informatie

wel/niet en met wie wel/niet? Dit zijn met recht complexe vragen waar dergelijke dagen ook geen sluitend antwoord op (kunnen) geven. Niettemin helpt het wel om (verder) scherp te krijgen hoe integrale gegevensverwerking in wijkteams kan plaatsvinden.

Wat is nu eigenlijk het probleem?

Voor eenieder die het probleem niet scherp heeft, hierbij een poging het samen te vatten. De ambities bij de drie decentralisaties zijn grofweg als volgt op te sommen:

  • Versterken van de eigen kracht van de burger, alsook de regie en de zelfredzaamheid
  • Zoveel mogelijk praten mét de burger in plaats van óver de burger
  • Eén gezin, één plan, één regisseur. Breed en ontschot kijken. (bij multiproblematiek)
  • (Fors bezuinigen)

Om bovenstaande ambities waar te kunnen maken is het vanzelfsprekend noodzakelijk persoonsgegevens te verwerken van de burger. Dat mag alleen als daarvoor een grondslag is. Deze grondslag is de juridische basis voor de gegevensverwerking en in de Wet bescherming persoonsgegevens (Wbp) vind je ze alle zes. Zonder grondslag kan de gegevensverwerking niet plaatsvinden. Gemeenten maken veelvuldig gebruik van de grond ‘publiekrechtelijke taak’ (Wbp, art. 8e):

De gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt.

De Jeugdwet, de WMO en de Participatiewet bieden elk afzonderlijk de mogelijkheid voor gemeenten gegevens te verwerken voor het uitvoeren van deze wetten (taken) onder bovenstaande grondslag. Maar in het kader van ‘integrale dienstverlening’, ofwel: over de schotten tussen deze wetten heen, vindt ook integrale gegevensverwerking plaats. Dus niet per afzonderlijke wet, maar integraal. Alleen is daar geen grondslag voor!

Uitwijken naar andere grondslagen?

De landelijke overheid heeft in haar woordkeus en ambities informeel druk uitgeoefend op gemeenten om zoveel mogelijk domein overstijgend te (gaan) werken, maar diezelfde overheid heeft verzuimd daar de bijpassende grondslag voor te ‘leveren’. Werkt jouw gemeente (wijkteam) ook integraal? Of in andere woorden: vraagt jouw gemeente (wijkteam) ook standaard ‘breed uit’ bij het keukentafelgesprek (ZRM)? Dan is de kans zeer groot dat dagelijks de privacywetgeving overtreden wordt.

In sommige gevallen kan je terugvallen op de grondslag ‘vitaal belang’ (Wbp, art. 8d) . Je redeneert dan dat de integrale gegevensverwerking noodzakelijk is vanwege een vitaal levens- of gezondheidsbelang. Dit zal slecht in enkele situaties het geval zijn. Een andere route is grondslag ’toestemming’ (Wbp, art. 8a). Je vraagt dan gewoonweg de betrokkene(n) om zijn/haar ondubbelzinnige toestemming voor de integrale gegevensverwerking.

Toestemming als grondslag is echter problematisch omdat de betrokkene zijn/haar toestemming gericht, op informatie berustend en in vrijheid moet kunnen geven. Dit houdt in dat de betrokkene zich niet verplicht mag voelen tot het geven van toestemming. En gezien de afhankelijkheidsrelatie van de burger richting de gemeente valt hier zelden aan te voldoen. En voor wie denkt dat de AVG uitkomst biedt:

“Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend.”

Integrale gegevensverwerking: hoe dan wel?

Mogelijk ervaar je nu zelf tijdens het lezen ook de spanning: enerzijds de wens/ambitie/opdracht (doorhalen wat je niet van toepassing vindt) de burger zo goed mogelijk te helpen en anderzijds de privacywetgeving die eist dat de verwerking van persoonsgegevens een juridische basis kent. Laten we er vanuit gaan dat de landelijke overheid niet op korte termijn zal voorzien in een ‘extra grondslag’ die domeinoverstijgende, integrale gegevensverwerking in het sociaal domein mogelijk maakt. Een mogelijke oplossing is het aanbieden van ‘gegevensverwerking op maat’.

Daarmee wordt integrale gegevensverwerking optioneel, en niet de standaard werkwijze zoals nu wel vaak het geval is. De gemeente verwerkt zoveel mogelijk ‘enkelvoudig’ persoonsgegevens (dus binnen de schotten van de drie wetten). Waar nodig biedt ze de burger de optie om vanuit integrale dienstverlening ook integraal gegevens te gaan verwerken. Uiteraard moet je dit uitleggen als gemeente: waarom zijn gegevens uit andere domeinen nodig?

Ik schat in dat in veel, maar niet alle, gevallen de burger het belang inziet van integrale, domein overstijgende gegevensverwerking. En doet hij/zij dat niet, en geeft de persoon dus geen toestemming, dan rest de gemeente weinig anders dan een zo goed mogelijke, ‘enkelvoudige’ afhandeling binnen de individuele kaders van de Jeugdwet, WMO en/of Participatiewet. Daarmee wordt tevens goed invulling gegeven aan twee belangrijke principes uit de Wbp: doelbinding en ‘niet meer dan noodzakelijk’.

Maar we hebben al (inrichtings)keuzes gemaakt…

Lezers die belang hechten aan privacy zullen bovenstaande insteek hopelijk kunnen waarderen. Immers, het dwingt de gemeente om open te zijn richting burgers over de gegevensverwerking en hem/haar onmiddellijk bij zorgen en overleg daarover te betrekken. Het is ook op dit gebied ‘de burger centraal’ stellen, en mét de burger praten ipv over de burger. En vermoedelijk zal dit alles drempelverlagend werken waardoor de burger de weg naar de gemeenten c.q. het wijkteams sneller weet te vinden. So far, so good.

In de praktijk zijn wijkteams echter al op een bepaalde manier georganiseerd. De werkwijze is na een aantal jaren geoptimaliseerd, ondersteunende applicaties zijn conform ingericht en de werkdruk wordt in het algemeen als hoog ervaren. Hoe rijm je dat nu met het idee over ‘optionele integrale gegevensverwerking’? Dit vergt namelijk herontwerp van werkprocessen, herinrichting van applicaties en (regie)systemen en daarmee dus ook: tijd en geld. Hoe dit op te lossen is kan ik je op dit moment niet vertellen.

De winst voor nu

Maar laten we alstublieft voor nu overeenstemming bereiken over het feit dat veel gemeenten (onbewust) structureel de privacywetgeving overtreden; gegevens te makkelijk en te vaak domein overstijgend verwerkt worden zonder juridische basis en zonder de betrokkene(n) hierover te informeren. En dat is de gemeenten niet zozeer aan te rekenen, maar meer de landelijke overheid dit de principes ‘privacy by default’ en ‘privacy by design’ niet (voldoende) heeft toegepast op de decentralisaties.

Op het moment dat we inzien dat de huidige situatie om die redenen niet wenselijk en niet houdbaar is, kunnen we samen werken aan een oplossing. En de Autoriteit Persoonsgegevens ‘stimuleert’ ook door in haar ‘Agenda 2017‘ bijzondere persoonsgegevens als één van haar thema’s te benoemen.

Deze blog is deels gebaseerd op de presentatie die Lydia Janssen hield tijdens het congres ‘Privacy en gegevensuitwisseling in wijkteams’ op 19 april in Amersfoort.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…