Gegevens van een bepaald domein mag u niet zonder meer ook in een ander domein gebruiken.
Op 19 november 2019 vond ons online seminar plaats over privacy in het sociaal domein. Hier wordt veel gewerkt met gevoelige persoonsgegevens. Daarom is het belangrijk dat gemeenten en andere organisaties weten hoe hiermee om te gaan.
Tijdens het online seminar hebben Carola van Andel en Maarten van Nijendaal de basisbegrippen uit de Algemene Verordening Gegevensbescherming (AVG) behandeld en wat deze begrippen betekenen in het sociaal domein. Dit aan de hand van bijvoorbeeld de verwerkingsgrondslagen, toestemmingsproblematiek en de hoofdrolspelers uit de AVG.
Het publiek van het online seminar was zeer divers: voor sommigen was het een eerste kennismaking met de AVG en voor anderen was het een opfriscursus van de reeds aanwezige kennis. Voor diegenen die meer verdieping zoeken, organiseren wij op 21 januari 2020 en 3 maart 2020 een verdiepingscursus op onze kantoren in Zwolle en Utrecht.
Online seminar gemist?
Wilt u de presentatie terugkijken of nalezen? Neem contact met ons op voor de sheets en de terugkijklink.
Veel gestelde vragen
Gedurende het online seminar kon u via de chat vragen stellen aan Wouter Terpstra, ondersteund door Jelte Jorritsma. Veel deelnemers hebben van deze gelegenheid gebruik gemaakt. Drie van deze vragen komen hieronder aan bod.
Hoe kan ik integraal werken binnen verschillende domeinen?
Gegevens van een bepaald domein mag u niet voor een integrale aanpak op de hulpverlening zonder meer ook in een ander domein gebruiken. De afzonderlijke wetten in het sociaal domein regelen geen integrale uitvoering van deze wetten. In sommige gevallen is het mogelijk dat u gegevens uit het ene domein gebruikt voor het andere domein. Voor elke verwerking moet u dan wel kijken of er een grondslag uit artikel 6 van de AVG van toepassing is voor gebruik in het andere domein.
Omdat een overkoepelende wettelijke regeling ontbreekt, is het uitwisselen van gegevens tussen domeinen voor een integrale aanpak van problemen dus ingewikkeld. Steeds zal voor de verwerking van de gegevens in het andere domein een grondslag gevonden moeten worden. Een dergelijke grondslag vinden we bijvoorbeeld in artikel 5.1.1 lid 4 van de Wet maatschappelijke ondersteuning (Wmo). Hieruit blijkt dat het college bevoegd is persoonsgegevens te verwerken die verkregen zijn ten behoeve van de uitvoering van taken die op grond van bijvoorbeeld de Jeugdwet en de Participatiewet aan haar opgedragen zijn. Dit mag echter alleen als de betrokkene hier uitdrukkelijke toestemming voor heeft gegeven.
Toestemmingsproblematiek
Er zijn drie verschillende soorten toestemming die onderscheiden kunnen worden. De eerste variant is de toestemming als grondslag voor het verwerken van persoonsgegevens. Uit onderzoek van de Autoriteit Persoonsgegevens (AP) blijkt dat hier (zeer) terughoudend mee om moet worden gegaan in het Sociaal Domein. Deze toestemming moet namelijk vrij, specifiek, geïnformeerd, ondubbelzinnig en actief gegeven zijn. Vooral het vereiste van ‘vrij’ is een struikelblok in de verhouding tussen overheid en burger. Dit houdt in dat de betrokkene vrij is zijn toestemming te weigeren, zonder dat hier negatieve gevolgen aan verbonden zijn. Daarom is het erg lastig de toestemming als grondslag voor verwerking van persoonsgegevens te gebruiken in het Sociaal Domein. Bovendien is het voor de meeste verwerkingen ook een onjuist uitgangspunt, omdat voor deze verwerkingen andere grondslagen aanwezig zijn, zoals wettelijke plicht, publieke taak of uitvoering van een overeenkomst. Indien toestemming ondanks het voorgaande wel als grondslag gebruikt zou worden, moet onderbouwd worden waarom sprake is van een vrije, specifieke en geïnformeerde toestemming. Naast toestemming als grondslag zijn als andere vormen van toestemming te onderscheiden de toestemming om het beroepsgeheim te doorbreken (persoonsgegevens delen met derden) of als instemming met de hulpverlening.
Zelfredzaamheidsmatrix
De AP heeft gemeenten die gebruik maakten van de zelfredzaamheidsmatrix (ZRM) op de vinger getikt. Bij het gebruik van de matrix werden in veel gevallen namelijk teveel persoonsgegevens verzameld. Dit is in strijd met het beginsel van ‘noodzakelijkheid’, dat voorschrijft dat de verzamelde persoonsgegevens relevant en noodzakelijk moeten zijn voor de beoordeling van de hulpvraag.
Het gebruik van de ZRM is dus niet per definitie verboden. Wel moet men bij het gebruik van de matrix rekening houden met het onderscheid tussen gegevens die noodzakelijk zijn en informatie die mogelijk handig is te weten. Bij het invullen van de matrix mag slechts gebruik worden gemaakt van informatie die noodzakelijk is voor het beoordelen van de hulpvraag. Alleen dan wordt voldaan aan de beginselen van proportionaliteit en subsidiariteit.