Privacytoezichthouder reageert op kabinetsvisie privacy in het sociaal domein
Het College bescherming persoonsgegevens (CBP) heeft in een brief minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties gewaarschuwd dat gemeenten, nu zij voor meer taken in het sociaal domein verantwoordelijk worden, de bescherming van persoonsgegevens niet uit het oog mogen verliezen.
Bij de decentralisatie die door het kabinet is ingezet worden taken naar gemeenten overgeheveld op het gebied van jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen. De decentralisatie heeft tot gevolg dat gemeenten meer persoonsgegevens van meer burgers gaan verwerken. Daaronder vallen ook gevoelige gegevens zoals medische en strafrechtelijke gegevens. Voor de verwerking van deze gegevens geldt de Wet bescherming persoonsgegevens (Wbp).
Kaders
Het CBP constateert dat het kabinet geen duidelijke kaders geeft waarbinnen gemeenten bij de verwerking van persoonsgegevens binnen het sociaal domein moeten blijven. Onlangs presenteerde het kabinet de Beleidsvisie over privacy in het sociaal domein. In deze visie wordt gesproken over een ‘lerende praktijk’ binnen gemeenten die na enige tijd wordt geëvalueerd. Het CBP benadrukt dat gemeenten de naleving van de Wbp niet kunnen opschorten als gevolg van een ‘lerende praktijk’.
Volgens de toezichthouder blijven de acties die het kabinet in zijn visie voorstelt als waarborgen voor de privacy, ruimte bieden voor variatie die gemeenten kunnen geven aan de verwerking van persoonsgegevens. Het CBP wijst erop dat die variatie mogelijk is, maar wel wordt beperkt door de Wbp en dat gemeenten hier van meet af aan rekening mee moeten houden. Het CBP uitte in oktober 2013 in een brief ook al zorgen over de privacygevolgen van de decentralisatie van taken naar gemeenten.
Bij het sluiten van een overeenkomst met leveranciers is het alleen verwijzen naar de wet (Wbp) niet voldoende wanneer leveranciers (verder te noemen bewerker) ook persoonsgegevens gaan bewerken. In dat geval is het noodzakelijk een bewerkersovereenkomst op te stellen. Er geldt een wettelijke verplichting dat verantwoordelijke en bewerker vastlegd welke gegevens worden verzameld met welk doel. Ook voor gegevens welke worden opgeslagen door bewerker dienen afspraken te worden gemaakt. Derden die als bewerker aangemerkt worden en vallen onder de Wbp zijn bijvoorbeeld bedrijven die nieuwsbrieven rondsturen, aanbieders van online boekhoudprogramma’s, SaaS- en cloudaanbieders die diensten aanbieden zoals beheer van hosted mailboxen of klantenadministraties. Al snel krijgt men dus te maken met een partij die men als bewerker dient te beschouwen.
Richard Schuth is senior inkoper bij Ambiecon Consultants BV