Privacy in het sociaal domein is nog niet een vanzelfsprekendheid. Toch zijn er harde eisen waar aan voldaan moet worden en daar is geen cherry picking bij.
Voor alle verwerkingen van persoonsgegevens geldt de Wet bescherming persoonsgegevens (Wbp). Onder ‘verwerking’ wordt verstaan: alles wat met persoonsgegevens wordt gedaan: van verzamelen, doorgeven tot en met vernietigen.
Het centrale begrip in de Wbp is ‘persoonsgegeven’: gegevens die informatie kunnen verschaffen over een natuurlijke, identificeerbare persoon.
De belangrijkste eisen waaraan de overheid (gemeente) moet voldoen bij het verwerken van persoonsgegevens:
– En ja, aan alle eisen moet worden voldaan, het is geen keuzepakket –
-
Doelbinding
Persoonsgegevens mogen alleen voor welbepaalde, en duidelijk omschreven doeleinden worden verzameld. Dus gegevens die voor de uitvoering van de bijstand en de wet Suwi zijn verzameld, mogen (op dit moment) niet voor bijvoorbeeld de Wmo of enig andere wet worden gebruikt. -
Proportionaliteit
Alleen die persoonsgegevens mogen worden verzameld die strikt noodzakelijk zijn in relatie tot het doel: “Gegevens moeten toereikend, ter zake dienend en niet bovenmatig zijn”. De sociale dienst of een Wmo consulent mag dus niet zomaar alles vragen. Lange vragenlijsten die erop gericht zijn alle situaties te vatten, zijn niet proportioneel. -
Subsidiariteit
De verwerking van persoonsgegevens moet gebeuren op een manier die het minst ingrijpt in de persoonlijke levenssfeer. -
Informatieplicht
De gemeente moet uit eigen beweging de cliënt informatie geven over welke gegevens zij over hem verzamelt, waarom dat gebeurt, waar de gegevens vandaan komen en wat er met de gegevens wordt gedaan. Ook moet de gemeente aangeven hoe deze gegevens worden beschermd. Informatie moet toegankelijk zijn en begrijpelijk. -
Toestemming
De burger/cliënt moet toestemming geven om de gegevens te gebruiken. NB: Toestemming alleen is overigens niet voldoende, alleen al niet vanwege de afhankelijke positie van de burger (zie brief CBP 30 oktober 2014). De toestemmingsvereiste kan vervallen in een spoedsituatie, wanneer de gezondheid of veiligheid in het geding zijn. De werkwijze moet dan wel specifiek worden geregeld en vastgelegd. -
Beveiliging
De gemeente moet passende maatregelen nemen voor de beveiliging van de persoonsgegevens die zij verzamelt. Ook moet er worden geregeld dat gegevens die niet meer nodig zijn worden vernietigd. -
Bijzondere gegevens
Sommige gegevens mogen niet verwerkt worden, behalve in die gevallen die door de wet zijn aangegeven. Dat zijn bijvoorbeeld gegevens over etnische achtergrond, strafrechtelijk verleden en gezondheid. Daarvoor gelden aparte juridische vereisten, die nog strikter zijn. Gegevens over gezondheid mogen bv. door de gemeentelijke sociale dienst alleen worden verwerkt als deze van belang zijn voor de re-integratie in verband met ziekte of arbeidsongeschiktheid. De cliënt moet toestemming geven en de ambtenaar heeft een plicht tot geheimhouding. De Wbp regelt verder dat gegevens over gezondheid uitgewisseld mogen worden door hulpverleners en instellingen voor gezondheidszorg als dat nodig is voor de behandeling van een specifieke cliënt.
Gratis Kennisdocument: Privacy in het sociaal domein
Lees alles over de urgentie, het juridisch kader en de plichten en verantwoordelijkheden van gemeenten als het over het verwerken van persoonsgegevens gaat in dit gratis kennisdocument. Download hier >>
De wetgeving met betrekking tot de privacy wetgeving is sterk in beweging. Op 10 februari heeft de tweede kamer ingestemd met een wetsvoorstel voor een meldplicht voor datalekken. Momenteel (19-5-2015) is dit wetsvoorstel in behandeling in de Eerste kamer. Het wetsvoorstel omvat een meldplicht voor datalekken voor alle organisaties die persoonsgegevens verwerken. Melding dient ‘onverwijld’ te gebeuren aan de toezichthouder en in sommige gevallen ook aan alle betrokkenen waarover gegevens zijn gelekt. Deze meldplicht bestond al voor de overheid. De boetebevoegdheid van de toezichthouder is aanzienlijk verhoogd. Er kunnen straks ‘bestuurlijke boetes’ worden uitgedeeld aan organisaties die niet voldoen aan deze wetgeving. Dit zijn serieuze boetes van meterieel belang.
Ik lees bij subsidiariteit het volgende taalkundige gedrocht: ‘Het doel waarvoor de persoonsgegevens worden verwerkt mogen in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kunnen worden verwerkelijkt.’
Ik vraag niet om correct nederlands (hoewel dat op een site als deze toch wel een logische randvoorwaarde lijkt), maar kan iemand dit in begrijpelijke woorden vertalen?
Alvast bedankt!
@r noorman
Subsidiariteit houdt in een organisatie de minst heftige manier moet zoeken om het doel te bereiken waarvoor ze gegevens verwerken. Soms is een bepaalde gegevensverwerking noodzakelijk, maar zijn er nog verschillende mogelijkheden om de mate van inbreuk in de privacy te beperken. Een organisatie moet dan de minst ingrijpende werkwijze hanteren.
Volgens <a href=’http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_30-04-2015#Hoofdstuk2_Paragraaf1_Artikel8′ target=’_blank’>art. 8 van de WBP</a> zijn er een aantal gronden om persoonsgegevens te mogen verwerken en toestemming is één van de gronden. Deze gronden zijn echter wel degelijk een ‘keuzepakket’; als een overheidsorganisatie een wettelijke taak heeft uit te voeren, dan is toestemming van een betrokkene niet nodig om persoonsgegevens te verwerken (een enkele uitzondering daargelaten, zoals rond jeugdzaken). Natuurlijk moet altijd wel voldaan worden aan de overige eisen in dit artikel.