Besluit van het college van burgemeester en wethouders van de gemeente Borne houdende regels omtrent privacy Privacyprotocol Sociaal Domein Gemeente Borne

Geldend van 20-04-2017 t/m heden

Intitulé

Kernpunten privacy en privacyprotocol Gemeente Borne Sociaal Domein

1) Algemeen: gegevensverwerking en privacy in het sociaal domein

1.1 Inleiding

Met ingang van 1 januari 2015 is de gemeente verantwoordelijk voor jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen 1 . Een deel van deze taken voerde de gemeente al uit en een deel is vanuit het Rijk overgedragen aan de gemeente. De zogeheten decentralisatie. De taken op het gebied van de Jeugdwet en de WMO worden door de gemeente samen met de partners in het sociaal domein uitgevoerd. De Participatiewet (werk en inkomen) wordt uitgevoerd door de uitvoeringsorganisatie Borne-Hengelo 2 .

De hoofduitgangspunten van de decentralisatie zijn 1 gezin, 1 plan en 1 regisseur en preventie en vroeg-signalering. Gemeenten moeten hierdoor meer integraal gaan werken, waardoor er eerder sprake zal zijn van koppeling van persoonsgegevens en uitwisseling met meer partijen. Hiervoor zal er op het gebied van gegevensverwerking binnen het sociaal domein meer geregeld moeten worden.

Deze notitie bevat de kernpunten die in onze gemeente van belang zijn bij de verwerking van persoonsgegevens en privacy binnen het sociaal domein (hoofdstuk 2). Burgers en organisaties die in het sociale domein met de gemeente te maken hebben weten dan wat voor de gemeente van belang is bij het verwerken van persoonsgegevens en op welke manier de privacy geborgd wordt.

Hoofdstuk 3 bevat het “Privacy protocol Gemeente Borne Sociaal Domein”. In dit privacyprotocol zijn de kernpunten op het gebied van de gegevensverwerking en privacy uitgewerkt en wordt artikelsgewijs aangegeven op welke manier in onze gemeente in het sociaal domein met persoonsgegevens gewerkt wordt. Samenwerkingspartners dienen zich aan dit protocol te committeren. Dit kan bijvoorbeeld door er naar te verwijzen in inkoopbestekken of in een bewerkersovereenkomst 3 . Een aantal praktijkaspecten rondom het omgaan met persoonsgegevens in het sociaal domein worden uitgelicht in hoofdstuk 4.

Deze notitie met de kernpunten privacy en privacyprotocol Gemeente Borne Sociaal Domein is in lijn met de op 28 juni 2016 door de gemeenteraad vastgestelde “visie op dienstverlening en informatievoorziening in de regisserende netwerkorganisatie Borne: Borne zichtbaar in verbinding”. Hierin wordt voor wat betreft informatieveiligheid ervan uit gegaan dat deze deels bestaat uit harde technische acties, maar voor het merendeel uit zachte maatregelen gericht op gedrag en cultuur. Vertrouwen in medewerkers die werken met persoonsgegevens is hierbij een belangrijke basis.

1.2 Ondersteuning, dienstverlening en gegevensverwerking in het sociale domein

De decentralisaties versterken de rol van gemeenten om burgers te ondersteunen en meer te laten participeren in de maatschappij. Verreweg de meeste burgers kunnen zichzelf redden en hoeven hiervoor geen beroep op de overheid te doen. Maar er blijven situaties waarin de overheid nodig is, door bijvoorbeeld ondersteuning te bieden bij problemen. Gemeenten hebben binnen het sociale domein de opdracht om maatwerk te leveren en op individueel niveau te bezien hoe mensen kunnen blijven meedoen in de samenleving.

Slechts bij een klein deel van de burgers is sprake van meervoudige complexe problematiek. Het gaat hier om zogeheten multiprobleemhuishoudens, die gebruik maken van zwaardere vormen van ondersteuning uit verschillende domeinen, bijvoorbeeld op het gebied van financiën, gezondheid, onderwijs en huisvesting. Hulpverlening gaat meestal in samenwerking met die huishoudens. In een beperkt aantal gevallen is bij deze categorie sprake van gedwongen hulpverlening.

Voor het overgrote deel van de situaties waarin burgers een beroep doen op de gemeente voor ondersteuning, geldt dat de dienstverlening zich afspeelt binnen één domein, Jeugd, Wmo of Werk & Inkomen. Het gaat om niet complexe problematiek. Voorbeelden zijn het ondersteunen bij het opvoeden van kinderen en hulp in de huishouding. De wijze van gegevensverwerking binnen een domein is neergelegd in de algemene regelgeving over het verwerken van persoonsgegevens, voornamelijk de Wet bescherming persoonsgegevens (Wbp), en aanvullende eisen in de relevante sectorwetgeving (Jeugdwet, WMO en Participatiewet). Dit laatste geldt óók voor een groot deel van de huishoudens met problemen op meerdere terreinen, omdat de sectorwetgeving aangeeft onder welke omstandigheden voor het ene domein verzamelde gegevens verder kunnen worden verwerkt voor een hulpvraag of voorziening in een ander domein.

Uitgangspunt van de decentralisatiewetten is de betrokkenheid van de burger en zijn omgeving bij het tot stand komen van ondersteuning in het sociaal domein. Dit betekent dat ook de ondersteuning en de daarvoor noodzakelijke gegevensverwerking en gegevensuitwisseling in samenspraak met de betrokkene(n) zal plaatsvinden. Echter ook dan heeft de gemeente de plicht om terughoudend om te gaan met de vraag naar en registratie van persoonsgegevens. Zij is dan gehouden aan de in de Wbp vastgelegde criteria van rechtmatigheid, doelbinding, noodzaak, subsidiariteit en proportionaliteit 4 . Het privacyprotocol Gemeente Borne Sociaal Domein geeft invulling aan deze criteria.

Slechts in een zeer beperkt aantal gevallen zal de gemeente gegevens uitwisselen buiten de betrokkenheid en zonder samenspraak met de burger. In dergelijke situaties is er sprake van een noodzaak tot handelen omdat de veiligheid en /of gezondheid van betrokkenen of omgeving in het geding is.

2) Kernpunten op het gebied van gegevensverwerking en privacy in het sociaal domein

Het kabinet heeft een visie opgesteld (1 mei 2014): “Zorgvuldig en bewust, Gegevensverwerking en Privacy in een gedecentraliseerd sociaal domein”. Deze kabinetsvisie is opgesteld door het ministerie van BZK in overleg met een aantal andere ministeries en de VNG. De Kabinetsvisie geeft richtlijnen aan gemeenten voor het zorgvuldig omgaan met persoonsgegevens in het kader van decentralisaties.

Onze gemeente sluit zich aan bij de kernpunten van de kabinetsvisie en neemt deze over als de Bornse kernpunten op het gebied van gegevensverwerking en privacy in het sociaal domein. De kernpunten staan in een kader en worden daaronder toegelicht.

  • 1

    De Wet bescherming persoonsgegevens (Wbp) is leidend

    Het recht op eerbiediging van de persoonlijke levenssfeer wordt erkend in verschillende verdragen en in de Grondwet. De Wet bescherming persoonsgegevens (hiernaar: Wbp) is leidend voor wat betreft de verwerking van persoonsgegevens. De Wbp vereist dat persoonsgegevens op een behoorlijke en zorgvuldige manier worden verwerkt en alleen voor duidelijk omschreven doelen worden gebruikt. In de Wbp zijn de algemene grondslagen opgenomen die voor informatie-uitwisseling in het sociale domein van toepassing zijn. In de materiewetten binnen het sociaal domein, waaronder de Jeugdwet en de WMO zijn bepalingen opgenomen over het verwerken van persoonsgegevens en worden wettelijke grondslagen gegeven op basis waarvan persoonsgegevens verwerkt mogen worden. Indien één van deze grondslagen ontbreekt, kunnen persoonsgegevens worden verwerkt op voorwaarde dat de betrokkene zijn ondubbelzinnige (zonder enige twijfel) toestemming 5 heeft verleend of een vitaal belang van de betrokkene dient te worden gevrijwaard. Dit laatste betekent dat het moet gaan om een verwerking van persoonsgegevens die van ‘levensbelang’ is. Bijvoorbeeld er is dringend medische hulp nodig naar aanleiding van een ongeval waarbij iemand buiten bewustzijn is geraakt. De medewerkers en professionals binnen het sociaal domein staan voor de uitdaging om de wettelijke kaders toe te passen in de praktijk. De Wbp biedt voldoende mogelijkheden om, indien noodzakelijk, gegevens te verwerken ten behoeve van het oplossen van probleemsituaties. Het is daar, waar de Wbp met algemeen geformuleerde normen ruimte biedt voor maatwerk, dat er discussie en interpretatieverschillen ontstaan. Dit vereist een zorgvuldige afweging. Per 25 mei 2018 zal binnen de EU de Algemene Verordening Gegevensbescherming (AVG) gaan gelden. De AVG komt in de plaats van de landelijke privacywet in elke lidstaat van de EU, in Nederland de Wbp. De Verordening zorgt onder meer voor: versterking en uitbreiding van privacyrechten; meer verantwoordelijkheden voor organisaties; dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders 6 . In hoofdstuk 4 zullen de gevolgen van de AVG kort worden toegelicht. Tot het moment van de inwerkingtreding van de AVG is de Wbp leidend. Een aantal verplichtingen volgend uit de AVG zijn inmiddels al opgenomen in de Wbp zoals de Meldplicht Datalekken en het vastleggen van afspraken met bewerkers van persoonsgegevens in een bewerkersovereenkomst. De kernpunten en het Bornse privacyprotocol passen binnen de AVG en zullen daar waar nodig, als de AVG geldt, worden aangepast. Op dat moment zijn de precieze gevolgen van de AVG bekend.

  • 2

    Hergebruik van gestandaardiseerde gegevens voor standaardprocessen en voorzieningen moet geregeld zijn in de betreffende sectorale wet en regelgeving, op basis van wederkerigheid

    Wanneer gegevens hergebruikt worden op verschillende terreinen binnen het sociale domein dan moet daar in de afzonderlijke wetten een basis voor zijn op basis van wederkerigheid. In de wet moet staan waarvoor de persoonsgegevens gebruikt mogen worden. Een voorbeeld: de mogelijkheid voor de gemeente om de toekenning van bepaalde voorzieningen afhankelijk te stellen van de hoogte van het inkomen. Het gebruik van de daarvoor noodzakelijke gegevens moet zowel in de regelgeving van de Wmo als SUWI 7 (Wet structuur uitvoeringsorganisatie werk en inkomen) geborgd zijn. Is dat niet het geval, dan mag de informatie uit SUWI niet gebruikt worden ten behoeve van de WMO.

  • 3

    Richting geven aan een lerende praktijk

    Onder invloed van de decentralisaties is de praktijk nog volop in beweging. De gemeente is gevraagd om nieuwe werkwijzen te ontwikkelen in het sociale domein. Hier wordt op dit moment nog gewerkt. Met de samenwerkingspartners wordt naar manieren gezocht om een zorgvuldige omgang met gegevens en privacy van burgers te borgen. Er moet hierbij ruimte zijn voor maatwerk door de professional, in samenspraak met het gezin. Daarbij wordt uitgegaan van de professionaliteit van medewerkers in het sociaal domein. Het vaststellen van deze kernpunten en een Privacyprotocol Gemeente Borne Sociaal Domein geeft mede invulling aan de richting en werkwijze binnen het sociaal domein op het gebied van privacy.

  • 4

    De ruimte voor gegevensverwerking en uitvraag moet zijn ingebed in een zorgvuldig triage proces om zorgvuldige gegevensdeling en uitvraag te realiseren.

    De term ‘triage’ komt uit de medische wereld 8 . De term wordt ook gebruikt in het kader van de afwegingen die gemaakt moeten worden op het gebied van het delen van persoonsgegevens door professionals binnen het sociale domein. De burger moet erop kunnen vertrouwen dat de gemeente en samenwerkingspartners niet te weinig, onnodig of teveel gegevens verwerken (delen of uitvragen), en dat gegevens goed zijn beveiligd tegen ongeoorloofde inzage en gebruik. Het is van belang dat de professionals in het sociaal domein het vermogen ontwikkelen om het onderwerp gegevensverwerking bij iedere afweging in het proces mee te nemen. En daarbij ook in het oog te houden of het een ‘eenvoudige’ situatie en potentiële multiprobleemsituatie betreft. Daarbij moet de professional oog hebben voor zijn eigen functie in het proces en de daarbij behorende gegevensverwerking. Dat kan door het inrichten van een zorgvuldig proces van triage waarin de stapsgewijze afwegingen ten aanzien van gegevensverwerking een plaats hebben. Privacy wordt op die manier onderdeel van de kwaliteit van het dienstverleningsproces en de professionaliteit van de medewerker. Door de VNG en KING is een ‘triage-instrument voor professionals’ ontwikkeld. Dit maakt onderdeel uit van het Bornse privacyprotocol voor het sociaal domein en is als bijlage hierbij gevoegd.

  • 5

    Versterking van de positie van de burger Wanneer de gemeente persoonsgegevens verwerkt, is het van belang dat de burger weet en het vertrouwen heeft dat er sprake is van de nodige zorgvuldigheid. En waar hij van mening is dat er geen sprake is van zorgvuldigheid, dat hij daartegen in verweer kan komen. In onze gemeente wordt ervoor gezorgd dat de burger goed op de hoogte is van de wederzijdse rechten en plichten, zo vroeg mogelijk in het dienstverleningsproces. Ook betekent dit dat de burger een zichtbare, laagdrempelige plek moet hebben om klachten te uiten met betrekking tot verwerking van zijn of haar persoonsgegevens en privacy. Hier wordt in hoofdstuk 4 op ingegaan. Het moet eenvoudiger worden voor de burger om te kunnen weten welke personen op welke momenten zijn of haar gegevens hebben ingezien. Het transparantiebeginsel (een ieder heeft het recht te weten wat en waar er vast ligt en wat wordt uitgewisseld tussen wie) is een belangrijk beginsel, waar onze gemeente invulling aan gaat geven. De wijze waarop technologie hieraan kan bijdragen vergt nader onderzoek. Met betrekking tot gegevensbeveiliging is het uitgangspunt van onze gemeente dat de gegevensuitwisseling tenminste voldoet aan de Baseline Informatiebeveiliging Gemeenten (Informatie-beveiligingsbeleid Gemeente Borne) en uiteraard aan verplichtingen die voortvloeien uit de betreffende wetten die gaan over gegevensverwerking door de gemeente (bijv. Wet bescherming persoonsgegevens, Wet basisregistraties personen, Wet basisregistraties adressen en gebouwen (BAG) en de Archiefwet.

  • 6

    Het college van burgemeester en wethouders is verantwoordelijk voor de zorgvuldigheid van de gegevensverwerking die door of namens de gemeente plaatsvindt. Zij stelt eisen aan beveiliging en borging van de privacy. Het college is voor de wijze waarop het hieraan invulling geeft verantwoording verschuldigd aan de gemeenteraad. De afspraken over gegevensverwerking en privacy vallen onder verantwoordelijkheid van het college van burgemeester en wethouders. Deze kernpunten en het Privacyprotocol Gemeente Borne Sociaal Domein worden bekend gemaakt aan de samenleving. Het college legt verantwoording over de uitvoering hiervan af aan de gemeenteraad. Het onderdeel gegevensverwerking en privacy in het Sociaal Domein zal worden opgenomen in de monitor sociaal domein, waarin het college verantwoording aflegt over de Decentralisaties aan de gemeenteraad. Voor zover de gemeente haar taken in samenwerking uitvoert, is het college ervoor verantwoordelijk dat gegevensverwerking is ingebed in een zorgvuldig proces van triage en maakt hierover afspraken met samenwerkingspartners. Samenwerkingspartners, zoals een zorginstelling of een bedrijf waar huishoudelijke hulp wordt ingekocht, hebben meestal ook hun eigen privacyregels en wetgeving waar zij aan moeten voldoen op het gebied van privacy. De Wbp is een wet waar in ieder geval elke samenwerkingspartner zich ook aan moet houden. Het door het college vastgestelde privacyprotocol Gemeente Borne Sociaal Domein is op de Wbp gebaseerd en is een protocol waaraan een samenwerkingspartner zich voor wat betreft gegevensverwerking aan moet houden.

3). Privacyprotocol Gemeente Borne Sociaal Domein

In het vorige hoofdstuk zijn de kernpunten van onze gemeente op het gebied van het verwerken van persoonsgegevens benoemd en toegelicht. Het geven en kenbaar maken van kernpunten is belangrijk om een kader te hebben waarbinnen professionals kunnen werken met persoonsgegevens. De kernpunten komen terug in onderstaand Privacyprotocol Gemeente Borne Sociaal Domein. Het Privacyprotocol bevat richtlijnen voor de professionals hoe om te gaan met het verwerken van persoonsgegevens. De werkprocessen zullen worden gecheckt of deze voldoen aan het privacyprotocol en indien nodig zullen de werkprocessen worden aangepast. Het privacyprotocol is gebaseerd op de Wet bescherming persoonsgegevens. Het vervangt de Wbp uiteraard niet. Het privacyprotocol past binnen de Algemene Verordening Gegevensbescherming en zal op termijn hieraan worden aangepast.

Privacyprotocol Gemeente Borne Sociaal Domein

Artikel 1 Begrippen

  • - Betrokkene: de cliënt of een ander persoon van wie gegevens zijn verwerkt in verband met de ondersteuning van de cliënt;

  • - Cliënt: inwoner van de gemeente aan wie één of meerdere partners ondersteuning bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen;

  • - College van B&W: College van burgemeester en wethouders van de gemeente Borne;

  • - Professional: Elke persoon die in het sociaal domein beroepsmatig cliëntgebonden werkzaamheden verricht. Dit kan zowel een (gemeente)ambtenaar als een hulpverlener, leerkracht of andere medewerker van een partner of een zelfstandige zijn;

  • - Integrale ondersteuning: hulp aan een cliënt in geval van een (multi-problem) vraagstuk, waarbij geldt: één gezin, één plan, één regisseur;

  • - Ondersteuning: hulp aan een cliënt op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen;

  • - Partner(s): publieke en private organisaties en zelfstandig werkende professionals die cliënten ter uitvoering van de Wet maatschappelijke ondersteuning, de Jeugdwet en de Participatiewet ondersteuning bieden en die zich contractueel of anderszins aan dit protocol hebben gecommitteerd;

  • - Persoonsgegevens: alle gegevens betreffende een individuele persoon;

  • - Verwerken van persoonsgegevens: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, delen, vernietigen, enz. van deze gegevens;

  • - Verantwoordelijke: Het bestuursorgaan dat het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, in dit geval het college van burgemeester en wethouders van de gemeente Borne.

Artikel 2 Doel en reikwijdte Protocol

Om aan inwoners van de gemeente integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen en werk en inkomen worden persoonsgegevens verwerkt. Het verwerken van persoonsgegevens dient zorgvuldig te gebeuren. Dit protocol geeft daar richtlijnen voor. Grondslag voor de verwerking van persoonsgegevens als bedoeld in dit protocol is gelegen in de Wet bescherming persoonsgegevens, de Wet maatschappelijke ondersteuning, de Jeugdwet en de Participatiewet.

Artikel 3 Correct omgaan met persoonsgegevens

  • 1. Het college van B&W en de partners onderkennen dat zij verantwoordelijk zijn voor het zorgvuldig om gaan met persoonsgegevens van cliënten en andere betrokkenen. Daarbij gaat het om het stellen van regels en het maken van afspraken binnen de eigen organisatie over de omgang met die gegevens. Het gaat ook om de beveiliging ervan. Bovenal gaat het om bewustzijn onder de eigen medewerkers, het besef dat men met gevoelige informatie werkt en dat men hiermee integer en zorgvuldig moet omgaan. Het gaat om de balans tussen de informatie die nodig is om integrale en effectieve ondersteuning te kunnen bieden, en de bescherming van de persoonlijke levenssfeer van cliënten en andere betrokkenen.

  • 2. Het college van B&W en de partners zijn zelf verantwoordelijk voor de verwerking van persoonsgegevens binnen de eigen organisatie en zorgen dat:

    • a.

      de persoonsgegevens die zij op basis van dit protocol verwerken juist, volledig en ter zake dienend zijn en dat deze gegevens rechtmatig zijn verkregen;

    • b.

      afdoende technische en organisatorische maatregelen worden genomen ter beveiliging van de persoonsgegevens die zij op basis van dit protocol verwerken;

    • c.

      binnen de eigen organisatie afspraken zijn gemaakt over welke medewerkers en eventueel ingeschakelde derden toegang hebben tot de persoonsgegevens;

    • d.

      hun medewerkers en eventueel ingeschakelde derden kennis hebben van dit protocol en dit ook naleven.

    • e.

      het bewustzijn van hun medewerkers en eventueel ingeschakelde derden wordt bevorderd, bijvoorbeeld door middel van het periodiek bespreken in werkoverleggen, het organiseren van themabijeenkomsten, het voeren van discussies of anderszins.

    • f.

      incidenten worden gemeld bij de gemeente. Dat betreft bijvoorbeeld de situatie dat onrechtmatig is ingebroken op datasystemen of dat persoonsgegevens anderszins in strijd met dit protocol ter beschikking van derden zijn gekomen. De partner is zelf verantwoordelijk om in verband hiermee de nodige maatregelen te treffen.

    • g.

      de wettelijke bepalingen op het gebied van bescherming van persoonsgegevens worden nageleefd.

Artikel 4 Informeren en toestemming vragen

  • 1. De professional informeert de cliënt dat in verband met de ondersteuning persoonsgegevens worden vastgelegd en dat deze kunnen worden uitgewisseld met andere instanties. Daarbij geeft hij zo concreet mogelijk aan met welke instanties die uitwisseling plaatsvindt.

  • 2. De professional vraagt de cliënt instemming om met betrekking tot de hulpvraag diens persoonsgegevens vast te leggen en op te vragen 9 . In het dossier van de cliënt wordt aangetekend of deze instemming is gegeven.

  • 3. De professional vraagt de cliënt instemming om met betrekking tot de hulpvraag diens persoonsgegevens te delen met anderen. In het dossier van de cliënt wordt aangetekend of deze instemming is gegeven.

  • 4. De professional vraagt aan de cliënt schriftelijke toestemming om met betrekking tot de hulpvraag diens medische gegevens op te vragen en/of te delen met anderen. Het toestemmingsformulier wordt in het dossier van de cliënt opgenomen. Dat gebeurt ook indien de toestemming wordt geweigerd.

  • 5. De cliënt kan de toestemming op elk moment intrekken.

  • 6. Indien toestemming is geweigerd, ingetrokken of nog niet is gevraagd, kan toch tot verwerking van persoonsgegevens worden overgegaan voor zover dat noodzakelijk en onvermijdelijk is voor de ondersteuning van de cliënt of er ernstige risico’s bestaan voor de geestelijke of lichamelijke gezondheid of veiligheid van de cliënt, hulpverlener of anderen. Hiervan wordt een aantekening gemaakt in het dossier.

Artikel 5 Noodzakelijkheid, proportionaliteit en subsidiariteit

  • 1. Het college van B&W en de partner verwerken uitsluitend persoonsgegevens die noodzakelijk zijn voor een zorgvuldige ondersteuning van de cliënt (proportionaliteit). De uitwisseling van persoonsgegevens gaat niet verder dan voor een integrale en effectieve ondersteuning van de cliënt noodzakelijk is (noodzakelijkheid). Ook moet het doel van de gegevensverwerking niet op een andere wijze, die minder belastend is voor de persoonlijke levenssfeer, kunnen worden bereikt (subsidiariteit). Voor de toepassing hiervan wordt het als bijlage bijgevoegde ‘Triage-instrument voor professionals’ (KING en VNG) gebruikt.

  • 2. Persoonsgegevens worden bewaard en vernietigd op basis van vaste (en over het algemeen wettelijk/landelijk vastgestelde) bewaar- en vernietigingstermijnen die kunnen verschillen per soort ‘zaak’. In het algemeen zal een termijn van vijf jaar gelden, maar bijvoorbeeld in jeugddossiers kan deze termijn langer zijn. Het langer bewaren van gegevens kan ook noodzakelijk zijn uit oogpunt van zorgvuldige ondersteuning van de cliënt.

Artikel 6 Geheimhouding

  • 1. Behoudens de op grond van dit protocol toegestane uitwisseling van persoonsgegevens betrachten het college van B&W en de partners, hun medewerkers en eventueel ingeschakelde derden geheimhouding omtrent persoonsgegevens.

  • 2. Dit protocol laat een eventueel wettelijk beroepsgeheim van de hulpverlener onverlet.

Artikel 7 Uitwisselen gegevens met niet-partners

In geval persoonsgegevens worden uitgewisseld met niet-partners (bijvoorbeeld familieleden van de cliënt, mensen uit zijn sociale netwerk of professionals die zich niet aan dit protocol hebben gecommitteerd), handelt de niet-partner overeenkomstig dit protocol. De partner informeert de niet-partner over de (hoofdlijnen van) het protocol. Zo nodig spreekt hij de niet-partner aan indien deze handelt in strijd met het protocol.

Artikel 8 Huiselijk geweld, kindermishandeling

  • 1. In geval van signalen van huiselijk geweld of kindermishandeling geldt de Meldcode Huiselijk Geweld en Kindermishandeling.

  • 2. Indien Veilig Thuis Twente de verantwoordelijke of een partner benadert in verband met een melding van signalen van kindermishandeling en/of huiselijk geweld, kan deze zo nodig zonder toestemming van de cliënt, de voor de taakuitoefening van het Veilig Thuis Twente noodzakelijke persoonsgegevens van de cliënt verstrekken. De verantwoordelijke en de partner maken hiervan een aantekening in het dossier van de cliënt.

Artikel 9 Informatie, verbetering, aanvulling, verwijdering

  • 1. Op verzoek van de betrokkene informeert het college van B&W en/ of de partner hem of persoonsgegevens van hem zijn verwerkt. Daarbij geeft het college van B&W en/ of de partner een overzicht van de verwerkte gegevens, de herkomst ervan, het doel van de verwerking en de organisaties of personen met wie de gegevens zijn uitgewisseld 10 .

  • 2. De betrokkene heeft recht op inzage in het dossier voor wat betreft zijn eigen persoonsgegevens 11 .

  • 3. Inzage als bedoeld in lid 2 van dit artikel kan worden beperkt indien dit noodzakelijk is in het belang van de bescherming van de betrokkene en de rechten en vrijheden van anderen 12 .

  • 4. De betrokkene kan vragen om verbetering, aanvulling, verwijdering of afscherming van zijn persoonsgegevens indien deze naar zijn oordeel onjuist of onvolledig zijn, voor het doel waarvoor zij zijn verwerkt irrelevant zijn, dan wel in strijd met een wettelijk voorschrift zijn verwerkt.

  • 5. Het college van B&W en/ of de partner berichten binnen vier weken of aan een verzoek als bedoeld in lid 4 wordt voldaan. Het college van B&W en/ of de partner kunnen het verzoek schriftelijk gemotiveerd afwijzen indien de verwerkte gegevens naar hun oordeel niet onjuist, onvolledig of irrelevant zijn, dan wel in strijd met een wettelijk voorschrift zijn verwerkt. Het verzoek wordt in elk geval afgewezen indien dit noodzakelijk is in het belang van de bescherming van de betrokkene en de rechten en vrijheden van anderen.

  • 6. Leidt het verzoek tot aanpassing of verwijdering van de persoonsgegevens van betrokkene, dan deelt het college van B&W en/of de partner dit zo spoedig mogelijk mee aan partners, c.q. derden aan wie de gegevens daaraan voorafgaand zijn verstrekt.

Artikel 10 Uitoefenen rechten door (wettelijk) vertegenwoordiger(s)

  • 1. Is de betrokkene jonger dan 12 jaar, dan worden diens rechten op basis van dit protocol uitgeoefend door de wettelijk vertegenwoordiger(s). Is de betrokkene twaalf jaar of ouder maar nog geen zestien jaar, dan worden deze rechten uitgeoefend door de wettelijk vertegenwoordiger en de betrokkene beiden. Vanaf zestien jaar oefent een betrokkene zijn rechten zelfstandig uit. De rechten op basis van dit protocol worden voor onder curatele gestelden uitgeoefend door hun wettelijk vertegenwoordigers.

  • 2. Wanneer het college van B&W en/of de partner een betrokkene van zestien jaar of ouder niet in staat acht tot het uitoefenen van diens rechten of het overzien van de gevolgen daarvan in een bepaalde situatie, worden die rechten uitgeoefend door zijn wettelijk vertegenwoordiger(s). Heeft de betrokkene geen wettelijk vertegenwoordiger, dan oefent de echtgenoot of levensgezel deze rechten uit. Heeft hij geen echtgenoot of levensgezel, of wenst deze de rechten van de betrokkene niet uit te oefenen, dan kan een ouder, een meerderjarige broer of zus, of een meerderjarig kind van de betrokkene diens rechten uitoefenen.

  • 3. De rechten die een (wettelijk) vertegenwoordiger uitoefent op basis van dit artikel, kunnen door het college van B&W en/of de partner 13 worden beperkt of geweigerd indien zwaarwegende belangen van de betrokkene zich tegen deze uitoefening verzetten.

Artikel 11 Klachten en overige rechtsbescherming

  • 1. De betrokkene heeft het recht om een klacht in te dienen bij het college van B&W indien hij/zij ontevreden is over de dienstverlening en/of handelwijze van de gemeente. De klacht wordt overeenkomstig de Algemene wet bestuursrecht en de klachtenregeling van de gemeente Borne behandeld.

  • 2. Het indienen van een bezwaar-, beroepschrift tegen besluiten van de gemeente omtrent persoonsgegevens en van een verzoekschrift omtrent het onrechtmatig gebruik van persoonsgegevens wordt geregeld in de Wet bescherming persoonsgegevens.

  • 3. Een partner zorgt voor een klachtenregeling omtrent persoonsgegevens binnen de eigen organisatie, waar betrokkene terecht kan.

Artikel 12 Inwerkingtreding

Dit privacyprotocol treedt in werking één na dag na publicatie. Het protocol kan worden aangehaald als Privacyprotocol Sociaal Domein Gemeente Borne

College van burgemeester en wethouders,

burgemeester, gemeentesecretaris,

mr. drs. R.G. Welten G.J. Rozendom

4) Een aantal praktijkaspecten uitgelicht

4.1 Inleiding

In vervolg en ter toelichting op de hierboven genoemde uitgangspunten en het Privacyprotocol Gemeente Borne Sociaal Domein worden een aantal praktijkaspecten uitgelicht.

4.2. Nota integriteit en bijbehorende gedragscodes

Begin 2013 zijn door de gemeenteraad de Nota integriteit en bijbehorende gedragscodes vastgesteld. Integer handelen betekent in de Bornse situatie dat ambtenaar en politiek ambtsdrager rechtmatig handelen, zich houden aan de geldende wetten, regels en procedures. Het betekent onder meer dat ambtenaar en politiek ambtsdrager doelmatig handelen, zorgvuldig, zuinig en verantwoord met overheidsmiddelen omgaan. Behorend bij deze Nota integriteit is de gedragscode medewerkers vastgesteld. In deze gedragscode wordt omschreven hoe moet worden omgegaan met “vertrouwelijke” informatie. Tevens is er een apart internet- en e-mailprotocol waarin voorschriften staan voor het gebruik van internet en e-mail. Dit zijn belangrijke algemene regels, die gelden voor alle medewerkers van de gemeente, die ook zeer van belang zijn binnen het Sociaal Domein. De uitgangspunten en het Privacyprotocol Gemeente Borne Sociaal Domein zijn hiervan een goede nadere uitwerking.

Een aantal praktische regels binnen de gemeente Borne ziet op het werken met een ‘clean-desk’, de afdeling Welzijn en Educatie heeft een beveiligde toegang en kasten kunnen worden afgesloten.

4.3. Training van professionals is essentieel

Het is belangrijk dat medewerkers van onze gemeente die werken binnen de domeinen Jeugd, WMO en werk en inkomen worden getraind op het onderdeel privacy en gegevensverwerking. Dit zijn de medewerkers van de afdeling Inwoners, maar bijvoorbeeld ook van de Concernstaf die met deze vakgebieden bezig zijn. In onze gemeente heeft in het voorjaar van 2015 een grote bijeenkomst plaatsgevonden over privacy in het sociaal domein en regionaal zijn en worden hierover bijeenkomsten georganiseerd. Daarnaast is het belangrijk dat het onderwerp terugkeert in team- en werkoverleggen. De praktijk is zeer weerbarstig en het leren van casus en bespreken van elkaars ervaringen is essentieel om op een goede manier te kunnen werken.

4.4. Samenwerking en uitbesteding

Bij de samenwerking van onze gemeente met allerlei organisaties, binnen het sociaal domein, hoort aan de uitwisseling van gegevens vorm en inhoud te zijn gegeven. Het privacyprotocol gemeente Borne Sociaal Domein, geeft de regels waaraan samenwerkingspartners moeten voldoen. Daarnaast worden met samenwerkingspartners bewerkersovereenkomsten of convenanten aangegaan, waarin ook expliciet gecommitteerd kan worden aan het Bornse privacyprotocol en/ of specifieke afspraken worden gemaakt over gegevensbescherming. De samenwerking binnen het sociaal domein en gegevensdeling zal ook in de komende jaren, voor zover dat al niet gebeurt, onderdeel gaan vormen van de inkoopbestekken dan wel subsidievoorwaarden. Aandachtspunt hierbij is een gezamenlijke aanbesteding met meerdere gemeenten waarbij over gegevensbescherming ook gezamenlijke afspraken moeten worden gemaakt. Het Bornse privacyprotocol Sociaal Domein dient hierbij voor Borne als uitgangspunt.

4.5. ICT-systemen en informatieveiligheid

Het is van belang dat de gemeente op een soepele manier informatie over burgers kan opvragen en uitwisselen, zonder dat er nodeloos of overmatig gegevens worden opgevraagd, gedeeld of anderszins verwerkt. Professionals moeten zich in de uitvoering van hun werk ondersteund voelen en geen hinder ondervinden in hun werk vanwege onduidelijkheden en onzekerheden over de gegevensuitwisseling. Een belangrijk signaal tijdens de bijeenkomst die gehouden is over privacy in het gemeentehuis van Borne kwam vanuit de huisartsen. De huisartsen gaven aan te willen weten wat er met de informatie gebeurt die zij geven over hun patiënten en dat de informatieveiligheid geborgd moet zijn.

Binnen de gemeente geldt dat de inrichting van de informatievoorziening (IT systemen en dergelijke) belangrijk is. In het bijzonder de autorisatie aan functionarissen is onderdeel van het vraagstuk betreffende de gegevensverwerking en privacy in het sociale domein. Een belangrijk uitgangspunt is daarbij dat in de in Borne gebruikte systemen, binnen het Sociaal Domein is geregeld, dat alleen de medewerker die betrokken is bij het gezin met de hulpvraag ook toegang heeft tot het dossier van dit gezin. In Civision is dat op deze wijze geregeld. Dit raakt mede het regionale informatiebeveiligingsbeleid dat door de gemeente Borne in oktober 2014 conform de Baseline Informatiebeveiliging Gemeenten van KING is vastgesteld. Het opslaan van digitale informatie binnen het Sociaal Domein en de toegang er toe en het delen met derden is in ontwikkeling en een punt van aandacht van het team Informatievoorziening en Techniek.

Zoals eerder genoemd wordt de Participatiewet uitgevoerd door de gemeente Hengelo op basis van een centrumregeling. De ICT-systemen die Hengelo gebruikt voor de Participatiewet vallen allemaal onder het Hengelose beveiligingsbeleid.

In het hierboven genoemde informatiebeveiligingsbeleid wordt aandacht besteed aan de ontwikkeling dat de gemeente meer gaat samenwerken en dat de dienstverlening door een derde wordt uitgevoerd. Met betrekking tot dit onderdeel wordt het volgende doel gesteld: “Een passend niveau van informatiebeveiliging implementeren en bijhouden en dit vastleggen in een (bewerkers)overeenkomst, contracten en/of convenanten.” Dit gedeelte heeft de aandacht van het team Informatievoorziening en Techniek en vormt mede een nadere uitwerking van het regionaal vastgestelde informatiebeveiligingsbeleid.

Applicaties die in Borne worden gebruikt rond het Sociaal Domein:

  • CORV koppeling, uitwisseling van gegevens met de Raad voor de Kinderbescherming.

  • CiVision Samenlevingszaken, stukken op het gebied van WMO en Jeugd van aanvraag tot beschikking staan hierin opgenomen. Het betreft een beveiligde omgeving.

  • SVB Sociale Verzekerings Bank (weblink)

  • RDW Melden gehandicapten parkeervergunning (weblink)

  • CAK (weblink)

  • Inlichtingen buro IWMO (straks koppeling met CiVision Samenlevingszaken)

  • Schulinck Handboek WMO

  • Schulinck Handboek WWB

  • Aansluiting op het Ggk, Gemeentelijk Gegevensknooppunt

  • Vis2, Vangnet Informatie en SamenwerkingsSysteem

  • BIJ, Bestuurlijke Informatie Justitiabelen

De opvragingen van personen en instanties worden gedaan in de Makelaarsuite en worden overgenomen in de verschillende applicaties zoals hierboven genoemd.

4.6. Positie en rechten van de burger

De relatie met de burger is, zoals ook al eerder aangegeven, essentieel met betrekking tot de gegevensverwerking. Het goed en tijdig informeren van de burger rondom de gegevensverwerking en indien nodig het vragen van toestemming van verzamelen, verwerken en delen van gegevens is een belangrijk onderdeel van het proces. Het Bornse privacyprotocol voorziet hierin.

In onze gemeente is er een gemeentelijk klachtencoördinator en een interne klachtenregeling, ‘Regeling interne klachtenprocedure gemeente Borne’. Bij de klachtencoördinator kunnen ook klachten ten aanzien van gegevensuitwisseling worden ingebracht. Het moet in dat geval gaan om een bejegeningsklacht. De toegang tot deze klachtenregeling is laagdrempelig en eenvoudig. Mochten klager en de gemeente er niet uit komen dan is er een gang naar de rechter mogelijk.

Verder biedt de Wet bescherming persoonsgegevens een aantal mogelijkheden om bezwaar in te stellen tegen bijvoorbeeld een besluit om een inzage- of correctieverzoek te weigeren. Wanneer een persoon van mening is dat de gemeente zijn persoonsgegevens onrechtmatig gebruikt heeft, en er wordt niet of niet voldoende op een klacht gereageerd, dan kan een verzoekschriftprocedure gestart worden bij de kantonrechter.

4.7 Ontwikkelingen en toekomst

Privacy van burgers en de verwerking van persoonsgegevens is geen nieuw onderwerp. Gemeenten en andere organisaties zijn gewend om met persoonsgegevens om te gaan. Er is bij de gemeenten op dit moment meer aandacht voor dit onderwerp, omdat er naar aanleiding van de extra taken meer persoonsgegevens bij de gemeenten en organisaties, waarmee wordt samengewerkt, komen te liggen. Het betreft ook de toevoeging van een grote kwetsbare groep, de jeugdigen. Vanwege de digitalisering van informatie heeft privacy in zijn algemeenheid ook de aandacht. Hoe kun je privacy in deze tijd nog op een goede manier borgen? Het op een goede manier borgen van de verwerking van persoonsgegevens binnen het sociale domein is op dit moment een belangrijke taak van de gemeente. Voor de toekomst is het van belang dat dit onderwerp de aandacht blijft houden en dat ook binnen andere beleidsvelden wordt nagegaan hoe de privacy van persoonsgegevens geborgd blijft en of er verbeteringen nodig zijn.

Op 25 mei 2016 is de (Europese) Algemene Verordening Gegevensbescherming (hierna: AVG) in werking getreden. Deze nieuwe wetgeving moet zorgen voor harmonisatie van de huidige privacyregelgeving in Europa en verbetering van de privacy(bescherming) van burgers. De oude privacyregelgeving (1995) werd vastgesteld toen internet nog in de kinderschoenen stond. Bij de nieuwe regelgeving gaat het daarom vooral om het beschermen van persoonsgegevens in de digitale wereld. De Europese Unie (hierna: EU) wil met deze AVG het vertrouwen bij burgers en consumenten in de verwerking van persoonsgegevens door overheid en bedrijven vergroten 14 . Deze privacyverordening werkt rechtstreeks en er is een overgangsperiode van twee jaar voor publieke (ook gemeenten) en private organisaties die persoonsgegevens verwerken om hieraan te voldoen. Na deze twee jaar geldt de AVG en is de Wbp ingetrokken. Als je als gemeente niet voldoet aan de verordening kunnen er sancties worden opgelegd in de vorm van boetes die hoog kunnen oplopen. Belangrijke onderdelen van deze privacyverordening zijn de meldplicht data lekken (al opgenomen in art. 34a Wbp) 15 , de al genoemde sancties en het recht om vergeten te worden 16 . De invoering van deze verordening vraagt voorbereiding van onze gemeente.

In onze gemeente wordt op dit moment gewerkt aan informatieveiligheid. Een belangrijk onderdeel voor verbetering van de waarborgen omtrent privacy in de organisatie is het, al eerder genoemde, informatiebeveiligingsbeleid. Voor een fundamentele oplossing van het informatieveiligheidsprobleem bij gemeenten is door de VNG eind 2013 de resolutie “Informatieveiligheid randvoorwaarde voor de professionele gemeente” vastgesteld.

In opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is door de informatiebeveiligingsdienst voor gemeenten (IBD) de baseline informatiebeveiliging Nederlandse gemeenten (BIG) ontwikkeld.

Deze baseline is een gemeenschappelijk normenkader dat de beschikbaarheid, integriteit en exclusiviteit van de gemeentelijke informatiesystemen bevordert en is een richtlijn met een totaalpakket aan informatiebeveiligingsmaatregelen die integraal voor iedere gemeente geldt. Het college van burgemeester en wethouders heeft op 14 oktober 2014 het organisatie-brede informatiebeveiligingsbeleid vastgesteld.

Voor het beheren, structureel uitvoeren en borgen van informatieveiligheid (ook voor het melden van datalekken) zijn de taken en rollen met verantwoordelijkheden in de organisatie belegd.

Vanuit deze rolverdeling is er een werkgroep informatieveiligheid die zich richt op het continue proces om informatieveiligheid in de organisatie verder te implementeren

Er is een uitvoeringsplan in ontwikkeling waarbij de stappen worden beschreven hoe de gemeente Borne informatieveiligheid wil implementeren. BMC gaat hierbij de gemeente ondersteunen.

Het streven van de (IBD) is om de (BIG) bij alle gemeenten ingevoerd te hebben in 2017.

Bijlage 1 Triage-instrument voor professionals

Triage-instrument voor professionals

Noot
1

Het geldt voor alle taken op het gebied van de Jeugdwet. Voor wat betreft de Wet Maatschappelijke Ondersteuning (WMO) geldt dat voor een aantal taken die nu onder de Algemene Wet Bijzondere Ziektekosten (AWBZ) vallen (Bijv. Begeleiding bij participatie en zelfredzaamheid van mensen met een beperking). De inwerkingtreding van de Participatiewet betekent een samenvoeging van de Wet werk en bijstand (WWB), de Wet sociale werkvoorziening (WSW) en een deel van de Wet arbeidsongeschiktheidsvoorziening jonggehandicapten (Wajong).

Noot
2

Met ingang van 1 januari 2014 zijn de taken op het gebied van sociale zaken van de gemeente ondergebracht bij de gemeente Hengelo door middel van een centrumregeling.

Noot
3

De bewerkersovereenkomst is de overeenkomst tussen een verantwoordelijke en een bewerker, waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. Een bewerker verwerkt voor de verantwoordelijke gegevens, zonder aan het directe gezag van de verantwoordelijke te zijn onderworpen. Een voorbeeld hiervan is dat Kennispunt Twente ten behoeve van de gemeenten in de regio Twente persoonsgegevens verwerkt ten behoeve van onderzoek en ontwikkeling. De gegevens worden gebruikt om de jeugdhulp binnen Twente op gemeentelijk en regionaal niveau te monitoren en te versterken.

Noot
4

Rechtmatigheid: Dit houdt in dat gegevens op een behoorlijke, zorgvuldige en legale manier verwerkt worden.

Doelbinding: Bij het verzamelen van persoonsgegevens moet het duidelijk zijn met wat voor doel dat gebeurt. Er mogen niet meer

gegevens verwerkt worden dan strikt noodzakelijk is.

Noodzaak: welke gegevens zijn noodzakelijk gegeven het gestelde doel.

Subsidiariteit: is het delen of opvragen van informatie de minst ingrijpende maatregel?

Proportionaliteit: staat het delen of opvragen van de informatie en doel met elkaar in verhouding? Kan het ook met minder

informatie?

Noot
5

In geval van het verlenen van ondubbelzinnige toestemming mag er geen sprake zijn van een ongelijke machtspositie.

Noot
6

https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/europese-privacywetgeving

Noot
7

Via Suwinet kunnen overheidsorganisaties gegevens van burgers digitaal uitwisselen.

Noot
8

Het rangschikken van gewonden naar aard en ernst van de verwondingen en het aan de hand daarvan bepalen van behandelings-en-of

afvoerurgentie.

Noot
9

Opgemerkt wordt dat indien de Participatiewet van toepassing is, bijvoorbeeld voor een aanvraag om bijstand, een instemmingsvereiste niet noodzakelijk is. Bij een aanvraag om bijstand moeten de noodzakelijke bewijsstukken worden overgelegd om een aanvraag in behandeling te kunnen nemen.

Noot
10

Artikel 35 van de Wet bescherming persoonsgegevens.

Noot
11

Kopieën kunnen niet geëist worden, maar uit oogpunt van dienstverlening zullen kopieën van gegevens normaal gesproken gegeven worden.

Noot
12

Zie artikel 43 Wet bescherming persoonsgegevens voor nog meer uitzonderingen en beperkingen.

Noot
13

Voor de duidelijkheid: partner, zoals bedoeld in artikel 1.

Noot
14

Ledenbrief VNG “Inwerkingtreding algemene verordening gegevensbescherming”. Lbr. 16/058

Noot
15

Als onverhoopt gegevens van iemand op straat komen te liggen dan moet dit binnen uiterlijk 72 uur na ontdekking gemeld worden bij de Autoriteit Persoonsgegevens en mogelijk aan de degene die het betreft.

Noot
16

Het recht om vergeten te worden is belangrijk in de huidige discussie over de verordening. Hoe dat vorm krijgt en hoe dat voor gemeenten impact heeft, is op dit moment nog niet helder. Belangrijk bij het inrichten van het privacybeleid in het sociaal domein is wel dat u als gemeente burgers informeert hoe persoonsgegevens worden gedeeld, opgeslagen en bewaard. Denk daarbij ook aan het vaststellen van bewaartermijnen en het inrichten van procedures voor inzage.