Privacy protocol sociaal domein Nieuwkoop

Geldend van 01-01-2015 t/m heden

Intitulé

Privacy protocol sociaal domein Nieuwkoop

Privacy protocol sociaal domein Nieuwkoop

Burgemeester en wethouders van de gemeente Nieuwkoop;

Gelet op het bepaalde in:

  • -

    Artikel 8 van het Europees Verdrag tot Bescherming van de Rechten van de Mens (EVRM);

  • -

    De Wet bescherming persoonsgegevens;

  • -

    De Wet basisregistratie personen;

  • -

    De Archiefwet 1995;

  • -

    De Jeugdwet (hoofdstuk 7);

  • -

    De invoeringswet Participatiewet;

  • -

    De Wet maatschappelijke ondersteuning 2015 (hoofdstuk 5);

  • -

    De Verordening Sociaal Domein Nieuwkoop 2015;

  • -

    De Baseline Informatiebeveiliging Gemeenten (BIG);

  • -

    Het informatiebeveiligingsbeleid Gemeente Nieuwkoop;

  • -

    Gedragscode voor ambtenaren bij Gemeente Nieuwkoop (artikel 2).

Overwegende:

  • -

    dat de uitvoering van de taken in het kader van het sociaal domein in Nieuwkoop het nodig en gewenst maken dat de gemeente, sociale partners en ketenpartners persoonsgegevens uitwisselen en/ of anderszins verwerken;

  • -

    dat de betrokken partijen zich er van bewust zijn bij het verwerken van persoonsgegevens, dat zij gebonden zijn aan wet- en regelgeving over onder meer privacy en beroepsgeheim en aan verplichtingen die voortvloeien uit beroepscodes;

  • -

    dat de betrokken partijen voor de verwerking van persoonsgegevens binnen hun eigen organisatie hun eigen privacyreglement opstellen of hebben opgesteld;

  • -

    dat de betrokken bestuursorganen en deelnemende organisaties zich er bovendien van bewust zijn dat steeds gezocht moet worden naar een evenwicht tussen het belang van gegevensuitwisseling en -verwerking in het kader van de dienstverlening aan betrokkenen en het belang van die betrokkenen bij de bescherming van hun persoonlijke levenssfeer;

  • -

    dat het college ter zake deze gegevensuitwisseling en -verwerking een aantal regels willen vaststellen waaraan alle partijen zich dienen te houden.

Besluiten:

vast te stellen het volgende Privacy protocol sociaal domein Nieuwkoop.

Artikel 1 Begripsbepalingen

In dit protocol wordt verstaan onder:

  • a.

    persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

  • b.

    integraal plan: het plan zoals omschreven in artikel 3 van de Verordening Sociaal Domein Nieuwkoop;

  • c.

    voorzieningen: diensten aan inwoners, zoals omschreven in hoofdstuk 3 van de Verordening Sociaal Domein Nieuwkoop;

  • d.

    verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

  • e.

    betrokkene: degene op wie een persoonsgegeven betrekking heeft;

  • f.

    bijzondere persoonsgegevens: persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag;

  • g.

    niet herleidbare persoonsgegevens: persoonsgegevens die niet zijn terug te herleiden tot een individueel persoon;

  • h.

    toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

  • i.

    verantwoordelijke: de natuurlijke persoon of rechtspersoon of ieder andere die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt; voor de toepassing van dit protocol is verantwoordelijk: het college van burgemeester en wethouders van de gemeente Nieuwkoop;

  • j.

    derde: ieder, niet zijnde de betrokkene, de verantwoordelijke of enig persoon die onder rechtstreeks gezag van de verantwoordelijke gemachtigd is om persoonsgegevens te verwerken;

  • k.

    verstrekken van persoonsgegevens: het bekendmaken of ter beschikking stellen van persoonsgegevens;

  • l.

    verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;

  • m.

    Wbp: Wet bescherming persoonsgegevens;

  • n.

    CBP: College Bescherming Persoonsgegevens.

Artikel 2 Gemeenschappelijke doel van verwerking persoonsgegevens

  • 1. Het gemeenschappelijke doel waarvoor de persoonsgegevens worden verzameld en verder verwerkt is om door middel van proactieve, indien nodig integrale en ontkokerde, maatschappelijke dienst- en hulpverlening aan inwoners mogelijk te maken.

  • 2. De verwerking van persoonsgegevens heeft tevens tot doel om, indien nodig, tot een integraal plan te komen, gericht op een duurzame oplossing; waarbij gestreefd wordt naar het zelfredzaam zijn van de betrokkene op alle levensdomeinen, naar vermogen.

  • 3. Het doel van de persoonsgegevensverwerking is verder om een adequate mogelijkheid te creëren voor de beoordeling en evaluatie van het dienstverleningsmodel en -proces.

Artikel 3 Informatievoorziening

Voor de informatievoorziening en –uitwisseling maken de professionals van partijen gebruik van enkele ondersteunende digitale informatiesystemen.

Artikel 4 Werkwijze en integraal plan

  • 1. Een inwoner die voor de eerste maal een beroep doet op diensten (waaronder voorzieningen) in het sociaal domein wordt door de professional die hem hierbij begeleidt vooraf geïnformeerd over de verwerking van zijn persoonsgegevens, tenzij de betrokkene daarvan reeds op de hoogte is. Wanneer vooraf informeren onmogelijk blijkt wordt de betrokkene achteraf, op het moment dat dit wel mogelijk is, alsnog geïnformeerd. De informatie betreft in ieder geval: algemene informatie over de werkwijze, wie de verantwoordelijke is, het doel van de verwerking, om welke gegevens het gaat en wie toegang tot deze gegevens heeft. Een inwoner verleent vervolgens toestemming voor de verwerking van zijn persoonsgegevens.

  • 2. De inwoner heeft zoveel mogelijk de regie over zijn eigen ondersteuning. De professional staat hierbij naast de inwoner. Indien nodig, bij meervoudige en complexe problematiek, stellen zij samen een integraal plan op in overleg met en in aanwezigheid van de overige gezinsleden in het huishouden en in overleg met zijn of haar informeel netwerk.

  • 3. Het integraal plan wordt vastgelegd.

  • 4. Bij meervoudige of complexe problematiek kan de professional, alleen na instemming van de inwoner, contact opnemen met andere professionals uit het (wijk)netwerk of met derden. Deze mensen verwerken persoonsgegevens van betrokkene uitsluitend voor zover dat voor hen noodzakelijk is voor een goede taakuitoefening en met inachtneming van de voor hen toepasselijke wettelijke (privacy)regelingen en met inachtneming van artikel 6 van dit protocol.

Artikel 5 Verwerking persoonsgegevens

Betrokkenen

Van inwoners (betrokkenen) die bij een van de partijen een beroep doen op hulp of ondersteuning kunnen persoonsgegevens worden verwerkt.

Persoonsgegevens

Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk, toereikend, ter zake dienend en niet bovenmatig zijn (proportionaliteit en subsidiariteit).

Indien dit voor de uitvoer van de taken binnen het sociaal domein noodzakelijk is, schept de Verordening Sociaal Domein Nieuwkoop 2015 tenminste, maar niet uitsluitend, een grondslag voor de verwerking van de volgende categorieën persoonsgegevens:

  • a.

    BSN-nummer;

  • b.

    NAW-gegevens;

  • c.

    het integraal plan, opgesteld in samenspraak met betrokkene;

  • d.

    voor onderdelen b. en c. geldt dat ook de wijzigingen worden verwerkt.

  • e.

    registraties van gemeente en andere partijen over voorzieningen of ingezette ondersteuning, die inwoners (betrokkenen) gebruiken of geleverd krijgen. Een registratie bevat geen inhoudelijke dossiergegevens (geen wat-informatie), maar bestaat uitsluitend uit de naam en de status van de voorziening of ondersteuning (uitsluitend dat-informatie), en uit gegevens van de contactpersoon/ hulpverlener van die voorziening of ondersteuning;

  • f.

    informatie over de (medische) advisering die ter beoordeling van de aanvraag is opgevraagd. Ook hier bevat een registratie uitsluitend ‘dat-informatie’;

  • g.

    een besluit om ook registraties als bedoeld onder e. te verwerken, kan worden genomen indien dat naar het oordeel van de gemeente nodig mocht blijken voor realisering van de doelstellingen van het gemeentelijk beleid.

Naast de genoemde persoonsgegevens, is er de privacy- en sectorwetgeving ruimte voor de verwerking van meer categorieën persoonsgegevens voor de dienst- of hulpverlening in het sociaal domein. Voor iedere verwerking dient volgens de Wet bescherming persoonsgegevens (Wbp) echter een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel, een noodzaak en een grondslag (als bedoeld in artikel 6) te bestaan.

Bijzondere persoonsgegevens

Waar het gaat om bijzondere persoonsgegevens, worden uitsluitend de volgende persoonsgegevens verwerkt:

  • a.

    gegevens betreffende de gezondheid;

  • b.

    strafrechtelijke gegevens.

Artikel 6 Grondslagen voor gegevensverwerking

Persoonsgegevens

De in het vorige artikel genoemde soorten van persoonsgegevens, met uitzondering van de bijzondere persoonsgegevens, worden uitsluitend verwerkt in een of meer van de volgende gevallen:

  • a.

    de betrokkene of diens wettelijke vertegenwoordiger heeft voor de verwerking zijn ondubbelzinnige en uitdrukkelijke toestemming verleend;

  • b.

    de gegevensverwerking is noodzakelijk voor het uitvoeren van een overeenkomst waarbij het betrokken gezinslid of de betrokken gezinsleden partij zijn, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene(n) en die noodzakelijk zijn voor het sluiten van de overeenkomst;

  • c.

    de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke(n) zijn onderworpen;

  • d.

    de gegevensverwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene(n);

  • e.

    de gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door de bij de aanpak betrokken bestuursorganen of het bestuursorgaan waaraan de gegevens worden verstrekt; of

  • f.

    de gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke(n), de deelnemer(s) of een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten van de betrokkene(n), in het bijzonder het recht op de persoonlijke levenssfeer, prevaleert.

Bijzondere persoonsgegevens

De in het vorige artikel genoemde bijzondere persoonsgegevens over iemands gezondheid worden uitsluitend verwerkt in een of meer van de volgende gevallen:

  • a.

    indien de betrokkene of diens wettelijke vertegenwoordiger voor de verwerking ondubbelzinnige en uitdrukkelijke toestemming heeft verleend;

  • b.

    door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover dat met het oog op een goede behandeling, verzorging of ondersteuning van de betrokkene(n) noodzakelijk is;

  • c.

    door scholen, voor zover dat met het oog op de speciale behandeling van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is;

  • d.

    door reclasseringsinstellingen, de Raad voor de Kinderbescherming of Veilig Thuis, voor zover dat noodzakelijk is voor de uitvoering van hun wettelijke taken;

  • e.

    door het Openbaar Ministerie, voor zover dat in verband met de tenuitvoerlegging van vrijheidsstraffen of vrijheidsbenemende maatregelen noodzakelijk is;

  • f.

    indien een bestuursorgaan, een deelnemende organisatie of derde met de uitvoering van een wet is belast waarin de gegevensverwerking is voorzien.

De in het vorige artikel genoemde strafrechtelijke gegevens worden uitsluitend verwerkt in een of meer van de volgende gevallen:

  • a.

    indien betrokkene of diens wettelijke vertegenwoordiger voor de verwerking ondubbelzinnige en uitdrukkelijke toestemming heeft verleend;

  • b.

    door organen die krachtens de wet zijn belast met de toepassing van het strafrecht, alsmede door verantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens (Wpg) of de Wet justitiële en strafvorderlijke gegevens (Wjsg);

  • c.

    indien een deelnemende organisatie of een derde met de uitvoering van een wet is belast, waarin de gegevensverwerking is voorzien.

Artikel 7 Beveiliging van persoonsgegevens

  • 1. Het college wijst een functioneel beheerder aan voor de systemen waarin persoonsgegevens worden verwerkt en die in beheer zijn van de gemeente Nieuwkoop. De functioneel beheerder draagt zorg voor een goede werking van het systeem en verwerking van gegevens binnen het systeem.

  • 2. Met beheerders van systemen die niet door de gemeente beheerd worden, wordt een bewerkersovereenkomst gesloten. Hierin wordt een behoorlijke en zorgvuldige omgang van de bewerker met persoonsgegevens vastgelegd, deze is conform het privacy beleid van de gemeente.

  • 3. Het college treft passende voorzieningen op het gebied van organisatie en beveiliging van gegevens tegen verlies of aantasting en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. De maatregelen betreffen onder meer, de toegang tot persoonsgegevens, de lees- en schrijfbevoegdheden van de professionals en het vereiste niveau van beveiliging.

  • 4. Alle processen rondom de beschikbaarheid, integriteit en veiligheid van informatie worden continu beoordeeld en waar nodig verbeterd. De gemeente Nieuwkoop confirmeert zich aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

Artikel 8 Toegang tot persoonsgegevens; autorisatietabel en logging

  • 1. De toegang tot digitaal verwerkte persoonsgegevens vindt plaats op basis van autorisatiestructuren. Hiervoor worden gebruikers gekoppeld aan rollen. Per rol wordt de autorisatie tot de voor de dienst- of hulpverlening noodzakelijke persoonsgegevens geregeld. Met een gebruikersnaam en wachtwoord krijgen gebruikers op een veilige manier toegang tot de gegevens waarvoor zij geautoriseerd zijn.

  • 2. Het college van burgemeester en wethouders bepaalt de autorisatiebevoegdheden. De functioneel beheerder draagt zorg voor het beheer en onderhoud van de autorisatietabel.

  • 3. Het vastleggen, bewerken en raadplegen van de persoonsgegevens is slechts toegestaan voor zover dit noodzakelijk is in het kader van de taak en de werkzaamheden van de geautoriseerde personen, en is beperkt tot die gegevens die noodzakelijk zijn voor een goede taakuitoefening.

  • 4. Applicaties voor de digitale verwerking van persoonsgegevens hebben een logging-voorziening, waarmee vastgelegd wordt welke personen, wanneer hebben ingelogd en welke gegevens zijn ingevoerd of gewijzigd.

Artikel 9 Geheimhouding

  • 1. Partijen en andere betrokkenen bij de dienstverlening zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

  • 2. Partijen leggen tevens een plicht tot geheimhouding op aan die medewerkers die inzage hebben in persoonsgegevens of – in overeenstemming met het bepaalde in dit protocol – op andere wijze persoonsgegevens verkrijgen.

Artikel 10 Integriteit

  • 1. Een medewerker ‘lekt’ geen vertrouwelijke informatie naar buiten. Een medewerker laat niet uit slordigheid derden meeluisteren naar een gesprek over het werk of meekijken naar interne stukken.

  • 2. Een medewerker zorgt ervoor dat stukken met vertrouwelijke gegevens, zowel op de werkplek als op de computer, veilig zijn opgeborgen als hij/ zij de werkplek verlaat.

Artikel 11 Verstrekking van gegevens aan partijen en aan derden

  • 1. Uit de door de professional bij te houden gegevensverzamelingen worden uitsluitend gegevens verstrekt aan de deelnemende partijen, voor zover de verstrekking verenigbaar is met de in artikel 2 beschreven doeleinden van de verwerking.

  • 2. Iedere andere verstrekking van persoonsgegevens aan derden, vindt uitsluitend plaats indien voldaan wordt aan de volgende drie voorwaarden:

    • -

      de verstrekking is verenigbaar met de in artikel 2 beschreven doeleinden van de verwerking;

    • -

      de deelnemende partij die de betreffende gegevens heeft verzameld geeft daarvoor toestemming; en

    • -

      de betrokkene of diens wettelijke vertegenwoordiger heeft uitdrukkelijk schriftelijk toestemming gegeven, of de verstrekking aan een derde is naar het oordeel van de desbetreffende deelnemende partij noodzakelijk om aan een wettelijke verplichting te voldoen die rust op die desbetreffende deelnemende partij.

  • 3. De persoonsgegevens worden verstrekt met inachtneming van het volgende:

    • -

      in alle gevallen wordt voorafgaand aan de verstrekking het belang van de verstrekking afgewogen tegen het belang van de betrokkene(n), deelnemende partijen en derden bij bescherming van hun persoonlijke levenssfeer;

    • -

      de gegevens moeten noodzakelijk zijn voor de goede taakuitoefening van de betrokken deelnemende partijen en derden; en

    • -

      de gegevens zijn ter zake dienend (zo restrictief mogelijk).

Artikel 12 Bewaartermijnen

  • 1. De persoonsgegevens worden niet langer bewaard, in een vorm die het mogelijk maakt de betrokkene(n) te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of verwerkt.

  • 2. Op dit protocol zijn de wettelijke termijnen over de bewaartermijn van toepassing, uit de Archiefwet, Wmo 2015, Jeugdwet en de Participatiewet.

Artikel 13 Beleidsinformatie

  • 1. Het college verwerkt niet herleidbare persoonsgegevens ten behoeve van de totstandbrenging van een doelmatig, doeltreffend en samenhangend gemeentelijk beleid ten aanzien van preventie, dienst- en hulpverlening binnen het sociaal domein.

  • 2. Niet herleidbare persoonsgegevens mogen langer worden bewaard dan bepaald in artikel 12 voor zover ze voor beleidsdoeleinden worden bewaard, en het college de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt.

Artikel 14 Recht op inzage

  • 1. Een betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt. De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt.

  • 2. Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.

  • 3. De betrokkene heeft het recht te weten wie zijn persoonsgegevens op welk moment heeft ingezien.

  • 4. Voordat de verantwoordelijke een mededeling doet als bedoeld in het eerste lid, waartegen een derde naar verwachting bedenkingen zal hebben, stelt hij die derde in de gelegenheid zijn zienswijze naar voren te brengen indien de mededeling gegevens bevatten die hem betreffen, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.

Artikel 15 Recht op verbetering, aanvulling, verwijdering of afscherming

  • 1. Degene aan wie overeenkomstig artikel 14 kennis is gegeven van hem betreffende persoonsgegevens, kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen.

  • 2. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.

  • 3. De verantwoordelijke draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.

Artikel 16 Rechtsbescherming (indienen bezwaar)

Tegen een besluit tot afwijzing van een verzoek om informatie, een verzoek om inzage, een verzoek om verbetering, aanvulling, verwijdering of afscherming, een verzoek om opgave van de deelnemers of derden aan wie mededeling is gedaan van de verbetering, aanvulling, verwijdering of afscherming of een verzoek om verzet, kan een belanghebbende schriftelijk bezwaar maken bij de het college binnen zes weken na de bekendmaking van dat besluit. De Algemene wet bestuursrecht is van toepassing.

Artikel 17 Bemiddeling en Klachtrecht

Een belanghebbende kan bij het College Bescherming Persoonsgegevens (CBP) een verzoek om bemiddeling bij geschillen over de uitoefening van het recht op inzage of correctie van persoonsgegevens of over de uitoefening van het recht op verzet indienen (artikel 47 Wet bescherming persoonsgegevens, Wbp).

Het CBP kan ambtshalve of op verzoek van een belanghebbende een onderzoek instellen naar de naleving van het bepaalde bij of krachtens de wet en dit protocol (artikel 60 Wbp).

Artikel 18 Melding CBP

Het college van burgemeester en wethouders van de gemeente Nieuwkoop draagt zorg voor de melding, als bedoeld in artikel 27 Wbp aan het College Bescherming Persoonsgegevens (CBP), van de verwerking van persoonsgegevens.

Artikel 19 Inwerkingtreding

Na voorafgaande publicatie treedt dit Privacy protocol in werking op 1 januari 2015.

Toelichting op het privacy protocol

Artikel 1 Begripsbepalingen

In dit artikel zijn enkele vaak voorkomende begrippen gedefinieerd. De definities zijn overgenomen uit artikel 1 en 16 van de Wet bescherming persoonsgegevens (hierna: Wbp). Ook zijn enkele begrippen opgenomen die in de Verordening Sociaal Domein nader zijn uitgewerkt.

Artikel 2 Gemeenschappelijke doel van verwerking persoonsgegevens

Een van de voorwaarden voor een rechtmatige gegevensverwerking is dat persoonsgegevens alleen mogen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (artikel 7 Wbp). In artikel 2 van het protocol zijn de doelen van het verzamelen en anderszins verwerken van persoonsgegevens zo duidelijk en concreet mogelijk weergegeven.

Artikel 4 Werkwijze en integraal plan

Het eerste lid is een uitwerking van artikel 33 Wbp, waarin een informatieplicht van de verantwoordelijke is geregeld wanneer gegevens bij de betrokkene worden verkregen. Voordat een professional gegevens van een inwoner verwerkt - wanneer deze zich voor de eerste maal tot een partij heeft gewend met een hulpvraag -, dient de professional hem of haar te informeren over de gegevensverwerking, tenzij de betrokkene daarvan reeds op de hoogte is of dit niet mogelijk is (bijvoorbeeld in het belang van de hulpverlening). Wanneer het onmogelijk is de betrokkene vooraf te informeren dan wordt het op een later tijdstip, wanneer dit wel mogelijk is, alsnog gedaan. De informatie omvat in ieder geval:

  • -

    algemene informatie over de werkwijze;

  • -

    wat het doel van de verwerking is (proactieve, indien nodig integrale, dienst- en hulpverlening; verbetering dienstverlening);

  • -

    om welke soorten van gegevens het gaat;

  • -

    wie toegang tot de gegevens heeft (professionals werkzaam onder verantwoordelijkheid van partijen).

Het voldoen aan deze informatieplicht is belangrijk omdat betrokkene zijn ‘ondubbelzinnige en uitdrukkelijke toestemming’ voor de verwerking van gegevens moet kunnen geven (zie toelichting artikel 6).

Artikel 5 Categorieën betrokkenen en soorten persoonsgegevens

Dat persoonsgegevens slechts mogen worden verwerkt wanneer zij, gelet op de doeleinden waarvoor zij worden verwerkt, noodzakelijk, toereikend, ter zake dienend en niet bovenmatig zijn, vloeit voort uit de Wet bescherming persoonsgegevens (Wbp) artikel 8 en artikel 11.

Gegevensverwerking kan alleen aan deze bepalingen voldoen wanneer aan de vereisten van proportionaliteit en subsidiariteit wordt voldaan. Het proportionaliteitsvereiste houdt in dat de inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Het subsidiariteitsvereiste houdt in dat het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kan worden verwezenlijkt.

Door de soms ingewikkelde uitvoeringspraktijk die het sociaal domein kent is het niet mogelijk een uitputtend overzicht te geven van welke persoonsgegevens mogen worden verwerkt, dit verschilt per situatie. Wanneer gestandaardiseerde werkprocessen geen uitkomst bieden zal het professionele oordeel van de medewerker die de gegevens verwerkt de doorslag moeten geven. Met inachtneming van het uitdrukkelijk omschreven doel, zal de professional moeten bepalen of een verwerking noodzakelijk is en er een grondslag (artikel 6) voor bestaat en dus of de verwerking is toegestaan.

Artikel 6 Grondslagen voor gegevensverwerking

Naast de voorwaarde dat persoonsgegevens alleen voor een welbepaald en gerechtvaardigd doel mogen worden verwerkt (artikel 2) en wanneer verwerking noodzakelijk is om dit doel te bereiken, geldt als voorwaarde dat persoonsgegevens ook alleen op basis van een bepaalde grondslag mogen worden verwerkt. Artikel 8 van de Wbp bevat zes mogelijke grondslagen. Iedere uitwisseling of andere verwerking van persoonsgegevens zal steeds op een of meer van deze zes grondslagen moeten kunnen worden gebaseerd. Voor de volledigheid en de duidelijkheid zijn deze grondslagen uit artikel 8 Wbp in zijn geheel overgenomen in artikel 6 van dit protocol.

Niet alle grondslagen zijn voor de uitwisseling van gegevens binnen een samenwerkingsverband overigens even relevant. Mogelijke grondslagen voor uitwisseling in het sociale domein zijn: de ondubbelzinnige en uitdrukkelijke toestemming van betrokkene of diens wettelijke vertegenwoordiger; het voldoen aan een wettelijke verplichting, vrijwaring van een vitaal belang, de uitvoering van een publieke taak of het behartigen van een gerechtvaardigd belang.

Wil er sprake zijn van een rechtsgeldige ‘ondubbelzinnige en uitdrukkelijke toestemming’ dan moet die toestemming niet onbepaald zijn, maar gericht op bepaalde vormen van verwerking en bepaalde gegevens, i.c. op de beoogde verwerking. Betrokkene moet daarom vóór het geven van toestemming zo geïnformeerd worden dat hij begrijpt waarvoor hij toestemming geeft. (Zie artikel 4, eerste lid).

In zijn algemeenheid kan worden gezegd dat gegevens op grond van ‘ondubbelzinnige en uitdrukkelijke’ toestemming mogen worden verwerkt, mits toestemming is verkregen voor een bepaalde verwerking van bepaalde gegevens, de toestemming uit vrije wil is geuit, betrokkene is geïnformeerd over de gang van zaken rond de verwerking en er geen twijfel bestaat over de inhoud en reikwijdte van de toestemming.

De verwerking van zogeheten bijzondere persoonsgegevens (informatie over iemands godsdienst, ras, politieke gezindheid, gezondheid, strafrechtelijke gegevens, e.a.) is in beginsel niet toegestaan (artikel 16 Wbp), tenzij betrokkene of diens wettelijke vertegenwoordiger daarvoor uitdrukkelijke toestemming heeft gegeven of in bij wet geregelde gevallen (art. 17 e.v. Wbp). Waar het gaat om bijzondere persoonsgegevens worden uitsluitend gegevens over iemands gezondheid en eventuele strafrechtelijke gegevens verwerkt. Voor deze gevallen zijn in artikel 6 van dit protocol de betreffende wetsbepalingen vertaald opgenomen.

Artikel 8 Toegang tot persoonsgegevens; autorisatietabel en logging

De autorisatiestructuren bevatten de rollen van medewerkers die toegang hebben tot persoonsgegevens. Deze personen worden geautoriseerd door het college van burgemeester en wethouders van de gemeente in samenspraak met de organisatie waarvoor zij werkzaam zijn. Zij krijgen alleen toegang tot die gegevens die voor hun taakuitoefening van belang zijn, en uitsluitend voor zover dit past binnen de doelstelling van de gegevensverwerking (zie artikel 2).

Artikel 9 Geheimhouding

Alle partijen verplichten zich om geheimhouding te betrachten ten aanzien van de persoonsgegevens waarvan zij in het kader van de dienstverlening kennisnemen. Veel van de partijen zullen al een geheimhoudingsplicht hebben op grond van de wettelijke bepalingen die specifiek voor hen gelden (bijvoorbeeld het ambts- of beroepsgeheim). Artikel 9 is als vangnet bedoeld voor de situaties waarin er geen wettelijk ambts- of beroepsgeheim is.

Een vangnet is overigens ook al opgenomen in artikel 2 lid 5 van de Algemene wet bestuursrecht. Daarin is de hoofdregel opgenomen dat een ieder die op de een of andere wijze betrokken wordt bij de uitvoering van een taak van een bestuursorgaan en in dat kader kennis krijgt van vertrouwelijke gegevens, verplicht is tot geheimhouding daarvan.

Onder strikte voorwaarden kunnen persoonsgegevens worden verstrekt aan derden: zie artikel 11 en de toelichting daarop.

Artikel 10 Integriteit

De opgenomen bepalingen zijn vertaald overgenomen uit de gedragscode voor ambtenaren van de gemeente Nieuwkoop.

Artikel 11 Verstrekking van gegevens aan partijen en aan derden

Als een professional persoonsgegevens wil verstrekken aan een deelnemende partij, dient telkens beoordeeld te worden of het doel waarvoor die informatie wordt verstrekt, verenigbaar is met het doel waarvoor de persoonsgegevens oorspronkelijk zijn verzameld. Hierbij geldt (artikel 9 Wbp vrij vertaald):

  • -

    hoe dichter twee doeleinden bij elkaar liggen (oftewel hoe meer verwant ze zijn), hoe eerder het verder gebruik van gegevens verenigbaar is met het doel waarvoor de gegevens zijn verzameld;

  • -

    als de betrokkene de gegevens als gevoelig ervaart, mag minder snel worden aangenomen dat deze gegevens ook voor andere doeleinden mogen worden gebruikt;

  • -

    als het verdere gebruik tot gevolg heeft dat een bepaalde beslissing over de betrokkene wordt genomen, dient een extra zorgvuldige afweging te worden gemaakt.

Verstrekking van persoonsgegevens aan derden kan in beginsel niet zonder uitdrukkelijke toestemming van betrokkene of diens wettelijke vertegenwoordiger. Dit betekent bijvoorbeeld dat gegevens van de ene betrokkene in beginsel niet zomaar aan een andere betrokkene mogen worden verstrekt. De toestemming behoeft op grond van de Wbp overigens niet noodzakelijkerwijs schriftelijk te worden verleend. De expliciete wilsuiting waarmee toestemming wordt verleend kan op verschillende wijzen tot stand komen. Het meest voor de hand liggend is de expliciete mondelinge of schriftelijke toestemming van de betrokkene voor de verwerking.

Artikel 12 Bewaartermijnen

In de verschillende wetten zijn bepalingen opgenomen over de bewaartermijnen. Voor de Wmo 2015 en de Jeugdwet gaat het bijvoorbeeld om het bewaren van informatie “gedurende vijftien jaren, te rekenen van het tijdstip van ontvangst of vervaardiging, of zoveel langer als redelijkerwijs in verband met een zorgvuldige uitvoering van hun taken op grond van deze wet noodzakelijk is” (artikel 5.3.4 Wmo 2015, artikel 7.3.8 van de Jeugdwet is nagenoeg identiek). Voor het AMHK (Veilig Thuis) geldt het bereiken van de meerderjarige leeftijd als norm (artikel 5.3.4 Wmo 2015).

Artikel 13 Beleidsinformatie

Verwerking van persoonsgegevens met als doel het verzamelen van beleidsinformatie is toegestaan (artikel 9 en 10 van de Wbp, artikel 7.4.1:2 Jeugdwet) wanneer gegevens niet zijn terug te herleiden tot individuele personen.

Artikel 14 Recht op inzage

Het recht op inzage is een belangrijk recht van de betrokkene(n). Een betrokkene moet zich daarvoor wenden tot de verantwoordelijke, het college van burgemeester en wethouders. Een ieder moet immers in beginsel in de gelegenheid zijn om na te kunnen gaan of zijn gegevens worden verwerkt.

Artikel 14 is een weergave van het artikel 35 Wbp, dat het recht op inzage beschrijft.

Het recht op inzage betreft uitsluitend de eigen gegevens van de betrokkene. Een ouder heeft bijvoorbeeld alleen maar recht op gegevens over hemzelf, en niet op gegevens over de andere ouder.

De zinsnede “met redelijke tussenpozen” komt uit artikel 35, eerste lid, Wbp en is opgenomen om duidelijk te maken dat het betrokkene niet is toegestaan om de verantwoordelijke buitensporig vaak om inzage te vragen. Niet aan elk verzoek om inzage behoeft dus te worden voldaan. Van geval tot geval zal moeten worden bekeken of het verzoek redelijk is. Als er sinds de vorige keer nieuwe persoonsgegevens zijn verwerkt, zal er in het algemeen geen reden zijn om het verzoek af te wijzen omdat het onredelijk snel is ingediend.

De persoonsgegevens waar het hier om gaat zijn de gegevens waar de gemeente Nieuwkoop over beschikt. De gegevens die partijen in hun eigen dossiers en systemen bewaren die voor hun eigen taakuitoefening van belang zijn, vallen onder het recht op inzage zoals dat voor die dossiers of systemen geldt. Maar als de deelnemende partijen gegevens hebben verstrekt aan de gemeente Nieuwkoop, dan is het recht op inzage zoals beschreven in dit artikel van toepassing.

Een reden voor afwijzing van een verzoek om inzage kan zijn dat de rechten en vrijheden van anderen daaraan in de weg staan (zie bijv. artikel 43 Wbp) Dit kan zich bijvoorbeeld voordoen wanneer anderen gegevens hebben verstrekt onder voorwaarde van geheimhouding van die gegevens. Vandaar dat in de wet ook een regeling is opgenomen ter zake het horen van andere betrokkenen of derden voordat een besluit over het recht op inzage wordt genomen.

Een besluit tot weigering van inzage (door het college) wordt aangemerkt als een besluit in de zin van de Algemene wet bestuursrecht. Dit is bepaald in artikel 45 Wbp. Betrokkene kan hiertegen binnen zes weken een bezwaarschrift bij de verantwoordelijke indienen.

Artikel 15 Recht op verbetering, aanvulling, verwijdering en afscherming

Het recht op verbetering, aanvulling of verwijdering van gegevens die onjuist zijn of ten onrechte zijn verwerkt, is in de Wbp geregeld in artikel 36.

Artikel 15 van dit protocol is daaraan ontleend. Het recht op verbetering hangt niet af van de vraag of de verantwoordelijke verwijtbaar heeft gehandeld. Indien bepaalde persoonsgegevens feitelijk onjuist zijn, bestaat een recht op verbetering of aanvulling.

Een besluit tot weigering van verbetering, aanvulling, verwijdering of afscherming (door het college) wordt aangemerkt als een besluit in de zin van de Algemene wet bestuursrecht. Betrokkene kan hiertegen binnen zes weken een bezwaarschrift bij de verantwoordelijke indienen.

Artikel 18 Melding CBP

De geautomatiseerde verwerking van persoonsgegevens moet op grond van artikel 27 Wbp door de verantwoordelijke worden gemeld aan het College Bescherming Persoonsgegevens (CBP). Het college van de gemeente Nieuwkoop zal deze melding doen.