Privacy protocol Sociaal Domein gemeente Nuenen c.a. 2017

Het college van burgemeester en wethouders van de gemeente Nuenen,

 

overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen het sociaal domein in de gemeente Nuenen;

 

1. gelet op het gestelde in de Wet bescherming persoonsgegevens,

2. gelet op het gestelde in hoofdstuk 7, en het gestelde in paragraaf 8.4, van de Jeugdwet,

3. gelet op het gestelde in paragraaf 6.6, van de Participatiewet,

4. gelet op het gestelde in hoofdstuk 5, van de Wet maatschappelijke ondersteuning 2015, 

B E S L U I T:

vast te stellen het navolgende Privacy protocol Sociaal Domein gemeente Nuenen c.a. 2017.

 

Inleiding

De gemeente Nuenen c.a. (hierna: de gemeente) werkt met een aantal publieke en private organisaties samen om aan de inwoners van de gemeente integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen (sociale domein). Deze ondersteuning is aanvullend op de eigen mogelijkheden van de inwoner en zijn (of haar) sociale netwerk.

 

Om ondersteuning te bieden, moeten persoonsgegevens worden verwerkt en uitgewisseld. Daarbij gaat het om de balans tussen de informatie die nodig is om een integrale en effectieve ondersteuning te kunnen bieden, en de bescherming van de persoonlijke levenssfeer van inwoners.

 

De Wet bescherming persoonsgegevens geldt als leidraad voor het juist en zorgvuldig omgaan met persoonsgegevens. Daarnaast zijn in de Jeugdwet, de Participatiewet en de Wet maatschappelijke ondersteuning 2015 diverse bepalingen opgenomen over het verwerken van persoonsgegevens.

Belangrijkste begrippen

• -

  Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of een identificeerbare natuurlijke persoon.

• -

  Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval verzamelen, vastleggen, ordenen, bewaren, bijwerken, gegevens wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen.

• -

  Verantwoordelijke: de natuurlijk persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (de gemeente).

• -

  Bewerkers: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen (zoals LEV, Lumens, MEE, GGZ, GGD en ZuidZorg).

• -

  Betrokkene: de persoon op wie de persoonsgegevens betrekking heeft.

• -

  Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.

• -

  Professional: elke persoon die in het sociaal domein beroepsmatig cliëntgebonden werkzaamheden verricht. Dit kan zowel een (gemeente)ambtenaar als een hulpverlener, leerkracht of andere medewerker zijn.

• -

  Aanmelder: een persoon die op basis van contacten met een inwoner een behoefte aan ondersteuning ziet en de inwoner aanmeldt bij de gemeente of een andere organisatie binnen het sociaal domein.

• -

  Verwijzer: een professionele organisatie (veilig thuis, gecertificeerde instellingen (huisartsen en artsen) en medisch specialisten).

• -

  Beveiligingsincident: een gebeurtenis waarbij de mogelijkheid bestaat dat de beschikbaarheid, de integriteit of de vertrouwelijkheid van informatie of informatiesystemen in gevaar is of kan komen.

• -

  Datalek: een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. 

Doel en reikwijdte van de gegevensverwerking

Om aan inwoners van de gemeente integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen worden persoonsgegevens verwerkt. Het verwerken van persoonsgegevens dient zorgvuldig te gebeuren. Dit protocol geeft daar richtlijnen voor.

Toepassingsgebied

Dit protocol is van toepassing op de verwerking van persoonsgegevens binnen het sociaal domein (jeugd, zorg, welzijn, wonen, werk en inkomen). Het gaat daarbij om het verwerken en uitwisselen van persoonsgegevens door de gemeente en haar bewerkers. Welke informatie de gemeente en haar bewerkers over en weer mogen verstrekken wordt bepaald door de privacywetgeving en eigen privacyregelingen van de gemeente en haar bewerkers.

Verantwoordelijkheden van professionals

Alle (ingehuurde) medewerkers van de gemeente hebben op basis van hun rechtspositieregeling een geheimhoudingsplicht, waarvan het zorgvuldig en vertrouwelijk omgaan met gegevens onderdeel uitmaakt.

 

Iedereen die (binnen het doel van de gegevensbewerking) bevoegd is om persoonsgegevens te verwerken zorgt ervoor dat:

- deze gegevens rechtmatig verkregen zijn en juist, volledig en ter zake zijn;

- er afdoende maatregelen genomen zijn om deze gegevens te beveiligen;

- verwerking gebeurt conform dit protocol en ontvangen instructies over beveiliging van persoonsgegevens. 

De gemeente verwacht van (de medewerkers van) haar bewerkers in het sociaal domein dat zij op dezelfde wijze omgaan met persoonsgegevens. De gemeente legt dit ook vast in alle afspraken die zij maakt met haar bewerkers. Bijvoorbeeld bij het sluiten van inkoopcontracten voor (jeugd)zorgtrajecten, het uitbesteden van werkzaamheden of het maken van afspraken over samenwerking binnen het sociaal domein. Daar waar bewerkers een rol krijgen in het verwerken van persoonsgegevens sluit de gemeente een bewerkersovereenkomst af waarin de afspraken uit dit privacy protocol meegenomen worden. Een model van een bewerkersovereenkomst is bij dit protocol gevoegd.

 

Hoofdregels voor zorgvuldig omgaan met privacy

• 1.

  de verwerking van persoonsgegevens moet passen binnen het doel waarvoor deze verstrekt zijn. Er mogen niet méér persoonsgegevens verwerkt worden dan noodzakelijk;

• 2.

  elke betrokkene heeft recht om te weten wat er over hem is vastgelegd. Het recht op inzage (en afschrift, correctie of vernietiging) beperkt zich tot de eigen gegevens;

• 3.

  het opvragen van of verstrekken van gegevens aan derden gebeurt op basis van een wettelijke grond of op basis van bewuste toestemming van de betrokkene als deze ontbreekt. In het geval dat noodzakelijke hulpverlening niet op gang kan komen omdat de noodzakelijke toestemming geweigerd wordt kan in bepaalde gevallen worden afgeweken van deze regel. 

De hoofdregels zijn redelijk overzichtelijk en duidelijk, de werkelijkheid is weerbarstiger. Hoe complexer een zaak, hoe meer de afweging gemaakt moet worden tussen het verwerken van extra persoonsgegevens versus de noodzaak voor ondersteuning. De professional moet zich continu afvragen: is het noodzakelijk voor het gestelde doel, is er een wettelijke grondslag, kan het ook met minder/anders, is het nog proportioneel, zijn er beperkingen of specifieke regels, is er sprake van een vitaal belang of is de veiligheid van betrokkene of anderen in gevaar?

 

Informeren en het vragen van toestemming

Binnen het sociaal domein wordt een heel scala aan vragen en aanvragen behandeld. Dit kunnen eenvoudige hulpvragen betreffen, maar ook ‘multiprobleem gezinnen’ met een complexe problematiek. Voor veel taken is er een wettelijke basis voor het verwerken van gegevens, en over het algemeen is het verband tussen de benodigde gegevens en het doel bij deze zaken duidelijk zichtbaar. Denk aan het aanvragen van een uitkering of een rolstoel. In deze gevallen is duidelijk voor de betrokkene dat er persoonsgegevens van hem verwerkt moeten worden en zal een toelichting op de gegevensverwerking niet noodzakelijk zijn, tenzij de betrokkene aangeeft hier behoefte aan te hebben.

 

Bij zaken waarbij de relatie tussen doel waarvoor gegevens worden gevraagd en de verwerking daarvan voor de betrokkene minder duidelijk is, en/of waar toestemming voor verwerking noodzakelijk is, wordt de betrokkene (waar mogelijk vooraf) geïnformeerd:

• -

  met welk doel de gegevens worden verwerkt;

• -

  indien het een aanmelding betreft, welke aanmelder de betrokkene aangemeld heeft en welke gegevens deze heeft verstrekt;

• -

  bij wie (welke organisatie of persoon) welke gegevens opgevraagd gaan worden en aan wie welke gegevens verstrekt worden om de benodigde ondersteuning te kunnen leveren;

• -

  welke rechten de betrokkene heeft als het gaat om de verwerking van zijn gegevens en hoe deze rechten uit te oefenen. Een overzicht van de rechten van de betrokkene is bijgevoegd.

 

Als toestemming voor het verwerken van gegevens noodzakelijk is, dan wordt de betrokkene zo vroeg mogelijk in het traject om toestemming gevraagd, maar vóórdat er gegevens worden opgevraagd of verstrekt. De behandelend ambtenaar en/of bewerker maakt aan betrokkene duidelijk met welke doel de gegevens worden verwerkt en vraagt om toestemming waarbij betrokkene op zijn/haar rechten wordt gewezen. De specifieke en gemotiveerde gegeven toestemming wordt vastgelegd. De behandelend ambtenaar/bewerker maakt de afweging of vastlegging middels een aantekening in het dossier volstaat of dat, gezien de belangen/risico’s, er een toestemmingsformulier getekend moet worden.

 

Indien geen toestemming wordt verleend, dan worden er ook geen gegevens opgevraagd of verstrekt, tenzij er bijzondere redenen zijn dit toch te doen zoals vermeld in de volgende paragraaf.

 

Verwerken van persoonsgegevens zonder toestemming

In bijzondere gevallen kan besloten worden om zonder voorafgaande toestemming persoonsgegevens te verwerken (waaronder ook het verstrekken van gegevens wordt verstaan):

• -

  in het geval er sprake is van een zeer ernstige situatie of dringende noodzaak;

• -

  als vitale belangen van de betrokkene (of anderen) in gevaar zijn (bijvoorbeeld indien dringende zorg noodzakelijk is of bij huiselijk geweld);

• -

  als er sprake is van noodzaak, maar pogingen om toestemming te krijgen niet geslaagd zijn. 

Bij een dergelijke beslissing wordt door de professional vooraf overleg gevoerd met minimaal één collega en operationeel leidinggevende, en deze beslissing wordt met argumentatie vastgelegd in het dossier. De betrokkene wordt geïnformeerd over de verstrekking, tenzij dit niet kan in het belang is van betrokkene of van anderen.

 

Verwijzing en (anonieme) signalen

Uitgangspunt is dat verwijzers een aanmelding vooraf met de betrokkene hebben besproken en toestemming hebben gekregen voor de verwijzing en het verstrekken van gegevens. Indien de betrokkene geen toestemming geeft, mag een verwijzing of melding (en dus het uitwisselen van persoonsgegevens) slechts plaatsvinden op basis van de volgende uitzonderingen:

• a.

  het is noodzakelijk voor de integrale, efficiënte en effectieve ondersteuning van de betrokkene dan wel om stagnatie van de ondersteuning en escalatie van de problematiek te voorkomen én

• b.

  ter verdediging van de vitale belangen van de betrokkene of van een derde. 

Toegang tot persoonsgegevens in een bestand

Persoonsgegevens die worden vastgelegd zijn afgeschermd op basis van autorisaties: enkel voor degenen die de ondersteuning (passend binnen het doel) moeten kunnen leveren, de operationeel leidinggevenden en degenen die belast zijn met de afhandeling van bezwaren en klachten over de geboden ondersteuning hebben toegang. Lees- en schrijfrechten (opnemen in bestanden, aanvullen, wijzigen daarvan) zijn vastgelegd, passend bij de rol. Daarnaast kan toegang gegeven worden als een wettelijke plicht daartoe noodzaakt, bijvoorbeeld in het geval van wettelijk voorgeschreven rechtmatigheidscontroles door een accountant (eventueel anoniem).

Verstrekken van persoonsgegevens aan derden

Bij de verstrekking aan derden, bijvoorbeeld familieleden van de betrokkene, mensen uit zijn sociale netwerk of professionals die niet werkzaam zijn bij één van de bewerkers, wordt toestemming van de betrokkene gevraagd en schriftelijk vastgelegd (zie de paragraaf Informeren en het vragen van toestemming) als een wettelijke grond voor het delen van informatie zonder toestemming ontbreekt. Daarbij is het van belang dat de betrokkene zich ervan bewust is waarvoor toestemming gegeven wordt, en weet dat hij/zij het recht heeft om dit verzoek te weigeren.

Recht op informatie, inzage, afschrift, correctie en vernietiging

Iedere betrokkene, die tenminste 16 jaar oud is en ‘in staat is tot een redelijke waardering van zijn belangen ter zake’, heeft het recht op inzage in en eventueel een afschrift (kopie) van de eigen gegevens, tegen betaling, een en ander in overeenstemming met het bepaalde in de Legesverordening en de daarbij behorende Tarieventabel. Andere mensen mogen deze gegevens niet inzien. Er zijn twee uitzondering op deze regel: de ouder met gezag (tenzij een jongere van 16 jaar of ouder dit weigert) of een jongere van minimaal 12 jaar (en in staat tot waardering van zijn belangen) in het geval van een jeugddossier.

 

Elke betrokkene heeft ook het recht op correctie of vernietiging als de vastgelegde gegevens (onderbouwd) onjuist zijn, of als er onvoldoende relatie is tussen de gegevens en het doel van verstrekken. In geval wordt besloten tot correctie of vernietiging van gegevens worden ook de bewerkers hierover geïnformeerd.

 

Een dossier kan gegevens van meerdere personen omvatten. Dat betekent dat het behandelen van de vraag om inzage wordt beoordeeld of er geen belangen van andere geschaad kunnen worden. Dat kan betekenen dat (delen van) het dossier niet ingezien mogen worden. In principe bestaat er alleen inzage in de eigen persoonsgegevens. Het is aan de professional om een zorgvuldige afweging te maken tussen het recht op inzage van de eigen gegevens en de belangen van de andere betrokkenen. Inzage en afschrift kan worden gevraagd bij de professional die zijn/haar dossier behandeld, of door een schriftelijke aanvraag in te dienen. Een verzoek voor correctie of vernietiging moet schriftelijk worden ingediend. Inzage, afschrift, correctie of vernietiging moet ‘zo spoedig mogelijk’ worden gerealiseerd. Als uitgangspunt geldt voor afhandeling van de aanvraag een termijn van 4 weken (en daadwerkelijke vernietiging indien toegewezen binnen 3 maanden). Inzage in het dossier is gratis, voor een afschrift kunnen kosten in rekening worden gebracht. Deze kosten worden vooraf inzichtelijk gemaakt en zijn conform de legesverordening van de gemeente.

Bewaren en vernietigen van persoonsgegevens

Iedereen heeft het recht om vergeten te worden, maar de gemeente en ook andere organisaties in het sociaal domein hebben de plicht om informatie gedurende een bepaalde tijd te bewaren. Daarom worden persoonsgegevens bewaard en vernietigd op basis van vaste (en over het algemeen wettelijk/landelijk vastgestelde) bewaar- en vernietigingstermijnen die kunnen verschillen per soort ‘zaak’. In het algemeen zal een termijn van vijf jaar gelden, maar bijvoorbeeld in jeugddossiers kan deze termijn langer zijn.

Bezwaar- en klachtenprocedure

Als een betrokkene bezwaar heeft tegen verwerking van zijn gegevens of als inzage, correctie of vernietiging wordt geweigerd door de gemeente dan kan betrokkene bij de gemeente bezwaar maken.

 

Als een ambtenaar in de ogen van de betrokkene onzorgvuldig is omgegaan met zijn/haar gegevens, dan kan de betrokkene een klacht indienen. Deze klacht wordt via de gemeentelijke klachtenprocedure afgehandeld. Klachten over onzorgvuldig handelen van (medewerkers van) andere organisaties worden afgedaan volgens de klachtenregeling van die organisatie.

Slotbepaling

Dit protocol treedt de dag na publicatie in werking.

Dit protocol kan worden aangehaald als “Privacy protocol Sociaal Domein 2017”.

 

Aldus besloten in de vergadering van het college van burgemeester en wethouders van de gemeente Nuenen, gehouden op 5 september 2017.

 

de burgemeester, M.J. Houben MBA.

   

de gemeentesecretaris, mr. J.H.M. van Vlerken.

RECHTEN VAN DE BETROKKENE

Uw rechten op grond van de Wet bescherming persoonsgegevens (Wbp)

 

• 1.

  Inzagerecht (artikel 35 Wbp)

  U heeft het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke, zijnde de gemeente, te wenden met het verzoek u mede te delen of uw persoonsgegevens worden verwerkt. De verantwoordelijke deelt u schriftelijk binnen vier weken mede of uw persoonsgegevens worden verwerkt.

  Inzage in het dossier is gratis, voor een afschrift kunnen kosten in rekening worden gebracht. Deze kosten worden vooraf inzichtelijk gemaakt en zijn conform de legesverordening van de gemeente.

   

• 2.

  Correctierecht (artikel 36Wbp)

  U kunt de verantwoordelijke verzoeken uw persoonsgegevens te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze persoonsgegevens feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijke voorschrift worden verwerkt. Uw verzoek moet de aan te brengen wijzigingen bevatten. U ontvangt binnen vier weken na ontvangst van uw verzoek schriftelijk bericht van de verantwoordelijke over uw verzoek. De verantwoordelijke draagt zorg dat een besluit tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.

   

• 3.

  Recht van verzet (artikel 40 Wbp)

  U kunt tegen de verwerking van uw persoonsgegevens te allen tijde verzet aantekenen in verband met uw bijzondere persoonlijke omstandigheden. De verantwoordelijke beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is beëindigt de verantwoordelijke terstond de verwerking.

TOESTEMMINGSFORMULIER

 

De ondergetekende(n)

Naam : ………………………………………………………………………..

Naam : ………………………………………………………………………..

Straat en huisnummer : ………………………………………………………………………..

Postcode en woonplaats : ………………………………………………………………………..

 

Graag aankruisen welke burgerlijke status van toepassing is:

o Alleenstaand

o Alleenstaande ouder

o Samenwonende (2 toestemmingsformulieren tekenen)

o Gehuwd of geregistreerd partnerschap

o Gehuwd buiten gemeenschap van goederen (2 toestemmingsformulieren tekenen)

 

Hierbij geef ik/wij toestemming voor het aanmelden van mij/ons en mijn/ons gezin bij:

o WMO consulent

o Opvoedondersteuner

o Jeugd- en Gezinswerker

o ……………………………………………………………………………………………………..

o ……………………………………………………………………………………………………..

 

en voor het bespreken en vastleggen van informatie over mij/ons en ons gezin voor zover dit nodig is voor de ondersteuning die men ons gaat bieden.

 

Doel van de aanmelding (de gevraagde hulp invullen):

………………………………………………………………………………………………………

………………………………………………………………………………………………………

………………………………………………………………………………………………………

 

Om dit doel te kunnen bereiken mogen de volgende gegevens worden verwerkt:

………………………………………………………………………………………………………

………………………………………………………………………………………………………

……………………………………………………………………………………………………….

 

Voordat ik/wij toestemming geef/geven heeft de medewerker mij/ons uitgelegd:

- Hoe men mij/ons ondersteunt bij mijn/onze hulpvragen;

- Wat de aanmelding voor mij/ons betekent.

 

De medewerker heeft mij/ons er op gewezen dat ik/wij recht heb(ben) om te vragen om inzage, een afschrift, correctie en vernietiging van de gegevens die men van ons gezin

vastlegt.

 

Aldus in tweevoud opgemaakt en getekend te ……………………, d.d. …………………..

  

……………………………………… ………......................................................

Handtekening

Handtekening