Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor privacy maatschappelijke ondersteuning Privacyprotocol maatschappelijke ondersteuning Oegstgeest 2015

Geldend van 16-12-2016 t/m heden met terugwerkende kracht vanaf 01-01-2015

Intitulé

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor privacy maatschappelijke ondersteuning Privacyprotocol maatschappelijke ondersteuning Oegstgeest 2015

Burgemeester en wethouders van Oegstgeest;

Gelet op het bepaalde in:

  • -

    artikel 8 van het Europees Verdrag tot Bescherming van de Rechten van de Mens (EVRM);

  • -

    de Wet bescherming persoonsgegevens (Wbp);

  • -

    de Wet maatschappelijke ondersteuning 2015 (Wmo 2015) (Hoofdstuk 5 Gegevensverwerking, art. 5.1.1. t/m art. 5.4.1);

  • -

    de Verordening maatschappelijke ondersteuning 2015;

  • -

    de Beleidsregels maatschappelijke ondersteuning 2015;

  • -

    de Baseline Informatiebeveiliging Gemeenten ( BIG );

Overwegende

dat de uitvoering van de Wmo 2015, de Verordening en de Beleidsregels het nodig maken om gegevens van natuurlijke personen te registeren, verwerken en uit te wisselen;

dat persoonsgegevens die in het ene deel van de maatschappelijke ondersteuningsketen voor de daartoe omschreven doelen worden verwerkt, ook in de overige delen van de maatschappelijke ondersteuningsketen worden gebruikt;

dat een werkwijze voor gegevensuitwisseling en privacy tussen de verschillende ketenpartners nodig is;

dat waarborgen nodig zijn ter ondervanging van de risico’s van het bovenmatig delen van persoonsgegevens, het gebruik van deze gegevens voor een niet-verenigbaar doel en de beveiliging van gegevens;

dat bepaald moet worden welke gegevens worden verwerkt voor welk doel en welke waarborgen nodig zijn om de verwerking van persoonsgegevens in overeenstemming te brengen met de wettelijke eisen;

Besluiten vast te stellen

het Privacyprotocol maatschappelijke ondersteuning Oegstgeest 2015

Paragraaf 1 Algemene bepalingen

Artikel 1 Begripsbepalingen

In dit protocol wordt verstaan onder:

  • a.

    persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, bestaande uit :

    • 1.

      algemene persoonsgegevens; alle persoonsgegevens niet zijnde bijzondere persoonsgegevens en

    • 2.

      bijzondere persoonsgegevens; zijnde alle persoonsgegevens die informatie verschaffen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, en lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd;

  • b.

    verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van ter beschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

  • c.

    dossier: het geheel van schriftelijk of elektronisch vastgelegde gegevens met betrekking tot behandeling van een melding en van het verzoek om onderzoek naar de behoefte van een inwoner op het gebied van maatschappelijke ondersteuning, participatie en zelfredzaamheid (artikel 2.3.2 Wmo);

  • d.

    betrokkene: degene op wie een persoonsgegeven betrekking heeft en op wie de melding betrekking heeft;

  • e.

    toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat de hem betreffende persoonsgegevens worden verwerkt;

    daarbij geldt het volgende:

    • 1.

      dat ondubbelzinnig toestemming is gegeven door de betrokkene aan de verantwoordelijke en bij de verantwoordelijke elke twijfel is uitgesloten over de vraag of de betrokkene toestemming heeft gegeven en voor welke specifieke verwerkingen deze toestemming geldt;

    • 2.

      dat uitdrukkelijk toestemming is gegeven door betrokkene, door middel van een expliciete wilsuiting in woord, geschrift of gedrag en dat hij daarin tot uitdrukking heeft gebracht dat hij toestemming verleent aan de verantwoordelijke voor een hem betreffende gegevensverwerking;

  • f.

    cliënt: persoon die gebruik maakt van een algemene voorziening, of aan wie een maatwerkvoorziening in natura of een maatwerkvoorziening in de vorm van een persoonsgebonden budget is verstrekt;

  • g.

    betrokken partijen:

    • -

      de betrokkene en/of cliënt;

    • -

      gemeentelijke medewerkers;

    • -

      medewerkers sociaal team Oegstgeest;

    • -

      medewerkers van het Jeugd en Gezinsteam (JGT);

    • -

      de aanbieders: natuurlijke of rechtspersoon die jegens het college gehouden is een algemene of een maatwerkvoorziening te leveren;

    • -

      beroepskracht: natuurlijke persoon die in persoon beroepsmatig werkzaam is voor een aanbieder;

    • -

      de huisartsen en vrij gevestigde, gecertificeerde hulpverleners en medisch specialisten;

  • h.

    derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;

  • i.

    verantwoordelijke: het bestuursorgaan dat alleen, of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

  • j.

    de beheerder: degene die namens het college belast is met de zorg voor de naleving van de regelgeving ten aanzien van verwerkingen;

  • k.

    de bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

  • l.

    verstrekker:degene die bevoegd is persoonsgegevens ter beschikking te stellen en te verwerken, zoals genoemd in artikel 6;

  • m.

    ontvanger:degene aan wie persoonsgegevens worden verstrekt, zoals genoemd in artikel 6.

Paragraaf 2. Verwerking van persoonsgegevens

Artikel 2 Doel verzamelen en verwerken persoonsgegevens

  • 1. Om uitvoering te kunnen geven aan de Wet maatschappelijke ondersteuning 2015, de Verordening maatschappelijke ondersteuning en de Beleidsregels maatschappelijke ondersteuning, worden persoonsgegevens verzameld en verwerkt.

  • 2. Persoonsgegevens worden slechts verzameld en verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk, toereikend, ter zake dienend en niet bovenmatig zijn.

  • 3. Persoonsgegevens worden in overeenstemming met de wet, de verordening, en de beleidsregels als bedoeld in het eerste lid, verzameld en op behoorlijke en zorgvuldige wijze verwerkt.

Artikel 3 Voorwaarden verwerking persoonsgegevens

  • 1. De betrokkene verleent ondubbelzinnig toestemming voor de verwerking van zijn persoonsgegevens.

  • 2. Indien de betrokkene geen toestemming verleent, maar de verwerking van zijn persoonsgegevens nodig is voor de uitvoering van Wet maatschappelijke ondersteuning 2015, de Verordening maatschappelijke ondersteuning en de Beleidsregels maatschappelijke ondersteuning, of voor de behartiging van een gerechtvaardigd belang, wordt aan de betrokkene medegedeeld waarom in dit geval zijn persoonsgegevens worden verwerkt.

  • 3. De betrokkene wordt via een brochure op de hoogte gesteld van het bestaan en het doel van de gegevensverwerking.

Artikel 4 Verantwoordelijkheid verwerking persoonsgegevens

  • 1. De verantwoordelijkheid voor de verwerking van de persoonsgegevens, zoals in dit protocol beschreven, berust bij het college van burgemeester en wethouders.

  • 2. Het college stelt met de betrokken partijen het doel en de middelen voor de verwerking van de persoonsgegevens vast.

Artikel 5 Verwerken persoonsgegevens bij behandelen, toekennen en afrekenen van een maatwerkvoorziening in natura of pgb

Voor het behandelen van een maatschappelijke ondersteuningsvraag en voor het toekennen van, rapporteren over en afrekenen van een algemene voorziening of een maatwerkvoorziening in natura of een persoonsgebonden budget (pgb), worden van de betrokkene, medewerkers van betrokken partijen en personen uit het netwerk van de betrokkene en daarmee verbonden gegevensgebieden, gegevens verwerkt zoals aangegeven in artikel 6, Tabel verwerking persoonsgegevens.

Artikel 6 Tabel verwerking persoonsgegevens

Gegevens-

gebied

Welke gegevens

(voor zover noodzakelijk)

Wie verstrekt

(verstrekker)

Aan wie

(ontvanger)

Doel

(grondslag in regelgeving)

A

betrokkene,

melder,

cliënt,

inwoner gemeente

naw-gegevens, burgerlijke staat, geboortedatum, geslacht, adresgegevens, correspondentie-gegevens, telefoonnummer(s),

e-mailadres, BSN (Burgerservicenummer)

-betrokkene

-melder

-cliënt

- het college

- gemeentelijk medewerker

- medewerker Sociaal Team Oegstgeest

- het JGT

- Werk en Inkomen

- aanbieders

- huisarts

- vrij gevestigde

hulpverlener

-medisch specialist

registratie in verband met melding van een behoefte aan maatschappelijke ondersteuning, behandelen van de hulpvraag, toe-Oegstgeest naar een algemene voorziening, of een maatwerk-voorziening in natura of in de vorm van een pgb

(art. 2 t/m 12 Verordening)

Gegevens-

gebied

Welke gegevens

(voor zover noodzakelijk )

Wie verstrekt

(verstrekker )

Aan wie

( ontvanger )

Doel

( grondslag in regelgeving )

B

personen uit het netwerk van cliënt

naw-gegevens,

adresgegevens, correspondentie-gegevens, telefoonnummer(s),

e-mailadres

melder, familieleden, mantelzorger,

door medewerker Sociaal Team Oegstgeest in overleg met cliënt te benaderen personen uit het netwerk van cliënt

- het college

- medewerker sociaal team Oegstgeest

inwinnen van informatie t.b.v. verlening van maatschappelijke ondersteuning,

behandelen van de hulpvraag

(art. 2 t/m 12 Verordening)

C

behandelen hulpvraag:

-melding

-onderzoek

-gesprek en

Gespreks-verslag

-onder-steunings-plan

- gespreksverslag, namen gespreksdeelnemers, datum, wijze contact.

naw-gegevens etc. van cliënt, naw-gegevens etc. van personen uit het netwerk van cliënt, voorstel voor aanpak hulpvraag

- ondersteuningsplan, idem gespreksverslag en inhoudelijk advies over toeleiden naar algemene en/of maatwerkvoorziening

- medewerker Sociaal Team Oegstgeest verzamelt de informatie en stelt in overleg met cliënt de documenten op

- door college om advies gevraagde deskundige of adviesinstantie

- cliënt

toeleiden naar een algemene voorziening of een maatwerkvoorziening

(art. 2 t/m 12 Verordening)

D

beschikking maatwerk

voorziening in natura of in persoons-gebonden budget

naw-gegevens aanvrager (cliënt), behandelend gemeentelijk medewerker, doel, wijze van behandeling, (evt.) advies van deskundige of adviesinstantie,, gespreksverslag en ondersteuningsplan

De gemeentelijk medewerker verzamelt de informatie en stelt na overleg met cliënt over de documenten, de beschikking op

-cliënt,

-beroepskrachten

-aanbieder

-CAK,(ingeval van een eigen bijdrage )

-SVB pgb beschikking

toekennen van een maatwerkvoorziening in natura of in pgb

(art.10 t/m 12 Verordening)

E

-rapportage over voort-gang ondersteu-ning, over uitvoering maatwerk-voorziening

-onderzoek her-overwegen toegekende maatwerk-voorziening in natura of als pgb

naw-gegevens cliënt, rapportage over de ondersteuning door de aanbieder en (medisch) specialist, door de mantelzorger

- gemeentelijk medewerker

- aanbieder

- behandelaar

-medisch specialist

-vrij gevestigde

hulpverlener

-via pgb gecontracteerde

hulpverlener

-het college

-gemeentelijk medewerker

uitvoering toegekende maatwerkvoorziening (art.10 t/m 12 Verordening)

F

Registratie mantel-zorger en verzorgen

jaarlijkse waardering

naw-gegevens mantelzorger,

naw gegevens cliënt,

inhoud algemene of maatwerkvoorziening

waarvan cliënt gebruik maakt

- mantelzorger

- aanbieder

- het college

-gemeentelijk medewerker

inzet van mantelzorgers erkennen en waarderen.

(art. 32 Beleidsregels maatschappelijke ondersteuning 2015)

G

declareren en factureren door aanbieder

van de toegekende maatwerk-voorziening

beschikking toekennen maatwerkvoorziening in natura of als pgb

-natura beschikking: aanbieder dient factuur in bij de gemeente

-Pgb beschikking: SVB heeft het budget, bevoorschot en controleert de facturen van de pgb hulpverlener

-natura: de gemeente

-Pgb: SVB informeert de gemeente

controle rechtmatigheid:

-natura: uitbetaling aan aanbieder

-Pgb; afrekenen van bestedingen uit budget.

(Gemeentebegro-

ting, Programma )

Artikel 7 Verwerken van bijzondere persoonsgegevens

  • 1. De volgende bijzondere persoonsgegevens worden niet verwerkt:

    • a.

      persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven;

    • b.

      persoonsgegevens betreffende het lidmaatschap van een vakvereniging;

    • c.

      strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

  • 2. Het verbod om persoonsgegevens betreffende iemands gezondheid als bedoeld in het eerste lid te verwerken, is niet van toepassing indien de verwerking geschiedt door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is.

  • 3. Het verbod om andere persoonsgegevens als bedoeld in het eerste lid, onder a te verwerken, is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van persoonsgegevens betreffende iemands gezondheid als bedoeld in het tweede lid, met het oog op een goede behandeling of verzorging van de betrokkene.

  • 4. Indien verwerking van persoonsgegevens als bedoeld in het eerste lid noodzakelijk is, is uitdrukkelijke schriftelijke toestemming van de betrokkene vereist.

Paragraaf 3. Rechten van betrokkene

Artikel 8 Afkomst persoonsgegevens

  • 1. Persoonsgegevens worden verkregen bij de betrokkene zelf.

  • 2. Indien persoonsgegevens worden verkregen op een andere wijze dan bedoeld in het eerste lid, wordt dit aan de betrokkene medegedeeld, uiterlijk op het moment van vastlegging van de gegevens.

Artikel 9 Verbod verstrekking van persoonsgegevens

  • 1. Persoonsgegevens worden niet aan derden verstrekt, tenzij:

    • a.

      de betrokkene hier schriftelijk toestemming voor heeft gegeven;

    • b.

      de betrokkene hier schriftelijk om heeft verzocht;

    • c.

      de verstrekking op grond van een wettelijk voorschrift is vereist;

    • d.

      er dringende en gewichtige redenen zijn.

  • 2. Persoonsgegevens worden niet verstrekt indien de verstrekker weet of redelijkerwijs zou moeten weten dat de gegevens zullen worden gebruikt voor een doel dat niet verenigbaar is met het doel van de verwerking.

  • 3. Verstrekking van persoonsgegevens vindt niet plaats voor zover dit in strijd zou komen met de geheimhoudingsplicht van de medewerkers van betrokken partijen.

Artikel 10 Geheimhoudingsplicht

De personen die kennis mogen nemen van persoonsgegevens in de dossiers binnen de maatschappelijke ondersteuning, zijn gehouden, met inachtneming van het beroeps- of ambtsgeheim, tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

Artikel 11 Recht op inzage en afschrift betrokkene

Aan de betrokkene wordt op zijn verzoek zo spoedig mogelijk inzage in en afschrift van zijn dossier, of delen daarvan, gegeven. De verstrekking blijft achterwege voor zover dit noodzakelijk is in het belang van de bescherming van de persoonlijke levenssfeer van een ander die in het dossier voorkomt.

Artikel 12 Recht op verbetering, aanvulling, verwijdering of afscherming

De betrokkene die in kennis gesteld is van verwerking van hem betreffende persoonsgegevens, kan aan de verantwoordelijke schriftelijk verzoeken om verbetering, aanvulling, verwijdering of afscherming, indien de gegevens:

  • a.

    feitelijk onjuist of onvolledig zijn,

  • b.

    voor het doel van verwerking onnodig of niet ter zake dienend zijn,

  • c.

    in strijd met een wettelijk voorschrift worden verwerkt.

Artikel 13 Indienen bezwaar

Tegen een besluit tot afwijzing van een verzoek om inzage, afschrift, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens als bedoeld in dit protocol, kan de betrokkene schriftelijk bezwaar indienen. De Algemene wet bestuursrecht is van toepassing.

Paragraaf 4 Beveiliging gegevensverwerking

Artikel 14 Beveiligen en beheren van persoonsgegevens

  • 1. De verantwoordelijke zorgt voor een passend niveau van beveiliging van de verwerking. Hierbij wordt rekening gehouden met de aard van de verwerking en de te beschermen gegevens, de daarmee samenhangende risico’s en de stand van de techniek.

  • 2. De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om de persoonsgegevens te beveiligen tegen verlies, enige vorm van onrechtmatige verwerking, ongeautoriseerde kennisneming en onnodige verzameling en verdere verwerking van gegevens.

  • 3. Voor de vaststelling van de passende maatregelen zal de Baseline informatiebeveiliging als uitgangspunt worden genomen.

Artikel 15 Beveiligingsniveau persoonsgegevens

De technische en organisatorische maatregelen dienen te zorgen voor een passend niveau van beveiliging, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

Artikel 16 Toegang tot persoonsgegevens

  • 1. Toegang tot de persoonsgegevens hebben uitsluitend de hieronder genoemde personen, die daartoe gemachtigd zijn door het college :

    • a.

      de gemeentelijke medewerker die belast is met informatiebeveiligingscoördinatie; uitgezonderd toegang tot individuele persoonsgegevens van betrokkenen.

    • b.

      de beheerder; uitgezonderd toegang tot individuele persoonsgegevens van betrokkenen.

    • c.

      de bewerker heeft geen toegang tot individuele persoonsgegevens van betrokkenen.

    • d.

      de medewerker Sociaal Team Oegstgeest heeft toegang tot de gegevens van de betrokkenen om zicht te hebben op de inhoud van de dienstverlening aan de betrokkenen.

    • e.

      de gemeentelijk medewerker heeft toegang tot de gegevens van betrokkenen om (administratief) uitvoering te geven aan het verstrekken van algemene of maatwerkvoorzieningen.

  • 2. Het college voert periodiek een evaluatie uit van de in het eerste lid genoemde machtigingen.

Paragraaf 5 Slotbepalingen

Artikel 17 Slotbepalingen

1. Dit protocol treedt in werking op de dag na de dag van bekendmaking in het elektronisch gemeenteblad en werkt terug tot en met 1 januari 2015.

2. Dit protocol kan worden aangehaald als: Privacyprotocol maatschappelijke ondersteuning Oegstgeest 2015.

Ondertekening

Aldus vastgesteld door het college van burgemeester en wethouders van de gemeente Oegstgeest op 2 juni 2015.

secretaris,

burgemeester,

Toelichting Privacyprotocol maatschappelijke ondersteuning 2015

1. Inleiding

Het Privacyprotocol maakt de gegevensverwerking in het kader van de Wet maatschappelijke ondersteuning 2015 (Wmo 2015) inzichtelijk voor de gehele keten van betrokkenen bij maatschappelijke ondersteuning. Met name gaat het om medewerkers van de gemeente, vakinhoudelijk medewerkers van het Sociaal Wijkteam (SWT), en aanbieders werkzaam bij gecontracteerde instellingen of vrij gevestigde specialisten.

In het kader van de uitvoering van de maatschappelijke ondersteuning verwerken de gemeente/SWT en de aanbieders persoonsgegevens. Voor de gemeente/SWT en de aanbieders geldt dat zij daarbij de wettelijk gestelde de privacy regels in acht moet nemen.

In het Privacyprotocol worden eerst de algemene uitgangspunten voor de verwerking van persoonsgegevens aangegeven. Vervolgens komen taken van het college/SWT als verantwoordelijke voor de gegevensverwerking en van andere betrokkenen ( aanbieders van maatschappelijke ondersteuning en mantelzorgers) aan de orde.

De gemeentelijke taken en de verwerkingen van persoonsgegevens van natuurlijke personen in samenwerking met de betrokkenen zijn in de Tabel verwerking persoonsgegevens weergegeven (art. 6 Privacyprotocol).

2. Algemene uitgangspunten gegevensbescherming

De algemene waarborgen ten aanzien van gegevensverwerking vloeien voort uit de Wmo 2015 en de Wet bescherming persoonsgegevens (Wbp).

Art. 8 Wbp bevat een limitatieve opsomming van de gronden voor de rechtvaardiging van de verwerking van persoonsgegevens door een verantwoordelijke. In dit geval het college/Sociaal Team Oegstgeest/gemeentelijk medewerker.

Samengevat komen deze waarborgen op het volgende neer. Persoonsgegevens worden slechts verwerkt indien:

  • a.

    de betrokkene daarvoor ondubbelzinnig toestemming heeft verleend

  • b.

    gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (of het nemen van maatregelen in de precontractuele sfeer)

  • c.

    gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen

  • d.

    gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene

  • e.

    gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt

  • f.

    gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

1. Informatieplicht

De gemeente heeft op grond van art. 33 en art. 34 Wbp een informatieplicht. Zij moet op eigen initiatief de betrokkenen in ieder geval op de hoogte stellen van het bestaan en het doel van de gegevensverwerking door middel van een brochure en folder. In het Privacyprotocol is daartoe art. 3, lid 3 opgenomen: de betrokkene wordt via een brochure op de hoogte gesteld van het bestaan en het doel van de gegevensverwerking.

2. Rechtvaardigingsgronden: noodzaak, proportionaliteit, subsidiariteit

Persoonsgegevens mogen slechts worden verwerkt indien er een rechtvaardigingsgrond aanwezig is (art. 8 Wbp). In het geval dat de gemeente persoonsgegevens verwerkt ter uitvoering van de Wet maatschappelijke ondersteuning moet de verwerking noodzakelijk zijn voor de goede vervulling van de publiekrechtelijke taak die gemeenten op grond van de Wmo 2015 hebben (art. 8, onderdeel e, Wbp). In het kader van dit Privacyprotocol vormen de taken die de gemeente heeft op basis van de Wmo 2015 en de Verordening maatschappelijke ondersteuning 2015 (de Verordening) de basis voor de gemeente om persoonsgegevens over hulpvragers en cliënten te mogen verwerken. Noodzaak van de gegevensverwerking vertaalt zich ook in het uitgangspunt dat er zoveel informatie moet worden verwerkt als nodig is en zo weinig als mogelijk.

Naast noodzaak is ook proportionaliteit van de gegevensverwerking van belang: hoe verhouden het doel (in het bijzonder de hulp- of ondersteuningsvraag) en de daarvoor noodzakelijke gegevensverwerking zich tot de inbreuk op de persoonlijke levenssfeer van de betrokkene? De gegevensverwerking moet ook voldoen aan de eis van subsidiariteit: is het doel ook te bereiken met een minder ingrijpende werkwijze?

3. Toestemming, ondubbelzinnig of uitdrukkelijk

Aan betrokkene moet toestemming worden gevraagd voor het verwerken van persoonsgegevens (art. 8, aanhef en onder a Wbp). De Wbp onderscheidt ondubbelzinnige en uitdrukkelijke toestemming. Met “ondubbelzinnig” wordt bedoeld dat bij de verantwoordelijke elke twijfel uitgesloten moet zijn over de vraag of de betrokkene toestemming heeft gegeven en voor welke specifieke verwerkingen. Uitdrukkelijke toestemming betekent dat de betrokkene expliciet zijn wil moet hebben geuit. Een stilzwijgende of impliciete toestemming is onvoldoende: de betrokkene dient in woord, schrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan de hem betreffende gegevensverwerking. Dat is dus (nog) sterker dan de ondubbelzinnige toestemming als omschreven in art. 8, aanhef en onder a Wbp.

In het geval van de Wmo 2015 mag het college of een door het college daartoe gemandateerde functionaris, persoonsgegevens verwerken omdat dit noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak (art. 8, onderdeel e, van de Wbp). De publiekrechtelijke taak is gelegen in de Wmo 2015 en Verordening, op basis waarvan het college moet beoordelen of een aanvrager hulp nodig heeft en vervolgens de noodzakelijke maatwerkvoorziening moet treffen. Deze beoordeling kan Oegstgeest tot verwerking van persoonsgegevens.

Toestemming is één van de wettelijke rechtvaardigingsgronden voor de verwerking van persoonsgegevens. Privacy toezichthouders stellen dat toestemming op dusdanige wijze moet worden verkregen dat er geen twijfel mogelijk is dat degene wiens gegevens worden verwerkt hier daadwerkelijk mee instemt. Alleen toestemming die expliciet is gegeven of die door een actieve handeling is aangegeven, is geldig. Stilte of passiviteit kan nooit Oegstgeest tot geldige toestemming.

Toestemming moet worden gegeven voordat de verwerking van persoonsgegevens start of vóór elk nieuw gebruik van gegevens. Privacy toezichthouders benadrukken ook dat het recht om de toestemming in te trekken gegarandeerd moet zijn. Daarnaast is het nodig om mensen goed te informeren over de verwerking van hun persoonsgegevens, zodat zij een bewuste keuze kunnen maken. Dit is vooral belangrijk voor mensen die niet (volledig) handelingsbekwaam zijn, zoals minderjarigen.

4. Verwerking verenigbaar met doeleinden

Voor de informatie-uitwisseling, afstemming en samenwerking tussen personen die vanuit hun beroepsmatige achtergrond maatschappelijke ondersteuning verlenen, bieden in algemene zin de artikelen 8, 9 en 21 van de Wbp de basis en rechtvaardiging voor de verwerking van (bijzondere) persoonsgegevens. Het is niet toegestaan gegevens te verzamelen zonder dat het doel waarvoor dat gebeurt, duidelijk is bepaald. In het Privacyprotocol is dat in art. 6 uitgewerkt.

De gemeente mag persoonsgegevens verwerken in het kader van haar publiekrechtelijke taak (art. 8, onderdeel e, Wbp). De gegevens mogen uitsluitend worden verwerkt voor het doel waarvoor ze zijn verzameld of een daarmee verenigbaar doel (art. 9, Wbp). Gezien de verschillende taken, moet ervoor worden gezorgd dat gegevens die in het kader van een bepaalde taak worden verzameld niet zonder meer worden gebruikt voor de uitoefening van een andere taak (doelbinding). Daarbij is immers een ander doel in het geding. De gemeente mag persoonsgegevens dus niet verder verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (art. 9 Wbp).

Art. 21 Wbp bevat de uitzondering op het verbod in art. 16 Wbp om persoonsgegevens in verband met de gezondheid te verwerken. Het verbod is onder meer niet van toepassing voor de verwerking van gegevens door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. Het verbod ex art. 16 Wbp geldt onder andere ook niet indien de verwerking van persoonsgegevens geschiedt met uitdrukkelijke toestemming van de betrokkene of indien de gegevens door de betrokkene duidelijk openbaar zijn gemaakt.

5. Geheimhoudingsplicht

De Wbp (art. 9, vierde lid) bepaalt dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift dit voorschrijft.

Voor de medewerkers van de gemeente geldt een ambtelijke geheimhoudingsplicht op basis van art. 2.5 Algemene wet bestuursrecht (Awb). De deskundige van de gemeentelijk georganiseerde toegang (het SWT, het Jeugd- en gezinsteam (JGT) of het Centrum voor Jeugd en Gezin (CJG) kan wel gegevens verstrekken als dat noodzakelijk is voor de uitvoering van zijn publiekrechtelijke taak.

Voor hulpverleners (waaronder ook de huisarts en de medisch specialist vallen) die betrokken zijn bij maatschappelijke ondersteuning en jeugdhulpverlening geldt de geheimhoudingsplicht uit art. 7:457 BW.

Verder geldt voor BIG-geregistreerde professionals art. 88 van de Wet BIG. Op grond van dit artikel is eenieder die zorg verleent op het gebied van de individuele gezondheidszorg verplicht tot geheimhouding van datgene wat hem in de uitvoering van het beroep is toevertrouwd (Wet BIG: Wet op de Beroepen in de Individuele Gezondheidszorg).

Volgens het BW artikel is toestemming van de patiënt vereist om aan anderen dan de patiënt inlichtingen te verstrekken. Indien geen toestemming komt, dan is de hulpverlener op grond van een wettelijke bepaling gehouden de gevraagde gegevens te verstrekken. Ingeval de hulpverlener in het kader van de behandeling van een Wmo melding of aanvraag maatwerkvoorziening wordt ingeschakeld of om advies wordt gevraagd door het college/Sociaal Team Oegstgeest, zal hij dus nagaan of de patiënt toestemming geeft. Zo niet dan verstrekt hij de gegevens omdat het meer omvattende belang van de uitvoering van de Wmo 2015 door de gemeente daartoe noopt.

In feite geldt hier de hoofdregel van de Wbp: gegevens verzamelen en verwerken is mogelijk met toestemming van de betrokkene. Ingeval een wettelijke regeling aangeeft dat een meer omvattend belang geldt, dan kan de verantwoordelijke, ook zonder toestemming handelen. Uiteraard binnen de beginselen van proportionaliteit en subsidiariteit.

6. Bewaartermijnen

De persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk is (art.10 Wbp). Deze algemene norm is voor wat betreft de hulpverlener ingevuld in art. 5.3.4, eerste lid, van de Wet maatschappelijke ondersteuning 2015. Dit artikel bepaalt dat zij het dossier gedurende vijftien jaar bewaren of zoveel langer als redelijkerwijs in verband met een zorgvuldige uitvoering van taken op grond van de Wmo 2015 noodzakelijk is.

Indien de gemeente geheel of gedeeltelijk zelf de ondersteuning verleent en dus als aanbieder optreedt, heeft de gemeente eveneens de plicht een bewaartermijn van 15 jaar aan te houden.

7. Rechten van de betrokkene

  • a.

    inzagerecht/afschrift

    Het recht op inzage vloeit voort uit de Wbp (art. 35). De betrokkene heeft het recht zich tot de verantwoordelijke (het college/Sociaal Team Oegstgeest) te wenden met het verzoek hem mede te delen of persoonsgegevens over hem worden verwerkt. Het college moet de betrokkene vervolgens schriftelijk binnen vier weken mededelen of dit zo is. Als gegevens inderdaad worden verwerkt, bevat die mededeling ook een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens. Voordat die mededeling gedaan wordt, checkt het college nog of een derde daartegen bezwaar zou kunnen hebben. Het college stelt die derde in de gelegenheid zijn zienswijze naar voren te brengen

  • b.

    herziening/vernietigen

    Degenen over wie persoonsgegevens zijn verwerkt, kan verzoeken om herziening (verbeteren, aanvullen, verwijderen) van de persoonsgegevens (art. 36, eerste lid, Wbp). Het college zal op zo’n verzoek moeten reageren. Op basis van de Wmo 2015 kan betrokkene een verzoek doen om, indien de gemeente als aanbieder optreedt, het dossier (deels) te vernietigen (art. 5.3.5). De verplichting tot vernietiging geldt niet indien de bewaring van belang is voor een ander dan betrokkene of indien de wet zich tegen vernietiging verzet.

8. Dataminimalisatie

Art. 11 Wbp regelt dat persoonsgegevens slechts worden verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verwerkt toereikend zijn, niet bovenmatig en ter zake dienend. De gemeente en de betrokkenen moeten dus alleen die persoonsgegevens verwerken die noodzakelijk zijn voor het te bereiken doel.

3. Taken gemeenten

De Wmo 2015 draagt het gemeentebestuur op zorg te dragen voor de maatschappelijke ondersteuning van haar burgers, en voor de kwaliteit en continuïteit van de voorzieningen.

De Wmo 2015 draagt bij aan de transformatie van het sociale domein: Dit betekent dat wanneer iemand zich meldt met een probleem wordt er bekeken wat (redelijkerwijs) verwacht mag worden van de cliënt om het probleem zelf op te lossen. Ook wordt nagegaan of er een mogelijkheid is om het sociaal netwerk te betrekken, bij het oplossen van het probleem. Als iemand niet in staat is het probleem zelf of met zijn sociale netwerk op te lossen kan gebruik worden gemaakt van een algemene voorziening. Als dat niet volstaat kan een maatwerkvoorziening worden verstrekt. De algemene en maatwerkvoorziening moeten een bijdrage leveren aan de mogelijkheden om deel te nemen aan het maatschappelijke verkeer en de inwoner in staat te stellen zelfstandig te functioneren in de maatschappij.

Maatwerk speelt een belangrijke rol in de Wmo 2015. De hulpvraag van de cliënt, zijn behoeften en de gewenste resultaten worden op zorgvuldige wijze in beeld gebracht. Er wordt nagegaan wat de cliënt op eigen kracht, met gebruikelijke hulp, mantelzorg of met hulp van zijn sociaal netwerk, kan doen om zijn zelfredzaamheid en participatie te handhaven of te verbeteren. Ook wordt gekeken of het verrichten van maatschappelijk nuttige activiteiten hieraan bij kunnen dragen. Er wordt besproken of met gebruikmaking van een algemene voorziening kan worden volstaan, of dat een maatwerkvoorziening nodig is. Ook wordt besproken of er sprake is van een voorliggende of andere voorziening die niet onder de reikwijdte van de Wmo 2015 valt die bijdraagt aan de zelfredzaamheid en participatie.

In de Wmo 2015 zijn voor de gemeenten onder andere de volgende taken opgenomen die kunnen Oegstgeest tot het verwerken van persoonsgegevens:

  • 1.

    de opdracht van de gemeente: beleidsplan en verordeningen (art. 2.1.1 t/m 2.1.7 );

  • 2.

    algemene maatregelen en algemene voorzieningen: toeOegstgeest naar voorzieningen

    (art. 2.2.1 t/m 2.2.4 );

  • 3.

    maatwerkvoorzieningen: beschikkingen ( art. 2.3.1 t/m 2.3.10 );

  • 4.

    verhaal van kosten ( art 2.4.1.t/m art 2.4.4 ).

De toeleiding naar ondersteuning kan op verschillende manieren plaatsvinden. Zoals via de door de gemeente georganiseerde toegang (het Sociaal Team Oegstgeest of het CJG, JGT of een KCC/ gemeenteloket).

Er zal door de deskundige bij de gemeente georganiseerde toegang, in de regel het Sociaal Team Oegstgeest, een “bestand” worden aangelegd. De deskundige heeft de bevoegdheid om voor de toeleiding gegevens te verwerken op basis van Hoofdstuk 5 Gegevensverwerking van de Wmo 2015 (art. 5.1.1 t/m/ 5.4.1 ) .

Op deze persoon rust de geheimhoudingsplicht ingevolge art. 2:5, Awb, art. 12, tweede lid, en art. 21, tweede lid, van de Wbp. Er mogen geen gegevens uit het door hem aangelegde “bestand” verstrekt worden aan anderen. Wel kan de deskundige gegevens verstrekken uit het “bestand” als dat nodig is voor de uitvoering van zijn publiekrechtelijke taak op basis van art. 8e Wbp. Hierbij kan gedacht worden aan een consultatie van een adviseur of specialist, bijvoorbeeld een hulpverlener of een deskundige op het gebied ergonomie. De gegevens uit dit dossier mogen door de gemeente ook gebruikt worden voor de uitvoering van haar wettelijke Wmo plichten. Medewerkers van de gemeente die zich bezighouden met taken die gericht zijn op andere doelen (bijv. de inkoop bij zorgaanbieders of de betaling van facturen) hebben geen toegang tot dit “bestand”.

In afdeling 7.5 van boek 7 van het BW (de overeenkomst inzake geneeskundige behandeling) is een speciale regeling opgenomen over (onder meer) inzage in medische dossiers. Een arts moet zich bij het geven van inzage aan deze regeling houden. Voor het overige zijn de regels van de Wbp van toepassing: een arts mag bijvoorbeeld niet meer gegevens verzamelen dan noodzakelijk is voor zijn doel.

Artikelsgewijze toelichting

Artikel 1 Begripsbepalingen

Onderdeel a persoonsgegeven 

Het begrip “persoonsgegevens” is afkomstig uit de Wbp. Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon moeten als persoonsgegevens worden beschouwd. Gegevens van rechtspersonen vallen dus niet onder de Wbp. Er wordt onderscheid gemaakt tussen algemene persoonsgegevens en bijzondere persoonsgegevens.

Onderdeel b verwerking van persoonsgegevens

Het object van het Privacyprotocol is de verwerking van persoonsgegevens. Ook voor dit begrip is aangesloten bij omschrijving in de Wbp. Het is conform de richtlijn gedefinieerd als elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, uitwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. In plaats van het begrip “bewerking of elk geheel van bewerkingen” wordt gesproken van “handeling of elk geheel van handelingen” teneinde rekening te houden met de omstandigheid dat verwerkingen kunnen plaatsvinden door

verschillende personen, zoals de verantwoordelijke, bewerker en derde.

Onderdeel c dossier

Voor een definitie van het begrip “dossier” is aangesloten bij de definitie uit de Wbp.

Onderdeel d betrokkene

Met betrokkene wordt gedoeld op degene aan wie voorzieningen o.g.v. de Wmo 2015 worden verleend of door wie een melding, ondersteuningsvraag of hulpvraag is ingediend.

Onderdeel e toestemming van de betrokkene

Voor de definitie van het begrip “toestemming van de betrokkene” is aangehaakt bij het begrip uit de Wbp. Om te kunnen spreken van een daadwerkelijk toestemming van de betrokkene zijn drie punten essentieel.

Allereerst moet de betrokkene in vrijheid zijn wil kunnen uiten. Ten tweede moet de wilsuiting betrekking hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen en ten derde moet de betrokkene voor van een goede oordeelsvorming over de noodzakelijk inlichtingen beschikken.

Er wordt onderscheid gemaakt tussen ondubbelzinnige toestemming en uitdrukkelijke toestemming van de betrokkene. Bij ondubbelzinnige toestemming gegeven volgens de verantwoordelijke geldt dat bij de verantwoordelijke elke twijfel is uitgesloten over de vraag of de betrokkene toestemming heeft gegeven en voor welke specifieke verwerkingen deze toestemming geldt.

Gelet op art. 1, onder h, van de Databeschermingsrichtlijn dient het te gaan om 'informed consent' het zal duidelijk moeten zijn dat de betrokkene het gebruik van gegevens daadwerkelijk zelf heeft gewild en voldoende geïnformeerd is geweest om de reikwijdte van zijn toestemming te overzien. Hij mag niet voor verrassingen worden gesteld. Dit sluit aan bij het algemene civiele recht. Art. 3.36 BW en de daarop gebaseerde jurisprudentie kan blijkens art. 3:59 BW ook op de toestemming op grond van het wetsvoorstel van toepassing worden geacht. Dit impliceert dat de betrokkene die op basis van aan hem verstrekte informatie in vertrouwen heeft ingestemd met een bepaalde verwerking of bepaalde verwerkingen, juridische bescherming geniet, indien achteraf de verstrekte informatie onjuist of onvolledig blijkt te zijn. Binnen deze randvoorwaarde kan de toestemming ook betrekking hebben op toekomstige gegevensverwerkingen.

Uitdrukkelijke toestemming betekent dat de betrokkene expliciet zijn wil moet

hebben geuit. Een stilzwijgende of impliciete toestemming is onvoldoende: de betrokkene dient in woord, schrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan de hem betreffende gegevensverwerking

Onderdeel f cliënt

Er is voor gekozen om een onderscheid te maken tussen “betrokkene” en “cliënt”. De betrokkene is degene ten aanzien van wie ondersteuning wordt verleend of wordt voorgesteld. De cliënt is degene die daadwerkelijk gebruik maakt van een maatwerkvoorziening. De cliënt is dus wel altijd “betrokkene”, maar de betrokkene is niet altijd “cliënt”.

Onderdeel g betrokken partij

Met betrokken partijen worden alle partijen bedoeld op wie dit Privacyprotocol van toepassing is. Naast de betrokkene/cliënt zijn dat de medewerkers van de gemeente, de medewerkers Sociaal Team Oegstgeest, en de gecontracteerde instellingen of gecertificeerde en medisch specialisten (de aanbieders).

Onderdeel h derde

De derde is degene, die niet de betrokkene, noch de verantwoordelijke, noch de bewerker en noch de persoon is die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om de gegevens te verwerken. Dit begrip is afkomstig uit de Wbp. Persoonsgegevens mogen niet aan een derde worden verstrekt, tenzij de betrokkene hier ondubbelzinnig toestemming voor heeft gegeven.

Onderdeel i verantwoordelijke

De definitie van het begrip “verantwoordelijke” knoopt aan bij het begrip uit de Wbp. Het begrip “verantwoordelijke” knoopt in eerste instantie aan bij de vaststelling van het doel van de verwerking. De vraag is wie uiteindelijk bepaalt of er gegevens worden verwerkt en zo ja, welke verwerking, van welke persoonsgegevens en voor welk doel. Het doel van de verwerking van persoonsgegevens in dit kader is het uitvoering geven aan de regels uit de Wmo 2015 en de daaronder hangende regelingen. Dit is een taak van de gemeente. Voor de reikwijdte van dit Privacyprotocol is de gemeente, en meer in het bijzonder het college van burgemeester en wethouders, dan ook verantwoordelijke.

Onderdeel j de beheerder 

De beheerder is degene die door het college is aangewezen om binnen de gemeentelijke organisatie toezicht te houden op de naleving van de regelgeving die geldt voor verwerking van gegevens.

Onderdeel k de bewerker

De bewerker is degene die ten behoeve van de verantwoordelijke, het college, persoonsgegevens verwerkt in de gebruikte systemen en applicaties, zonder aan het rechtstreeks gezag van het college te zijn onderworpen. Het begrip komt uit de Wbp.

Onderdeel l verstrekker

Degene die bevoegd is persoonsgegevens ter beschikking te stellen en te verwerken, zoals genoemd in art. 6.

Onderdeel m ontvanger

Degene aan wie persoonsgegevens worden verstrekt, zoals genoemd in art. 6.

Artikel 2 Doel verwerking persoonsgegevens

Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld. Art. 7 van de Wbp schrijft voor dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Art. 8 bevat voorts een limitatieve opsomming van de gronden die een gegevensverwerking rechtvaardigen. Het artikel behelst bovendien dat bij elke verwerking moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. Zoals reeds in het algemene deel van de toelichting is beschreven, mag de gemeente persoonsgegevens verwerken in het kader van haar publiekrechtelijke taak. In het kader van dit Privacyprotocol behelst haar publiekrechtelijke taak het uitvoering geven aan het bepaalde in de Wmo 2015 en de daaronder hangende regelingen. Elke verwerking van persoonsgegevens moet in overeenstemming zijn met het bepaalde in de Wbp, de Wmo 2015 en de daaronder hangende regelingen.

Artikel 3 Voorwaarden persoonsgegevens verwerking

Lid 1

De betrokkene verleent ondubbelzinnig toestemming voor de verwerking van zijn persoonsgegevens. Met “ondubbelzinnig” wordt bedoeld dat bij de verantwoordelijke elke twijfel uitgesloten moet zijn over de vraag of de betrokkene toestemming heeft gegeven en voor welke specifieke verwerkingen.

De toestemming van de betrokkene moet betrekking hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden. De betrokkene kan slechts verantwoord zijn toestemming geven wanneer hij zo goed mogelijk is ingelicht. Het vragen van de toestemming van de betrokkene impliceert dat hij op de hoogte moet worden gesteld van de gang van zaken met betrekking tot de gegevensverwerking.

Lid 2

Er kunnen zich situaties voordoen waarin het verkrijgen van toestemming door de betrokkene niet kan worden afgewacht, of waarin verwerking van persoonsgegevens noodzakelijk is ondanks het feit dat door de betrokkene geen toestemming verleend is. In dat geval is het verplicht om de betrokkene op de hoogte te brengen van het feit dat zonder zijn toestemming persoonsgegevens zijn verwerkt en voor welk doel.

Lid 3

Zie onder 2.1 in de algemene toelichting (uitvoering van de informatieplicht via het beschikbaar stellen van een brochure).

Artikel 4 Verantwoordelijkheid verwerking persoonsgegevens

Ingevolge de Wbp is de verantwoordelijke het bestuursorgaan dat alleen, of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In dit artikel wordt uitgewerkt dat het college van B&W verantwoordelijk is voor de verwerking van persoonsgegevens, zoals in dit Privacyprotocol beschreven. Het kader waarbinnen de verwerking van persoonsgegevens plaatsvindt en de wijze waarop, wordt afgestemd met de betrokken partijen als bedoeld in dit Privacyprotocol.

Artikel 5 Verwerken persoonsgegevens bij behandelen, toekennen en afrekenen van een maatwerkvoorziening in natura of pgb

Gegevensverwerking benodigd voor de uitvoering van de wettelijke en verordeningstaken.

Uitgewerkt in art. 6.

Artikel 6 Tabel verwerking persoonsgegevens

Om de ondersteuningsvraag en hulpvraag te kunnen behandelen en daarover een besluit te kunnen nemen is het nodig persoonsgegevens van de aanvrager en informatie vanuit zijn omgeving te verzamelen. De wijze waarop dat gebeurt is verbonden aan de gegevensgebieden van betrokkenen.

Bij iedere regel in de tabel is aangegeven om welke gegevens het kan gaan, wie de gegevens verstrekt en wie de ontvanger is. Tevens is aangegeven wat het doel van de gegevensverwerking is. Het doel is uitvoering geven aan een wettelijke plicht tot maatschappelijke ondersteuning die door de gemeente verzorgd wordt, zoals vastgelegd in de Wmo 2015, de Verordening maatschappelijke ondersteuning en de Beleidsregels maatschappelijke ondersteuning.

Door de kolomindeling van de tabel wordt duidelijk welke gegevens rechtmatig kunnen worden gevraagd en verzameld. De Tabel laat zien over welke persoonsgegevens het kan gaan binnen de gehele keten van gegevensverwerking naar aanleiding van de behandeling van de hulpvraag en/of bij de verlening van ondersteuning.

Artikel 7 Verwerken van bijzondere persoonsgegevens

Lid 1

Dit artikel brengt een verbijzondering aan voor de verwerking van persoonsgegevens.

De aard van sommige persoonsgegevens brengt mee dat de verwerking ervan een grote inbreuk kan vormen op de persoonlijke levenssfeer van de betrokkene, omdat die gegevens gevoelige informatie over iemand verschaffen. De Wbp noemt deze gegevens bijzondere persoonsgegevens. Voor de verwerking van bijzondere persoonsgegevens geldt een strenger regime dan voor gewone persoonsgegevens.

Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands: godsdienst of levensovertuiging; ras; politieke gezindheid;

gezondheid; seksuele leven; en lidmaatschap van een vakvereniging.

Verder zijn bijzondere persoonsgegevens strafrechtelijke persoonsgegevens; en

persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een gebiedsverbod).

Lid 2

Op het verbod om bijzondere persoonsgegevens betreffende iemands gezondheid te verwerken, geldt een uitzondering wanneer het verwerken van deze persoonsgegevens nodig is met het oog op een goede behandeling van de betrokkene. Deze verwerking mag dan geschieden door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening. Deze bepaling is gebaseerd op art. 21, lid 1, aanhef en onder a van de Wbp.

Lid 3

Dit artikellid is een vertaling van art. 21, lid 3 Wbp, op grond waarvan het verbod om andere bijzondere persoonsgegevens te verwerken niet geldt wanneer deze verwerking noodzakelijk is in aanvulling op de verwerking van persoonsgegevens betreffende iemands gezondheid, met het oog op een goede behandeling of verzorging van de betrokkene.

Lid 4

Dit artikellid is gebaseerd op art. 23, lid 1, aanhef en onder a van de Wbp op grond waarvan verwerking van bijzondere persoonsgegevens is toegestaan voor zover dit geschiedt met uitdrukkelijke toestemming van de betrokkene.

Artikel 8 Afkomst persoonsgegevens

Persoonsgegevens mogen slechts worden verwerkt indien zij rechtmatig zijn verkregen. De eerste bron voor het verkrijgen van persoonsgegevens is de betrokkene zelf. Voorafgaand aan het daadwerkelijk verkrijgen van de informatie, deelt de verantwoordelijke zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd mede.

Gegevens mogen ook bij een ander dan de betrokkene worden verkregen. Dit moet aan de betrokkene worden medegedeeld op het moment van vastlegging van die gegevens. Daarnaast moeten de identiteit van de verantwoordelijke en de doeleinden van de verwerking aan de betrokkene worden medegedeeld.

Artikel 9 Verbod verstrekking van persoonsgegevens

Lid 1

Het is verboden om persoonsgegevens aan derden te verstrekken. In het Privacyprotocol worden vier uitzonderingen onderscheiden op dit verbod:

  • -

    na toestemming van de betrokkene,

  • -

    op verzoek van de betrokkene,

  • -

    indien verstrekking op grond van een wettelijk voorschrift is vereist, of

  • -

    indien er dringende en gewichtige redenen voor zijn.

Een voorbeeld van verstrekking op grond van een wettelijk voorschrift is bijvoorbeeld het verstrekken van inlichtingen aan de Raad voor de Kinderbescherming als bedoeld in art. 1:240 van het BW. Bij dringende en gewichtige redenen kun je denken aan een situatie waarin het voor het welzijn van de betrokkene noodzakelijk om persoonsgegevens aan een derde te verstrekken. In zo’n geval is toestemming niet vereist.

 

Lid 2

Het is niet toegestaan persoonsgegevens te verstrekken (aan wie dan ook) voor een doel dat niet verenigbaar is met het oorspronkelijke doel van de verwerking. Dit artikellid is gebaseerd op art. 11 Wbp. Het artikel legt op degene die de gegevens verwerkt (en dus ook in geval van verstrekking) een continue verplichting tot toetsing of het doel waarmee de gegevens verwerkt (of in dit geval verstrekt) worden, met het oorspronkelijke doel verenigbaar zijn.

 

Lid 3

In dit artikellid is bepaald dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Deze bepaling vloeit voort uit de Wbp en hiermee wordt buiten twijfel gesteld dat een ambts- of beroepsgeheim dan wel een wettelijke verplichting tot geheimhouding niet kan worden terzijde geschoven.

 

Artikel 10 Geheimhoudingsplicht

Een ieder die vanuit zijn functie of werkzaamheden met persoonsgegevens aanraking komt, is op grond van zijn rechtspositie gebonden aan een geheimhoudingsplicht.

 

Voor de situaties waarin dit niet voldoende wordt geacht is te overwegen om aan het artikel een tweede lid toe te voegen met de volgende tekst:

“Alle personen die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd zijn om persoonsgegevens te verwerken, tekenen daartoe een geheimhoudingsverklaring.”

Artikel 11 Recht op inzage en afschrift betrokkene

Aan de betrokkene wordt op zijn verzoek zo spoedig mogelijk inzage in en afschrift van zijn dossier, of delen daarvan, gegeven De verstrekking blijft achterwege voor zover dit noodzakelijk is in het belang van de bescherming van de persoonlijke levenssfeer van een ander die in het dossier voorkomt. Dit vloeit voort uit de Wbp.

 

Artikel 12 Recht op verbetering, aanvulling, verwijdering of afscherming

Dit artikel regelt de rechten van de betrokkenen.

De betrokkene die in kennis gesteld is van verwerking van hem betreffende persoonsgegevens, kan (conform de Wbp) aan de verantwoordelijke schriftelijk verzoeken om verbetering, aanvulling, verwijdering of afscherming, indien de gegevens:

  • a.

    feitelijk onjuist dan wel onvolledig zijn,

  • b.

    voor het doel van verwerking onnodig of niet ter zake dienend zijn,

  • c.

    in strijd met een wettelijk voorschrift worden verwerkt.

 

Artikel 13 Indienen bezwaar

De belanghebbende kan bezwaar maken. Het gaat om besluiten van de verantwoordelijke, de gemeente, over gegevensverwerking die belanghebbende beftreffen

 

Artikel 14 Beveiligen en beheren persoonsgegevens en artikel 15 Beveiligingsniveau persoonsgegevens

Om invulling te kunnen geven aan de maatregelen die voorzien in de bescherming van de gegevens en privacy zal de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als uitgangspunt worden genomen.

 

Deze Baseline betreft twee varianten, een Strategische- én een tactische baseline. De Strategische BIG kan gezien worden als de ’kapstok’ waaraan de elementen van informatiebeveiliging opgehangen kunnen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente. De Strategische BIG geldt voor Nederlandse gemeenten waartoe gerekend worden alle gemeenten met de daaronder vallende diensten, bedrijven en instellingen, zoals werkpleinen. De Strategische BIG omvat de bedrijfsvoeringsprocessen, onderliggende informatiesystemen en informatie van de gemeente in de meest brede zin van het woord. De Strategische BIG heeft bovendien betrekking op alle informatie die daarbinnen verwerkt wordt. Als informatiesystemen niet fysiek binnen de gemeente draaien, is deze Strategische BIG overigens ook van toepassing.

 

De Tactische BIG is het normenkader dat de beschikbaarheid, integriteit en exclusiviteit van gemeentelijke informatie(systemen) bevordert. Deze Tactische BIG is een richtlijn die een totaalpakket aan informatiebeveiligingcontrols en -maatregelen omvat die voor iedere gemeente noodzakelijk is om te implementeren. Deze Tactische BIG is opgezet rondom bestaande normen; de NEN/ISO 27002:2007 en de BIR. Deze ISO-standaard is vastgesteld voor de Nederlandse Overheid door het forum standaardisatie en algemeen aanvaard als de norm voor informatiebeveiliging. Voor specifieke maatregelen is in de Tactische BIG ook gebruik gemaakt van de Wbp, de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (de SUWI-wet), Gemeentelijke Basisadministratie (GBA en de opvolger BRP), Basisregistratie Adressen en Gebouwen (BAG) en de Wet Paspoortuitvoeringsregeling (PUN).

 

Artikel 16 Toegang tot gegevens

Personen zullen pas toegang krijgen na autorisatie door het college in samenspraak met de organisatie waarvoor zij werkzaam zijn. Zij krijgen alleen toegang tot die gegevens die voor hun taakuitoefening van belang zijn, en uitsluitend voor zover dit past binnen de gestelde doelstellingen van de gegevensverwerking.

 

Artikel 17 Slotbepalingen

In het eerste lid van art. 17 is opgenomen dat het Privacyprotocol met terugwerkende kracht in werking zal treden op 1 januari 2015.