Uitgangspunteregeling Privacy Sociaal Domein Gemeenten Stichtse Vecht, Wijdemeren en Weesp

Juridisch kader

De belangrijkste regels op het gebied van privacy zijn te vinden in de Wet bescherming persoonsgegevens (Wbp). De Wbp geeft regels voor de verwerking van persoonsgegevens.

Persoonsgegevens zijn alle gegevens die informatie kunnen verschaffen over een bepaalde persoon. Persoonsgegevens zijn in ieder geval: naam, geboortedatum, geslacht, adres, burgerlijke staat en BSN-nummer. Maar ook minder herleidbare gegevens kunnen persoonsgegevens zijn, zoals het huis waar de betrokkene in woont, het IP-adres dat de betrokkene gebruikt of de geloofsovertuiging van de betrokkene.

Onder verwerking vallen alle mogelijk denkbare handelingen met betrekking tot persoonsgegevens; “van verzameling tot vernietiging”. De wet geeft de volgende voorbeelden:

• 1.

  het verzamelen, vastleggen, het ordenen, het bewaren;

• 2.

  het bijwerken, het wijzigen;

• 3.

  het opvragen, het raadplegen, het gebruiken;

• 4.

  het verstrekken door middel van doorzending, de verspreiding of enige andere vorm van terbeschikkingstelling;

• 5.

  het samenbrengen, het met elkaar in verband brengen;

• 6.

  het afschermen;

• 7.

  het uitwissen of vernietigen.

De Wbp is in beginsel alleen van toepassing op gegevens die geautomatiseerd worden verwerkt (artikel 2 Wbp). Zodra persoonsgegevens worden opgeslagen op een computer is sprake van een geautomatiseerde gegevensverwerking.

Handmatige verwerkingen kunnen onder de Wbp vallen, als de gegevensverzameling systematisch toegankelijk is. Denk hier bijvoorbeeld aan een verzameling dossiers (al dan niet in combinatie met een bestand op de computer).

Rol College bij verwerking van persoonsgegevens

Het College is de ‘verantwoordelijke’ in de zin van de Wbp. Het is het College dat het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Daarmee is het College verantwoordelijk voor de zorgvuldigheid van de gegevensverwerking die door of namens de gemeente plaatsvindt.

Verplichtingen verantwoordelijke bij verwerking van persoonsgegevens

Op grond van de Wbp gelden de volgende verplichtingen bij de verwerking van persoonsgegevens:

• 1.

  de wettelijke normen ten aanzien van gegevensverwerking moeten worden nageleefd;

• 2.

  de persoonsgegevens moeten op passende wijze worden beschermd;

• 3.

  de gegevensverwerking moet vooraf worden gemeld bij het Cbp (tenzij er een vrijstelling van toepassing is);

• 4.

  de betrokkene moet (vooraf) worden geïnformeerd;

• 5.

  de betrokkene moet in staat worden gesteld om zijn rechten uit te oefenen.

  Ad 1 - Normen waaraan de gegevensverwerking moet voldoen

  In de Wbp is een aantal normen opgenomen waaraan de verwerking van de persoonsgegevens altijd moet voldoen:

  • 1.

    De gegevensverwerking moet rechtmatig en zorgvuldig plaatsvinden (artikel 6 Wbp);

  • 2.

    De gegevensverzameling mag alleen plaatsvinden voor een bepaald doel (artikel 7 Wbp);

  • 3.

    Voor de verwerking van persoonsgegevens moet er een zogenaamde “verwerkingsgrond” zijn (artikel 8 Wbp) (zie verder onder “Verwerkingsgrond”);

  • 4.

    De persoonsgegevens mogen niet verder worden verwerkt dan voor waar ze zijn bedoeld, de zogenaamde “doelbinding” (artikel 9 Wbp);

  • 5.

    De gegevensverwerking mag alleen plaatsvinden voor zover de gegevens, gelet op hun doel toereikend, ter zake dienend en niet bovenmatig zijn. Bovendien moeten de gegevens juist en nauwkeurig zijn (artikel 11 Wbp). De verantwoordelijke mag dus niet meer gegevens verzamelen dan nodig is;

  • 6.

    De gegevens mogen niet langer dan nodig worden bewaard (artikel 10 Wbp) (zie verder onder “Bewaartermijnen”).

  Deze normen komen er kort samengevat op neer dat een verwerker van persoonsgegevens doelgericht en op zorgvuldige wijze te werk moet gaan. Er mogen niet meer gegevens worden verzameld dan nodig is . Ook mogen de gegevens niet worden gebruikt voor andere doelen dan waarvoor ze zijn verzameld.

  Verwerkingsgrond

  Essentieel voor een rechtmatige verzameling van persoonsgegevens is dat er een zogenaamde “verwerkingsgrond” is. Zonder verwerkingsgrond kan een verwerking van persoonsgegevens niet rechtmatig plaatsvinden.

  De wet noemt onder meer de volgende verwerkingsgronden (artikel 8 Wbp):

  • 1.

    ondubbelzinnige toestemming van de betrokkene: de betrokkene dient zijn toestemming ondubbelzinnig, op grond van vooraf verstrekte informatie en op vrijwillige basis te geven (artikel 1 Wbp).;

  • 2.

    de uitvoering of voorbereiding van een overeenkomst waarbij de betrokkene partij is;

  • 3.

    ter nakoming van een wettelijke verplichting van de verantwoordelijke (de opgedragen taken in Wmo Jeugdwet en Participatiewet);

  • 4.

    de vrijwaring van een vitaal belang van betrokkene;

  • 5.

    de goede vervulling van de publiekrechtelijke taak door het college, dan wel het bestuursorgaan waaraan de gegevens worden verstrekt;

  • 6.

    noodzaak voor de behartiging van het gerechtvaardigd belang van de verantwoordelijke, tenzij het recht op bescherming van de persoonlijke levenssfeer prevaleert.

    Uit deze opsomming van verwerkingsgronden wordt duidelijk dat het doel van de gegevensverwerking nauw samenhangt met de verwerkingsgrond.

    Het College is verantwoordelijk voor de uitvoering van de Wmo, de Jeugdwet en de Participatiewet en in dat kader worden persoonsgegevens verwerkt van burgers. Als uitgangspunt wordt daarbij gehanteerd dat een zorgvuldig ‘triage’-proces plaatsvindt, waarin stapsgewijze afwegingen plaatshebben ten aanzien van de gegevensverwerking. Hierbij is steeds de concrete hulpvraag leidend en niet de beschikbaarheid van gegevens.

    Ook moet steeds kritisch worden bezien of er een verwerkingsgrond aanwezig is. Die verwerkingsgrond kan ook zijn gelegen in de bijzondere bepalingen in de Wmo – daarin zijn verwerkingsgrondslagen vastgelegd voor de uitwisseling van persoonsgegevens door verantwoordelijken in en tussen sectoren van het sociaal domein, overeenkomstig de wettelijke plicht en de publiekrechtelijke taak van de verantwoordelijke.

    Voor wat betreft de uitvoering van de Participatiewet geeft de wet SUWI een wettelijke grondslag voor gegevensverstrekking, alsmede de WSW en de WWB.

    Voor wat betreft de uitvoering van de Jeugdwet zal nog uitvoeringswetgeving verschijnen.

    Bewaartermijnen

    De persoonsgegevens mogen niet langer worden bewaard dan nodig is voor de realisatie van het doel waarvoor ze zijn verwerkt (artikel 10 WBP). De Wbp en het Vrijstellingsbesluit geven voor bepaalde onderwerpen expliciete termijnen, maar daarin zijn (nog) geen expliciete bepalingen opgenomen over de taken binnen het sociaal domein. Vooralsnog kan worden aangesloten bij de termijnen gebaseerd op de Archiefwet, waarbij wordt uitgegaan van een bewaartermijn van 20 jaar na beëindiging. Dit betreft een maximale termijn.

    Extra beperkingen voor bijzondere gegevens

    De Wbp merkt de volgende persoonsgegevens aan als “bijzondere gegevens” en geeft daarvoor aparte, strengere regels (artikel 16 en volgende Wbp);

    • 1.

      Levensovertuiging of godsdienst;

    • 2.

      Politieke gezindheid;

    • 3.

      Lidmaatschap vakbond;

    • 4.

      Ras;

    • 5.

      Seksuele leven;

    • 6.

      Gezondheid;

    • 7.

      Strafrechtelijke gegevens;

    • 8.

      BSN-nummer.

    In beginsel is de verwerking van deze “bijzondere gegevens” verboden. In het kader van de activiteiten binnen het sociaal domein, zijn van deze “bijzondere gegevens” met name de gegevens betreffende de gezondheid, oftewel medische gegevens en het BSN-nummer van belang.

    Medische gegevens

    In het kader van de taken in het sociaal domein mag het college (of een door het college ingeschakelde derde) een beperkt aantal noodzakelijke medische persoonsgegevens verwerken. Artikel 21 lid 1 onder a van de Wbp staat het verwerken van medische persoonsgegevens toe voor “aan hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is”. Met andere woorden: het moet gaan om gegevens die van noodzakelijk belang zijn bij de ondersteuning.

    Daar waar er sprake is van een beroepsgeheim dient de dienstverlener een eigenstandige afweging te maken of (medische) gegevens kunnen worden verstrekt. De dienstverlener mag in een aantal situaties het medisch beroepsgeheim doorbreken en medische gegevens aan anderen verstrekken. De belangrijkste zijn: als betrokkene hiervoor toestemming heeft gegeven, als er een wettelijk voorschrift (bijv. wet publieke gezondheid) is of als sprake is van een conflict van plichten. Het betref dan bijvoorbeeld een noodsituatie, bijvoorbeeld kindermishandeling. De hulpverlener mag informatie delen met degenen die rechtstreeks betrokken zijn bij de behandeling en met zijn of haar waarnemer of vervanger. Maar dit mag alleen voor zover dit noodzakelijk is voor hun werkzaamheden.

    Als het college gebruik maakt van de diensten van derden, mag deze derde, zoals hiervoor aangegeven, net als het college over niet meer dan de noodzakelijke gegevens die van belang zijn voor de ondersteuning beschikken.

    De betrokkene moet uitdrukkelijk toestemming verlenen voordat medische gegevens verstrekt mogen worden aan een ander (artikel 23 lid 1 onder a Wbp).

    Het college mag in beginsel zonder uitdrukkelijke toestemming van de betrokkene geen medische gegevens met betrekking tot de aard van de ziekte verstrekken aan anderen, tenzij

    • 1.

      Dit onvermijdelijk en dus noodzakelijk is;

    • 2.

      Of in een van de sectorwetten daarvoor een wettelijke grondslag is aangewezen.

    Voor wat betreft het verkrijgen en verwerken van medische gegevens gelden dus de sleutelbegrippen “van noodzakelijk belang” en “uitdrukkelijke toestemming van de betrokkene”.

  Ad 2 - Beveiliging

  Het college is als verantwoordelijke verplicht om passende, technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (artikel 13 Wbp). De maatregelen moeten een passend beveiligingsniveau garanderen. Hierbij dient rekening te worden gehouden met de stand van de techniek en de kosten ervan. Bovendien moet worden gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

  Computerbestanden met persoonlijke gegevens dienen ten minste te worden beveiligd met een wachtwoord.

  Als de verantwoordelijke de verwerking heeft uitbesteed aan een bewerker, moet de verantwoordelijke er bovendien voor zorgen dat ook de bewerker voldoende veiligheidsmaatregelen heeft getroffen. Dit wordt in een overeenkomst met de bewerker worden vastgelegd (artikel 14 Wbp).

  Het college sluit in dat verband overeenkomsten af met die personen en instellingen die zij inschakelt voor de uitvoering van de taken binnen het sociaal domein.

  Het college zal er strikt op moeten toezien dat de inhoudelijke gegevens met betrekking tot het re-integratietraject slechts toegankelijk zijn voor die medewerkers die betrokken zijn bij de uitvoering van de wettelijke taken.

  Ad 3 - Meldplicht

  Voordat het college als verantwoordelijke met de verwerking van persoonsgegevens begint, moet hij dit melden bij het CBP (artikel 27 Wbp). Hij doet dit via het Wbp-meldingsprogramma en het Wbp-meldingsformulier.

  Het CBP heeft de plicht een openbaar register van deze meldingen bij te houden. Het register is kosteloos te raadplegen en toegankelijk via www.cbpweb.nl.

  Op het Wbp-meldingsformulier moet onder meer worden vermeld (artikel 28 Wbp):

  • 1.

    de naam en het adres van de verantwoordelijke;

  • 2.

    het doel van de verwerking;

  • 3.

    van welke categorie personen de gegevens verwerkt gaan worden;

  • 4.

    aan wie de gegevens worden verstrekt;

  • 5.

    een beschrijving van de voorgenomen maatregelen om de persoonsgegevens te beveiligen.

  Het ten onrechte niet voldoen aan de meldplicht of een onjuiste en/of onvolledige melding kan tot een bestuurlijke boete leiden van maximaal € 4.500 per niet of onjuist en/of onvolledig gemelde gegevensverwerking (artikel 66 Wbp.

  Er geldt echter een vrijstelling van de meldplicht, wanneer:

  • 1.

    een privacyinbreuk onwaarschijnlijk is;

  • 2.

    dit in het Vrijstellingsbesluit is bepaald, zoals de personeelsadministratie, de salarisadministratie en de (cliënten)administratie van leveranciers van diensten;

  • 3.

    een functionaris voor de gegevensbescherming is benoemd. In dit geval moet de melding aan de functionaris worden gedaan.

  Let op! De vrijstelling heeft alleen betrekking op de meldplicht. De overige bepalingen van de Wbp zijn dus gewoon van toepassing.

  Ad 4 - Informatieverstrekking

  De betrokkene moet er van op de hoogte worden gebracht dat zijn gegevens worden vastgelegd en voor welk doel dit gebeurt (artikel 33 Wbp). Dit geldt ook als de gegevens niet rechtstreeks van de betrokkene worden verkregen, maar van een derde.

  Signaalfunctie

  Ook als er sprake is van een signaal over een derde ( “het gaat niet goed met mijn buurman”), is zodra dit signaal wordt geregistreerd en opgepakt, de Wet bescherming persoonsgegevens van toepassing.

  Ad 5 - Rechten betrokkene

  Naast de verplichtingen van de verantwoordelijke heeft de betrokkene zelf een aantal rechten met betrekking tot zijn gegevensverwerking (artikel 35 en volgende WBP), te weten;

  • 1.

    Kennisnemingsrecht: de betrokkene heeft het recht om met redelijke tussenpozen aan de verantwoordelijke te vragen welke gegevens over hem worden verwerkt.

  • 2.

    Correctierecht: de betrokkene mag onjuiste gegevens verbeteren (bijvoorbeeld spel- en/of grammaticafouten), hij mag onvolledige gegevens aanvullen, en gegevens verwijderen, wanneer die niet ter zake doen of in strijd met de wet zijn verwerkt (artikel 36 WBP).

  • 3.

    Afschermingsrecht: de betrokkene kan de verantwoordelijke verzoeken de verdere verspreiding van opgenomen persoonsgegevens tegen te houden (artikel 36 WBP).

  • 4.

    Recht van verzet: de betrokkene heeft onder bepaalde omstandigheden het recht zich te verzetten tegen een bepaalde gegevensverwerking (artikel 40 WBP). Hij kan de verantwoordelijke verzoeken de verwerking te staken. Indien het privacybelang van de betrokkene zwaarder weegt dan het belang van de verantwoordelijke dient de gegevensverwerking te worden stopgezet.

  Relatie verantwoordelijke - bewerker

  De gemeente kan besluiten andere personen of instellingen in te zetten of in te huren bij de uitvoering van de wettelijke taken. Die anderen zijn ‘bewerker’ in de zin van de Wbp.

  Het college ziet er bij de keuze voor een bewerker op toe dat de bewerker:

  • 1.

    Voldoende waarborgen biedt met betrekking tot de technische en organisatorische beveiliging;

  • 2.

    Een overeenkomst of convenant sluit met de verantwoordelijke waardoor afdwingbare verbintenissen ontstaan;

  • 3.

    In de overeenkomst (of andere regeling) is bedongen dat de bewerker de persoonsgegevens uitsluitend verwerkt in opdracht van de verantwoordelijke;

  • 4.

    De beveiligingsverplichtingen nakomt die op de verantwoordelijke rusten;

  En de verantwoordelijke moet daadwerkelijk toezien op de naleving van de beveiligingsverplichtingen.

  Verplichtingen bewerker

  De bewerker mag de persoonsgegevens alleen bewerken in opdracht van de verantwoordelijke en mag daarover geen zelfstandige beslissingen nemen;

  De bewerker is zelfstandig aansprakelijk voor schade die het gevolg is de bewerkingshandelingen.

  De bewerker en diegenen die onder zijn gezag werken zijn verplicht om persoonsgegevens waarvan zij kennis nemen, geheim te houden.

  Niet naleving Wbp

  Het toezicht op de naleving van de Wbp is in handen van het College Bescherming Persoonsgegevens (CBP).

  Als de Wbp wordt geschonden, kan dit de volgende consequenties hebben:

  • 1.

    De betrokkene kan schadevergoeding vorderen (artikel 49 Wbp);

  • 2.

    Het CBP kan een last onder dwangsom opleggen (om te bewerkstelligen dat de Wbp alsnog wordt nageleefd) (artikel 65 Wbp)

  • 3.

    Het CBP kan in geval van schending van de meldingsplicht een bestuurlijke boete opleggen van ten hoogste € 4.500,- per overtreding (artikel 66 Wbp);

  • 4.

    Er kan een strafrechtelijke sanctie volgen (een boete of een gevangenisstraf) (artikel 75 Wbp). Het recht tot strafvervolging vervalt echter indien het CBP al een bestuurlijke boete heeft opgelegd en vice versa;

  • 5.

    Reputatieschade.

  Om die reden moet het voor de medewerkers van verantwoordelijke en bewerker duidelijk zijn, welke regels gelden en hoe deze in de praktijk worden toegepast (dit zou eventueel omschreven kunnen worden in werkprocessen). De medewerkers dienen zich bewust te zijn van de gevolgen die onrechtmatige gegevensverwerkingen met zich mee kunnen brengen.

  Samenvatting regels

  De Wbp geeft regels waaraan een verwerking van persoonsgegevens moet voldoen. Voor zover relevant met het oog op de activiteiten in het sociaal domein, zijn de volgende regels van belang:

  • 1.

    Het verzamelen en verwerken van de persoonsgegevens moet doelgericht en op zorgvuldige wijze plaatsvinden.

  • 2.

    Het verzamelen en verwerken van de persoonsgegevens mag alleen plaatsvinden, voor zover dat nodig is met het oog op het doel van de gegevensverwerking. Het verzamelen en verwerken van de persoonsgegevens mag alleen plaatsvinden, voor zover dat noodzakelijk is voor de dienstverlening.

  • 3.

    Er mogen niet meer gegevens dan nodig worden verwerkt en bovendien mogen de gegevens niet voor andere doeleinden worden verwerkt.

  • 4.

    Voor zover het gaat om medische gegevens gelden strengere regels: de verantwoordelijke mag alleen beschikken over medische gegevens en die gegevens verwerken, voor zover dat van noodzakelijk belang is voor het uitvoeren van de maatschappelijke dienstverlening. Hierover moet de betrokkene vooraf worden geïnformeerd.

  • 5.

    Medische gegevens die niet van noodzakelijk belang zijn mogen slechts worden verzameld en verwerkt, als de betrokkene daarvoor uitdrukkelijk toestemming heeft verleend.

  • 6.

    Er moeten passende beschermingsmaatregelen getroffen worden, om er voor te zorgen dat de persoonsgegevens slechts toegankelijk zijn voor die medewerkers die rechtstreeks betrokken zijn bij de uitvoering van de maatschappelijke taak.

  • 7.

    De betrokkene moet er over worden geïnformeerd dat en met welk doel persoonsgegevens worden verzameld en welke gegevens dat zijn. Bij voorkeur dient de betrokkene uitdrukkelijk toestemming te verlenen voor de gegevensverwerking. Daarbij moet de betrokkene worden geïnformeerd over zijn recht op kennisneming, correctie, afscherming en verzet.

  Deze regels treden, gelet op de inwerkingtreding van de wetgeving met betrekking tot het sociaal domein, in werking per 1 januari 2015

  Aldus vastgesteld d.d. 2 december 2014

  Burgemeester en wethouders van Stichtse Vecht

  De secretaris, de burgemeester,