Toezichthouder waarschuwt gemeenten inzake gegevensverwerking sociaal domein
Sinds 1 januari 2015 hebben gemeenten er meerdere nieuwe taken bijgekregen op het gebied van arbeidsparticipatie, jeugdzorg, maatschappelijke ondersteuning en zorg voor chronisch zieken en gehandicapten (‘Sociaal domein’). Als gevolg hiervan zijn gemeenten meer gevoelige persoonsgegevens gaan verwerken, waarop vanzelfsprekend de
Wet bescherming persoonsgegevens (‘Wbp’) van toepassing is.
Onderzoek van de Autoriteit Persoonsgegevens
In 2015 heeft de
Autoriteit Persoonsgegevens (tot 1 januari 2016 het College Bescherming Persoonsgegevens) een quick scan uitgevoerd op de website van 50 gemeenten. Hieruit kwam naar voren dat op de onderzochte websites weinig informatie beschikbaar was over de verwerking van persoonsgegevens in het Sociaal Domein.
Naar aanleiding hiervan heeft de Autoriteit Persoonsgegevens aan 41 gemeenten inlichtingen gevraagd over hoe zij de grondslag toestemming gebruiken bij de gegevensverwerking in het Sociaal Domein en welke informatie zij verstrekken over deze verwerkingen.
De Autoriteit Persoonsgegevens heeft in haar
onderzoeksrapport (het ‘Onderzoeksrapport’) geconstateerd dat het onduidelijk is voor gemeenten welke gegevens zij mogen verwerken, voor welke doelen zij dit mogen en op basis van welke grondslagen dit mag. Daarnaast is het vaak onduidelijk hoe toestemming als grondslag voor het verwerken van de persoonsgegevens van hulpbehoevenden, kan en mag worden gebruikt. Verder schieten gemeenten tekort in het informeren van betrokkenen over het verwerken van persoonsgegevens in het Sociaal Domein.
Grondslagen voor gegevensverwerking
Volgens
artikel 8 Wbp dient een verantwoordelijke, in dit geval de gemeente, een grondslag te hebben voor de verwerking van persoonsgegevens. Ontbreekt een dergelijke grondslag dan verwerkt de gemeente onrechtmatig, met alle gevolgen van dien, zoals de kans op reputatieschade en boetes van de Autoriteit Persoonsgegevens.
In het Sociaal Domein zijn de meest voorkomende grondslagen voor verwerking van persoonsgegevens: (i) nakoming van een wettelijke verplichting en (ii) uitvoering van een publiekrechtelijke taak. Wanneer het gaat om de uitvoering van vrijwillige hulpverlening zal uitvoering van de overeenkomst de meest voorkomende grondslag zijn. Als het gaat om niet-vrijwillige hulpverlening kan er mogelijk verwerkt worden op de grondslag “noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene”.
Voorkom onrechtmatige verwerking en kies voor een andere grondslag dan toestemming
Als een verantwoordelijke gegevens wil verwerken op basis van toestemming, moet er volgens de Wbp sprake zijn van specifieke, ondubbelzinnige, geïnformeerde én vrije toestemming. Voor de toestemming gelden andere normen dan de toestemming die een betrokkene moet geven voor het doorbreken van de geheimhoudingsplicht en voor het ontvangen van hulp. De eisen die voor toestemming voor gegevensverwerking moet worden gegeven, houdt onder andere in dat de betrokkene zich niet verplicht mag voelen om toestemming te geven vanwege de relatie die hij/zij heeft tot de gemeente of vanwege de omstandigheden waarin de betrokkene verkeert. Aangezien in het Sociale Domein de betrokkene vaak afhankelijk zal zijn van de gemeente c.q. hulpverlener, is verwerking op basis van toestemming in veel van deze gevallen onmogelijk. Overigens schieten gemeenten ook nog vaak tekort in het voldoende informeren (vooraf) over de gegevensverwerking. Ze voldoen veelal ook niet aan de eis om “geïnformeerde” toestemming te verkrijgen.
Een ander probleem bij het gebruik van toestemming als (enige) grondslag voor gegevensverwerking is dat deze op grond van
artikel 5 lid 2 Wbp op elk moment kan worden ingetrokken. Dit heeft geen gevolg voor de verwerkingen die hebben plaatsgevonden voor de intrekking, maar wel voor de verwerkingen erna. Sterker nog, volgens
artikel 6 Wbp mag de gemeente na intrekking van de toestemming de persoonsgegevens ook niet meer verwerken op basis van een andere grond, bijvoorbeeld de nakoming van een wettelijke verplichting. Naast het feit dat er – indien er vervolgens toch nog verwerkt zou worden - sprake zou zijn van onrechtmatige verwerking, kan dit beginsel van ‘fair processing’ ernstige gevolgen hebben voor de door betrokkene gewenste hulp omdat de persoonsgegevens niet meer verwerkt mogen worden. Om deze problemen te voorkomen zal de gemeente gebruik (moeten) maken van de grondslagen (i) nakoming van een wettelijke verplichting en (ii) uitvoering van een publiekrechtelijke taak. Daarbij is overigens sowieso een uitdaging dat een wettelijke regeling voor domein overschrijdende verwerking van persoonsgegevens ontbreekt.
Tijd voor actie
De Autoriteit Persoonsgegevens raadt gemeenten aan een overzicht op te stellen met betrekking tot de doelen, de te verwerken gegevens en de grondslagen van de verschillende verwerkingen. Dit moeten gemeenten per domein in kaart brengen.
Uit het Onderzoeksrapport blijkt dat de privacywaakhond ervan uitgaat dat dit overzicht nog dit jaar door de gemeenten wordt opgesteld. Door middel van bijlage I en II van het Onderzoeksrapport, respectievelijk
‘Juridisch Kader’ en
‘Specificatie’ geeft de toezichthouder al een goede voorzet voor dit overzicht.
Indien u vragen heeft over deze of andere gegevensstromen, grondslagen en doelen van verwerking of andere vragen heeft naar aanleiding van dit artikel, neem dan contact op met het
IT-en privacy team van Ploum.