FAQ Privacy in het sociaal domein

1. Moet de gemeente een bewerkersovereenkomst afsluiten met aanbieders van jeugdhulp, of van maatwerkvoorzieningen voor Wmo?

Nee, dat is niet nodig.

De aanbieder van jeugdhulp of van een maatwerkvoorziening is namelijk géén bewerker in de zin van de Wet bescherming persoonsgegevens. Zij voeren de jeugdhulptaken of maatwerkvoorzieningen onder eigen verantwoordelijkheid uit, ook al worden zij via de gemeente, of met een PGB verstrekt door de gemeente, ingehuurd. Zij zijn daarmee ook zelf verantwoordelijk voor zowel de informatiebeveiliging van de eigen gegevensverwerking, als voor de borging van de privacy van hun cliënten. In de meeste gevallen gelden voor de verschillende branches eigen normen waar zij aan moeten voldoen.


2. Wat moeten gemeenten regelen met betrekking tot privacy en informatieveiligheid in contracten met aanbieders van jeugdhulp en maatwerkvoorzieningen?

De informatiebeveiliging en het borgen van de privacy bij de eigen gegevensverwerking is de verantwoordelijkheid van de aanbieders zelf. Dat betekent dat ook zonder contractuele clausule, de aanbieders – ook kleinere partijen zoals zorgboerderijen en kleine huishoudelijke aanbieders – volgens de Wbp verplicht zijn hun gegevensverwerking ‘adequaat te beveiligen’ en zorgvuldig om te gaan met de privacy van de cliënten. Voor de meeste instellingen betekent dit dat zij moeten beveiligen conform de voor hun branche geldende algemeen erkende  normen. Voor kleine aanbieders is die norm er niet altijd.

Het is dus in feite overbodig om aanbieders nog een keer apart te verplichten om conform algemeen erkende normen te beveiligen. In plaats daarvan kan de gemeente ook overwegen een clausule op te nemen die zegt dat het contract wordt ontbonden als blijkt dat de informatiebeveiliging onvoldoende is, of als de aanbieder zich niet aan de geldende privacywetgeving houdt.

Mocht een gemeente toch specifieker iets over normen willen opnemen dan kan worden overwogen om aan te sluiten bij art. 6 van de Regeling Jeugdwet of art. 3 van de Uitvoeringsregeling Wmo 2015. Die artikelen zien weliswaar enkel op het beveiligen van het BSN / personalia, maar je zou de normen die daarin genoemd worden als minimumnorm voor alle gegevens kunnen stellen.

De formulering van een clausule kan zijn:
De aanbieder draagt er zorg voor dat de informatiebeveiliging en gegevensverwerking voldoen aan de algemeen aanvaarde normen voor de eigen branche, en tenminste aan NEN-ISO-IEC 27001 en NEN-ISO-IEC 27002. Indien blijkt dat aanbieder onvoldoende heeft beveiligd, of niet voldoet aan de eisen die vanuit de wet aan de verwerking van persoonsgegevens kunnen worden gesteld, kan het contract ontbonden worden.

Hieronder staan beide artikelen. De passage die verwijst naar overige artikelen in de wetten zou dan kunnen vervallen.

Artikel 6 Regeling Jeugdwet

De beveiliging van de gegevensverwerking, bedoeld in de artikelen 7.2.1 en 7.2.4 van de wet, voldoet aan NEN-ISO-IEC 27001 en NEN-ISO-IEC 27002 of aan daaraan gelijkwaardige normen.

Artikel 3 Uitvoeringsregeling Wmo 2015

De gegevensverwerking, bedoeld in artikel 5.2.9, zesde lid, van de wet, voldoet aan NEN-ISO-IEC 27001 en NEN-ISO-IEC 27002 of is aan deze normen gelijkwaardig.


3. Mag een gemeente de verwijsbrief van de huisarts opvragen om een verzoek tot toewijzing in behandeling te nemen?

Nee, een verwijsbrief bevat privacygevoelige informatie. De gemeente mag deze informatie niet opvragen.

In de Matrix Gegevensuitwisseling bij uitvoering, fraudepreventie en naleving van Wmo en Jeugdwet staat welke informatie mag worden uitgewisseld.


4. Mag een gemeente in het kader van bekostiging aan de zorgaanbieder vragen de indicatie op de factuur te vermelden?

Nee, de gemeente mag omwille van privacy de indicatie van de jeugdige niet opvragen.

In de ministeriële regeling kunt u nagaan welke regels gevolgd moeten worden door instellingen van jeugdhulp en gecertificeerde instellingen bij het verstrekken van persoonsgegevens aan gemeenten in het kader van de bekostiging.


5. Gelden er privacy-eisen bij het beschikbaar stellen van cliëntgegevens aan de cliënt zelf?

De burger heeft het recht om zijn persoonsgegevens in te zien en te kunnen wijzigen. Dit kan ook gewoon door een print te maken van de informatie die aanwezig is.

Wanneer er gewerkt wordt met een plan van aanpak rondom één gezin en er dus persoonsgegevens van meerdere personen in één document staan, moet men bij het beschikbaar stellen van de gegevens aan de klant rekening houden met de privacy van de andere gezinsleden. Dit wil zeggen dat de informatie over partners en kinderen ouder dan 16 jaar niet zonder toestemming van die personen mag worden verstrekt.

De cliënt heeft het recht om te weten wie er toegang heeft tot zijn of haar gegevens en met wie er persoonsgegevens gedeeld worden. Maak de afweging ten aanzien van noodzaak, proportionaliteit en subsidiariteit in een triagebesluit over welke expliciete informatie er met wie gedeeld wordt en waarom. Als deze afweging is vastgelegd, kunt u als gemeente aan de burger uitleggen wat er met zijn/haar gegevens gebeurt en waarom.

Zie ook: Factsheet Triage en privacy in het sociaal domein (VNG/KING, september 2015, pdf)


6. Is het toegestaan om informatie die al bij de gemeente aanwezig is, beschikbaar te stellen voor andere doeleinden dan waarvoor hij vastgelegd is?

Ook voor het beschikbaar stellen van informatie die een gemeente al heeft, is men gebonden aan de Wet bescherming persoonsgegevens (Wbp). In de kabinetsvisie over privacy staat hier over dat de hulpvraag van de burger leidend is. Op basis van de vraag en de informatie die de burger geeft, kan het klantbeeld worden bepaald. Het is niet de bedoeling dat er voorafgaand aan een hulpvraag al een integraal klantbeeld wordt opgesteld op basis van beschikbare informatie.

De noodzakelijke gegevensverwerking is sterk afhankelijk van de situatie. De professionele inschatting telt. Voor een simpele en enkelvoudige vraag is het niet noodzakelijk om gegevens op te vragen (uit gegevens die binnen de gemeente beschikbaar zijn of via externe partijen), maar wanneer er sprake is van een multiprobleemsituatie kan het wel noodzakelijk zijn om meer informatie te verzamelen.

Door triagemomenten in het proces in te richten kan de professional op verschillende momenten een afweging maken over de noodzakelijke gegevensverwerking (noodzaak, proportionaliteit en subsidiariteit). In de Factsheet Triage staat beschreven waarom triage belangrijk is en welke triagemomenten er onderscheiden worden in het sociaal domein.

Zie ook: Factsheet Triage en privacy in het sociaal domein (VNG/KING, september 2015, pdf)


7. Welke privacy-issues spelen er bij de verwerking van gegevens van burgers?

In de beleidsvisie Zorgvuldig en bewust; Gegevensverwerking en Privacy in een gedecentraliseerd sociaal domein staat dat de hulpvraag van de burger leidend is. Op basis van de vraag en de informatie die de burger geeft, kan de professional zich een klantbeeld vormen. Voorafgaand aan de hulpvraag mag en hoeft nog geen integraal klantbeeld opgesteld te worden op basis van de al beschikbare informatie. De noodzakelijke gegevensverwerking is sterk situationeel. De professionele inschatting telt.Voor een simpele en enkelvoudige vraag is het niet noodzakelijk om gegevens op te vragen, bijvoorbeeld uit gegevens die binnen de gemeente beschikbaar zijn of via externe partijen. Wanneer er sprake is van een multiprobleemsituatie kan het wel noodzakelijk zijn om meer informatie te verzamelen.

Triage

Door triagemomenten in het proces in te richten kan de professional op verschillende momenten een afweging maken over de noodzakelijke gegevensverwerking (noodzaak, proportionaliteit en subsidiariteit). In de Factsheet Triage staat het belang van triage en en welke triagemomenten er kunnen zijn in het sociaal domein.

Zie ook: Factsheet Triage en privacy in het sociaal domein (VNG/KING, september 2015, pdf)


Andere vragen

Andere vragen? Neem contact op met een van de regionale implementatieadviseurs van het programma i-Sociaal Domein.

In de controleaanpak gebruiken wij zo veel mogelijk reeds bekende gegevens.