Organisatie | Stichtse Vecht |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Uitgangspunteregeling Privacy Sociaal Domein Gemeenten Stichtse Vecht, Wijdemeren en Weesp |
Citeertitel | Uitgangspunteregeling Privacy Sociaal Domein Gemeenten Stichtse Vecht, Wijdemeren en Weesp |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Wet bescherming persoonsgegevens
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
01-01-2015 | 29-08-2018 | Nieuwe regeling | 02-12-2014 Vechtstroom, 30-12-2014 | Beleid |
Het college van burgemeester en wethouders van Stichtse Vecht;
gelet op het bepaalde in de Wet bescherming persoonsgegevens; ter uitvoering van het bepaalde in de Wet maatschappelijke ondersteuning (Wmo) de Jeugdwet en de Participatiewet,
vast te stellen de navolgende uitgangspuntenregeling ten behoeve van de uitvoering van de taken in het sociaal domein
De belangrijkste regels op het gebied van privacy zijn te vinden in de Wet bescherming persoonsgegevens (Wbp). De Wbp geeft regels voor de verwerking van persoonsgegevens.
Persoonsgegevens zijn alle gegevens die informatie kunnen verschaffen over een bepaalde persoon. Persoonsgegevens zijn in ieder geval: naam, geboortedatum, geslacht, adres, burgerlijke staat en BSN-nummer. Maar ook minder herleidbare gegevens kunnen persoonsgegevens zijn, zoals het huis waar de betrokkene in woont, het IP-adres dat de betrokkene gebruikt of de geloofsovertuiging van de betrokkene.
Onder verwerking vallen alle mogelijk denkbare handelingen met betrekking tot persoonsgegevens; “van verzameling tot vernietiging”. De wet geeft de volgende voorbeelden:
De Wbp is in beginsel alleen van toepassing op gegevens die geautomatiseerd worden verwerkt (artikel 2 Wbp). Zodra persoonsgegevens worden opgeslagen op een computer is sprake van een geautomatiseerde gegevensverwerking.
Handmatige verwerkingen kunnen onder de Wbp vallen, als de gegevensverzameling systematisch toegankelijk is. Denk hier bijvoorbeeld aan een verzameling dossiers (al dan niet in combinatie met een bestand op de computer).
Rol College bij verwerking van persoonsgegevens
Het College is de ‘verantwoordelijke’ in de zin van de Wbp. Het is het College dat het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Daarmee is het College verantwoordelijk voor de zorgvuldigheid van de gegevensverwerking die door of namens de gemeente plaatsvindt.
Verplichtingen verantwoordelijke bij verwerking van persoonsgegevens
Op grond van de Wbp gelden de volgende verplichtingen bij de verwerking van persoonsgegevens:
de betrokkene moet in staat worden gesteld om zijn rechten uit te oefenen.
Ad 1 - Normen waaraan de gegevensverwerking moet voldoen
In de Wbp is een aantal normen opgenomen waaraan de verwerking van de persoonsgegevens altijd moet voldoen:
Deze normen komen er kort samengevat op neer dat een verwerker van persoonsgegevens doelgericht en op zorgvuldige wijze te werk moet gaan. Er mogen niet meer gegevens worden verzameld dan nodig is . Ook mogen de gegevens niet worden gebruikt voor andere doelen dan waarvoor ze zijn verzameld.
Essentieel voor een rechtmatige verzameling van persoonsgegevens is dat er een zogenaamde “verwerkingsgrond” is. Zonder verwerkingsgrond kan een verwerking van persoonsgegevens niet rechtmatig plaatsvinden.
De wet noemt onder meer de volgende verwerkingsgronden (artikel 8 Wbp):
noodzaak voor de behartiging van het gerechtvaardigd belang van de verantwoordelijke, tenzij het recht op bescherming van de persoonlijke levenssfeer prevaleert.
Uit deze opsomming van verwerkingsgronden wordt duidelijk dat het doel van de gegevensverwerking nauw samenhangt met de verwerkingsgrond.
Het College is verantwoordelijk voor de uitvoering van de Wmo, de Jeugdwet en de Participatiewet en in dat kader worden persoonsgegevens verwerkt van burgers. Als uitgangspunt wordt daarbij gehanteerd dat een zorgvuldig ‘triage’-proces plaatsvindt, waarin stapsgewijze afwegingen plaatshebben ten aanzien van de gegevensverwerking. Hierbij is steeds de concrete hulpvraag leidend en niet de beschikbaarheid van gegevens.
Ook moet steeds kritisch worden bezien of er een verwerkingsgrond aanwezig is. Die verwerkingsgrond kan ook zijn gelegen in de bijzondere bepalingen in de Wmo – daarin zijn verwerkingsgrondslagen vastgelegd voor de uitwisseling van persoonsgegevens door verantwoordelijken in en tussen sectoren van het sociaal domein, overeenkomstig de wettelijke plicht en de publiekrechtelijke taak van de verantwoordelijke.
Voor wat betreft de uitvoering van de Participatiewet geeft de wet SUWI een wettelijke grondslag voor gegevensverstrekking, alsmede de WSW en de WWB.
Voor wat betreft de uitvoering van de Jeugdwet zal nog uitvoeringswetgeving verschijnen.
De persoonsgegevens mogen niet langer worden bewaard dan nodig is voor de realisatie van het doel waarvoor ze zijn verwerkt (artikel 10 WBP). De Wbp en het Vrijstellingsbesluit geven voor bepaalde onderwerpen expliciete termijnen, maar daarin zijn (nog) geen expliciete bepalingen opgenomen over de taken binnen het sociaal domein. Vooralsnog kan worden aangesloten bij de termijnen gebaseerd op de Archiefwet, waarbij wordt uitgegaan van een bewaartermijn van 20 jaar na beëindiging. Dit betreft een maximale termijn.
Extra beperkingen voor bijzondere gegevens
De Wbp merkt de volgende persoonsgegevens aan als “bijzondere gegevens” en geeft daarvoor aparte, strengere regels (artikel 16 en volgende Wbp);
In beginsel is de verwerking van deze “bijzondere gegevens” verboden. In het kader van de activiteiten binnen het sociaal domein, zijn van deze “bijzondere gegevens” met name de gegevens betreffende de gezondheid, oftewel medische gegevens en het BSN-nummer van belang.
In het kader van de taken in het sociaal domein mag het college (of een door het college ingeschakelde derde) een beperkt aantal noodzakelijke medische persoonsgegevens verwerken. Artikel 21 lid 1 onder a van de Wbp staat het verwerken van medische persoonsgegevens toe voor “aan hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is”. Met andere woorden: het moet gaan om gegevens die van noodzakelijk belang zijn bij de ondersteuning.
Daar waar er sprake is van een beroepsgeheim dient de dienstverlener een eigenstandige afweging te maken of (medische) gegevens kunnen worden verstrekt. De dienstverlener mag in een aantal situaties het medisch beroepsgeheim doorbreken en medische gegevens aan anderen verstrekken. De belangrijkste zijn: als betrokkene hiervoor toestemming heeft gegeven, als er een wettelijk voorschrift (bijv. wet publieke gezondheid) is of als sprake is van een conflict van plichten. Het betref dan bijvoorbeeld een noodsituatie, bijvoorbeeld kindermishandeling. De hulpverlener mag informatie delen met degenen die rechtstreeks betrokken zijn bij de behandeling en met zijn of haar waarnemer of vervanger. Maar dit mag alleen voor zover dit noodzakelijk is voor hun werkzaamheden.
Als het college gebruik maakt van de diensten van derden, mag deze derde, zoals hiervoor aangegeven, net als het college over niet meer dan de noodzakelijke gegevens die van belang zijn voor de ondersteuning beschikken.
De betrokkene moet uitdrukkelijk toestemming verlenen voordat medische gegevens verstrekt mogen worden aan een ander (artikel 23 lid 1 onder a Wbp).
Het college mag in beginsel zonder uitdrukkelijke toestemming van de betrokkene geen medische gegevens met betrekking tot de aard van de ziekte verstrekken aan anderen, tenzij
Voor wat betreft het verkrijgen en verwerken van medische gegevens gelden dus de sleutelbegrippen “van noodzakelijk belang” en “uitdrukkelijke toestemming van de betrokkene”.
Het college is als verantwoordelijke verplicht om passende, technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (artikel 13 Wbp). De maatregelen moeten een passend beveiligingsniveau garanderen. Hierbij dient rekening te worden gehouden met de stand van de techniek en de kosten ervan. Bovendien moet worden gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
Computerbestanden met persoonlijke gegevens dienen ten minste te worden beveiligd met een wachtwoord.
Als de verantwoordelijke de verwerking heeft uitbesteed aan een bewerker, moet de verantwoordelijke er bovendien voor zorgen dat ook de bewerker voldoende veiligheidsmaatregelen heeft getroffen. Dit wordt in een overeenkomst met de bewerker worden vastgelegd (artikel 14 Wbp).
Het college sluit in dat verband overeenkomsten af met die personen en instellingen die zij inschakelt voor de uitvoering van de taken binnen het sociaal domein.
Het college zal er strikt op moeten toezien dat de inhoudelijke gegevens met betrekking tot het re-integratietraject slechts toegankelijk zijn voor die medewerkers die betrokken zijn bij de uitvoering van de wettelijke taken.
Voordat het college als verantwoordelijke met de verwerking van persoonsgegevens begint, moet hij dit melden bij het CBP (artikel 27 Wbp). Hij doet dit via het Wbp-meldingsprogramma en het Wbp-meldingsformulier.
Het CBP heeft de plicht een openbaar register van deze meldingen bij te houden. Het register is kosteloos te raadplegen en toegankelijk via www.cbpweb.nl.
Op het Wbp-meldingsformulier moet onder meer worden vermeld (artikel 28 Wbp):
Het ten onrechte niet voldoen aan de meldplicht of een onjuiste en/of onvolledige melding kan tot een bestuurlijke boete leiden van maximaal € 4.500 per niet of onjuist en/of onvolledig gemelde gegevensverwerking (artikel 66 Wbp.
Er geldt echter een vrijstelling van de meldplicht, wanneer:
Let op! De vrijstelling heeft alleen betrekking op de meldplicht. De overige bepalingen van de Wbp zijn dus gewoon van toepassing.
De betrokkene moet er van op de hoogte worden gebracht dat zijn gegevens worden vastgelegd en voor welk doel dit gebeurt (artikel 33 Wbp). Dit geldt ook als de gegevens niet rechtstreeks van de betrokkene worden verkregen, maar van een derde.
Ook als er sprake is van een signaal over een derde ( “het gaat niet goed met mijn buurman”), is zodra dit signaal wordt geregistreerd en opgepakt, de Wet bescherming persoonsgegevens van toepassing.
Naast de verplichtingen van de verantwoordelijke heeft de betrokkene zelf een aantal rechten met betrekking tot zijn gegevensverwerking (artikel 35 en volgende WBP), te weten;
Recht van verzet: de betrokkene heeft onder bepaalde omstandigheden het recht zich te verzetten tegen een bepaalde gegevensverwerking (artikel 40 WBP). Hij kan de verantwoordelijke verzoeken de verwerking te staken. Indien het privacybelang van de betrokkene zwaarder weegt dan het belang van de verantwoordelijke dient de gegevensverwerking te worden stopgezet.
Relatie verantwoordelijke - bewerker
De gemeente kan besluiten andere personen of instellingen in te zetten of in te huren bij de uitvoering van de wettelijke taken. Die anderen zijn ‘bewerker’ in de zin van de Wbp.
Het college ziet er bij de keuze voor een bewerker op toe dat de bewerker:
En de verantwoordelijke moet daadwerkelijk toezien op de naleving van de beveiligingsverplichtingen.
De bewerker mag de persoonsgegevens alleen bewerken in opdracht van de verantwoordelijke en mag daarover geen zelfstandige beslissingen nemen;
De bewerker is zelfstandig aansprakelijk voor schade die het gevolg is de bewerkingshandelingen.
De bewerker en diegenen die onder zijn gezag werken zijn verplicht om persoonsgegevens waarvan zij kennis nemen, geheim te houden.
Het toezicht op de naleving van de Wbp is in handen van het College Bescherming Persoonsgegevens (CBP).
Als de Wbp wordt geschonden, kan dit de volgende consequenties hebben:
Om die reden moet het voor de medewerkers van verantwoordelijke en bewerker duidelijk zijn, welke regels gelden en hoe deze in de praktijk worden toegepast (dit zou eventueel omschreven kunnen worden in werkprocessen). De medewerkers dienen zich bewust te zijn van de gevolgen die onrechtmatige gegevensverwerkingen met zich mee kunnen brengen.
De Wbp geeft regels waaraan een verwerking van persoonsgegevens moet voldoen. Voor zover relevant met het oog op de activiteiten in het sociaal domein, zijn de volgende regels van belang:
Voor zover het gaat om medische gegevens gelden strengere regels: de verantwoordelijke mag alleen beschikken over medische gegevens en die gegevens verwerken, voor zover dat van noodzakelijk belang is voor het uitvoeren van de maatschappelijke dienstverlening. Hierover moet de betrokkene vooraf worden geïnformeerd.
De betrokkene moet er over worden geïnformeerd dat en met welk doel persoonsgegevens worden verzameld en welke gegevens dat zijn. Bij voorkeur dient de betrokkene uitdrukkelijk toestemming te verlenen voor de gegevensverwerking. Daarbij moet de betrokkene worden geïnformeerd over zijn recht op kennisneming, correctie, afscherming en verzet.
Deze regels treden, gelet op de inwerkingtreding van de wetgeving met betrekking tot het sociaal domein, in werking per 1 januari 2015
Aldus vastgesteld d.d. 2 december 2014