Organisatie | Leudal |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Uitgangspunten en stappenplan integraal privacybeleid |
Citeertitel | Uitgangspunten en stappenplan integraal privacybeleid |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
06-02-2015 | Nieuwe regeling | 19-12-2014 Gemeenteblad 5 februari 2015 nr. 10281 | Onbekend |
Privacybeleid is praktischer dan vaak wordt gedacht en begint aan de top. De Wet Bescherming Persoonsgegevens (WBP) stelt het college van B&W tot taak om te waarborgen dat de personen over wie de gemeente gegevens bijhoudt (of laat bijhouden), op een passende manier beschermd worden tegen de risico’s van de informatiemaatschappij. In artikel 6 WBP wordt het college daarom opgedragen om ervoor te zorgen dat persoonsgegevens steeds in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt. Er is een directe relatie met de beginselen van behoorlijk bestuur. Het voorgaande beperkt zich niet alleen tot de eigen bedrijfsvoering maar speelt ook door in samenwerking met anderen.
Zoals hierna zal blijken, vraagt privacy om een heldere bestuurlijke visie op privacy en duidelijke beleidskaders. De ‘privacy management key controls’ in hoofdstuk 3 laten zien dat privacybeleidsvoering weinig lijkt op het beeld dat de meeste mensen hebben van privacy. In essentie leest de WBP als een managementhandboek voor duurzame vormgeving van de administratieve organisatie. De wet schept ruimte voor gemeentelijke taakuitoefening, efficiëntie en innovatie, maar geeft ook aan waar ethisch en juridisch de grenzen liggen zodat de gemeente gebalanceerd kan omgaan met de belangen van rechten van personen.
Binnen de gemeente is m.b.t. privacy op thematisch gebied al veel geregeld. De huidige decentralisatie vraagt, ook vanuit wetgeving, om een samenhangend integraal beleid, dat als kapstok dient voor de verdere uitwerking binnen de gemeentelijke processen en de samenhang met samenwerkende partijen.
De VISD Privacyscan van KING en VNG wordt momenteel binnen de gemeente uitgevoerd en zal input leveren voor het te volgen stappenplan.
Bij good privacy governance verklaart de WBP de gemeentelijke aanpak rechtmatig en respecteert de gemeente de privacy: het doel van de WBP is bereikt. Gegevensverwerking vindt plaats op een faire, veilige en betrouwbare manier waardoor zorg- en hulpbehoevenden op maat geholpen worden. De positieve gevolgen voor de persoonlijk levenssfeer (privacy impact) bestaat bijvoorbeeld uit de stopzetting van huiselijk geweld of het realiseren van optimale thuiszorg.
Een en ander wil niet zeggen dat zich geen enkele fout of discussie meer kan voordoen (perfecte oplossingen bestaan niet) maar de mechanismes om fouten zo goed mogelijk te voorkomen of daar anders snel en adequaat op in te spelen, zijn tot op bestuursniveau ge(waar)borgd. Het college kan met vertrouwen verantwoording afleggen. Privacy kost in principe geen extra inspanningen (werkt in het algemeen juist kostenbesparend) maar is een tweede natuur geworden bij signalering, casusoverleg, gegevensopslag, informatiedeling of bijvoorbeeld de besluitvorming over een persoonlijke voorziening door het college.
Bij gebrekkig privacybeleid ontbreken de waarborgen teveel. De gemeente schendt de privacy doordat faire, veilige en betrouwbare gegevensverwerking onvoldoende wordt gegarandeerd. Oplossingen zijn vaak ontoereikend en staan op losse schroeven omdat bijvoorbeeld de aandacht inzakt bij personeelswisselingen.
Bij gebrekkig privacybeleid is het college aansprakelijk bij incidenten en onnodig kwetsbaar voor discussie. Er kunnen met succes rechtszaken worden aangespannen. Daarnaast kan de landelijke toezichthouder, het College Bescherming Persoonsgegevens (CBP) ingrijpen en vanaf 2015 ook hoge bestuurlijke boetes opleggen (zie p. 7). De reputatieschade en herstelkosten kunnen bijzonder fors blijken en leiden tot ernstig maatschappelijk vertrouwensverlies. De zorg- en hulpverlening kan daardoor ernstig bemoeilijkt worden.
De risico’s van gebrekkig privacybeleid voor personen kunnen variëren van ongemak, substantiële benadeling of hinder tot ernstige sociale beschadiging of gevaren voor de gezondheid en de persoonlijke veiligheid. Omdat bij gegevensverwerking in het sociaal domein vaak wordt gewerkt met hoge impact-informatie zoals medische gegevens, gegevens over iemands financiële situatie of strafrechtelijke gegevens, moet worden uitgegaan van hoge privacyrisico’s. Het verdient de aanbeveling om goed gebruik te maken van de lessen uit het onderzoeksrapport van de Inspectie Veiligheid en Justitie naar gebrekkige sturing op gegevenskwaliteit in de vreemdelingenketen. De processen in die keten hebben dermate hoge privacy impact dat een verkeerd signaal concreet leidde tot zelfmoord (‘er stond een vinkje verkeerd’).
Deze notitie bevat een stappenplan voor de verdere optimalisering van het privacybeleid van de gemeente tot het wettelijk niveau. Hoofdstuk 2 begint met een korte toelichting op privacy voor scherper zicht op het thema. In hoofdstuk 3 komen de privacy management controls aan bod. In hoofdstuk 5 volgen de te nemen stappen.
Het college wordt geadviseerd de aanbeveling om de beleidsuitgangspunten op privacy in deze notitie over te nemen en te bevorderen dat het stappenplan ook daadwerkelijk wordt uitgevoerd. Op deze manier voorziet de gemeente niet alleen in het juiste privacybeleid voor het sociaal domein maar speelt het college ook goed in op de aanscherping van privacywetgeving – met name de invoering van de Algemene Verordening Gegevensbescherming van de Europese Unie na 2015.
Wanneer over privacy wordt gesproken, is het voor goede begripsvorming van belang om drie vormen van privacy te onderscheiden:
In het sociaal domein spelen deze vormen van privacy in veel gevallen alle drie een rol omdat woningen moeten worden betreden, lichamelijke, psychische of medische zorg vaak de kern van de zaak is, terwijl zorg- of hulpverlening afhankelijk zijn van gegevensverwerkingen zoals verslagen, dossiers, casusoverleg, besluitvorming door het college en voortgangsmonitoring en verrekeningen.
2.1 Privacybescherming: wel of geen toestemming
Het onderscheid tussen de drie vormen van privacy is belangrijk omdat ‘het recht op privacy’ per vorm een andere betekenis krijgt en ook juridisch en praktisch andere consequenties heeft. Dat geldt met name voor de bescherming van het recht op privacy.
Bij huiselijke en lichamelijke privacy ligt de privacybescherming besloten in de toestemming die gevraagd moet worden voordat mag worden overgegaan tot zorg- of hulpverlening (opt-in). De Wet Maatschappelijke Ondersteuning 2015 en de Jeugdwet geven expliciet aan in welke gevallen zorg- of hulpverlening met - of juist zonder toestemming kan plaatshebben.
Bij gegevensprivacy is het precies andersom. De privacybescherming ligt juist niet besloten in toestemming en hoeft alleen bij uitzondering worden gevraagd. Het is in strijd met de wet om toestemming te vragen in de situaties waarin dat wettelijk buiten de orde is. Dit betreft onder andere de verwerking van ‘bijzondere persoonsgegevens’, zoals medische gegevens, gegevens over iemands herkomst of geloofsovertuiging.
Wie instemt met zorg- of hulpverlening, kan of moet begrijpen dat hiervoor verwerking van gegevens noodzakelijk is. Het is aan de gemeente om, begrijpelijk uit te leggen welke privacybeschermende maatregelen zijn genomen om onrechtmatig gebruik van deze gegevens te voorkomen. . Hierbij hoort ook informatie over de manier waarop iemand zijn privacyrechten kan uitoefenen, zoals de rechten op inzage en correctie of het zojuist genoemde recht van bezwaar (recht van verzet als bedoeld in art. 40 WBP).
De wet erkent verschillende situaties waarin gegevensverwerking als vanzelfsprekend (‘noodzakelijk’) moet worden beschouwd:
2.3 Schending van de gegevensprivacy
Het voorgaande wil niet zeggen dat de gemeente de vrije teugel heeft om gegevens te verzamelen of deze breed toegankelijk te maken. Zonder praktische maatregelen op het gebied van gegevensdosering (proportionele informatievoorzieningen) en de juiste ‘waterscheidingen’ om te voorkomen dat gegevens te gemakkelijk voor andere doelen kunnen worden gebruikt (doelbinding), vervalt alsnog de legitimiteit van de gegevensverwerking. Er zijn ook andere manieren waardoor de legitimiteit van de gegevensverwerking vervalt. Zie hiervoor met name de punten A t/m G op pagina 9. De gemeente schendt de gegevensprivacy wanneer er iets schort aan alle punten op deze pagina, maar punten A t/m G zijn meest acuut.
Bij schending van de gegevensprivacy is het college wettelijk aansprakelijk. Iedere benadeelde heeft dan recht op schadevergoeding. De landelijke toezichthouder, het College Bescherming Persoonsgegevens (CBP) – die binnenkort de Autoriteit Gegevensbescherming gaat heten – kan op ieder moment onderzoek instellen en dwangmaatregelen opleggen (last onder dwangsom). Vanaf 2015 is het CBP daarnaast bevoegd tot het geven van bestuurlijke boetes. In eerste instantie gaat het om boetes tot 810.000 Euro. Het Europese Parlement dringt bij de totstandkoming van de nieuwe EU-brede privacywetgeving (Algemene Verordening Gegevensbescherming - AVG) aan op boetes tot 100 miljoen Euro. Naar verwachting wordt de AVG in 2015 goedgekeurd waarna een invoeringstermijn volgt van twee jaar. De huidige Wet Bescherming Persoonsgegevens (WBP) wordt dan ingetrokken.
De kans op bestuursaansprakelijkheid wordt extra groot door twee vernieuwingen:
de invoering van een documentatieplicht. Op het niet beschikken over beleidsdocumentatie wordt in de AVG eveneens een boete gesteld. Om vast te stellen of er sprake is van gebrekkig privacy management hoeft het CBP alleen maar die documentatie op te vragen. Het niet kunnen produceren van stukken is daarmee direct al een brevet van onvermogen. Het gelaagde stelsel op p. 9 is in belangrijke mate bedoeld om het college in staat te stellen om op ieder moment verantwoording te kunnen afleggen.
Voldoen aan wetgeving op de gegevensprivacy betekent dat de gemeente structureel de onderstaande privacywaarborgen biedt. De waarborgen zijn tegelijkertijd ook de handvatten (controls) om op privacy te sturen.
Alle in dit hoofdstuk genoemde aandachtpunten moeten op groen staan wil er sprake zijn van behoorlijke en zorgvuldige gegevensverwerking in overeenstemming met de wet.
3.1 Beleidsmatige privacywaarborgen
3.2 Operationele privacywaarborgen
3.3Afbakening rollen en verantwoordelijkheden
De wet wijst het college aan als de probleemeigenaar van privacybeleidsvoering, maar het college zal op haar beurt verantwoordelijkheden aan anderen moeten opdragen. Ook op lager niveau dienen rollen en verantwoordelijkheden duidelijk te zijn. Er zijn afspraken nodig over het afleggen van interne verantwoording. Uiteindelijk is iedereen op zijn eigen manier verantwoordelijk voor geslaagde privacybeleidsvoering. Het college blijft in alle gevallen eindverantwoordelijk.
3.4 Gelaagde aanpak en documentatie
Privacybeleid kent een gelaagdheid die het beste ook in de beleidsdocumentatie tot uitdrukking wordt gebracht en waarbij documenten op een logische manier met elkaar samenhangen.
Themabeleid: generieke aspecten van privacybeleidsvoering voor de gemeentelijke taken (privacybeleid voor het sociaal domein, burgerzaken, openbare orde en veiligheid, personeelszaken) worden ook op generiek niveau beschreven. Themabeleid wordt ook opgesteld aan de hand van thematische privacy impact assessments (PIA’s) zoals een ‘PIA Sociaal Domein’.
Procesplannen: Het themabeleid wordt nader uitgewerkt voor de afzonderlijke processen binnen de domeinen jeugdzorg, maatschappelijk ondersteuning en participatie. Procesplannen beschrijving de mix van maatregelen waarmee de privacybescherming rondom een bepaald proces op een passende / evenwichtige manier wordt gewaarborgd.
De WBP adviseert het college om zich te laten bijstaan door een privacyfunctionaris, wat na 2015 mogelijk ook verplicht wordt. ‘Functionaris’ is eigenlijk niet het goede woord. In de Engelstalige beleidsstukken van de EU wordt gesproken van een ‘data protection officer’. Hij is als het ware de privacy-accountant van de gemeente en is tevens de ombudsman voor burgers bij klachten over de serviceverlening van de gemeente bij de uitoefening van privacyrechten en de privacybeleidsvoering. Als toezichthouder heeft hij een belangrijke beleidscoördinerende rol. Hij adviseert over oplossingen en kan daarover een wettelijk zwaarwegend oordeel afgeven, waar ook het CBP niet omheen kan. Iemand is geschikt als privacyfunctionaris als over de volgende kwaliteiten beschikt:
Een privacyfunctionaris kan intern worden aangesteld, worden ingehuurd of worden betrokken via een organisatie waarbij de gemeente is aangesloten. Hij behoort te worden aangemeld bij het CBP, die zijn gegevens overneemt in het openbare register van privacyfunctionarissen. Het CBP beoordeelt niet de geschiktheid van de privacyfunctionaris.