Privacybeleid Werk en Inkomen Lekstroom

Werk en Inkomen Lekstroom (verder WIL te noemen) verzamelt en bewerkt persoonsgegevens in verband met de dienstverlening aan burgers en bedrijven. Hierbij kan gedacht worden aan de registratie van bijstandsgerechtigden, gegevens van klanten die schuldhulpverlening toegekend hebben gekregen, het bijhouden van een adressenbestand van (potentiële) werkgevers door het Werkgeversservicepunt en het bijhouden van een contractenregister. Daarnaast verwerkt WIL ook persoonsgegevens van haar eigen medewerkers in de personeelsadministratie.

WIL heeft als uitgangspunt dat zij zorgvuldig omgaat met deze gegevens in verband met de privacy van betrokkenen. Privacy is de bescherming van het privéleven, het recht om met rust gelaten te worden. Privacy regels vragen van gemeenten (en andere overheidsorganen), instellingen en bedrijven om zich niet onnodig te mengen in het persoonlijk leven van burgers.

In de maatschappij is privacy een onderwerp dat veel in de belangstelling staat. Privacy en het delen en openbaar maken van privacygevoelige informatie is dan ook een relevant onderwerp voor Werk en Inkomen Lekstroom. Daarnaast speelt de trend van decentralisatie, waarbij de rijksoverheid steeds meer taken overdraagt aan de gemeentes. WIL werkt in die overdracht samen met de vijf Lekstroomgemeenten en met andere partners in het maatschappelijke veld en deelt daarin, waar dit nodig is voor de uitoefening van de taak, ook persoonsgegevens. WIL weet dus steeds meer over haar klanten en anderen en deelt dat functioneel met verschillende partijen. Hiermee wordt het bewaken van de privacy van deze inwoners nog prangerder dan het van nature al was.

In dit beleid wordt aandacht besteed aan de volgende onderwerpen:

• welke gegevens door WIL worden verzameld;

Door WIL worden persoonsgegevens verzameld en bewerkt. Voor de uitvoering van diverse wetten geeft de betreffende wet veelal aan welke persoonsgegevens nodig zijn en dus verwerkt mogen worden.

• waarom deze gegevens worden verzameld;

Gegevens worden verzameld omdat zij nodig zijn ten behoeve van de uitvoering van bepaalde wetten en regelingen. Ook bij handhaving (zowel bestuursrechtelijk als strafrechtelijk) kan het nodig zijn om informatie te vergaren en uit te wisselen.

• hoe WIL aan deze gegevens komt;

In het merendeel van de gevallen worden deze gegevens door de betrokkene verstrekt. Soms zijn de gegevens afkomstig van derden, bijvoorbeeld van andere uitkeringsinstanties.

• wat er precies mee gebeurt;

Wat er precies met de verzamelde gegevens gebeurt, is vooraf afhankelijk van het doel waarvoor ze vergaard worden. Meestal worden ze in een geautomatiseerd systeem opgenomen en zijn ze alleen toegankelijk voor de medewerkers die belast zijn met de uitvoering. Er zijn daarvoor procesbeschrijvingen nodig en er zijn organisatiebrede richtlijnen voor informatiebeveiliging. Voor bij hun werk belangrijke, veel voorkomende processen, kunnen afdelingen een specifieke procedure beschrijven, waarin voor dat proces wordt aangegeven hoe wordt omgegaan met privacygevoelige informatie.

•de termijn voor het bewaren van gegevens;

De bewaartermijnen van de gegevens lopen uiteen. In diverse wetten zijn minimale en maximale bewaartermijnen opgenomen. Daar waar er geen wettelijke regeling is die voorziet in een verplichte bewaartermijn, kan het dagelijks bestuur een besluit over de bewaartermijn nemen.

•op welke manier de gegevens worden beveiligd;

Voor de beveiliging van gegevens wordt gelijktijdig met de vaststelling van dit beleid het Informatiebeveiligingsbeleid vastgesteld, waarin de kaders en de maatregelen zijn opgenomen voor beveiliging van gegevens. Uitvoering daarvan wordt belegd in een Informatiebeveiligingsplan.

•hoe de inwoners hierover worden geïnformeerd.

Indien inwoners gegevens aan WIL verstrekken worden zij op de hoogte gesteld van de gegevens die WIL nodig heeft. De betrokkene hoeft niet geïnformeerd te worden als deze al weet dat WIL persoonsgegevens van hem verzamelt en verwerkt en weet voor welk doel dat gebeurt. Als de gegevens bij de betrokkene zelf worden verkregen, moet de betrokkene vóór de verkrijging geïnformeerd worden. Meestal zal de informatie op het aanvraagformulier zijn opgenomen, waardoor de betrokkene de informatie dan heeft voordat hij de gegevens verstrekt. Als de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt hij geïnformeerd op het moment dat de gegevens vastgelegd worden of (als de gegevens alleen verzameld worden om deze aan een derde te verstrekken) uiterlijk op het moment van eerste verstrekking aan die derde.

De Wet bescherming persoonsgegevens (Wbp) regelt het algemene kader voor de omgang met privacy in ons land. Persoonsgegeven, verwerken en betrokkene zijn kernbegrippen uit de Wbp.

Persoonsgegeven:

Ieder gegeven dat is te herleiden tot een individuele persoon, valt onder het begrip persoonsgegeven. Het gaat niet alleen om vertrouwelijke gegevens over bijvoorbeeld iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaalde persoon.

Verwerken:

Dit is in de Wbp het kernbegrip voor alle handelingen die met persoonsgegevens kunnen worden verricht, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander en vernietigen.

Betrokkene:

De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is de degene van wie gegevens worden verwerkt. De Wbp is te beschouwen als parapluwetgeving die van toepassing is op bijna alle sectoren, instellingen en bedrijven in Nederland. Voor het verwerken van persoonsgegevens voor privégebruik geldt de Wbp niet.

Wat is een bijzonder persoonsgegeven?

Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere of gevoelige persoonsgegevens vallen, bijvoorbeeld, gegevens die iets zeggen over iemands ras, godsdienst, gezondheid, strafrechtelijk verleden of seksuele leven. Ook het burgerservicenummer (BSN) is een bijzonder persoonsgegeven.

Het exporteren van persoonsgegevens: doorgifte

Het exporteren van persoonsgegevens, ook wel doorgifte genoemd, is een vorm van verwerking van persoonsgegevens. De gebruikelijke verwerkingsvoorwaarden zijn hierop onverkort van toepassing (voor deze voorwaarden zie: Wet bescherming persoonsgegevens). Daarnaast zijn er in veel gevallen bijzondere voorwaarden van toepassing op de doorgifte van persoonsgegevens. Hierbij wordt onderscheid gemaakt tussen doorgifte naar een EU-lidstaat en doorgifte naar een land buiten de Europese Unie. Op de export van persoonsgegevens naar een EU-lidstaat zijn geen extra regels van toepassing. Daarentegen is doorgifte naar een land buiten de Europese Unie aan strenge regels onderworpen.

Wat zijn de rechten van betrokkenen?

De Wbp richt zich niet alleen tot degenen die persoonsgegevens verwerken, maar kent ook rechten toe aan personen van wie de gegevens worden verwerkt.

Inzagerecht

Dit recht biedt iedereen de mogelijkheid om te controleren of, en op welke manier, zijn gegevens worden verwerkt.

Correctierecht

Wanneer iemand zijn inzagerecht heeft gebruikt en tot de conclusie komt dat zijn gegevens gecorrigeerd moeten worden, kan hij daartoe een verzoek indienen bij degene die verantwoordelijk is voor de gegevensverwerking.

Recht van verzet

Tegen bepaalde vormen van gegevensverwerking kan de betrokkene zich verzetten, als gevolg waarvan de verwerking van zijn persoonsgegevens mogelijk moet worden gestaakt.

Wie houdt toezicht?

De Autoriteit Persoonsgegevens (AP), voorheen het College Bescherming Persoonsgegevens (CBP), houdt toezicht op de verwerking van persoonsgegevens. Daarnaast adviseert de AP de regering met betrekking tot vraagstukken die te maken hebben met de verwerking van persoonsgegevens.

Binnen de organisatie van de gemeenschappelijke regeling wordt een Functionaris voor de Gegevensbescherming (FG) aangesteld om toezicht te houden op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp) binnen een organisatie (verwezen wordt naar hoofdstuk 6.15).

Er zijn meerdere wetten die zien op hoe we moeten omgaan met privacygevoelige gegevens. In de zorgsector, specifiek de gezondheidzorg en de jeugdzorg zijn naast de Wbp eigen wetten en regels over privacy van toepassing. Hierbij kan gedacht worden aan:

• de Wet op de Beroepen in de individuele gezondheidszorg (Wet Big),

• de Wet inzake de geneeskundige behandelingsovereenkomst (Wgbo),

• de Jeugdwet.

Andere privacywetten zijn:

• de Wet basisregistratie personen (Wet BRP),

• Wet politiegegevens,

• Wet justitiële en strafvorderlijke gegevens,

• Archiefwet (bewaartermijnen).

Uit onder meer de media en uit gegevens van de Autoriteit Persoonsgegevens blijkt dat het verwerken, en dan vooral het niet adequaat verwerken, van persoonsgegevens strijdig met de wet en een bron van ergernis is van burgers en zelfs kan leiden tot onacceptabele situaties, waarbij bijvoorbeeld iemands identiteit wordt ‘gestolen’ en misbruikt. Juiste toepassing van de wettelijke regels achten wij van belang. Dit beleid en het protocol vormen een nadere uitwerking van de wettelijke regelgeving en een praktische handleiding voor de ambtelijke organisatie. Het dagelijks bestuur streeft te allen tijden een zorgvuldige verwerking van persoonsgegevens na.

Het wettelijk kader, zoals beschreven in de vorige paragraaf, is bepalend bij het formuleren van de uitgangspunten van beleid. Dit beleid komt niet in de plaats van eventueel al eerder vastgestelde convenanten, privacyreglementen en privacy protocollen, maar moet gezien worden als een nadere formulering van het beleid van de gemeenschappelijke regeling. Toekomstige convenanten, reglementen en protocollen moeten voldoen aan dit privacy beleid.

Gegevens worden veelal verzameld omdat zij nodig zijn ten behoeve van de uitvoering van bepaalde wetten of regelingen en worden in de meeste gevallen door de betrokkenen zelf aangeleverd. De zorgvuldigheidseisen die o.a. door de Wet bescherming persoonsgegevens worden bepaald worden daarbij in acht genomen. Welke rechten burgers hebben als hun gegevens worden verwerkt wordt ook in acht genomen. Regelmatig worden er ook vragen gesteld over het al of niet mogen verstrekken van persoonlijke gegevens aan derden. Vaak zijn het lastige vragen waarbij het antwoord niet gemakkelijk te geven is.

Dit nieuwe privacy beleid, waaraan voor de ambtelijke organisatie een protocol wordt gekoppeld, geeft handvatten voor de beantwoording van allerlei vragen op het gebied van privacy. Er wordt onder andere aandacht besteed aan het juridisch kader, aan passieve en actieve openbaarmaking van privacygevoelige informatie, aan persoonsgegevens in het algemeen, aan uitwisseling van gegevens met collega’s en andere afdelingen binnen de organisatie en aan bijzondere persoonsgegevens (BSN, medische en strafrechtelijke).

In het protocol worden ook praktische kwesties behandeld.

Het privacy beleid is gestoeld op de volgende beleidsuitgangspunten:

• Binnen de geldende wet- en regelgeving de gegevens van klanten en bedrijven verwerken;

• Op een transparante manier duidelijk maken hoe WIL denkt over privacy en hoe WIL privacy te allen tijden probeert te borgen;

• Erop toezien dat daar waar sprake is van verwerking van persoonsgegevens werkwijzen worden vastgelegd en op professionele wijze uitgevoerd conform protocollen of procesbeschrijvingen;

• Afhandeling van klachten van burgers en bedrijven over privacy aspecten vindt plaats op een toegankelijke, laagdrempelige wijze;

• In geval van samenwerking met externe partners, specifiek binnen het sociale domein, waar sprake is van verwerking van persoonsgegevens worden afspraken gemaakt over:

• eisen waar gegevensuitwisselingssystemen aan moeten voldoen;

• scholing voor betrokkenen binnen de samenwerkingsrelatie over privacyregels.

Er zijn diverse beleidsonderwerpen waar verwerking van persoonsgegevens aan de orde zijn. Zonder uitputtend te willen zijn worden hier de voor WIL meest in het oog springende beleidsvelden genoemd:

• •

  Participatiebeleid

• •

  Schuldhulpverlening

• •

  Werkgeversservicepunt

  • •

    Verzoeken om informatie van burgers en bedrijven (al dan niet gebaseerd op de Wet openbaarheid van bestuur),

  • •

    Handhavingsbeleid,

  • •

    Aansprakelijkstellingen,

  • •

    Archiefbeleid,

  • •

    Personeelsbeleid.

Voor bij het werk belangrijke, veel voorkomende processen, worden specifieke procedures beschreven, waarin voor dat proces aangeven wordt hoe wordt omgegaan met privacygevoelige informatie. Die specifieke procedure dient te voldoen aan de uitgangspunten van dit organisatiebrede beleid (en natuurlijk het wettelijk kader zoals beschreven in hoofdstuk 3).

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens. Het gaat er om of er enige feitelijke macht of invloed, al dan niet via een computersysteem, over de gegevens uitgeoefend kan worden. Kan er een handeling met de gegevens verricht worden? De Wbp noemt een aantal handelingen, die als verwerking worden aangeduid:

• verzamelen, vastleggen en ordenen;

• bewaren, bijwerken en wijzigen;

• opvragen, raadplegen, gebruiken;

• verstrekken door middel van doorzending;

• verspreiding of enige andere vorm van terbeschikkingstelling;

• samenbrengen, met elkaar in verband brengen;

• afschermen, uitwissen of vernietigen van gegevens.

Dit zijn slechts voorbeelden; elke handeling met betrekking tot persoonsgegevens is een verwerking van persoonsgegevens. Ook voor deze verwerkingen geeft het Informatiebeveiligingsbeleid kaders en te nemen maatregelen.

Op grond van de Wbp mogen persoonsgegevens alleen verzameld worden als daarvoor een doel bestaat. Dit doel moet welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Ook moet steeds nagaan worden of het verwerken van persoonsgegevens noodzakelijk is voor het doel. Dit heet doelbinding. Voor de uitvoering van diverse wetten (denk aan de Participatiewet) zal in de betreffende wet dikwijls zijn aangegeven welke persoonsgegevens nodig zijn en dus verwerkt mogen worden. Daar waar over verwerking van persoonsgegevens in bijzondere wetgeving niets is geregeld, geldt het strikte regime van de Wbp.

Verwerking is alleen toegestaan indien het verwerkingsdoel niet op een andere (minder belastende) wijze kan worden bereikt. Dit heet subsidiariteit.

Wanneer is er sprake van verwerking van persoonsgegevens?

Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Uit deze opsomming blijkt dat algauw sprake is van het verwerken van persoonsgegevens. Je zou kunnen stellen dat alles wat men met een persoonsgegeven doet onder verwerken valt.

Voorwaarden voor verwerking: algemene regels

Hoofdregel is dat persoonsgegevens alleen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Dit noemen we rechtmatigheid. Daarnaast mogen persoonsgegevens slechts worden verzameld als daarvoor een precieze doelomschrijving wordt gegeven. Bovendien bepaalt de wet dat persoonsgegevens slechts mogen worden verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn. Dit noemen we proportionaliteit.

De betrokkene heeft ook recht op informatie als er persoonsgegevens van hem worden verwerkt. Degene die persoonsgegevens vraagt moet hem onder andere laten weten wie hij is en wat voor gegevens hij waarvoor verwerkt. Dit noemen we transparantie.

Een belangrijke verplichting die uit de wet voortvloeit is de melding die de verwerker moet doen bij Autoriteit Persoonsgegevens, of bij de voor de organisatie benoemde Functionaris voor de Gegevensbescherming. Deze melding is bedoeld om de transparantie te bevorderen: alle bij de AP gedane meldingen worden opgenomen in een openbaar register.

Sommige verwerkingen hoeven op grond van de wet niet aangemeld te worden, zoals het handelsregister van de Kamer van Koophandel. Daarnaast is in het Vrijstellingsbesluit Wbp een groot aantal verwerkingen opgenomen dat is vrijgesteld van melding. Voor dergelijke vrijgestelde verwerkingen blijven de overige vereisten van de Wbp gewoon van kracht.

Behalve bovengenoemde algemene regels geldt dat er voor elke verwerking van persoonsgegevens een rechtvaardigingsgrond aanwezig moet zijn. Dit wordt hieronder toegelicht.

Voorwaarden voor verwerking: rechtvaardigingsgronden

Naast bovengenoemde algemene regels stelt de wet als eis dat voor elke verwerking van ersoonsgegevens ten minste één van de in de wet genoemde rechtvaardigingsgronden van toepassing moet zijn. De wet kent de volgende gronden:

Toestemming

De betrokkene (dit is degene wiens gegevens worden verwerkt) heeft voor de verwerking zijn ondubbelzinnige toestemming gegeven.

Uitvoering overeenkomst

De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.

Wettelijke verplichting

De gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen.

Vitaal belang

De gegevensverwerking is noodzakelijk om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden.

Publiekrechtelijke taak

De gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak.

Gerechtvaardigd belang

De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van degene die de gegevens verwerkt (of van een derde aan wie de gegevens worden verstrekt). Dit betekent dat degene die de gegevens verwerkt zijn eigen belang moet afwegen tegen het belang en de rechten van de betrokken persoon. Ook moet de verwerker vooraf nagaan of hetzelfde resultaat niet kan worden bereikt met minder gegevens.

6.1 Algemeen

Privacy is belangrijk. Dat vindt WIL ook. WIL verzamelt en verwerkt veel persoonsgegevens van klanten en anderen. Dat schept dus verplichtingen. WIL heeft daarom een Privacybeleid opgesteld. Dit beleid past WIL intern toe en ook in samenwerkingsverbanden met andere organisaties. Daarmee weet iedereen waar deze zich aan te houden heeft bij het beschermen van de privacy van burgers. Ook voor de burger is het goed om te weten hoe WIL met diens privacy omgaat. Dit beleid is dan ook bedoeld als handvat voor de burger om WIL te kunnen volgen en aanspreken op het zorgvuldig omgaan met diens persoonsgegevens.

6.2 Welke persoonsgegevens verwerkt WIL?

WIL verwerkt alleen gegevens van en over klanten en anderen die strikt noodzakelijk zijn voor het uitvoeren van de WIL- taken.

WIL verzamelt in het kader van de uitvoering van wet- en regelgeving gegevens die informatie kunnen verschaffen over een identificeerbare persoon. Dat kunnen gegevens zijn die naar hun aard feitelijke informatie over een persoon geven, zoals iemands naam, geboortedatum of geslacht. Ook gegevens over voorwerpen of objecten kunnen persoonsgegevens zijn. Of een dergelijk gegeven een persoonsgegeven is hangt af van de context waarin het gegeven wordt verwerkt. De waarde van een auto is bijvoorbeeld wel een persoonsgegeven wanneer dat gegeven wordt verwerkt om de hoogte van het vermogen van een klant te kunnen berekenen.

De persoon waar de gegevens betrekking op hebben moet vervolgens wel identificeerbaar zijn. Is de betrokkene niet identificeerbaar, dan is het gegeven geen persoonsgegeven. Een persoon is identificeerbaar als de identiteit van de persoon redelijkerwijs, zonder onevenredige inspanning vastgesteld kan worden. Als door versleuteling van de gegevens en/of afspraken over de toegang tot die gegevens daadwerkelijke identificatie redelijkerwijs is uitgesloten, is de persoon niet identificeerbaar. Steeds is de feitelijke situatie bepalend.

Soms zijn de gegevens afkomstig van derden, bijvoorbeeld van andere uitkeringsinstanties. De persoonsgegevens betreffen naam, adres, woonplaats en dergelijke, maar soms ook inkomensgegevens, medische gegevens of gegevens over de gezinssamenstelling. De gegevensverwerking moet in overeenstemming zijn met de Wbp. Sommige wetten hebben voorrang op de Wbp en bevatten een aantal specifieke bepalingen over gegevensverwerking. In afdeling 7.5 van boek 7 van het Burgerlijk Wetboek (de overeenkomst betreffende geneeskundige behandeling) is bijvoorbeeld een speciale regeling opgenomen over (onder meer) inzage in medische dossiers.

6.3 Hoe weet iemand dat WIL persoonsgegevens verwerkt?

WIL informeert klanten e.a. over het opslaan van persoonsgegevens

Indien inwoners gegevens aan WIL verstrekken worden zij door middel van de invulformulieren of andere wijze (bijv. mondeling), dan wel de toelichting daarop op de hoogte gesteld van de gegevens die WIL nodig heeft.

De betrokkene hoeft niet geïnformeerd te worden als deze al weet dat WIL persoonsgegevens van hem verzamelt en verwerkt en weet voor welk doel dat gebeurt. Als de gegevens bij de betrokkene zelf worden verkregen, moet de betrokkene vóór de verkrijging geïnformeerd worden. Meestal zal de informatie op het aanvraagformulier zijn opgenomen, waardoor de betrokkene de informatie dan heeft voordat hij de gegevens verstrekt.

Als de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt hij geïnformeerd op het moment dat de gegevens vastgelegd worden of (als de gegevens alleen verzameld worden om deze aan een derde te verstrekken) uiterlijk op het moment van eerste verstrekking aan die derde. (In geval van handhavingstrajecten gelden andere regels).

6.4 Hoe lang bewaart WIL gegevens?

WIL bewaart gegevens volgens de wettelijk geldende termijnen of anders altijd zo kort mogelijk en vernietigt deze daarna.

De bewaartermijnen van de gegevens lopen uiteen. In diverse wetten zijn minimale en maximale bewaartermijnen opgenomen. Ook de Archiefwet verplicht overheidsorganen, zoals WIL, om gegevens te bewaren en zorg te dragen voor vernietiging van de daarvoor in aanmerking komende documenten als de bewaartermijn verstreken is. Daar waar er geen wettelijke regeling is die voorziet in een verplichte bewaartermijn, kan het dagelijks bestuur een besluit over de bewaartermijn nemen. Deze zal zo kort mogelijk zijn.

6.5 Hoe gaat WIL om met privacygevoelige informatie binnen deorganisatie?

WIL gaat terughoudend om met informatie van en over klanten. Medewerkers worden daarover geïnstrueerd.

WIL zal terughoudend omgaan met het verstrekken van persoonsgegevens aan andere organisatieonderdelen, Samenwerkende Instanties of derden. Daarvoor worden in het hierna volgende een aantal aspecten/normen gegeven die als uitgangspunt dienen bij de verwerking van persoonsgegevens:

• Medewerkers gaan zorgvuldig om met privacygevoelige informatie. Dat geldt zowel voor informatie op het bureau, in kasten, dossiers, het mee naar huis nemen, enz.

• Medewerkers treffen waarborgen dat persoonlijke informatie niet ter beschikking komt van derden.

• Waar mogelijk wordt gewerkt met geanonimiseerde gegevens; alleen namen noemen indien dat absoluut noodzakelijk is.

Deze uitgangspunten van het privacybeleid sluiten aan bij het Informatiebeveiligingsbeleid.

6.6 Hoe gaat WIL om met privacygevoelige informatie bij handhaving?

WIL gaat bij handhaving terughoudend om met informatie van en over klanten.

Het uitgangspunt is dat terughoudend wordt omgegaan met het verzamelen, delen c.q. verstrekken van informatie. Dat geldt ook voor het geval er bestuursrechtelijke of strafrechtelijke handhaving plaatsvindt, waarbij het nodig is om informatie uit te wisselen en of te verstrekken. De informatie die dan verstrekt wordt moet uiteraard noodzakelijk en proportioneel zijn, maar het is wel duidelijk dat in dergelijke gevallen door de overheid informatie wordt gebruikt om de bewijsposities te krijgen enz.

Om een voorbeeld te noemen: in het kader van de Participatiewet (artikel 64) is het bijvoorbeeld voor organisaties verplicht om bepaalde informatie te verstrekken. En daarnaast geldt: juist bij ingrijpende maatregelen als handhavingstrajecten is het voor de zorgvuldigheid van belang dat het handhavende bestuursorgaan over alle relevante feiten beschikt.

6.7 Wanneer verstrekt WIL persoonsgegevens aan een andere afdeling of samenwerkende instantie?

WIL deelt persoonsgegevens intern en extern alleen voor zover dat strikt noodzakelijk is voor de taakuitvoering

Op grond van artikel 9, lid 1 Wbp mogen persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

Vaak zullen gegevens aan een dienst worden verstrekt voor de uitvoering van een bepaalde wet (denk aan de Participatiewet of de Wet gemeentelijke schuldhulpverlening). Ze mogen dan alleen voor dat doel gebruikt worden. Bij de uitvoering van deze wetten en gemeentelijk beleid hieromtrent zijn de medewerkers (en eventuele vrijwilligers) gehouden aan de wet- en regelgeving (verwezen wordt naar hoofdstuk 4).

Als een andere afdeling of Samenwerkende Instantie vraagt om die gegevens ten behoeve van bijvoorbeeld de uitvoering van een andere wet, slaat die vraag op verwerking van de gegevens voor wellicht een ander - misschien onverenigbaar - doel. WIL kan bijvoorbeeld om informatie over mogelijkheden voor minima gericht te kunnen versturen, aan de Lekstroomgemeenten vragen om persoonsgegevens uit de registratie voor de Wmo. Hier doet zich dan de vraag voor of de Wmo-gerechtigden hun gegevens ook voor het doel ‘informeren minima’ verstrekt hebben. Als betrokkene ondubbelzinnig toestemming heeft verleend voor de verwerking door de andere dienst (en dat zou gevraagd kunnen worden) dan zouden de gegevens met de andere dienst gedeeld kunnen worden.

Als meerdere afdelingen of Samenwerkende Instanties betrokken zijn bij een bepaalde kwestie kan het zijn dat verstrekte persoonsgegevens door die organisaties gedeeld worden. Dat kan ook, omdat in een dergelijk geval sprake is van verenigbare doeleinden.

6.8 Hoe gaat WIL om met privacygevoelige informatie in verslagenvan (ambtelijke) overleggen?

WIL zorgt ervoor dat persoonsgegevens niet voorkomen in verslagen

In verslagen van ambtelijke overleggen mogen geen privacygevoelige gegevens opgenomen worden die herleidbaar kunnen zijn tot een persoon. Evenmin is dit toegestaan in verslagen van overleggen waarbij (vertegenwoordigers van) andere instanties betrokken zijn.

6.9 Hoe gaat WIL om met medische informatie?

WIL deelt medische informatie van klanten alleen met toestemming van de klant

Voor het delen van medische informatie binnen de organisatie geldt dat dat slechts kan met toestemming van de betrokkene. Is er geen toestemming van de betrokkene of is die toestemming redelijkerwijs niet te verkrijgen, dan kan de medische informatie NIET gedeeld worden met medewerkers van afdelingen die andere wetten uitvoeren (vergelijk Participatiewet tegenover SHV) of Samenwerkende Instanties.

Een uitzondering bestaat in slechts heel bijzondere gevallen. Zonder toestemming kan medische informatie gedeeld worden in het uitzonderlijke geval van een EVIDENT belang. Van een evident belang is bijvoorbeeld sprake als er ernstig gevaar voor de gezondheid van betrokkene of een ander is of de vrees daarvoor. De hulpverlener moet die afweging maken tussen de verschillende belangen: het belang van de cliënt dat het geheim bewaard blijft tegen het evidente belang. Van een evident belang zal in het geval van gegevensuitwisseling met een niet-hulpverlenende instantie niet snel sprake zijn.

Als het bij hoge uitzondering vanwege een evident belang onvermijdelijk is om medische informatie te delen, dan moet dat bij voorkeur MONDELING in een zo BEPERKT MOGELIJKE KRING. De informatie mag alleen gedeeld worden met die persoon werkzaam voor WIL, voor wie het kennisnemen met het oog op het in het geding zijnde evidente belang vereist is.

6.10 Hoe gaat WIL om met passieve openbaarmaking inzake de Wbp?

WIL verstrekt op wettelijk verzoek van klanten en anderen de voor die klant of andere geregistreerde gegevens

Iedereen mag vragen of, en zo ja welke persoonsgegevens WIL van hem verwerkt. Informatie die verstrekt wordt in het kader van de Wbp is alleen openbaar voor degene aan wie de informatie verstrekt is.

Bij Wbp-verzoeken is van belang dat wordt nagegaan dat degene die om informatie vraagt ook degene is over wie de informatie wordt gevraagd. Is de betrokkene onder curatele gesteld, dan moet het verzoek om inzage door de wettelijke vertegenwoordiger worden gedaan. Verwezen wordt naar paragraaf 3.

6.11 Hoe gaat WIL om met actieve openbaarmaking?

Als WIL zelf wettelijk gegevens openbaar moet maken, danwordt aan betrokken burgers eerst om toestemming voor publicatie gevraagd en wordt gegevensverstrekking tot een minimum beperkt.

De Wob kent als hoofdregel dat overheidsinformatie openbaar is. In artikel 8, lid 1 Wob is het beginsel van actieve openbaarmaking neergelegd. Dat wil zeggen: het uit eigen beweging verstrekken van informatie door een bestuursorgaan, zoals het dagelijks bestuur van WIL. De plicht tot het verstrekken van informatie ontstaat voor onze organisatie zodra dit in het belang is van een goed en democratisch bestuur. Soms geeft ook een bijzondere wet aan, dat informatie openbaar gemaakt moet worden.

Op WIL rust de plicht om ook bij actieve openbaarmaking een inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer te vermijden, dan wel zo beperkt mogelijk te houden. De Wob geeft immers als weigeringsgrond voor openbaarmaking de bescherming van de persoonlijke levenssfeer. Het is geen absolute weigeringsgrond, maar er moet een belangenafweging plaatsvinden (belang openbaarheid versus belang bescherming persoonlijke levenssfeer).

Indien we privacygevoelige gegevens actief openbaar moeten/willen maken, geldt dat we toestemming van de betrokkenen nodig hebben, of dat er een aantoonbare noodzaak moet zijn voor de openbaarmaking, zoals nakoming van een wettelijke verplichting. Dit laatste zal voor WIL niet snel van toepassing zijn. Wel voor een gemeente. Denk bijvoorbeeld aan de plicht die voortvloeit uit de Omgevingswet, om een register bij te houden van verleende bouwvergunningen.

6.12 Hoe gaat WIL om met passieve openbaarmaking inzake de Wob?

Als WIL gegevens openbaart als gevolg van een wettelijk verzoek, stelt WIL alles in het werk om persoonsgegevens te anonimiseren

Iedereen kan een gespecificeerd verzoek tot het openbaar maken van bepaalde informatie indienen. Dat wil niet zeggen dat een dergelijk verzoek ook moet worden ingewilligd. Als het om privacygevoelige informatie gaat, mag deze geweigerd worden. De Wob kent daar een weigeringsgrond voor. Een ieder heeft immers recht op eerbiediging van zijn persoonlijke levenssfeer. Soms kan het nodig zijn bepaalde informatie wel te verstrekken. Mochten daar persoonsgegevens bij zitten, dan stelt WIL alles in het werk om die persoonsgegevens te anonimiseren.

Realiseer je dat informatie die verstrekt kan worden in het kader van de Wob, voor altijd en voor iedereen openbaar is (dus niet alleen voor de verzoeker).

6.13 Hoe gaat WIL om met gedragsregels voor het verwerken van privacygevoelige informatie?

WIL draagt via een intern protocol zorg voor het goed uitvoeren van bovenstaand beleid door medewerkers en Samenwerkende Instanties

In het hiervoor gestelde is uitleg gegeven over wat privacywetgeving inhoudt en betekent voor WIL. Daarbij is het van belang om te constateren dat privacy lastig is, er moeten diverse afwegingen worden gemaakt. Daarnaast zijn we van mening dat het van belang is om hiervoor (nieuwe) normen te stellen, en die ook heel duidelijk met de ambtelijke organisatie af te stemmen. Daarvoor zal een protocol opgesteld worden dat als bindende norm voor de organisatie zal gelden.

6.14 Wie houdt toezicht op het naleven van de regels?

WIL voert toezicht uit op het privacybeleid en de uitvoering ervan

Het is van belang om ten aanzien van privacy ook te zorgen dat de normen in het beleid en protocol geëvalueerd worden. Daarom wordt het privacybeleid en de uitvoering ervan jaarlijks geëvalueerd. Dat kan dan leiden tot aanpassing van werkwijzen en/of het protocol. WIL zal een Functionaris voor de Gegevensbescherming (FG) gaan benoemen. Deze functionaris heeft tot taak om organisatorische zaken die betrekking hebben op privacy te coördineren. Het is uitdrukkelijk niet de bedoeling dat deze functionaris de taken op het gebied van bescherming van de privacy van de afdelingen overneemt. De afdelingen hebben hun eigen verantwoordelijkheid in het borgen van het omgaan met privacygevoelige gegevens.

7. Bronnen

Dit privacy beleid is tot gekomen met raadpleging/citering van de volgende bronnen:

CIP Privacy Baseline, 30 november 2015, versie 1.0 definitief

Privacybeleid Gemeente Nieuwegein, versie 1.0 van 8 december 2014

Gemeente Nieuwegein heeft de volgende bronnen gebruikt:

• Privacy Impact Assessment gemeentelijke 3D informatiehuishouding, Ministerie van Binnenlandse Zaken en Koninkrijksrelatie

• De Kleine Gids omgaan met privacy en beroepsgeheim in de jeugdzorg 2011, Kluwer Editie 2011

• Justitia.nl: Privacy en bescherming persoonsgegevens