Besluit van het dagelijks bestuur van de Uitvoeringsorganisatie Laborijn houdende regels omtrent omgang met aan haar toevertrouwde persoonsgegevens Privacybeleid

1.1. Aanleiding

Binnen Laborijn wordt veel gewerkt met persoonsgegevens van burgers en medewerkers. Persoonsgegevens van burgers worden voornamelijk verzameld voor het uitvoeren van de wettelijke taken die door de gemeenten aan Laborijn zijn overgedragen.

De burger moet erop kunnen vertrouwen dat Laborijn zorgvuldig en veilig met zijn of haar persoonsgegevens omgaat.

Nieuwe ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. Laborijn is hier van bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.

Het bestuur en management spelen een cruciale rol bij het waarborgen van privacy. Laborijn geeft in dit document een duidelijke richting aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Deze beleidsnotitie is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de Laborijn. Het privacybeleid van Laborijn is in lijn met de relevante lokale, regionale, nationale en Europese wet- en regelgeving.

1.2. Leeswijzer

Hoofdstuk 2 vormt de kern van deze notitie. In dit hoofdstuk beschrijven we de algemene uitgangspunten van het privacybeleid van Laborijn. In de vervolghoofdstukken diepen we de algemene uitgangspunten verder uit en laten we zien hoe Laborijn met privacy, en met name de relevante wetten, omgaat.

Laborijn gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. Laborijn houdt zich hierbij aan de volgende uitgangspunten:

Rechtmatigheid, behoorlijkheid, transparantie

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Grondslag en doelbinding

Laborijn zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

Dataminimalisatie

Laborijn verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. Laborijn streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

Bewaartermijn

Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de aan Laborijn overgedragen taken goed uit te kunnen voeren of om wettelijke verplichtingen te kunnen naleven.

Integriteit en vertrouwelijkheid

Laborijn gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt Laborijn voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid.

Delen met derden

In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt Laborijn afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. Laborijn controleert deze afspraken.

Subsidiariteit

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt.

Proportionaliteit

De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.

Rechten van betrokkenen

Laborijn honoreert alle rechten van betrokkenen.

Op dit moment heeft elke lidstaat van de Europese Unie een eigen privacywet, gebaseerd op de Europese richtlijn van 1995. De Wet bescherming persoonsgegevens (Wbp) regelt het juridische kader voor de omgang met persoonsgegevens in Nederland.

Soms is de omgang met persoonsgegevens geregeld in de specifieke wet. Zo kent o.a. de Participatiewet specifieke bepalingen met betrekking tot de uitwisseling van persoonsgegevens, zie hoofdstuk 10. Deze specifieke bepalingen gaan vóór de algemene regels van de Wbp. Geeft de eigen regeling geen specifieke bepalingen, dan geldt de Wbp.

Op 25 mei 2018 vervalt de Wbp en treedt de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG), in werking, samen met de uitvoeringswet. De AVG bouwt voort op de Wbp en zorgt onder andere voor versterking en uitbreiding van de privacyrechten met meer verantwoordelijkheden voor organisaties.

De volgende begrippen worden in de AVG gebruikt (Artikel 4, AVG):

Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

Verwerker: De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie.

Persoonsgegevens: Alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld; naam, adres, geboortedatum). Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over gevoelige onderwerpen, zoals etnische achtergrond, politieke voorkeuren of het Burgerservicenummer (BSN).

Gegevensbeschermingseffectbeoordeling: Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit heet ook wel een Privacy Impact Assessment (PIA).

Verwerkingsverantwoordelijke: Een persoon of instantie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerking: Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander, en vernietigen.

Dit beleid is van toepassing op alle verwerkingen van persoonsgegevens door alle bestuursorganen van Laborijn. Oftewel: voor alle verwerkingen die door of namens Laborijn plaatsvinden.

De bestuursorganen van Laborijn zijn allemaal verantwoordelijken voor de verwerkingen die door of namens Laborijn worden uitgevoerd. De bestuursorganen van Laborijn zijn: de voorzitter; het dagelijks bestuur en het algemeen bestuur.

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. In de AVG valt onder een verwerking:

• •

  verzamelen, vastleggen en ordenen

• •

  bewaren, bijwerken en wijzigen

• •

  opvragen, raadplegen, gebruiken

• •

  verstrekken door middel van doorzending

• •

  verspreiding of enige andere vorm van ter beschikkingstellen

• •

  samenbrengen, met elkaar in verband brengen

• •

  afschermen, uitwissen of vernietigen van gegevens

Uit deze opsomming blijkt dat alles wat je met een persoonsgegeven doet een verwerking is.

Doeleinden (Artikel 5, AVG)

Volgens de wet mogen persoonsgegevens alleen verzameld worden als daarvoor een doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere doelen verwerkt worden. Voor de uitvoering van sommige wetten, zoals bijvoorbeeld de Participatiewet, zijn de doelen voor het verwerken in de wet al vastgelegd, net als de persoonsgegevens die uitgevraagd en verwerkt mogen worden.

Rechtmatige grondslag (Artikel 6, AVG)

De wet zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag uit de wet van toepassing moet zijn. Dat betekent dat de verwerking alleen mag plaatsvinden:

• •

  om een verplichting na te komen die in de wet staat

• •

  voor de uitvoering van een overeenkomst waarbij de betrokkene onderdeel was

• •

  om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden

• •

  voor de goede vervulling van de taak van Laborijn

• •

  wanneer de betrokkene vooraf toestemming heeft gegeven voor de specifieke verwerking

Wijze van verwerking

De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt.

In de wet wordt ook gesproken over proportionaliteit. Dit betekent dat persoonsgegevens alleen mogen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen, of minder (belastende) persoonsgegevens hetzelfde doel bereikt kan worden, moet daar altijd voor gekozen worden. Laborijn zorgt ervoor dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden. Deze gegevens worden alleen verwerkt door personen met een geheimhoudingsplicht. Daarnaast beveiligt Laborijn alle persoonsgegevens.

Dit voorkomt dat persoonsgegevens kunnen worden ingezien of gewijzigd door iemand die daar geen recht toe heeft. Hoe Laborijn dit doet staat in het informatiebeveiligingsbeleid van Laborijn.

Doorgifte (artikel 44 tot en met 50, AVG)

De AVG zorgt er voor dat het niveau van de gegevensbescherming binnen de Europese Unie gelijk is. Om die reden is doorgifte van gegevens binnen de Europese Unie toegestaan. Aan landen buiten de Europese Unie is doorgifte van persoonsgegevens slechts toegestaan als in het desbetreffende land een passend beschermingsniveau wordt geboden. Het kan echter gebeuren dat Laborijn een beroep doet op de uitzonderingsgronden, omdat Laborijn een zwaarwegend gerechtvaardigd belang heeft. Bijvoorbeeld: in het kader van een terugvorderingsbesluit op grond van de Participatiewet. In die situatie kunnen persoonsgegevens worden doorgegeven aan een incassobureau in een derde land voorafgaand of volgend op een gerechtelijke procedure.

Wet openbaarheid van bestuur (Wob)

Via de Wob kun je een verzoek om informatie indienen bij Laborijn. Bij het verzoek bekijkt Laborijn altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

Wet hergebruik van overheidsinformatie

De Wet hergebruik van overheidsinformatie regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het verzoek bekijkt Laborijn altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

Informatieplicht (Artikel 13,14, AVG)

Laborijn informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan Laborijn geven, worden zij op de hoogte gesteld van de manier waarop de Laborijn met persoonsgegevens om zal gaan. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat Laborijn persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor welk doel dat gebeurt.

Verwijdering

Laborijn bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van de aan Laborijn overgedragen taken, of zoals vastgelegd in de wet, bijvoorbeeld de Archiefwet. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer noodzakelijk zijn voor het bereiken van het doel, worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

Rechten van betrokkenen (Artikel 13 t/m 20, AVG)

De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:

• •

  Recht op informatie: Betrokkenen hebben het recht om aan Laborijn te vragen of zijn/haar persoonsgegevens worden verwerkt.

• •

  Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, zijn/haar gegevens worden verwerkt.

• •

  Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij Laborijn om dit te corrigeren.

• •

  Recht van verzet: Betrokkenen hebben het recht aan Laborijn te vragen om hun persoonsgegevens niet meer te gebruiken.

• •

  Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen.

• •

  Recht op bezwaar: Betrokkenen hebben het recht om bezwaar aan te maken tegen de verwerking van zijn/haar persoonsgegevens. Laborijn zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

Indienen van verzoek

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als digitaal ingediend worden. Laborijn heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal Laborijn laten weten wat er met het verzoek gaat gebeuren.

Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij Laborijn, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan Laborijn aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

8. Geautomatiseerde verwerkingen

Steeds meer verwerkingen vinden geautomatiseerd plaats. Door de vergaande automatisering en digitalisering groeit de omvang van databestanden (big data). Door toepassing van nieuwe technieken is het mogelijk om de bestanden aan elkaar te koppelen en te analyseren. Het analyseren van data kan vele vormen aannemen. Hieronder gaan we in op het gebruik van databestanden binnen Laborijn in relatie tot de bescherming van de persoonlijke levenssfeer.

Profilering (Artikel 22, AVG)

Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen voorspellen. Voorbeelden van persoonlijke aspecten kunnen zijn; financiële situatie, interesses, gedrag, gezondheid, opleiding, of woon- en leefsituatie.

Big data en tracking

Door middel van Big data onderzoek en tracking mogen alleen gegevens verwerkt worden wanneer deze niet herleidbaar zijn tot een natuurlijk persoon. Daarnaast worden ze alleen verzameld voor onderzoek dat door, of namens Laborijn wordt uitgevoerd. De verzamelde gegevens door Big data onderzoek en tracking zijn alleen de gegevens die door geautoriseerde personen zijn verzameld. Wanneer de gegevens worden omgezet in een dataset zal dataminimalisatie worden toegepast.

Dit betekent dat alleen de data die echt nodig is voor het behalen van het doel gebruikt zullen worden. Daarnaast kunnen persoonsgegevens gepseudonimiseerd worden zodat zij niet herleidbaar zijn tot een persoon.

Register van verwerkingen (Artikel 30, AVG)

Laborijn is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan Laborijn de verwerkingsverantwoordelijke is. Elke verwerking bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt, namelijk:

• •

  De naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de gezamenlijke verwerkingsverantwoordelijke;

• •

  De doelen van de verwerking;

• •

  Een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;

• •

  Een beschrijving van de ontvangers van de persoonsgegevens;

• •

  Een beschrijving van het delen van persoonsgegevens aan een derde land of internationale organisatie;

• •

  De termijnen waarin de verschillende persoonsgegevens moeten worden gewist;

• •

  Een algemene beschrijving van de beveiligingsmaatregelen.

Gegevensbeschermingseffectbeoordeling (Artikel 35, AVG)

Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Laborijn voert deze uit bijvoorbeeld wanneer er een (grootschalige)geautomatiseerde verwerking plaatsvindt. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt.

Aanstellen van een Functionaris voor gegevensbescherming (FG) (Artikel 37 t/m 39, AVG)

Laborijn heeft een FG aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de Autoriteit Persoonsgegevens (AP).

Het is niet de bedoeling dat de functionaris de taken op het gebied van bescherming van de privacy van de afdelingen overneemt. De afdelingen hebben hun eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens. Een verwerking van persoonsgegevens wordt eerst aan de FG gemeld voordat de verwerking begint. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en richtlijnen op het gebied van privacy.

Datalekken (Artikel 33,34, AVG)

We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden, meldt Laborijn dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan de AP. Als dit later dan 72 uur is, wordt er een motivering voor de vertraging bij de melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkene(n). In dit geval meldt Laborijn dit aan de betrokkene(n) in begrijpelijke taal. Om toekomstige datalekken te voorkomen, worden bestaande datalekken geëvalueerd.

In het kader van de uitkeringsverstrekking zijn in de Participatiewet en de Wet structuur uitvoeringsorganisatie werk en inkomen ook nog bijzondere bepalingen opgenomen over de verwerking en de bescherming van persoonsgegevens. Deze bijzondere bepalingen zijn soms strenger dan de algemene bepalingen, zoals vastgelegd in de Wet Bescherming Persoonsgegevens (Wbp) die, vanaf 25 mei 2018 wordt vervangen door de Europese Verordening.

Deze bijzondere bepalingen worden hierna aan de hand van een aantal onderwerpen toegelicht.

Rechtmatigheidsonderzoeken

Laborijn is bevoegd om bij de aanvraag om een uitkering onderzoek te doen naar het recht op uitkering. Ook nadat de uitkering is verstrekt kan Laborijn steeds spontaan en opnieuw het recht op uitkering controleren (artikel 53a Participatiewet). Bij deze zogeheten rechtmatigheidsonderzoeken kan Laborijn diverse onderzoeksmiddelen inzetten, zoals huisbezoeken en bestandsvergelijkingen. Ook zwaardere onderzoeksmiddelen als observaties kunnen worden ingezet als de inzet van dat middel in die specifieke situatie is gerechtvaardigd.

In de wet is vastgelegd dat werkgevers en de met naam genoemde instanties verplicht zijn om informatie aan Laborijn te verstrekken, voor zover Laborijn deze nodig heeft voor de uitvoering van de wet (artikel 63 en 64 Participatiewet). Het opvragen van informatie door Laborijn en het verstrekken van informatie door de instanties gebeurd in een aantal gevallen door tussenkomst van het Inlichtingenbureau. Dit bureau zorgt er voor dat de verschillende automatiseringssystemen van instanties op het terrein van werk en inkomen met elkaar kunnen communiceren.

Het inlichtingenbureau kan bijvoorbeeld de informatie van de verschillende instanties vergelijken en beoordelen op samenloop. Op deze wijze kan uitkeringsfraude worden opgespoord, maar ook het niet-gebruik van voorzieningen. Laborijn probeert zoveel mogelijk gegevens op te halen bij het Inlichtingenbureau, zodat klanten niet telkens opnieuw de gegevens moet verstrekken.

De gegevens mogen alleen worden gebruikt voor de uitvoering van de Participatiewet. Het gaat daarbij om gegevens met betrekking tot de woon- en leefsituatie, opleidingen, het inkomen en het vermogen.

De uitwisseling van gegevens moet plaatsvinden via Suwinet. Dit is een elektronische snelweg, waar alleen de in de Wet SUWI genoemde instanties op mogen. Aan het gebruik van Suwinet zijn strenge eisen gesteld die er voor moeten zorgen dat de privacy van mensen niet onnodig wordt geschonden. Laborijn heeft hiervoor een afzonderlijk beveiligingsplan vastgesteld.

Gegevensverstrekking door Laborijn aan derden

In artikel 67 van de Participatiewet worden de instanties genoemd aan wie Laborijn informatie mag en soms moet leveren. Zoals hiervoor is aangegeven moet de informatie-uitwisseling plaatsvinden door tussenkomst van het Inlichtingenbureau en via Suwinet. Aan andere partijen dan genoemd in artikel 67 van de Participatiewet mag Laborijn geen gegevens verstrekken. Dit volgt uit de geheimhoudingsplicht zoals verwoord in artikel 65 van de Participatiewet.

Het komt voor dat Laborijn bepaalde uitvoeringstaken in het kader van de Participatiewet aan derden opdraagt, bijvoorbeeld aan het Buurtplein BV of een re-integratiebedrijf. In die situaties blijft Laborijn de verantwoordelijke in de zin van de privacywetgeving.

Dit is ook het geval indien een door een gemeente aan Laborijn overgedragen taak wordt uitgevoerd door ambtenaren van die gemeente.

Met uitdrukkelijke instemming

Het komt voor dat aan een klant instemming wordt gevraagd voor de uitvraag of uitwisseling van gegevens. Dat gebeurt vaak vanuit de veronderstelling dat daarmee een (wettelijke) grondslag voor de gegevensuitwisseling ontstaat. Deze veronderstelling is niet juist, indien er sprake is van een ongelijke machtsverhouding. Deze situatie doet zich bijvoorbeeld voor als iemand voor zijn levensonderhoud afhankelijk is van een uitkering van Laborijn. Overigens ook met toestemming van de betrokkene mogen geen gegevens worden gevraagd of uitgewisseld die niet nodig zijn voor de uitvoering van de wet.

Het kan zijn dat Laborijn informatie aan de gemeenten verstrekt, zodat zij klanten kunnen benaderen voor bijvoorbeeld (financiële)tegemoetkomingen op grond van het gemeentelijke minimabeleid. Dit doen wij alleen maar als de klant daar toestemming voor heeft gegeven.

Afsluiting

Als Laborijn een wettelijke verplichting niet nakomt, dan kan een klant een klacht indienen. Deze klacht zal via de klachtenregeling van Laborijn worden behandeld. In gevallen waar deze notitie niets over zegt, beslist het dagelijks bestuur van Laborijn.