Organisatie | Geertruidenberg |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Privacy protocol Sociaal Domein gemeente Geertruidenberg 2019 |
Citeertitel | Privacyprotocol Sociaal Domein 2019 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp | Privacy sociaal domein, bestuur: organisatie en beleid, zorg en gezondheid: organisatie en beleid |
Externe bijlagen | Toestemmingsformulier CJG Toestemmingsformulier Gem. Geertruidenberg |
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
11-09-2019 | nieuwe regeling | 27-08-2019 | Privacy |
Het college van burgemeester en wethouders van de gemeente Geertruidenberg;
overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen het sociaal domein in de gemeente Geertruidenberg;
het gestelde in de Algemene Verordening Gegevensbescherming (AVG);
het gestelde in hoofdstuk 7, en het gestelde in paragraaf 8.4, van de Jeugdwet;
het gestelde in paragraaf 6.6, van de Participatiewet;
het gestelde in hoofdstuk 5, van de Wet maatschappelijke ondersteuning 2015;
het gestelde in hoofdstuk 7 en 9 van de Wet structuur uitvoeringsorganisatie werk en inkomen (Wet Suwi).
vast te stellen: het Privacy protocol Sociaal Domein gemeente Geertruidenberg 2019.
De gemeente Geertruidenberg (hierna: de gemeente) werkt met een aantal publieke en private organisaties samen om aan de inwoners van de gemeente integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen (sociale domein). Deze ondersteuning is aanvullend op de eigen mogelijkheden van de inwoner en zijn (of haar) sociale netwerk.
Om ondersteuning te bieden, moeten persoonsgegevens worden verwerkt en uitgewisseld. Daarbij gaat het om de balans tussen de informatie die nodig is om een integrale en effectieve ondersteuning te kunnen bieden, en de bescherming van de persoonlijke levenssfeer van inwoners.
De Algemene Verordening Gegevensbescherming geldt als leidraad voor het juist en zorgvuldig omgaan met persoonsgegevens. Daarnaast zijn in de Jeugdwet, de Participatiewet, de Wet Suwi en de Wet maatschappelijke ondersteuning 2015 diverse bepalingen opgenomen over het verwerken van persoonsgegevens.
Intaker: de gemeentelijke functionaris die de hulpvraag of aanvraag van betrokkene in behandeling neemt, die verantwoordelijk is voor het beheer van het dossier binnen het domein waarbinnen hij/zij werkzaam is. De intaker is het aanspreekpunt voor de betrokkene. De intaker kan ook casusregisseur worden genoemd.
Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval verzamelen, vastleggen, ordenen, bewaren, bijwerken, gegevens wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen.
Om aan inwoners van de gemeente integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen worden persoonsgegevens verwerkt. Het verwerken van persoonsgegevens dient zorgvuldig te gebeuren. Dit protocol geeft daar richtlijnen voor.
Dit protocol is van toepassing op de verwerking van persoonsgegevens binnen het sociaal domein (jeugd, zorg, welzijn, wonen, werk en inkomen). Het gaat daarbij om het verwerken en uitwisselen van persoonsgegevens door de gemeente en haar verwerkers. Welke informatie de gemeente en haar verwerkers over en weer mogen verstrekken wordt bepaald door de wetgeving en eigen privacyregelingen van de gemeente en haar verwerkers.
De wetten binnen het sociale domein bieden geen ruimte voor uitwisseling van persoonsgegevens onderling. Enkel wanneer er in de zin van de AVG toestemming voor is verleend door de betrokkene, is dit mogelijk. Er wordt enkel gevraagd om toestemming in gevallen waarbij nadat de vraag helder is of tijdens de intake, er sprake is van een domein overstijgende hulpvraag dan wel Multi problematiek. Indien toestemming wordt gegeven kan de casusregisseur/intaker ook de (persoons)gegevens uit de andere domeinen raadplegen/verwerken.
Bij hulpvragen die binnen één domein vallen, hoeft geen toestemming gevraagd te worden maar is er sprake van een wettelijke grondslag, de publiekrechtelijke taak. Toestemming is dan overbodig. Deze publiekrechtelijke taak is te herleiden uit de WMO of Jeugdwet of de Particiaptiewet etc. (ofwel de sectorale wetten).
Persoonsgegevens die worden vastgelegd en verwerkt zijn afgeschermd op basis van autorisaties en schotten: enkel degenen die de ondersteuning (passend binnen het doel) moeten kunnen leveren zoals de intaker binnen zijn/haar taakgebied binnen het sociale domein, de betrokken clustermanager(s) en degenen die belast zijn met de afhandeling van bezwaren en klachten over de geboden ondersteuning hebben toegang. Lees- en schrijfrechten (opnemen in bestanden, aanvullen, wijzigen daarvan ofwel verwerking van persoonsgegeven) zijn vastgelegd, passend bij de rol.
Daarnaast kan toegang gegeven worden als een wettelijke plicht daartoe noodzaakt, bijvoorbeeld aan een toezichthouder in de zin van artikel 5:11 Algemene wet bestuursrecht of in het geval van wettelijk voorgeschreven rechtmatigheidscontroles door een accountant (eventueel anoniem).
De procesregisseur mag in eerste instantie geen of niet automatisch toegang hebben tot bestanden met persoonsgegevens binnen de verschillende sociale domeinen. Dit mag hij/zij enkel als daar aanleiding voor is. Daar waar de intaker/casusregisseur vastloopt en de hulp inschakelt van de procesregisseur mag deze functionaris persoonsgegevens verwerken (o.a. de systemen raadplegen). Daarbij is het noodzakelijk dat voorafgaand aan de verwerking in het systeem geregistreerd wordt dat een procesregisseur betrokken is. Welke cliënt? Wat is het probleem? Welke procesregisseur wordt betrokken? De AVG verplicht zorgvuldige verwerking. Dit betekent dat het proportionaliteitsbeginsel en het subsidiariteitsbeginsel van toepassing zijn. Vuistregel voor de toegang tot persoonsgegevens is ‘hoe minder, hoe beter’.
De vraagverhelderaar draagt zorg voor verheldering en zet de casus uit bij de meest aangewezen casusregisseur/intaker. Als de vraag hoogstwaarschijnlijk verschillende domeinen raakt geeft de vraagverhelderaar dit aan bij de casusregisseur. De casusregisseur kan dan beoordelen of inderdaad een domein overstijgende aanpak noodzakelijk is. Ook hier geldt de bovenstaande vuistregel weer.
In het geval dat noodzakelijke hulpverlening niet op gang kan komen omdat de noodzakelijke toestemming geweigerd wordt kan in bepaalde gevallen worden afgeweken van deze regel;
De hoofdregels zijn redelijk overzichtelijk en duidelijk, de werkelijkheid is weerbarstiger. Hoe complexer een zaak, hoe meer de afweging gemaakt moet worden tussen het verwerken van extra persoonsgegevens versus de noodzaak voor ondersteuning. De professional moet zich continu afvragen: is het noodzakelijk voor het gestelde doel, is er een wettelijke grondslag, kan het ook met minder/anders, is het nog proportioneel, zijn er beperkingen of specifieke regels? Is het echt niet mogelijk om toestemming te krijgen? Kan er worden afgeweken van de regel? Onder “Uitzondering: Verwerken van persoonsgegevens zonder toestemming” komt dit terug.
Binnen het sociaal domein wordt een heel scala aan vragen en aanvragen behandeld. Dit kunnen eenvoudige vragen betreffen, maar ook meervoudige vragen met een complexe problematiek. Voor veel taken is er een wettelijke basis voor het verwerken van gegevens, en over het algemeen is het verband tussen de benodigde gegevens en het doel bij deze zaken duidelijk zichtbaar. Denk aan het aanvragen van een uitkering of een rolstoel. In deze gevallen is duidelijk voor de betrokkene dat er persoonsgegevens van hem/haar verwerkt moeten worden en zal een toelichting op de gegevensverwerking niet noodzakelijk zijn, tenzij de betrokkene aangeeft hier behoefte aan te hebben.
Bij zaken waarbij de relatie tussen doel waarvoor gegevens worden gevraagd en de verwerking daarvan voor de betrokkene minder duidelijk is, en/of waar toestemming voor verwerking noodzakelijk is, wordt de betrokkene (waar mogelijk vooraf) geïnformeerd:
Informeren over gegevensverwerking
In de primaire fase van onderzoek en besluitvorming vormen fraude- en handhavingszaken en ook veiligheidszaken een uitzondering op de hoofdregel dat de betrokkene (waar mogelijk vooraf) wordt geïnformeerd over gegevensverwerking.
Ook ingeval van een niet-anonieme aanmelding wordt betrokkene bij fraude- en handhavingszaken niet geïnformeerd over de aanmelding, welke aanmelder betrokkene heeft aangemeld en welke gegevens deze heeft verstrekt.
In een bezwaar- en beroepsfase worden gegevens van de aanmelder en het aangemelde wel opgenomen in het bezwaarschriften/beroepschriftendossier. De aanmelder wordt hierover geïnformeerd.
Zoals aangegeven op pagina 5 van dit Protocol is toestemming niet de regel. Er wordt voornamelijk gewerkt binnen één domein en met een wettelijke grondslag (publiekrechtelijke taak). Daar waar er sprake is van Multi problematiek en de hulpvragen de domeinen overstijgen kan toestemming uitkomst bieden.
Als toestemming voor het verwerken van gegevens noodzakelijk is, dan wordt de betrokkene zo vroeg mogelijk in het traject om toestemming gevraagd, maar vóórdat er gegevens worden opgevraagd of verstrekt. De casusregisseur maakt aan betrokkene duidelijk met welke doel de gegevens worden verwerkt en vraagt om toestemming waarbij betrokkene op zijn/haar rechten wordt gewezen. De specifieke en gemotiveerde gegeven toestemming moet worden vastgelegd. De casusregisseur draagt zorg voor de registratie van een getekend toestemmingsformulier. Een concept toestemmingsformulier kan opgevraagd worden bij de Privacybeheerders.
Een toestemming moet ongedwongen en in vrijheid gegeven worden.
Het moet de betrokkene vooraf helder zijn dat ook als een toestemming niet wordt gegeven, dat dit géén effect heeft op de behandeling van de voorliggende (aan)vraag. Het betekent enkel dat er geen persoonsgegevens kunnen worden gedeeld ingeval van andere (aan)vragen en dat betrokkene in die andere gevallen zelf verantwoordelijk blijft voor het verstrekken van persoonsgegevens en informatie.
Indien geen toestemming wordt verleend, dan worden er ook geen gegevens opgevraagd of verstrekt. De betrokkene moet dan zelf het initiatief nemen voor het doen opstarten van de andere processen waar hij/zij een hulpvraag heeft.
Als er geen wettelijke grondslag is voor het verwerken van persoonsgegevens en er is geen toestemming, kan in bijzondere gevallen besloten worden om zonder voorafgaande toestemming persoonsgegevens te verwerken (waaronder ook het verstrekken van gegevens wordt verstaan):
Bij een dergelijke beslissing wordt gewerkt volgens de escalatieladder waarin de regie, de opschaling en verantwoordelijkheden van alle betrokkenen staan vastgelegd. Daarnaast wordt vanuit de privacy door de casusregisseur vooraf overleg gevoerd met minimaal de procesregisseur en de Privacy Officer (PO). De beslissing om zonder voorafgaande toestemming persoonsgegevens te verwerken wordt met motivering van de belangenafweging vastgelegd in het dossier.
Met de procesregisseur en de PO wordt de casus geanonimiseerd besproken, tenzij er door betrokkene toestemming is gegeven voor het delen van persoonsgegevens met deze functionarissen.
De betrokkene wordt geïnformeerd over de verstrekking, tenzij dit niet kan in het belang van betrokkene of van anderen.
Kortom: in dit geval is een belangenafweging nodig, deze wordt gemotiveerd, geregistreerd in het dossier en vervolgens wordt betrokkene geïnformeerd (tenzij…).
Voor het samenwerken is in principe toestemming van de betrokkene(n) nodig. De professional moet nagaan van wie toestemming nodig is. Als er sprake is van jeugdige(n) geldt het volgende:
Bij de jeugdige van 12 tot 16 jaar is toestemming van wettelijk vertegenwoordigers nodig. Tevens geeft de jeugdige tussen de 12 tot 16 jaar zelf toestemming, mits de jeugdige in staat is tot een redelijke waardering van zijn belangen. Wanneer dit niet het geval is, is toestemming van wettelijk vertegenwoordiger(s) voldoende. Voor jeugdigen tussen de 12 en 16 jaar geldt dan ook een dubbele toestemmingsvereiste (dus ook van de ouders).
In het geval toestemming wordt gevraagd aan de betrokkene, wordt dit ingevolge artikel 7 van de AVG geregistreerd in het dossier. Let op: toestemming kan te allen tijde ingetrokken worden. Het intrekken van toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Ook de intrekking van de toestemming dient geregistreerd te worden.
Iedereen die (binnen het doel van de gegevensverwerking) bevoegd is om persoonsgegevens te verwerken zorgt ervoor dat:
De gemeente verwacht van (de medewerkers van) haar verwerkers in het sociaal domein dat zij op dezelfde wijze omgaan met persoonsgegevens. De gemeente legt dit ook vast in alle afspraken die zij maakt met haar verwerkers. Bijvoorbeeld bij het sluiten van inkoopcontracten voor (jeugd)zorgtrajecten, het uitbesteden van werkzaamheden of het maken van afspraken over samenwerking binnen het sociaal domein. Daar waar verwerkers een rol krijgen in het verwerken van persoonsgegevens sluit de gemeente een verwerkingsovereenkomst af waarin de afspraken uit dit privacy protocol meegenomen worden. Een model van een verwerkingsovereenkomst is op te vragen bij de privacybeheerder.
Alle (ingehuurde) medewerkers van de gemeente hebben op basis van hun rechtspositieregeling een geheimhoudingsplicht, waarvan het zorgvuldig en vertrouwelijk omgaan met gegevens onderdeel uitmaakt. Ook hebben zij een integriteitsverklaring ondertekend waar een geheimhoudingsverklaring onderdeel van uit maakt.
Een ieder die kennis neemt van persoonsgegevens van een betrokkene, is verplicht tot geheimhouding daarvan, tenzij de wet of deze regeling anders bepaalt.
Professionals en medische (jeugd)hulpverleners hebben een beroepsgeheim. Functionarissen die een professional ondersteunen hebben een afgeleid beroepsgeheim.
Een beroepsgeheim dan wel geheimhoudingsplicht mag slechts worden doorbroken wanneer er sprake is van:
Ook hier geldt: Bij een dergelijke beslissing wordt gewerkt volgens de escalatieladder waarin de regie, de opschaling en verantwoordelijkheden van alle betrokkenen staan vastgelegd. Daarnaast wordt vanuit de privacy door de casusregisseur vooraf overleg gevoerd met minimaal de procesregisseur en de PO. Deze beslissing wordt met argumentatie/motivering van de belangenafweging vastgelegd in het dossier.
Met de procesregisseur en de PO wordt de casus geanonimiseerd besproken, tenzij er door betrokkene toestemming is gegeven voor het delen van persoonsgegevens met deze functionarissen.
De betrokkene wordt geïnformeerd over de verstrekking, tenzij dit niet kan in het belang is van betrokkene of van anderen.
Uitgangspunt is dat verwijzers een aanmelding vooraf met de betrokkene hebben besproken en toestemming hebben gekregen voor de verwijzing en het verstrekken van gegevens.
Indien de betrokkene geen toestemming geeft, mag een verwijzing of melding (en dus het uitwisselen van persoonsgegevens) slechts plaatsvinden op basis van de volgende uitzonderingen:
dringende noodzaak: er is een zwaarwegend belang waardoor de ernst van de problematiek en het risico voor de gezondheid of veiligheid van betrokkene zelf en/of anderen zodanig is dat het belang van verwijzing of melding zwaarder weegt dan het belang van de bescherming van de privésfeer van betrokkene,
Ook in geval van deze uitzondering geldt: Bij een dergelijke beslissing wordt gewerkt volgens de escalatieladder waarin de regie, de opschaling en verantwoordelijkheden van alle betrokkenen staan vastgelegd. Daarnaast wordt vanuit de privacy door de casusregisseur vooraf overleg gevoerd met minimaal de procesregisseur en de PO. Deze beslissing wordt met argumentatie/motivering van de belangenafweging vastgelegd in het dossier.
Met de procesregisseur en de PO wordt de casus geanonimiseerd besproken, tenzij er door betrokkene toestemming is gegeven voor het delen van persoonsgegevens met deze functionarissen.
De betrokkene wordt geïnformeerd over de verstrekking, tenzij dit niet kan in het belang is van betrokkene of van anderen.
Bij de verstrekking aan derden, bijvoorbeeld familieleden van de betrokkene, mensen uit zijn sociale netwerk of professionals die niet werkzaam zijn bij één van de bewerkers, wordt toestemming van de betrokkene gevraagd en schriftelijk vastgelegd (zie de paragraaf Informeren en het vragen van toestemming) als een wettelijke grond voor het delen van informatie zonder toestemming ontbreekt. Daarbij is het van belang dat de betrokkene zich ervan bewust is waarvoor toestemming gegeven wordt, en weet dat hij/zij het recht heeft om dit verzoek te weigeren.
Recht op informatie, inzage, afschrift, correctie, overdraagbaarheid en vernietiging. In hoofdstuk 3 van de AVG staan alle rechten van betrokkene beschreven. Er wordt in eerste instantie verwezen naar dit hoofdstuk.
Iedere betrokkene, die tenminste 16 jaar oud is en ‘in staat is tot een redelijke waardering van zijn belangen ter zake’, heeft het recht op inzage in en eventueel een afschrift (kopie) van de eigen gegevens.
Andere mensen mogen deze gegevens niet inzien. Er zijn twee uitzondering op deze regel: de ouder met gezag (tenzij een jongere van 16 jaar of ouder dit weigert) of een jongere van minimaal 12 jaar (en in staat tot waardering van zijn belangen) in het geval van een jeugddossier.
Elke betrokkene heeft ook het recht op correctie of vernietiging als de vastgelegde gegevens (onderbouwd) onjuist zijn, of als er onvoldoende relatie is tussen de gegevens en het doel van verstrekken.
Er zijn gevallen waarbij dit niet geldt:
In geval er wordt besloten tot correctie of vernietiging van gegevens, worden ook de verwerkers hierover geïnformeerd.
Het college van burgemeester en wethouders heeft de “Procedure Rechten van betrokkene gemeente Geertruidenberg” vastgesteld. Alle verzoeken dienen ingevolge deze procedure te worden beoordeeld en behandeld.
Een dossier kan gegevens van meerdere personen omvatten. Dat betekent dat het behandelen van de vraag om inzage wordt beoordeeld of er geen belangen van andere geschaad kunnen worden. Dat kan betekenen dat (delen van) het dossier niet ingezien mogen worden. In principe bestaat er alleen inzage in de eigen persoonsgegevens. Het is aan de professional om een zorgvuldige afweging te maken tussen het recht op inzage van de eigen gegevens en de belangen van de andere betrokkenen. Inzage en afschrift kan worden gevraagd bij de professional die zijn/haar dossier behandeld, of door een schriftelijke aanvraag in te dienen. Een verzoek voor correctie of vernietiging moet schriftelijk worden ingediend. Inzage, afschrift, correctie of vernietiging moet ‘zo spoedig mogelijk’ worden gerealiseerd. Als uitgangspunt geldt voor afhandeling van de aanvraag een termijn van 4 weken (en daadwerkelijke vernietiging indien toegewezen binnen 3 maanden).
Iedereen heeft het recht om vergeten te worden, maar de gemeente en ook andere organisaties in het sociaal domein hebben de plicht om informatie gedurende een bepaalde tijd te bewaren. Daarom worden persoonsgegevens bewaard en vernietigd op basis van vaste (en over het algemeen per domein wettelijk/landelijk vastgestelde) bewaar- en vernietigingstermijnen die kunnen verschillen per soort ‘zaak’.
Als een betrokkene bezwaar heeft tegen verwerking van zijn gegevens of als inzage, correctie of vernietiging wordt geweigerd door de gemeente dan kan betrokkene bij de gemeente bezwaar maken.
Als een ambtenaar in de ogen van de betrokkene onzorgvuldig is omgegaan met zijn/haar gegevens, dan kan de betrokkene een klacht indienen. Deze klacht wordt via de gemeentelijke klachtenprocedure afgehandeld. Klachten over onzorgvuldig handelen van (medewerkers van) andere organisaties worden afgedaan volgens de klachtenregeling van die organisatie. Verder kan een betrokkene ook een klacht indienen bij de Autoriteit Persoonsgegevens.