Ziet u een fout in deze regeling? Meld het ons op regelgeving@overheid.nl!

Geertruidenberg

Privacy protocol Sociaal Domein gemeente Geertruidenberg 2019

Wetstechnische informatie

Gegevens van de regeling
Organisatie	Geertruidenberg
Organisatietype	Gemeente
Officiële naam regeling	Privacy protocol Sociaal Domein gemeente Geertruidenberg 2019
Citeertitel	Privacyprotocol Sociaal Domein 2019
Vastgesteld door	college van burgemeester en wethouders
Onderwerp	bestuur en recht
Eigen onderwerp	Privacy sociaal domein, bestuur: organisatie en beleid, zorg en gezondheid: organisatie en beleid
Externe bijlagen	Toestemmingsformulier CJG Toestemmingsformulier Gem. Geertruidenberg

Opmerkingen met betrekking tot de regeling

Geen

Wettelijke grondslag(en) of bevoegdheid waarop de regeling is gebaseerd

Overzicht van in de tekst verwerkte wijzigingen
Datum inwerkingtreding	Terugwerkende kracht tot en met	Datum uitwerkingtreding	Betreft	Datum ondertekening Bron bekendmaking	Kenmerk voorstel
11-09-2019			nieuwe regeling	27-08-2019 gmb-2019-220829	Privacy

Tekst van de regeling

Intitulé

Privacy protocol Sociaal Domein gemeente Geertruidenberg 2019

Het college van burgemeester en wethouders van de gemeente Geertruidenberg;

overwegende dat het wenselijk is regels vast te stellen hoe om te gaan met de verwerking van persoonsgegevens binnen het sociaal domein in de gemeente Geertruidenberg;

gelet op:

het gestelde in de Algemene Verordening Gegevensbescherming (AVG);

het gestelde in hoofdstuk 7, en het gestelde in paragraaf 8.4, van de Jeugdwet;

het gestelde in paragraaf 6.6, van de Participatiewet;

het gestelde in hoofdstuk 5, van de Wet maatschappelijke ondersteuning 2015;

het gestelde in hoofdstuk 7 en 9 van de Wet structuur uitvoeringsorganisatie werk en inkomen (Wet Suwi).

B E S L U I T:

vast te stellen: het Privacy protocol Sociaal Domein gemeente Geertruidenberg 2019.

De gemeente Geertruidenberg (hierna: de gemeente) werkt met een aantal publieke en private organisaties samen om aan de inwoners van de gemeente integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen (sociale domein). Deze ondersteuning is aanvullend op de eigen mogelijkheden van de inwoner en zijn (of haar) sociale netwerk.

Om ondersteuning te bieden, moeten persoonsgegevens worden verwerkt en uitgewisseld. Daarbij gaat het om de balans tussen de informatie die nodig is om een integrale en effectieve ondersteuning te kunnen bieden, en de bescherming van de persoonlijke levenssfeer van inwoners.

De Algemene Verordening Gegevensbescherming geldt als leidraad voor het juist en zorgvuldig omgaan met persoonsgegevens. Daarnaast zijn in de Jeugdwet, de Participatiewet, de Wet Suwi en de Wet maatschappelijke ondersteuning 2015 diverse bepalingen opgenomen over het verwerken van persoonsgegevens.

Algemeen

Belangrijkste begrippen

•
Aanmelder: een persoon die op basis van contacten met een inwoner een behoefte aan ondersteuning ziet en de inwoner aanmeldt bij de gemeente of een andere organisatie binnen het sociaal domein.
•
Betrokkene: de persoon op wie de persoonsgegevens betrekking heeft.
•
Beveiligingsincident: een gebeurtenis waarbij de mogelijkheid bestaat dat de beschikbaarheid, de integriteit of de vertrouwelijkheid van informatie of informatiesystemen in gevaar is of kan komen.
•
Casusregisseur: zie intaker.
•
Datalek: een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
•
Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.
•
Intaker: de gemeentelijke functionaris die de hulpvraag of aanvraag van betrokkene in behandeling neemt, die verantwoordelijk is voor het beheer van het dossier binnen het domein waarbinnen hij/zij werkzaam is. De intaker is het aanspreekpunt voor de betrokkene. De intaker kan ook casusregisseur worden genoemd.
•
Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of een identificeerbare natuurlijke persoon.
•
Privacy Officer: de privacyjurist van de gemeente Geertruidenberg.
•
Procesregisseur: de gemeentelijke functionaris die zorgdraagt voor een integrale aanpak die effectief is. Hij/zij treedt niet in de professionele verantwoordelijkheid van de betrokken hulpverleners, maar ziet toe op de totstandkoming van samenwerking op casusniveau.
•
Professional: elke persoon die in het sociaal domein beroepsmatig cliëntgebonden werkzaamheden verricht. Dit kan zowel een (gemeente)ambtenaar als een hulpverlener, leerkracht of andere medewerker zijn.
•
Verantwoordelijke: de natuurlijk persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (de gemeente).
•
Verwerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen (zoals MEE, GGZ, GGD, Medipoint, enz.).
•
Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval verzamelen, vastleggen, ordenen, bewaren, bijwerken, gegevens wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen.
•
Verwijzer: een professionele organisatie (zoals veilig thuis, gecertificeerde instellingen (huisartsen en artsen) en medisch specialisten).
•
Vraagverhelderaar: de (gemeentelijke) functionaris die in eerste instantie (telefonisch) de hulpvraag of hulpvragen in kaart brengt (vraagverkenning), en bepaalt met welke intaker(s) betrokkene in gesprek kan gaan.

Doel en reikwijdte van de gegevensverwerking

Om aan inwoners van de gemeente integrale en effectieve ondersteuning te kunnen bieden op het gebied van jeugd, zorg, welzijn, wonen, werk en inkomen worden persoonsgegevens verwerkt. Het verwerken van persoonsgegevens dient zorgvuldig te gebeuren. Dit protocol geeft daar richtlijnen voor.

Toepassingsgebied

Dit protocol is van toepassing op de verwerking van persoonsgegevens binnen het sociaal domein (jeugd, zorg, welzijn, wonen, werk en inkomen). Het gaat daarbij om het verwerken en uitwisselen van persoonsgegevens door de gemeente en haar verwerkers. Welke informatie de gemeente en haar verwerkers over en weer mogen verstrekken wordt bepaald door de wetgeving en eigen privacyregelingen van de gemeente en haar verwerkers.

Toegang tot persoonsgegevens in een bestand en in systemen.

De wetten binnen het sociale domein bieden geen ruimte voor uitwisseling van persoonsgegevens onderling. Enkel wanneer er in de zin van de AVG toestemming voor is verleend door de betrokkene, is dit mogelijk. Er wordt enkel gevraagd om toestemming in gevallen waarbij nadat de vraag helder is of tijdens de intake, er sprake is van een domein overstijgende hulpvraag dan wel Multi problematiek. Indien toestemming wordt gegeven kan de casusregisseur/intaker ook de (persoons)gegevens uit de andere domeinen raadplegen/verwerken.

Bij hulpvragen die binnen één domein vallen, hoeft geen toestemming gevraagd te worden maar is er sprake van een wettelijke grondslag, de publiekrechtelijke taak. Toestemming is dan overbodig. Deze publiekrechtelijke taak is te herleiden uit de WMO of Jeugdwet of de Particiaptiewet etc. (ofwel de sectorale wetten).

Persoonsgegevens die worden vastgelegd en verwerkt zijn afgeschermd op basis van autorisaties en schotten: enkel degenen die de ondersteuning (passend binnen het doel) moeten kunnen leveren zoals de intaker binnen zijn/haar taakgebied binnen het sociale domein, de betrokken clustermanager(s) en degenen die belast zijn met de afhandeling van bezwaren en klachten over de geboden ondersteuning hebben toegang. Lees- en schrijfrechten (opnemen in bestanden, aanvullen, wijzigen daarvan ofwel verwerking van persoonsgegeven) zijn vastgelegd, passend bij de rol.

Daarnaast kan toegang gegeven worden als een wettelijke plicht daartoe noodzaakt, bijvoorbeeld aan een toezichthouder in de zin van artikel 5:11 Algemene wet bestuursrecht of in het geval van wettelijk voorgeschreven rechtmatigheidscontroles door een accountant (eventueel anoniem).

De procesregisseur mag in eerste instantie geen of niet automatisch toegang hebben tot bestanden met persoonsgegevens binnen de verschillende sociale domeinen. Dit mag hij/zij enkel als daar aanleiding voor is. Daar waar de intaker/casusregisseur vastloopt en de hulp inschakelt van de procesregisseur mag deze functionaris persoonsgegevens verwerken (o.a. de systemen raadplegen). Daarbij is het noodzakelijk dat voorafgaand aan de verwerking in het systeem geregistreerd wordt dat een procesregisseur betrokken is. Welke cliënt? Wat is het probleem? Welke procesregisseur wordt betrokken? De AVG verplicht zorgvuldige verwerking. Dit betekent dat het proportionaliteitsbeginsel en het subsidiariteitsbeginsel van toepassing zijn. Vuistregel voor de toegang tot persoonsgegevens is ‘hoe minder, hoe beter’.

De vraagverhelderaar draagt zorg voor verheldering en zet de casus uit bij de meest aangewezen casusregisseur/intaker. Als de vraag hoogstwaarschijnlijk verschillende domeinen raakt geeft de vraagverhelderaar dit aan bij de casusregisseur. De casusregisseur kan dan beoordelen of inderdaad een domein overstijgende aanpak noodzakelijk is. Ook hier geldt de bovenstaande vuistregel weer.

Hoofdregels voor zorgvuldig omgaan met privacy

Hoofdregels:

a.
doelbinding: de verwerking van persoonsgegevens moet passen binnen het doel waarvoor deze verstrekt zijn;
b.
wettelijke grondslag: het opvragen van of verstrekken van gegevens aan derden gebeurt op basis van een wettelijke grond, of op basis van bewuste toestemming van de betrokkene als een andere wettelijke grond ontbreekt.

In het geval dat noodzakelijke hulpverlening niet op gang kan komen omdat de noodzakelijke toestemming geweigerd wordt kan in bepaalde gevallen worden afgeweken van deze regel;

c.
proportioneel en subsidiair: er mogen niet méér persoonsgegevens verwerkt worden dan noodzakelijk:
de verwerking van persoonsgegevens moet in verhouding zijn tot het doel wat je wilt bereiken (proportioneel), en
kan het doel op een andere, eenvoudigere manier worden bereikt, bijvoorbeeld anoniem? (subsidiair);
d.
transparantie: als er informatie wordt gedeeld en persoonsgegevens worden verwerkt:
wordt betrokkene hierover geïnformeerd (ook als er geen toestemming is verleend);
motiveer je waarom je welke informatie deelt met wie en wat je er mee wilt bereiken;
wordt dit geregistreerd/gedocumenteerd;
praat MET elkaar, informeer betrokkene als er OVER hem/haar wordt gesproken;
e
elke betrokkene heeft recht om te weten wat er over hem is vastgelegd. Het recht op inzage (en afschrift, correctie of vernietiging) beperkt zich tot de eigen gegevens.

De hoofdregels zijn redelijk overzichtelijk en duidelijk, de werkelijkheid is weerbarstiger. Hoe complexer een zaak, hoe meer de afweging gemaakt moet worden tussen het verwerken van extra persoonsgegevens versus de noodzaak voor ondersteuning. De professional moet zich continu afvragen: is het noodzakelijk voor het gestelde doel, is er een wettelijke grondslag, kan het ook met minder/anders, is het nog proportioneel, zijn er beperkingen of specifieke regels? Is het echt niet mogelijk om toestemming te krijgen? Kan er worden afgeweken van de regel? Onder “Uitzondering: Verwerken van persoonsgegevens zonder toestemming” komt dit terug.

Doel uitwisseling persoonsgegevens

Uitgangspunt bij uitwisseling van persoonsgegevens is dat dit met een grondslag (AVG) of met toestemming gebeurt.

De persoonsgegevens die de professionals onderling uitwisselen zijn noodzakelijk voor het realiseren van het gezamenlijke doel;

-
worden uitsluitend gebruikt voor het realiseren van dat doel;
-
worden alleen aan partijen binnen het sociaal domein verstrekt die de informatie nodig hebben voor een goede taakuitvoering;
-
worden vertrouwelijk door partijen binnen het sociaal domein behandeld.

Informeren en het vragen van toestemming

Binnen het sociaal domein wordt een heel scala aan vragen en aanvragen behandeld. Dit kunnen eenvoudige vragen betreffen, maar ook meervoudige vragen met een complexe problematiek. Voor veel taken is er een wettelijke basis voor het verwerken van gegevens, en over het algemeen is het verband tussen de benodigde gegevens en het doel bij deze zaken duidelijk zichtbaar. Denk aan het aanvragen van een uitkering of een rolstoel. In deze gevallen is duidelijk voor de betrokkene dat er persoonsgegevens van hem/haar verwerkt moeten worden en zal een toelichting op de gegevensverwerking niet noodzakelijk zijn, tenzij de betrokkene aangeeft hier behoefte aan te hebben.

Bij zaken waarbij de relatie tussen doel waarvoor gegevens worden gevraagd en de verwerking daarvan voor de betrokkene minder duidelijk is, en/of waar toestemming voor verwerking noodzakelijk is, wordt de betrokkene (waar mogelijk vooraf) geïnformeerd:

•
met welk doel de gegevens worden verwerkt;
•
indien het een aanmelding betreft, welke aanmelder de betrokkene aangemeld heeft en welke gegevens deze heeft verstrekt;
•
bij wie (welke organisatie of persoon) welke gegevens opgevraagd gaan worden en aan wie welke gegevens verstrekt worden om de benodigde ondersteuning te kunnen leveren;
•
welke rechten de betrokkene heeft als het gaat om de verwerking van zijn gegevens en hoe deze rechten uit te oefenen. Een overzicht van de rechten van de betrokkene wordt verstrekt.

Uitzondering:

Informeren over gegevensverwerking

In de primaire fase van onderzoek en besluitvorming vormen fraude- en handhavingszaken en ook veiligheidszaken een uitzondering op de hoofdregel dat de betrokkene (waar mogelijk vooraf) wordt geïnformeerd over gegevensverwerking.

Ook ingeval van een niet-anonieme aanmelding wordt betrokkene bij fraude- en handhavingszaken niet geïnformeerd over de aanmelding, welke aanmelder betrokkene heeft aangemeld en welke gegevens deze heeft verstrekt.

In een bezwaar- en beroepsfase worden gegevens van de aanmelder en het aangemelde wel opgenomen in het bezwaarschriften/beroepschriftendossier. De aanmelder wordt hierover geïnformeerd.

Toestemming

Zoals aangegeven op pagina 5 van dit Protocol is toestemming niet de regel. Er wordt voornamelijk gewerkt binnen één domein en met een wettelijke grondslag (publiekrechtelijke taak). Daar waar er sprake is van Multi problematiek en de hulpvragen de domeinen overstijgen kan toestemming uitkomst bieden.

Als toestemming voor het verwerken van gegevens noodzakelijk is, dan wordt de betrokkene zo vroeg mogelijk in het traject om toestemming gevraagd, maar vóórdat er gegevens worden opgevraagd of verstrekt. De casusregisseur maakt aan betrokkene duidelijk met welke doel de gegevens worden verwerkt en vraagt om toestemming waarbij betrokkene op zijn/haar rechten wordt gewezen. De specifieke en gemotiveerde gegeven toestemming moet worden vastgelegd. De casusregisseur draagt zorg voor de registratie van een getekend toestemmingsformulier. Een concept toestemmingsformulier kan opgevraagd worden bij de Privacybeheerders.

Een toestemming moet ongedwongen en in vrijheid gegeven worden.

Het moet de betrokkene vooraf helder zijn dat ook als een toestemming niet wordt gegeven, dat dit géén effect heeft op de behandeling van de voorliggende (aan)vraag. Het betekent enkel dat er geen persoonsgegevens kunnen worden gedeeld ingeval van andere (aan)vragen en dat betrokkene in die andere gevallen zelf verantwoordelijk blijft voor het verstrekken van persoonsgegevens en informatie.

Indien geen toestemming wordt verleend, dan worden er ook geen gegevens opgevraagd of verstrekt. De betrokkene moet dan zelf het initiatief nemen voor het doen opstarten van de andere processen waar hij/zij een hulpvraag heeft.

Uitzondering bij uitzonderlijke situaties (crisissituaties, individuele gevallen):

Verwerken van persoonsgegevens zonder toestemming

Als er geen wettelijke grondslag is voor het verwerken van persoonsgegevens en er is geen toestemming, kan in bijzondere gevallen besloten worden om zonder voorafgaande toestemming persoonsgegevens te verwerken (waaronder ook het verstrekken van gegevens wordt verstaan):

•
als vitale belangen van de betrokkene (of anderen) in gevaar zijn (bijvoorbeeld als dringende zorg noodzakelijk is, of bij huiselijk geweld, maar iemand is (mentaal) niet in staat om toestemming te geven); of
•
het geval er sprake is van een zeer ernstige situatie of dringende noodzaak;
•
en pogingen om toestemming te krijgen niet geslaagd zijn of niet kunnen slagen (bijvoorbeeld bij zorgmijders).

Bij een dergelijke beslissing wordt gewerkt volgens de escalatieladder waarin de regie, de opschaling en verantwoordelijkheden van alle betrokkenen staan vastgelegd. Daarnaast wordt vanuit de privacy door de casusregisseur vooraf overleg gevoerd met minimaal de procesregisseur en de Privacy Officer (PO). De beslissing om zonder voorafgaande toestemming persoonsgegevens te verwerken wordt met motivering van de belangenafweging vastgelegd in het dossier.

Met de procesregisseur en de PO wordt de casus geanonimiseerd besproken, tenzij er door betrokkene toestemming is gegeven voor het delen van persoonsgegevens met deze functionarissen.

De betrokkene wordt geïnformeerd over de verstrekking, tenzij dit niet kan in het belang van betrokkene of van anderen.

Kortom: in dit geval is een belangenafweging nodig, deze wordt gemotiveerd, geregistreerd in het dossier en vervolgens wordt betrokkene geïnformeerd (tenzij…).

Leeftijden

Voor het samenwerken is in principe toestemming van de betrokkene(n) nodig. De professional moet nagaan van wie toestemming nodig is. Als er sprake is van jeugdige(n) geldt het volgende:

a.
De jeugdige tot 12 jaar hoeft zelf geen toestemming te geven. Toestemming van wettelijk vertegenwoordiger(s) is voldoende.
b.
Bij de jeugdige van 12 tot 16 jaar is toestemming van wettelijk vertegenwoordigers nodig. Tevens geeft de jeugdige tussen de 12 tot 16 jaar zelf toestemming, mits de jeugdige in staat is tot een redelijke waardering van zijn belangen. Wanneer dit niet het geval is, is toestemming van wettelijk vertegenwoordiger(s) voldoende. Voor jeugdigen tussen de 12 en 16 jaar geldt dan ook een dubbele toestemmingsvereiste (dus ook van de ouders).
c.
De jeugdige van 16 jaar en ouder heeft een zelfstandig recht om toestemming te geven.

Registratie van toestemming

In het geval toestemming wordt gevraagd aan de betrokkene, wordt dit ingevolge artikel 7 van de AVG geregistreerd in het dossier. Let op: toestemming kan te allen tijde ingetrokken worden. Het intrekken van toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Ook de intrekking van de toestemming dient geregistreerd te worden.

Verantwoordelijkheden

Iedereen die (binnen het doel van de gegevensverwerking) bevoegd is om persoonsgegevens te verwerken zorgt ervoor dat:

•
deze gegevens rechtmatig verkregen zijn en juist, volledig en ter zake zijn;
•
er afdoende maatregelen genomen zijn om deze gegevens te beveiligen;
•
verwerking gebeurt conform dit protocol en ontvangen instructies over beveiliging van persoonsgegevens.

De gemeente verwacht van (de medewerkers van) haar verwerkers in het sociaal domein dat zij op dezelfde wijze omgaan met persoonsgegevens. De gemeente legt dit ook vast in alle afspraken die zij maakt met haar verwerkers. Bijvoorbeeld bij het sluiten van inkoopcontracten voor (jeugd)zorgtrajecten, het uitbesteden van werkzaamheden of het maken van afspraken over samenwerking binnen het sociaal domein. Daar waar verwerkers een rol krijgen in het verwerken van persoonsgegevens sluit de gemeente een verwerkingsovereenkomst af waarin de afspraken uit dit privacy protocol meegenomen worden. Een model van een verwerkingsovereenkomst is op te vragen bij de privacybeheerder.

Geheimhoudingsplicht en beroepsgeheim

Alle (ingehuurde) medewerkers van de gemeente hebben op basis van hun rechtspositieregeling een geheimhoudingsplicht, waarvan het zorgvuldig en vertrouwelijk omgaan met gegevens onderdeel uitmaakt. Ook hebben zij een integriteitsverklaring ondertekend waar een geheimhoudingsverklaring onderdeel van uit maakt.

Een ieder die kennis neemt van persoonsgegevens van een betrokkene, is verplicht tot geheimhouding daarvan, tenzij de wet of deze regeling anders bepaalt.

Professionals en medische (jeugd)hulpverleners hebben een beroepsgeheim. Functionarissen die een professional ondersteunen hebben een afgeleid beroepsgeheim.

Uitzondering

Een beroepsgeheim dan wel geheimhoudingsplicht mag slechts worden doorbroken wanneer er sprake is van:

-
de ondubbelzinnige toestemming van de betrokkene gericht op het doorbreken van de geheimhoudingsplicht.
-
Bij een conflict van plichten. Een conflict van plichten kan zich voordoen wanneer er sprake is van een zwaarwegend of vitaal belang van de betrokkene of een ander dan de betrokkene die de doorbreking van de geheimhoudingsplicht rechtvaardigt.

Ook hier geldt: Bij een dergelijke beslissing wordt gewerkt volgens de escalatieladder waarin de regie, de opschaling en verantwoordelijkheden van alle betrokkenen staan vastgelegd. Daarnaast wordt vanuit de privacy door de casusregisseur vooraf overleg gevoerd met minimaal de procesregisseur en de PO. Deze beslissing wordt met argumentatie/motivering van de belangenafweging vastgelegd in het dossier.

Met de procesregisseur en de PO wordt de casus geanonimiseerd besproken, tenzij er door betrokkene toestemming is gegeven voor het delen van persoonsgegevens met deze functionarissen.

De betrokkene wordt geïnformeerd over de verstrekking, tenzij dit niet kan in het belang is van betrokkene of van anderen.

Verwijzing en (anonieme) signalen

Uitgangspunt is dat verwijzers een aanmelding vooraf met de betrokkene hebben besproken en toestemming hebben gekregen voor de verwijzing en het verstrekken van gegevens.

Uitzondering

Indien de betrokkene geen toestemming geeft, mag een verwijzing of melding (en dus het uitwisselen van persoonsgegevens) slechts plaatsvinden op basis van de volgende uitzonderingen:

a.
wet- en regelgeving; of
b.
als vitale belangen van de betrokkene (of anderen) in gevaar zijn (bijvoorbeeld indien dringende zorg noodzakelijk is of bij huiselijk geweld, maar iemand is (mentaal) niet in staat om toestemming te geven); of
c.
dringende noodzaak: er is een zwaarwegend belang waardoor de ernst van de problematiek en het risico voor de gezondheid of veiligheid van betrokkene zelf en/of anderen zodanig is dat het belang van verwijzing of melding zwaarder weegt dan het belang van de bescherming van de privésfeer van betrokkene,
d.
én er kan geen toestemming verkregen worden of pogingen tot het verkrijgen van toestemming slagen niet (zorgmijders).

Ook in geval van deze uitzondering geldt: Bij een dergelijke beslissing wordt gewerkt volgens de escalatieladder waarin de regie, de opschaling en verantwoordelijkheden van alle betrokkenen staan vastgelegd. Daarnaast wordt vanuit de privacy door de casusregisseur vooraf overleg gevoerd met minimaal de procesregisseur en de PO. Deze beslissing wordt met argumentatie/motivering van de belangenafweging vastgelegd in het dossier.

Met de procesregisseur en de PO wordt de casus geanonimiseerd besproken, tenzij er door betrokkene toestemming is gegeven voor het delen van persoonsgegevens met deze functionarissen.

De betrokkene wordt geïnformeerd over de verstrekking, tenzij dit niet kan in het belang is van betrokkene of van anderen.

Verstrekken van persoonsgegevens aan derden

Bij de verstrekking aan derden, bijvoorbeeld familieleden van de betrokkene, mensen uit zijn sociale netwerk of professionals die niet werkzaam zijn bij één van de bewerkers, wordt toestemming van de betrokkene gevraagd en schriftelijk vastgelegd (zie de paragraaf Informeren en het vragen van toestemming) als een wettelijke grond voor het delen van informatie zonder toestemming ontbreekt. Daarbij is het van belang dat de betrokkene zich ervan bewust is waarvoor toestemming gegeven wordt, en weet dat hij/zij het recht heeft om dit verzoek te weigeren.

Rechten van betrokkenen

Recht op informatie, inzage, afschrift, correctie, overdraagbaarheid en vernietiging. In hoofdstuk 3 van de AVG staan alle rechten van betrokkene beschreven. Er wordt in eerste instantie verwezen naar dit hoofdstuk.

Inzage of afschrift

Iedere betrokkene, die tenminste 16 jaar oud is en ‘in staat is tot een redelijke waardering van zijn belangen ter zake’, heeft het recht op inzage in en eventueel een afschrift (kopie) van de eigen gegevens.

Andere mensen mogen deze gegevens niet inzien. Er zijn twee uitzondering op deze regel: de ouder met gezag (tenzij een jongere van 16 jaar of ouder dit weigert) of een jongere van minimaal 12 jaar (en in staat tot waardering van zijn belangen) in het geval van een jeugddossier.

Correctie of vernietiging

Elke betrokkene heeft ook het recht op correctie of vernietiging als de vastgelegde gegevens (onderbouwd) onjuist zijn, of als er onvoldoende relatie is tussen de gegevens en het doel van verstrekken.

Er zijn gevallen waarbij dit niet geldt:

o
De verwerking is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen.
o
Er is een wettelijke verplichting om gegevens te verwerken.
o
De gegevensverwerking dient de uitoefening van het openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang.
o
De gegevensverwerking dient een taak van algemeen belang op het gebied van de volksgezondheid.
o
De gemeente moet de gegevens in het algemeen belang archiveren.
o
De gegevens zijn noodzakelijk voor een rechtsvordering.

In geval er wordt besloten tot correctie of vernietiging van gegevens, worden ook de verwerkers hierover geïnformeerd.

Procedure

Het college van burgemeester en wethouders heeft de “Procedure Rechten van betrokkene gemeente Geertruidenberg” vastgesteld. Alle verzoeken dienen ingevolge deze procedure te worden beoordeeld en behandeld.

Een dossier kan gegevens van meerdere personen omvatten. Dat betekent dat het behandelen van de vraag om inzage wordt beoordeeld of er geen belangen van andere geschaad kunnen worden. Dat kan betekenen dat (delen van) het dossier niet ingezien mogen worden. In principe bestaat er alleen inzage in de eigen persoonsgegevens. Het is aan de professional om een zorgvuldige afweging te maken tussen het recht op inzage van de eigen gegevens en de belangen van de andere betrokkenen. Inzage en afschrift kan worden gevraagd bij de professional die zijn/haar dossier behandeld, of door een schriftelijke aanvraag in te dienen. Een verzoek voor correctie of vernietiging moet schriftelijk worden ingediend. Inzage, afschrift, correctie of vernietiging moet ‘zo spoedig mogelijk’ worden gerealiseerd. Als uitgangspunt geldt voor afhandeling van de aanvraag een termijn van 4 weken (en daadwerkelijke vernietiging indien toegewezen binnen 3 maanden).

Bewaren en vernietigen van persoonsgegevens

Iedereen heeft het recht om vergeten te worden, maar de gemeente en ook andere organisaties in het sociaal domein hebben de plicht om informatie gedurende een bepaalde tijd te bewaren. Daarom worden persoonsgegevens bewaard en vernietigd op basis van vaste (en over het algemeen per domein wettelijk/landelijk vastgestelde) bewaar- en vernietigingstermijnen die kunnen verschillen per soort ‘zaak’.

Bezwaar- en klachtenprocedure

Als een betrokkene bezwaar heeft tegen verwerking van zijn gegevens of als inzage, correctie of vernietiging wordt geweigerd door de gemeente dan kan betrokkene bij de gemeente bezwaar maken.

Als een ambtenaar in de ogen van de betrokkene onzorgvuldig is omgegaan met zijn/haar gegevens, dan kan de betrokkene een klacht indienen. Deze klacht wordt via de gemeentelijke klachtenprocedure afgehandeld. Klachten over onzorgvuldig handelen van (medewerkers van) andere organisaties worden afgedaan volgens de klachtenregeling van die organisatie. Verder kan een betrokkene ook een klacht indienen bij de Autoriteit Persoonsgegevens.

Tot slot

Dit protocol treedt de dag na publicatie inwerking. Dit protocol kan worden aangehaald als “Privacy protocol Sociaal Domein 2019”.

Aldus besloten in de vergadering van het college van burgemeester en wethouders van de gemeente Geertruidenberg op 27 augustus 2019.

de wnd. burgemeester, de gemeentesecretaris,

J.J. Luteijn, R.C.J. Nagtzaam