Organisatie | De Ronde Venen |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Privacy Protocol Toegang Sociaal Domein De Ronde Venen 2023 |
Citeertitel | Privacy Protocol Toegang Sociaal Domein De Ronde Venen 2023 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
02-03-2023 | nieuwe regeling | 17-01-2023 |
Het college van burgemeester en wethouders van de gemeente De Ronde Venen,
Overwegende dat het wenselijk is regels vast te stellen met betrekking tot de verwerking van persoonsgegevens binnen de toegang van het Sociaal Domein;
De Algemene Verordening Gegevensbescherming (hierna te noemen AVG)
De Uitvoeringswet Algemene Verordening Gegevensbescherming (hierna te noemen UAVG)
Het gestelde in hoofdstuk 7, en het gestelde in paragraaf 8.4, van de Jeugdwet,
Het gestelde in paragraaf 6.2 en het gestelde in paragraaf 6.6, van de Participatiewet,
Het gestelde in hoofdstuk 5, van de Wet maatschappelijke ondersteuning 2015 (hierna te noemen Wmo),
Privacybeleid De Ronde Venen 2022 (hierna te noemen Privacybeleid)
Privacyreglement De Ronde Venen 2022 (hierna te noemen Privacyreglement)
Vast te stellen het navolgende Privacy Protocol Toegang Sociaal Domein De Ronde Venen 2023.
Als gevolg van de decentralisaties Jeugd, Wmo en Participatie heeft de gemeente de verantwoordelijkheid gekregen om de toegang tot hulp en ondersteuning voor haar inwoners te realiseren. Er is bij gemeente De Ronde Venen (hierna te noemen ‘Gemeente’) gekozen voor een aanpak die ertoe moet leiden dat de inwoners met zorg- en ondersteuningsvragen optimaal geholpen worden, waarbij altijd (hulp)vraaggericht te werk wordt gegaan en de behoefte van de inwoner centraal wordt gesteld. Er wordt ingezet op (het versterken van) de zelfredzaamheid en op preventie, zodat zwaardere problematiek zoveel mogelijk voorkomen wordt. Deze taken worden opgepakt binnen de Toegang van de Gemeente. Daarnaast is een samenwerking met de Stichting ServicePunt & Tympaan-De Baat, de huisartsen en de overige maatschappelijke organisaties noodzakelijk.
Bijkomend gevolg van deze noodzakelijke samenwerking is dat de Gemeente en de samenwerkingspartners steeds meer (persoons-)gegevens zijn gaan verwerken binnen het Sociaal Domein. Het is van belang dat er op de juiste manier zorggedragen wordt voor de bescherming van deze persoonsgegevens. Zo moeten persoonsgegevens in ieder geval verwerkt worden in overeenstemming met de Algemene Verordening Persoonsgegevens en andere relevante wet- en regelgeving (zoals, maar niet beperkt tot, de nadere bepalingen over persoonsgegevens in de Jeugdwet, de Wmo en de Participatiewet).
Dit Privacy Protocol is een aanvulling voor de Toegang van het Sociaal Domein op het algemene Privacybeleid en het Privacyreglement van de Gemeente. Het Privacy Protocol geeft de handvatten die in acht genomen worden bij de verwerking van persoonsgegevens binnen het gehele Sociaal Domein, in het bijzonder de Toegang. Daarbij geldt dat dit geen antwoord op iedere afzonderlijke situatie bij voorbaat kan geven, gezien de zorgvuldige afweging van alle belangen die per situatie kunnen verschillen.
Daarbij geldt tevens dat onder dit protocol wordt verstaan onder:
Persoonsgegevens: Alle gegevens die gaan over mensen en waaraan een mens als individu kan worden herkend. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld; naam, adres, geboortedatum).
Let op! Bijzondere persoonsgegevens: Bijzondere persoonsgegevens zijn gegevens als ras, godsdienst, politieke of religieuze overtuiging, lidmaatschap vakvereniging, gezondheid, seksuele gerichtheid, genetische gegevens of biometrische gegevens. Deze gegevens mogen in beginsel niet verwerkt worden, dit mag alleen bij uitzondering.
Verwerking: een handeling of geheel van handelingen met betrekking tot persoonsgegevens. Hieronder vallen in ieder geval: het gebruiken, raadplegen, bijwerken, wijzigen, bewaren, opvragen, verzamelen, vastleggen, ordenen, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, maar ook het afschermen, uitwissen of vernietigen van persoonsgegevens.
Artikel 3 Verwerking van persoonsgegevens
Doel: Naar de betrokkene wordt gecommuniceerd welke persoonsgegevens en voor welk doel de persoonsgegevens verwerkt worden, waarbij de hulpvraag leidend zal zijn. Algemene voorbeelden van doelen zijn: het bieden van jeugdhulp, het vaststellen welke hulp betrokkene nodig heeft op grond van de Wmo of het ondersteunen van betrokkene in inkomen en bij het vinden van mogelijkheden voor werk op grond van de Participatiewet.
De meeste verwerkingen van persoonsgegevens binnen het Sociaal Domein hebben als grondslag dat:
deze noodzakelijk zijn voor de vervulling (uitvoering) van een (publieke) taak in het kader van de uitoefening van het openbaar gezag. Dit betekent in praktijk dat in de Jeugdwet, Wmo of Participatiewet (of overige relevante wetgeving) terug te vinden moet zijn dat de Gemeente deze publieke taak kan uitvoeren;
De grondslag toestemming dient terughoudend ingezet te worden binnen het Sociaal Domein. Er mag bij de grondslag toestemming géén sprake zijn van een afhankelijkheidsrelatie tussen Gemeente en betrokkenen. Bij de toeleiding naar hulp, bij een nieuwe hulpvraag, is toestemming daarom in beginsel geen correcte grondslag, gezien de op dat moment aanwezige afhankelijkheidsrelatie tussen Gemeente en betrokkene.
In artikel 4 en artikel 5 lid 5 en 7 van dit Privacy Protocol wordt verder ingegaan hoe omgegaan dient te worden met toestemming indien de persoonsgegevens van betrokkene al bekend zijn bij de Gemeente.
In het geval dat toestemming rechtmatig als grondslag ingezet kan worden geldt dat toestemming vrij en ondubbelzinnig gegeven moet worden door betrokkene. De betrokkene moet voorafgaand aan het verlenen van toestemming duidelijke en voor hem begrijpelijke informatie ontvangen over het verwerken van de betreffende persoonsgegevens en de consequenties daarvan ontvangen. Toestemming moet schriftelijk door betrokkene gegeven worden, waarbij duidelijk wordt vastgelegd voor welke persoonsgegevens en welke doelen de toestemming gegeven wordt. Eenmaal gegeven toestemming mag altijd weer ingetrokken worden door de betrokkene. Het intrekken van toestemming leidt niet tot een onrechtmatige verwerking van de persoonsgegevens van voor de intrekking van de toestemming.
De hulpvraag is leidend bij het bepalen welke persoonsgegevens noodzakelijk zijn om te verwerken. Bij de verwerking van persoonsgegevens worden de beginselen van proportionaliteit en subsidiariteit in acht genomen. De verwerking van persoonsgegevens moet noodzakelijk zijn voor het omschreven doel. Minimale gegevensverwerking is het uitgangspunt, waarbij het belang van de privacy van de betrokkene zwaar dient te wegen. Bijvoorbeeld: kan het in behandeling nemen van een hulpvraag met minder persoonsgegevens, dan moet het met minder persoonsgegevens.
Bijzondere persoonsgegevens worden alleen verwerkt als voldaan wordt aan de eisen van lid 1 van dit artikel én er een wettelijke uitzondering is. Deze zijn terug te vinden in artikel 9 AVG en nader uitgewerkt in artikelen 22 tot 24 UAVG. Voor de Toegang van het Sociaal Domein betekent dit in praktijk dat er in ieder geval bijzondere persoonsgegevens worden verwerkt indien dit blijkt uit Jeugdwet, Wmo of Participatiewet (of overige relevante wetgeving) of op grond van uitdrukkelijke toestemming van betrokkene.
Het Burgerservicenummer (BSN) is geen persoonsgegeven, maar dient wel zeer terughoudend verwerkt te worden. De Gemeente is bevoegd het BSN te verwerken op grond van het bepaalde in artikel 87 AVG, artikel 46 UAVG en artikel 10 Wet algemene bepalingen Burgerservicenummer. Verwerking van het BSN moet altijd proportioneel zijn, anders wordt het BSN niet verwerkt.
Verwerkingen worden vastgelegd in het verwerkingsregister. Nieuwe verwerkingen, wijzigingen op bestaande verwerkingen of het eindigen van verwerkingen moeten gemeld aan de privacy ambassadeur van het Sociaal Domein of de privacy adviseur van de Gemeente. Zij zullen zorgdragen voor opname, wijziging of verwijdering van de verwerking in het verwerkingsregister.
Artikel 4 Aanvullende bepalingen verwerking persoonsgegevens Wmo
Artikel 5.1.1. Wmo geeft de ruimte om, voor zover betrokkene hiervoor zijn ondubbelzinnige toestemming heeft verleend, eerder verkregen persoonsgegevens (bijvoorbeeld ter uitvoering van taken onder de Jeugdwet of Participatiewet) van betrokkenen te verwerken die noodzakelijk zijn voor de beoordeling van de behoefte aan ondersteuning op grond van de Wmo. Hieronder vallen ook persoonsgegevens die zien op de gezondheid van betrokkene. Dit alles onder nadere voorwaarden van artikel 5.1.1. Wmo.
Artikel 5 Geheimhouding, vertrouwelijkheid en gegevensuitwisseling binnen de domeinen in het Sociaal Domein
In aanvulling van het bepaalde in lid 3 van dit artikel wordt het delen van de persoonsgegevens uitdrukkelijk beperkt tot enkel het delen van persoonsgegevens uit het dossier die noodzakelijk zijn voor uitvoering van de (nieuwe) hulpvraag en waarbij het beoogde doel niet op een minder ingrijpende manier bereikt kan worden.
Uitgangspunt in praktijk is dat de hulpvraag leidend is voor het bepalen van de noodzaak tot verwerking van gegevens. Alleen die gedeelten en persoonsgegevens uit een dossier die noodzakelijk zijn voor de hulpvraag worden domein overschrijdend gedeeld. Dit kan betekenen dat enkel het delen van informatie ‘dat’ er een bepaalde voorziening is voor betrokkene vanuit andere wetgeving al voldoende is. In artikel 6 van dit Privacy Protocol zal verder ingegaan worden op basis gegevenssets in een dossier.
Betrokkene wordt vooraf geïnformeerd over het delen van zijn persoonsgegevens tussen de verschillende domeinen en betrokkene verleent hiervoor zijn ondubbelzinnige toestemming middels het toestemmingsformulier wat op te vragen is bij de privacy ambassadeur. Indien het toestemmingsformulier in uitzonderlijke situaties niet toereikend is, wordt samen met de privacy ambassadeur bepaald hoe de toestemming vastgelegd kan worden.
Het niet geven van toestemming door betrokkene voor domein overschrijdend delen van zijn persoonsgegevens mag géén gevolgen hebben voor de behandeling van de hulpvraag. Betrokkene heeft echter wel nu zelf de verantwoordelijkheid dat hij alle persoonsgegevens en relevante informatie (opnieuw) correct verstrekt. Betrokkene zal zelf het initiatief moeten nemen voor nieuwe (hulp)aanvragen.
Bij meerdere hulpvragen van betrokkene die vallen binnen één domein van het Sociaal Domein, mogen de persoonsgegevens wel gedeeld worden binnen hetzelfde domein op grond van noodzakelijkheid voor een goede uitvoering van de publieke taak van de gemeente (artikel 6 lid 1 sub e AVG) en zónder dat hiervoor toestemming gevraagd hoeft te worden aan betrokkene. Het doel en de context waarbinnen de persoonsgegevens verzameld zijn zullen in dit geval voldoende verenigbaar zijn en de betrokkene mag verwachten dat hij voor een hulpvraag binnen hetzelfde domein niet telkens opnieuw zijn gegevens hoeft door te geven voordat zijn hulpvraag opgepakt wordt.
Artikel 6 Dossiers en gegevenssets
Uitgangspunt voor alle nieuw aan te maken dossiers is dat deze digitaal worden aangemaakt in de door de Gemeente daarvoor aangewezen systemen. Dossiers van verschillende betrokkenen worden altijd gescheiden, tenzij dit een probleem oplevert voor de uitvoering van een goede hulpverlening aan betrokkenen.
In beginsel geldt voor de Participatiewet een bewaartermijn van 10 jaar, Wmo een bewaartermijn van 15 jaar en de Jeugdwet een bewaartermijn van 20 jaar, na afhandeling van de zaak, of zoveel langer als dit redelijkerwijs uit de zorgvuldige uitvoering van de taken op grond van de wet noodzakelijk is.
Betrokkenen hebben de volgende rechten op grond van de AVG:
Recht op dataportabiliteit: het recht om persoonsgegevens over te dragen.
Recht op vergetelheid: het recht om ‘vergeten’ te worden (aangevuld met de mogelijkheid om te eisen dat een organisatie de verwijdering doorgeeft aan alle andere organisaties die de gegevens ontvangen hebben).
Recht op inzage: dat is het recht van mensen om de persoonsgegevens die van hen worden verwerkt in te zien. Bij een inzageverzoek op grond van de AVG gaat het dus niet om de daadwerkelijke inzage in het dossier, maar om het recht van betrokkenen om uitsluitsel te verkrijgen over het verwerken van persoonsgegevens van betrokkene en om inzage te verkrijgen hiervan. Daarbij wordt aan betrokkene een overzicht verstrekt waarin bijvoorbeeld genoemd wordt:
Recht op rectificatie en aanvulling: het recht om de persoonsgegevens die worden verwerkt te wijzigen en/of aan te vullen (dan wel een eigen toelichting toe te voegen aan het dossier).
Het recht op beperking van de verwerking: het recht om minder gegevens te laten verwerken.
Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
Het recht om bezwaar te maken tegen de gegevensverwerking.
Indien een betrokkene/inwoner gebruik wil maken van zijn rechten en een verzoek op grond van de AVG wil doen, dan wordt verwezen naar de gemeentelijke website. Daar staat in de privacyverklaring en onder ‘Gebruik maken van uw privacyrechten’ vermeld hoe de gemeente omgaat met persoonsgegevens en hoe een verzoek (digitaal) ingediend kan worden.
Bij binnenkomst van een verzoek van betrokkene/inwoner op een andere manier dan digitaal, dient onverwijld de teammanager, privacy ambassadeur en privacy adviseur (middels privacy@derondevenen.nl) ingelicht te worden. Indien mogelijk wordt meteen de ID check gedaan. Pas daarna kan het verzoek verder afgehandeld worden onder instructie van de privacy ambassadeur en privacy adviseur van de Gemeente. De privacy adviseur bewaakt de termijnen en communiceert verder met de verzoeker.
Iedere betrokkene heeft in beginsel recht op volledige inzage in het eigen dossier, binnen de reikwijdte van de betreffende wet- en regelgeving. Een verzoek om eigen dossierinzage (op grond van bijvoorbeeld Jeugdwet, Wmo of Participatie) is dus een ander verzoek dan het inzage verzoek op grond van de AVG zoals omschreven in artikel 8 van dit Privacy Protocol.
Geen inzage wordt verleend in het dossier, of gedeelten hiervan, indien:
de inzage in, of verstrekking van, niet verenigbaar is met de zorg van een goed hulpverlener. Dit houdt in (maar is niet beperkt tot) dat de veiligheid van de betrokkene beschermd moet worden. Als inzage in het dossier, of gedeelten hiervan, de veiligheid van betrokkene kan schaden, dan wordt inzage niet verleend.
Artikel 10 Informatieveiligheid
Enkel en alleen de noodzakelijke personen krijgen toegang tot persoonsgegevens. Dit gebeurt middels het geven van autorisaties, deze worden uitgedeeld op basis van ‘Need-to-know’. De autorisaties worden intern vastgelegd in een autorisatiematrix die regelmatig wordt gecontroleerd door de proceseigenaar. Het correct toewijzen van toegangsrechten draagt bij aan het veilig omgaan met de gegevens van inwoners en daardoor aan een betere dienstverlening voor onze inwoners.
De werkomgeving van de Gemeente en de systemen waarin persoonsgegevens en dossiers verwerkt dan wel opgeslagen worden dienen te voldoen aan passende technische en organisatorische (beveiligings-)maatregelen op grond van artikel 5 en 32 AVG. Daarvoor wordt aangesloten bij de eisen uit de Baseline Informatiebeveiliging Overheid (BIO). Dit is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen.
Medewerkers binnen de Toegang van het Sociaal Domein spannen zich mede in om de informatieveiligheid van persoonsgegevens te waarborgen. In praktijk houdt dit in dat door hen ten minste de volgende maatregelen worden getroffen:
De meest recente werkinstructies vanuit de Gemeente omtrent hybride / thuiswerken worden opgevolgd. Iedere (vaste) medewerker wordt voorzien van laptop en overige voorzieningen die noodzakelijk zijn voor hybride werken. Op het gemeentelijk intranet zijn nadere instructies voor de medewerkers terug te vinden die opgevolgd dienen te worden.
Artikel 11 Datalekken en incidenten
Een (beveiligings-)incident wordt tevens onverwijld gemeld bij de teammanager en privacy adviseur of CISO. Bij een incident kunnen persoonsgegevens veilig blijven, maar is er schade toegebracht aan de digitale en fysieke omgeving, of is er dreiging van schade. Bijvoorbeeld bij phishing, virus besmetting of het verlies van een laptop.
Artikel 12 Uitwisseling persoonsgegevens met organisaties en derden
Indien de Gemeente een maatschappelijke organisatie en/of derde partij inschakelt om voor haar persoonsgegevens te verwerken, dan zal tussen Gemeente en de wederpartij (zijnde verwerker) een Verwerkersovereenkomst gesloten worden waarin nadere afspraken worden vastgelegd over de verwerking van persoonsgegevens. De Gemeente hanteert de standaard Verwerkersovereenkomst van de VNG.