Decentralisatie van de zorg: gemeenten en privacy

Terug naar articles

16 maart, 2015

Vanaf 1 januari dit jaar zijn Nederlandse gemeenten verantwoordelijk geworden voor de jeugdzorg, zorg aan langdurig zieken en ouderen, het uitvoeren van de bijstand, de sociale werkplaatsen en de uitkeringen aan de jonggehandicapten. Daarnaast zijn gemeenten verantwoordelijk voor jeugdbescherming, jeugdreclassering, gesloten jeugdzorg, geestelijke gezondheidszorg voor jeugdigen en de zorg voor jeugd met een licht verstandelijke beperking. Een heleboel nieuwe taken dus voor gemeenten, waarbij grote hoeveelheden (bijzondere) persoonsgegevens worden verzameld, gedeeld, bewaard en gebruikt. Het is daarom van groot belang dat gemeenten hier op een verantwoorde manier mee omgaan.

Het overhevelen van taken van de centrale overheid naar gemeenten wordt aangeduid met de decentralisatie van de zorg. Het kabinet heeft deze verandering met drie wetswijzigingen in gang gezet. Het gaat om de nieuwe Jeugdwet (waarin zaken worden geregeld die voorheen in de Wet op de jeugdzorg en AWBZ waren opgenomen), Wet maatschappelijke ondersteuning en om de Participatiewet (deze laatste is een samenvoeging van de wet werk en bijstand, wet sociale werkplaatsen en wet passend onderwijs).

Onder andere het College bescherming persoonsgegevens (CBP) heeft veel vraagtekens gezet bij de privacyrechtelijke aspecten van deze decentralisatie van de zorg.

Om u op de hoogte te houden van de actuele stand van zaken zal in dit artikel naar een aantal privacyrechtelijke vraagstukken worden gekeken die op dit moment bij de gemeenten in het kader van de decentralisatie spelen. Daarnaast worden handvatten aangereikt die gemeenten kunnen gebruiken om hun gegevensverwerkingen zo efficiënt en privacybewust mogelijk in te richten.

Grondslagen voor verwerking

De Wbp vereist dat elke verwerking van persoonsgegevens steunt op één van de grondslagen die genoemd worden in artikel 8 Wbp, dit om te allen tijden de privacy van de betrokken burger te waarborgen. Volgens het CBP ontbreekt veelal een deugdelijke wettelijke basis voor de verwerking van persoonsgegevens door gemeenten zoals deze na de decentralisatie is ingericht.
Naast het feit dat alle verwerkingen moeten steunen op een grondslag moeten deze daarnaast rechtmatig en noodzakelijk zijn. De rechtmatigheid behelst in dit geval de vraag of er bij de verwerkingen rekening is gehouden met sectorspecifieke wetgeving, en de vraag of deze wetgeving op zichzelf aan de eisen van de Wbp voldoet. Deze samenhang van rechtmatigheid en noodzakelijkheid met de grondslagen uit artikel 8 moet er voor zorgen dat er een duidelijk overzicht ontstaat van wat er wel en niet mag met betrekking tot gegevensverwerking. Het kabinet heeft in haar beleidsvisie aangegeven dat voor het vaststellen van deze grondslag zal moeten worden gekeken naar de zogenaamde ‘lerende praktijk’. Hiermee wordt bedoeld dat er zal worden afgewacht of er zich privacyrisico’s voordoen, waar dan vervolgens op gereageerd zal worden. Het CBP voelt weinig voor deze aanpak en wijst op een groot aantal problemen en onduidelijkheden die hierdoor ontstaan, onder andere bij de manier waarop gemeenten bepalen wat wel en wat niet mag bij verwerking van persoonsgegevens. Bij elk van deze beslissingen zal steeds de grondslag moeten worden bepaald. Een beroep op de grondslagen ‘goede vervulling van een publiekrechtelijke taak door een bestuursorgaan’ (art. 8 onder e Wbp) en/of ‘toestemming van betrokkene’ (art. 8 onder a Wbp), waarvan het gebruik de voorkeur heeft van het kabinet, volstaat niet in ieder geval, aldus het CBP.

Het delen van gegevens

Een tweede heikel punt is gelegen in de grote hoeveelheden gegevens waar de gemeente over zal gaan beschikken. Onder het motto “Eén gezin, één plan, één regisseur” wilde het kabinet de uitvoering van de zorg zoveel mogelijk in één hand te leggen. Hierdoor krijgt de gemeente de beschikking over heel veel persoonlijke informatie op het gebied van zorg, werk en inkomen maar ook op het gebied van strafrecht. Het wordt hierdoor mogelijk om gegevens van verschillende instanties aan elkaar te koppelen. Het gebruik van gegevens voor een ander doel dan waar deze oorspronkelijk voor verzameld zijn is echter in principe niet toegestaan. Het is dus van groot belang dat gemeenten hier uiterst zorgvuldig mee omgaan.

In het geval waarin meerdere instanties moeten samenwerken om een zorgcasus op te lossen wordt deze casus ondergebracht in een samenwerkingsverband tussen verschillende instanties. Hierin is sprake van domeinoverstijgende gegevensdelingen, waarbij door verschillende instanties gegevens worden uitgewisseld. Op die manier wordt geprobeerd samen tot een oplossing te komen. Dit uitwisselen van gegevens kan daarom een aanmerkelijk privacy probleem opleveren, bijvoorbeeld doordat voor de betrokkenen niet meer duidelijk is wat er met zijn gegevens wordt gedaan en wie als verantwoordelijke voor deze gegevensverwerkingen kan worden aangemerkt.

Wat kunt u doen?

Om de privacy van betrokkenen te waarborgen binnen uw organisatie moet de verantwoordelijkheid voor de te verwerken persoonsgegevens goed worden vastgelegd. Daarnaast moeten met betrekking tot gegevensdelingen tussen verschillende instanties duidelijke afspraken worden gemaakt.
De verantwoordelijke is degene die volgens de Wbp het doel en de middelen van de gegevensverwerkingen bepaalt. Deze persoon is naar de buitenwereld toe het aanspreekpunt met betrekking tot de gegevensverwerkingen. Er moet dan ook bij het aanwijzen van de verantwoordelijke te allen tijden sprake zijn van duidelijke communicatie naar betrokkenen toe. Dit kan gecompliceerd worden doordat het in samenwerkingsverbanden mogelijk is dat er meerdere verantwoordelijken zijn. Het is dus van essentieel belang hier voldoende aandacht aan te besteden en de wijze waarop met persoonsgegevens wordt omgegaan hierop af te stemmen.

In geval van samenwerking van verschillende instanties moet deze samenwerking goed worden gedefinieerd en vormgegeven. Het betreft dan een vaststelling van het doel dat de gemeente voor ogen heeft met de samenwerking en welke rol zij daar zelf in vervuld. Daarnaast moet inzichtelijk gemaakt worden wie de betrokken partners zijn, en wat hun respectievelijke rollen en doelen zijn. Dit overzicht kan helpen om te bepalen of bepaalde gegevensdelingen niet te verstrekkend zijn. Maak daarnaast duidelijke afspraken over het gebruik van de gegevens en over de afhandeling op het moment dat deze gegevens niet meer nodig zijn. Deze afspraken kunnen worden vastgelegd in een zogenaamd samenwerkingsconvenant. Een dergelijk convenant voorkomt dat er later verwarring ontstaat over de gemaakte afspraken en helpt bij het afdwingen van deze afspraken.

Ook als u als organisatie aan een samenwerkingsverband met een van de gemeenten meedoet moet u de privacy van betrokkenen in acht nemen. Zo is het slechts toegestaan om persoonlijke gegevens te verstrekken als u aan de hierboven genoemde vereisten voldoet (is het verstrekken van de gegevens noodzakelijk, is er een grondslag en rusten er geen wettelijke plichten zoals een geheimhoudingsplicht – bijvoorbeeld het medische beroepsgeheim – op de betreffende gegevens?) Toets daarom altijd of de verstrekking of verkrijging van gegevens door uw organisatie rechtmatig is.

We wijzen u ook graag op de website van het Cbp, die een eigen pagina heeft opgesteld over decentralisatie in het sociaal domein.

Neem voor meer informatie over dit onderwerp contact op met:

mr. Nathalie Falot (falot@considerati.com) of mr. Tess Priester (priester@considerati.com).

Gerelateerde blogs

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.