De Autoriteit Persoonsgegevens heeft vorige week een rapport gepubliceerd over de rechtmatigheid van de verwerking van persoonsgegevens door gemeenten in het sociaal domein.(1)
Auteur: Eliëtte Vaal
In 2016 publiceerde de Autoriteit een overkoepelend rapport op basis van onderzoek bij de 41 grootste gemeenten. Blijkens het rapport ontbrak het de gemeenten aan inzicht in de regelgeving en inhoud, doel en grondslag van de gegevensverwerkingen. Het rapport bevatte een nadere uitleg van het juridische kader en de opdracht aan gemeenten om hun verwerkingen in overeenstemming te brengen met privacyregelgeving.
De Autoriteit heeft recent een vervolgonderzoek gedaan bij de gemeente Nijmegen en Zaanstad. In het nieuwe rapport worden de gemeenten wel met naam genoemd. Het vervolgonderzoek spitst zich toe op de vraag of tijdens het toeleiding proces (op grond van Wmo 2015 en Jeugdwet) bovenmatig persoonsgegevens worden geregistreerd door de hulpverleners in de sociale wijkteams.
Uit het rapport volgt dat de gemeenten verantwoordelijk zijn voor de gegevensverwerkingen, ook als deze zijn uitbesteed aan een wijkteam. De gemeente heeft de zorgplicht om te waarborgen dat professionals voldoende in staat zijn om te kunnen beoordelen welke persoonsgegevens noodzakelijk zijn voor de toeleiding naar zorg. Volgens de Autoriteit moeten de gemeenten bijvoorbeeld zorgen voor trainingen en adequate handreikingen voor professionals. Van de gemeenten wordt dus een actieve houding verwacht.
De gemeenten moet ervoor zorgen dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk voor het doel waarvoor zij nodig zijn. Gegevens zijn volgens de Autoriteit niet noodzakelijk voor de toeleiding naar zorg indien deze niet relevant zijn voor het toe- dan wel afwijzen van een voorziening voor de specifieke hulpvraag. Een brede, integrale, uitvraag gericht op het functioneren van de betrokkene op meerdere gebieden in een zelfredzaamheidsmatrix die niet zijn gerelateerd aan de hulpvraag is in elk geval niet proportioneel. De Autoriteit roept gemeenten die een zelfredzaamheidsmatrix gebruiken op om hun werkwijze aan te passen. Ook het verzamelen en bewaren van losse brieven en rapporten in het dossier kan de noodzakelijkheidstoets volgens de Autoriteit niet doorstaan.
Gemeenten kunnen zich niet langer verschuilen achter de complexiteit van de privacyregelgeving in het sociaal domein. Het is duidelijk dat van gemeenten verlangd wordt dat zij hun verwerkingen van persoonsgegevens in het sociaal domein op orde hebben. Met de komst van de AVG worden de verplichtingen van de gemeenten (nog) zwaarder: niet alleen moeten gemeenten dan voldoen aan de wet, maar moeten zij dat ook kunnen aantonen. Gemeenten doen er dan ook goed aan om hun gegevensverwerkingen inzichtelijk te maken, te beoordelen en daar waar nodig aan te passen. Zowel voor het in kaart brengen van de verwerkingen als voor de beoordeling van de noodzakelijkheid van de verwerkingen is de input van de professionals in de wijkteams onmisbaar. Ons advies is dan ook om samen met de professionals aan de slag te gaan.
(1) Rapport: Gegevensverwerking gemeente Nijmegen bij toeleiding naar hulp, Autoriteit Persoonsgegevens, 15 februari 2018.
Dit artikel is ook te vinden in het dossier Privacy in de zorg