Beleidsnotitie Gegevensdeling en Privacy in het Sociaal Domein Fryslân 1.
Inleiding
Deze notitie geeft handvatten voor gemeenten om hun beleid ten aanzien van gegevensdeling en privacy in het sociaal domein te beschrijven. Er is zeer veel over dit onderwerp te vinden; in dit stuk is een keuze gemaakt om een aantal principes te beschrijven die in samenhang leiden tot die handvatten. Met deze notitie wordt beoogd een uniform kader op hoofdlijnen vast te leggen voor gegevensdeling en privacy, niet alleen voor de gemeenten intern, maar ook voor de onderdelen/ organisaties die rechtstreeks onder aansturing van de gemeenten staan en waar de gemeenten een inkoop- of subsidierelatie mee hebben. Daarbij is het belangrijk om te onderkennen dat er samenwerkingspartners zijn die eigenstandige verantwoordelijkheden, taken en wetgeving ten aanzien van gegevensdeling en privacy hebben. Gemeenten kunnen stimuleren dat er zoveel mogelijk op een eenduidige wijze gewerkt wordt op het terrein van gegevensdeling en privacy, maar op basis van respect voor die andere kaders (bijv. medisch beroepsgeheim, justitiële gegevens).
2.
Het leidend principe in het sociaal domein, 1 kind-1 gezin-1 plan
In het sociaal domein wordt gewerkt volgens het principe van 1 kind / 1 gezin, 1 plan , 1 regisseur / contactpersoon. Toegang tot ondersteuning en hulpverlening waarvoor de gemeenten verantwoordelijk zijn, verloopt in principe via het gebiedsteam. De nadruk ligt op vroegsignalering, preventie en eigen kracht met als doel waar mogelijk het voorkomen van zwaardere problematiek. En uiteraard, indien aan de orde, een efficiënte en resultaatgerichte aanpak van complexe (multi-) problematiek. Daartoe moeten professionals samenwerken en gegevens delen en verwerken. Het gebiedsteam is niet het enige samenwerkingsverband dat zich bezighoudt met de aanpak van de hulpvraag van de burger, maar in principe wel de eerste en de meest laagdrempelige.
3.
Grondrechten
Het sociaal domein is het speelveld van diverse grondrechten: het klassieke grondrecht 'recht op bescherming van de persoonlijke levenssfeer' en de sociale grondrechten 'recht op zorg, recht op een menswaardig bestaan'. Kinderen hebben een extra beschermde positie; de overheid moet waken over de belangen van het kind. De overheid in het algemeen en de gemeente in het bijzonder hebben de opdracht om beide typen grondrechten te borgen en tegelijk te zoeken naar die mogelijkheden om een integrale manier van werken mogelijk te maken.
4. Beleidsvisie 'Zorgvuldig en bewust; Gegevensverwerking en Privacy in een gedecentraliseerd sociaal domein' Vanwege de veranderende maatschappelijke context, de nieuwe opgaven die bij de gemeenten liggen, en de verschillen in interpretaties van de privacyregels heeft een interdepartementale werkgroep de beleidsvisie 'Zorgvuldig en bewust; Gegevensverwerking en Privacy in een gedecentraliseerd sociaal domein' (verder te noemen: beleidsvisie) opgesteld. Deze is 27 mei 2014 aan de Tweede Kamer aangeboden. De beleidsvisie geeft een waardevolle en bruikbare benadering in aanvulling op de wet- en regelgeving en de toepassing daarvan in deze fase van ontwikkelingen
Notitie Gegevensdeling en privacy in het Sociaal Domein Fryslân 20 november 2014
Pagina 1
en veranderingen. Nadrukkelijk wordt aangegeven dat gemeenten de ruimte moeten krijgen voor een 'lerende praktijk'. De beleidsvisie benadert het vraagstuk van gegevensdeling en privacy vanuit een systeem van check en balances en vanuit de volgende aspecten: 1. balans tussen noodzakelijke gegevensverwerking vanuit de maatschappelijke opgave in het sociaal domein en borging van de privacy; 2. versterking van de positie van de burger; 3. versterken van de democratische verantwoording over gegevensverwerking en privacy op lokaal niveau. 4. Noodzakelijke gegevensdeling is sterk situationeel.
5. Opdracht aan gemeenten: beleid vastleggen Er moet zorgvuldig en bewust worden omgegaan met gegevens; de gemeente moet beleid vaststellen ten aanzien van deze aspecten, niet alleen voor de eigen organisatie, maar ook in geval van uitbesteding, inkoop en samenwerking. De volgende onderdelen zijn hierbij van belang. Wetgeving De wetten in het sociaal domein (daaronder vatten wij de Jeugdwet, de Wet maatschappelijke ondersteuning 2015, de Participatiewet) bevatten regels met betrekking tot gegevensverwerking. Voor aspecten met betrekking tot de gegevensdeling die niet in deze wetten geregeld zijn, is de Wet bescherming persoonsgegevens (Wbp) van toepassing. Inhoudelijk Dit gaat over de vraag vanuit welke grondgedachte wordt omgegaan met gegevensdeling en privacy. Daarmee zijn de volgende uitgangspunten annex: De hulpvraag van de burger is leidend. Met de burger, niet over de burger. De aanpak van de hulpvraag (ondersteuningsplan) wordt in overleg bepaald. Transparantie. De professional bespreekt met de burger of er informatie ingewonnen / gedeeld moet worden, wat er met welke gegevens gebeurt en wat er waar wordt vastgelegd. De professional wijst de burger op zijn rechten (zie hierna onder 'toestemming'). Er wordt zoveel mogelijk gewerkt met 'dat' informatie in plaats van met 'wat' informatie. De 'wat' informatie blijft bij de betreffende hulpverleners. In de werkprocessen van de gebiedsteams moet bovenstaande herkenbaar en zichtbaar zijn. Toestemming? Een aparte plek verdient het onderwerp 'toestemming'. De wetgeving gaat veelal uit van het toestemmingsvereiste voor het verwerken van gegevens. In de ideale situatie levert dit geen probleem op; de dienst- of hulpverlening (inclusief de bepaling of en met wie gegevens moeten worden gedeeld) wordt uitgevoerd in samenspraak met de burger. De professional zal met de burger bespreken welke informatie noodzakelijk is om vast te leggen met het oog op de vervolgstappen, op welke punten nadere informatie noodzakelijk is en op welke manier die verkregen kan worden: door de burger zelf, door de gemeente op te vragen uit gemeentelijke bestanden, of door de burger of gemeente op te vragen bij andere instanties. Met de burger wordt besproken welke waarborgen er zijn en welke rechten de burger heeft. Het kan noodzakelijk zijn dat een onderscheid wordt gemaakt tussen gegevens die essentieel zijn om een beslissing te kunnen nemen ten aanzien van bepaalde voorzieningen (toetsing aan criteria) Notitie Gegevensdeling en privacy in het Sociaal Domein Fryslân 20 november 2014
Pagina 2
en gegevens die nodig zijn om iemand beter te kunnen helpen of een beter beeld te krijgen van de situatie (vraagverheldering). In de eerste situatie gaat het om voorwaarden die de gemeente wettelijk mag stellen aan een bepaalde voorziening. De burger heeft geen keuze, of hij of zij moet afzien van de aanvraag voor de betreffende voorziening. In het tweede geval kan de burger wel weigeren en aangeven dat hij of zij graag heeft dat de gemeente zich beperkt tot de specifieke hulpvraag. Expliciet toestemming vastleggen in een formulier zal in het algemeen niet aan de orde zijn: instemming van de burger met de totale aanpak blijkt uit het verslag of plan van aanpak. Niet alle zaken die bij de gebiedsteams terecht komen, zullen verlopen als hiervoor geschetst. Er kunnen meldingen door anderen gedaan worden; er kan sprake zijn van zorgmijders; burgers die niet in staat zijn hun situatie en de noodzaak om daar iets aan te veranderen objectief in te schatten of waar een te complexe, meervoudige problematiek speelt. Als zich de situaties voordoen waarbij de veiligheid of gezondheid van betrokkenen in gevaar zijn, is het aan de professional om de afweging te maken om zonder toestemming of informatie vooraf gegevens te delen. De afweging of er een signaal in de Verwijsindex Risicojongeren moet worden geregistreerd, maakt integraal onderdeel uit van de werkwijze. Uiteraard moeten deze afwegingen worden vastgelegd in het dossier complexe problematiek. De in de beleidsvisie genoemde lerende praktijk moet hier meer duidelijkheid over gaan verschaffen. Kortom: het gesprek tussen burger en medewerker gebiedsteam zal veel meer ingestoken moeten worden conform het transparantiebeginsel: de professional vertelt dat hij gegevens gaat delen, met wie, legt uit waarom. Als de burger aangeeft daar bezwaar tegen te hebben, zal de professional die bezwaren moeten wegen langs de eisen van proportionaliteit, subsidiariteit en doelmatigheid en tot een besluit komen. De beslissing, de argumenten en de weging moeten worden vastgelegd in het dossier. Dus op deze manier, met inachtneming van de eisen van professionele zorgvuldigheid, een goed uitgevoerde triage (zie hierna) en een correcte vastlegging in het dossier, moet dit ondervangen worden. Zie verder onder 'werkprocessen gebiedsteams en triage'. Instrumenteel Een belangrijke vraag die gemeenten zichzelf moeten stellen is: “voldoet onze organisatie aan de eisen met betrekking tot vertrouwelijkheid (persoonsgegevens kunnen alleen worden verwerkt door daartoe gemachtigde personen), transparantie (kan aangetoond worden dat de geleverde diensten voorzien zijn van effectieve beveiligingsmaatregelen), juistheid, nauwkeurigheid en noodzakelijkheid?” Om de informatieveiligheid goed te richten dan wel naar een hoger niveau te tillen stelt de Informatiebeveiligingsdienst (IBD )voor gemeenten een toolkit ter beschikking. Deze toolkit bevat onder meer de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en operationele producten behorend bij de BIG. Met behulp hiervan kan iedere gemeente tot implementatie van de BIG overgaan. De BIG wordt als leidraad voor het gemeentelijke beleid gezien; daar zal uitvoering aan worden gegeven. Daarmee wordt een basis voor de informatiebeveiliging gelegd, ook voor de nieuwe taken in het kader van de decentralisaties. Samenwerking, uitbesteding, inkoop Het beleid zal worden vertaald in aanbestedingsdocumenten en subsidievoorwaarden. Van partijen wordt verwacht dat zij zich actief opstellen in wijze van werken en (mede) zorg dragen voor de borging daarvan, o.a. door middel van het regelmatig trainen van de teams en de teamleden. Het is een belangrijk kwaliteitscriterium.
6. Werkprocessen gebiedsteams en triage
Notitie Gegevensdeling en privacy in het Sociaal Domein Fryslân 20 november 2014
Pagina 3
Zoals hiervoor aangegeven moet het onderwerp gegevensdeling en privacy een duidelijke en vanzelfsprekende plek in de werkprocessen van de gebiedsteams. De professional heeft de taak om ten aanzien van alle casussen met een meer dan enkelvoudige vraag de volgende stappen te doorlopen bij de afweging om gegevens te delen: Wat is de wettelijke grondslag op basis waarvan de gegevens worden verwerkt o Is er een wettelijke verplichting o Is er een publiekrechtelijke taak o Zijn er andere grondslagen, zoals toestemming, vitaal belang of verenigbaar belang Wat is doel van de uitwisseling (doelbinding); Is er een minder ingrijpende maatregel mogelijk (subsidiariteit) Zijn doel en maatregel met elkaar in verhouding (proportionaliteit Welke gegevens zijn noodzakelijk (alleen need to know en niet nice to know); Kan en mag het: zijn er beperkingen waardoor er alleen in geval van toestemming of een vitaal belang gegevens kunnen worden uitgewisseld, zijn er specifieke privacyregels die gelden voor betrokken partijen? De uitkomsten van deze afwegingen moeten in het dossier worden vastgelegd. Er moet uitgegaan worden van het transparantiebeginsel: de burger heeft recht op te weten wat waar met welk doel over hem wordt vastgelegd. Triage Belangrijk in de werkprocessen van de gebiedsteams is het proces van triage: triage is een hulpmiddel bij het goed inregelen van privacy in de werkprocessen van de gemeenten voor de decentralisaties. Het is het proces van verhelderen, routeren en escaleren van vragen en casussen waarbij tevens bepaald wordt welke informatie daarbij nodig is. Wanneer men besluit over de route van een vraag/casus maakt men meteen de afweging wat de noodzakelijke gegevensverwerking is die daarbij hoort. Deze afweging dient te worden vastgelegd. Zo is het voor de burger voor, tijdens en na het contact, goed inzichtelijk te maken wat er met zijn/haar gegevens gebeurt en waarom. Training en borging Het is goed om ook op deze plek te onderkennen dat er wel heel veel in verandering is. Nieuwe teams, nieuwe werkwijzen, nieuwe aansturing, nieuwe kaders. Nu alles in de startblokken staat, is er veel aandacht voor training. Voor het onderwerp gegevensdeling en privacy is dat ook zeer belangrijk; niet alleen bij de start, maar doorlopend. De lerende praktijk kan alleen tot stand komen als er regelmatig reflectie plaatsvindt en als de daaruit verkregen inzichten getoetst worden en weer terugkomen bij de teams.
7. Gebiedsteams, andere samenwerkingsverbanden en overige samenwerkingspartners Binnen een samenwerkingsverband is gegevensdeling goed te regelen door het vastleggen van de werkwijze en afspraken, het toepassen hiervan, het werken in een goed functionerend informatiesysteem en het regelen van de toegang tot dit systeem. Ingewikkelder wordt het als er tussen of met organisaties buiten de samenwerkingsverbanden informatie gedeeld moet gaan worden, bijvoorbeeld in geval van opschaling en afschaling. Daarvoor zijn/ komen specifieke methoden beschikbaar (o.a. de escalatiematrix).
Zie hiervoor onderstaande afbeelding. Het schakelen / overdragen / informatie-uitwisseling tussen de samenwerkingsverbanden moet geregeld worden in samenwerkingsconvenanten.
Notitie Gegevensdeling en privacy in het Sociaal Domein Fryslân 20 november 2014
Pagina 4
N.b. het is goed om te bedenken dat slechts een klein deel van de problematiek uitkomt in het bovenste deel van de piramide.
multiproblem situaties
afschaling Triage
meervoudige vragen enkelvoudige vragen
Triage opschaling
8. Tot slot Deze notitie gaat in op de ontwikkelingen op het gebied van gegevensdeling en privacy in relatie tot het sociaal domein. Gemeenten hebben voor een belangrijk deel de regie in het sociaal domein, maar moeten ook samenwerken met partners die onder aanpalende domeinen vallen en andere wettelijke kaders hebben. Bij gemeenten ligt de opdracht om een goede balans te vinden tussen gegevensdeling en privacy, de positie van de burger te versterken en de mogelijkheid tot democratische verantwoording daarover te faciliteren en te versterken. De uitvoering ligt grotendeels in handen van de samenwerkwerkende professionals; die moeten gefaciliteerd worden door het stellen van de kaders, deskundigheidsbevordering en evaluaties. De basis hiervoor is in deze Friese notitie gelegd. Er moeten nog zaken lokaal worden uitgewerkt: - Werkprocessen met de triagemomenten, zowel voor het betreffende team als de doorgeleiding naar andere samenwerkingsverbanden / domeinen (opschaling en afschaling); - Opstellen kwaliteits- en evaluatie instrumentarium, ook ten behoeve van rapportage aan de raad; - Informatiesystemen en koppelingen; - Convenanten opstellen cq aanpassen; - Teams in de gelegenheid stellen om de trainingen te volgen (er komt een provinciaal aanbod) en de borging daarvan; - Communicatie naar de burger (hoe wordt er omgegaan met gegevensdeling en privacy, inzagerecht, wijzigingsrecht, klachtrecht, etc).
Notitie Gegevensdeling en privacy in het Sociaal Domein Fryslân 20 november 2014
Pagina 5