Privacy
5
Handreiking inzet van e-learning in de SW
Strategische bouwstenen
Strategische bouwstenen
Praktijkvoorbeelden
Wachtlijst
Praktische bouwstenen
Praktische bouwstenen
Praktische bouwstenen Strategische bouwstenen
1 2 3 4
5 6 7 8
Praktische bouwstenen
Brancheprofiel GGZ en Maatschappelijke opvang
Leidraad Regionale aanpak Samenwerking met VG, GGZ en MO
De micro of operationele bouwstenen
Wachtlijst
Privacy
De begeleiding van medewerkers met psychische of psychiatrische problemen
De begeleiding van medewerkers met verslavingsproblemen en ongewenst gedrag
Arbeidsontwikkeling
De financiering van de geestelijke gezondheidszorg
Arbeidsontwikkeling
1
SBCM Bouwsteen 5
Inhoudsopgave 1. Vraagstelling en resultaat 2. Werkwijze binnen de SW 3. Conclusies 4. Bijlagen: 1. Definiëring van het begrip ‘persoonsgegevens’ 2. Wet bescherming persoonsgegevens 3. Toelichting op de Wet bescherming persoonsgegevens 4. College bescherming persoonsgegevens 5. Protocol
pagina 1
SBCM Bouwsteen 5
1.
pagina 2
Vraagstelling en resultaat
Vraagstelling 1. In hoeverre en onder welke omstandigheden mogen werkleiders, begeleiders, jobcoaches en andere functionarissen op de hoogte zijn van de (medische) gegevens of diagnose van een kandidaat/medewerker? 2. Op welke manier gaan de SW-bedrijven om met de vraagstelling? Hanteren zij regels? Bestaat er een intern protocol? We kwamen op de volgende manier tot een antwoord op deze vragen: • Definiëring van het begrip ‘persoonsgegevens’ Om de vragen te beantwoorden, was verduidelijking van het begrip ‘persoonsgegevens’ belangrijk. Op de website van de overheid (www.overheid.nl) staat dit begrip nader uitgelegd in de vorm van vraag en antwoord. We hebben de belangrijkste elementen uit deze rubriek verwerkt in deze bouwsteen. •
Wettelijke bepalingen De Wet bescherming persoonsgegevens (Wbp) is van toepassing verklaard. In deze wet staan voornamelijk de uitzonderingen op de regel: het verwerken van persoonsgegevens is verboden, tenzij … De belangrijkste, voor de vraagstelling relevante artikelen zijn in deze bouwsteen verwerkt.
•
Toelichting De wettekst is niet bijzonder toegankelijk. Daarom verwerkten wij een toelichting op de bepalingen in deze bouwsteen. Ook hier bracht de website www.overheid.nl uitkomst.
•
College bescherming persoonsgegevens Het College bescherming persoonsgegevens (CBP) ziet toe op naleving van de Wpb. In hoofdstuk 9, artikel 51 van de Wbp staat de taak van het College volledig beschreven. We hebben dit artikel in deze bouwsteen opgenomen, want de sector heeft of krijgt met het CBP te maken.
•
Protocol Het College bescherming persoonsgegevens heeft een eigen website (www.cpbweb.nl). Daar is nadere informatie beschikbaar over protocollen. We hebben de informatie die relevant is voor de vraagstelling in deze bouwsteen verwerkt.
•
Conclusies U vindt de zojuist genoemde punten in de bijlagen. Deze informatie biedt een helder inzicht in de randvoorwaarden en zo ook het antwoord op de eerste vraag.
3. Werkwijze binnen de SW De conclusies boden een handvat voor onderzoek onder een aantal SW-bedrijven. We wilden zo antwoord krijgen op de tweede vraag: Op welke manier gaan de SW-bedrijven om met de vraagstelling? Hanteren zij regels? Bestaat er een (intern) protocol? De volledige enquêtevragen, antwoorden en conclusies staan in hoofdstuk 2 van deze bouwsteen.
SBCM Bouwsteen 5
pagina 3
Resultaat Het geraadpleegde wettelijk vastgelegde materiaal komt er in het kort op neer, dat: • … het verwerken van persoonsgebonden gegevens niet is toegestaan, tenzij in de Wet bescherming persoonsgegevens anders is bepaald. • … de betrokkene in alle gevallen toestemming dient te verlenen voor het verwerken van persoonsgebonden gegevens. • … persoonsgebonden gegevens niet aan derden mogen worden verstrekt, tenzij de betrokkene hiervoor uitdrukkelijk toestemming verleent. • … persoonsgebonden gegevens verwerkt dienen te worden conform het protocol dat is goedgekeurd door het College bescherming persoonsgegevens. De zeven SW-bedrijven die meewerkten aan het onderzoek, worstelen met enerzijds ‘medisch geheim’ en anderzijds ‘juiste begeleiding’. Er zijn creatieve oplossingen gevonden, maar of deze stroken met de Wet bescherming persoonsgegevens is niet bekend. Er blijken forse verschillen tussen SW bedrijven met betrekking tot de omgang met het begrip: “Privacy”. Bij SW bedrijven die onder een Gemeentelijke regie vallen zijn de regels stringenter, het medische geheim lijkt heilig. Toch blijkt dat medewerkers hoger in de hiërarchie bij deze bedrijven vaak wel inzage te hebben in medische gegevens wat haaks staat op de Wet Bescherming Persoonsbescherming. We kunnen ons niet aan de indruk ontrekken dat onwetendheid soms wordt verdoezeld met “Privacy gevoelig”. Ook in de beschrijving van het UWV werden grote verschillen aangetroffen. Medewerkers (of toekomstige medewerkers) kregen soms het predicaat: “psychische beperking, licht” als indicatie terwijl het mensen betrof die lijden aan schizofrenie doch werden gezien in een relatief rustige ( psychose vrije) periode. Het vaak invaliderende karakter van de ziekte werd niet onderkend.
SBCM Bouwsteen 5
2.
pagina 4
Werkwijze binnen de SW
Om te toetsen hoe SW-bedrijven omgaan met het eerste deel van de vraagstelling, vroegen wij een aantal bedrijven deel te nemen aan ons onderzoek. De selectie van deze bedrijven was willekeurig, maar we hielden wel rekening met de omvang, structuur (nv versus gemeentelijke tak van dienst) en met de landelijke spreiding. Er zijn dus zowel bedrijven uit Groningen als uit Limburg benaderd. De vragen We stelden de volgende vragen per e-mail aan de SW-bedrijven: 1.
Mogen werkleiders, begeleiders, jobcoaches en andere functionarissen in jullie bedrijf op de hoogte zijn van de (medische) gegevens of diagnose van een kandidaat/medewerker?
2.1.
Werken jullie volgens een protocol dat beschrijft hoe om te gaan met de medische gegevens? Is dit protocol geregistreerd bij het College bescherming persoonsgegevens?
2.2
Medewerking De vragen zijn voorgelegd aan tien SW-bedrijven. Drie bedrijven konden niet tijdig reageren. In deze rapportage is dus het resultaat verwerkt vanuit zeven SW-bedrijven, namelijk: Pantar Amsterdam, Ergon Eindhoven, Wedeka Bedrijven Stadskanaal, De Risse Groep Weert, Haeghe Groep Den Haag, Presikhaaf Bedrijven Arnhem en NLW Groep Venray.
SBCM Bouwsteen 5
pagina 5
Resultaat 1.
Ja: 5x
Nee: 2x
2. Ja: 3x
Nee: 4x
Mogen werkleiders, begeleiders, jobcoaches en andere functionarissen in jullie bedrijf op de hoogte zijn van de (medische) gegevens of diagnose van een kandidaat/medewerker? Toelichting: • Ja, maar uitsluitend van de gegevens die in de Wsw-indicatie zijn weergegeven. • Ja, maar alleen de opmerking. Bijvoorbeeld: ‘heeft problemen of moeite met stressvolle situaties’. Een medische diagnose wordt niet verstrekt. • Ja, maar zonder precieze aanduiding. Dus bijvoorbeeld alleen: ‘psychisch’. Toelichting: • In principe rust er een geheimhoudingsplicht op medische gegevens. Deze zijn niet ter inzage, tenzij de kandidaat hiervoor een machtiging verstrekt. In het SMT worden soms wel medische gegevens uitgewisseld door de bedrijfsarts. Deelnemers aan het SMT hebben een geheimhoudingsplicht. Dit is een ‘ongeschreven regel’ en ligt niet vast in een protocol. • De kandidaat/medewerker kan de leiding wel zelf informeren.
Werken jullie volgens een protocol dat beschrijft hoe om te gaan met de medische gegevens? Toelichting: • Ja, dit geldt voor alle persoonlijke gegevens die een begeleider van het bedrijf kent of ziet tijdens uitvoering van het werk. Deze afspraak is onderdeel van AO, dat iemand ondertekent voordat hij/zij in dienst komt. • Ja, alleen de bedrijfsarts krijgt de medische gegevens en onderhoudt de contacten met de behandelend medisch specialisten. Toelichting: • De bedrijfsarts – onze arbodienst - hanteert wel een protocol en beheert het medisch dossier van de kandidaat. Wij nemen aan dat dit protocol is aangemeld bij het College bescherming persoonsgegevens.
Conclusie De SW-bedrijven worstelen met enerzijds ‘medisch geheim’ en anderzijds ‘juiste begeleiding’. Er zijn creatieve oplossingen gevonden, maar of deze stroken met de bepalingen uit de Wet bescherming persoonsgegevens is niet bekend (althans niet bij de ondervraagde personen).
SBCM Bouwsteen 5
3.
pagina 6
Conclusies
Vraagstelling 1 In hoeverre en onder welke omstandigheden mogen werkleiders, begeleiders, jobcoaches en andere functionarissen op de hoogte zijn van de (medische) gegevens of diagnose van een kandidaat/medewerker? Conclusie: • Het verwerken van persoonsgebonden gegevens is niet toegestaan, tenzij in de Wet bescherming persoonsgegevens anders is bepaald. • De betrokkene dient in alle gevallen toestemming te verlenen voor het verwerken van persoonsgebonden gegevens. • Persoonsgebonden gegevens mogen nooit aan derden verstrekt worden, tenzij betrokkene hiertoe uitdrukkelijk toestemming heeft verleend. • Persoonsgebonden gegevens dienen verwerkt te worden conform een protocol dat goedgekeurd is door het CPB. Vraagstelling 2 Op welke manier gaan de SW-bedrijven om met vraagstelling 1? Hanteren zij regels? Bestaat er een intern protocol? Conclusie: De SW-bedrijven worstelen met enerzijds ‘medisch geheim’ en anderzijds ‘juiste begeleiding’. Er zijn creatieve oplossingen gevonden, maar of deze stroken met de bepalingen uit de Wet bescherming persoonsgegevens is niet bekend (althans niet bij de ondervraagde personen).
SBCM Bouwsteen 5
pagina 7
Bijlage 1 Definiëring van het begrip ‘persoonsgegevens’ (Bron: www.overheid.nl) Aanleiding Om de vragen te beantwoorden, is verduidelijking van het begrip ‘persoonsgegevens’ belangrijk. Op de website van de overheid (www.overheid.nl) staat dit begrip nader uitgelegd in de vorm van vraag en antwoord. Hieronder vindt u de belangrijkste elementen uit deze rubriek. Wat zijn persoonsgegevens? Persoonsgegevens bevatten, direct of indirect, informatie over een bepaald persoon. We spreken van persoonsgegevens wanneer de betreffende persoon te identificeren is. De Wet bescherming persoonsgegevens (Wbp) geeft regels om persoonsgegevens te beschermen. Directe persoonsgegevens Sommige persoonsgegevens bevatten feitelijke informatie over een persoon. Bijvoorbeeld: iemands geboortedatum, adres of geslacht. Ook gegevens die een waardering over een bepaalde persoon inhouden, vallen onder persoonsgegevens. Iemands IQ bijvoorbeeld. Indirecte persoonsgegevens Er zijn ook gegevens die indirect iets vertellen over een bepaald persoon. Bijvoorbeeld over zijn maatschappelijke status. Zo zegt de winst van een eenmanszaak iets over het inkomen van de eigenaar. Als deze gegevens zijn te herleiden tot een bepaalde persoon is ook sprake van persoonsgegevens. Bijzondere persoonsgegevens Bijzondere persoonsgegevens zijn gegevens over iemands ras, politieke gezindheid, godsdienst of levensovertuiging, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Ook strafrechtelijke persoonsgegevens, bijvoorbeeld over veroordelingen, zijn bijzondere persoonsgegevens. Omdat verwerking van bijzondere persoonsgegevens een grote inbreuk kan vormen op iemands privacy, gelden hiervoor strikte voorwaarden en strenge regels. Zo mogen in principe alleen instellingen in de gezondheidszorg gegevens verwerken over iemands gezondheid.
SBCM Bouwsteen 5
pagina 8
Bijlage 2 Wet bescherming persoonsgegevens Bron: www.wetten.overheid.nl Inleiding De Wet bescherming persoonsgegevens (Wbp) is van toepassing verklaard. In deze wet staan voornamelijk de uitzonderingen op de regel: het verwerken van persoonsgegevens is verboden, tenzij … Hieronder vindt u de artikelen die relevant zijn voor de vraagstelling.. Artikel 8 Persoonsgegevens mogen slechts worden verwerkt indien betrokkene voor de verwerking toestemming heeft gegeven of het noodzakelijk is: • voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is • om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen • ter vrijwaring van een vitaal belang van betrokkene • voor de goede vervulling van een publiekrechtelijke taak door een bestuursorgaan • voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt. Artikel 9, lid 4 De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van een ambt, beroep of wettelijk voorschrift in de weg staat. Artikel 21, lid 1 Het verbod om persoonsgegevens betreffende iemands gezondheid te verwerken is niet van toepassing indien de verwerking geschiedt door: • Hulpverleners, instellingen, voorzieningen voor gezondheidszorg of maatschappelijke dienstverleningvoor zover dat met het oog op een goede behandeling of verzorging van betrokkene noodzakelijk is • Verzekeraars • Scholen, voor zover dat met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheid noodzakelijk is • Bestuursorganen, pensioenfondsen, werkgevers of instellingen voor zover dat noodzakelijk is voor een goede uitvoering van wettelijke voorschriften, pensioenregelingen of CAO’s, welke voorzien in aanspraken welke afhankelijk zijn van de gezondheid van betrokkene of de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid. Artikel 23, lid 1 Onverminderd de artikelen 17 tot en met 22 is het verbod om persoonsgegevens te verwerken niet van toepassing voor zover (a) dit geschiedt met uitdrukkelijke toestemming van betrokkene of (e) noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het College ontheffing heeft verleend.
SBCM Bouwsteen 5
pagina 9
Artikel 25, lid 1 Organisaties, welke voornemens zijn een gedragscode vast te stellen, kunnen het College verzoeken te verklaren dat de daarin vastgelegde regels – gelet op de bijzondere kenmerken van de sector van de samenleving waarin deze organisatie werkzaam zijn – een juiste uitwerking vormen van deze wet of van andere wettelijke bepalingen betreffende het verwerken van persoonsgegevens.
SBCM Bouwsteen 5
pagina 10
Bijlage 3 Toelichting op de Wet bescherming persoonsgegevens Bron: www.overheid.nl Inleiding De wettekst is niet bijzonder toegankelijk. Daarom verwerkten wij een toelichting op de bepalingen in deze bouwsteen. Persoonsgegevens verzamelen als organisatie Organisaties mogen volgens de Wet bescherming persoonsgegevens (Wbp) persoonsgegevens alleen verwerken voor een of meer duidelijk omschreven doelen. Die doelen moeten zij vooraf bepalen. Onder verwerken valt: het verzamelen, vastleggen, ordenen en bewaren van gegevens. Organisaties mogen niet meer persoonsgegevens verzamelen dan strikt noodzakelijk is voor de bepaalde doelen. Maar ook niet minder als dat tot onvolledige informatie leidt. Reden of toestemming voor het verwerken van persoonsgegevens Een organisatie mag alleen persoonsgegevens verwerken als daarvoor een goede reden is, of als de betrokkene daarvoor zelf toestemming geeft. Een goede reden is bijvoorbeeld een wettelijke verplichting, zoals de belastingplicht. Een belastinginspecteur mag dus persoonsgegevens gebruiken. Het kan ook zijn dat de verwerking van persoonsgegevens noodzakelijk is om overeenkomsten na te komen, zoals het afwikkelen van een abonnement. Informatieplicht van organisaties Alle organisaties die persoonsgegevens verwerken, hebben een informatieplicht. Zij vertellen personen op wie de gegevens betrekking hebben wat er met hun gegevens gebeurt. Alleen als een wettelijke plicht reden is voor verwerking, hoeft dit niet. Meldingsplicht persoonsgegevens De organisatie moet de verwerking van persoonsgegevens aanmelden bij het College bescherming persoonsgegevens. Melding wil niet zeggen dat het CBP de verwerking goedkeurt. De organisatie blijft zelf verantwoordelijk voor een juiste naleving van de wettelijke verplichtingen. Inhoud van de Wet bescherming persoonsgegevens De Wet bescherming persoonsgegevens regelt wat instanties wel en niet mogen doen met persoonsgegevens. Dit om de privacy van de betrokkenen te beschermen. In de Wbp staat wat de rechten zijn van betrokken personen bij gebruik van hun gegevens. Zij hebben bijvoorbeeld het recht op informatie, het recht op inzage in hun gegevens en het recht op verzet tegen gebruik van hun gegevens. Informatieplicht persoonsgegevens Een organisatie die persoonsgegevens wil vastleggen, gebruiken of doorsturen, is verplicht de betrokkene hierover te informeren. Dit heet de informatieplicht. Werkgevers vertellen bijvoorbeeld dat zij persoonsgegevens bij ziekte doorgeven aan een arbodienst. Een organisatie hoeft de betrokkene niet te informeren als de gegevens worden verwerkt op grond van een wettelijke plicht. Een voorbeeld daarvan is de belastinginspecteur die persoonsgegevens gebruikt die van belang kunnen zijn voor de belastingheffing.
SBCM Bouwsteen 5
pagina 11
Recht op inzage en correctie persoonsgegevens Betrokkenen kunnen schriftelijk een verzoek tot inzage van hun gegevens doen. De organisatie is verplicht om binnen vier weken schriftelijk antwoord te geven. De organisatie mag een kleine vergoeding vragen voor de inzage. Blijken de gegevens niet correct te zijn? Dan moet de organisatie de gegevens corrigeren en de vergoeding terugbetalen. Wanneer de vervolging van strafbare feiten of de rechten van anderen daarom vragen, kan de organisatie het verzoek tot inzage weigeren. Persoonsgegevens verstrekken bij ambts- of beroepsgeheim Verstrekking van gegevens aan een andere organisatie mag niet als sprake is van een ambts- of beroepsgeheim. Verstrekking kan dan uitsluitend plaatsvinden met toestemming van de betrokkene. Er zijn echter gevallen waarin de wet uitzondering maakt. Zo volgt uit de Wet op de geneeskundige behandelingsovereenkomst dat medische gegevens zonder toestemming verstrekt kunnen worden aan de zogenaamde ‘functionele eenheid’: personen die noodzakelijkerwijze bij de behandeling van een patiënt betrokken zijn. Zie verder het informatieblad Geheimhouding van medische gegevens. Recht op motivatie Soms weigert een bedrijf om een product op krediet te leveren omdat in de buurt van de betrokkene veel wanbetalers wonen. Of als de betrokkene is geregistreerd bij het Bureau Kredietregistratie. Een organisatie moet kunnen aangeven waarom een persoon als klant wordt geweigerd. Persoonsgegevensverwerking door de overheid De overheid bezit persoonsgegevens. Andere organisaties mogen hier alleen onder strikte wettelijke voorwaarden gebruik van maken. Betrokkenen kunnen hun gemeente vragen hun persoonsgegevens deels af te schermen. Geschil voorleggen In bepaalde gevallen kan het CBP bemiddelen tussen gegevensverwerkende instanties en betrokkenen. Betrokkenen kunnen hun geschil ook voorleggen aan de rechter en eventueel om schadevergoeding vragen.
SBCM Bouwsteen 5
pagina 12
Bijlage 4 College bescherming persoonsgegevens Het College bescherming persoonsgegevens (CBP) ziet toe op naleving van de Wpb. In hoofdstuk 9, artikel 51 van de Wbp staat de taak van het College volledig beschreven: Artikel 51 1. Er is een College bescherming persoonsgegevens, dat tot taak heeft toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Tevens houdt het College toezicht op de verwerking van persoonsgegevens in Nederland, wanneer de verwerking plaatsvindt overeenkomstig het recht van een ander land van de Europese Unie. 2. Het College wordt om advies gevraagd over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur, welke geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens.
SBCM Bouwsteen 5
pagina 13
Bijlage 5 Protocol Inleiding Het College bescherming persoonsgegevens heeft een eigen website (www.cpbweb.nl). Daar is nadere informatie beschikbaar over protocollen en de ‘zwarte lijst’. Informatie die relevant is voor de vraagstelling staat hieronder beschreven. Algemeen •
• •
•
•
•
Het protocol vormt een uitwerking van de Wet bescherming persoonsgegevens. Het dient geen letterlijke herhaling te zijn van de waarborgen en eisen uit de Wet bescherming persoonsgegevens, maar een uitwerking hiervan voor de specifieke verwerking van betreffende persoonsgegevens. Het protocol dient voor een ieder die met de zwarte lijst in aanraking komt begrijpelijk te zijn; verantwoordelijken, deelnemers en betrokkenen. De verwerking van persoonsgegevens waarop het protocol zich richt, heeft een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel. Bijvoorbeeld het terugdringen van fraude binnen de betreffende sector. Het protocol moet duidelijk omschrijven wat de noodzaak is om dit doel te bereiken. Deze blijkt bijvoorbeeld uit de aard en omvang van de fraude. Het protocol moet hierbij de afwegingen van proportionaliteit en subsidiariteit bevatten. In het protocol staat hoe de inbreuk op de persoonlijke levenssfeer zich verhoudt tot de beoogde gegevensverwerking en het na te streven doel. Bovendien onderbouwt het protocol waarom dit doel niet op een andere, voor betrokkenen minder ingrijpende manier kan worden bereikt. Bijvoorbeeld omdat bestaande gerechtelijke en buitengerechtelijke maatregelen niet meer voldoen om het beoogde doel te bereiken. In het protocol staan de rollen van de verschillende partijen duidelijk omschreven: wie (hoofd)verantwoordelijke(n), bewerker(s), deelnemer(s) en betrokkene(n) zijn. Indien de politie en/of het Openbaar Ministerie een rol spelen bij de omschreven gegevensverwerking, dient dit uitdrukkelijk in het protocol te zijn neergelegd (zie artikel 20 Wet politiegegevens).
SBCM Bouwsteen 5
pagina 14
Opname van betrokkenen op de zwarte lijst Het protocol bevat: •
•
•
•
•
•
Het gedrag op basis waarvan de persoonsgegevens van betrokkenen op de zwarte lijst worden opgenomen. Deze dienen objectief, eenduidig en toetsbaar te zijn. Vooraf moet voor betrokkenen inzichtelijk zijn welk gedragaanleiding is voor registratie. Daarnaast moet achteraf toetsbaar zijn of registratie rechtmatig heeft plaatsgevonden. Het uitgangspunt dat de organisatie aangifte doet alvorens een betrokkene wegens de verdenking van een strafbaar feit op de zwarte lijst te zetten. Wanneer bijzondere omstandigheden aangifte in de weg staan, motiveert de verantwoordelijke dit. In dat geval moet het protocol aanvullende waarborgen voor een betrokkene bevatten die objectief, eenduidig en toetsbaar zijn. De eis dat een betrokkene alleen op de lijst kan komen wegens een zware verdenking van een strafbaar feit. De verdenking moet zwaarder zijn dan een redelijk vermoeden van schuld. Het protocol beschrijft de zwaardere verdenking en de wijze waarop deze wordt aangetoond en gedocumenteerd. De eis dat iemand alleen door onrechtmatig of hinderlijk gedrag wordt geregistreerd als dit gedrag maatschappelijk onbetamelijk is. De criteria om dit te bepalen, zijn objectief, eenduidig en toetsbaar beschreven in bijvoorbeeld huisregels. Een beschrijving van de proportionaliteits- en subsidiariteitsafweging die plaats moet vinden voorafgaand aan registratie. Deze afweging dient per individueel geval gemaakt te worden, rekening houdend met verzachtende of verzwarende omstandigheden. Bijvoorbeeld: minderjarigheid van een betrokkene, een eventuele geestelijke stoornis of first offender/recidive. Criteria voor de afweging iemand de toegang tot een bepaald product, dienst of voorziening te ontzeggen of aanvullende voorwaarden te stellen en de mogelijkheden tot alternatieven (subsidiariteit).
Waarborgen voor de verwerking van persoonsgegevens door de verantwoordelijke Het protocol bevat: • •
• • • • • • • •
Waarborgen om te voorkomen dat niet meer persoonsgegevens dan noodzakelijk worden verwerkt. Een beschrijving van de wijze waarop wordt bereikt dat persoonsgegevens slechts worden verwerkt voor zover zij, gelet op het doel dat met de zwarte lijst wordt beoogd, toereikend, ter zake dienend en niet bovenmatig zijn. Een beschrijving van de (categorieën van) gegevens die worden geregistreerd. Een beschrijving van de wijze waarop de gegevens worden verkregen. Een beschrijving van de wijze waarop de verantwoordelijke verifieert of de gegevens juist en nauwkeurig zijn. Een beschrijving van de wijze waarop de geregistreerde persoonsgegevens tussen de verschillende deelnemers worden uitgewisseld. De technische en organisatorische maatregelen die zijn getroffen tegen verlies, diefstal en ander onrechtmatig gebruik van de persoonsgegevens. De eisen en voorwaarden waaraan een bedrijf, organisatie of instelling moet voldoen om deel te kunnen nemen aan het protocol. Een geheimhoudingsplicht voor degenen die toegang hebben tot de geregistreerde persoonsgegevens. De eis dat een wijziging van het protocol bij het CBP wordt gemeld.
SBCM Bouwsteen 5
•
pagina 15
Indien van toepassing: een beschrijving van gevallen waarin gegevens worden doorgegeven aan landen buiten de Europese Unie, en of daarbij sprake is van doorgifte naar derde landen met een passend beschermingsniveau. De hoofdregel is dat persoonsgegevens alleen worden doorgegeven naar derde landen met een passend beschermingsniveau. Daarbuiten is doorgifte alleen toegestaan op basis van een wettelijke uitzondering of met een vergunning van de minister van Justitie.
Waarborgen voor betrokkenen Het protocol bevat: •
•
• •
•
•
Een beschrijving van de wijze waarop betrokkenen worden geïnformeerd over het bestaan en de gevolgen van de zwarte lijst. Voorts de wijze waarop betrokkenen geïnformeerd worden over de deelnemende organisaties aan de zwarte lijst. Een beschrijving van de wijze en het moment waarop betrokkenen worden geïnformeerd over de registratie van hun persoonsgegevens, de redenen voor registratie en de gevolgen van de registratie. Een beschrijving van de situaties waarin de registratie van een betrokkene wordt verwijderd. De maximale bewaartermijn van de persoonsgegevens. Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het realiseren van het vastgelegde doel. Het recht van betrokkenen op inzage, verzet en correctie (verbetering, aanvulling, verwijdering en afscherming). En de wijze waarop zij deze rechten kunnen uitoefenen. Hierbij gelden de wettelijke termijnen. Een onafhankelijke geschillen- en klachtenprocedure die met de nodige waarborgen is omkleed, zoals behandeling binnen een redelijke termijn en de mogelijkheid voor betrokkene om zich te laten bijstaan. Betrokken dienen kosteloos van de procedure gebruik te kunnen maken.
Formele eisen aan het protocol •
•
• •
•
Wanneer het ingediende protocol niet in afdoende mate een invulling van de hierboven genoemde materiële eisen bevat, mag de organisatie het protocol eenmalig aanpassen. Het protocol dient te zijn afgerond en volledig te zijn voor melding bij het CBP. Dat geldt ook voor alle bijlagen, zoals klachtenprocedure, formulieren, machtigingen en bewerkersovereenkomsten. Het protocol dient voorzien te zijn van een lijst met definities, inhoudsopgave, paginanummering en versienummer met datum. Wie gedurende het voorafgaand onderzoek een gewijzigde versie van het protocol naar het CBP stuurt, dient duidelijk aan te geven welke onderdelen zijn gewijzigd ten opzichte van de vorige versie, bijvoorbeeld met de optie ‘wijzigingen bijhouden’. Indien de formele eisen niet in acht zijn genomen, zal het College bescherming persoonsgegevens de melding van de voorgenomen gegevensverwerking niet in behandeling nemen. Dit heeft tot gevolg dat het CBP geen voorafgaand onderzoek start en de voorgenomen gegevensverwerking niet mag plaatsvinden.