Impactanalyse GCOS: Privacy & architectuur
24 april 2013 Universiteit Leiden & Considerati mr. dr. Bart W. Schermer mr. drs. Maria P. de Jong mr. drs. Martine D. Wubben CIPP/E
Impactanalyse GCOS: Privacy & architectuur
In opdracht van het Ministerie van Justitie 24 april 2013
Universiteit Leiden
Faculteit der Rechtsgeleerdheid (Afdeling Jeugdrecht & eLaw@Leiden) mr. drs. Maria P. de Jong review: Prof. mr. drs. Mariëlle R. Bruning Prof. mr. Simone van der Hof
Considerati BV
mr. dr. Bart W. Schermer mr. drs. Martine D. Wubben CIPP/E
2
Inhoudsopgave
1 INLEIDING ....................................................................................................................................... 5 1.1 AANLEIDING ........................................................................................................................................ 5 1.2 ONTWIKKELINGEN ................................................................................................................................ 5 1.2.1 Professionals die gegevens delen: een zoektocht ..................................................................... 5 1.2.2 De inrichting van GCOS: visieontwikkeling ............................................................................... 5 1.3 OPDRACHT EN UITGANGSPUNTEN ........................................................................................................... 7 1.3.1 Opdracht .................................................................................................................................. 7 1.3.2 Uitgangspunten ........................................................................................................................ 7 1.4 VERANTWOORDING AANPAK .................................................................................................................. 9 2 PRIVACY IN DE CONTEXT VAN CASUSOVERLEG .............................................................................. 10 2.1 STUWENDE VERSUS VERANKERENDE BEGINSELEN ..................................................................................... 10 2.2 CASUSOVERLEG EN PRIVACY ................................................................................................................. 11 3 GCOS ALS GEÏNTEGREERD SYSTEEM: HUIDIGE INRICHTING ............................................................ 13 3.1 INLEIDING ......................................................................................................................................... 13 3.2 GCOS: ONDERSTEUNING VOOR ZOWEL LANDELIJK UNIFORME ALS CONTEXT-‐SPECIFIEKE KADERS ...................... 13 3.3 GEGEVENSVERWERKINGEN IN GCOS ..................................................................................................... 13 3.4 CASUS-‐OVERSTIJGEND UITWISSELEN VAN GEGEVENS ................................................................................ 14 3.4.1 Uitwisselen van informatie op casussubject .......................................................................... 14 3.4.2 Uitwisselen van informatie op casus ...................................................................................... 15 4 PRIVACY COMPLIANCE IN DE PRAKTIJK VAN CASUSOVERLEG ........................................................ 16 4.1 VERWERKING VAN PERSOONSGEGEVENS ................................................................................................ 16 4.1.1 Persoonsgegevens .................................................................................................................. 16 4.1.2 Bijzondere persoonsgegevens ................................................................................................ 17 4.1.3 Identificerende nummers ....................................................................................................... 17 4.2 VERANTWOORDELIJKE ......................................................................................................................... 17 4.2.1 Ontwikkeling veiligheidshuizen .............................................................................................. 17 4.2.2 ‘Doel en middelen’ .................................................................................................................. 19 4.3 DOELBEPALING .................................................................................................................................. 20 4.3.1 Doelbinding en geheimhoudingsplicht ................................................................................... 21 4.4 GRONDSLAG VOOR DE VERWERKING ...................................................................................................... 22 4.4.1 Toestemming (8a Wbp) .......................................................................................................... 22 4.4.2 Wettelijke plicht (artikel 8c Wbp) ........................................................................................... 23 4.4.3 Vrijwaring vitaal belang van de betrokkene (artikel 8d Wbp) ................................................ 23 4.4.4 Goede uitoefening publiekrechtelijke taak (Artikel 8e Wbp) .................................................. 23 4.4.5 Gerechtvaardigd belang van de verantwoordelijke (artikel 8f Wbp) ..................................... 24 4.4.6 Artikel 43 Wbp ....................................................................................................................... 24 4.5 GRONDEN VOOR VERWERKING BIJZONDERE PERSOONSGEGEVENS ............................................................... 25 4.5.1 Specifieke uitzonderingsgronden ........................................................................................... 25 4.5.2 Uitdrukkelijke toestemming ................................................................................................... 25 4.6 MATERIËLE EISEN WET BESCHERMING PERSOONSGEGEVENS ...................................................................... 26 4.6.1 Gegevenskwaliteit .................................................................................................................. 26 4.6.2 Gegevenskwantiteit ............................................................................................................... 26 4.6.3 Transparantie ......................................................................................................................... 27 4.6.4 Vertrouwelijkheid ................................................................................................................... 27 4.6.5 Bewaartermijn ....................................................................................................................... 28 4.6.6 Beveiliging .............................................................................................................................. 28 4.6.7 Melding .................................................................................................................................. 29 4.7 SAMENVATTING BEVINDINGEN ............................................................................................................. 29
3
5 ANALYSE KNELPUNTEN TEN BEHOEVE VAN VERBETERING GCOS ................................................... 31 5.1 OORZAKEN KNELPUNTEN ..................................................................................................................... 31 5.1.1 Verantwoordelijkheid voor casusoverleg en keten-‐overstijgende samenwerking ................. 31 5.1.2 Rol van GCOS in ketensamenwerking: database, systeem of software? ................................ 32 5.1.3 De rol van het veiligheidshuis ................................................................................................. 32 5.2 WEGNEMEN KNELPUNTEN: PRIVACY EN ZORG/VEILIGHEID IN BALANS .......................................................... 32 6 JURIDISCHE EN ARCHITECTURALE EISEN AAN CASUSOVERLEG ....................................................... 34 6.1 BELEGGEN VERANTWOORDELIJKHEID ..................................................................................................... 34 6.1.1 ‘Eenvoudige’ kaders: terugbrengen casusoverleg binnen de keten ....................................... 34 6.1.2 Complexe multi-‐problematiek: wettelijke basis voor veiligheidshuizen ................................. 35 6.2 GCOS ALS SOFTWARE IN PLAATS VAN GEGEVENSVERWERKING ................................................................... 36 6.2.1 Toepassing GCOS binnen specifiek casusoverleg ................................................................... 37 6.2.2 Opheffen standaard landelijke raadpleegbaarheid en samenloopdetectie ........................... 38 6.3 TRIAGE EN OVERLEG ........................................................................................................................... 40 7 VISIE OP ONTWIKKELING CASUSOVERLEG IN NEDERLAND ............................................................. 42 7.1 EEN SOLIDE BASIS VOOR GCOS: VISIE OP TRIAGE-‐ EN CASUSOVERLEG .......................................................... 42 7.1.1 Stap 1: melding ...................................................................................................................... 42 7.1.2 Stap 2: selectie van het triageoverleg .................................................................................... 42 7.1.3 Stap 3: Het triageoverleg vindt plaats .................................................................................... 44 7.1.4 Stap 4: uitkomst triageoverleg ............................................................................................... 44 7.1.5 Stap 5: casusoverleg ............................................................................................................... 45 7.1.6 Specifieke aspecten triage-‐ en casusoverleg .......................................................................... 45 7.2 PRAKTIJKVOORBEELD: DE WEG VAN EEN MELDING HUISELIJK GEWELD EN KINDERMISHANDELING IN HET NIEUWE PROCES ...................................................................................................................................................... 45 7.2.1 Stap 1: Melding ...................................................................................................................... 46 7.2.2 Stap 2: selectie triageoverleg (interne triage) ........................................................................ 46 7.2.3 Stap 3: Triage (niet zijnde een ad hoc overleg) ...................................................................... 47 7.2.4 Stap 4: De uitkomst van het triageoverleg ............................................................................. 48 7.2.5 Stap 5: casusoverleg ............................................................................................................... 49 8 CONCLUSIES .................................................................................................................................. 50 8.1 ANALYSE HUIDIG GEBRUIK GCOS .......................................................................................................... 50 8.2 OPLOSSINGSRICHTING ......................................................................................................................... 51 8.2.1 Verantwoordelijkheid duidelijk beleggen ............................................................................... 51 8.2.2 Adresseren hybride aard GCOS .............................................................................................. 52 8.2.3 Duidelijk proces van triage-‐ en casusoverleg ......................................................................... 53 8.3 IMPACT ............................................................................................................................................ 53 8.3.1 Wettelijke basis veiligheidshuizen .......................................................................................... 53 8.3.2 Aanpassen architectuur en functionaliteiten GCOS ............................................................... 54 8.3.3 Werken conform triage-‐ en casusoverleg structuur ............................................................... 54 8.3.4 Verbeteren interne informatiehuishouding individuele casusdeelnemers ............................. 54 9 BIJLAGE ......................................................................................................................................... 55 9.1 SCHEMATISCH OVERZICHT VISIE TRIAGE EN CASUSOVERLEG ........................................................................ 55
4
1 Inleiding 1.1 Aanleiding De afgelopen jaren is ten behoeve van het verbeteren van maatschappelijk welzijn en veiligheid het aantal casusoverleggen sterk toegenomen. Deze casusoverleggen worden meestal gevoerd onder het dak van de veiligheidshuizen in de regio en hebben een effectievere samenwerking in verschillende maatschappelijke ketens, zoals de jeugdstrafrechtketen, de veiligheidssector en de jeugdzorgketen ten doel. Deze ketens worden gekenmerkt door veel verschillende partijen die rondom één individu of casus betrokken zijn. De samenwerking wordt effectiever en efficiënter door het verzamelen en delen van informatie, het opstellen van een gezamenlijk plan van aanpak en het gestructureerd ondersteunen van ketenafspraken. Voorbeelden zijn het casusoverleg bescherming, het justitieel casusoverleg jeugd, het casusoverleg huiselijk geweld en het casusoverleg veelplegers. In toenemende mate ontstaat ook de wens om een koppeling te maken tussen verschillende typen casusoverleg zodat problemen van betrokkenen die in verschillende overleggen besproken worden, in samenhang behandeld kunnen worden. Het Ministerie van Veiligheid en Justitie heeft een generieke ICT-‐voorziening ontwikkeld en ter beschikking gesteld om partijen te ondersteunen bij het voeren van casusoverleg, zowel binnen als buiten het veiligheidshuis. Dit Geïntegreerd Casusoverleg Ondersteunend Systeem (GCOS) is het geheel aan middelen om het casusoverleg te ondersteunen en bestaat uit een applicatie, documentatie, voorzieningen voor ontwikkeling, beheer en productie, uitwisselingsstandaarden en een beheerorganisatie om GCOS nu en in de toekomst te kunnen gebruiken.
1.2 Ontwikkelingen 1.2.1 Professionals die gegevens delen: een zoektocht Gebleken is dat de huidige privacyregels (de Wbp en de sectorale wet-‐ en regelgeving) veelal onvoldoende duidelijkheid en houvast bieden voor professionals in de praktijk. Hierdoor ontstaat al snel de gedachte dat er onvoldoende mogelijkheden zijn voor gegevensuitwisseling ten behoeve van de verschillende soorten casusoverleggen en gegevensuitwisselingen tussen de verschillende soorten casusoverleggen. Het ontbreken van deze duidelijkheid is onderkend en wordt in het kader van de ‘leertuin privacy’ (initiatief van de Gemeente Tilburg) geadresseerd. Los van de vraag onder welke condities professionals gegevens mogen verwerken op het snijvlak van zorg en justitie (de focus van de privacy leertuin) moet het gebruik van het GCOS zelf ook voldoen aan de eisen van de Wbp. 1.2.2 De inrichting van GCOS: visieontwikkeling In november 2011 zijn door het Servicecentrum Privacy en Veiligheid een aantal knelpunten geconstateerd ten aanzien van de inrichting van GCOS. In reactie op deze knelpunten is, in opdracht van de systeemeigenaar GCOS, de Directeur Justitieel Jeugdbeleid, een visie ontwikkeld waarin is uiteengezet op welke wijze de informatiearchitectuur in het algemeen en GCOS in het bijzonder vormgegeven zou moeten worden om partijen binnen en buiten veiligheidshuizen te ondersteunen in het rechtmatig verwerken van gegevens (voldoen aan de Wbp).1 De kernvraag die daarin is beantwoord is hoe GCOS duurzaam ingericht kan worden zodat zorgvuldige en rechtmatige gegevensverwerking ten behoeve van casusoverleg wordt 1
Ministerie van Veiligheid en Justitie (2012), Visie: GCOS architectuur en privacy, 29 mei 2012, (Borst, Gresnigt, Hommes)
5
bevorderd, de kans op onrechtmatige verwerking wordt geminimaliseerd en norm-‐conform gedrag wordt gestimuleerd. De context waarbinnen de veiligheidshuizen functioneren is sterk veranderd. Per 1 januari 2013 is de regie op de veiligheidshuizen overgegaan naar gemeenten. Gemeenten kunnen zo zorgen voor een optimale inbedding in, en afstemming met, lokale en regionale zorg-‐ en veiligheidsnetwerken. Vanuit het Ministerie van Veiligheid en Justitie is, samen met alle betrokken stakeholders, vorm en invulling gegeven aan een landelijk kader voor de Veiligheidshuizen binnen de nieuwe landelijke en regionale context. Dit landelijk kader vormt de basis voor de doorontwikkeling in de verschillende regio’s en brengt focus aan op de rol en activiteiten van veiligheidshuizen.2 Een goede selectie van casuïstiek leidt tot minder behandeling van ‘reguliere’ casuïstiek, waardoor er meer ruimte ontstaat voor de echt complexe casuïstiek in het veiligheidshuis, waarbij de integrale, keten-‐overstijgende aanpak echt een randvoorwaarde is voor een goede oplossing. Dit laat onverlet dat overige casuïstiek wel onder hetzelfde dak kan plaatsvinden, het wordt dan echter niet tot de werkzaamheden van het veiligheidshuis gerekend.3 Focus aanbrengen in de casuïstiek van het veiligheidshuis helpt om de effectiviteit van het veiligheidshuis te vergroten; de samenwerking richt zich op het oplossen van vraagstukken met een complexe, meervoudige problematiek.4 Veiligheidshuizen beperken zich daarom tot juist die zaken waarin de verbinding tussen de zorg-‐ en strafrechtketen voorwaardelijk is voor een succesvolle, duurzame aanpak van (potentieel) crimineel en overlastgevend gedrag. Een casus voldoet aan de definitie ‘complexe problematiek’ wanneer het aan de volgende criteria voldoet: a. Er is sprake van meerdere problemen (multi-‐problem) die op meer dan één leefgebied spelen en (naar verwachting) leiden tot crimineel en/of overlastgevend gedrag of verder afglijden; en: b. Samenwerking tussen meerdere ketens (minimaal dwang en drang) is nodig om tot een effectieve aanpak te komen, het lukt in de reguliere samenwerking tussen partners binnen één keten niet om deze problematiek effectief aan te pakken; en: c. De problematiek wordt beïnvloed door en heeft impact op het (gezins)systeem en/of de directe sociale leefomgeving (of wordt verwacht dat te gaan hebben); of: d. Er is sprake van ernstige lokale of gebiedsgebonden veiligheidsproblematiek, die vraagt om een ketenoverstijgende aanpak. De huidige inrichting van GCOS leunt sterk op zogenaamde casusoverlegkaders: gegevens worden digitaal vastgelegd en uitgewisseld ten behoeve van het bereiken van een tevoren gespecificeerd doel, met tevoren geselecteerde en geautoriseerde partijen. De afspraken voor een dergelijk arrangement, vaak de doelgroepaanpak genoemd, worden in een convenant vastgelegd. Met de verschuiving in de rol van veiligheidshuizen is er tevens behoefte ontstaan aan een systematiek voor het inrichten van de selectie / triage stappen binnen de kaders van privacy 2
Ministerie van Veiligheid en Justitie (2012), Landelijk Kader Veiligheidshuizen: vóór en dóór partners, p. 17 Ministerie van Veiligheid en Justitie (2012), Landelijk Kader Veiligheidshuizen: vóór en dóór partners, p. 17 4 Ministerie van Veiligheid en Justitie (2012), Landelijk Kader Veiligheidshuizen: vóór en dóór partners, p. 17 3
6
wet-‐ en regelgeving. De doelgroepaanpak, zoals bijvoorbeeld nazorg aan ex-‐gedetineerden in het kader van reïntegratie of veelplegers verdwijnt hiermee niet. De kans dat dergelijk casusoverleg in het kader van deze aanpak echter buiten het veiligheidshuis plaatsvindt neemt, gegeven de noodzaak van het voldoen aan de criteria voor behandeling in het veiligheidshuis, toe.
1.3 Opdracht en uitgangspunten De wens van de opdrachtgever is om de geconstateerde privacy-‐gerelateerde knelpunten weg te nemen én partijen te blijven ondersteunen bij keten-‐overstijgende multidisciplinaire samenwerking door de informatievoorziening op zodanige wijze in te richten dat (maatschappelijk) resultaat wordt geboekt en binnen de grenzen van privacy wet-‐ en regelgeving wordt gewerkt. De te bereiken doelen zijn daarom: 1) de geïdentificeerde knelpunten weg te nemen en de voorziening (het systeem en alle ondersteunende middelen) zodanig in te richten dat zorgvuldige en rechtmatige gegevensverwerking ten behoeve van casusoverleg wordt bevorderd, de kans op onrechtmatige verwerking wordt geminimaliseerd en normconform gedrag wordt gestimuleerd.
2) bij deze inrichting (extra) functionaliteit te bieden waarmee gegevensverwerking binnen de selectie / triage fase ondersteund wordt (waarbij deze triage zowel binnen als buiten het veiligheidshuis kan plaatsvinden).
1.3.1 Opdracht De opdracht voor de impactanalyse is als volgt: Op basis van een analyse van de (gegevensverwerking) praktijk binnen veiligheidshuizen, overwegende de architecturale principes en uitgangspunten uit de visienotitie ‘GCOS architectuur en privacy’ en het Landelijke Kader Doorontwikkeling Veiligheidshuizen, de privacy eisen ten aanzien van GCOS te expliciteren en de impact te bepalen van aanpassing van GCOS op werkprocessen, convenanten en het systeem zelf. Deze analyse bestaat uit: 1. Een onderzoek naar de rechtmatigheid van gegevensverwerking in GCOS zoals die nu toegepast wordt in veiligheidshuizen (hoofdstuk 4). 2. Explicitering van de eisen waaraan de gegevensverwerking en de informatievoorziening zoals GCOS moet voldoen (hoofdstuk 6). 3. Een systematiek waarmee partijen binnen en buiten veiligheidshuizen conform de Wbp gegevens kunnen uitwisselen in zowel de triage als de casusoverlegfase (hoofdstuk 7). 1.3.2 Uitgangspunten De volgende uitgangspunten gelden bij uitvoering van de analyse: • De visienotitie ‘GCOS: privacy en architectuur’ is het uitgangspunt voor de architecturale inrichting van GCOS. Voorstellen voor afwijkingen daarvan kunnen voortvloeien uit de analyse en eventueel leiden tot aanpassing van de visienotitie.
7
•
De analyse wordt gerelateerd aan de dagelijkse praktijk van veiligheidshuizen. Daarmee wordt de ‘top-‐down’ benadering in de visienotities verbonden met de praktische implicaties voor professionals.
•
De impactanalyse is niet bedoeld om de impact te bepalen op de praktijk van alle veiligheidshuizen of van ketenoverleggen buiten het veiligheidshuis, de onderlinge regionale verschillen tussen de veiligheidshuizen zijn erg groot en de scope van deze analyse beperkt. Het ligt in de lijn der verwachting dat deze analyses volgen na aanbieding van een eventueel voorstel voor aanpassing van GCOS. Wel kunnen de resultaten uit de impactanalyse geabstraheerd worden tot algemene uitgangspunten waar een casusoverleg systeem aan zou moeten voldoen om zowel praktisch werkbaar te zijn en het bewaken van de privacy te bevorderen.
•
Het landelijk kader doorontwikkeling veiligheidshuizen waarin de voorgenoemde criteria voor selectie van meervoudig complexe casussen zijn uiteengezet.
•
GCOS ondersteunt niet alle processen in veiligheidshuizen. Vormen van triage waarbij een veiligheidshuis zelfstandig signalen ontvangt zonder beoogd kader (conform landelijk kader) en al dan niet besluit tot een casusoverleg worden niet ondersteund. Wel kan een dergelijke functionaliteit goed in samenhang met GCOS ontwikkeld worden en is voorzien als uitkomst van deze analyse.
•
‘het veiligheidshuis’ is geen juridische entiteit waar in convenanten naar kan worden verwezen. Daarom ligt het ook niet voor de hand om medewerkers van een veiligheidshuis, bijvoorbeeld de ketenmanager, in een convenant verantwoordelijk te maken voor bijvoorbeeld vragen van burgers over inzage en afschrift of correctie van persoonsgegevens. De systematiek moet gericht zijn op het ophangen van verantwoordelijkheden aan de ‘verantwoordelijken’ zoals de Wbp voorschrijft.
8
1.4 Verantwoording aanpak De analyse is in opdracht van Programma Doorontwikkeling Veiligheidshuizen uitgevoerd door een consortium bestaande uit: • Privacy-‐ en Jeugdrecht juristen van de Faculteit Rechtsgeleerdheid van de Universiteit van Leiden en adviesbureau Considerati. • Manager en medewerkers van een veiligheidshuis. • Adviseurs informatievoorziening binnen het Ministerie van Veiligheid en Justitie. Voor de analyse is de volgende aanpak gehanteerd: 1. Voor het onderzoek naar de rechtmatigheid van gegevensverwerking is het gebruik van GCOS binnen veiligheidshuizen als uitgangspunt genomen. Door middel van deskresearch, observaties, gesprekken en inzage in het GCOS-‐systeem bij een veiligheidshuis zijn de privacyrisico’s van de huidige manier van werken in kaart gebracht en is de compliance met de Wbp getoetst. 2. Vervolgens zijn op basis van de compliance analyse de belangrijkste knelpunten in kaart gebracht voor wat betreft de rol van GCOS in de verwerking van persoonsgegevens bij triage-‐ en casusoverleg. 3. Tenslotte zijn op basis van de knelpuntenanalyse GCOS voorstellen gedaan om deze knelpunten weg te nemen. De uitwerking hiervan is vervolgens getoetst aan de praktijk. Daarbij stond de vraag centraal “is de voorgestelde werkwijze en inrichting van GCOS en overige ICT-‐hulpmiddelen werkbaar in de praktijk?”. Hiervoor is onder andere de casus Huiselijk Geweld als uitgangspunt genomen (hoofdstuk 7).
9
2 Privacy in de context van casusoverleg De gemiddelde Nederlander staat in zo’n 250 tot 500 databases.5 Een groot deel van deze databases komt voor rekening van de centrale en decentrale overheid en zijn nodig voor een goede uitvoering van de overheidstaken. De explosieve toename in het aantal verwerkingen van gegevens door de overheid illustreert duidelijk dat onze overheid steeds meer een informatie-‐ gestuurde ‘iOverheid’ wordt.
2.1 Stuwende versus verankerende beginselen Hoewel informatie-‐gestuurd handelen en het uitwisselen van persoonsgegevens bijdragen aan de effectiviteit en efficiëntie van de overheid, worden in het WRR rapport iOverheid ook kritische kanttekeningen bij de iOverheid geplaatst.6 Met name de vermenging van service, care en control, de circulatie van persoonsinformatie in netwerken en het werken met digitale profielen waarmee proactief beleid wordt gevoerd, leveren nieuwe risico’s op voor de privacy van de burger en de legitimatie van het overheidshandelen.7 De huidige denkkaders binnen de overheid houden momenteel nog te weinig rekening met deze risico’s.8
figuur 1: stuwende beginselen versus verankerende beginselen, bron: Rapport iOverheid, p. 74
De mogelijke negatieve neveneffecten van informatie-‐gestuurd handelen komen momenteel te weinig in beeld bij beslissers en beleidsmakers. Het resultaat is dat de stuwende beginselen van het overheidshandelen (veiligheid, efficiëntie) onvoldoende gewogen worden tegen de 5
Considerati (2009), Onze digitale schaduw: Een verkennend onderzoek naar het aantal databases waarin de gemiddelde Nederlander geregistreerd staat 6 WRR (2011), iOverheid, Amsterdam: Amsterdam University Press, p. 197 7 WRR (2011), iOverheid, Amsterdam: Amsterdam University Press, p. 197 8 WRR (2011), iOverheid, Amsterdam: Amsterdam University Press, p. 197
10
verankerende beginselen (privacy, keuzevrijheid). Dit heeft niet alleen tot gevolg dat burgers privacyrisico’s lopen, maar ook dat geformuleerd beleid in een later stadium op maatschappelijke en politieke weerstand stuit. De negatieve consequenties hiervan voor de uitvoer van het beleid zijn pijnlijk duidelijk geworden in onder andere dossiers zoals de OV-‐ chipkaart, het Elektronisch Patiëntendossier en de Slimme Energie Meter.
2.2 Casusoverleg en privacy De in het rapport iOverheid geschetste problematiek manifesteert zich ook in de context van casusoverleg. Casusoverleg kan op gespannen voet staan met de privacy van de betrokken cliënten en hun omgeving. Om die reden is er vanuit de maatschappij en de toezichthouder (het College bescherming persoonsgegevens) nadrukkelijk aandacht voor de verwerking van persoonsgegevens binnen casusoverleggen en de veiligheidshuizen. In maart 2011 oordeelde het CBP bijvoorbeeld dat de gegevensverwerkingen in het kader van het casusoverleg JCO in de Veiligheidshuizen Bergen op Zoom en Fryslan niet conform de Wbp plaatsvond.9 Dit onderzoek had geen betrekking op GCOS als systeem maar veeleer op de ‘netwerksamenwerking’ binnen het veiligheidshuis als zodanig. GCOS als systeem heeft het ondersteunen en faciliteren van casusoverleggen tot doel. Hiertoe biedt het systeem de mogelijkheid om persoonsgegevens te verwerken. Gegeven de aard en de omvang van de verwerkte gegevens binnen GCOS speelt het privacyvraagstuk ook binnen GCOS een prominente rol. Nu het GCOS in de meeste veiligheidshuizen en ten behoeve van (jeugd)ketens wordt gebruikt, is er een aantal vraagstukken gerezen ten aanzien van verwerking en beheer van persoonsgegevens in een multidisciplinaire omgeving. In november 2011 zijn door het Servicecentrum Privacy en Veiligheid een aantal knelpunten geconstateerd ten aanzien van de inrichting van GCOS. Zo is onder andere vastgesteld dat: 1. GCOS – als landelijk raadpleegbare database -‐ een wettelijke en daarmee juridische basis ontbeert. 2. Het niet mogelijk is om de verantwoordelijkheid voor de gehele inhoud van GCOS ondubbelzinnig toe te wijzen aan een verantwoordelijke. 3. Sommige partijen in de casusoverleggen een wettelijke grondslag ontberen om het BSN te gebruiken. 4. Door de toename van het aantal casusoverleggen en het aantal kaders, de wens om mensen persoonsgericht aan te pakken dan wel zorg te bieden en de toenemende behoefte om ‘in elkaars systemen te kunnen kijken’, het voorkomen van bovenmatig en onrechtmatig gebruik steeds moeilijker wordt. 5. Met het vastleggen van gegevens in GCOS, los van bronsystemen van ketenpartners, wordt het steeds lastiger om invulling te geven aan eisen ten aanzien van de kwaliteit en juistheid van gegevens.
9
College bescherming persoonsgegevens (2011), Veiligheidshuis district Bergen op Zoom, Onderzoek naar de verwerking van persoonsgegevens in het kader van het Justitieel Casusoverleg en JCO-‐Support, Rapportage van Definitieve Bevindingen (z2010-‐00826), maart 2011; en College bescherming persoonsgegevens (2011) Veiligheidshuis Fryslan, Onderzoek naar de verwerking van persoonsgegevens in het kader van het Justitieel Casusoverleg en JCO-‐Support, Rapportage van Definitieve Bevindingen (z2010-‐00827), maart 2011
11
Deze gesignaleerde knelpunten komen overeen met de door de Universiteit Leiden in april 2011 geconstateerde knelpunten.10 In hoofdstuk 4 wordt gekeken in hoeverre deze knelpunten zich momenteel binnen de praktijk van het gebruik van GCOS binnen veiligheidshuizen manifesteren.
10
Bruning M.R. (2011), Notitie privacyknelpunten GCOS en herziening wetgeving, Universiteit Leiden, 21 april 2011
12
3 GCOS als geïntegreerd systeem: huidige inrichting 3.1 Inleiding GCOS is een uniform landelijk systeem voor casusoverleggen en beoogt de ‘warme’ overdracht te ondersteunen (inclusief de verantwoording van besluiten), alsmede de casusregie en het verkrijgen van een betere informatiepositie ten behoeve van ketensamenwerking. Met GCOS kan er efficiënter gewerkt worden en kunnen door maatwerk de juiste maatregelen worden genomen ten aanzien van een betrokkene. Het GCOS-‐systeem is in het najaar van 2010 voor het eerst in een pilotversie gebruikt en is inmiddels in gebruik in ongeveer 30 veiligheidshuizen en daarnaast in diverse BJZs, PI’s en JJI’s. GCOS wordt in de veiligheidshuizen gebruikt om de aanpak te organiseren van (potentieel) criminele of ernstige overlast veroorzakende personen of systemen, waarachter een complexe problematiek schuilgaat.11 In principe kan iedere casus die voldoet aan deze omschrijving worden besproken in een veiligheidshuis. De betrokkenen wiens gegevens in GCOS worden verwerkt worden casussubjecten genoemd. GCOS biedt echter ook de mogelijkheid om gegevens te registeren op een casus, waarbij ook andere personen in de gezins-‐, familie-‐, vrienden-‐, of relationele sfeer een rol kunnen spelen.
3.2 GCOS: ondersteuning voor zowel landelijk uniforme als context-‐specifieke kaders Met GCOS als generieke voorziening kunnen partijen diverse typen casusoverleggen inrichten. Zo is er een aantal veelvoorkomende kaders zoals het justitieel casusoverleg voor jeugd (JCO), het casusoverleg bescherming (COB) en het veelplegers-‐ en huiselijk geweldoverleg waarbij ketenpartners op landelijk niveau afspraken hebben gemaakt ten aanzien van doel, middelen en benodigde partijen. Vaak zijn er voor sommige van deze landelijke kaders specifieke functionaliteiten en/of gegevenselementen toegevoegd aan GCOS om het werkproces optimaal te ondersteunen. Daarnaast biedt GCOS de mogelijkheid om context-‐specifieke kaders in te richten waarmee samenwerking op regionaal of lokaal niveau casusoverleg ondersteund wordt.
3.3 Gegevensverwerkingen in GCOS GCOS biedt mogelijkheden om een aantal gegevens in te voeren en met aangesloten partners te delen. Hieronder een overzicht van de gegevens die in GCOS kunnen worden ingevoerd.12 Cliënt-‐gebonden gegevens 1. Cliënt (verplichte invoervelden) a. Naamsgegevens b. Geslacht c. Verantwoordelijke organisatie en persoon d. Verblijfsstatus* (legaal-‐illegaal) e. BSN* f. Nationaliteit* g. Geboortedatum, en –land* h. Behandelregio 2. Relatie-‐informatie a. Familiesamenstelling b. Groepsdeelname (‘Samenstellen’) 3. Casusgegevens
Niet cliënt-‐gebonden gegevens 8. Agenda’s a. Agendapunten b. Deelnemers 9. GCOS c. Meldingen/instroom d. Overleggen e. Mijn acties f. Acties eigen organisatie 10. Zoeken g. Casussubjecten h. Casus i. Personen
11
De FAQ Veiligheidshuizen daarentegen heeft het over “ketenoverstijgende aanpak van complexe persoons-‐, systeem en gebiedsgerichte problematiek”. Frequently Asked Questions Veiligheidshuizen, via http://www.veiligheidshuizen.nl/doc/QA-‐Veiligheidshuizen.pdf, geraadpleegd 13 maart 2013. 12 Ontleend aan de impressiepresentatie GCOS.
13
a. b. c.
4. 5.
6.
7.
Omschrijving casus Reden van aanmelding Documenten (ieder bestand, bijvoorbeeld psychiatrisch rapport)* Keteninformatie a. Ketenorganisatie en –contactpersoon Probleemanalyse a. Leefgebieden* i. dagbesteding, ii. denkwereld, iii. gedrag en motivatie iv. financieel v. identiteitsbewijs vi. justitieel vii. lichamelijk welzijn viii. psychisch welzijn ix. sociale relaties x. thuissituatie xi. verslaving xii. wonen b. Omschrijving van probleem c. Risico-‐taxatie Plan van Aanpak (‘PvA’) a. Doel b. Besluit c. Actie Documenten (print (onderdelen van) dossier)
Tabel 1: (bijzondere) persoonsgegevens(velden) in GCOS, uitgaande van de impressie GCOS.
GCOS biedt ruimte voor diverse functionaliteiten: invoeren van gegevens over cliënt, het managen van follow-‐up (plan van aanpak), rapportages, alsmede agenda-‐, meldings-‐, terugkoppeling-‐ en zoek-‐functies.
3.4 Casus-‐overstijgend uitwisselen van gegevens GCOS biedt de mogelijkheid tot casus-‐overstijgende samenloopdetectie en is, afhankelijk van de autorisatie, landelijk raadpleegbaar.13 Deze functionaliteiten waarmee kan worden geïnventariseerd of een betrokkene die in een casusoverleg wordt besproken ook in andere casusoverleggen bekend is, kan nuttig en zelfs noodzakelijk zijn, bijvoorbeeld voor de afstemming van zorg of handhaving van de openbare orde. Wanneer iemand bijvoorbeeld in een casusoverleg Veelplegers besproken wordt ook casussubject is van het casusoverleg Huiselijk geweld, dan kan dit betekenen dat deze persoon ook gewelddadig is tegen zijn gezinsleden of zelf slachtoffer is van huiselijk geweld. Dit kan relevant zijn omdat het aangeeft met welke problematiek een persoon te maken heeft. 3.4.1 Uitwisselen van informatie op casussubject Omdat GCOS is ingericht om één plan voor één persoon te kunnen maken worden er naast de ‘dat’ detectie ook inhoudelijke gegevens uit de leefgebieden en het plan van aanpak gedeeld.14 Deze gegevens die daarin over het casussubject zijn verwerkt, zijn inzichtelijk voor alle (landelijke) GCOS-‐gebruikers die hiertoe geautoriseerd zijn. Deze autorisatie is onder meer afhankelijk van de rol en de organisatie van de gebruiker, het casusoverleg en het veiligheidshuis waarin de inhoudelijke gegevens oorspronkelijk zijn gedeeld.
13
GCOS beschikt over een complexe autorisatiestructuur die zeer selectief rechten toekent. Naast één plan voor één persoon wordt nu ook gesproken over één plan voor één familie/gezin.
14
14
3.4.2 Uitwisselen van informatie op casus Naast registratie op casussubject niveau is het ook mogelijk om informatie enkel op casus niveau te registreren. Het overdragen van een casus (en de daarop geregistreerde gegevens) naar een ander veiligheidshuis is mogelijk via de functie ‘casus overdragen naar ander veiligheidshuis’. Daarmee is de casus inzichtelijk voor deelnemers aan beide casusoverleggen waarmee een warme overdracht wordt beoogd.
15
4 Privacy compliance in de praktijk van casusoverleg In dit hoofdstuk staat de vraag centraal hoe het gebruik van GCOS in de praktijk van het casusoverleg zich verhoudt tot het belangrijkste wettelijke kader voor gegevensbescherming, de Wet bescherming persoonsgegevens (Wbp).15 Hierbij wordt specifiek gekeken naar de toepassing van GCOS in de praktijk van veiligheidshuizen. De verwerking van persoonsgegevens in GCOS, zoals die plaatsvindt binnen de context van de veiligheidshuizen, valt onder de reikwijdte van de Wbp, omdat sprake is van een “geheel of gedeeltelijk geautomatiseerde verwerking van gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon” (artikel 1, sub a, jo. 2 Wbp). Derhalve moet de verwerking van persoonsgegevens binnen GCOS voldoen aan de eisen van de Wbp omtrent rechtmatigheid, melding, informatieverstrekking, rechten van de betrokkene, enzovoorts, tenzij uitzonderingen of beperkingen van toepassing zijn. Deze toetsing op hoofdlijnen vindt plaats in onderstaande paragrafen, aan de hand van de kernvereisten van de Wbp.
4.1 Verwerking van persoonsgegevens De Wbp stelt voorwaarden aan de rechtmatigheid van de verwerking van ‘persoonsgegevens’. Daarbij wordt onderscheid gemaakt tussen drie soorten persoonsgegevens: 1. ‘Gewone’ persoonsgegevens: dit zijn gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. 2. Bijzondere persoonsgegevens: hebben naar hun aard een gevoelig karakter, zoals persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. De verwerking van deze bijzondere persoonsgegevens is in beginsel verboden, tenzij een specifieke uitzondering van toepassing is, of de betrokkene daarvoor diens uitdrukkelijke toestemming heeft gegeven. 3. Wettelijke persoonsnummers (identificerende nummers): deze aparte categorie bijzondere persoonsgegevens mogen slechts worden verwerkt wanneer dit ter uitvoering is van een wet of voor doeleinden bij de wet bepaald. 4.1.1 Persoonsgegevens Van gegevens 1 tot en met 7 uit tabel 1 (zie paragraaf 3.3) is sprake van verwerking van persoonsgegevens van betrokkenen, omdat deze gegevens betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon.16 Gegevens 8 tot en met 10 vormen de agenda en beheerfunctie van de GCOS-‐gebruiker, de casusdeelnemer. Hier is mogelijk sprake van verwerking van persoonsgegevens van de betrokken casusdeelnemer. Echter, nu deze impactanalyse zich focust op de verwerking van de persoonsgegevens van betrokkenen, wordt deze categorie persoonsgegevens in deze analyse verder buiten beschouwing gelaten. 15
Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), Staatsblad 2000, 302. 16 Dan wel cliënten, casussubjecten, dat wil zeggen personen met complexe problematiek.
16
4.1.2 Bijzondere persoonsgegevens Ter ondersteuning van het casusoverleg verwerken veiligheidshuizen in veel gevallen bijzondere persoonsgegevens over een casussubject in GCOS. GCOS biedt daar als systeem uitdrukkelijk ruimte voor. De gegevens in de tabel 1 met een asterisk (*) zijn aan te merken als bijzondere persoonsgegevens. Te denken valt aan invoervelden die expliciet betrekking hebben op gezondsheidsgegevens (fysiek, mentaal en sociaal), strafrechtelijke gegevens (politie en justitie) en gegevens over ras (nationaliteit, geboorteland). Tevens biedt GCOS ruimte voor vrije invoer en het uploaden van integrale documenten, waarbij het niet ondenkbaar is dat hier medische, strafrechtelijke of andere bijzondere persoonsgegevens worden verwerkt (bijvoorbeeld theorieën of observeringen aangaande de psychische staat van casussubject en diens gegevens, of het uploaden van een psychiatrisch rapport of strafblad). Alle casusdeelnemers die GCOS gebruiken om bijzondere persoonsgegevens te verwerken, moeten derhalve over een gerechtvaardigde grondslag beschikken om dit te mogen doen in het kader van hun eigen taak, alsook om deze gegevens te mogen delen in het kader van het casusoverleg met andere casusdeelnemers. Derhalve is het belangrijk dat GCOS casusdeelnemers niet teveel ruimte geeft om bijzondere persoonsgegevens te verwerken (zoals via de bestandsuploadfunctie), het verwerken van bijzondere persoonsgegevens verplicht stelt door gebruikmaking van dwingende vaste invoervelden, of door het bieden van de mogelijkheid van het op grote schaal delen van bijzondere persoonsgegevens te delen, zoals via het landelijk inzichtelijk maken van de leefgebieden per casussubject.17 4.1.3 Identificerende nummers In GCOS wordt onder meer het wettelijke identificatienummers burgerservicenummer (BSN) gebruikt om gegevens te matchen met andere gegevens die beschikbaar zijn binnen GCOS over dezelfde persoon. Ook hier geldt dat GCOS er als generiek casusondersteunend systeem niet standaard vanuit kan gaan dat iedere casusdeelnemer BSN mag verwerken. BSN kan daarom niet een verplicht of standaard invoerveld zijn of altijd inzichtelijk zijn voor andere partijen. Wanneer unieke nummers voor alle partijen inzichtelijk zijn, ongeacht of zij een wettelijke basis hebben voor het verwerken van deze nummers, dan is er sprake van onrechtmatige verwerking. Weliswaar is het BSN nummer niet voor alle gebruikers zichtbaar, maar een wettelijk identificatienummer, ook al is het niet zichtbaar, mag niet op de achtergrond worden gebruikt om gegevens over een persoon te matchen, wanneer de betrokken deelnemers niet bevoegd zijn om een wettelijk identificatienummer te verwerken.18
4.2 Verantwoordelijke Wie is op dit moment verantwoordelijk in de zin van de Wbp voor de gegevensverwerking(en) in GCOS binnen het kader van de veiligheidshuizen? Om die vraag te beantwoorden speelt de oorsprong en ontwikkeling van het concept veiligheidshuis een rol. 4.2.1 Ontwikkeling veiligheidshuizen Veiligheidshuizen zijn ontstaan door de uitbreiding van lokale initiatieven van justitiële samenwerking (Justitie in de Buurt) met zorgpartners. Veel veiligheidshuizen hebben zich 17
Om deze reden is overigens de landelijke raadpleebaarheid aan strenge autorisaties gebonden. Zie notitie ‘memo demonstratie GCOS 11 okt 2011 8 nov 2011’ Servicecentrum Privacy & Veiligheid.
18
17
ontwikkeld tot integrale netwerkverbanden, waarbij sprake is van diverse vormen van invulling, organisatie en stadia van volwassenheid. Om de veiligheidshuizen te faciliteren bij het verder versterken en verbeteren van de samenwerking heeft het ministerie van Veiligheid en Justitie het Programma Doorontwikkeling Veiligheidshuizen ingesteld. Het Programma moet de doorontwikkeling van de veiligheidshuizen “versnellen, versterken en verbeteren”. Hoofddoelstelling van het programma is om te komen tot een landelijke dekking van goed werkende, effectieve veiligheidshuizen. Een onderdeel (subdoelstelling) daarvan is het “landelijk kaderen en borgen van de veiligheidshuizen.” Vanuit het Programma Doorontwikkeling Veiligheidshuizen van het Ministerie van Veiligheid en Justitie is met de betrokken partijen een landelijk kader voor de veiligheidshuizen tot stand gekomen.19 Per 1 januari 2013 is vanuit de Doorontwikkeling Veiligheidshuizen de regie bij de gemeenten gelegd. Sindsdien krijgen gemeenten een rijksbijdrage in de kosten die ze maken voor de regie op veiligheidshuizen, geld dat eerder naar het Openbaar Ministerie ging.20 Gemeenten hebben de taak gekregen te zorgen voor inbedding in en afstemming met lokale en regionale zorg-‐ en veiligheidsnetwerken. Het landelijk kader voor veiligheidshuizen gaat in op de verantwoordelijkheden binnen de veiligheidshuizen: Alle betrokken partners bij het veiligheidshuis behouden hun eigen verantwoordelijkheden die behoren tot hun eigen organisaties. Medewerkers van partners nemen vanuit de eigen (wettelijke) verantwoordelijkheid met mandaat deel aan casusoverleggen. Zij zijn afstemmings-‐, onderhandelings-‐, en beslissingsbevoegd, waar het gaat om de inspanningen van de eigen organisatie in een individueel traject, of in de totstandkoming en uitvoering van een breder plan van aanpak voor gebieds-‐ of themagebonden problematiek.
En
De regie op de (regionale) samenwerking in de Veiligheidshuizen ligt bij gemeenten. Zij zijn onder meer verantwoordelijk voor coördinatie op de regionale samenwerking en verbinding van de verschillende ketens: het bestuur (burgemeesters -‐ openbare orde en veiligheid -‐ en wethouders zorg en welzijn) en de straf-‐ en zorgpartners op strategisch, bestuurlijk niveau in een regionale stuurgroep (of ander regionaal gremium). (…) Procesregie ligt bij het veiligheidshuispersoneel en is gericht op het toezien op de totstandkoming van samenwerking op casusniveau (bijvoorbeeld door organisatie en agendering van de verschillende casusoverleggen). Casusregie is gericht op één specifieke casus en ziet erop toe dat er een integraal plan van aanpak wordt gemaakt en afspraken worden gemaakt en nagekomen. De partners zijn zelf verantwoordelijk voor het aandeel dat de eigen organisatie heeft binnen een casus en de inbreng die ze 21 levert (expertise en interventies).
Afgaande op het landelijk kader, lijkt te worden aangestuurd op gezamenlijke verantwoordelijkheid van gemeenten, veiligheidshuizen en casusdeelnemers. De gemeenten zijn verantwoordelijk voor de veiligheidshuizen, de veiligheidshuizen voor de organisatie en het faciliteren van het casusoverleg en de casusdeelnemers, de ketenpartners, voor de eigen inbreng aan de casus. 19
Activiteitenplan Programma Doorontwikkeling Veiligheidshuizen 2012-‐2013, via http://veiligheidshuizen.nl/doc/Activiteitenplan-‐VHH.pdf, geraadpleegd 14 maart 2013. 20 Van Houten, R.,‘Veiligheidshuis is een netwerk, geen instituut’, VNGMagazine, 01/02/2013, via http://www.vngmagazine.nl, geraadpleegd 14 maart 2013. 21 Factsheet
18
Verantwoordelijkheid voor de gegevensverwerking, in de zin van de Wbp, wordt echter niet bepaald op grond van wie verantwoordelijkheid krijgt toebedeeld, maar door “de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt” (Wbp artikel 1, onder d). De vraag is wie het doel en de middelen voor de gegevensverwerking in GCOS zoals gebruikt binnen de veiligheidshuizen vaststelt. 4.2.2 ‘Doel en middelen’ Het hoofddoel van gegevensverwerkingen in GCOS in de veiligheidshuizen is het ondersteunen van het casusoverleg in het tot stand brengen van een gezamenlijk plan (‘één persoon, één plan’) in situaties waarbij sprake is van ‘complexe problematiek’. De veiligheidshuizen, de casusregisseur en de casusdeelnemers bepalen voorts wanneer aan de vereisten voor ‘complexe problematiek’ is voldaan en gaan over tot daadwerkelijke gegevensverwerking om te komen tot een gezamenlijk plan. Het uiteindelijke doel voor gegevensverwerking in GCOS binnen de veiligheidshuizen, is daarmee steeds in de regel terug te voeren op het veiligheidshuizenbeleid, zoals dat recentelijk bekrachtigd is in het Landelijk Kader Veiligheidshuizen. Het Landelijk Kader Veiligheidshuizen is tot stand gekomen door de ketenpartners en gepresenteerd onder de vlag van het Ministerie van Veiligheid en Justitie in het kader van diens programma Doorontwikkeling Veiligheidshuizen. Het kan daarmee worden gezien als document dat het landelijke te volgen beleidsdoelen voor veiligheidshuizen uiteenzet (zie verder paragraaf 4.3). Daarnaast wordt GCOS als middel door het Ministerie van Veiligheid en Justitie geboden “aan ketenpartners ter ondersteuning bij het casusoverleg dat zij met elkaar voeren over casussubjecten”.22 GCOS is geen verplicht middel/systeem voor gegevensverwerking in veiligheidshuizen. De keuze voor GCOS als middel wordt uiteindelijk gemaakt door de gemeente of het veiligheidshuis zelf. Nu GCOS echter is ontwikkeld door het Ministerie van Veiligheid en Justitie lijkt het aannemelijk dat gemeenten en veiligheidshuizen GCOS zien als het meest aangewezen, voor de hand liggende of wenselijke systeem, en in ieder geval als een veilig en ‘goed’ systeem. Veel -‐maar niet alle-‐ veiligheidshuizen gebruiken GCOS voor het verwerken van gegevens om te komen tot een gezamenlijke beoordeling en een gezamenlijk plan. De ‘keuze’ voor GCOS heeft echter ook invloed op het doel van de verwerking, omdat de gegevensinvoervelden en functionaliteiten in GCOS vooraf zijn bepaald. Tenslotte vindt alle gegevensopslag binnen GCOS plaats op één gedeelde serverruimte, waarvan het beheer uiteindelijk valt onder, of in ieder geval wordt aangewezen door het Ministerie van Veiligheid en Justitie als systeemeigenaar. Samenvattend kan gesteld worden dat de verantwoordelijkheid voor GCOS en de verwerkingen die daarbinnen plaatsvinden momenteel onvoldoende duidelijk is. Hierdoor is het aannemelijk dat er een gezamenlijke of gedeelde verantwoordelijkheid (in de zin van de Wbp) voor de verwerking van persoonsgegevens via GCOS in veiligheidshuizen ontstaat, waarbij de volgende partijen betrokken zijn: 22
Project Dashboard GCOS, Rijks ICT-‐dashboard, publicatiedatum 07-‐02-‐2013, via https://www.rijksictdashboard.nl/content/project/gcos-‐generiek-‐casus-‐ondersteunend-‐systeem, geraadpleegd 13 maart 2013.
19
-
-
Het veiligheidshuis kiest het systeem, zoals GCOS en maakt keuzes in de selectie van kaders, casus en verwerkt dikwijls ook persoonsgegevens ter ondersteuning van het casusoverleg. Echter, een veiligheidshuis is een samenwerkingsverband zonder formele juridische status en kan daarmee geen (deel)verantwoordelijke zijn in de zin van de Wbp. De gemeente financiert het veiligheidshuis vanuit het landelijk beleid en budget voor veiligheidshuizen, en lijkt daarmee als bestuursorgaan de eindverantwoordelijkheid voor de veiligheidshuizen te hebben. Of de gemeenten zich bewust zijn van deze juridische verantwoordelijkheid voor de gegevensverwerking is sterk de vraag. De afzonderlijke casusdeelnemers zijn ieder zelf verantwoordelijk voor de selectie en keuze van casuïstiek en vervolgens de daadwerkelijke verwerking van persoonsgegevens in GCOS. Het Ministerie van Veiligheid en Justitie heeft momenteel een aanzienlijke (indirecte) invloed op het doel voor gegevensverwerking via GCOS in de veiligheidshuizen, vanuit de steun aan de doorontwikkeling van de veiligheidshuizen, het Landelijk kader en de architecturale beslissingen genomen in het ontwerp van GCOS.
In de praktijk blijft deze gedeelde verantwoordelijkheid echter impliciet, waardoor formele verantwoordelijke voor de gegevensverwerking niet altijd juist wordt belegd of (h)erkend, waardoor de plichten van de verantwoordelijk en de rechten van de betrokkene onvoldoende invulling krijgen. Het niet duidelijk beleggen van de verantwoordelijkheid is een overtreding van de Wbp. Het College bescherming persoonsgegevens (CBP) kan handhavend optreden en bijvoorbeeld bestuursdwang toepassen om een eenduidige verantwoordelijkheid af te dwingen. In de aankomende Europese Privacy Verordening wordt het benoemen en beschrijven van de gedeelde, gezamenlijke verantwoordelijkheid een uitdrukkelijke plicht. Op het niet voldoen aan deze vereiste staan forse boetes voor de feitelijke verantwoordelijke, tot 500.000 euro per overtreding.23
4.3 Doelbepaling De verantwoordelijke mag persoonsgegevens slechts verzamelen wanneer dit gebeurt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Omtrent de doelstelling van veiligheidshuizen zegt het Landelijk Kader Veiligheidshuizen: “De doelstelling van de samenwerking in Veiligheidshuizen is het bijdragen aan veiligheid(sbeleving) als onderdeel van het integrale veiligheidsbeleid: het voorkomen en verminderen van recidive, (ernstige) overlast, criminaliteit en maatschappelijke uitval bij complexe problemen, door een combinatie van 24 repressie, bestuurlijke interventie en zorg.”
Meer specifiek inzake het doel (‘opbrengst’) van het gegevensverwerking binnen het casusoverleg binnen de veiligheidshuizen:
Het Veiligheidshuis is een netwerksamenwerking tussen straf-‐, zorg-‐ en (andere) gemeentelijke partners, waarin zij onder eenduidige regie komen tot een ketenoverstijgende aanpak van complexe persoons-‐, 25 systeem-‐ en gebiedsgerichte problematiek om ernstige overlast en criminaliteit te bestrijden. 23
Artikel 24 jo. Artikel 79 lid 5 onder e Voorstel Algemene Data Protectie Verordening (COM 2012 11 NL) Factsheet. 25 Landelijk Kader Veiligheidshuizen, par. Wat zijn Veiligheidshuizen?, p. 11. 24
20
“De opbrengst van de samenwerking is het realiseren van een gezamenlijk proces en het tot stand brengen van een gezamenlijk, integraal plan van aanpak. De opbrengst van de samenwerking is afhankelijk van de casus. Meestal gaat het hierbij om een gezamenlijke probleemverkenning, planvorming en regie op de uitvoering. Het concrete resultaat van de samenwerking is een integraal plan, waarin de inzet van partners is afgestemd, met concrete afspraken over de verschillende interventies (gericht op de aanpak van 26 problemen op verschillende leefgebieden) en eventuele vervolgstappen en monitoring.” “Dat betekent dat een casus wordt bezien binnen de context van de (sociale) omgeving waarmee een onderlinge samenhang en wisselwerking bestaat. Dit kan het gezinssysteem zijn, maar ook de sociale omgeving, zoals vrienden, buren of school. Deze factoren worden daarom meegenomen in de probleemanalyse, en krijgen -‐ indien nodig -‐ een plek in de aanpak. (…) Dit betekent ook dat de gezinsleden in casuïstiek worden meegenomen in de analyse, en indien er reden is tot zorg, er ook voor hen een aanpak 27 tot stand komt. Het streven is te komen tot één gezin, één plan, en één regisseur”.
Vanuit de visie van het Ministerie van Veiligheid en Justitie als (deel)verantwoordelijke zijn de doeleinden in relatie tot gegevensverwerking in GCOS nog onvoldoende bepaald en uitdrukkelijk omschreven. Dit hangt wellicht samen met de onduidelijke of onbekende positie van het ministerie als (mede)verantwoordelijke voor (een deel van) de gegevensverwerking in GCOS. De afzonderlijke veiligheidshuizen beschikken dikwijls, maar lang niet altijd over een privacy protocol, statement of policy, of ander document waarin afspraken worden gemaakt omtrent de omgang met persoonsgegevens, waarin wordt ingegaan op de doeleinden van gegevensverwerking. Daarbij bestaat het risico dat de doelomschrijving algemeen is geformuleerd, om diverse gegevensverwerkingen (casusoverleggen) te omvatten. Daarmee neemt het risico toe dat de doelomschrijving onvoldoende welbepaald en uitdrukkelijk omschreven is. Veel casusoverleggen committeren zich aan het privacy protocol van het veiligheidshuis. Echter, hiermee is nog niet voldoende omschreven wat de doeleinden van het afzonderlijke casusoverleg zijn. Daarnaast is het de vraag of het veiligheidshuis gezien het ontbreken van een formeelwettelijke grondslag überhaupt de doeleinden voor de verwerking kan formuleren. 4.3.1 Doelbinding en geheimhoudingsplicht De Wbp bepaalt dat persoonsgegevens slechts verder mogen worden verwerkt op een wijze die verenigbaar is met de doeleinden waarvoor ze zijn verkregen (doelbinding).28 Verder moet de verwerking van persoonsgegevens achterwege blijven voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Casusdeelnemers die vanuit hun oorspronkelijke taak bevoegd zijn (bijzondere) persoonsgegevens te verwerken en delen, dienen zich derhalve te vergewissen van hun geheimhoudingsplicht en zich niet daar buiten te begeven door (goed bedoeld) maar onbevoegd via GCOS gegevens te delen met casusdeelnemers. De bescherming van het beroepsgeheim en de geheimhouding van medische en andere gegevens staat echter op gespannen voet met de landelijke raadpleegbaarheid van leefgebied-‐informatie (met dikwijls bijzondere persoonsgegevens) over casussubjecten. 26
Landelijk Kader Veiligheidshuizen, par. Doelstelling van de samenwerking, p. 14. Landelijk Kader Veiligheidshuizen, par. Integrale werkwijze en systeembenadering, p. 26. 28 Zie in dit kader ook: Article 29 Working Party (2013), Opinion 03/2013 on purpose limitation, April 2 2013, 00569/13/EN WP 203 27
21
Op dezelfde voet mogen persoonsgegevens vanuit GCOS, het casusoverleg en het veiligheidshuis alleen verder worden verwerkt zolang dit in lijn is met de doeleinden zoals omschreven door de verantwoordelijke(n).
4.4 Grondslag voor de verwerking Naast de eis dat de doeleinden welbepaald en uitdrukkelijk zijn omschreven, moet er ook sprake zijn van een gerechtvaardigd doel voor gegevensverwerking in GCOS. Er is sprake van een gerechtvaardigd doel voor gegevensverwerking , wanneer de verantwoordelijke de bedoelde verwerking kan baseren op één van de in artikel 8 Wbp limitatief opgesomde verwerkingsgronden. Nu er sprake lijkt te zijn van gezamenlijke verantwoordelijkheid die onvoldoende duidelijk belegd is, is het niet eenvoudig om te bepalen of sprake is van een gerechtvaardigd doel. De reden hiervoor is dat normaliter het doel rechtstreeks gekoppeld is aan de eisen en wensen van de verantwoordelijke(n). Binnen de huidige inrichting van GCOS lopen er echter verschillende doelen en belangen door elkaar heen (de wettelijke taakuitvoering door de ketenpartners en de overkoepelende wens van Veiligheid en Justitie om te komen tot één plan, één aanpak). Hieronder zullen wij de grondslagen die in de praktijk opgevoerd (kunnen) worden voor de rechtvaardiging van de gegevensverwerking analyseren. Hierbij moet een onderscheid worden gemaakt tussen vrijwillige kaders en gedwongen kaders. Bij de vrijwillige kaders kan de uitdrukkelijke toestemming als grondslag dienen. In het kader van ‘bemoeizorg’ zal aansluiting moeten worden gezocht bij andere wettelijke grondslagen. 4.4.1 Toestemming (8a Wbp) Het hebben van uitdrukkelijke toestemming van de betrokkene vormt een gerechtvaardigde grondslag voor gegevensverwerking (art. 8, sub a, Wbp en artikel 23 Wbp jo artikel 16 Wbp). Sommige veiligheidshuizen vragen daarom toestemming aan de betrokkene alvorens deze wordt besproken in een casusoverleg. Wil de toestemming voldoen aan de criteria die de Wbp daarvoor stelt, moet deze: -‐ in vrijheid gegeven, geïnformeerd en specifiek zijn. Dat wil zeggen dat er daadwerkelijk een keuze is om al dan niet te worden besproken, en dat voldoende specifiek informatie moet worden welke gegevens, waarom (doel) en met wie worden besproken, op basis waarvan de betrokkene een geïnformeerd besluit kan nemen. -‐ indien sprake is van bijzondere persoonsgegevens, uitdrukkelijk gegeven zijn, bijvoorbeeld schriftelijk, of via het online actief aanvinken van een tickbox. -‐ indien sprake is van kinderen jonger dan 16 jaar, worden gegeven door de wettelijk vertegenwoordiger (artikel 5 Wbp), -‐ na verkrijging, te allen tijde ook weer kunnen worden ingetrokken. Het is aannemelijk dat de wijze waarop momenteel toestemming wordt verkregen bij de betrokkenen, voor zover dat al plaatsvindt, in veel gevallen niet voldoet aan bovengenoemde
22
criteria.29 In ieder geval kan toestemming niet als grondslag dienen voor bemoeizorg en gedwongen kaders omdat hier geen sprake is van vrijwilligheid en/of een vrije keuze.30 4.4.2 Wettelijke plicht (artikel 8c Wbp) Er kan een wettelijke plicht rusten op partijen om gegevens te verwerken. Dit lid vormt dan de grondslag op basis waarvan een wettelijke verplicht gestelde verwerking door de verantwoordelijke plaats kan vinden. Er wordt wel betoogd dat er een wettelijke plicht rust op ketenpartijen om de rechten van betrokkenen (onder andere het menselijk welbevinden en de menselijke waardigheid) te beschermen. Dit is echter geen wettelijke plicht in de zin van artikel 8c Wbp. Het moet namelijk gaan om een verplichting krachtens een algemeen verbindend voorschrift om gegevens te verwerken (bijvoorbeeld op grond van de belastingwetgeving).31 In zoverre op basis van grondwettelijke of verdragsrechtelijke bepalingen er een plicht voortvloeit om als publiekrechtelijke instantie bepaalde belangen te beschermen, dan moet de uitvoering en uitwerking van deze plicht nader vastgelegd zijn in formele wetgeving, hetgeen dan ook de legitimatie vormt om persoonsgegevens te verwerken (zie 8e wbp). Een ‘morele plicht’ vormt geen zelfstandige grondslag voor het delen van (bijzondere) persoonsgegevens, het moet gaan om een expliciete wettelijke verplichting. 4.4.3 Vrijwaring vitaal belang van de betrokkene (artikel 8d Wbp) Ook artikel 8d Wbp wordt soms opgevoerd om de gegevensverwerking binnen veiligheidshuizen van een grondslag te voorzien. Deze grondslag is echter ontoereikend voor de gestructureerde uitwisseling van gegevens binnen veiligheidshuizen met behulp van GCOS, omdat het element ‘vitaal belang’ eng worden geïnterpreteerd: er moet een dringende medische noodzaak aanwezig zijn de gegevens van betrokkene te verwerken. Het moet gaan om een zaak van leven of dood.32 Hier zal slechts in zéér beperkte (multi-‐problem) gevallen sprake van zijn. In ieder geval biedt artikel 8d Wbp dus geen zelfstandige grond voor structurele verwerkingen over personen. 4.4.4 Goede uitoefening publiekrechtelijke taak (Artikel 8e Wbp) Artikel 8e Wbp, de noodzakelijkheid van de verwerking voor de goede uitoefening van de publiekrechtelijke taak, biedt een goede grondslag voor de verwerking van gegevens door de individuele partijen en eventueel ook binnen samenwerkingsverbanden (mits hier goede afspraken over zijn gemaakt, bijvoorbeeld in de vorm van een convenant). Wel moet de gegevens uitwisseling noodzakelijk zijn. Dit is een streng criterium. Het CBP heeft in haar onderzoeken naar het JCO ook aangegeven dat een deel van de verwerkingen bovenmatig waren omdat er geen sprake was van noodzakelijkheid.33 29
Zie hierover ook: College bescherming persoonsgegevens (2012), Informatie delen in samenwerkingsverbanden, versie februari 2012 30 Zie bijvoorbeeld: Article 29 Working Party (2011), Opinion 15/2011 on the definition of consent 31 Tweede Kamer, vergaderjaar 1997–1998, 25 892, nr. 3 (Memorie van Toelichting Wet bescherming persoonsgegevens), p. 83 32 Tweede Kamer, vergaderjaar 1997–1998, 25 892, nr. 3 (Memorie van Toelichting Wet bescherming persoonsgegevens), p. 84 33 College bescherming persoonsgegevens (2011), Veiligheidshuis district Bergen op Zoom, Onderzoek naar de verwerking van persoonsgegevens in het kader van het Justitieel Casusoverleg en JCO-‐Support, Rapportage van Definitieve Bevindingen (z2010-‐00826), maart 2011; en College bescherming persoonsgegevens (2011) Veiligheidshuis Fryslan, Onderzoek naar de verwerking van persoonsgegevens in het kader van het Justitieel Casusoverleg en JCO-‐Support, Rapportage van Definitieve Bevindingen (z2010-‐00827), maart 2011
23
Artikel 8e Wbp is wel problematisch als grondslag voor de verwerking van gegevens door veiligheidshuizen, nu veiligheidshuizen geen publiekrechtelijke organen zijn en dus ook geen publiekrechtelijke taken hebben. De gemeente zou hier de aangewezen publiekrechtelijke instantie zijn. De gemeente kan reeds ter uitvoering van een aantal wettelijke taken (bijvoorbeeld op grond van de WMO en de WWB) persoonsgegevens verwerken. Voor de grootschalige verwerking en uitwisseling van gegevens in het kader van veiligheid en zorg is er echter op dit moment nog geen voldoende wettelijke basis. Medio 2010 is een wetsvoorstel gedaan om de Gemeentewet te wijzigen in verband met de versteviging van de regierol van de gemeente ten aanzien van het lokaal veiligheidsbeleid’.34 In het voorgenomen artikel 171a Gemeentewet zou dan een grondslag staan voor samenwerking in een veiligheidshuis.35 In lagere wetgeving zou deze bepaling kunnen worden uitgewerkt voor wat betreft de gegevensdeling die daarbij noodzakelijk zou zijn. Het kamerstuk staat echter nog steeds op de agenda voor behandeling in de Tweede Kamer. 4.4.5 Gerechtvaardigd belang van de verantwoordelijke (artikel 8f Wbp) Het gerechtvaardigd belang van de verantwoordelijke om gegevens te verwerken wordt ook opgevoerd als mogelijke verwerkingsgrond (bijvoorbeeld in het kader van bemoeizorg). Echter, artikel 8f WBP biedt slechts een grondslag voor een gegevensverwerking indien daarmee het belang van de verantwoordelijke of een derde, afgezet tegen het privacybelang van de betrokkene, de verwerking rechtvaardigt. Nu het belang van de verantwoordelijke in feite het belang van de betrokkene betreft, kan deze grondslag niet worden opgevoerd daar waar het gaat om bemoeizorg. Eventueel kan het belang van de verantwoordelijke om de maatschappelijke veiligheid te waarborgen als belang worden opgevoerd voor meer veiligheid georiënteerde casusoverleggen. Problematisch in een dergelijke constructie is dat dit nog geen grondslag geeft voor de verwerking van bijzondere persoonsgegevens (hiervoor geldt de aanvullende eis van een zwaarwegend algemeen belang én een wettelijke basis voor het beschermen van dit algemeen belang) en dat de inbreuk op de persoonlijke levenssfeer waarschijnlijk van dien aard is, dat in de meeste gevallen het belang van de betrokkene zwaarder zal wegen. 4.4.6 Artikel 43 Wbp36 Artikel 43 Wbp wordt dikwijls genoemd als grondslag voor de verwerking voor persoonsgegevens wanneer sprake is van ‘de voorkoming van ernstige strafbare feiten’ of ‘de bescherming van de betrokkene of van de rechten en vrijheden van anderen’. Het artikel biedt echter enkel een uitzondering op het doelbindingscriterium, de plicht om de betrokkene te informeren en het recht op inzage en laat onverlet de noodzaak voor een zelfstandige grondslag ex artikel 8 Wbp.
34
Kamerstuk 32 459 ‘Wijziging van de Gemeentewet in verband met de versteviging van de regierol van de gemeente ten aanzien van het lokaal veiligheidsbeleid’. 35 Artikel 171a Gemeentewet: De burgemeester ziet toe op het lokaal veiligheidsbeleid en bevordert de voor de uitvoering van het integraal veiligheidsplan, bedoeld in artikel 148a, noodzakelijke samenwerking tussen alle betrokken partijen. 36 Feitelijk biedt artikel 43 Wbp geen grondslag voor gegevensverwerking. Wij noemen het artikel evenwel in dit kader, omdat het in de praktijk nog wel eens wordt opgevoerd als een zelfstandige grondslag voor de verwerking van persoonsgegevens.
24
Indien artikel 8e WBP als enige grondslag wordt gehanteerd voor de gegevensverwerking, dan kan artikel 43 onder e WBP (de uitzondering voor zorg of de bescherming van anderen) sowieso niet worden ingeroepen. Bij een combinatie van de grondslagen van artikel 8 onder d en onder e WBP is een beroep op artikel 43 Wbp al naar gelang de omstandigheden mogelijk, maar dit betekent dus wel dat er reeds een wettelijke taak moet zijn, hetgeen zo als in dit hoofdstuk besproken problematisch is in het kader van de verwerking van gegevens binnen GCOS.37
4.5 Gronden voor verwerking bijzondere persoonsgegevens GCOS biedt een omgeving waarin uitdrukkelijk ruimte is gecreëerd voor de verwerking van bijzondere persoonsgegevens (gezondheids-‐ en strafrechtelijke gegevens en gegevens over ras). De verwerking van bijzondere persoonsgegevens is in de regel verboden, tenzij een specifieke of algemene wettelijke uitzondering van toepassing is. 4.5.1 Specifieke uitzonderingsgronden Kort samengevat zijn er specifieke uitzonderingsgronden voor partijen zoals politie, artsen en andere BIG-‐geregistreerden en Bureau Jeugdzorg om bijzondere persoonsgegevens te verwerken. Deze uitzondering betreft echter de verwerking van deze bijzondere persoonsgegevens voor hun eigen werkzaamheden. De deling van -‐in het kader van de eigen taak verzamelde-‐ bijzondere persoonsgegevens met andere partners binnen het eigen straf-‐, dan wel zorgkader, is doorgaans slechts dan mogelijk wanneer daartoe een wettelijke bevoegdheid bestaat en daarbij bovendien sprake is aantoonbare noodzaak is en de verwerking proportioneel en subsidiair is. Voor de verwerking van bijzondere persoonsgegevens buiten het eigen kader, waaronder inbegrepen medewerkers van het veiligheidshuis, is het echter niet vanzelfsprekend en zonder meer aannemelijk dat deze verwerking kan worden gerechtvaardigd op basis van de op de casusdeelnemer van toepassing zijnde specifieke uitzonderingsgrond. De casusdeelnemer die bijzondere persoonsgegevens wil delen buiten zijn geëigende kader zal in dat geval een beoordeling moeten maken of er -‐gezien de omstandigheden van de casus-‐ het delen van de bijzondere persoonsgegevens valt binnen zijn wettelijke bevoegdheid. De casusdeelnemer die bijzondere persoonsgegevens deelt moet ook kunnen vaststellen dat alle betrokken casusdeelnemers waarmee de gegevens worden gedeeld ook gerechtigd zijn deze gegevens te ontvangen. Dit is moeilijk te realiseren wanneer reeds in de triagefase veel partijen om de tafel zitten. Nu GCOS op diverse plaatsen de mogelijkheid biedt om documenten te uploaden en ook diverse open invulvelden heeft, is het niet eenvoudig om bovenmatige gegevensdeling te voorkomen. 4.5.2 Uitdrukkelijke toestemming In situaties waarbij de bevoegdheid tot verwerking van bijzondere persoonsgegevens (al dan niet buiten het eigen kader en/of naar medewerkers van het veiligheidshuis) niet met zekerheid kan worden gebaseerd op een wettelijke bevoegdheid en/of specifieke uitzonderingsgrond, is verwerking in GCOS toch mogelijk wanneer daarvoor de uitdrukkelijke toestemming van de betrokkene of -‐wanneer sprake is van een minderjarige-‐ diens wettelijke vertegenwoordiger(s) is. 37
College bescherming persoonsgegevens (2005), Brief Convenant gegevensuitwisseling Nuon/GGD (z2005-‐0598), 12 september 2005
25
Uitdrukkelijke toestemming moet aan een aantal eisen voldoen. Zo is stilzwijgende of impliciete toestemming onvoldoende: de betrokkene dient in woord, schrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan de hem betreffende gegevensverwerking. Deze expliciete wilsuiting kan op verschillende wijzen tot stand komen, maar de verantwoordelijke heeft rekening te houden met een dubbele bewijslast. In de eerste plaats moet bij twijfel bewezen kunnen worden, dat een bepaalde toestemming is verleend en waarvoor. Daarnaast zal zo nodig bewezen moeten kunnen worden, dat de toestemming aan de gestelde eisen voldoet, waaronder dat deze specifieke en welbepaald is. Artikel 43 Wbp is niet geschikt als algemene uitzonderingsgrond voor de verwerking van (bijzondere) persoonsgegevens. Dit artikel biedt een uitzondering op Wbp-‐vereisten van doelbinding, informatieverstrekking en inzagerechten, maar laat onverlet het vereiste van een gerechtvaardigde grondslag verwerking van (bijzondere) persoonsgegevens.
4.6 Materiële eisen Wet bescherming persoonsgegevens Een beoordeling van de wijze waarop in veiligheidshuizen middels GCOS persoonsgegevens worden verwerkt in relatie tot de eisen van de Wbp, bevat naast een beoordeling van de legitimiteit van de verwerking (doel, grondslag) ook een beoordeling van de meer algemene eisen aan het niveau van gegevensbescherming door de verantwoordelijke(n). Om deze beoordeling te maken is het noodzakelijk om een Wbp compliance check van de verantwoordelijke(n) als geheel te doen. Dit valt buiten het bestek van deze impactanalyse. Wel kunnen we in algemene zin aangeven wat de eisen zijn en mogelijke bijbehorende risico’s. 4.6.1 Gegevenskwaliteit De Wbp vereist dat de verantwoordelijke voor de gegevensverwerking zorg draagt voor de kwaliteit van de persoonsgegevens. Met name bij het koppelen van gegevens uit verschillende bronnen moet voldoende aandacht zijn voor de juistheid van de gegevens. De verantwoordelijke dient ook maatregelen te nemen om er zeker van te zijn dat de persoonsgegevens, gelet op de doeleinden waarvoor zij worden verwerkt, juist en nauwkeurig zijn. Het is op dit moment, met de niet-‐expliciete toedeling van verantwoordelijkheid en daarmee gerelateerde gezamenlijke verantwoordelijkheid, onvoldoende duidelijk of er effectieve maatregelen zijn genomen voor het verzekeren van gegevenskwaliteit. 4.6.2 Gegevenskwantiteit De Wbp vereist dat de verantwoordelijke voor de gegevensverwerking er voor zorgt dat de gegevensverzameling en -‐verwerking niet anders, groter of breder wordt. Het is de taak van de verantwoordelijk te zorgen dat de persoonsgegevens, gelet op de doeleinden waarvoor zij worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.38 Deze eis omvat het principe van ‘dataminimalisatie’. Zeker met de open invulvelden bij de leefgebieden en met de overlap tussen de landelijke raadpleegbaarheid daarvan en de gemeentelijke aanpak, speelt de vraag in hoeverre de beschikbare informatie noodzakelijk is voor goede hulpverlening. Geconcludeerd kan worden dat er bij GCOS gezien de architecturale inrichting een groot risico is op bovenmatige gegevensverwerking.
38
Artikel 11.1 Wbp.
26
4.6.3 Transparantie Transparantie is één van de kernpunten van de Wet bescherming persoonsgegevens, omdat de (on)rechtmatige verwerking van persoonsgegevens een inbreuk kan vormen op de persoonlijke levenssfeer. Eerbiediging van de persoonlijke levenssfeer en bescherming van persoonsgegevens zijn dan ook grondrechten van de Europese Unie.39 De betrokkenen, in dit geval de casussubjecten, moeten daarom niet alleen op de hoogte zijn dat er gegevens over hen worden verwerkt, maar ook door wie en waarom.40 Daarnaast moeten zij in kennis worden gesteld hoe zij inzage kunnen krijgen in de gegevens die over hen worden verwerkt en zo nodig hun gegevens kunnen wijzigen of verwijderen.41 Het is de plicht van de verantwoordelijke om aan deze transparantieplichten te voldoen. Nu verschillende verantwoordelijken een rol spelen in de verschillende lagen van gegevensverwerking door middel van GCOS in de veiligheidshuizen, is het niet zonder meer duidelijk voor de betrokkene dat zijn/haar gegevens worden verwerkt, welke partijen daarvoor verantwoordelijk zijn en hoe de betrokkene invulling kan geven aan zijn of haar rechten. 4.6.4 Vertrouwelijkheid De verantwoordelijke moet de vertrouwelijkheid van de gegevensverwerkingen garanderen (artikel 12 Wbp). Het uitgangspunt is dat de verantwoordelijke verantwoordelijk en aansprakelijk is voor de gegevensverwerking. Deze verantwoordelijkheid kan hij slechts dragen wanneer zijn ondergeschikten of degenen die in opdracht van de verantwoordelijke gegevens verwerken, zich naar zijn aanwijzingen richten. Ieder die handelt onder het gezag van de verantwoordelijke dient te handelen overeenkomstig de door de verantwoordelijke gegeven aanwijzingen. Dit gezag kan zijn grond vinden in een arbeidscontract, doch ook in een aanbestedingscontract of elke rechtsverhouding waarin de zeggenschap van de verantwoordelijke stilzwijgend of uitdrukkelijk ligt besloten.42 Nu onduidelijk is wie momenteel verantwoordelijke is voor de gegevensverwerking vormt de vertrouwelijkheid van de gegevens een probleem. De reden hiervoor is dat het veiligheidshuis de vertrouwelijkheid voor de ingevoerde gegevens niet volledig onder controle heeft en daarmee ook niet kan garanderen. De reden hiervoor is over cruciale aspecten zoals IT beveiliging en autorisatiebeleid momenteel door de aanbieders van GCOS is belegd bij een uitvoerder, waardoor het veiligheidshuis geen zeggenschap heeft over de wijze waarop hier invulling aan wordt gegeven. Ook al zal een dergelijke uitvoerder in veel gevallen aan te merken zijn als bewerker in de zin van de Wbp, de verantwoordelijkheid voor (de wijze waarop invulling wordt gegeven aan) de vertrouwelijkheid lijkt daarmee nog steeds te liggen bij de ‘aanbieder’ van GCOS, dat wil zeggen het Ministerie van Veiligheid en Justitie. Andersom geldt ook dat het Ministerie van Veiligheid en Justitie ook geen controle heeft over het daadwerkelijke gebruik van GCOS en de veiligheid daarvan. Mocht bijvoorbeeld in de praktijk onzorgvuldig worden omgesprongen met autorisaties, bijvoorbeeld omdat ook
39
Artikel 7 en 8 Handvest van de grondrechten van de Europese Unie. Artikel 33 en 34 Wbp. 41 Artikel 35 en 36. 42 Kamerstukken II, vergaderjaar 1997-‐1998, 25892, nr. 3, blz. 97 40
27
ondersteunende functies (zoals een secretariaat) geautoriseerd worden om dossiers in GCOS in te zien, dan heeft het Ministerie hier geen controle over. 4.6.5 Bewaartermijn De verantwoordelijke moet er op toezien dat persoonsgegevens niet langer worden bewaard dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld en worden verwerkt. Nadien moeten de persoonsgegevens worden vernietigd of geanonimiseerd. Indien een casus in GCOS wordt afgesloten zijn de daarin opgenomen gegevens niet langer inzichtelijk voor casusdeelnemers De bewaartermijn voor persoonsgegevens in GCOS is per kader in te stellen, en wordt voor zover daar geen gebruik van wordt gemaakt bepaald op vijf jaar na laatste verwerking. Voor wat betreft de bewaartermijn moet de verantwoordelijke kunnen onderbouwen waarom het noodzakelijk is gedurende deze termijn persoonsgegevens te bewaren via GCOS. Echter, nu de verantwoordelijke voor het casusoverleg zich onvoldoende bewust kan zijn van het belang een casus af te sluiten, worden niet-‐actieve casus veelal niet afgesloten en blijven de daarin opgenomen gegevens tot het aflopen van de bewaartermijn van vijf jaar na de laatste handeling beschikbaar. Wanneer een niet-‐actieve, niet-‐afgesloten casus opnieuw wordt geraadpleegd ontstaat niet alleen het risico dat de daarin mogelijk verouderde gegevens worden gebruikt, maar ook dat wellicht de bewaartermijn opnieuw weer gaat lopen. 4.6.6 Beveiliging De verantwoordelijke moet passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of andere vormen van onrechtmatige verwerking, zoals hacking. Nu bij gegevensverwerking via GCOS in de veiligheidshuizen sprake is van gedeelde verantwoordelijkheid voor gegevensverwerking in GCOS, is het niet direct duidelijk welke (deel)verantwoordelijke partij(en) invulling geven aan deze eis uit de Wbp. De verantwoordelijkheid voor de veiligheid ligt primair bij de verantwoordelijke voor het individuele casusoverleg. Maar als deze partij al de verantwoordelijkheid neemt voor het veilige gebruik van GCOS, dan kan dat maar tot op zekere hoogte. Nu GCOS als systeem via het ministerie van Veiligheid en Justitie ter beschikking wordt gesteld, ligt daar -‐in ieder geval in praktische zin-‐ een groot deel van de verantwoordelijkheid voor de beveiliging. Temeer nu de aanbieder van GCOS de autorisatiemogelijkheden en de uiteindelijke autorisatie van casusdeelnemers bepaalt. Normaliter zou in een dergelijke constructie de aanbieder van het systeem als bewerker optreden, maar nu er ook sprake is van functionaliteiten waar de individuele casusverantwoordelijke geen controle over heeft, is een dergelijke constructie niet mogelijk binnen de huidige praktijk.43 Overigens worden de lastige procedures en kosten voor nieuwe autorisaties door veiligheidshuizen in de praktijk ervaren als een obstakel voor het gebruik van GCOS. Verder is het de vraag of er sprake is van voldoende beveiligingswaarborgen, zoals logcontrole, bij de casusverantwoordelijke en adequate en toepasbare kennis van het privacybeleid bij de casusdeelnemers. 43
Zie in dit kader ook: College bescherming persoonsgegevens (2013), CBP Richtsnoeren beveiliging van persoonsgegevens, februari 2013
28
4.6.7 Melding De verantwoordelijke heeft de plicht om voorafgaand aan gegevensverwerking hiervan melding te doen bij het CBP, tenzij de verantwoordelijke daarvan is vrijgesteld. Voor wat betreft de gegevensverwerkingen in het kader van casusoverleggen, al dan niet met behulp van GCOS, is geen vrijstelling van toepassing.44 Voor een aantal casustypen is melding gedaan bij de Functionaris Gegevensbescherming (FG) van het Ministerie van Veiligheid en Justitie. Echter, deze meldingen komen waarschijnlijk niet, of niet meer overeen met de veelvoud van casustypen en de bijbehorende verwerkingen van persoonsgegevens in alle verschillende veiligheidshuizen.
4.7 Samenvatting bevindingen Uit de impactanalyse van het praktisch gebruik van GCOS volgt dat op een groot aantal punten (potentieel) sprake is van non-‐compliance met de Wet bescherming persoonsgegevens. Non-‐ compliance vloeit primair voort uit de onduidelijke belegging van verantwoordelijkheden en de gekozen grondslagen voor de gegevensverwerkingen. Het grootste probleem voor wat betreft de toepassing van GCOS in de praktijk is dat door het ontbreken van een eenduidige verantwoordelijkheid voor de gegevensverwerking, moeizaam, gebrekkig of zelfs geen invulling kan en wordt gegeven aan de eisen uit de Wbp. Door het ontbreken van een verantwoordelijke zijn de doelen die worden nagestreefd met GCOS binnen casusoverleg onvoldoende duidelijk omschreven. Verder is er, afhankelijk van het soort overleg en de gegevens die daarbinnen gedeeld worden, geen wettelijke grondslag voor de verwerking van de gegevens ex. artikel 8 Wbp jo artikel 16-‐23 Wbp. Tenslotte is het problematisch om invulling te geven aan de materiële eisen van de Wbp (beveiliging, inzage, dataminimalisatie et cetera), juist omdat er een ‘probleemeigenaar’ (de verantwoordelijke) ontbreekt. Per veiligheidshuis zullen de conclusies over de daadwerkelijke compliance met alle vereisten uit de Wbp uiteen lopen. De vraag of er sprake is van een afdoende niveau van beveiliging, goede omgang met de bewaartermijnen en andere materiële vereisten is namelijk primair afhankelijk van de naleving van het intern uitgezette privacybeleid. De aard en omvang van de compliance problemen zijn dusdanig dat de auteurs de kans groot achten dat het CBP bij een eventueel onderzoek zal concluderen dat er sprake is van structurele en stelselmatige overtreding van de Wbp binnen diverse veiligheidshuizen. Het is goed denkbaar dat het CBP door middel van bestuursdwang naleving van de eisen uit de Wbp zal afdwingen. Tenslotte dient in ogenschouw te worden genomen dat momenteel op Europees niveau wordt gewerkt aan de opvolger van de Wbp, de Algemene Verordening Gegevensbescherming.45 Deze 44
Besluit van 7 mei 2001, houdende aanwijzing van verwerkingen van persoonsgegevens die zijn vrijgesteld van de melding bedoeld in artikel 27 van de Wet bescherming persoonsgegevens (Vrijstellingsbesluit Wbp). 45 Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming), Brussel 25 januari 2012, COM(2012) 11 Final
29
Verordening zal waarschijnlijk vanaf 2016 rechtstreekse werking hebben in de hele Europese Unie. In tegenstelling tot de Wbp zijn overtredingen op grond van de Verordening rechtstreeks met administratieve boetes van tot een miljoen euro per overtreding bedreigd. Er bestaat aldus een aanzienlijke kans dat het huidige gebruik van GCOS binnen de diverse veiligheidshuizen tot torenhoge boetes zal leiden.46
46
Voor een indruk van potentiële boetes kan de boetemeter op www.privacychecker.nl worden ingevuld.
30
5 Analyse knelpunten ten behoeve van verbetering GCOS Op basis van de gesignaleerde compliance vraagstukken in het vorige hoofdstuk voor wat betreft de praktische toepassing van GCOS analyseren wij in dit hoofdstuk de aard van deze problematiek.
5.1 Oorzaken knelpunten De gebrekkige compliance met de Wet bescherming persoonsgegevens wordt veroorzaakt door drie samenhangende problemen: 1) de aard van netwerksamenwerking en het beleggen van verantwoordelijkheid daarbinnen, 2) De hybride rol van GCOS als ondersteunende software én op zichzelf staand systeem en/of gegevensverzameling met eigen functionaliteit, 3) De onduidelijke formele status van het concept veiligheidshuis. Deze problemen zorgen er gezamenlijk voor dat er geen duidelijke verantwoordelijke valt aan te wijzen en daarmee geen ‘probleemeigenaar’ voor wat betreft het onderwerp privacy en de bescherming van persoonsgegevens. Omdat compliance met de eisen uit de Wbp de taak is van de verantwoordelijke is bij een onduidelijke toewijzing van deze verantwoordelijkheid het nagenoeg onmogelijk om goed invulling te geven aan de eisen uit de Wbp en aanverwante wet-‐ en regelgeving. Hieronder gaan wij nader in op deze problemen. 5.1.1 Verantwoordelijkheid voor casusoverleg en keten-‐overstijgende samenwerking Alhoewel de bij de casusoverleg betrokken ketenpartijen verantwoordelijkheid hebben voor de inrichting van de casusoverleggen en de gegevens die zij uiteindelijk (laten) verwerken in GCOS, wordt deze verantwoordelijkheid in de praktijk nog weinig als zodanig ervaren en uitgedragen, noch worden de eisen die aan de verantwoordelijke worden gesteld voor wat betreft de rechtmatigheid en kwaliteit van de gegevensverwerking adequaat ingevuld. In de praktijk ligt -‐afhankelijk van de inrichting van de ketensamenwerking en de betrokkenheid van het veiligheidshuis-‐ de verantwoordelijkheid voor het verwerken van persoonsgegevens grotendeels bij het veiligheidshuis, zonder dat hiertoe voor het veiligheidshuis een legitieme grondslag bestaat. Dit is begrijpelijk omdat de veiligheidshuizen specifiek de taak hebben om een coördinerende en faciliterende rol te spelen voor wat betreft multi-‐problem casuïstiek. De auteurs krijgen echter de indruk dat mede door het gebruik van GCOS ook ‘eenvoudige’ casuïstiek onder de regie van het veiligheidshuis worden geplaatst, waarbij het beheer van GCOS bij het Ministerie van Justitie en Veiligheid ligt. Door de onduidelijke toedeling van de verantwoordelijkheid binnen casusoverleggen en de verleiding om deze verantwoordelijk dan bij het veiligheidshuis neer te leggen ontstaat in de praktijk veelal een situatie waarbij ketenpartners zelf geen verantwoordelijkheid meer nemen of dragen voor de gegevensverwerking binnen GCOS.
31
5.1.2 Rol van GCOS in ketensamenwerking: database, systeem of software? GCOS biedt momenteel mogelijkheden die niet meer gekoppeld zijn aan de wettelijke taak van de ketensamenwerkingen óf de veiligheidshuizen. GCOS biedt momenteel gelegenheid voor samenloopdetectie en landelijke raadpleegbaarheid van leefgebiedinformatie, niet zozeer als doel maar als functie. De mogelijkheid tot landelijke raadpleegbaarheid en samenloopdetectie vloeit voort uit de wens om tot één persoon/gezin/familie, één plan te komen, ook op landelijk niveau. Om dit via GCOS te verwezenlijken, moet GCOS meer kunnen dan casusondersteuning in een concreet geval: het moet ook casusoverstijgend samenloop kunnen detecteren en landelijk raadpleegbaar zijn. Omdat op diverse niveaus doelen worden nagestreefd is compliance met de Wbp onmogelijk. Dit komt omdat bij de verschillende doelen verschillende verantwoordelijken in beeld komen en geen van de verantwoordelijken volledige controle over GCOS (doel en middelen) heeft. Het gevaar dat GCOS hierdoor uiteindelijk vanuit de stuwende beginselen verwordt tot een ‘database van probleem Nederlanders en hun omgeving’ is dan ook nadrukkelijk aanwezig. Dit zal uiteindelijk ertoe leiden dat de toezichthouder (het CBP) zich zeer hoogstwaarschijnlijk uit zal spreken tegen het systeem. Ook binnen de Tweede Kamer is er een groot risico dat het systeem in zijn huidige opzet ter discussie wordt gesteld. 5.1.3 De rol van het veiligheidshuis Nu binnen de complexe multi-‐problematiek naar alle waarschijnlijkheid met behulp van GCOS zeer gevoelige en omvangrijke gegevensverwerkingen plaatsvinden, is het zaak dat dit alleen gebeurt op grond van een heldere wettelijke basis. De veiligheidshuizen zijn verantwoordelijk voor de aanpak van de complexe multi-‐problematiek. Dit betekent dat het veiligheidshuis als verantwoordelijke in de zin van de Wbp aangewezen moet worden, omdat gegevensverwerking noodzakelijk is voor een effectieve uitvoering van de regierol. Dit is echter problematisch omdat het veiligheidshuis geen zelfstandige juridische entiteit is. Dit betekent dat in termen van de Wbp de veiligheidshuizen nu niet verantwoordelijk in de zin van de Wbp kunnen zijn en daar waar dit al mogelijk is, zij zich niet kunnen beroepen op de meest voor de hand liggende legitieme grondslag, die van 8e Wbp.
5.2 Wegnemen knelpunten: privacy en zorg/veiligheid in balans Uit het bovenstaande blijkt dat de huidige werkwijze voor wat betreft casusoverleg en het gebrek van GCOS hoogstwaarschijnlijk binnen nagenoeg alle veiligheidshuizen in Nederland in meer of mindere mate strijdig is met de Wbp. Dit betekent evenwel niet dat gegevensdeling binnen (keten-‐overstijgende) samenwerkingsverbanden per definitie onwenselijk is. Sterker nog, in veel gevallen is het delen van gegevens wenselijk en zelfs noodzakelijk. De vraag die altijd gesteld moet worden is in hoeverre het doel en de daarvoor benodigde gegevensuitwisseling zich verhoudt tot de schending van de persoonlijke levenssfeer van de betrokkene (en diens omgeving). Het betreft hier een vraag naar de proportionaliteit van de verwerking. Naast proportionaliteit moet de gegevensverwerking ook voldoen aan de eisen van subsidiariteit: is er een minder ingrijpende methode voorhanden om het doel te bereiken?
32
Uiteindelijk doel is het verenigen van wat de WRR in haar rapport iOverheid de stuwende beginselen noemt (efficiëntie, effectiviteit, veiligheid) en de borgende beginselen (privacy, keuzevrijheid). Privacy en effectieve zorg/veiligheid moeten dan ook niet als een ‘zero-‐sum game’ worden gezien: het is van belang beide belangen maximaal te ondersteunen en te waarborgen. Slechts in die gevallen waar een concrete keuze gemaakt moet worden tussen beide belangen moet een afweging op basis van proportionaliteit en subsidiariteit worden gemaakt.
33
6 Juridische en architecturale eisen aan casusoverleg Om tot een inrichting en gebruik te komen van GCOS binnen veiligheidshuizen dat conform de privacywetgeving is, moeten de in hoofdstuk 5 gesignaleerde knelpunten worden weggenomen: 1) de aard van netwerksamenwerking en het beleggen van verantwoordelijkheid daarbinnen. 2) De onduidelijke formele status van het concept veiligheidshuis. 3) De hybride rol van GCOS als ondersteunende software én op zichzelf staand systeem en/of gegevensverzameling met eigen functionaliteit, Hiervoor zijn grofweg de volgende stappen nodig: 1) Het duidelijk beleggen van de verantwoordelijkheid bij netwerksamenwerking en het wettelijk borgen van de rol van veiligheidshuizen voor wat betreft de complexe multi-‐ problematiek. 2) GCOS terugbrengen van een systeem met landelijke raadpleegbaarheid (van leefgebiedgegevens) als algemene voorziening naar generieke, ondersteunende software. Naast het helder hebben wie verantwoordelijk is voor de gegevensverwerking moet de gegevensverwerking altijd berusten op een wettelijke grondslag en moet de verwerking voldoen aan de eisen van proportionaliteit en subsidiariteit. Aan deze eis kan invulling gegeven worden door: 3) een helder(der) proces van selectie, triage-‐ en casusoverleg waarin de criteria voor het inbrengen en uitwisselen van gegevens tussen betrokken instanties per fase helder zijn. Door deze drie stappen te nemen wordt direct invulling gegeven aan de uitgangspunten in de visienotitie architectuur en privacy welke stuwende en verankerende beginselen samenbrengt.
6.1 Beleggen verantwoordelijkheid De belangrijkste voorwaarde voor de succesvolle inzet van GCOS is een duidelijke toewijzing van de verantwoordelijkheid voor het gebruik van GCOS binnen een specifieke context. Voor elke stap van triage tot casusoverleg moet duidelijk de verantwoordelijkheid zijn belegd. Dit is de partij die de inzet van GCOS coördineert en beheert. De toewijzing van een verantwoordelijke (of verantwoordelijken) die gegevens mag verwerken op basis van een legitieme grondslag ex. artikel 8 jo artikel 16-‐23 Wbp is een conditio sine qua non voor de legitimiteit van GCOS. 6.1.1 ‘Eenvoudige’ kaders: terugbrengen casusoverleg binnen de keten Binnen de (bestaande) keten-‐ en netwerksamenwerkingen dragen individuele partijen ieder hun eigen verantwoordelijkheid voor de relatie met de cliënt. Daarnaast bestaat voor de samenwerking als geheel een overkoepelende verantwoordelijkheid. Deze overkoepelende verantwoordelijkheid voor een concrete keten-‐ of netwerksamenwerking moet expliciet belegd
34
zijn.47 De verantwoordelijkheid kan worden belegd bij één partij, of er kan gekozen worden voor een gedeelde verantwoordelijkheid. Wanneer de verantwoordelijkheid wordt gedeeld tussen meerdere partijen, dan mag het evenwel niet zo zijn dat deze ‘pluraliteit aan verantwoordelijken’ in de praktijk betekent dat het voor de betrokkene niet duidelijk is wie nu daadwerkelijk de verantwoordelijke is.48 De (gedeelde) verantwoordelijkheid moet gebaseerd zijn op wettelijke bevoegdheden in reeds bestaande, specifieke wettelijke kaders; of gebaseerd kunnen worden op een gerechtvaardigde grondslag in de zin van de Wbp.49 Samenwerkingsverbanden dienen nader uitgewerkt te worden (in ieder geval voor wat betreft de gegevensverwerkingen) in convenanten. Deze convenanten moeten inzichtelijk maken wanneer, onder welke omstandigheden en welke gegevens gedeeld mogen worden binnen het samenwerkingsverband. Zoals in hoofdstuk 4 gesignaleerd is momenteel onvoldoende duidelijk wie voor welk type samenwerking of casusoverleg verantwoordelijk is. In de praktijk lijkt een situatie te zijn ontstaan waarbij de verantwoordelijkheid voor de gegevensverwerkingen binnen keten-‐ en netwerksamenwerkingen, ook voor wat betreft ‘eenvoudige’ casuïstiek, de facto bij het veiligheidshuis is gelegd. Daarnaast kunnen individuele, lokale ketenpartijen niet de verantwoordelijkheid (in de zin van de Wbp) krijgen toebedeeld voor een aantal functionaliteiten van GCOS (meer specifiek de landelijke raadpleegbaarheid van leefgebieden en de samenloopdetectie). De toedeling van de verantwoordelijkheid in de zin van de Wbp, ook voor wat betreft het gebruik van GCOS, moet weer bij de ketenpartners worden belegd. Wanneer de verantwoordelijkheid voor de gegevensverwerking weer zoveel mogelijk aansluit bij de partijen die bij de cliënt betrokken zijn, dan is het risico dat er geen legitieme grondslag is voor het gebruik van GCOS het kleinst. 6.1.2 Complexe multi-‐problematiek: wettelijke basis voor veiligheidshuizen Zoals meerdere malen gesignaleerd in onze analyse vormt het veiligheidshuis de spil in de netwerksamenwerkingen op het gebied van veiligheid en zorg. Dit is ook nadrukkelijk de taak van de veiligheidshuizen zoals voorzien in het Landelijk Kader Veiligheidshuizen, in ieder geval voor wat betreft de complexe multi-‐problem casuïstiek. Echter, momenteel ontbreekt een wettelijke basis voor verwerking van persoonsgegevens door/binnen veiligheidshuizen. Er is daarmee dus géén grondslag voor de verwerking van persoonsgegevens op grond van artikel 8e Wbp. Zeer waarschijnlijk komt ook gezien de potentiële inbreuk op de levenssfeer van de betrokkene artikel 8f Wbp in gedwongen kaders niet als grondslag in aanmerking. Door het creëren van een wettelijke basis voor de veiligheidshuizen kan dit probleem worden weggenomen. Het gaat het bestek van deze analyse te buiten om te bepalen wat de beste manier is om te voorzien in deze wettelijke basis en waar de wettelijke verantwoordelijkheid voor de veiligheidshuizen het beste belegd kan worden, maar de gemeente lijkt een logische 47
Op grond van de aankomende Algemene Verordening Gegevensbescherming is het niet specificeren wie verantwoordelijk is voor de gegevensverwerking een overtreding die bedreigd is met maximaal 500.000 euro boete per overtreding. 48 Zie bijvoorbeeld: Toelichting Advies Cbp aan NICTIZ over het Landelijk Schakelpunt, 26 oktober 2005, z2005-‐0878 49 Op grond van de aankomende Algemene Verordening Gegevensbescherming is het niet hebben van een legitieme grondslag voor de gegevensverwerking een overtreding die bedreigd is met maximaal 1 miljoen euro boete per overtreding.
35
kandidaat, nu het veiligheidshuis in principe een platform is onder gemeentelijke regie. De gemeente (het College van B&W) kan wel verantwoordelijke in de zin van de Wbp zijn en de uitvoering van de verwerkingstaak vervolgens mandateren aan het veiligheidshuis. Momenteel ontbreekt het echter nog aan een formeelwettelijke grondslag voor de uitvoering van deze taak door de gemeente. Dit leidt tot problemen voor wat betreft de gerechtvaardigde grondslag voor de verwerking. Medio 2010 is een wetsvoorstel gedaan om de Gemeentewet te wijzigen in verband met de versteviging van de regierol van de gemeente ten aanzien van het lokaal veiligheidsbeleid’.50 Het voorgenomen artikel 171a Gemeentewet zou dan mogelijk een grondslag kunnen bieden voor samenwerking in een veiligheidshuis.51 In lagere wetgeving zou deze bepaling kunnen worden uitgewerkt voor wat betreft de gegevensdeling die daarbij noodzakelijk zou zijn. Het kamerstuk staat echter nog steeds op de agenda voor behandeling in de Tweede Kamer.52 Bij het voorgaande is het wel van groot belang nadrukkelijk te vermelden dat het hebben van een wettelijke grondslag voor het uitoefenen van een publiekrechtelijke taak een noodzakelijke, maar niet voldoende voorwaarde is voor een legitieme gegevensverwerking op grond van artikel 8e Wbp. Nog steeds zal voldaan moeten worden aan de eisen die de Wbp op grond van artikel 8e Wbp stelt. Met andere woorden, de verwerking moet noodzakelijk zijn voor de goede uitoefening van de publiekrechtelijke taak en in lijn zijn met de eisen van proportionaliteit en subsidiariteit.53
6.2 GCOS als software in plaats van gegevensverwerking De hybride rol van GCOS als casus-‐ondersteunend systeem voor individuele casusoverleggen en als landelijk raadpleegbare database met samenloopdetectie bemoeilijkt de toewijzing van verantwoordelijkheid en levert risico’s op voor alle bij GCOS betrokken partijen. Enerzijds geven partijen binnen individuele casusoverleggen de controle over de persoonsgegevens (deels) uit handen, omdat de leefgebied-‐gegevens ook in voorkomende gevallen landelijk raadpleegbaar zijn. Anderzijds, kan het zijn dat binnen individuele casusoverleggen op onrechtmatige wijze gegevens worden verwerkt waarvoor het Ministerie van Veiligheid en Justitie (als aanbieder van GCOS) mogelijk medeverantwoordelijk wordt gehouden. Door GCOS als systeem voor wat betreft functionaliteit en bereik van gegevensdeling terug te brengen tot de kern waarvoor het oorspronkelijk bedoeld is, kunnen de gesignaleerde knelpunten worden opgelost én kan invulling worden gegeven aan de uitgangspunten van de visienotitie architectuur en privacy.
50
Kamerstuk 32 459 ‘Wijziging van de Gemeentewet in verband met de versteviging van de regierol van de gemeente ten aanzien van het lokaal veiligheidsbeleid’. 51 Artikel 171a Gemeentewet: De burgemeester ziet toe op het lokaal veiligheidsbeleid en bevordert de voor de uitvoering van het integraal veiligheidsplan, bedoeld in artikel 148a, noodzakelijke samenwerking tussen alle betrokken partijen. De ‘regierol’ van het veiligheidshuis zou primair faciliterend moeten zijn, maar zelfs bij faciliterend optreden is verwerking van persoonsgegevens door het veiligheidshuis naar alle waarschijnlijkheid nog steeds nodig (zie ook: Kamerstukken II, Vergaderjaar 2009-‐2010, 32 459, nr. 4). 52 Zie: https://zoek.officielebekendmakingen.nl/dossier/32459 53 Het is voorts nog van belang te melden dat het CBP kritisch is over het toenemend aantal regietaken dat de gemeente krijgt toebedeeld. Zie in dit kader bijvoorbeeld: Cbp (2012), Advisering overheveling begeleiding AWBZ naar Wmo, kenmerk: z2012-‐00243
36
6.2.1 Toepassing GCOS binnen specifiek casusoverleg De kerndoelstelling van GCOS is het ondersteunen van individueel casusoverleg. GCOS moet dus bovenal een stuk software zijn dat individuele partijen ten behoeve van casusoverleg kunnen inzetten. De verantwoordelijkheid voor de inzet en het gebruik van GCOS en de verantwoordelijkheid in de zin van de Wbp gaan in daarbij hand in hand. Hiervoor is het wel noodzakelijk dat alle functionaliteiten die niet generiek noodzakelijk zijn om individueel casusoverleg te ondersteunen uit het systeem worden gehaald (zoals samenloopdetectie). De reden hiervoor is dat de verantwoordelijke voor de gegevensverwerking geen controle kan uitoefenen over deze functionaliteiten. Door alle controle over de gegevensverwerkingen binnen GCOS weer in de handen van de verantwoordelijke(n) te brengen, wordt automatisch invulling gegeven aan de wens uit de visienotitie privacy en architectuur om gegevens te segmenteren.54 Segmentatie vindt namelijk automatisch plaats wanneer GCOS wordt teruggebracht tot een ondersteunend systeem, omdat iedereen verantwoordelijk is voor zijn ‘eigen GCOS’, of eigen deel van GCOS (afhankelijk van de gekozen architectuur). Door het wegnemen van de behoefte tot landelijke raadpleegbaarheid en casus-‐overstijgende samenloopdetectie blijft deze segmentatie ook gewaarborgd. De gegevens die primair binnen GCOS worden verwerkt zijn: de voor de persoonsgerichte aanpak noodzakelijke probleemanalyse, het opstelde plan van aanpak, de notulen van het casusoverleg en de afspraken en besluiten ten aanzien van de casussubject en/of de zaak. Alle persoonsgegevens die benodigd zijn voor het casusoverleg worden betrokken uit de gegevens-‐ verzamelingen van de betrokken ketenpartners. Deze gegevens kunnen worden ingebracht in GCOS. Door het terugbrengen van GCOS tot ondersteunende software welke binnen een specifiek kader en een specifiek casusoverleg wordt gebruikt, kunnen partijen ook zelf beslissingen nemen (onder eigen verantwoordelijkheid) voor wat betreft de verwerking en opslag van gegevens. Om te kunnen verantwoorden op basis van welke gegevens besluiten genomen zijn tijdens een casusoverleg, is opslag van een met het oog op die verantwoording minimaal noodzakelijke set gegevens nodig (enkele persoons-‐identificerende gegevens, afspraken, besluiten, constateringen). Dit betekent dat zowel tijdens de behandeling als na afloop van een casus enige gegevens worden gearchiveerd ten behoeve van de verantwoording door de verantwoordelijke. De verantwoordelijke partij is, net als voor beslissingen die niet in de context van casusoverleg worden genomen, gehouden aan de eis om beslissingen te allen tijde te motiveren en te documenteren. Indien volgens de verantwoordelijke de noodzaak bestaat om deze gegevens binnen GCOS ten behoeve van het casusoverleg (of de verantwoording daarvoor) te laten persisteren dan is dit mogelijk. Bijkomend voordeel van het terugbrengen van GCOS tot een ondersteunend stuk software voor casusoverleg is dat het systeem maximale flexibiliteit kan hebben op die punten waar gegevens gedeeld mogen worden. Met andere woorden, als na afloop van een deugdelijk triageproces besloten is door partijen om in lijn met de wettelijke kaders gegevens te delen, dan kunnen ook alle benodigde gegevens vrijelijk worden gedeeld.
54
Visienotitie GCOS: Architectuur en privacy, p. 8
37
6.2.2 Opheffen standaard landelijke raadpleegbaarheid en samenloopdetectie Het terugbrengen van GCOS naar generieke, casus-‐ondersteunende software heeft wel consequenties voor een tweetal relevante aspecten van GCOS: de algemene, landelijke raadpleegbaarheid en de bijbehorende samenloopdetectie, zonder dat noodzaak en wettelijke bevoegdheid tot gegevensdeling in het specifieke geval is beoordeeld. Met het oog op de wens om tot een gecoördineerde aanpak van casussubjecten te komen (één persoon/gezin/familie, één plan) is samenloopdetectie een belangrijke stuwende kracht. Om samenloopdetectie mogelijk te maken wordt momenteel binnen GCOS kaderoverstijgend gedetecteerd op cliëntniveau. Hoewel deze systematiek misschien vanuit efficiency-‐ en effectiviteitsoogpunt zinvol is, bergt deze methodiek vanuit privacy optiek een significant gevaar in zich: GCOS is momenteel naast een casus-‐ondersteunend systeem óók een zelfstandige gegevensverwerking (database). Standaard samenloopdetectie en landelijke raadpleegbaarheid van de leefgebied-‐gegevens in GCOS leidt tot grote privacyrisico’s voor betrokkenen en hun omgeving. Er bestaat een aanzienlijk risico dat GCOS in de praktijk uiteindelijk uitgroeit tot een landelijke database van ‘probleem Nederlanders en hun omgeving’. Een dergelijke database voldoet naar de mening van de auteurs niet aan de eisen van proportionaliteit en subsidiariteit. Sowieso is er geen wettelijke basis voor een dergelijke database en daarmee geen democratische controle en legitimatie. Dit laat onverlet dat er in de praktijk mogelijk wel behoefte is aan samenloopdetectie in de triage-‐ en overlegfase. Om te komen tot een integrale, persoonsgebonden aanpak moet in sommige situaties worden achterhaald of een persoon in meer dan één kader, binnen of buiten de eigen keten, wordt besproken. Indien dit het geval is, dan is het wenselijk om plannen, besluiten en afspraken te combineren tot één persoonsgebonden plan. Het betreft de detectie ‘dat’ gegevens elders beschikbaar zijn, als voorwaarde voor een inhoudelijke uitwisseling van ‘wat’-‐gegevens (afspraken, besluiten en constateringen). Om invulling te geven aan deze eis is het echter niet per definitie noodzakelijk om een landelijke raadpleegbaar systeem met (pro-‐ actieve) samenloopdetectie te hanteren. Alternatieve samenloopdetectie (en landelijke raadpleegbaarheid) Een alternatief dat beter tegemoet komt aan de eisen van proportionaliteit-‐ en subsidiariteit is een gedecentraliseerde samenloopdetectie. De ‘dat’ detectie zal bij deze vorm van samenloop plaats moeten vinden binnen de triagefase. De triagerende partij(en) dienen hun eigen interne (cliëntvolg)systemen te raadplegen om te kijken of er reeds een geschiedenis is met een cliënt, of een lopend casusoverleg. Indien binnen de eigen bronsystemen samenloop wordt gedetecteerd, dan kan deze informatie indien noodzakelijk vanuit de authentieke bron worden ingebracht en gedeeld in het triage-‐ en/of casusoverleg.55 Met behulp van het onderstaande schema, dat ontleend is aan de praktijk in een middelgroot veiligheidshuis, kan geïllustreerd worden hoe deze samenloopdetectie gestalte krijgt. Wanneer bijvoorbeeld Bureau Jeugdzorg aanschuift in het JCO overleg, dan is het mogelijk om samenloop 55
Naast de eigen gegevens kunnen de triagerende partijen veelal ook uit andere gegevensverzamelingen binnen of tussen ketens putten via ketenvoorzieningen zoals verwijsindexen.
38
binnen de overleggen schoolverzuim, huiselijk geweld, veelplegers 18-‐ en trajectberaad te detecteren.
OM
Bureau Jeugdzorg & AMK
Raad v/d Kinderbescherming
Gemeente
Verslavingszorg
Reclassering
GGZ
Dienst Justitiële inrichtingen
Maatschappelijk Werk
JCO JCO Schoolverzuim Huiselijk geweld Veelplegers 18+ Veelplegers 18-‐ Zorg na detentie Trajectberaad
Politie
x x x x x
x x x x
x x x x x
x x x x
x x x
x
x x
x x
x
x x
Via deze wijze van samenloopdetectie is het mogelijk om het overgrote deel van de naast elkaar lopende overleggen en trajecten te koppelen. De uitdaging die tot op zekere hoogte blijft bestaan is om overleggen uit verschillende domeinen (zorg, straf) met elkaar te koppelen. Echter, gezien het aantal partijen dat aanschuift in de triagefase en met name de overlegfase bij complexe multi-‐problematiek, is het waarschijnlijk dat detectie over een veelheid aan casus mogelijk is. Daarnaast speelt de vraag of casusdetectie tussen alle casus noodzakelijk is (zo is samenloopdetectie tussen zorg na detentie en schoolverzuim niet perse voor de hand liggend). Ook zou samenloopdetectie nadrukkelijker tot het takenpakket van de veiligheidshuizen kunnen worden gerekend. Vanuit hun regierol bij complexe multi-‐problematiek is het veiligheidshuis dé aangewezen partij om samenwerking te coördineren en het gebrek daaraan te signaleren. Naast samenloopdetectie door ketenpartners binnen en tussen kaders, kan door een aanvullende maatregel in het triage-‐ en overlegproces de samenloopdetectie nog verder worden verbeterd. Door het introduceren van een terugmeldfunctie kan de melder, die de cliënt in eerste instantie heeft ingebracht in het proces, meer zicht krijgen op het traject dat de cliënt uiteindelijk is ingegaan. Zo kan de melder (de politie) bijvoorbeeld een cliënt voorgedragen voor triage Huiselijk Geweld en Veelplegers 18-‐. Beide triage overleggen koppelen dan hun uiteindelijke beslissing terug aan de politie. Mocht de politie merken dat bijvoorbeeld het ene triageoverleg niet heeft samengewerkt met het andere triageoverleg, dan kan de politie hier terugkoppeling op geven. Ook kan de terugmelding dienen als informatiebron voor toekomstige instrumenten. Uiteraard moet de terugmelding slechts die gegevens bevatten die voor de melder noodzakelijk zijn en in overeenstemming met de Wbp en andere wetgeving door deze partij verwerkt mogen worden. Naast een instrument voor samenloopdetectie heeft een terugmelding ook een praktische waarde. Momenteel is het voor melders vaak een ‘black box’ wat er met een cliënt is gebeurd na de melding. Door terugmelding krijgen melders meer zicht op de situatie van een cliënt. De hierboven beschreven vorm van samenloopdetectie vereist wel dat de individuele organisaties alsmede de ketens, hun eigen informatiehuishouding goed op orde hebben. De
39
auteurs kunnen zich niet aan de indruk onttrekken dat dit in de praktijk momenteel niet het geval is en dat mede daardoor ketenpartners sterk leunen op de informatievoorziening vanuit GCOS. Ketenpartners moeten in de toekomst meer ‘getriggerd’ worden om informatie uit hun eigen bronsystemen te halen en niet zozeer uit GCOS. Dit kan gestimuleerd worden door deze functionaliteiten in het huidige GCOS op te heffen. Alternatief is de huidige situatie die in toenemende mate neerkomt op een ‘database van probleem Nederlanders en hun omgeving’. In tegenstelling tot de huidige situatie voldoet het voorgestelde alternatief naar de mening van de auteurs beter aan de eisen van proportionaliteit en subsidiariteit. Mocht het hierboven beschreven alternatief voor de landelijke raadpleegbaarheid en ketenoverstijgende samenloopdetectie toch onvoldoende blijken in de praktijk, dan kan alsnog gekozen worden voor samenloopdetectie over de individuele GCOS implementaties heen. Hiervoor moet dan een specifieke voorziening worden gebouwd die de bronsystemen van de individuele ketenpartners kan bevragen en/of de individuele GCOS implementaties. Dit is echter een zéér ingrijpend middel vanuit privacy perspectief en dit zal daarom dan ook een zelfstandige wettelijke basis behoeven.
6.3 Triage en overleg Om tot een effectieve aanpak van (multi-‐)problematiek bij cliënten te komen en een efficiënte inzet van beperkte middelen, is een goed systeem van triage nodig. Door (intern) te triageren kan een cliënt sneller worden toegewezen aan het daarvoor meest geëigende casusoverleg. Een helder systeem van triage is ook vanuit privacy perspectief van groot belang, omdat het het risico op bovenmatig delen van gegevens minimaliseert. Door per situatie te beoordelen of gegevens mogen worden verwerkt en gedeeld met derden worden risico’s beperkt. Daarnaast zorgt een goed systeem van triage voor heldere en eenduidige bedrijfsprocessen waar vervolgens specifieke privacy procedures voor geschreven kunnen worden. De stap naar een nieuw werkproces triage en casusoverleg kan gezet worden, omdat in de afgelopen jaren daarvoor een stevige basis is gelegd. In de beginjaren van de veiligheidshuizen hebben de partners elkaar (binnen en buiten hun eigen keten) goed leren kennen. Zonder deze kennis zou de stap naar een nieuwe structuur niet gemaakt kunnen worden. Om effectief en correct te triageren is een beperkt ‘integraal persoonsbeeld’ nodig. Tijdens de triage moet een informatiepositie opgebouwd kunnen worden om vast te stellen of de melding moet leiden tot het aanmaken van een casus dan wel een andere actie. Een (beperkt) integraal persoonsbeeld kan worden opgebouwd in de triagefase door gegevens te combineren van bij het triageoverleg aangesloten partijen. Deze partijen kunnen hiertoe wanneer nodig (afhankelijk van hun bevoegdheden) ook de keten waarin zij actief zijn bevragen. Deze gegevens kunnen ingebracht worden ten behoeve van de triage en later, ten behoeve van het casusoverleg. De voor casusoverleg benodigde gegevens worden betrokken uit authentieke bronnen binnen en buiten de keten op zowel ketenniveau (landelijke registers) als bij ketenpartners. Welke gegevens mogen worden ontsloten is afhankelijk van de bevoegdheden van de vragende partij (de verantwoordelijke ketenpartner). Met het oog op effectiviteit en efficiëntie, maar ook om de gegevenskwaliteit te waarborgen (een eis uit de Wbp), is het wenselijk dat gegevens uit de triagefase overgedragen kunnen worden naar de overlegfase. Vanuit architecturaal oogpunt betekent dit dat de gegevens die in
40
het triageoverleg worden gegenereerd (afspraken, probleemanalyse) overgedragen kunnen worden naar GCOS. Interoperabiliteit tussen de systemen voor triage en GCOS is dus wenselijk.56 Deze interoperabiliteit is met name relevant met betrekking tot de identiteit van de cliënt. Om te voorkomen dat er bij de overdracht van triage naar casusoverleg persoonsverwisselingen plaatsvinden, of anderszins fouten worden gemaakt met betrekking tot de identiteit van betrokkenen, is het wenselijk om waar mogelijk gebruik te maken van unieke nummers. Waar partijen gemachtigd of verplicht zijn hiervoor de wettelijke identificatienummers (BSN, SKN) te gebruiken, dan verdient dit de voorkeur. Uiteraard dient hierbij rekening te worden gehouden met de eisen die de Wbp stelt aan het gebruik van wettelijke persoonsnummers. Voor het faciliteren van het triageproces zou bijvoorbeeld kunnen worden gedacht aan een standaard voor gegevensuitwisseling, maar mogelijk ook aan een generieke voorziening, met andere woorden een ‘generiek triage ondersteuningssysteem (GTOS)’.
56
Het betreft uitsluitend gegevens vanuit het triageoverleg die ondersteunend zijn aan de regie van een casusoverleg. De overige gegevens worden door GCOS uiteraard uit de betreffende authentieke bron gehaald.
41
7 Visie op ontwikkeling casusoverleg in Nederland Wat uit de voorgaande paragrafen blijkt is dat er behoefte is aan een systeem dat én doelmatig en efficiënt (samen)werken mogelijk maakt én privacybeschermend is. De in hoofdstuk 6 gestelde juridische en architecturale eisen moeten uitmonden in een aangepaste visie op het gebruik van GCOS binnen casusoverleg. Onderstaand is een mogelijke ‘blauwdruk’ gegeven voor het realiseren van deze visie.
7.1 Een solide basis voor GCOS: visie op triage-‐ en casusoverleg De onderstaande visie op triage-‐ en casusoverleg is opgesteld vanuit het idee dat partijen optimaal kunnen samenwerken in kaders binnen de grenzen met inachtneming van de fundamentele rechten van de betrokkene. Deze visie op triage en overleg geeft een schematisch overzicht van de procesmatige behandeling van een cliënt van melding tot uiteindelijk overleg. Van belang voor al deze kaders is dat zij gebaseerd zijn op een heldere verdeling van verantwoordelijkheden en dat de partijen die aanschuiven in het triage-‐overleg op grond van hun wettelijke taak bevoegd zijn om gegevens te verwerken en te delen. GCOS kan op verschillende manieren ingezet worden. Als gegevensverzameling, als systeem of als software. In de huidige praktijk is GCOS een gegevensverzameling: een database die (landelijk) doorzoekbaar is. In de onderstaande visie wordt, met het oog op het hierboven gesignaleerde knelpunt van de hybride rol van GCOS, uitgegaan van GCOS als generieke, casus-‐ ondersteunende software. Het schematisch overzicht van de verschillende processtappen die hieronder worden besproken is opgenomen in bijlage 1. 7.1.1 Stap 1: melding De eerste stap in het proces van triage tot overleg is de aanmelding van een cliënt door de melder. De melder is de partij die in een concreet geval in aanraking komt met de cliënt. De meldende partij kan besluiten de cliënt aan te melden voor triage, of de cliënt overdragen aan een partij die meer geschikt is (de verantwoordelijke instantie). De verantwoordelijke instantie kan vervolgens besluiten om de cliënt in te brengen in een triage overleg, of intern de triage te doen. Idealiter bekleedt de melder deze interne triagefunctie. Bijvoorbeeld: de politieman ‘op straat’ kwalificeert een bepaalde zaak als zijnde een huiselijk geweld zaak. Een medewerker bij de politie screent gecodeerde huiselijk geweldszaken en besluit welke zaken doorgezet worden naar een triageoverleg. 7.1.2 Stap 2: selectie van het triageoverleg De tweede stap betreft het selecteren van het juiste casusoverleg (overigens kan de melder of de partij die verantwoordelijk is voor de casus er ook voor kiezen om bij zich te houden en niet te delen met professionals van andere organisaties). Afhankelijk van manier waarop binnen de regio ketensamenwerking is ingericht, kan gekozen worden voor verschillende manieren waarop de triage-‐overleggen zijn vormgegeven. Zeer waarschijnlijk zullen per stad of veiligheidsregio een aantal vooraf gedefinieerde overleggen bestaan zoals bijvoorbeeld JCO, Veelplegers of Huiselijk Geweld (zie stroomschema). Daarnaast is het reeds in de triagefase wenselijk om triage-‐overleggen te kunnen inrichten die ad hoc samengesteld zijn. Standaardoverleggen
42
Op basis van eigen ervaring in combinatie met helder gedefinieerde selectiecriteria, kan een cliënt worden ingebracht in één of meerdere vooraf gedefinieerde standaardoverleggen door de melder of de verantwoordelijke instantie. De melder of de verantwoordelijke instantie kunnen uiteraard zelf ook onderdeel uit maken van het standaardoverleg. Voorwaarde voor de keuze voor standaardoverleggen is wel dat voor deze overleggen een deugdelijke wettelijke grondslag bestaat. Voor het maken van afspraken die duidelijk zijn voor zowel de samenwerkende partijen als derden wordt idealiter een convenant opgesteld waarin doel van de samenwerking, de samenwerkende partijen, de wettelijke grondslagen voor uitwisseling en de gegevens die uitgewisseld zullen worden, duidelijk beschreven staan. Een convenant is nodig in het geval waarin diverse wettelijke grondslagen voor uitwisseling van gegevens samengevoegd worden (de wet regelt bilaterale gegevensuitwisseling, in een casusoverleg wordt multilateraal uitgewisseld).57 Voor zover het gaat om niet-‐keten overstijgende problematiek (reguliere casuïstiek) is er geen specifieke rol voor het veiligheidshuis weggelegd in een standaard triageoverleg. Ad hoc overleggen Wanneer een zaak complexer is (bijvoorbeeld omdat deze ketenoverstijgend is of omdat verkend moet worden of er een gedwongen kader ingezet moet worden), of anderszins niet binnen één of meer standaardoverleggen past, dan zal een ad hoc overleg moeten worden samengesteld.58 Met ‘complexiteit’ wordt gedoeld op zaken die qua aanpak complex zijn, en niet per se qua problematiek complex zijn. Dit betekent dat de melder of verantwoordelijke instantie contact zoekt met de partijen die passend kunnen interveniëren, gelet op het doel dat met het ad hoc casusoverleg wordt nagestreefd. Deze uitgenodigde partijen doen vervolgens in gezamenlijkheid de triage. De melder of de verantwoordelijke instantie kunnen overigens zelf ook onderdeel uit maken van het ad hoc overleg. De melder of. verantwoordelijke zal in zijn eigen dossier gemotiveerd moeten toelichten welke overwegingen hen ertoe gebracht hebben om de melding in een ad hoc overleg in te brengen en niet in een algemeen overleg (want dat ligt tenslotte voor de hand). Het veiligheidshuis moet, daar waar het complexe multi-‐problematiek betreft, een coördinerende rol spelen bij deze ad hoc overleggen. Organisaties nemen op basis van een wettelijke taak deel aan het casusoverleg. Maar het veiligheidshuis ontbeert tot nu toe een wettelijke basis en daarmee ook een wettelijke taak en dus een legitieme grondslag voor het verwerken van persoonsgegevens (In de ad hoc casusoverleggen is het daarom sowieso noodzakelijk dat op gegevensuitwisseling ten alle tijde met toestemming van de cliënt plaatsvindt, dan wel past binnen de wettelijke kaders van de betrokken partijen). Een aandachtspunt voor wat betreft de inrichting van GCOS is dat het zich moeilijk leent voor de ondersteuning van ad hoc casusoverleggen. De structuur van GCOS is dwingend voor wat betreft het inrichtend van aparte bespreekkaders waarin vergelijkbare meldingen worden besproken. Meldingen die worden in gebracht in een ad hoc casus zijn nu juist per definitie afwijkend en dat zou beteken dat in GCOS voor iedere melding in een ad hoc casus een nieuw bespreekkader moet worden ingericht. GCOS zal hierop aangepast moeten worden. 57
Zie notitie Servicecentrum Privacy & Veiligheid. Zie Ministerie van Justitie en Veiligheid (2013), Factsheet Landelijk Kader Veiligheidshuizen, vóór en dóór partners
58
43
7.1.3 Stap 3: Het triageoverleg vindt plaats In dit stadium vindt de daadwerkelijke triage plaats. De partijen die in het overleg zitten kunnen ten behoeve van de triage hun eigen bestanden raadplegen en inbrengen in het triageoverleg, afhankelijk van de regels van de Wbp en eventuele specifieke wetgeving die op de partijen van toepassing is (bijvoorbeeld de Wgbo). Het triageoverleg staat onder leiding en regie van de verantwoordelijke. Dit is in termen van de Wbp ook degene die de verantwoordelijkheid neemt voor de gegevensverwerking. Op convenant niveau is nauwkeurig beschreven wie verantwoordelijke in de zin van de Wbp is en welke taken bij deze rol horen. Idealiter is het aantal deelnemers van het triage overleg zeer beperkt (en bijvoorbeeld beperkt tot één keten). Dit heeft tot gevolg dat het toekennen van autorisaties weinig flexibel is (kostenreductie). Het ondersteunend systeem dat gebruikt zal worden om deze triagefase te faciliteren, zal in de toekomst gegevens moeten kunnen uitwisselen met GCOS dat in fase 5 (casusoverleg) ingezet zal worden. Hetzelfde geldt ten aanzien van de uitwisseling van gegevens tussen het bronsysteem van de ketenpartner en het triagesysteem. 7.1.4 Stap 4: uitkomst triageoverleg De uitkomst van het triageoverleg is één van de volgende vier besluiten: Exit De eerste uitkomst is dat de cliënt niet verder besproken hoeft te worden in een casusoverleg (exit). Opschaling naar veiligheidshuizen De tweede uitkomst is dat op basis van de in het ad hoc of standaardoverleg besproken informatie er een besluit volgt om het overleg ‘op te schalen’. Hierbij gaat het specifiek om de ketenoverstijgende complexe, multi-‐problematiek. Inbreng in casusoverleg De derde uitkomst betreft het inbrengen in een casusoverleg. Het gaat hierbij om dezelfde gestandaardiseerde overlegkaders en het ad hoc kader (waarbij het complexe multi-‐ problematiek kader ook als een ad hoc kader wordt gedefinieerd). De afweging of voldaan wordt aan de privacy eisen wordt altijd geëxpliciteerd en ter verantwoording vastgelegd. Doorverwijzen naar ander triage overleg Er kan tenslotte worden besloten dat de cliënt moet worden besproken in een andersoortig triageoverleg. Het besluit dat volgt uit de triage, alsmede de motivering ervan, wordt opgenomen in het bronsysteem van de verantwoordelijke. De gegevens die in de triagefase verwerkt zijn en relevant zijn voor het casusoverleg kunnen vervolgens overgeheveld worden naar het casusoverleg. Hierbij moet wel rekening worden gehouden met de bevoegdheden tot het inzien van gegevens door betrokken partijen die niét in het triageoverleg hebben deelgenomen, maar wel deelnemen in de overlegfase.
44
7.1.5 Stap 5: casusoverleg De laatste stap is het daadwerkelijke casusoverleg. Voor het casusoverleg wordt GCOS gebruikt. De verantwoordelijke voor het casusoverleg is de partij die zorg draagt voor de gegevensverwerking en de compliance met de eisen uit de Wbp en aanverwante wet-‐ en regelgeving. De GCOS software biedt ondersteuning voor de verwerking en archivering van persoonsgegevens. De partij die de GCOS software aanbiedt moet in een bewerkersrelatie staan tot de verantwoordelijke. Voordeel van een strakke triagefase waarbij slechts die partijen aanschuiven in het casusoverleg die daartoe gemachtigd zijn, is dat binnen GCOS zelf veel gegevens mogen worden gedeeld. Hierdoor is de flexibiliteit (bijvoorbeeld flexibiliteit in het toekennen van autorisaties) en functionaliteit van GCOS maximaal. Een strakke triagefase levert onder andere op dat samenloopsdetectie op persoonsniveau in stap 5 over het algemeen niet nodig is. 7.1.6 Specifieke aspecten triage-‐ en casusoverleg Naast de vijf gedefinieerde stappen zijn de volgende aspecten van de triage en overlegvisie nog relevant om apart te benoemen. Aanmeldcriteria Om goede toeleiding naar een specifiek (gestandaardiseerd) casusoverleg mogelijk te maken dienen voor de standaardoverleggen heldere criteria opgesteld te worden. Deze aanmeldcriteria moeten ook helpen voorkomen dat een casus bij teveel verschillende overleggen door een melder wordt geagendeerd. Hierbij is het van belang op te merken dat aanmeldcriteria helder en praktisch bruikbaar moeten zijn. Het gaat het bestek van deze analyse echter te buiten om deze aanmeldcriteria te expliciteren. In het onderstaande praktijkvoorbeeld (Melding Huiselijk geweld) zal nader worden ingegaan op dit punt. Terugmelding Een veel gehoord commentaar is dat de initiële melder niks meer hoort over de stappen die met cliënt zijn gemaakt. Door een terugmelding op te nemen in de selectie-‐ en triagefase krijgt de melder meer zicht op de genomen maatregelen. Niet alleen geeft dit de melder een beter beeld van de cliënt, hetgeen nuttig kan zijn voor toekomstige interacties met de cliënt, bijkomend voordeel is dat de melder een rol kan spelen in de samenloopdetectie: deze partij ziet immers wat er vanuit twee of meer losstaande overleggen is gebeurd.
7.2 Praktijkvoorbeeld: de weg van een melding huiselijk geweld en kindermishandeling in het nieuwe proces59 Casus Sarah (30) doet bij de politie aangifte van huiselijk geweld, gepleegd door haar echtgenoot Mark (35). Sarah en Mark zijn de ouders van Rosa (4) en Evi (2) jaar. De meisjes waren getuigen van huiselijk geweld tussen hun ouders. 59
Er is voor huiselijk geweld gekozen omdat op het thema huiselijk geweld op landelijk niveau beleid is vastgesteld. Zie Openbaar Ministerie, Aanwijzing huiselijk geweld en eergerelateerd geweld (2010A010), 29 juni 2010; Ministerie van Justitie, Modelaanpak Huiselijk Geweld: elementen voor lokaal beleid, januari 2010. In de casus is zoveel als mogelijk rekening gehouden met de Wet verplichte meldcode huiselijk geweld en kindermishandeling die op 1 juli 2013 in werking zal treden.
45
7.2.1 Stap 1: Melding -‐ Bij de politie is een aangifte van huiselijk geweld binnengekomen. De politie deelt Sarah mee dat de melding met andere professionals gedeeld zal worden. -‐ Een medewerker van de politie beoordeelt binnengekomen zaken die de code HG hebben (eerste interne triage). -‐ De politie doet melding van de aangifte bij het SHG. -‐ De politie vult een zorgformulier in, omdat Rosa en Evi op hetzelfde adres wonen. Dit formulier wordt doorgestuurd naar bureau jeugdzorg en vervolgens naar het SHG. In deze fase worden persoonsgegevens verwerkt en is dus een doel en grondslag noodzakelijk. De grondslag kan voor wat betreft de verwerking van de gegevens gevonden in de uitvoering van de politietaak. De overdracht van de gegevens naar het ASHG heeft een basis in artikel 20 Wpg (verstrekking aan derden structureel voor samenwerkingsverbanden) jo. artikel 4:2 lid 1 sub i Besluit politiegegevens.60 -‐ Het SHG neemt de verantwoordelijkheid op zich voor deze melding (zie artikel 21c Wmo). -‐ Het SHG neemt contact op met Sarah om te informeren dat hun gegevens met andere partijen gedeeld worden en verstrekt tevens inlichtingen over verkregen persoonsgegevens (zie artikel 21f Wmo). In afwijking van artikel 34, eerste lid, van de Wet bescherming persoonsgegevens, brengt het SHG de betrokkene hiervan zo spoedig mogelijk, doch in ieder geval binnen vier weken na het moment van vastlegging van de hem betreffende gegevens, op de hoogte (zie verder artikel 21c lid 2, 3 en 4). 7.2.2 Stap 2: selectie triageoverleg (interne triage)61 -‐ Het SHG beoordeelt de casus (tweede interne triage).62 Uitgangspunt is dat het SHG zelfstandig actie onderneemt om ervoor te zorgen dat de noodzakelijke hulp in gang wordt gezet. De ingeschakelde instantie zal vervolgens vanuit haar eigen taak en professionaliteit actie ondernemen. De tweede optie is om deze melding in te brengen in een gestandaardiseerd triageoverleg.
60
Zie ook artikel 21b lid 4 Wmo waar staat dat ‘[h]et college van burgemeester en wethouders van elk van de bij algemene maatregel van bestuur aangewezen gemeenten een goede samenwerking bevordert tussen het steunpunt huiselijk geweld en het advies-‐ en meldpunt kindermishandeling, de hulpverlenende instanties en de politie. 61 In dit praktijkvoorbeeld wordt ervan uitgegaan dat deze casus op een standaard triageoverleg wordt geagendeerd. 62 In de Wmo (per 1 juli 2013) is een wettelijke basis opgenomen op grond waarvan het SHG persoonsgegevens mag verwerken ten behoeve van de goede vervulling van de taken, bedoeld in artikel 21b, tweede en derde lid Wmo. Er is een specifieke regeling getroffen voor het vragen van toestemming (art. 21d lid 1 Wmo), het verwerken van bijzondere persoonsgegevens (art. 21d lid 2 Wmo) en het verstrekken van gegevens door personen met een beroepsgeheim (art. 21d lid 3 Wmo).
46
Wanneer het gaat om een zeer complexe zaak (het SHG verwacht niet dat de zaak afgedaan kan worden met de partners die aan het standaard triageoverleg deelnemen), wordt een ad hoc casusoverleg samengesteld. 7.2.3 Stap 3: Triage (niet zijnde een ad hoc overleg) -‐ De melding wordt belegd bij het triageoverleg ‘Huiselijk geweld’. Het ASHG agendeert de casus. -‐ Het SHG is verantwoordelijke in de zin van de Wbp voor de gegevensuitwisseling binnen dit triageoverleg (dit is in een convenant vastgelegd). Daarom is het SHG verantwoordelijk voor opslag van de afspraken die in het triageoverleg worden gemaakt. Idealiter slaat het SHG deze informatie in haar eigen bronsysteem op. -‐ De deelnemers aan het triageoverleg ontvangen de agenda met de melding. Idealiter verloopt de agendering via een generiek systeem dat interoperabel is met GCOS en met de bronsystemen van de aanwezige ketenpartners. In deze fase worden ook weer persoonsgegevens verwerkt. Ditmaal (mede) met behulp van GCOS. De aanwezige partijen moeten alle een legitieme grondslag hebben om de gegevens in te zien (te verwerken). Deze zal meestal voortvloeien uit de wettelijke taakstelling (artikel 8e Wbp). -‐ Iedere deelnemer gaat op zoek naar informatie over deze cliënten in hun eigen bronsystemen of andere relevante ketensystemen of basisregistraties. De deelnemers aan het triageoverleg moeten zelf beslissen welke informatie zij inbrengen en of zij hun geheimhoudingsplicht doorbreken om de hen bekende informatie toch in het triageoverleg in te brengen. -‐ Alle partijen gaan goed voorbereid naar het triageoverleg. Ofwel voorafgaand ofwel tijdens het triageproces worden persoonsgegevens uitgewisseld. -‐ Per overleg wordt duidelijk beschreven wanneer het noodzakelijk is dat een melding van huiselijk geweld bij het HSG tot een persoonsgerichte aanpak moet leiden binnen een samenwerkingsverband. -‐ Samenloopsdetectie verloopt via de eigen bronsystemen van de ketenpartners die de casus van Sarah en Mark triageren. Op basis van eigen wet-‐ en regelgeving maken zij de afweging om gegevens al dan niet te delen. Dit valt onder de eigen verantwoordelijkheid van de ketenpartners (voorbeeld: omdat bijvoorbeeld de politie aan het triageoverleg deelneemt, is het niet nodig om informatie uit bijvoorbeeld het triageoverleg veelplegers op te halen. De politie dekt in dit geval de strafrechtsketen en kan in haar eigen systeem zien of Mark bijvoorbeeld als veelpleger bekend staat). 7.2.3.1 Kindtraject -‐ Bureau jeugdzorg (in de hoedanigheid van het AMK) gaat voorafgaand aan het triageoverleg met het zorgformulier aan de slag. In sectorale wetgeving is bepaald hoe Bjz haar onderzoeksplicht dient in te vullen. Het AMK heeft meer onderzoeksbevoegdheden dan andere organen binnen Bjz. Als de inschatting van Bjz is dat kinderbeschermingsmaatregelen overwogen moeten worden, wordt ook de Raad voor de Kinderbescherming ingelicht (en wordt eventueel direct een raadsonderzoek opgestart).
47
-‐
Bjz overweegt op grond van eigen wet-‐ en regelgeving welke informatie uit hun eigen onderzoek gedeeld wordt met partners in het triageoverleg.
Ook in dit traject worden persoonsgegevens verwerkt. Deze verwerkingen kunnen gebaseerd worden op de wettelijke taken van Bureau Jeugdzorg / AMK. Bijvoorbeeld: om te voorkomen dat een melding van huiselijk geweld bij het SHG onbekend blijft bij het AMK – of vice versa – dienen zij elkaar op de hoogte te brengen van meldingen. Dit wordt geregeld in artikel 21a, tweede lid, onder d, Wmo en artikel 11, eerste lid, onder f, van de Wjz.
7.2.4 Stap 4: De uitkomst van het triageoverleg Volgend op het triageoverleg wordt een besluit genomen over deze casus. -‐ Het SHG is verantwoordelijke in de zin van de Wbp voor de gegevensuitwisseling binnen dit triageoverleg. Daarom is het SHG verantwoordelijk voor opslag van de afspraken die in het triageoverleg worden gemaakt. Idealiter slaat het SHG deze informatie in haar eigen bronsysteem op. -‐ De uitkomst van het triageoverleg wordt teruggemeld aan de eerste melder. De eerste melder draagt de verantwoordelijk om dit gegeven in zijn eigen bronsysteem vast te leggen. -‐ De volgende drie uitkomsten zijn denkbaar: Uitkomst 1: ‘exit’ de overlegpartners van het triageoverleg komen er samen uit. De cliënt hoeft niet verder besproken te worden. De acties en besluiten worden in het bronsysteem van de verantwoordelijke vastgelegd (SHG). Uitkomst 2: doorzetting naar casusoverleg De melding van huiselijk geweld wordt door het triageteam gemotiveerd opgeschaald. -‐ De casus wordt besproken in het gestandaardiseerde casusoverleg dat wordt ondersteund door GCOS. -‐ Samenloopsdetectie in fase 5 verloopt, waar nodig, weer via de eigen bronsystemen van de deelnemers aan het overleg. Uitkomst 3: Opschaling (naar het veiligheidshuis) Uit het triageoverleg blijkt dat vader Mark kampt met drugsverslaving en dat moeder Sarah een cliënt is bij MEE vanwege een licht verstandelijke beperking. Verder is uit het triageoverleg onvoldoende gebleken welke problematiek nu precies speelt. -‐ De verwachting is dat bespreking in een gestandaardiseerd casusoverleg te weinig oplevert. De casus gaat naar het veiligheidshuis omdat sprake is van ketenoverstijgende complexe problematiek. -‐ De deelnemers aan het triageoverleg doen gezamenlijk een voorstel voor partijen die voor het ad hoc casusoverleg uitgenodigd moeten worden. Dit kan eventueel nog vooraf worden gegaan door een aparte triagefase.
48
-‐ De verantwoordelijkheid voor het ad hoc casusoverleg ‘complexe multi-‐problematiek’ kan bij het veiligheidshuis belegd worden (maar dan moet het veiligheidshuis en haar taken wel van wettelijke basis worden voorzien). 7.2.5 Stap 5: casusoverleg Afhankelijk van de uitkomsten in stap 4 wordt er besloten om de casus in te brengen in het casusoverleg. Dit zal of het standaard casusoverleg Huiselijk geweld zijn, of het casusoverleg complexe multi-‐problematiek binnen het veiligheidshuis. -‐ De casus wordt besproken in het casusoverleg dat wordt ondersteund door GCOS. Op grond van de autorisaties van partijen kunnen gegevens uit GCOS ter beschikking worden gesteld aan de deelnemende casuspartijen. -‐ Samenloopdetectie in fase 5 verloopt weer via de eigen bronsystemen van de deelnemers aan het overleg. -‐ De uitkomst van het casusoverleg wordt terug gemeld aan de initiële melder.
49
8 Conclusies Op basis van het voorgaande komen wij tot de volgende conclusies.
8.1 Analyse huidig gebruik GCOS Vanwege de huidige organisatorische inrichting van casusoverleg alsmede de architectuur van GCOS, staat het proces van casusoverleg op gespannen voet met de Wet bescherming persoonsgegevens (Wbp) en aanverwante (privacy)wetgeving. Onze praktijkanalyse bevestigt de eerdere conclusies van het Service Centrum Privacy en Veiligheid van het Ministerie van Justitie en Veiligheid: met GCOS in de huidige vorm kan niet conform de Wbp worden gewerkt. Het proces van casusoverleg en het gebruik van GCOS daarbinnen kent drie grote knelpunten: 1) de aard van netwerksamenwerking en het beleggen van verantwoordelijkheid daarbinnen; 2) De hybride rol van GCOS als ondersteunende software én op zichzelf staand systeem en/of gegevensverzameling met eigen functionaliteit; 3) De onduidelijke formele status van het concept veiligheidshuis. Deze drie problemen zorgen er gezamenlijk voor dat er geen duidelijke verantwoordelijke valt aan te wijzen en daarmee geen ‘probleemeigenaar’ voor wat betreft het onderwerp privacy en de bescherming van persoonsgegevens. Omdat compliance met de eisen uit de Wbp de taak is van de verantwoordelijke, is bij een onduidelijke toewijzing van deze verantwoordelijkheid het nagenoeg onmogelijk om goed invulling te geven aan de eisen uit de Wbp en aanverwante wet-‐ en regelgeving. Dit wordt bevestigd door de compliance analyse van GCOS in de praktijk. Er is allereerst sprake van onduidelijkheid over wie nu de verantwoordelijke is voor de gegevensverwerking. Vervolgens zijn de doeleinden voor de gegevensverwerking onvoldoende duidelijk gespecificeerd per casusoverleg. Zelfs als deze problemen worden weggenomen (door een verantwoordelijke aan te wijzen en de doelen duidelijk te specificeren), dan is het vervolgens de vraag of de aangewezen verantwoordelijke (of verantwoordelijken) een legitieme grondslag heeft voor het verwerken van persoonsgegevens. Een significant probleem is dat voor de gedwongen kaders er géén overkoepelende legitieme grondslag bestaat om op grootschalige wijze gegevens te verwerken en binnen GCOS te laten persisteren. Binnen specifieke, afgebakende kaders zal deze legitieme grondslag er wel zijn, maar voor GCOS als geheel is dit niet het geval. Met name de casusoverstijgende samenloopdetectie en landelijke raadpleegbaarheid kennen momenteel een onvoldoende wettelijke basis. Dit probleem wordt verergerd door het feit dat de veiligheidshuizen, die vanuit de hen toegewezen regietaak persoonsgegevens moeten verwerken, al dan niet op verzoek van de bij het casusoverleg betrokken partijen, hier geen wettelijke basis voor hebben. Dit probleem kan niet worden geadresseerd door de veiligheidshuizen als bewerker aan te merken. Omdat de veiligheidshuizen zelfstandig invloed hebben over de manier waarop gegevens worden verwerkt en wat daarmee gedaan wordt, kunnen zij niet als bewerker worden gezien.
50
Tenslotte -‐en de conclusies zullen hier verschillen per veiligheidshuis-‐ wordt er in de praktijk onvoldoende invulling gegeven aan de materiële eisen uit de Wbp (dataminimalisatie, gegevenskwaliteit, beveiliging, bewaartermijnen, transparantie en de rechten van de betrokkene). Met name het risico op bovenmatige gegevensverwerking en deling is binnen GCOS aanwezig. Dat compliance met deze eisen moeizaam verloopt is logisch, omdat door het ontbreken van een eenduidige verantwoordelijkheid in de praktijk niemand probleemeigenaar is. Het niet voldoen aan de eisen uit de Wbp zal uiteindelijk kunnen leiden tot handhavend optreden vanuit de toezichthouder. Hierbij is ook bestuursdwang niet uitgesloten. Daarnaast dient ook de aankomende Algemene Verordening Gegevensbescherming in ogenschouw te worden genomen. Deze strengere, toekomstige privacywetgeving kan betekenen dat gebruikers van GCOS, alsmede de aanbieder van GCOS, het risico lopen op torenhoge boetes vanuit de toezichthouder.
8.2 Oplossingsrichting Om tot een inrichting en gebruik te komen van GCOS binnen veiligheidshuizen dat conform de privacywetgeving is, moeten de gesignaleerde knelpunten worden weggenomen: 1) de aard van netwerksamenwerking en het beleggen van verantwoordelijkheid daarbinnen. 2) De onduidelijke formele status van het concept veiligheidshuis. 3) De hybride rol van GCOS als ondersteunende software én op zichzelf staand systeem en/of gegevensverzameling met eigen functionaliteit. Hiervoor zijn grofweg de volgende stappen nodig: 1) Het duidelijk beleggen van de verantwoordelijkheid bij netwerksamenwerking en het wettelijk borgen van de rol van veiligheidshuizen voor wat betreft de complexe multi-‐ problematiek. 2) GCOS terugbrengen van een landelijk raadpleegbaar systeem naar generieke, ondersteunende software. Naast het helder hebben wie verantwoordelijk is voor de gegevensverwerking moet de gegevensverwerking altijd berusten op een wettelijke grondslag en moet de verwerking voldoen aan de eisen van proportionaliteit en subsidiariteit.63 Aan deze eis kan invulling gegeven worden door: 3) een helder(der) proces van selectie, triage-‐ en casusoverleg waarin de criteria voor het inbrengen en uitwisselen van gegevens tussen betrokken instanties per fase helder zijn. 8.2.1 Verantwoordelijkheid duidelijk beleggen De eerste stap is dat de verantwoordelijkheid voor het verwerken van persoonsgegevens in het kader van casusoverleg (al dan niet met behulp van GCOS) altijd duidelijk belegd moet zijn. Dit betekent allereerst dat bij ‘eenvoudige’ casuïstiek, aansluiting gezocht moet worden bij de 63
Zie bijvoorbeeld: Hoge Raad, 9 september 2011, LJN: BQ8097, Hoge Raad , 10/03988
51
bestaande (wettelijke) arrangementen binnen de keten. De huidige ketenregisseur of casusverantwoordelijke moet worden aangewezen als verantwoordelijke in de zin van de Wbp. Voor de complexe, casusoverstijgende multi-‐problematiek moet het veiligheidshuis verantwoordelijk zijn. Voorwaarde voor de legitimiteit van de verwerking van persoonsgegevens binnen GCOS ten behoeve van casusoverleg binnen de veiligheidshuizen zijn 1) een duidelijke doelomschrijving en 2) een gerechtvaardigde grondslag. Met name dit tweede punt is problematisch. Voor vrijwillige kaders kan deze gevonden worden in de (uitdrukkelijke) toestemming van de betrokkene (artikel 8a jo artikel 23 Wbp), maar voor gedwongen kaders zal deze moeten worden gezocht in de noodzakelijkheid voor de goede uitoefening van de publiekrechtelijke taak (artikel 8e Wbp). Nu de veiligheidshuizen momenteel geen formeelwettelijke status hebben kan deze grondslag niet worden gebruikt. Het ligt daarom voor de hand om een wettelijke basis te creëren voor de veiligheidshuizen. De gemeente lijkt een logische kandidaat als verantwoordelijke voor de gegevensverwerking, maar ook andere opties zijn mogelijk. Medio 2010 is een wetsvoorstel gedaan om de Gemeentewet te wijzigen in verband met de versteviging van de regierol van de gemeente ten aanzien van het lokaal veiligheidsbeleid’.64 In het voorgenomen artikel 171a Gemeentewet zou dan een grondslag staan voor samenwerking in een veiligheidshuis.65 In lagere wetgeving zou deze bepaling kunnen worden uitgewerkt voor wat betreft de gegevensdeling die daarbij noodzakelijk zou zijn. Het kamerstuk staat echter nog steeds op de agenda voor behandeling in de Tweede Kamer. Bij deze oplossingsrichting moet worden aangetekend dat deze wettelijke basis een noodzakelijke, maar niet voldoende voorwaarde is voor legitieme verwerking van persoonsgegevens door het veiligheidshuis. Uiteraard moet de verwerking nog steeds voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. 8.2.2 Adresseren hybride aard GCOS Tweede stap die moet worden genomen is dat de hybride aard van GCOS geadresseerd moet worden. Die functionaliteiten (samenloopdetectie, landelijke raadpleegbaarheid) die er in de praktijk voor zorgen dat GCOS een landelijke database is in plaats generieke ondersteunende software voor casusoverleg, moeten uitgeschakeld worden. Een belangrijke stuwende kracht achter de ontwikkeling en toepassing van GCOS is het idee dat partijen niet langer langs elkaar heen moeten werken (één persoon/gezin/familie, één plan). Om te voorkomen dat partijen langs elkaar heen werken kent GCOS momenteel een functie die samenloop kan detecteren. De auteurs onderkennen het belang van samenwerking en samenloopdetectie. Het is evenwel de vraag of een landelijke gegevensverzameling (met zeer gevoelige gegevens) wenselijk en noodzakelijk is om deze samenloopdetectie te bewerkstelligen. 64
Kamerstuk 32 459 ‘Wijziging van de Gemeentewet in verband met de versteviging van de regierol van de gemeente ten aanzien van het lokaal veiligheidsbeleid’. 65 Artikel 171a Gemeentewet: De burgemeester ziet toe op het lokaal veiligheidsbeleid en bevordert de voor de uitvoering van het integraal veiligheidsplan, bedoeld in artikel 148a, noodzakelijke samenwerking tussen alle betrokken partijen.
52
Een partij die bij het triageoverleg en/of het casusoverleg betrokken is kan, in theorie, nu al op basis van eigen (cliëntvolg)systemen samenloop detecteren tussen die casus waar ze (landelijk) bij betrokken is. Nu dit geldt voor alle partijen binnen een triage-‐ of casusoverleg kan over een veelvoud aan casustypen reeds samenloopdetectie plaatsvinden. In aanvulling op de eigen systemen kunnen ook faciliteiten voor ketensamenwerking (zoals verwijsindexen) worden aangewend.66 Voor wat betreft de zeer complexe zaken waarbij detectie over verschillende domeinen heen toch noodzakelijk blijkt, kan het veiligheidshuis deze rol nemen. Hiervoor is dan wel die hiervoor genoemde wettelijke taak en basis noodzakelijk. GCOS terugbrengen tot de oorspronkelijk kernfunctionaliteit (het ondersteunen van casusoverleg) heeft tot voordeel dat er op die punten waar GCOS rechtmatig wordt ingezet het systeem veel vrijer en flexibeler kan worden gebruikt. Dit betekent minder voorwaarden voor wat betreft privacy by design, minder complexiteit in authenticatie en autorisatie, meer flexibiliteit en makkelijker delen van gegevens. 8.2.3 Duidelijk proces van triage-‐ en casusoverleg Een derde aandachtspunt is het verbeteren dan wel verhelderen van het huidige proces van triage-‐ en casusoverleg. Door het inrichten van een duidelijk proces voor melding, triage en casusoverleg wordt het veel beter mogelijk om compliant te zijn met de Wet bescherming persoonsgegevens. Een helder proces van triage en casusoverleg zorgt ervoor dat verantwoordelijkheden duidelijk belegd zijn, doelen helder zijn, het risico’s op bovenmatig delen verkleint wordt en ongeautoriseerd gebruik van gegevens wordt vermeden. Bijkomend voordeel voor wat betreft effectiviteit en efficiëntie is dat partijen niet bij alle casusoverleggen aanwezig hoeven te zijn, waardoor zij zich kunnen focussen op die casus die voor hen relevant zijn.67
8.3 Impact De auteurs zijn zich bewust van het feit dat de in deze analyse voorgestelde wijzigingen een grote impact kunnen hebben op de dagelijkse praktijk van casusoverleg binnen veiligheidshuizen. In termen van ‘impact’ zijn de volgende punten in het bijzonder relevant. 8.3.1 Wettelijke basis veiligheidshuizen Een van de belangrijkste vraagstukken voor wat betreft de rechtmatigheid van het gebruik ligt niet zozeer in GCOS maar in de rol en positie van de partij die GCOS het meeste gebruikt: het veiligheidshuis. Het is zaak dat de wettelijke basis voor het veiligheidshuis snel helder wordt, opdat veiligheidshuizen een legitieme grondslag kunnen krijgen voor het verwerken van persoonsgegevens in gedwongen kaders op basis van artikel 8e Wbp. Hierbij tekenen wij nogmaals aan dat deze wettelijke basis een noodzakelijke, maar niet voldoende voorwaarde is voor legitieme verwerking van persoonsgegevens door het veiligheidshuis. Uiteraard moet de verwerking nog steeds voldoen aan de eisen van proportionaliteit en subsidiariteit. 66
Ministerie van Veiligheid en Justitie (2012), Visie: GCOS architectuur en privacy, 29 mei 2012, (Borst, Gresnigt, Hommes) 67 Ministerie van Veiligheid en Justitie (2012), Landelijk Kader Veiligheidshuizen: vóór en dóór partners, p. 26 e.v.
53
8.3.2 Aanpassen architectuur en functionaliteiten GCOS Een tweede punt dat grote impact kan hebben betreft het aanpassen of terugschalen van GCOS. Het terugschalen van GCOS heeft allereerst informatiekundige consequenties: de gegevensverwerkingen in GCOS moeten worden aangepast. Maar wellicht nog belangrijker is dat het aanpassen van GCOS gevolgen heeft voor de huidige gebruikers van GCOS. Aanpassing zal mogelijkerwijs op weerstand stuiten omdat de suggestie kan ontstaan dat GCOS belangrijke en relevante functies verliest. 8.3.3 Werken conform triage-‐ en casusoverleg structuur Een derde punt is het werken volgens een eenduidige triage-‐ en casusoverleg structuur. Wanneer de triage-‐ en casusoverleg structuur als landelijke standaard wordt geadviseerd, dan kan dit op weerstand in de praktijk stuiten, omdat men de eigen werkwijze en workflow moet aanpassen. Naar de mening van de auteurs staat hier echter een groot voordeel tegenover, namelijk dat het helderder kan worden gemaakt wie onder welke omstandigheden gegevens met elkaar mag delen. Dit kan de bestaande onzekerheid en onduidelijkheid bij hulpverleners in de praktijk wegnemen en in situaties waar gegevensdeling wel noodzakelijk en rechtmatig is onnodige terughoudendheid voorkomen. 8.3.4 Verbeteren interne informatiehuishouding individuele casusdeelnemers Waarschijnlijk hebbende noodzakelijke wijzigingen in GCOS de grootste impact op de informatiehuishouding van de casusdeelnemers. Om toch een effectieve samenloopdetectie en landelijke raadpleegbaarheid te realiseren wordt namelijk veel gevergd van de informatiehuishouding van de betrokken partijen. Het is onduidelijk of alle partijen momenteel hun systemen dusdanig hebben ingericht dat zij (landelijk) inzicht kunnen krijgen in de zaken en casusoverleggen waar zij mee bezig zijn. Het is echter van belang om te onderstrepen dat GCOS geen alternatief kan en mag zijn voor tekortkomingen in de eigen informatiehuishouding of de ketensamenwerking.
54
9 Bijlage
9.1 schematisch overzicht visie triage en casusoverleg
55
