Transparante verwerking van persoonsgegevens. Nota van bevindingen

Transparante verwerking van persoonsgegevens in het SUWI-domein Nota van bevindingen

Transparante verwerking van persoonsgegevens in het SUWI-domein | december 2011

Colofon

Programma Nummer Datum

Informatieprocessen Nvb-info-11/10 b december 2011

Pagina 2 van 23


Inhoud Colofon—2 1

Samenvatting en conclusies—5

2 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9

Inleiding—7 Aanleiding en context—7 Probleemanalyse—7 Doel- en vraagstelling van het onderzoek—8 Normenkader—8 Toetsingskader—9 Conceptueel model—10 Afbakening—11 Onderzoeksmethoden—11 Selectie en representativiteit—11

3 3.1 3.2 3.3 3.4 3.5

Verwerking van persoonsgegevens—13 Opvragen gegevens bij de klant—13 Verstrekken gegevens aan derden—13 Opvragen gegevens van derden—14 Knelpunten—14 Conclusies—14

4 4.1 4.2 4.3 4.4

Informeren van de burger—17 Wijze van informeren—17 Actieve informatie over inzage- en correctierecht—17 Knelpunten—18 Conclusies—18 Bijlage: Begrippen, methoden en technieken, vragenlijst—19

Pagina 3 van 23


Pagina 4 van 23


1

Samenvatting en conclusies

De persoonsgegevens van burgers worden in het kader van de i-Overheid 1 steeds meer tussen overheidsorganisaties uitgewisseld en in steeds meer databestanden en systemen verwerkt en verrijkt. Alleen al in de periode van 1988 tot 2000 vertienvoudigde het aantal databases bij de overheid en semioverheid, van circa 3500 tot 30.000. Maatschappelijk actieve burgers komen in minstens 1500 databases voor. Daardoor heeft de burger steeds minder zicht op de verwerking van die gegevens en wordt hij ook beperkt in zijn recht op inzage en correctie van zijn gegevens. Het is de inspectie gebleken dat het ook binnen de sociale zekerheid in de praktijk niet vanzelfsprekend is dat klanten geïnformeerd worden over de wijze waarop hun gegevens worden verwerkt en over het feit dat hier bepaalde risico´s aan verbonden zijn. Het proces rondom het verwerken van persoonsgegevens is over het geheel genomen nog onvoldoende transparant voor de burger. Een transparante verwerking van persoonsgegevens houdt in, dat degene wiens gegevens worden verwerkt (de betrokkene), door de voor die verwerking verantwoordelijke op de hoogte wordt gesteld van de verwerking. De betrokkene is dan in de gelegenheid om tegenover die verantwoordelijke zijn recht te kunnen uitoefenen op toegang tot die gegevens (inzage) en op rectificatie (correctie), op afscherming van die gegevens of verzet tegen verwerking, als hiervoor gronden aanwezig zijn. Het geheel van deze rechten wordt in deze nota verder aangeduid als: inzage- en correctierecht. Inzicht in gegevensverwerking is vooral afhankelijk van de transparantie van de verwerking en de kennis die de burger heeft van het feit dat die verwerking plaatsvindt. Openbaarheid en transparantie vormen dan ook belangrijke voorwaarden voor regievoering door de burger. Het is niet vanzelfsprekend dat de burger toegang krijgt tot zijn gegevens. Hij moet daarvoor zelf stappen zetten, waarbij het de vraag is of hij weet hoe dat moet en in staat is de betekenis van de gegevens te duiden. Uit eerder onderzoek door de inspectie kwam naar voren er maar zeer beperkt gebruik wordt gemaakt van het inzage- en correctierecht. Uit het door IWI uitgevoerde literatuuronderzoek over de rol van de overheid in de iSamenleving, komen, samengevat,de volgende knelpunten naar voren: -

-

Het is voor burgers nauwelijks te overzien wat er met hun gegevens gebeurt en of de privacy wel voldoende is gewaarborgd. Burgers moeten om inzage en correctie vragen en weten vaak niet bij wie ze moeten zijn en hoe het proces achter de verwerking van gegevens is vormgegeven. Burgers verwachten dat de procesgang rondom gegevensverwerking goed is geregeld (behoorlijk bestuur).

Het gesignaleerde gebrek aan transparantie en het gevolg ervan, is voor de inspectie een reden om na te gaan hoe het staat met de transparante verwerking van persoonsgegevens binnen het SUWI-domein en welke knelpunten zich daarbij voordoen.

1

Een door de WRR gelanceerde term in het rapport “iOverheid” van 15 maart 2011, zoals ook geciteerd in de kabinetsreactie op dit rapport van 25 oktober 2011. Pagina 5 van 23


Onderstaande vraag is leidend geweest voor dit onderzoek: In hoeverre informeren SVB, UWV en de gemeentelijke sociale diensten de burger transparant over de verwerking van zijn persoonsgegevens en welke knelpunten doen zich daarbij voor? Het onderzoek is uitgevoerd onder 30 gemeenten, waarvan een aantal samenwerken in een Intergemeentelijke Sociale Dienst (ISD). In dat geval is de ISD rechtstreeks benaderd. Daarnaast is het onderzoek uitgevoerd bij UWV en een kantoor van SVB. Er zijn documenten bestudeerd en er zijn telefonische interviews uitgevoerd. Conclusies De inspectie constateert dat er weinig aandacht is voor het proces en de informatievoorziening aan klanten wat betreft de verwerking van persoonsgegeven in het SUWI-domein. Zo ontbreekt het bij gemeenteneen duidelijk beschreven procedure, c.q. werkinstructie. Veel wordt overgelaten aan de klantmanagers/ medewerkers. Daardoor is niet helder in welke mate en in welke vorm aandacht wordt besteed aan de transparante verwerking van persoonsgegevens. Bij UWV en SVB is het beleid wel uitgewerkt in procedures en is informatie beschikbaar op welke wijze wordt omgegaan met persoonsgegevens. Overigens blijkt uit dit onderzoek, evenals uit het onderzoek dat IWI deed naar keteninformatisering 2 , dat na de invoering van de WEU het bij gemeenten nog steeds niet gebruikelijk is om gegevens te hergebruiken. Klanten moeten nog vaak gegevens leveren, die feitelijk al bekend zijn bij de uitvoeringsorganisaties. Bij UWV en SVB is het beeld anders. Daar doet de klant veelal digitaal een verzoek waarbij, via DKD, sprake is van voorinvulling en via MijnSVB.nl de klant geïnformeerd over de verwerking van zijn persoonsgegevens en de mogelijkheid tot correctie van gegevens. In de praktijk wordt nauwelijks gebruik gemaakt van het inzage- en correctierecht. Dit leidt ertoe dat gemeenten, UWV en SVB, hoewel ze het belang van transparantie onderschrijven en er digitale instrumenten voor hebben,er in de praktijk geen prioriteit aan geven. Sommige gemeenten hebben overigens aangegeven wel meer aandacht te willen geven aan de informatieverstrekking over de verwerking van persoonsgegevens. Ook het kabinet wenst de burger beter in staat te stellen problemen met de verwerking of uitwisseling van persoonsgegevens in de i-Samenleving zelf aan te pakken door versterking van het informatie- en correctierecht. 3 Klanten worden in zeer beperkte mate geïnformeerd over de verwerking van hun gegevens. Zo wordt de bron van de gebruikte gegevens nooit vermeld. Veelal blijft het bij een verwijzing naar een folder en/of website van de uitvoeringsorganisaties. De inspectie constateert tot slot dat het bij uitvoeringsorganisaties nog niet gebruikelijk is in, bijvoorbeeld, een bijlage bij de beschikking, burgers te informeren over hoe zij toegang kunnen tot hun gegevens kunnen krijgen.

2 3

Nota van bevindingen Keteninformatisering IWI 2011 Zie de kabinetsreactie op het WRR-rapport iOverheid d.d. 25 oktober 2011. Pagina 6 van 23


2

2.1

Inleiding

Aanleiding en context

De inspectie heeft in het kader van de programmering van de najaarsrapportage een onderzoek aangekondigd naar de´transparante verwerking van persoonsgegevens in het Structuur Uitvoering Werk en Inkomen (SUWI)-domein’. De door de inspectie gesignaleerde trend, dat het binnen de sociale zekerheid niet vanzelfsprekend is dat klanten geïnformeerd worden over de wijze waarop hun gegevens worden verwerkt, werd tijdens een bijeenkomst met vertegenwoordigers van het Uitvoeringsinstituut Werknemersverzekeringen (UWV), Sociale Verzekeringsbank (SVB), gemeenten en cliëntenraad, onderschreven. Welke problemen zich bij transparante verwerking van persoonsgegevens voordoen, wordt onderstaand nader toegelicht, aan de hand van de uitkomsten van een literatuurstudie. Vervolgens heeft IWI onderzocht of deze problemen zich ook voordoen binnen de sociale zekerheid.

2.2

Probleemanalyse

In februari 2011 vond er een expertmeeting plaats in de Eerste Kamer (EK) in het kader van de evaluatie van de Wbp 4 . Hierin kwam onder meer naar voren dat maatschappelijk actieve burgers in minstens 1500 databases voorkomen. Dit is voor de burger nauwelijks te overzien, laat staan dat hij door middel van het recht, zoals dat nu is geregeld, enige effect kan hebben op de toenemende gegevensverwerking in grote hoeveelheden bestanden. Deze lijn volgend, zou daarom veel meer gekeken moeten worden naar de verantwoordelijke overheidsorganisatie voor de gegevensverwerking en het toezicht. Op 15 maart 2011 bracht de WRR zij rapport ‘iOverheid’ uit. De WRR stelt daarin vast dat digitale datastromen een steeds belangrijkere rol spelen in de samenleving. Het koppelen, bewerken en hergebruiken van persoonsgegevens wordt onder invloed van technologische ontwikkelingen steeds gemakkelijker en goedkoper. In de dagelijkse praktijk van politiek en bestuur wordt volgens de WRR door de overheid evenwel onvoldoende nagedacht over het groeiend gebruik ervan. Informatisering maakt het registreren van gegevens gemakkelijker en tegelijkertijd normaler, waardoor meer gegevens dan ooit worden vastgelegd. Alleen al in de periode van 1988 tot 2000 vertienvoudigde het aantal databases bij de overheid en semioverheid, van circa 3500 tot 30.000. 5 Bovendien worden bestanden van instanties steeds vaker aan elkaar gekoppeld via verwijsindexen en inkijkfuncties als Suwinet en het elektronisch kinddossier. Overheidsinstanties krijgen daarmee een steeds completer beeld van de burger. De burger wordt in feite transparant voor de overheid. Maar andersom is dat nog lang niet het geval. De transparantie van gegevensverwerking is vooral eenzijdig vanuit de overheid georganiseerd. Daarbij dient wel opgemerkt te worden dat de overheid geen eenheid is, maar bestaat uit een complex geheel van organisaties en functionarissen.

4 5

Verslag expertmeeting Eerste Kamer, Evaluatie Wet bescherming persoonsgegevens, vastgesteld 10 maart 2011. B. Schermer & T. Wagemans, Onze digitale schaduw. Een verkennend onderzoek naar het aantal databases waarin de gemiddelde Nederlander geregistreerd staat, Amsterdam: Considerati 2009, p. 40-41. Pagina 7 van 23


Inzicht in gegevensverwerking is, zoals blijkt uit het rapport van het Rathenauinstituut, vooral afhankelijk van de transparantie van de verwerking en de kennis die de burger heeft van het feit dat die verwerking plaatsvindt. 6 Openbaarheid en transparantie vormen dan ook belangrijke voorwaarden voor regievoering door de burger. Het is niet vanzelfsprekend dat de burger toegang krijgt tot zijn gegevens. Hij moet daarvoor zelf stappen zetten, waarbij het de vraag is of hij weet hoe dat moet en in staat is de betekenis van de gegevens te duiden. Uit eerder onderzoek door de inspectie 7 kwam naar voren er maar zeer beperkt gebruik wordt gemaakt van het inzage- en correctierecht. Dit kan erop duiden dat burgers ook niet snel via verschillende toegangskanalen, zoals ´mijnoverheid.nl’ hun gegevens inzien. Samenvattend komen de volgende hoofdpunten uit de probleemanalyse naar voren: Het is in de praktijk voor burgers nauwelijks te overzien wat er met hun gegevens gebeurt en of de privacy wel voldoende is gewaarborgd. Burgers moeten om inzage en correctie vragen en weten vaak niet bij wie ze moeten zijn en hoe het proces achter de verwerking van gegevens is vormgegeven. Burgers verwachten dat de procesgang rondom gegevensverwerking goed is geregeld (behoorlijk bestuur). 2.3

Doel- en vraagstelling van het onderzoek Op basis van de probleemanalyse heeft de inspectie de volgende doelstelling en vraagstelling van dit probleemsignalerend onderzoek geformuleerd. Doelstelling Met dit onderzoek beoogt de inspectie inzicht te bieden in de wijze waarop UWV, SVB en gemeenten burgers informeren over de verwerking van persoonsgegevens en de knelpunten die zich daarbij voor doen in de uitvoeringspraktijk van de sociale zekerheid. Met het inzicht in de knelpunten beoogt de inspectie een bijdrage te leveren aan de verbetering van beleid en uitvoering wat betreft de transparante verwerking van persoonsgegevens en de mate waarin persoonsgegevens toegankelijk zijn. Vraagstelling(hoofdvraag): In hoeverre informeren SVB, UWV en de gemeentelijke sociale diensten de burger transparant over de verwerking van zijn persoonsgegevens en welke knelpunten doen zich daarbij voor? Deelvragen: 1. Hoe verwerken SVB, UWV en gemeentelijke sociale diensten persoonsgegevens en welke knelpunten doen zich daarbij voor? 2. Hoe transparant informeren zij burgers over de verwerking van deze gegevens en welke knelpunten doen zich daarbij voor?

2.4

Normenkader Welke verantwoordelijkheden deze organisaties hebben, is geregeld in de Wet SUWI, de Wet werk en bijstand (WWB) en aanverwante weten regelgeving. In deze wetten is een gesloten systeem van gegevensuitwisseling geregeld, dat inhoudt dat 6 7

Rapport databases-ICT-beloftes, informatiehonger en digitale autonomie, Rathenau-instituut, november 2010. Beveiliging en privacy in de SUWI-keten, IWI 2009.

Pagina 8 van 23


gegevensverzameling en gegevensverstrekking door (voor zover hier van belang) gemeenten, UWV en SVB alleen maar gegevens mogen opvragen en verstrekken als daar een expliciete wettelijke grondslag voor is. Op de gebieden die in deze wetten niet geregeld zijn, is de WBP van toepassing. De wettelijke grondslagen voor gegevensuitwisseling zijn te vinden in Hoofdstuk 9 Informatiebepalingen van de Wet SUWI, paragraaf 6. 6 Gegevensuitwisseling van de WWB, en de regelgeving die daarop is gebaseerd, met name Hoofdstuk 5 Gegevensverwerking en gegevensverstrekking van het Besluit SUWI. Onder het gesloten systeem vallen ook de door gemeenten uitgevoerde wetten, Wet Investering Jongeren (WIJ), Wet Werk en inkomen Kunstenaars (WWIK), Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers (IOAW)en Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen (IOAZ). Een transparante verwerking van persoonsgegevens houdt in, dat degene wiens gegevens worden verwerkt (de betrokkene), door de voor die verwerking verantwoordelijke op de hoogte wordt gesteld van de verwerking, zodat deze in de gelegenheid is om tegenover die verantwoordelijke zijn recht te kunnen uitoefenen op toegang tot die gegevens (inzage) en op rectificatie (correctie), op afscherming van die gegevens of verzet tegen verwerking, als hiervoor gronden aanwezig zijn. Het geheel van deze rechten wordt in deze nota verder aangeduid als: inzage- en correctierecht. Wbp is de algemene wet die onder meer het beginsel van transparante verwerking van persoonsgegevens en de rechten van de betrokkene regelt.8 Welke begrippen ten grondslag liggen aan de verwerking van persoonsgegevens wordt nader toegelicht in de bijlagen.

2.5

Toetsingskader In dit onderzoek gaat het IWI om de verwerking van persoonsgegevens door UWV, SVB en gemeentelijke sociale diensten met inbegrip van de informatievoorziening over het gebruik van de gegevens aan de burger (in het conceptueel kader, zie paragraaf 2.6, geduid als ‘informeren’). Het toetsingskader bestaat uit twee elementen: De verwerking van persoonsgegevens in relatie tot de informatievoorziening aan de burger Het op transparante wijze informeren van burger. Wetgeving biedt weinig houvast waar het betreft toetsbare normen waaraan de informatievoorziening aan de burger getoetst kan worden. Er bestaat weliswaar informatieplicht, maar die gaat niet zozeer over hoe burgers geïnformeerd moeten worden over de verwerking van persoonsgegevens. Het toetsingskader wordt daarom gevormd door vooronderstellingen waaraan de verwerking van persoonsgegevens en informatie aan de klant moet voldoen om transparant te kunnen zijn(beleidstheorie). Dit past bij een probleemsignalerend onderzoek, omdat het bij een dergelijk onderzoek gaat om het inzichtelijke maken van het spanningsveld tussen de wenselijke situatie (theorie) en feitelijke situatie (hoe gaat het in de praktijk). Deelvraag 1 Hoe verwerken SVB, UWV en gemeentelijke sociale diensten persoonsgegevens en welke knelpunten doen zich daarbij voor?

8

Zie Richtlijn 95/46/EG, considerans, overweging 25, en artikelen 10, 11 en 12, en de memorie van toelichting bij de WBP, Kamerstukken II 1997-1998, 25 892, p. 18-19 en p. 149 vv. Pagina 9 van 23


Aandachtspunten Het verwerken van persoonsgegevens start met het opvragen door de verantwoordelijke van persoonsgegevens bij de betrokkene. Vastgesteld dient te worden welke gegevens in het kader van de Wet eenmalige gegevensuitvraag werk en inkomen (WEU) niet meer opgevraagd worden, maar uit andere (bron) systemen kunnen worden verkregen. De verantwoordelijke kan in die zin dus ook ontvanger zijn, die gegevens van andere instanties nodig heeft om zijn wettelijke taak te kunnen uitvoeren. De opgevraagde gegevens dienen te worden opgeslagen. Bij het op de hoogte stellen van de burger over de verwerking van zijn persoonsgegevens zou idealiter een duidelijke verklaring moeten worden gegeven waar en hoe zijn gegevens worden verwerkt. Tot slot dient in het uitvoeringsproces bij de ketenpartners te worden nagegaan aan wie gegevens worden verstrekt, enerzijds op basis van een wettelijk voorschrift en anderzijds op verzoek. De burger moet ervan kennis kunnen nemen, met welke instanties zijn gegevens worden gedeeld. Deelvraag 2 Hoe transparant informeren zij burgers over de verwerking van deze gegevens en welke knelpunten doen zich daarbij voor? Aandachtspunten Leidraad voor de beantwoording van deze vraag zijn elementen uit de burgerservicecode, die gericht zijn op de transparante verwerking van persoonsgegevens. De burgerservicecode (BSC) is een overheidsbreed geaccepteerde en toegepaste gedragscode voor de overheid en gaat over de vormgeving van elektronische dienstverlening. De burgerservicecode telt 10 kwaliteitsnormen voor de digitale relatie tussen burger en overheid. Zo weet de burger wat hij mag verwachten, en de overheid wat haar te doen staat. Volgens een van de normen van de BSC moet informatie die burgers ontvangen, begrijpelijk zijn. Hierbij gaat het niet alleen om de inhoud van een brief of beschikking, maar ook om waar informatie te vinden is. Burgers moeten weten welke informatie waar over hen is geregistreerd, zodat ze kunnen bepalen welke informatie nog aanvullend nodig is. Dit geldt overigens ook voor de uitvoering zelf. In een brief moeten overheidsorganisaties kunnen aangegeven welke aanvullende informatie nog nodig is en waarom.

2.6

Conceptueel model Onderstaand conceptueel model geeft de relaties weer rondom het proces van gegevensverwerking en informatievoorziening aan de burger.

Pagina 10 van 23


2.7

Afbakening Gelet op het thema van de programmarapportage najaar 2011 spitst het onderzoek zich bij gemeentelijke sociale diensten toe op de uitvoering van de WWB/WIJ, bij de SVB op de uitvoering van de aanvullende inkomensvoorziening ouderen (AIO) (ook wel bekend als: WWB 65+) en bij UWV op de uitvoering van de WW (gelet op de intake op de werkpleinen voor WW en WWB/WIJ). Het hoofdthema van de najaarsrapportage gaat over de gegevensuitwisseling in de keten van werk en inkomen. Het burgerperspectief wordt benaderd vanuit de uitvoering. Dat betekent dat de inspectie geen informatie heeft opgevraagd c.q. onderzoek heeft gedaan bij burgers/ klanten van de SUWI-partijen. De inspectie kiest in dit onderzoek voor deze benaderingswijze omdat zij vooral inzicht wil bieden in de knelpunten bij de SUWI-partijen. De focus ligt vooral op de knelpunten die zich voordoen rondom het informeren van de klant.

2.8

Onderzoeksmethoden IWI heeft met de keuze voor de onderzoeksmethoden en -technieken aansluiting gezocht bij het perspectief van de uitvoeringsorganisaties. Zo is nagegaan hoe gemeente, SVB en UWV de verwerking van persoonsgegevens in de organisatie hebben geregeld. Hiervoor zijn verschillende documenten geraadpleegd, zoals beleidsnota´s en werkinstructies. Om na te kunnen gaan hoe de transparante verwerking van persoonsgegevens en de informatie aan de burger in de praktijk werkt, zijn telefonische interviews uitgevoerd bij UWV, een Werkplein, een kantoor van SVB en 30 gemeenten. Bij de selectie van gemeenten is gekozen voor gemeenten met een inwonersaantal, groter dan 20.000 inwoners. Er zijn daarbij zes Intergemeentelijke Sociale Diensten (ISD'en) benaderd, die voor meerdere gemeenten de taken van de sociale dienst uitvoeren. Over het algemeen hebben deze ISD’en gemeenschappelijk beleid en uitvoering waar het gaat om de bescherming van persoonsgegevens.

2.9

Selectie en representativiteit IWI heeft 30 gemeenten geselecteerd met een inwonersaantal van meer dan 20.000, waarvan er een aantal samenwerken in ISD’en. Deze zijn eerst schriftelijk en later telefonisch benaderd om mee te werken aan het onderzoek. Alle 30 gemeenten hebben uiteindelijk hun medewerking verleend, evenals UWV en SVB. Vervolgens heeft IWI nagegaan wie binnen de geselecteerde gemeenten, Werkplein, kantoor van SVB en UWV informatie zou kunnen verschaffen over het te onderzoeken onderwerp. Dit was niet altijd de functionaris die daadwerkelijk betrokken was bij het verwerkingsproces van persoonsgegevens en informatievoorziening aan de burger, maar soms ook een afdelingshoofd of teamleider. Het verwerkingsproces, dat overwegend een administratieve aangelegenheid is, wordt door andere medewerkers uitgevoerd, dan degenen die informatie verstrekken aan burgers. Dit zijn vaak de klantmanagers. Voor UWV en SVB geldt hetzelfde.

Pagina 11 van 23


Met dit onderzoek heeft IWI een inhoudelijk representatief beeld willen geven van de werkwijze en knelpunten met betrekking tot de verwerking van persoonsgegevens en de verstrekking van informatie hierover aan burgers c.q. klanten van de uitvoeringsorganisaties. We beoogden in dit onderzoek voornamelijk een variatie van de diverse knelpunten in beeld te brengen. Daar waar mogelijk, wordt vermeld of een probleem of knelpunt al dan niet vaak voor komt.

Pagina 12 van 23


3

Verwerking van persoonsgegevens

IWI heeft gemeenten, UWV en SVB gevraagd naar de wijze waarop persoonsgegeven worden verwerkt. Daarbij is naar drie specifieke aspecten van gegevensverwerking gekeken: de werkwijzen rondom het opvragen van gegevens, het verstrekken van gegevens en het opvragen van gegevens van derden. Deze sluiten in de opvatting van IWI direct aan bij wat burgers moeten weten over de verwerking van hun persoonsgegevens. Informatie over hoe gemeenten, UWV en SVB persoonsgegevens verwerken, draagt bij aan de mate waarin deze verwerking inzichtelijk kan worden gemaakt voor burgers.

3.1

Opvragen gegevens bij de klant Bij het aanvragen van een uitkering levert de klant een ondertekende aanvraag in, waarop deze zijn gegevens heeft ingevuld en waarbij bewijsstukken zijn bijgevoegd. In de aanvraag staat in algemene bewoordingen dat de organisatie informatie van de klant mag verifiëren bij andere partijen. Bij alle organisaties wordt gebruik gemaakt van een standaardset voor het (digitaal) opvragen van gegevens. Bijna alle betrokken gemeenten geven aan een procedure te hebben en te volgen voor de uitvraag van gegevens die nodig zijn om een uitkeringsaanvraag te behandelen. Bij een aantal gemeenten is deze procedure niet schriftelijk vastgelegd, bij UWV en SVB is dit wel het geval. Gegevens die worden opgevraagd, betreffen o.a. NAW, inkomsten/vermogen, leefsituatie/samenwoonvorm, opleidingen en werkervaring. De meeste van de onderzochte gemeenten proberen deze informatie te verkrijgen of te valideren via het Digitaal Klantdossier (DKD)(via Suwinet-Inkijk of andere applicaties). Indien de gegevens hier niet in staan, of onvoldoende betrouwbaar lijken, worden ze aan de klant uitgevraagd. Het gaat daarbij bijvoorbeeld om de leef- en zorgsituatie van de burger, bankafschriften, medische gegevens en echtscheidingsconvenanten. Indien de klant de informatie niet kan leveren, wordt deze bij derden uitgevraagd, bijvoorbeeld de werkgever of een ex-partner. De gegevens uit de Gemeentelijke Bevolkingsadministratie (GBA) komen soms niet overeen met de gegevens die klant levert. Bijvoorbeeld hij staat op andere adres ingeschreven dan het verblijfadres. In dat geval moeten klant gegevens leveren op basis waarvan het daadwerkelijke verblijf kan worden geverifieerd. In de gevallen dat DKD als bron wordt gebruikt, is er sprake van hergebruik van gegevens en van beperking van de uitvraag bij de burger. Dit is conform de WEU. In het merendeel van de onderzochte gemeenten wordt DKD uitsluitend ter validatie gebruikt en worden de gegevens niet hergebruikt. Verder worden bij enkele gemeenten alle relevant geachte gegevens bij de burger opgevraagd zonder te inventariseren welke gegevens reeds beschikbaar zijn.

3.2

Verstrekken gegevens aan derden Alle organisaties geven aan zeer terughoudend te zijn met het verstrekken van gegevens die in het kader van SUWI zijn verzameld, en zijn op de hoogte van het gesloten verstrekkingenregiem binnen de sociale zekerheid. Respondenten geven aan deze gegevens niet buiten dit wettelijk kader aan derden te verstrekken. De inspectie heeft dit niet verder onderzocht. In een enkel geval heeft de inspectie vastgePagina 13 van 23


steld dat een burger toestemming moet geven voor het verstrekken van zijn persoonsgegevens aan een re-integratiebedrijf. In dit geval, vond de gemeente het een principieel punt om toestemming aan de klant te vragen, ondanks dat dit niet nodig is in het kader van het Besluit SUWI. Een enkele gemeente geeft aan informatie te wisselen met andere afdelingen binnen de gemeente, bijvoorbeeld in het kader van het aanbieden van een kortingspas, kwijtschelding belasting, etc. Gemeenten doen dit om klanten behulpzaam te zijn of om fraude op te sporen. De wettelijke basis ontbreekt om deze gegevens te verstrekken. Klanten moeten dit zelf doen, of de sociale dienst in opdracht van de klant.

3.3

Opvragen gegevens van derden Gegevens uit Suwinet-Inkijk/DKD worden in een aantal gevallen overgenomen en gebruikt voor controledoeleinden. In het geval van twijfel aan de juistheid wordt door enkele gemeenten, SVB en UWV aangegeven dat zij contact opnemen met betrokken beheerder van de gegevensbron of de burger hiermee confronteren. In een enkel geval wordt de terugmeldfaciliteit van het DKD of Apollo van SVB hiervoor gebruikt. In uitzonderingsgevallen worden gegevens opgevraagd bij derden, bijvoorbeeld bij een aanvraag voor bijzondere bijstand op grond van een door een ziektekostenverzekeraar afgewezen aanvraag. Voor het overige worden geen gegevens, buiten de burger om, bij derden opgevraagd. Hoewel de klant hiermee formeel akkoord is gegaan door middel van ondertekening van de aanvraag, informeren sommige gemeenten de klant expliciet indien zij informatie bij derden opvragen. Bij vermoeden van fraude en controle gebeurt het opvragen van gegevens niet via de burger, maar altijd door sociaal rechercheurs. Veel gemeenten geven aan dat de klant met het indienen van zijn ondertekende uitkeringsaanvraag akkoord gaat met mogelijke controle door de gemeente. In de meeste gevallen wordt niet expliciet gemaakt wat dit inhoudt.

3.4

Knelpunten Een aantal van de knelpunten die worden aangegeven, zijn: ‘storing in het geautomatiseerde systeem van de gemeente’, ‘niet rechtstreeks meer kunnen bellen met UWV’, ‘Gegevensuitwisseling met het Inlichtingenbureau is niet real-time’, ‘beschikbaarheid van Suwinet is niet optimaal’, ‘Lange doorlooptijden bij wijzigingen in de software van gemeenten, ‘problemen met beschikbaarheid van systemen naar aanleiding van de Diginotar-problematiek’. Het gaat hierbij om een breed scala aan knelpunten die betrekking hebben op de gegevensverwerking als geheel en sterk afhankelijk zijn van de organisatie en de leverancier van de ICT-ondersteuning. Dit soort knelpunten heeft mede tot gevolg dat nog veel aan de klant wordt gevraagd.

3.5

Conclusies -

Gemeenten, hebben geen duidelijke beschreven procedures hoe om te gaan met gegevensverwerking en –verstrekking van informatie aan klanten. Men vertrouwt op de professionaliteit van de klantmanagers en consulenten. UWV en SVB hebben deze procedures wel.

Pagina 14 van 23


-

-

-

Het merendeel van de gemeenten vragen aan klanten gegevens die ook in het DKD beschikbaar zijn. Er is hierdoor beperkt sprake van hergebruik zoals bedoeld in het kader van de WEU. SVB en UWV sluiten in hun procedure wel aan bij de wettelijke vereisten (WEU). De inspectie heeft geen indicaties dat structurele verstrekking van informatie aan derden – buiten de klant om en niet in het kader van handhaving – plaatsvindt. Wel bestaat het risico dat individuele klantmanagers en consulenten in strijd met de wet gegevens aan derden verstrekken en de klant hierover niet informeren. Een aantal gemeenten geeft aan dit onderzoek te zien als een goede aanleiding het onderwerp weer op de agenda te zetten. Een beperkt aantal geeft aan het onderwerp transparantie belangrijk te vinden maar er geen prioriteit aan te geven. Er komen meer zaken op de gemeente af, die belangrijker worden gevonden.

Pagina 15 van 23


Pagina 16 van 23


4

Informeren van de burger

In aansluiting op de vragen over de verwerking van persoonsgegevens, heeft IWI onderzocht in hoeverre gemeenten, UWV en SVB hun klanten informeren over hoe gegevens worden verwerkt. Het gaat daarbij naast kennisgeving over het bestaan en de inhoud van de gegevens ook over het inzage- en correctierecht, en de wijze waarop gegevens worden gerectificeerd. Tevens is onderzocht hoe klanten worden geïnformeerd over de mogelijkheden om op een digitale manier gegevens kunnen raadplegen.

4.1

Wijze van informeren De meeste gemeenten informeren de klant over de wijze waarop hun persoonsgegevens worden verwerkt. Enkele gemeenten informeren de klant in het geheel niet. De meeste gemeenten die de klant informeren, doen dat mondeling. Een aantal gemeenten gebruikt informatiemappen of een bijlage bij het aanvraagformulier waarin de klant wordt geïnformeerd. Deze informatie gaat over het algemeen niet verder dan de vermelding dat gemeenten zich houden aan de Wbp. Bij UWV en SVB is informatie beschikbaar over de wijze waarop wordt omgegaan met persoonsgegevens. Dit gaat over het algemeen niet verder dan een verwijzing naar de Wbp en hoe gebruik gemaakt kan worden van inzage- en correctierecht. Er bestaat geen actieve voorlichting over inzage- en correctierecht, en verwerken van persoonsgegevens. Klanten moeten zelf hun weg vinden naar en binnen de websites van UWV en SVB om geïnformeerd te worden over de verwerking van hun persoonsgegevens. Sommige gemeenten hebben informatiemappen waarin ze uitleggen welke persoonsgegevens worden gebruikt voor het vaststellen van het recht op een uitkering. Hierin staat meer expliciet beschreven welke gegevens van de klant gecontroleerd kunnen worden en tegen welke bronnen dit gebeurd.

4.2

Actieve informatie over inzage- en correctierecht Klanten worden niet actief geïnformeerd over inzage- en correctierecht. Gevolg daarvan is, dat gemeenten, UWV en SVB weinig verzoeken tot inzage- en correctierecht krijgen per jaar. Bijna alle gemeenten geven aan dat klanten meer geïnteresseerd zijn in het recht op uitkering dan in het recht op inzage en correctie. Dit zelfde geven UWV en SVB aan. Indien klanten inzage willen, dan moeten ze daarom vragen. Willen zij correcties aanbrengen, dan leggen de meeste organisaties de verantwoordelijkheid bij de klant. Sommige gemeenten zijn klanten hierbij wel behulpzaam. Een aantal gemeenten en SVB en UWV wijzen de klant door middel van informatiemappen, brieven of verwijzingen naar hun website op de mogelijkheden van inzage en correctie. Bij alle organisaties is wel sprake van een passieve wijze van informeren van klanten over inzage- en correctierecht. Uit het onderzoek blijkt dat voor het merendeel van de gemeenten het zowel voor de klantmanager als voor de uitkeringsgerechtigde onduidelijk is hoe inzage in gegevens en correctie door de klant dient te gebeuren. Zo geeft een aantal gemeenten aan dat er in de praktijk geen standaardprocedure is voor het bieden van inzage. Wel geeft een aantal gemeenten informatie aan klanten over de mogelijkheden tot Pagina 17 van 23


inzage in het dossier. Op deze wijze kan de klant te weten komen welke persoonsgegevens over hem bekend zijn. UWV en SVB hebben hiervoor een uitgewerkte procedure en beschikken over brochures waarin nadere informatie is opgenomen. Maar zoals eerder is vermeld is deze informatie beperkt en geeft voor de klant geen helder beeld over zijn gegevens worden verwerkt en hoe hij deze gegevens gemakkelijk kan inzien. Voor klantmanagers bij gemeenten is soms niet duidelijk waarover ze de klant nu wel en niet ‘mogen’ informeren waar het gaat om zijn persoonsgegevens.

4.3

Knelpunten Gemeenten, UWV en SVB noemen als voornaamste knelpunt (vermeende?) desinteresse bij de klant wat betreft de informatie over de verwerking van persoonsgegevens aan de klant. Sommige gemeenten geven ook aan dat de klant al veel informatie krijgt, het blijft daarom bij beperkte informatie in de zin dat de uitvoeringsorganisaties verwijzen naar de Wbp en College Bescherming Persoonsgegevens (CBP)

4.4

Conclusies -

-

Organisaties bieden klanten de mogelijkheid hun gegevens in te zien en eventueel te corrigeren maar informeren klanten maar zeer beperkt over deze mogelijkheid. Een beperkt aantal organisaties informeert klanten actief over de gegevens die voor de berekening van een uitkering zijn gebruikt. De bron van deze gegevens wordt niet vermeld, iets dat met de invoering van het stelsel van basisregistraties steeds belangrijker zal worden. Nu is het voor klanten veelal onduidelijk door wie en op welke wijze foutieve gegevens moeten worden gecorrigeerd. Klanten bij gemeenten en UWV worden niet actief geïnformeerd over de gegevens die bij de berekening van de uitkering zijn gebruikt. SVB en UWV stellen de klant via de website, brochures en aanvraagformulieren in staat gebruik te maken van hun informatie- en correctierecht. De meeste gemeenten, UWV en SVB geven aan dat klanten niet zijn geïnteresseerd in de wijze waarop hun gegevens worden verwerkt. Ook wordt in de praktijk nauwelijks gebruik gemaakt van het inzage- en correctierecht. Dit leidt ertoe dat gemeenten, UWV en SVB, hoewel ze het belang van transparantie onderschrijven, er in de praktijk geen prioriteit aan geven.

Pagina 18 van 23


Bijlagen

1. Begrippen Uit de doel- en vraagstelling komt naar voren dat de verwerking van persoonsgegeven vanuit drie perspectieven kan worden benaderd: burger, verantwoordelijke/ontvanger en databases/systemen. Bovenstaand conceptueel model illustreert de samenhang tussen de drie perspectieven. De ontvanger in het model is samen met de verantwoordelijke één van de organisatie(s) die gegevens verwerken en delen. Persoonsgegevens: burger Het eerste perspectief betreft de burger in casu de klant die dienstverlening vraagt aan SVB, UWV en gemeenten. Voor het verkrijgen van dienstverlening moet de burger als klant allerlei gegevens aanleveren. Dit zijn overwegend persoonsgegevens. In artikel 1 sub a Wbp wordt een persoonsgegeven gedefinieerd als ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Om te bepalen of een gegeven betrekking heeft op een persoon, moeten de volgende drie elementen aanwezig zijn: een inhoudelijk element, een doelelement en een resultaatelement. Een inhoudelijk element betekent dat het om informatie gaat over een persoon, ongeacht het doeleinde van de verantwoordelijke of het resultaat voor die persoon, zoals een verleende vergunning betrekking heeft op de aanvrager of zoals de gegevens in een cliëntenbestand van een instantie betrekking hebben op de cliënt. Ook de aanwezigheid van een doelelement kan ertoe leiden dat gegevens als persoonsgegevens worden beschouwd. Daar is sprake van als de gegevens (waarschijnlijk) gebruikt worden met het doel om iemand op een bepaalde manier te behandelen of diens status of gedrag te beoordelen of te beïnvloeden. Dat kan bijvoorbeeld het geval zijn als een uitkeringsinstantie informatie verzamelt over het wateren energiegebruik in huishoudens met het oog op het verkrijgen van aanwijzingen van fraude. Verwerken van persoonsgegevens: verantwoordelijke en ontvanger Persoonsgegevens worden geleverd aan een instantie, die deze gegevens verwerkt. In de Wbp wordt deze instantie aangemerkt als de ´verantwoordelijke´ voor de verwerking van persoonsgegevens. Volgens de wet is de verantwoordelijke de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In de WBP komt ook het begrip ’ontvanger’ voor. Met dit begrip wordt een derde (SUWI of niet-SUWI-partij) aan wie de gegevens worden verstrekt bedoeld. Het begrip speelt een rol in de informatieplicht van de verantwoordelijke ten opzichte van de betrokkene. De informatieverstrekking aan de betrokkene moet voldoen aan het transparantiebeginsel. Een belangrijk onderdeel van het transparantiebeginsel is dat een ieder in beginsel in de gelegenheid moet zijn om na te kunnen gaan of zijn gegevens worden verwerkt. De betrokkene die de wijze waarop zijn gegevens worden verwerkt onrechtmatig vindt, moet in staat zijn dit zelf in rechte aan te vechten. Ook moet de betrokkene na kunnen gaan aan wie zijn informatie is verstrekt en met welk doel. De inspectie heeft niet onderzocht hoe dit recht wordt geëffectueerd. Dit valt buiten de scope van dit onderzoek omdat de focus ligt bij verkrijgen van inzicht in het proces van gegevensverwerking door de verantwoordelijke en hoe de verantwoordelijke daar de betrokkene (burger) over informeert. Het proces van gegevensverwerking moet tevens voldoen aan de vereisten van doelbinding, proportionaliteit en rechtmatigheid. De beoordeling of de gegevens voldoen aan deze vereisten valt eveneens buiten de reikwijdte van dit onderzoek. Pagina 19 van 23


Opslag/toegang tot informatie: databases en systemen In het derde perspectief wordt de opslag van persoonsgegevens en toegang tot databases en systemen beschreven. Vanuit het perspectief van de organisaties die gegevens verwerken en delen, vormen databases en systemen de instrumenten om gegevens in op te slaan. Binnen het SUWI-domein bestaat een groot aantal databases en systemen waarin gegevens worden opgeslagen en kunnen worden ingezien. Bijvoorbeeld het Digitaal Klant Dossier, Sonar, SUWInet Inkijk en Mens Centraal. De gegevens in deze systemen zijn, afhankelijk van de autorisaties, geheel of gedeeltelijk in te zien door klanten en medewerkers van uitvoeringsorganisaties. Het onderzoek richt op de vraag hoe de ketenpartners de toegang tot deze databases en systemen voor hun klanten organiseren. Hierbij zijn twee aspecten van belang, de mate waarin systemen en dus de gegevens toegankelijk zijn en kunnen worden gebruikt door klanten.

2. Methoden en technieken Onderzoekspopulatie De onderzoekseenheden waarover uitspraken worden gedaan zijn: Werkpleinen UWV (WW), regiokantoren SVB (AIO) en geselecteerde gemeenten (WWB/WIJ). Door te kiezen voor een steekproef van gemeenten (op basis van gemeentegrootte en samenwerking in ISD-verband) kan de situatie diepgaand en vanuit meerdere invalshoeken bij gemeenten worden onderzocht. Een beperkte steekproef is voldoende om een beeld te krijgen van de verwerking van persoonsgegevens en de knelpunten die zich daarbij voordoen. Dit beeld is niet representatief in statistische zin, maar geeft wel de variatie weer in voorkomende situaties bij gemeenten. Bij één middelgrote gemeente wordt een pilot uitgevoerd om naast de verzameling van data ook de onderzoeksinstrumenten van onderzoek te testen. In eerste instantie worden zes gemeenten geselecteerd, met als doel een variëteit aan diverse aspecten van transparantie te kunnen meten. Indien gedurende het onderzoek blijkt dat belangrijke aspecten ontbreken, waarvan wij verwachten die te zullen aantreffen, kan dit aantal worden uitgebreid. Het gaat hierbij met name om het vaststellen of en hoe procedures ten aanzien van de informatie aan de klanten werken in de praktijk. Daarnaast moet kunnen worden vastgesteld of de uitvoering weet hoe de klant toegang krijgt tot zijn gegevens en welke aandachtspunten zij daarbij hebben. Bij UWV heeft IWI contact opgenomen met de directie SBK. In overleg met SBK zijn werkinstructies en dergelijke opgevraagd (voor zowel inzicht in de opzet als de werking). Om inzicht te krijgen in de werking heeft IWI contact gehad met medewerkers van de auditdienst. Dit is toereikend, uitgaande van het landelijke ingericht proces (inclusief informatievoorziening aan de klant). Bij SVB is het contact ook verlopen via het relatiebeheer van SVB. In overleg met het relatiebeheer is via het opvragen van relevante documenten inzicht verkregen in de opzet van de verwerking van persoonsgegevens inclusief de informatievoorziening aan de klant. Voor de werking heeft in overleg met relatiebeheer SVB een interview plaatsgevonden. Ook voor de SVB geldt een landelijke ingericht proces (inclusief informatievoorziening aan de klant). Onderstaande beschrijving gaat in op de wijze van beantwoording van de deelvragen, de te onderscheiden variabelen en de te verwachten uitkomsten van de analy-

Pagina 20 van 23


se. Op basis van de onderzoeksbevindingen per deelvraag kan de hoofdvraag worden beantwoord. Deelvragen 1. Hoe verwerken SVB, UWV en gemeentelijke sociale diensten persoonsgegevens en welke knelpunten doen zich daarbij voor? 2. Hoe transparant informeren zij burgers over de verwerking van deze gegevens en welke knelpunten doen zich daarbij voor? Wijze van beantwoorden Om inzicht te verwerven in hoe de burger wordt geïnformeerd over de verwerking van persoonsgegevens door UWV, SVB en geselecteerde gemeenten, is het nodig diep in te gaan op de materie door middel van deskresearch (opvragen werkprocessen, werkinstructies, folders) en interviews met materiedeskundigen. De materiedeskundigen moeten goed op de hoogte zijn van het verwerkingsproces van persoonsgegevens en van de informatievoorziening aan de klant. Daarnaast moeten zij ervan op de hoogte zijn, tegen welke knelpunten klanten aanlopen wanneer zij toegang willen krijgen tot hun gegevens. Om de knelpunten vanuit het burgerperspectief te belichten, wordt hierover niet alleen informatie verzameld bij de bovengenoemde uitvoeringsorganisaties, maar ook geput uit reeds uitgevoerd (wetenschappelijk) onderzoek. Te -

onderscheiden variabelen (zie het conceptuele kader) Verwerkingsproces persoonsgegevens Opslag gegevens in databases Gegevensaanlevering door derden Delen van gegevens met derden Informatievoorziening aan de burger

Verwachte uitkomsten analyse De analyse geeft inzicht in het verwerkingsproces (in opzet en in werking) van persoonsgegevens, de aanlevering van persoonsgegevens door derden en de opslag van persoonsgegevens in databases. Het moet voor de burger onder meer duidelijk zijn, waar zijn gegevens vandaan komen, op welke wijze deze gegevens worden gebruikt, met wie deze gegevens worden gedeeld en op grond waarvan dit alles plaatsvindt. Ook geeft de analyse een beeld van de knelpunten bij UWV, SVB en gemeenten op bovengenoemde terreinen. Resultaat van het onderzoek is een overzicht van de voor burgers beschikbare gegevens en van de beschikbare kanalen (internet, balie, telefoon, post) waarlangs de burger toegang kan krijgen tot zijn persoonsgegevens.

Pagina 21 van 23


3. Gebruikte vragenlijst “Geachte heer/mevrouw, Zoals aangegeven in de aankondigingsbrief die u recentelijk heeft ontvangen, onderzoekt de Inspectie Werk en Inkomen (IWI) de transparantie bij de verwerking van persoonsgegevens door uitvoeringsorganisaties en gemeenten. Hierbij staan de volgende centrale- en hoofdvragen centraal : In hoeverre informeren SVB, UWV en de gemeentelijke sociale diensten de burger transparant over de verwerking van zijn persoonsgegevens en welke knelpunten doen zich daarbij voor? Hoofdvragen: • Hoe verwerken SVB, UWV en gemeentelijke sociale diensten persoonsgegevens en welke knelpunten doen zich daarbij voor? • Hoe transparant informeren zij burgers over de verwerking van deze gegevens en welke knelpunten doen zich daarbij voor? In aanvulling op deze hoofdvragen heeft IWI een aantal (deel)vragen geformuleerd die we graag (telefonisch) met u willen bespreken. Wij maken hiervoor op korte termijn een afspraak. Wilt u zo vriendelijk zijn de vragen vooraf door te nemen? In dit gesprek zullen wij u tevens vragen om onderliggende documenten en maken we nadere afspraken over het opsturen hiervan naar IWI. Definitie transparantie Het begrip transparantie wordt uitgelegd als het principe dat de burger door de verantwoordelijke op de hoogte gesteld hoort te zijn van het feit dat gegevens over hem worden verwerkt en voor welk doel. Alleen als de burger op de hoogte is dat gegevens over hem worden verwerkt, is deze in staat om desgewenst van zijn rechten gebruik te maken. Deelvragen IWI onderzoek transparantie Geïnterviewde: Omschrijving functie en takenpakket. 1. Welke - categorieën van - persoonsgegevens (zoals NAW, inkomen, arbeidsverleden, vermogen, leefsituatie, overig) worden gebruikt bij het nemen van een besluit over een aanvraag voor een WWB/WW/AIO uitkering? 2. Worden, naast de gegevens die voor het besluit op de aanvraag noodzakelijk zijn, andere gegevens – bijvoorbeeld van derden of afkomstig van de klant zelf – opgevraagd en geregistreerd? 3. Welke van bovenstaande gegevens zijn afkomstig van a) de klant, b) uw organisatie of c) van andere organisaties dan de uwe (derden)? Het gaat hierbij om een opsomming van gegevens van de klant, organisatie (gegevens die al over de klant bekend zijn en/of al bij een eerdere aanvraag of contact anderszins zijn verkregen van andere organisaties (hergebruik). 4. Wordt de klant geïnformeerd over de beschikbaarheid en het gebruik van al deze gegevens (antwoord voor a, b en c), zo ja op welke wijze? Voorbeelden zijn een bijlage bij de beschikking, een verwijzing naar mijnoverheid.nl of een persoonlijk gesprek. 5. Indien u de klant informeert krijgt deze hiermee inzicht in alle gegevens die in het kader van de uitkeringsverstrekking door u worden geregistreerd? Stelt u de klant in de gelegenheid hiervoor een (inzage en) correctieverzoek in te dienen? 6. Indien u de klant niet informeert over de verwerking van zijn gegevens, welke overwegingen spelen hierbij een rol? Pagina 22 van 23


7.

Wat doet uw organisatie met gegevens die zij van derden ontvangt? a) Neemt zij deze steeds één op één over, of worden zij in voorkomende gevallen door uw organisatie aangepast aan de eigen gegevens? b) In welke gevallen en op welke gronden gebeurt dit laatste? c) Als gegevens van derden niet overeenstemmen met de gegevens van uw eigen organisatie, worden de derden en/of de klant dan van dat verschil op de hoogte gesteld? d) Als de klant de gegevens van de derde onjuist acht, is uw gemeente de klant dan behulpzaam bij het doen van een verzoek om correctie? 8. Wordt de klant gewezen op de mogelijkheid om via mijnoverheid.nl of een inkijkmogelijkheid in uw eigen systeem of op andere wijzen gegevens in te zien en hierbij indien nodig geholpen? 9. Verstrekt u gegevens van klanten aan andere organisaties en/of aan andere afdelingen binnen uw organisatie (derden)? Het gaat hierbij zowel om schriftelijke, digitale en mondelinge/ telefonische verstrekkingen. a) Informeert u de klant hierover? b) Moet deze hiervoor toestemming geven? c) Registreert u alle verstrekkingen aan derden? d) Hoe registreert u deze verstrekkingen? 10. Ervaart u knelpunten bij de verwerking van persoonsgegevens en het informeren van de klant hierover? Zo ja welke zijn dat? Voorbeelden zijn beperkingen in geautomatiseerde systemen, knelpunten bij inzage en correctie, onduidelijkheid waar persoonsgegevens worden opgeslagen, juridische belemmeringen, geen interesse bij klanten, belemmeringen in de communicatie met bronhouders etc. 11. Heeft uw organisatie documenten waarin het verwerkingsproces van persoonsgegevens op hoofdlijnen wordt beschreven? Deze documenten zullen door IWI bij het onderzoek worden betrokken. 12. Heeft u organisatie een procedure om klanten te informeren over de verwerking van persoonsgegevens? Graag ontvangen wij het document waarin de procedure is beschreven.”

Pagina 23 van 23

Transparante verwerking van persoonsgegevens. Nota van bevindingen

Recommend Documents