Artikel

AVG en gegevensuitwisseling

16 december 2020

Het uitwisselen van gegevens met ketenpartners is alleen mogelijk als aan bepaalde voorwaarden voldaan wordt

Een organisatie mag niet zomaar persoonsgegevens doorgeven aan personen of andere organisaties. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit het geval is, hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen.

Verwerk je persoonsgegevens voor een ander doel dan waarvoor de persoonsgegevens zijn verzameld, en:
•    heb je hiervoor geen toestemming van de betrokkene? (Let op! De voorwaarden waaraan toestemming moet voldoen, is bijna nooit van toepassing voor leerplicht/RMC, lees daarom eerst ons advies over toestemming).
•    is de verwerking ook niet gebaseerd op een wettelijke bepaling?

Dan mag je de persoonsgegevens tóch verwerken wanneer het andere doel waarvoor je de persoonsgegevens verwerkt verenigbaar is met het oorspronkelijke verwerkingsdoel.
Bij de vraag of een verwerkingsdoel verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:
•    Ieder verband met het doel van verzamelen;
•    Het kader waarin de persoonsgegevens zijn verzameld (verhouding betrokkenen en verwerkingsverantwoordelijke);
•    De aard van de gegevens (bijzondere persoonsgegevens en/of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten);
•    De (mogelijke) gevolgen van een verstrekking;
•    Het bestaan van passende waarborgen (o.a. versleuteling of pseudonimisering);
•    De verwachtingen van de betrokkene (degene van wie een organisatie persoonsgegevens gebruikt).

Gronden voor verstrekking
Naast de algemene regel van verenigbaarheid geldt dat het verstrekken van gegevens gebaseerd moet zijn op een van de 6 grondslagen uit artikel 6 van de Algemene verordening gegevensbescherming (AVG). In plaats van 'grondslagen' wordt ook wel de term 'gronden' gebruikt.

80 tot 90 procent van je werk als medewerker Leerplicht of RMC kun je op basis van de grond 'wettelijke verplichting' uitvoeren.
Ontbreekt die grond en is de gemeente waarvoor je werkt toch van mening dat bepaalde persoonsgegevens gedeeld (verwerkt) moeten worden met derden (in- en/of extern)? Dan zal de gemeente dit in beleid moeten vastleggen en beschrijven. Daar moet dan bijvoorbeeld in staan met welk doel de persoonsgegevens verwerkt worden.

Potentiële grondslagen voor verwerking van persoonsgegevens bij beleid zijn:
•    Publiekrechtelijke taak van de gemeente of het bestuursorgaan aan wie de persoonsgegevens worden verstrekt;
•    Wettelijke verplichting; bijvoorbeeld artikel 2.5.1. Wmo 2015; artikel 9, eerste lid, Wet gemeentelijke schuldhulpverlening en artikel 78 van de Participatiewet;
•    Voor de verwerking van bijzondere persoonsgegevens is een specifieke wettelijke regeling nodig, bijvoorbeeld artikel 7.4.4. van de Jeugdwet.

Veelgestelde vragen over gegevensdeling

Mag je informatie uitwisselen met de eerstelijns hulpverlening vanuit het ‘algemeen belang’?

Als je je als gemeente wilt beroepen op ‘algemeen belang’ dan moet daar beleid aan ten grondslag liggen dat door het College van B & W is vastgesteld. Beleid (en de uitvoering) moeten dan gekoppeld worden aan een publiekrechtelijke taak.

Bovendien moet je in principe toestemming voor het delen van persoonsgegevens vragen aan een jongere vanaf 16 jaar en/of diens ouders/verzorgers of voogd. De voorwaarden waaraan toestemming moet voldoen, is bijna nooit van toepassing voor leerplicht/RMC, lees daarom eerst ons advies over toestemming.

Vind je dat de veiligheid van de jongere in het geding is (verwaarlozing, mishandeling etc.)? Dan mag je deze verkregen informatie delen met een eerstelijns organisatie. Hiervoor heb je dan geen toestemming nodig. Achteraf moet je de betrokkene(n) wel op de hoogte stellen dat je deze informatie hebt verstrekt aan de eerstelijns organisatie.
 
Wat doe je met verslagen van overleggen waarin risicojongeren worden besproken die soms wel, maar soms ook niet in beeld zijn bij leerplicht?

Omdat dit niet hoort bij je wettelijke taak moet je het verslag vernietigen.

Ben je overtuigd van het algemeen belang? Beschrijf dan het beleid, laat het vaststellen en ondertekenen door het bestuur en publiceer je beleid. Daarna kun je de persoonsgegeven in dit kader verwerken.

Let op: blijf wel bewust van welke (persoons)gegevens je verwerkt en dat deze aan de grondslagen voldoen!
 
Kan je de wettelijke taak van leerplicht en RMC ruimer interpreteren en het voorkomen van voortijdig schoolverlaten ook zien als wettelijke taak?

In de wetgeving rond RMC wordt alleen gesproken over een aanpak bij volledige uitval of bij verzuim 18 plus. De notitie AVG in een notendop van Ingrado is geschreven op basis van de wettelijke mogelijkheden.

Je kunt mogelijkheden tot het verwerken van persoonsgegevens wel verruimen door het algemeen belang als uitgangspunt te kiezen, maar dat betekent dat je binnen de gemeente beleid moet formuleren, waarbij je duidelijk aandacht besteedt aan de wijze waarop er met persoonsgegevens wordt omgegaan.

Doe dat samen met de FG. Op deze manier kan je ook het voorkomen, dus de preventieve werkzaamheden als beleid opnemen en borgen dat dit privacy-proof is.
 
Klopt het dat er met de AVG niet veel is veranderd en dat je je werk kunt blijven doen zoals je gewend was, maar dat je alleen goed moet kunnen beargumenteren waarom je hebt gehandeld zoals je hebt gehandeld?

De komst van de AVG is een frisse wind door de privacywetgeving en we kunnen ons werk inderdaad op basis van de wettelijke grondslag voor 80 tot 90 procent blijven uitvoeren.

Echter achteraf beargumenteren waarom je op een bepaalde manier hebt gehandeld is niet AVG-proof. De AVG legt de verantwoordelijkheid bij de organisaties om aan te tonen dat aan de privacyregels wordt voldaan. Je moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet. Denk aan rechtmatigheid, transparantie, doelbinding en juistheid. 

Het opstellen van een verwerkingsregister is een verplichte maatregel. Hierin staat de informatie over de persoonsgegevens die verwerkt worden. Ook moet de organisatie kunnen laten zien dat de juiste technische en organisatorische maatregelen zijn getroffen om de persoonsgegevens te beveiligen. 

Het moet dus voor de jongere/ouders duidelijk zijn welke gegevens je verwerkt, met welk doel, hoe lang je ze bewaart etc.  

Belangrijk is dat je je realiseert dat je zonder je wettelijke grondslag geen (bijzondere) persoonsgegevens mag verwerken of uitwisselen. 

Hoe je te werk gaat als er wél een wettelijke grondslag is (bijvoorbeeld bij wettelijk verzuim) staat beschreven in onze notitie AVG in een notendop.
 
Hoe ga je dan om met gegevensverwerking als er geen wettelijke grondslag is, maar het wel een taak betreft waarvan de gemeente de verantwoordelijkheid niet kan overdragen?

Het is voor de beoordeling van de rechtmatigheid van het verwerken van gegevens belangrijk om welke taken het gaat. In het sociaal domein is er onderscheid tussen taken van algemeen belang en taken op het gebied van de feitelijke dienstverlening of hulpverlening. 

Taken van algemeen belang:
Het gaat hier om taken waarvan de gemeente de verantwoordelijkheid niet kan overdragen. Je kunt hierbij denken aan de verantwoordelijkheid om zorg te dragen voor de beschikbaarheid van voorzieningen zoals: 
- toegang verlenen tot de dienstverlening (beslissing op aanvraag maatwerkvoorziening (WMO)) en de vaststelling van de rechten en plichten van jeugdigen of hun ouders (Jeugdwet);
- beleid opstellen;
- zorgaanbieders contracteren;
- dienstverlening financieren (rekening van zorgaanbieders betalen en declaraties controleren).

Op het moment dat blijkt dat je als leerplicht of RMC geen grond hebt om persoonsgegevens te verwerken vanuit je wettelijke verplichting, maar er is bijvoorbeeld beleid vastgesteld of er zijn afspraken gemaakt of convenanten c.q. samenwerkingsovereenkomsten afgesloten, ga dan na of deze onder de volgende grondslag vallen:
 
- de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.

Je beroepen op deze grondslag, om gegevens te verwerken, kan alleen als je een publieke taak uitoefent (zie hierboven). Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor de gemeente. 

Jij, of beter, de gemeente waarvoor je werkt, moet motiveren waarom de verwerking van de persoonsgegevens noodzakelijk is om de publieke taak goed te kunnen vervullen.

Daarnaast moet het voor diegene waarvan u de persoonsgegevens verwerkt duidelijk zijn waarvoor u deze verwerkt.

Onderbouw in beleid dus goed wanneer je je baseert op deze grondslag! Bij elke grondslag geldt dat de gegevensverwerking noodzakelijk moet zijn voor het doel van de verwerking. Hoe voldoe je aan de eis? Via het: 
- proportionaliteitsbeginsel: doel en middel moeten met elkaar in verhouding staan;
- subsidiariteitsbeginsel: kies altijd voor het minst ingrijpende middel.

Houd ook rekening met de volgende eisen:

- je mag de verzamelde persoonsgegevens niet voor een ander (niet-verenigbaar) doel gebruiken;
- je moet zorgen voor goede beveiliging van de persoonsgegevens;
- je moet de jongere/ouders informeren over wat je met de gegevens doet;
- je moet de jongere/ouders de mogelijkheid bieden hun privacy rechten uit te voeren.

In het geval dat je een beroep doet op het uitvoeren van je taken op basis van de grondslag algemeen belang, leg dit dan in beleid vast en laat het vaststellen door het college. Bij twijfel informeer je bij de privacy adviseur of FG.

Hoe je te werk gaat als er wél een wettelijke grondslag is (bijvoorbeeld bij wettelijk verzuim) staat beschreven in onze notitie AVG in een notendop.

 

Downloads

Deel dit artikel:

Vragen of opmerkingen? Neem dan contact met ons op.