Arrangement voor de gemeenten

Binnen de gemeenten worden veel persoonsgegevens verwerkt. Meestal is deze verwerking gebaseerd op aan de Colleges van Burgemeester en Wethouders opgedragen taakstellende wetgeving. Tegelijk krijgen gemeenten door de verschuiving van taken vanuit de overheid – de decentralisaties – steeds meer nieuwe taken met daarbij behorende verantwoordelijkheden en aansprakelijkheden.

De WMO, Jeugdwet en Participatiewet hebben voor gemeenten en zorgaanbieders maar ook voor de zorgcliënten, de eigen inwoners, veel voeten in aarde. Daarnaast hebben gemeenten belangrijke uitdagingen in het kader van veiligheid, toezicht, handhaving (VTH) en ondermijning, waarbij zij samenwerken met vele externe partijen en waarbij het gebruik van persoonsgegevens soms aan bijzondere regels moeten voldoen.

Wat en waarom?

Gemeenten verzamelen en verwerken veel persoonsgegevens. Ze hebben deze gegevens nodig om hun taken te kunnen uitvoeren. Deze taakgebieden (domeinen) verschillen vaak met elkaar en onderlinge uitwisseling van de gegevens tussen domeinen is daarom vaak niet toegestaan en zelfs binnen domeinen bestaan er soms strikte regels. 

Gemeenten verwerken daarom van inwoners vaak veel gegevens en over verschillende domeinen verspreid en deze worden dan verwerkt in vaak niet met elkaar corresponderende administratieve systemen. Tegelijkertijd bestaat er archiefwetgeving welke vereist dat van alle besluiten de informatie, inclusief persoonsgegevens, verplicht in een zaaksysteem worden opgeslagen. Toegang tot het zaaksysteem kan echter botsen met de taakstellende wetgeving en/of Avg. Iedere inwoner moet erop kunnen vertrouwen dat gemeenten zorgvuldig met hun persoonsgegevens omgaan.

De impact van wet- en regelgeving op het vlak van gegevensbescherming en privacy op de gemeentelijke organisatie kan omvangrijk zijn. Reeds georganiseerde processen moeten opnieuw worden bekeken en indien noodzakelijk herzien. Speciale aandacht is vereist voor contractering in de keten van leveranciers. Denk bijvoorbeeld aan de informatiesystemen die primaire processen ondersteunen, dienstverlening rond de jeugdzorg en of de betrokkenheid van een gemeente in een samenwerkingsverband. Daarbij is contractering mogelijk in de vorm van verwerking namens de gemeente, maar binnen jeugdzorg en WMO gaat het om inkoop van diensten (zorg) waarbij geen sprake is van verwerking. Zorgaanbieders hebben zelfstandige verantwoordelijkheid (Wet geneeskundige behandelingsovereenkomst) en mogen behandelingsgegevens dan ook niet terugkoppelen naar de gemeente. Hierbij is dan sprake van doorgifte van zorgcliëntgegevens.

 

Vaak hebben gemeenten taken uitbesteed aan gemeenschappelijke regelingen (GR’en; op basis van juridische titel) en samenwerkingsverbanden (zonder juridische titel). Meestal is er dan sprake van uitbesteding van verwerking. Maar soms is een GR zelfstandig verwerkingsverantwoordelijke en voeren zij een resultaatsverplichting uit (Bijvoorbeeld in de uitvoering van de participatiewet of gemeentelijke belastingwetten). GR’en en samenwerkingen, hoe handig ook in het verleden opgezet, moeten door de komst van de Avg in een ander daglicht worden geplaatst. Plotseling blijkt het gemeentebestuur toch verantwoordelijk en aansprakelijk voor uitvoering door de GR’en en samenwerkingen waarbij de oorspronkelijke gedachte was dat deze buiten de deur waren geplaatst.

Waarvoor mogen gemeenten de gegevens van mensen gebruiken? Hoe is de bescherming van persoonsgegevens geregeld nu gemeenten nieuwe taken hebben en daardoor meer gegevens van meer mensen verwerken? Wanneer mag het BSN niet worden gebruikt en wanneer moet het worden gebruikt (identificatie). Hoe regel ik contractueel de aansprakelijkheden en kostenrisico’s met samenwerkingspartners (bijv. zorg) en IT-leveranciers?

Het plan van aanpak van de Autoriteit Persoonsgegevens bestaat uit een 10 stappenplan. Het gaat om de volgende activiteiten: ‘opstellen privacybeleid, opstellen procedures recht op inzage, aanpassen en beheren van de privacyovereenkomst(en), inzichtelijk maken van de gegevensverwerkingen en het verplicht aanstellen van een functionaris voor gegevensbescherming (intern of extern)’. Het opzetten van het verwerkingenregister en een incidenten/datalek registratie, uitvoeren van de DPIA’s, data protection by design en by default en het evalueren van het vragen om toestemming bij gegevensverwerking aan betrokkenen.

Uitdagingen voor gemeenten

Bekijk hier de korte video over ‘wat gegevensbescherming en privacyveiligheid’ betekenen. Deze ontwikkelingen bieden kansen voor het verbeteren van de dienstverlening en bedrijfsvoering.

Maar het verhoogt ook de risico’s op misbruik door hacken (digitaal inbreken, aftappen (gegevensdiefstal) maar ook de menselijke factoren van bewustzijn. Met name dit laatste wordt sinds 25 mei jl. door het van kracht worden van de Avg door wetgeving gestuurd. De Avg schrijft niet alleen voor wat de verantwoordelijkheden voor organisaties zijn als het gaat om gebruik van gegevens, maar ook hoe privacy rechten gewaarborgd worden.

Doel

Het is een kwestie van de juiste balans vinden tussen de inspanningen die gedaan moeten worden en de middelen die beschikbaar zijn voor de uitvoering. De belangrijkste gevolgen voor de gemeenten, GR’en en samenwerkingsverbanden zijn:

  1. Ketenaansprakelijkheid door gebruik GR’en en samenwerkingsverbanden, leveranciers, etc;
  2. Hoeveel verantwoordelijkheid en aansprakelijkheid kan de organisatie dragen, daarbij gaat het niet om doorbelasten aan de burger door middel verhoging belastingen?
  3. De functionaris voor gegevensbescherming is verplicht en moet een schaap met vijf poten zijn;
  4. Opleiden van de werkvloer binnen de organisatie;
  5. Aandacht voor privacyovereenkomsten door de ketenaansprakelijkheid en centraal stellen van de betrokkenen is meer dan een afspraak;
  6. Organiseren van compliance.

Vraag vrijblijvend een offerte aan of kom in contact

Offerte

Arrangement

Platform

Platform waarin alle (privacy) overeenkomsten, register van verwerkingsactiviteiten van persoonsgegevens, samenwerkingsovereenkomsten e.d. zijn opgenomen en waarmee een verantwoording aan de maatschappij (de betrokkenen) en stakeholders) jaarlijks wordt afgegeven.

Managementsysteem

Een systeem om het verwerkingsregister op te bouwen en te onderhouden, contracten te beheren, onderzoeken te documenteren en de rechten van betrokkenen te effectueren

Opleidingsinstituut

Het verzorgen van opleidingen voor de FG, sleutelfunctionarissen binnen de organisatie inclusief een bewustwordingstraject voor de werkvloer via Duthler Academy waarbij e-learning, en diverse materialen worden gebruikt. Op verzoek kan ook groepsgewijs scholing worden verzorgd. Dit onderdeel wordt mede met deelnemers ingevuld.

Servicedesk

Een servicedesk, gekoppeld aan MYOBI en met antwoorden van de functionaris voor gegevensbescherming, is ingericht en bruikbaar. Op eenvoudige wijze kunt u vragen stellen en antwoorden krijgen via mail en telefoon.