Nieuwsbrief Ontvang gratis de Gemeente.nu nieuwsbrief schrijf je in

10808 bekeken 1 reactielaatste update:20 jan 2016

Top 5: Misverstanden over privacy sociaal domein

Sabine van Eck & Carijn Tulp
Privacy is vaak ten onrechte een zorgenkind van gemeenten. "Deze vijf misverstanden leiden slechts af van het praktische werk dat gedaan moet worden."

Column - Sabine van Eck & Carijn Tulp

Gemeenten in Nederland zijn op dit moment druk bezig met het inrichten van het sociaal domein in voorbereiding op de decentralisatie van taken op het terrein van jeugdzorg, participatie en Wmo naar gemeenten. Dat dit voor gemeenten a hell of a job is staat buiten kijf. Tegelijkertijd is er brede consensus over nut en noodzaak om de zorg meer in samenhang en dicht bij de burger te organiseren. Een van de terugkerende thema's in relatie tot de decentralisaties (in politiek, media en bij gemeenten zelf) is privacy.

Het beeld wat geschetst wordt is vaak niet echt florissant:  de privacy van burgers is in gevaar en gemeenten hebben de boel niet op orde.

In het afgelopen jaar dat wij intensief hebben gewerkt aan het ondersteunen van gemeenten bij het inrichten en implementeren van privacybeleid, viel het ons op dat enkele hardnekkige misverstanden deze discussie telkens kleuren. En, belangrijker nog, dat deze misverstanden afleiden van het praktische werk dat gedaan moet worden. De vijf grootste misverstanden dragen bij aan een soort paniek en continue zorg over privacy. En die is naar onze mening deels onterecht.

De vijf grootste misverstanden op een rij:

 

 

  1. Vanaf 2015 gelden er strengere en andere regels voor privacy
    De gevoerde discussies over privacy in relatie tot de decentralisatie van taken naar gemeenten roepen bij velen het beeld op dat er op 1 januari 2015 een geheel nieuwe situatie ontstaat. En vooral dat er andere en strengere regelgeving is. Als het gaat om het borgen van goede en zorgvuldige gegevensdeling in het sociaal domein is de belangrijkste boodschap aan gemeenten: "Hé, dat moet je nu al!". Voor het verwerken van persoonsgegevens gelden nu al regels en wetgeving. In de nieuwe Jeugdwet, Participatiewet en de Wmo staat beschreven hoe met persoonsgegevens om moet worden gegaan binnen het desbetreffende domein. Echt spannend wordt het bij het inrichten van domeinoverstijgende dienstverlening bijvoorbeeld rondom multiprobleem gezinnen. In die gevallen geldt de Wet Bescherming Persoonsgegevens (WBP). Die geldt nu al voor het verwerken van persoonsgegevens en daar verandert per 1 januari niets aan.
    In de praktijk zien wij trouwens dat veel gemeenten kiezen voor het transitie-proof inrichten van het sociaal domein. Dat betekent dat in eerste instantie nog vanuit de verschillende domeinen wordt gewerkt. De echte doorontwikkeling naar integrale dienstverlening wordt later ingericht.
  2. Privacy is een kwestie voor juristen/ een juridisch vraagstuk
    Wij hebben ervaren dat het 'overlaten' van de discussie over privacy aan juristen een gemiste kans is voor het praktisch oplossen van het probleem in de gemeentelijke praktijk. Allereerst verschillen juristen van mening en zijn er verschillende 'scholen' met betrekking tot de interpretatie van privacywetgeving. Dat is een interessante academische discussie, maar wel eentje die verstorend werkt in de praktijk. In een samenwerkingsverband werken partners vanuit diverse juridische kaders samen. Voor huisartsen of jeugdzorgmedewerkers gelden andere privacykaders dan voor gemeente, onderwijs of politie. De discussie moet dus niet gaan over wie juridisch gelijk heeft (welke interpretatie van welk kader) maar hoe je vanuit die verschillende kaders rondom een gezamenlijk doel samen kunt werken.
    Ten tweede, en dat sluit hier direct op aan, is privacy, naast een juridische kwestie, ook en zelfs vooral een kwestie van organisatie en vooral ook van gedrag en cultuur. Om een goede en zorgvuldige gegevensdeling in het sociaal domein te borgen is een aanpak nodig op meerdere gebieden. Dat begint al met een visie die beschreven is in het privacybeleid. Dat moet (al dan niet in samenwerking met partners) vervolgens ook worden belegd in de organisatie, uitgewerkt in de werkprocessen en de systemen, gecommuniceerd naar de burgers, maar vooral ook begrepen en uitgevoerd worden door de professionals die met persoonsgegevens werken.
    De samenhang tussen al die onderdelen (beleid, governance, werkprocessen, training & communicatie en opslaan en beheer gegevens) zorgt voor geïmplementeerd privacybeleid.
    Het inrichten en implementeren van privacybeleid is uiteindelijk maatwerk. Iedere gemeente kan eigen keuzes maken. Aan de hand van de WBP moet de professional bij elke vraag/casus op basis van drie kernvragen een afweging maken over het delen van gegevens: Wat is het doel voor het delen van gegevens? Is het proportioneel? En zijn er andere opties die minder ingrijpend zijn? (subsidiariteit).
    De juridische uitwerking is eigenlijk het sluitstuk van het privacybeleid: het moment waarop de gemaakte keuzes en afspraken moeten worden vastgelegd. Maar goed en zorgvuldig gegevens delen vraagt een aanpak op meerdere gebieden: Van het opstellen van beleid tot het opleiden en trainen van medewerkers.
  3. Privacywetgeving maakt het mij onmogelijk om integraal te werken in het sociaal domein
    In de discussie rondom privacy wordt het of/of argument graag en veel toegepast. Een gemeente kiest voor integraal werken óf de gemeenten houdt zich aan de privacywetgeving. Deze tegenstelling zat de discussie meteen op scherp. Of je bent vóór integraal werken en dan lap je dus privacyregels aan je laars of je bent roomser dan de paus en komt met de dienstverlening aan burgers in het nauw. In de praktijk wordt natuurlijk al op veel plaatsen, en ook door gemeenten, integraal gewerkt. Een goed voorbeeld hiervan zijn de Veiligheidshuizen waar straf- en zorgpartners onder gemeentelijke regie multiprobleem casuïstiek behandelen. Integraal werken dus over de domeinen heen en dit kan ook terwijl er zorgvuldig met persoonsgegevens omgegaan wordt.
    Een praktische vuistregel is: hoe integraler je werkt, hoe meer borging er in de processen nodig is met betrekking tot privacy. Professionals in bijvoorbeeld een sociaal team zullen moeten afwegen wanneer welke persoonsgegevens nodig zijn voor de dienst of hulpverlening en aan de burger transparant moeten zijn over die gegevens. Het is dus een belangrijk onderwerp om mee te nemen in de scholing van die professionals en hen bewust te maken van de balans tussen tussen noodzakelijke gegevensverwerking vanuit maatschappelijke opgave sociaal domein én borging van de privacy.
    Het is, tot slot, belangrijk om goede samenwerkingsafspraken tussen partijen vastgelegd in een privacyconvenant en uitgewerkt in een privacyprotocol. Zo weten de betrokken professionals welke afspraken er zijn gemaakt als het gaat om integraal werken en het borgen van de privacy.
  4. Vanaf 2015 kunnen gemeenten zomaar (medische) dossiers inzien, bijvoorbeeld  in het kader van Jeugdzorg
    Het vierde misverstand is een klein, maar hardnekkig misverstand. En ook heel aansprekend! Gemeenten zouden per 1 januari zomaar gegevens kunnen inzien van bijvoorbeeld cliënten in de Jeugdzorg. Het antwoord hierop is heel simpel: dat mag niet en de wetgeving staat dit ook niet toe. Dit misverstand komt nog voort uit de beginperiode lang geleden toen gesproken werd over één dossier. Gelukkig is dit verhaal onder de betrokkenen nu wel bekend. Het gaat niet om één dossier, maar om één plan van aanpak rondom multicomplexe gevallen waarin samenwerking vereist is. De inhoudelijke (medische) informatie is en blijft altijd alleen bij de betrokken (medische) professional.
  5. Het inrichten (het formuleren en implementeren van lokaal privacybeleid) van privacybeleid is heel veel extra werk
    Dat zou het eigenlijk niet moeten zijn. Gemeenten zijn nu al verantwoordelijk voor het zorgvuldig omgaan met gegevens van burgers. Maar eerlijk is eerlijk, voor sommigen gemeenten is het nog veel werk. Het belangrijkste advies aan gemeenten die nu nog moeten beginnen met het inrichten en implementeren van privacybeleid is: "Maak het klein". Het kan verleidelijk zijn en logisch lijken om eerst de hele informatiehuishouding van je gemeente in kaart te brengen, of juridische convenanten op te tuigen en te redeneren vanuit worst case scenario's.
    Om het praktisch en behapbaar te maken is het belangrijk om te werken vanuit de praktijk. Ga uit van wat er praktisch gebeurt en beschrijf die werkprocessen. Analyseer dan welke informatie nodig is, voor wie en waarom.
    Voorafgaand aan het kunnen beschrijven van die processen ligt trouwens de (politieke) visie van de gemeente op het sociaal domein. Wat voor gemeente wil je zijn? Hoe is de toegang geregeld voor burgers? Welke vragen moeten waar terechtkomen? Denk daarbij aan de mate van zelfredzaamheid van de burger of de mate van integraliteit van dienstverlening. Op basis van deze visie wordt de inrichting van het sociaal domein bepaald: de manier waarop de toegang wordt geregeld en waar de vragen van burgers worden afgehandeld. Een cruciaal onderscheid daarbij is dat wat simpel afgehandeld kan worden, simpel afgehandeld moet worden.

Privacy is maatwerk
Tot slot, We hebben de meest hardnekkige misverstanden die we het afgelopen jaar zijn tegengekomen willen wegnemen. Tegelijkertijd zien we dat privacybewustwording (en het borgen hiervan in de organisatie en de werkprocessen) bij een deel van de gemeenten echt wel sterker kan en mag. Een veelgestelde vraag van gemeenten is: "Vertel mij nu eens precies wat wel en wat niet mag".

Het antwoord stelt vaak teleur: "Dat kun je niet zeggen: het borgen van privacy, zeker in het geval van domeinoverstijgend werken, is maatwerk en dat hangt dus af van ieder specifiek geval". Wat nodig is, is dat de expliciete afweging voor het verzamelen, delen en bewerken van gegevens structureel onderdeel wordt van de werkprocessen van gemeenten. Dat moet niet als een van boven opgelegde verplichting voelen, maar als een natuurlijk onderdeel van de dagelijkse, professionele manier van werken. Passend bij de nieuwe rol van gemeenten en daarbij horende grotere verantwoordelijkheid voor goed en zorgvuldig gegevens delen. Dat vraagt vooral om een heldere en pragmatische aanpak.

 

Sabine van Eck en Carijn Tulp zijn adviseurs bij Capgemini Consulting. Het afgelopen jaar hebben zij, in opdracht van VNG en KING de actielijn privacy en gegevensuitwisseling voor het VISD-programma ingericht en uitgevoerd.

Eén reactie

  • P.J. Westerhof

    Tóch was het verstandig geweest bovengaand stuk door een privacydeskundige te laten reviewen alvorens te publiceren.

    Zo suggereert het stuk eerst dat privacy een academische discussie die voor de dagelijkse praktijk alleen maar hinderlijk is, terwijl iets verderop weer heel theoretisch klinkt 'dat mag niet en de wetgeving staat dit ook niet toe.' De keuze stellen tussen 'juridische discussie' en 'pragmatische uitvoering' is enigzins tendentieus.

    Vanuit deze 'dagelijkse praktijk' wordt vervolgens gesteld dat bepaalde domeinen en beroepsgroepen eigen privacywetgeving kennen terwijl daartegenover voor 'domeinoverstijgende dienstverlening' de WBP van toepassing is.
    Onvermeld blijft dat in het kader van de 3D-wetgeving zeer ruime mogelijkheden worden geboden tot gegevensuitwisseling tussen instanties.
    Bij het 'praktisch en behapbaar maken' gaan schrijvers opvallend genoeg geheel voorbij aan het Privacy Impact Assessment.

    “Vertel mij nu eens precies wat wel en wat niet mag'. Indien juist dan is dat reden tot zorg, deze gemeenten hebben dan al vóór 1989 zitten slapen.
    Overigens zouden dezelfde gemeenten alert mogen zijn op de huidige ontwikkelingen rond de 3D-wetgeving. Hierin worden niet alleen de grenzen met nationale en Europese privacyregels opgezocht maar ook onze nationale privacywaakhond in zijn hok geschopt.
    Dat mag men een 'hinderlijke academische discussie' noemen, feit is dat de pragmatische consequenties daarvan uiteindelijk bij de gemeenten terecht komen.

Of registreer je om te kunnen reageren.