De waarde van toestemming in het sociaal domein.

0

Op 19 april 2016 publiceerde de Autoriteit Persoonsgegevens de uitkomsten van een in 2015 gestart onderzoek naar de rol van toestemming bij de verwerking van persoonsgegevens in het sociaal domein. Het sociaal domein omvat onder andere de jeugdzorg. Maar ook de Wmo en de Participatiewet. De Autoriteit is zeer kritisch: toestemming wordt vaak niet goed gebruikt en de wijze waarop gemeenten toestemming vragen voldoet bijna nooit aan de eisen uit de Wet bescherming persoonsgegevens (Wbp). Daarnaast hebben gemeenten geen overzicht van de gegevens die ze verwerken. Dat is erg, omdat gemeenten Toestemming een centrale rol geven in het sociaal domein. Als toestemming niet goed wordt gebruikt of burgers niet weten welke gegevens worden verwerkt, kunnen zij hun privacy-rechten niet uitoefenen. Dit schaadt het vertrouwen in de overheid.

Waarom onderzoekt de Autoriteit de rol van Toestemming?

Per 1 januari 2015 kregen gemeenten bij een decentralisatie-operatie veel taken in het sociaal domein. De taken staan bijvoorbeeld in wetten op het gebied van maatschappelijke ondersteuning of Jeugdzorg[1]. Bij de uitvoering van die taken verwerken gemeenten veel persoonsgegevens. Het kabinet sprak bij de betreffende decentralisatie uit dat er domeinoverstijgend gewerkt moet worden. En dat willen gemeenten ook.

Maar dat mag niet altijd. De Wbp gaat namelijk uit van doelbinding: het gebruik van gegevens voor het doel waarvoor ze zijn verkregen. Ook eist de Wbp dat elke gegevensverwerking een grondslag heeft[2]. Nu heeft elk van de bovenstaande wetten een eigen doel en een eigen regime voor gegevensverwerking. Hierin staat bijvoorbeeld wat de grondslag is, welke gegevens worden verwerkt en hoe dat gebeurt. Er is geen kader gemaakt voor domeinoverstijgend werken.

Om te kijken hoe de gemeentelijke praktijk invulling kreeg, startte de Autoriteit in 2015 een onderzoek. De Autoriteit onderzocht één aspect, te weten Toestemming. Dat is verstandig, omdat de gegevensverwerking in het sociaal domein erg veel omvat. Daarnaast is Toestemming een goed onderwerp omdat gemeenten Toestemming namelijk vaak gebruiken als grondslag. En Toestemming past bij de gedachte van de wetgever dat mensen bij voorkeur zelf regie nemen.

De Autoriteit is zeer kritisch over gemeenten

Als gezegd is de Autoriteit zeer kritisch. Gemeenten hebben geen duidelijk beeld van de gegevens die ze mogen verwerken, voor welke doelen en op basis van welke grondslagen. Meer in het bijzonder werkt geen van de onderzochte gemeenten uit wat de rol van Toestemming daarbij moet of kan zijn. De kritiek valt in drie onderdelen uiteen: de rol van Toestemming, het gebrek aan informatie en het gebrek aan instructies.

Gemeenten maken geen onderscheid in de rol van Toestemming (grondslag, doorbreken geheimhoudingsplicht of voor hulpverlening)

Toestemming is in de Wbp één van de mogelijke grondslagen voor gegevensverwerking. Maar Toestemming is slechts geldig als grondslag wanneer ze vrij gegeven is, specifiek is en op informatie is gebaseerd. In situaties waar een burger afhankelijk is van een gemeente levert dat een probleem op. In het sociaal domein is de burger regelmatig afhankelijk.

Ook volstaat de informatievoorziening door gemeenten niet voor een geldige Toestemming. Informatie blijft regelmatig op een veel te hoog abstractieniveau. Bijvoorbeeld: ‘wij verwerken uw gegevens om ons werk goed te kunnen doen’. Verder werkt bijna geen gemeente uit wat de gevolgen zijn van het niet geven van toestemming. Daarmee is de verwerking intransparant.

Als niet aan de eisen van een geldige Toestemming voldaan wordt, geldt mogelijk een andere grondslag. Zoals bijvoorbeeld de wettelijke verplichting[3] of publiekrechtelijke taak[4]. Deze grondslagen kunnen inderdaad voor veel gemeentelijke taken gelden en gemeenten hanteren in de praktijk vaak meerdere grondslagen. Het is dan onduidelijk welke grondslag geldt.

Tot slot worden in het sociaal domein veel gegevens verwerkt waarop een medisch beroepsgeheim rust. Toestemming is een wettelijke grond voor het doorbreken hiervan. Hier heeft Toestemming echter een andere functie[5] dan Toestemming als grondslag. Gemeenten maken geen onderscheid naar die functies[6].  Evenmin zorgen ze er voor dat de eisen voor die functies zijn vervuld.

Gemeenten geven te algemene of vage informatie

Als gezegd is informatie nodig voor een rechtsgeldige Toestemming. De Wbp bevat echter ook een aantal – algemene – informatieverplichtingen. In geen geval voldoet de informatie die gemeenten geven aan de wettelijke eisen. De informatie wordt regelmatig mondeling gegeven en is te algemeen of te vaag. Bijvoorbeeld:  ‘wij verwerken uw persoonsgegevens in overeenstemming met de Wbp en u heeft rechtop inzage en correctie’.

Gemeenten geven geen instructies

De Autoriteit constateert een gebrekkige vertaling van de wet naar de gemeentelijke praktijk. Veel blijft op hoofdlijnen, of is heel algemeen opgeschreven. In geen geval is het wettelijke kader, via de specifieke gemeentelijke praktijk, vertaalt in instructies voor professionals die in de praktijk afwegingen maken.

Gemeenten kunnen beter, maar volstaat de wet zelf nog wel?

De Autoriteit ziet haar eerdere kritiek in de praktijk bevestigd. De wetgever kan een beter kader maken. Dat neemt echter niet weg dat gemeenten meer kunnen en moeten doen. Hiervoor geeft de Autoriteit Persoonsgegevens aanbevelingen. Onder meer beveelt ze aan een overzicht te maken van doelen, grondslagen en de te verwerken persoonsgegevens. Hiermee kunnen gemeenten verduidelijken welke grondslagen bij welke taken in het sociaal domein gelden. Voorts is dat overzicht nodig om burgers goed te informeren. En om professionals handvatten te geven om hun werk goed te doen.

Hoewel de aanbevelingen zeer welkom zijn, kennen ze zelf ook nog een hoog abstractieniveau. Gemeenten kunnen niet eenvoudig invulling geven aan de Wbp. Helemaal met een toenemende digitalisering en met netwerkorganisaties in het sociaal domein, waarbij meerdere partijen gezamenlijk gegevens verwerken. Het kader is en blijft complex.

Dit leidt tot een heel andere vraag, namelijk of de huidige Wbp nog wel geschikt is voor een adequate bescherming van de privacy van burgers? Hebben burgers onder de Wbp daadwerkelijk controle en zeggenschap over wat er met hun gegevens gebeurt? Corien Prins en Lokke Moerel geven in een preadvies voor de NJV op deze vragen een negatief antwoord[7].

Dit is een relevante en kwetsbare conclusie, die het bereik van het onderzoek naar de rol van toestemming in het sociaal domein ver overstijgt. En eigenlijk nog veel relevanter is. Zou er iemand deze handschoen op durven pakken in de aanloop naar het van kracht worden van de Europese Privacy Verordening[8]?

[1] Bijvoorbeeld de WMo 2015, de Jeugdwet of de Participatiewet.

[2] De Wbp noemt zes grondslagen: Toestemming, Overeenkomst, Gerechtvaardigd Belang, Publiekrechtelijke taak, Vitaal belang en Wettelijke taak. Zie artikel 8 Wbp.

[3] Dit vereist een wettelijke verplichting m.b.t. het vastleggen, bewaren of verstrekken van gegevens en een orgaan dat met die verplichting is belast. Een expliciete verplichting is verplicht als het om gegevens gaat waarop een geheimhoudingsplicht rust.

[4] Dit vereist een publiekrechtelijke taak en een bestuursorgaan dat daarmee is belast. Het moet gaan om activiteiten waarbij het bestuursorgaan zich wezenlijk onderscheidt van particulieren. Hulpverleningstaken zijn dat niet. Gegevensverwerking om te beslissen op een aanvraag is dat wel.

[5] Zie artikel 88 Wet BIG en 7:457 BW.

[6] Een ander voorbeeld is toestemming in de zin van instemming met hulpverlening.

[7] Zie E.M.L. Moerel en J.E.J. Prins (2016), Privacy voor de homo digitalis (pp 1-136), Handelingen Nederlandse Juristen-Vereniging, Wolters Kluwer.

[8] De Europese Verordening gegevensbescherming is op 14 april 2016 aangenomen en zal na twee jaar van kracht worden in de Lid-Staten.

Deel via:

Over de auteur

Monique Ravoo

Jurist : Mededingingsrecht; Privacy; Toezicht en Governance; Verbintenissen- en contractenrecht Contact: 06 49 12 19 09

Reageer

Time limit is exhausted. Please reload CAPTCHA.