Nederlandse gemeenten weten onvoldoende welke persoonsgegevens van hun burgers zij in het sociaal domein mogen verwerken en welke regels daarvoor gelden. Bovendien informeren gemeenten hun burgers niet goed over het gebruik van hun persoonsgegevens. Dat constateert de Autoriteit Persoonsgegevens na onderzoek bij 41 gemeenten. “Gemeenten werken vaak met heel gevoelige gegevens van hun burgers. Van kwetsbare mensen die op gebieden als jeugdzorg, maatschappelijke ondersteuning en chronische ziekten afhankelijk zijn van hun gemeente. Om het vertrouwen van die mensen te behouden moeten gemeenten een volstrekt helder beeld hebben van het doel waarvoor persoonsgegevens worden verzameld en gebruikt”, zegt Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens. “Nu loop je het risico dat gegevens worden verwerkt terwijl dat niet mag.”
Gemeenten hebben sinds 1 januari 2015 nieuwe taken op het gebied van jeugdzorg, maatschappelijke ondersteuning, arbeidsparticipatie. Hierdoor zijn gemeenten meer persoonsgegevens van meer mensen gaan verwerken.
Toestemming
De Autoriteit Persoonsgegevens constateert dat veel gemeenten geen goed overzicht hebben van de voorwaarden waaronder verwerking van persoonsgegevens wel en niet mag. Nu vragen ze toestemming aan burgers voor de verwerking van hun gegevens. Dat met toestemming gegevens altijd mogen worden verwerkt, is een misvatting en kan problemen opleveren.
Verkeerde suggestie
Door toestemming te vragen wordt de suggestie gewekt dat de gegevens alleen mogen worden verwerkt als daarvoor toestemming is gegeven. Een gemeente mag ook zónder toestemming van de burger zijn gegevens verwerken, bijvoorbeeld omdat dit nodig is om een publiekrechtelijke taak uit te voeren. Als gemeenten dan toch om toestemming van de burger vragen, moeten zij goed toelichten of zij de gegevens ook verwerken als daarvoor geen toestemming wordt verkregen, of dat ze daarvan afzien en wat dat voor de burger betekent.
Onrechtmatige verwerking
In situaties waarin er géén andere wettelijke grond is op basis waarvan de gegevens mogen worden gebruikt, is het vragen van toestemming geen oplossing. De Wet bescherming persoonsgegevens (Wbp) bepaalt namelijk dat mensen zich vrij moeten voelen om toestemming te geven. In het sociaal domein zal van vrije toestemming over het algemeen geen sprake kunnen zijn, omdat burgers afhankelijk zijn van de gemeente voor hulp of ondersteuning. Als gemeenten in die gevallen tóch toestemming vragen en persoonsgegevens verwerken, is dat onrechtmatig. De Autoriteit Persoonsgegevens heeft al eerder op dit probleem gewezen.
Informeren
De AP constateert ook dat gemeenten hun inwoners niet goed informeren over het gebruik van hun gegevens, met name in situaties waarin die gegevens zonder hun toestemming worden verwerkt. Mensen kunnen hierdoor hun rechten niet goed uitoefenen, zoals inzage in hun gegevens. Bovendien kan het vertrouwen van mensen in hun gemeente worden geschaad door dit gebrek aan informatie en transparantie.
Aanbevelingen
De Autoriteit Persoonsgegevens doet gemeenten een aantal aanbevelingen. Zo raadt de toezichthouder aan om te specificeren welke gegevens voor welke specifieke doelen en op basis van welke grondslag noodzakelijk zijn voor de taken in het sociaal domein. Ook adviseert de AP om dit te vertalen in instructies voor de professionals op de werkvloer, zodat zij weten wat zij met welke gegevens mogen doen. Daarnaast wordt aangeraden burgers zorgvuldig te informeren over de gegevens die over hen worden verwerkt en wanneer en waarom toestemming wordt gevraagd.
Vervolg
De Autoriteit Persoonsgegevens gaat ervan uit dat gemeenten deze aanbevelingen gebruiken om snel te zorgen voor meer duidelijkheid over de persoonsgegevens die zij in het sociaal domein verwerken. De toezichthouder verwacht dat gemeenten op basis daarvan hun medewerkers beter ondersteunen en hun inwoners informeren. De Autoriteit Persoonsgegevens zal onderzoeken of gemeenten deze verbeteringen hebben doorgevoerd.
De AP is inmiddels ook bezig met onderzoek naar de werkwijze van sociale wijkteams bij de integrale intake en naar de beveiliging van persoonsgegevens bij gemeenten.