Mogen we deze gegevens delen?

Welke gegevens over mensen mag je delen zonder hun privacy te schenden? Gemeenten, het Rijk en organisaties in het sociaal domein stellen zich regelmatig deze vraag. Voor het delen van gegevens is een juridische grondslag een voorwaarde. Maar hoe weet je of die er is? Dat is mede afhankelijk van welke taak je als organisatie uitvoert en het doel en noodzaak van de gegevens die je wilt delen. Het traject Uitwisseling persoonsgegevens en privacy (UPP) – onderdeel van het Programma Sociaal Domein – reikt de praktijk een stappenplan aan.

6 november 2018

Stel: een man – we noemen hem Joost – heeft geen werk, problemen met zijn gezondheid en schulden. De afdeling Werk & Inkomen van de gemeente, de afdeling Schuldhulp en de betrokken zorginstelling willen in een casusoverleg een plan maken om Joost te helpen. Hij wil weer aan de slag en zijn schulden afbetalen.

Om Joost te helpen is het nodig om gegevens over hem met elkaar te delen, denken ze. Wat is de loonwaarde van Joost? Welke gezondheidsproblemen spelen precies? Hoe hoog zijn de schulden? De vraag rijst: mogen wij die gegevens met elkaar delen met het oog op privacywetgeving?

Niet de juiste startvraag, vindt Léon Sonnenschein, teamleider Uitwisseling persoonsgegevens en privacy (UPP) bij het Programma Sociaal Domein. ‘Vaak is goede hulp mogelijk zonder of beperkt delen van privacygevoelige gegevens.’

‘Welke gegevens zijn noodzakelijk voor het doel? Dat is de belangrijkste vraag’, vervolgt Sonnenschein. Samen met zijn collega’s van het traject UPP zette hij de belangrijkste vragen op een rij voor professionals om verantwoord gegevens te delen.

Stap 1: Wat zijn je (wettelijke) taken en werkzaamheden?

Bepaal in het kader van welke (wettelijke) taak jouw organisatie werkzaamheden verricht. Vanuit welke taak betrek je de partners bij een casus? Begin altijd bij de inhoud van je werk. Duidelijk moet zijn waar je bepaalde gegevens voor nodig hebt.

– De casus van Joost

De afdeling Werk & Inkomen is betrokken bij Joost door haar re-integratietaak uit de Participatiewet, terwijl de afdeling Schuldhulpverlening betrokken is vanuit de wet Schuldhulpverlening. De zorginstelling is betrokken als behandelaar van Joost.

Deze stap wordt nogal eens overgeslagen, merkt Sonnenschein op. ‘De wettelijke taak die je uitoefent, bepaalt waarom een instantie zich met iemand bemoeit – en hoe ver dat mag gaan. Als medewerkers van een wijkteam mij vragen: ‘Mag ik gegevens delen?’ Dan is mijn wedervraag: ‘In het kader van welke taak wil je gegevens delen?’ Vaak krijg ik dan een algemeen antwoord. Terwijl het niet ingewikkeld hoeft te zijn, zoals blijkt uit de casus.’

Veel organisaties laten hun professionals op dat gebied zwemmen, stelt hij. ‘Wijkteams krijgen de mooiste beleidstaken mee als ‘bevorderen van de sociale cohesie in de wijk’, en ‘bevorderen van zelfredzaamheid’. Die taken staan nergens in de wet en vormen dus nooit een juridische basis voor het verwerken van persoonsgegevens.

Stap 2: welke activiteiten en doelen komen voort uit jouw (wettelijke) taak?

Bepaal het doel waarvoor je de gegevens nodig hebt. Wees zo concreet mogelijk. Het doel: ‘ik probeer mensen aan werk te helpen’ is te algemeen. Koppelen van het doel aan de stap in het werkproces maakt het al een stuk concreter.

Gaat het om een eerste aanmelding van iemand met een hulpvraag? Dan hoef je nog niet veel gegevens te verwerken. Heb je de hulpvraag in beeld en sta je voor de vraag ‘welke partijen zijn nodig om tot een goede oplossing te komen?’ Dan is het logisch dat je meer informatie verwerkt.

Een goede vuistregel: start met de hulpvraag. Is er sprake van problematiek die inzet van ketenpartners verlangt? Zijn er al hulptrajecten opgestart? Is het noodzakelijk dat ik die betrek? Daarbij is het zaak om per actie te weten wat je nodig hebt.

– De casus van Joost

De afdeling Werk & Inkomen wil een beeld krijgen van de re-integratiekansen van Joost en het type werk dat hij kan uitvoeren. Zicht krijgen op het vermogen van Joost om zelf regie te voeren op zijn administratie, is het doel van de afdeling Schuldhulpverlening. Evenals zicht op de kansen op werk en inkomen.

De zorginstelling wil op haar beurt dat Joost een passende werkplek vindt. Dit gezien werk waarschijnlijk positief bijdraagt aan het behandeltraject. Voorkomen dat hij op een plek terecht komt met een averechts effect, is een ander doel van de behandelaar. Ook wil deze  bijdragen aan ondersteuning bij het oplossen van schulden. Want ook dit draagt mogelijk bij aan herstel.

‘Doelen scherp krijgen en je bewust zijn van elkaars doelen zijn een must’, stelt Sonnenschein. ‘In de praktijk voeren organisaties het gesprek over die doelen vaak niet. Een typische situatie is: de afdeling Werk & Inkomen vraagt om informatie bij de zorginstelling en ontvangt nul op het rekest.’

'Als medewerkers van een wijkteam mij vragen: ‘Mag ik gegevens delen?’ Dan is mijn wedervraag: ‘In het kader van welke taak wil je gegevens delen?'

Stap 3: wat zijn de noodzakelijke gegevens per doel?

Bepaal vervolgens welke gegevens nodig zijn voor het doel en stel vast bij welke ketenpartner je de gegevens kan opvragen. Welke taak en rol heeft die organisatie en waarom stel je die vraag aan hen? Voor welke inhoudelijke afweging sta je en welke informatie heb je dan precies nodig?

Sonnenschein: ‘Vaak stellen mensen ongerichte vragen aan elkaar. Zo ontstond in een gemeente een discussie tussen de afdeling Jeugdzorg en een behandelaar over een vervolgindicatie. De gemeente wilde het behandelplan van de hulpverlener ontvangen. De hulpverlener weigerde, gezien het plan informatie bevatte die voor de beslissing niet relevant was. Wat bleek? De gemeente hoefde voor haar beslissing alleen te weten of een bepaald type expertise werd ingezet. Die vraag kon de behandelaar zonder problemen beantwoorden.’

‘Een belangrijk principe uit de privacy wet- en regelgeving is dat je niet meer gegevens verwerkt dan noodzakelijk’, vervolgt Sonnenschein. ‘Door de noodzakelijke gegevens te koppelen aan het concrete doel, kun je dat beter beoordelen.’

– De casus van Joost

De afdeling Werk & Inkomen wil het medisch dossier van Joost inzien om een inschatting te maken van zijn belastbaarheid. Op deze gronden krijgt de afdeling sowieso geen toestemming –  zelfs niet als de persoon in kwestie dat wil. Het dossier bevat informatie die de afdeling Werk & Inkomen niet nodig heeft – nog los van de vraag of ze die informatie kan interpreteren.

Stel dus gerichte vragen. Wat zijn de beperkingen en belastbaarheid waar we in een nieuwe baan rekening mee moeten houden? Die vraag kan een zorginstelling waarschijnlijk wel beantwoorden. Welke informatie heeft de zorginstelling nodig van de afdeling Werk & Inkomen? De zorginstelling hoeft niet de hoogte van de schulden te weten of wat zijn verdiencapaciteit is. Het volstaat dat de zorginstelling op de hoogte is van het werk dat Joost wil of  gaat doen en de ondersteuning die hij krijgt voor de schulden.

Stap 4: wat is de juridische onderbouwing van gegevensuitwisseling?

Na het doorlopen van de eerste drie stappen, volgt (pas) het juridische deel. Sonnenschein: ‘Sterker nog, zonder het beantwoorden van de eerste drie vragen kan een jurist je ook geen antwoord geven.’

De eerste juridische vraag luidt: welke grondslag van de AVG is van toepassing voor mijn werk? Als je weet welke (wettelijke) taak je uitvoert, is het antwoord hierop eenvoudig. Is een gemeente of wijkteam bezig met het toeleiden van mensen naar voorzieningen of re-integratie? Dan is de grondslag voor de gegevensverwerking altijd ‘noodzakelijk voor de goede uitvoering van een taak van algemeen belang of de uitoefening van openbaar gezag’ (artikel 6-e van de AVG).

Voor de behandelaar van de zorginstelling geldt: ‘gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst’ (grondslag 6-b van de AVG). En voor zover er gegevens verstrekt worden ten behoeve van de taken van de afdeling werk en inkomen en de afdeling schuldhulpverlening komt artikel 6-e van de AVG in aanmerking.

Stap 5: hoe zit het met het beroepsgeheim? 

Hoe vraag ik gegevens aan iemand die een beroepsgeheim heeft: een medicus of (jeugd) hulpverlener? In zo’n geval is altijd toestemming nodig van de betrokkene om gegevens te delen. Sonnenschein: ‘Vaak is die toestemming dan geen probleem. Mensen willen graag goede hulp.’

Een andere veelvoorkomende vraag: mag de gemeente bijzondere gegevens verwerken over gezondheid, religie, of strafrechtelijke gegevens? Als het gaat om toeleiding en hulpverlening in het sociaal domein heeft de wetgever wel geregeld dat medewerkers en hulpverleners de gezondheidsgegevens mogen verwerken. Mits die gegevens nodig zijn om hun taken goed uit te voeren. Sonnenschein: ‘Gemeenten kunnen hun mensen enorm helpen door goed op een rij te zetten welke van deze gegevens wanneer wel of niet verwerkt mogen worden.’

– Tip
Benoem drie gegevens waarover je twijfelt of je die mag delen. Bedenk vervolgens voor elk gegeven een alternatief dat minder ingrijpend is. Als je kijkt naar de casus van Joost: het gaat niet om de gezondheidsproblemen van Joost, maar om wat hij nog wel kan. Onder welke omstandigheden kan hij werken? Is het dan nodig om medische gegevens over zijn aandoening te delen? Meestal niet, of heel beperkt.

Tot slot

Dit stappenplan helpt om taak, doel en noodzaak van het delen van gegevens in beeld te krijgen, besluit Sonnenschein. ‘Pas dan volgt de vraag: mogen we de gegevens delen? Die vraag kun je vervolgens aan een jurist voorleggen. Regelmatig blijkt gaandeweg dat het mogelijk is om mensen de juiste zorg te bieden, zonder dat hun privacy in het geding is. Of dat het privacyvraagstuk beperkt is. De privacyjurist hoeft er dan niet meer aan te pas te komen.’

Meer weten? Neem contact op met Léon Sonnenschein van het traject UPP van het Programma Sociaal Domein via leon@leonsonnenschein.nl

 

Photo by Andrew Worley on Unsplash

Photo by Jon Moore on Unsplash (red picture)

‘Een belangrijk principe uit de privacy wet- en regelgeving is dat je niet meer gegevens verwerkt dan noodzakelijk.'