Het sociaal domein, blijf scherp op privacy!

Het sociaal domein, blijf scherp op privacy! Controleer uw afspraken met de ICT-leveranciers.

Vorig jaar is er met de invoering van de Jeugdwet, de Wet Maatschappelijke Ondersteuning (WMO) en de Participatiewet een ingrijpende hervorming van het sociaal domein in werking getreden. Het uitgangspunt is dat het sociaal domein bij de gemeente is georganiseerd. De gemeentes zijn zelf verantwoordelijk voor de inrichting van deze zorgtaken.

Deze decentralisatie van zorgtaken heeft als doel om een betere dienstverlening binnen het sociaal domein aan burgers te kunnen bieden. Het uitgangspunt hierbij is 1gezin-1plan1regisseur, waarbij een integrale aanpak van problemen binnen een gezin wordt ontwikkeld. De gemeente werkt vanuit een regierol samen met andere zorgaanbieders en hupverleners aan een integrale aanpak bij betrokkenen, zoals een gezin. Meestal wordt dit opgezet vanuit een Sociaal Wijkteam, waar diverse soorten hulpverleners in betrokken zijn.

Een veelgebruikte manier om dit te doen is door het maken van een ondersteuningsplan. In het ondersteuningsplan maakt de casusregisseur samen met de gezinsleden een plan om specifieke problemen van het gezin op te lossen. Er worden gezinsdoelen vastgesteld, betrokkenen worden benoemd en er wordt een afsprakenlijst gemaakt. Het gezin en alle betrokken professionals krijgen vervolgens een kopie van dit ondersteuningsplan, zodat voor iedereen duidelijk is wat zijn of haar taak is en wat anderen doen.

De gedachte achter deze wetswijzigingen is goed te volgen. Er zijn echter vragen te stellen bij de borging van de privacy. Met de decentralisatie heeft de gemeente beschikking over veel meer persoonsgegevens dan voorheen. Het doel van 1gezin1plan is om alle zorgverleners toegang te geven tot het zorgdossier, maar dit staat op gespannen voet met de privacy van de betrokkene, die immers niet altijd zit te wachten op de gegevensdeling van zijn gevoelige informatie. Het is dan ook verstandig als een gemeente goed controleert of haar privacybeleid goed op orde is. De Vereniging van Nederlandse Gemeenten heeft diverse stukken opgesteld om gemeenten te helpen met het waarborgen van de privacy binnen het sociaal domein en heeft daarvoor meerdere stappen uitgezet:

  1. Formuleer beleidsuitgangspunten privacy sociaal domein
  2. Bepaal aan de hand van triage op welke momenten in het werkproces een afweging wordt gemaakt over de routering van een casus waardoor gegevensverwerking plaatsvindt
  3. Voer aan de hand van de triagemomenten een informatieanalyse uit op het werkproces
  4. Stel een handreiking op voor de professional en bespreek deze met de betrokken professionals, bijvoorbeeld in een training
  5. Richt de communicatie naar de burger in
  6. Richt de governance intern in (bepaal rollen en verantwoordelijkheden binnen de gemeente)
  7. Richt de governance in (maak afspraken met aanbieders rondom privacy, bepaal wat de verantwoordelijkheid is van de gemeente bij uitbesteding van talen etc.)

Hoewel natuurlijk al deze punten van belang zijn bij het waarborgen van privacy, zal ik mij richten op een zeer actueel punt, de gegevensverwerking van persoonsgegevens bij een ICT-leverancier. Een onderdeel van het privacy-beleid van een gemeente is het maken van goede afspraken tussen de gemeente en de ICT-leverancier. Het college van B&W is de verantwoordelijke voor de verwerking van persoonsgegevens van het sociaal domein in hun gemeente. Het college is dan ook verantwoordelijk voor het gebruiken van een veilige ICT-oplossing om alle persoonsgegevens te verwerken.

Sinds 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) uitgebreid met een wettelijke meldplicht voor datalekken, maar ook met de bevoegdheid voor de toezichthouder om forse boetes uit te delen bij het niet goed naleven van de voorschriften van de Wbp. Zo moet een gemeente te allen tijde op een zorgvuldige en veilige manier persoonsgegevens verwerken. Niet meer hulpverleners mogen toegang hebben tot een zorgdossier dan strikt noodzakelijk is.

De gemeente is verantwoordelijk voor goede afspraken over autorisaties (wie mag wat zien binnen de applicatie, welke rollen zijn er en wat kunnen zij?), beveiliging en afspraken over de omgang met datalekken. De gemeente kan hier gebruik maken van de richtlijnen van Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De BIG geeft richtlijnen voor normen die elke gemeente zou moeten hanteren. Geef hier bij het afsluiten van een overeenkomst met uw ICT-leverancier aandacht aan! Controleer of uw ict-leverancier wel voldoet aan de gangbare eisen die passend zijn binnen het sociaal domein.

Een goed begin is het afsluiten van een bewerkersovereenkomst met de ICT-leveranciers. Deze bewerkersovereenkomst is wettelijk verplicht als een gemeente haar gegevens laat verwerken door een derde partij, een bewerker. In een goede bewerkersovereenkomst worden afspraken gemaakt over veiligheid, autorisaties, verantwoordelijkheid en beveiliging.

Gemeente, juist nu is de noodzaak om privacy-wetgeving na te leven groter dan ooit. Wacht daarom niet langer en richt uw privacy-beleid zo snel mogelijk in!

Digitalisering bij de overheid – ICTRecht Academy

Van het “openbaarmaken van (ambts)geheimen via social media”, en “elektronisch verkeer met de burger”, tot en met “Privacy en datalekken”: vrijwel alle relevante onderwerpen worden 14 september besproken in deze training voor ambtenaren.

> Meer informatie en aanmelden. Deze training wordt ook incompany verzorgd.

Terug naar overzicht