Toestemmingsvereiste
GEMEENTEN PASSEN HET NIET GOED TOE
De Autoriteit Persoonsgegevens (AP), voorheen het College bescherming persoonsgegevens, heeft in het voorjaar 2015 een onderzoek gedaan bij 41 gemeenten naar hoe gemeenten toestemming gebruiken bij de verwerking van persoonsgegevens in het sociaal domein. De uitkomsten van dit onderzoek hebben ertoe geleidt dat de AP een onderzoeksrapport heeft gepubliceerd over de rol van toestemming in het sociaal domein.
De AP concludeert onder andere dat gemeenten geen duidelijk beeld hebben over de wettelijke grondslag voor verwerking van persoonsgegevens en hoe toestemming van de betrokkene hierbij een rol speelt.
Uit het rapport valt af te leiden dat gemeenten deze duidelijkheid niet kunnen verkrijgen omdat zij zaken door elkaar halen en/of samenvoegen. Een beetje het verhaal van de klok en de klepel. Zonder die duidelijkheid kan de gemeente zijn informatieplicht niet goed vervullen. Tijd dus voor enige verduidelijking.
Gemeenten moeten goed voor ogen houden wat zij aan het doen zijn. Ben je aan het verwerken of delen? En heb je te maken met een geheimhoudingsplicht?
Om de burger te kunnen ondersteunen bij zijn hulpvraag zal je als gemeente (bijzondere) persoonsgegevens moeten verwerken. Kort door de bocht; het opvragen van gegevens bij de burger en het invoeren daarvan in het ICT systeem. Om deze te mogen verwerken heb je een wettelijk grondslag nodig. Deze grondslagen zijn terug te vinden in artikel 8 van de Wet bescherming persoonsgegevens (hierna: Wbp). Vaak zullen de werkzaamheden worden uitgevoerd omdat dit een publiekrechtelijke taak (artikel 8 onder e Wbp) is of een wettelijke plicht (artikel 8 onder c Wbp).
De AP merkt op dat de ‘ondubbelzinnige toestemming van betrokkene’ nagenoeg nooit een grondslag voor verwerking kan vormen. De burger is tenslotte afhankelijk van de gemeente om zijn zorg te krijgen en kan zich daardoor mogelijk verplicht voelen toestemming voor verwerking van zijn persoonsgegevens te verlenen.
Dit is een aspect dat in de praktijk niet altijd goed gaat. Gemeenten geven namelijk aan te werken met de toestemming van betrokkene bij de verwerking van persoonsgegevens. Alleen wat doe je als je geen toestemming van betrokkene krijgt? Zeg je dan “dan heeft u pech en gaan we toch verwerken, want ik mag de persoonsgegevens verwerken gezien mijn publiekrechtelijke taak”?
Het is dus in dit geval beter om duidelijk aan te geven dat verwerking mogelijk is gezien de grondslag(en) uit de Wbp en dat je betrokkene hierover informeert ipv toestemming vraagt.
Let op: het feit dát er een grondslag voor verwerking van persoonsgegevens is betekent niet dat dan ook álle gegevens verwerkt mogen worden. Kijk goed naar de noodzakelijkheid van de te verwerken gegevens. Om de ‘noodzakelijkheid’ te bepalen zijn die begrippen van belang: proportionaliteit (Staat mijn actie in verhouding tot het doel? Deel niet meer dan wat voor het doel noodzakelijk), subsidiariteit (de minst ingrijpende actie. Is er een andere (minder ingrijpende actie) mogelijk om mijn doel te bereiken?) en doelmatigheid (heb ik de meest geschikte actie ondernomen? Bereik ik met deze actie mijn beoogde doel?)
Dan heb je het delen van persoonsgegevens. Ook dat is pas mogelijk áls er een grondslag is voor het delen van persoonsgegevens. Het gaat dan om dezelfde soort grondslagen uit artikel 8 Wbp. In het geval van een wettelijke plicht moet het dus gaan om een wettelijke bepaling die het delen van persoonsgegevens toestaat of verplicht, zoals in het geval van de verwijsindex.
Voor het delen van persoonsgegevens is het wel mogelijk om gebruik te maken van de grondslag ‘ondubbelzinnige toestemming van betrokkene’.
Let op: een dergelijke toestemming moet gericht zijn op bepaalde specifiek genoemde gegevens die worden opgevraagd bij of gedeeld met een specifiek genoemde partij.
Professionals zijn veelal gebonden aan een (medische) geheimhoudingsplicht. Om die te mogen doorbreken moet er een grondslag zijn (artikel 8 Wbp) die de professional toestaat zijn geheimhoudingsplicht te doorbreken. Ook in dit geval kan er gebruik worden gemaakt van de ‘ondubbelzinnige toestemming van betrokkene’ als grondslag.
Het kan betekenen dat je een grondslag hebt om persoonsgegevens te mogen delen alleen géén grondslag hebt om je geheimhoudingsplicht te doorbreken. In dat geval kan er dus niet gedeeld worden.
Wanneer je gegevens opvraagt bij een professional kan het zo zijn dat de professional een geheimhoudingsplicht heeft en daardoor de gegevens niet kan delen. Een ‘ondubbelzinnige toestemming van betrokkene’ die de professional toestaat zijn geheimhoudingsplicht te doorbreken is dan noodzakelijk om de gegevens alsnog te verkrijgen. Is die toestemming er niet kan alleen de professional zelf, in dat specifieke geval, beslissen of er een andere grondslag is, of dat er sprake is van ‘conflict van plichten’, om de gegevens te verstrekken.
De AP is ver gegaan in het uitleggen en specificeren van de materie. Ze heeft daartoe een voorbeeld toestemmingsformulier ontwikkeld. Dat de AP amper in gaat op het grootste grijze gebied qua verwerken en delen van persoonsgegevens; de vroegsignalering of bemoeizorg, is een gemiste kans. Dit zijn wel aspecten waar gemeenten mee worstelen.
Hopelijk komt er snel jurisprudentie op dit onderwerp of een (ander) rapport van de AP. Het is nu aan iedere gemeente voor zich om dit, naar haar eigen beleving, zo zorgvuldig mogelijk in te richten.