Stefan Coebergh is casemanager bij het Jongerenloket Zaanstreek. Hij begeleidt voortijdige schoolverlaters (Regionale Meld- en Coördinatiefunctie voortijdig schoolverlaten) en jongeren die een uitkering aanvragen.
“Stel dat een jongere veel verzuimt op school en dreigt uit te vallen. Dan hebben wij informatie nodig van de onderwijsinstelling: wat de school al heeft gedaan, of de jongere goed bereikbaar is, of je hem beter kunt appen of bellen of dat we direct op huisbezoek moeten gaan omdat de situatie kritiek is. Als je die informatie niet hebt, dan zet je misschien een traject in dat averechts werkt.”
Ook als een jongere een uitkering aanvraagt, heeft de gemeente op grond van de Participatiewet informatie nodig. En wil zij weten of de jongere in kwestie al bekend is bij het sociale wijkteam. “We hoeven niet alles te weten van het traject waar iemand in zit, maar wel wat voor traject het is, welke afspraken er zijn gemaakt en of hij of zij een buddy nodig heeft. Het gaat er vooral om dát de jongere bekend is, niet om wat er precies speelt. Zo voorkomen we dat we iets gaan doen wat anderen al lang in gang hebben gezet.” Coebergh vindt het belangrijk om altijd met de jongeren door te nemen welke informatie met wie wordt gedeeld. “Het is goed om dat bespreekbaar te maken. Jongeren hebben hun privacy en niet iedereen wil dat alles open is tussen organisaties. Cliënten moeten op de hoogte zijn van wat er met hun persoonlijke gegevens gebeurt. Dat transparantiebeginsel was er eerder ook al, maar de AVG legt er meer nadruk op.”
Sowieso wisselt het Jongerenloket alleen gegevens uit die noodzakelijk zijn voor het doel dat het wil bereiken. “Veel randinformatie is overbodig en delen we niet. Van een jongere die voortijdig van school gaat, hoeven wij niet de hele thuissituatie te kennen. Ik kan me voorstellen dat professionals dat soms handig vinden, maar het gaat natuurlijk alleen om ‘is er een kritieke situatie ja of nee?’ De jongere vertelt ons vanzelf wel meer, of niet. Al onze cliënten zijn 18-plus en zelf regiehouder.”
Doorslaan
Na de komst van de AVG slaan scholen en andere organisaties soms enigszins door in privacybescherming, constateert Coebergh. “Dan zeggen ze dat ze niks meer mogen delen vanwege de AVG. Maar dat is gewoon niet waar. Medewerkers moeten zich ervan bewust worden dat ze werken met gevoelige informatie over inwoners en dat ze daar zorgvuldig mee moeten omgaan – dat zou je zelf ook willen als het informatie over jou was. Sinds de AVG wordt dit een beetje opgeblazen. Zolang je informatie uitwisselt die noodzakelijk is voor je doel, mag en kan er veel. De AVG is een extra controle, een extra beveiliging voor inwoners. Eigenlijk wordt de kwaliteit van je werk daardoor hoger. Maar die bewustwording is er nog niet bij alle organisaties.”
Het is niet alleen een kwestie van bewustwording, maar ook van meer kennis van de regels. Twee jaar geleden onderzocht Coebergh hoe Zaanstad omging met persoonsgegevens en toen bleek dat het wel wat strikter mocht. “Er waren zoveel onduidelijkheden over wat wel en niet mocht, dat ik voor collega’s een handleiding heb geschreven. Nu zie ik in rapporten en plannen van aanpak veel bewustzijn over het omgaan met gegevens van inwoners.”
De bescherming van persoonsgegevens gaat echter verder dan wat voorschriften op papier zetten. “We hebben een buddysysteem om vragen te blijven stellen aan elkaar. Zo houden we elkaar scherp. Samen bespreken we waar de grens ligt. Medische gegevens bijvoorbeeld werden vroeger gewoon opgeschreven. Nu laten we kernbegrippen als ‘autistisch’ weg uit de plannen van aanpak, want deze zijn niet relevant en werken stigmatiserend. Liever vragen we door bij de jongere: ‘Wat betekent dat voor jou? Wanneer heb je er last van? Wat heb je nodig?’ En dan noteren we bijvoorbeeld ‘Pietje heeft moeite met op tijd komen wegens een mentale belemmering, maar dat kan opgelost worden als een werkgever daar rekening mee wil houden’. Dat is voor werkgevers ook veel duidelijker en de jongere voelt zich veel meer gehoord.”
Stijn van Cleef, senior juridisch beleidsadviseur Sociaal Domein van de gemeente Nijmegen, geeft cursussen over de AVG bij andere gemeenten. Hij hoort zeker niet bij de juristen die het liefst alles dichtspijkeren en vinden dat er niks meer mag.
Nijmegen kreeg in 2017 kritiek van de Autoriteit Persoonsgegevens (AP). Het probleem was de zelfredzaamheidsmatrix die de gemeente gebruikte bij het integrale keukentafelgesprek om de situatie van cliënten breed in beeld te brengen. Het standaardgebruik van deze matrix is in strijd met de Wet bescherming persoonsgegevens (Wbp, de voorganger van de AVG), oordeelde de AP. Onmisbaar om onze wettelijke taken in het sociaal domein integraal uit te voeren, reageerde de gemeente.
Sinds de transitie van 2015 worstelen alle gemeenten met dezelfde problemen, stelt Van Cleef. “Iedere gemeente wilde toen de situatie van de mensen breed vastleggen in een integraal keukentafelgesprek. Vervolgens zei de AP tegen ons: ‘U mag het gesprek best breed voeren, maar u doet dat ook als daar geen aanleiding voor is en dan legt u het ook nog eens allemaal vast!’ Die aanleiding is in principe de hulpvraag van de cliënt. Pas als er sprake is van een multiprobleemhuishouden, mag je volgens de AP domeinoverstijgend gegevens uitwisselen. Maar dat is een cirkelredenering, want hoe kom je daar dan achter? Als mensen hier binnenkomen, weet je niet altijd dat zij meerdere problemen hebben. Dit vind ik dus een wat theoretische en technische opvatting van de AP.”
Na het rapport van de AP heeft Nijmegen de registratiesystemen en de instructies voor werknemers over de registratie van persoonsgegevens aangepast. Maar de zelfredzaamheidmatrix blijft in gebruik. “We vullen alleen niet meer standaard bij elke casus de hele matrix in. De AP zegt dat we dat enkel mogen doen als daar een noodzaak voor is. Daarom leggen we die noodzaak nu duidelijker vast. Zo motiveren we in de verslagen van keukentafelgesprekken nu beter welke zaken zijn uitgevraagd en waarom. Als bepaalde vragen niet relevant blijken, dan gaan we daar niet heel lang op door en rapporteren we er ook niet over.”
Op scherp
Informatie die cliënten uit zichzelf overhandigen, hoeft ook niet altijd te worden bewaard, aldus Van Cleef. “Als gemeente hebben we de neiging om alles wat een cliënt ons geeft, in het dossier te stoppen. Daar zijn we naar aanleiding van het rapport van de AP zorgvuldiger in geworden. Bepaalde gegevens sturen we terug of houden we buiten het dossier. En als het dossier de kast ingaat, kijken we nog even wat noodzakelijk is om te bewaren en wat niet.”
Volgens Van Cleef is het redelijk overzichtelijk wat er nu onder de AVG wel en niet mag: wat mocht, mag nog steeds en wat niet mocht, mag nog steeds niet. “Persoonlijk vind ik dat de AVG geen wereldschokkende veranderingen heeft gebracht. De AVG leidt er voor ons vooral toe dat je nog eens moet kijken naar de informatieplicht: zijn wij helder in de communicatie over de rechten en plichten van mensen? Dat moest onder de Wbp ook wel, maar hier zie je echt de invloed van de AVG. Daardoor zijn mensen zich wat bewuster geworden van hun rechten. Langzaamaan melden zich inwoners die hun dossier willen inzien. Dat zet ook weer andere vraagstukken op scherp: wat is precies de status van die wijkteams en van wie is de informatie eigenlijk? Sommige gemeenten geven bijvoorbeeld een Wmo-besluit af waarvan het sociale wijkteam de hele onderbouwing heeft gemaakt. Als de cliënt vervolgens bezwaar maakt tegen het besluit en de gemeente vraagt het dossier op, dan zegt het wijkteam soms: ‘Nee, dat is mijn dossier, dat krijg je niet’. Wat is dan de positie van de gemeente? Die kwestie is echt nog in ontwikkeling en moet iedere gemeente voor zichzelf bekijken.”
Cindy Meinen is beleidsmedewerker Wmo/Maatschappelijk Domein bij de gemeente Purmerend. Voor de Wmo-taken van de gemeente heeft ze contact met zorgaanbieders over de zorg die mensen nodig hebben.
“De informatie die cliënten je thuis of op het gemeentehuis geven, wil je eigenlijk aan de zorgaanbieder meegeven, zodat die de gesprekken niet opnieuw hoeft te voeren. Dan gaat het niet alleen om NAW-gegevens, maar ook om de beperkingen die iemand heeft. Zulke informatie kun je in het berichtenverkeer in codes versleutelen, maar je wil ook nog wel wat menselijke informatie meegeven.” Om die informatie toch te kunnen delen, heeft Purmerend met enkele zorgaanbieders een privacy-convenant afgesloten. Daarin staat onder meer hoe het berichtenverkeer verloopt en dat er moet worden gewerkt met beveiligde mail. “Als er toch iets misgaat, dan kan onze functionaris gegevensbescherming de Autoriteit Persoonsgegevens laten zien wat we hebben afgesproken. Daaruit blijkt dat we niet maar wat aanrommelen.”
“Als iemand bijvoorbeeld individuele begeleiding nodig heeft vanwege een beperking, dan zeg je wat er niet goed gaat en waar hij of zij hulp bij nodig heeft. Dus bijvoorbeeld: ‘Mevrouw heeft hulp in de huishouding nodig, omdat ze een beenamputatie heeft gehad en niet meer zelf kan stofzuigen’. Je beschrijft dus de situatie. In zo’n geval wordt vaak gevraagd of een familielid niet ook iets kan doen, en dan schrijf je misschien op ‘nee, want er is een slechte relatie met de dochter’. Zoiets is natuurlijk behoorlijk privacygevoelig. Intern kan ik zulke informatie gewoon met mijn team uitwisselen en dankzij die convenanten mogen we dit indien nodig ook delen met zorgaanbieders.” De Wmo geeft zelf ook al heel goed aan wat wel en niet mag worden gedeeld, weet Meinen. “Als het voor de zorg nodig is, dan mag je best veel informatie uitwisselen. Als je daarnaast afspraken maakt over de informatie die je uitwisselt, kan daarover geen enkel misverstand ontstaan, maar meestal hoef je niet eens per se een convenant af te sluiten.”
Lichte paniek
Meinen merkt dat er bij sommige organisaties lichte paniek heerst over persoonsgegevens. Bij leveranciers van trapliften bijvoorbeeld. “Wij kopen trapliften in en plaatsen deze bij mensen thuis in bruikleen. Als iemand de lift niet meer nodig heeft, wordt deze verwijderd en in een depot geplaatst. Het gaat om grote aantallen en we willen wel weten waar die liften staan en gestaan hebben. Dan is het handig om de naam van de cliënt te weten en liefst ook het adres. Vroeger werden de BSN-nummers uitgewisseld. De eerste houding van de aanbieder is nu ‘nee dat kan niet meer, klaar’. Dan moeten we dus in gesprek over wat wel en niet kan.”
Gemeenten hebben natuurlijk zelf ook het een en ander moeten leren. “Onder leiding van onze functionaris gegevensbescherming hebben we zorgvuldig gekeken naar onze gegevensuitwisseling. Toen bleek hoeveel informatie we zelf doorgeven. Sindsdien ben ik alerter geworden. Als je zelf als burger iets overkomt, dan vind je het ook niet prettig als er met naam en toenaam wordt gemaild over wat je allemaal mankeert. Het is nu goed geregeld welke gegevens wij doorgeven in de contacten met aanbieders en aanbestedingen. Ad-hocvragen van burgers of instanties om gegevens zijn wél soms nog lastig, omdat het geen vaste processen zijn. Maar dan kunnen wij aan de functionaris vragen: ‘Mag ik dit nog wel geven of niet?’”
Waar Meinen en haar collega’s nog tegenaanlopen, is dat er niet één systeem is om beveiligd te mailen. Dat betekent dus veel knippen en plakken tussen verschillende systemen. “Gemeenten, zorgaanbieders en leveranciers willen allemaal graag dat hun eigen systeem leidend is. Het zou fijn zijn als er in de toekomst één systeem komt. Maar ja, dan wordt het ook weer makkelijker voor hackers. En juist uit dat risico is de AVG voortgekomen.”
Algemene Verordening Gegevensbescherming
Op de website kiezen-en-delen.nl geeft Toezicht Sociaal Domein uitleg over de Algemene Verordening Gegevensbescherming, inclusief voorbeelden onder welke omstandigheden welke informatie mag worden uitgewisseld. Ook vind je er een overzicht van handreikingen en richtlijnen die helpen bij het delen van gegevens. De Autoriteit Persoonsgegevens geeft op haar website een overzicht van praktische vragen van gemeenten over gegevensverwerking in het sociaal domein. Zoals: Mag ik iemands persoonsgegevens verwerken als diegene hiervoor toestemming heeft gegeven? En: Moet ik als hulpverlener cliënten afkappen als zij mij dingen vertellen waarnaar ik niet gevraagd heb? Je vindt de vragen en antwoorden op: autoriteitpersoonsgegevens.nl
- onderwerpen
- gemeente
- sociaal domein.