Privacy
Bij vroegsignalering van schulden worden persoonsgegevens uitgewisseld. Bij het verwerken van persoonsgegevens hebben we te maken met verschillende regels rondom privacy die zijn vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Dat betekent dat er bij het opstarten van een project vroegsignalering van schulden ook altijd aandacht moet zijn voor alle privacy aspecten in iedere stap van het proces. Er moet beschreven worden hoe aan de AVG voldaan kan worden en welke maatregelen genomen zijn om verkeerde uitwisseling van persoonsgegevens te voorkomen.
Bekijk ook:
Grondslagen
Voor de beschrijving van de grondslagen voor een rechtmatige gegevensverwerking gebruiken we als basis het referentiemodel van het rapport ‘Vroegsignalering en bescherming persoonsgegevens’ van PBLQ, van 7 december 2017.
Grondslagen voor een rechtmatige gegevensverwerking door partijen
In artikel 5 AVG zijn de beginselen met betrekking tot de verwerking van persoonsgegevens opgenomen. Hierin is onder meer bepaald dat persoonsgegevens voor welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens niet verder mogen worden verwerkt op een met die doeleinden onverenigbare wijze (lid 1 sub b). In artikel 6 lid 1 AVG is aangegeven dat de verwerking alleen rechtmatig is als aan één van de in het artikel genoemde voorwaarden is voldaan. De verzameling van de persoonsgegevens bij de melders heeft tot doel uitvoering te geven aan de tussen dienstverleners en betrokkenen gesloten dienstverleningsovereenkomsten. Tot die uitvoering hoort ook het in rekening brengen en incasseren van de betalingen die betrokkenen verschuldigd zijn in verband met de levering van die diensten. Het melden van betalingsachterstanden door dienstverleners aan gemeenten, al dan niet via een apart meldpunt, is met het doel van de verwerking verenigbaar. Hierbij speelt wat hierover is vastgelegd in artikel 6 lid 4 AVG:
‘Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of ee lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:
- ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
- het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
- de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
- de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
- het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.’
De melding is op basis van deze bepaling met het oorspronkelijke doel verenigbaar omdat:
1 PBLQ Referentiemodel vroegsignalering schulden, rapport projectversie d.d. 10 november 2017
- de melding verband houdt met de oorspronkelijke doeleinden waar het gaat om het herstellen van het betaalritme;
- er geen afhankelijkheidsrelatie is in de verhouding tussen verantwoordelijke en betrokkene;
- er geen sprake is van bijzondere persoonsgegevens;
- de melding ook, en wellicht vooral, in het belang is van de betrokkene.
De verdere verwerking van de persoonsgegevens door het college is om dezelfde redenen als die van het melden van de gegevens met het oorspronkelijke doel verenigbaar. Voor wat betreft de grondslag van de verwerking door het college van burgemeester en wethouders is het volgende van belang. De omschrijving van de doeleinden is specifiek gericht op schuldhulpverlening, een taak die met de Wet gemeentelijke schuldhulpverlening (Wgs) is toegekend aan het college van burgemeester en wethouders. Omdat de verwerking gezien de doelomschrijving moet worden beschouwd als de uitoefening van een publiekrechtelijke taak van het college van burgemeester en wethouders komen er in beginsel twee voorwaarden als grondslag voor de verwerking in aanmerking, nl.:
sub c) de verwerking is noodzakelijk om te voldoen aan de wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
sub e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
Aangezien de Wgs geen verplichting bevat om de schuldhulpverlening op een bepaalde manier in te richten en dus evenmin verplichtingen bevat tot het inrichten van een proces voor vroegsignalering, biedt de voorwaarde sub c) onvoldoende aanknopingspunten om als grondslag voor de gegevensverwerking te dienen.
De voorwaarde sub e) biedt een grondslag voor de verwerking als aangetoond is dat de verwerking noodzakelijk is ter vervulling van een taak die in het kader van de uitoefening van het openbaar gezag aan de verwerkingsverantwoordelijke is opgedragen. Daarbij moet duidelijk zijn dat de gemeente vroegsignalering als een belangrijk onderdeel van haar schuldhulpverleningstaak beschouwt, blijkend uit het door de Raad vast te stellen plan dat richting geeft aan de integrale schuldhulpverlening aan haar inwoners. Voor wat betreft de gegevensuitwisseling tussen zorgverzekeraars en gemeente bij betalingsachterstanden is artikel 7b.1 Regeling Zorgverzekering de wettelijke grondslag. Additionele grondslagen voor gegevensverstrekking bij betalingsachterstanden zijn te vinden in de Ministeriële Regelingen voor energie- en waterleveranciers.
Wijziging Wet gemeentelijke schuldhulpverlening
Op 1 januari 2021 is de Wet gemeentelijke schuldhulpverlening gewijzigd. Deze wetswijziging regelt en borgt ook de uitwisseling van persoonsgegevens. Dat betekent dat dan ook de grondslag wijzigt, deze is nu vastgelegd in de Wgs.
DPIA / PIA
Een Data Protection Impact Assessment (DPIA of PIA) is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen zodat deze daarna verkleind kunnen worden.
In de AVG is op hoofdlijnen aangegeven wanneer een DPIA verplicht is. Dat is het geval als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Het is verstandig in een vroeg stadium afstemming te zoeken met de Functionaris Gegevensbescherming (FG) van de gemeente en wanneer dit door de FG wordt vastgesteld een DPIA op te stellen. Zo wordt geborgd dat vroegsignalering en de werkwijze voldoen aan de eisen op het gebied van de AVG en dat dit ook goed is vastgelegd.
Een goed uitgevoerde DPIA geeft inzicht in de risico’s die de verwerking oplevert voor de betrokkenen, en in de maatregelen die de gemeente en convenantpartners moeten nemen om de risico’s af te dekken. Het is aan de verantwoordelijke zelf om die maatregelen ook daadwerkelijk te treffen (of eventueel een voorafgaande raadpleging aan te vragen).
Er zijn verschillende formats beschikbaar voor het opstellen van een DPIA en we hebben een aantal voorbeelden van vastgestelde DPIA’s op de website verzameld.
Het is ook belangrijk de verschillende communicatiestromen bij het opstellen van de DPIA te betrekken:
- Communicatie tussen signaalpartner en inwoner;
- Communicatie tussen signaalpartner en gemeente;
- Communicatie tussen gemeente en eventueel uitvoerders namens de gemeente;
- Communicatie van de gemeente naar de inwoner.
Het is van belang voor alle stappen helderheid te hebben over de wijze waarop gegevens worden uitgewisseld, de grondslag waarop dit gebeurt en de proportionaliteit.
Voor alle communicatiestromen leggen we vervolgens in het proces vast op welke wijze en welke informatie wordt gecommuniceerd. Ook de overdracht naar reguliere processen zoals schuldhulpverlening of een verwijzing naar maatschappelijk werk moeten hierbij worden betrokken.
Downloads:
Verwerkersovereenkomsten en SaaS
Verwerkersovereenkomst tussen gemeente en signaal partner
De gemeente is in het proces van vroegsignalering de verwerkingsverantwoordelijke van de persoonsgegevens. Zij vraagt persoonsgegevens op van de signaalpartners, zij bepaalt welke matches er zijn of op welke signalen worden gelopen en zij is verantwoordelijk voor de uitvoering. Dat je verwerkingsverantwoordelijk bent, wil niet zeggen dat je altijd uitsluitend zelf gegevens verwerkt. Zo worden de meldingen en matches meestal verwerkt door leveranciers die data van betaalachterstanden van signaalpartners ontvangen en verwerken tot matches. Ook uitvoering van werkzaamheden kan worden uitbesteed aan externe partners. Is er sprake van dat gegevens door iemand anders dan de verwerkersverantwoordelijke worden verwerkt, dan moet daarvoor een verwerkersovereenkomst worden gesloten. De verwerkingsverantwoordelijke blijft daarbij wel te allen tijde verantwoordelijk voor de gegevens die worden verwerkt. Op de website zijn voorbeelden te vinden van verwerkersovereenkomsten en ook van een model overeenkomst die je zelf in je eigen gemeente kunt gebruiken.
Verwerkersovereenkomst tussen gemeente en extern vroegsignaleerder
Als de uitvoering van Vroegsignalering niet door de gemeente zelf wordt opgepakt maar wordt uitgevoerd door een externe organisatie zoals bijvoorbeeld een wijkteam en/of het algemeen maatschappelijk werk dan is het noodzakelijk dat voor deze data overdracht ook een verwerkersovereenkomst wordt opgesteld tussen de gemeente en deze externe organisatie.
SaaS (Software as a Service) criteria
SaaS is software die als een online dienst wordt aangeboden. De klant hoeft de software niet aan te schaffen, maar sluit bijvoorbeeld een contract per maand per gebruiker af, eventueel in combinatie met andere parameters. De SaaS-aanbieder zorgt voor installatie, onderhoud en beheer, de gebruiker benadert de software over het internet bij de SaaS-aanbieder. Ook bij SaaS kan sprake zijn van de verwerking van persoonsgegevens. Bijvoorbeeld Inforing (Ris) en BKR (Vindplaats van Schulden) bieden hun systeem aan door middel van SaaS. Zij verwerken dus via dit platform voor de gemeenten persoonsgegevens.
SaaS criteria hebben o.a. betrekking op:
- Informatiebeveiligings- en privacyrichtlijnen in relatie tot het informatiesysteem;
- Op welke wijze het informatiesysteem voldoet aan de landelijk gehanteerde standaard ‘ICT-beveiligingsrichtlijn voor webapplicaties’;
- Welke passende technische en organisatorische maatregelen genomen zijn/worden zodat gegevens niet verloren gaan of onrechtmatig worden gebruikt;
- Hoe veilige toegang tot het informatiesysteem middels authenticatie- en autorisatieservices is georganiseerd. Hoe privacyaspecten onderdeel uitmaken van de autorisatie in het systeem;
- Het afstemmen van autorisaties op de rol van de diverse actoren en de noodzakelijkheid van deze rol om te beschikken over c.q. het bewerken van persoonsgegevens;
- De centrale logging van het informatiesysteem en het afschermen daarvan;
- Het voorzien van gegevens van een bewaartermijn om deze niet langer te bewaren dan noodzakelijk is.
Downloads:
Bewaartermijnen
In het convenant moet worden vastgelegd welke bewaartermijnen gehanteerd worden voor de verschillende gegevens die worden vastgelegd. Vanuit privacy mogen persoonsgegevens niet langer bewaard worden dan strikt noodzakelijk. Daarom moet vastgelegd worden op welke termijn de persoonsgegevens worden verwijderd. Gebruikelijk is een termijn van 1 jaar, in een enkele gemeente een half jaar. Het is mogelijk gegevens daarna geanonimiseerd te bewaren voor statistische doelstellingen. Gegevens mogen dan niet meer herleidbaar zijn tot personen.
Convenanten
De samenwerking bij vroegsignalering dient altijd te worden vastgelegd in een convenant. Het convenant regelt de samenwerkingsafspraken en de verantwoordelijkheden van alle partijen. Ook wordt vastgelegd wat de start- en einddatum zijn, op welke wijze afspraken kunnen worden gewijzigd of beëindigd en wat de gezamenlijke doelstellingen zijn. Het convenant is dus een belangrijk document. Meestal wordt de ondertekening van het convenant aangegrepen om een feestelijk startmoment te organiseren. Het is de formele start van het project.
Op de website zijn verschillende voorbeeldconvenanten opgenomen en een bewerkbare versie, waarmee iedereen zelf aan de slag kan.
Op 10 november 2020 is het landelijke convenant vroegsignalering getekend door zorgverzekeraars, energie- en drinkwaterbedrijven, woningcorporaties en private verhuurders. Het convenant is per 1 januari 2021 ingegaan. Wilt u als gemeente of verhuurder ook gebruik maken van het landelijke convenant en het digitale ondertekeningsproces? Dat kan via onderstaande links: