Nederlandse gemeenten weten onvoldoende welke persoonsgegevens van hun burgers zij in het sociaal domein mogen verwerken en welke regels daarvoor gelden. Bovendien informeren gemeenten hun burgers niet goed over het gebruik van hun persoonsgegevens.
Dat constateert de Autoriteit Persoonsgegevens (AP) na onderzoek bij 41 gemeenten (pdf). Veel gemeenten hebben volgens de AP geen goed overzicht van de voorwaarden waaronder verwerking van persoonsgegevens wel en niet mag. Nu vragen ze toestemming aan burgers voor de verwerking van hun gegevens. Dat met toestemming gegevens altijd mogen worden verwerkt, is een misvatting en kan problemen opleveren.
Door toestemming te vragen wordt de suggestie gewekt dat de gegevens alleen mogen worden verwerkt als daarvoor toestemming is gegeven. Een gemeente mag ook zónder toestemming van de burger zijn gegevens verwerken, bijvoorbeeld omdat dit nodig is om een publiekrechtelijke taak uit te voeren. Als gemeenten dan toch om toestemming van de burger vragen, moeten zij goed toelichten of zij de gegevens ook verwerken als daarvoor geen toestemming wordt verkregen, of dat ze daarvan afzien en wat dat voor de burger betekent.
In situaties waarin er géén andere wettelijke grond is op basis waarvan de gegevens mogen worden gebruikt, is het vragen van toestemming geen oplossing. De Wet bescherming persoonsgegevens (Wbp) bepaalt namelijk dat mensen zich vrij moeten voelen om toestemming te geven. In het sociaal domein zal van vrije toestemming over het algemeen geen sprake kunnen zijn, omdat burgers afhankelijk zijn van de gemeente voor hulp of ondersteuning. Als gemeenten in die gevallen tóch toestemming vragen en persoonsgegevens verwerken, is dat onrechtmatig.
De toezichthouder constateert ook dat gemeenten hun inwoners niet goed informeren over het gebruik van hun gegevens, met name in situaties waarin die gegevens zonder hun toestemming worden verwerkt. Mensen kunnen hierdoor hun rechten niet goed uitoefenen, zoals inzage in hun gegevens. Bovendien kan het vertrouwen van mensen in hun gemeente worden geschaad door dit gebrek aan informatie en transparantie.
“Gemeenten werken vaak met heel gevoelige gegevens van hun burgers. Van kwetsbare mensen die op gebieden als jeugdzorg, maatschappelijke ondersteuning en chronische ziekten afhankelijk zijn van hun gemeente. Om het vertrouwen van die mensen te behouden moeten gemeenten een volstrekt helder beeld hebben van het doel waarvoor persoonsgegevens worden verzameld en gebruikt”, zegt Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens.
Gemeenten hebben nu verschillende aanbevelingen gekregen. Zo raadt de toezichthouder aan om te specificeren welke gegevens voor welke specifieke doelen en op basis van welke grondslag noodzakelijk zijn voor de taken in het sociaal domein. Ook adviseert de AP om dit te vertalen in instructies voor de werkvloer. Daarnaast wordt aangeraden burgers zorgvuldig te informeren over de gegevens die over hen worden verwerkt en wanneer en waarom toestemming wordt gevraagd.
De Autoriteit Persoonsgegevens zal onderzoeken of gemeenten deze verbeteringen doorvoeren. Daarnaast loopt er nu ook een onderzoek naar de werkwijze van sociale wijkteams bij de integrale intake en naar de beveiliging van persoonsgegevens bij gemeenten.
Deze posting is gelocked. Reageren is niet meer mogelijk.