Voor het verwerken van persoonsgegevens vragen gemeenten vaak toestemming aan cliënten. Bijvoorbeeld voor uitwisseling van gegevens tussen verschillende teams (Jeugd, Wmo, Pw, Schuldhulpverlening). Nog los van de vraag of dit altijd nodig is, zal de toestemming aan eisen moeten voldoen. Die eisen volgen nu nog uit de Wbp, en zijn straks geregeld in de AVG. Wat betekent dit voor gemeenten die toestemming vragen voor gegevensverwerkingen?
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dit is de Europese privacywet die de Wet bescherming persoonsgegevens (Wbp) gaat vervangen. De regels over toestemming zijn in de AVG nagenoeg gelijk aan de Wbp. Toch geeft de AVG een iets specifiekere toelichting op geldigheid van toestemming.
Toestemming in de AVG
De AVG omschrijft toestemming als “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting” van de betrokkene over de verwerking van haar/zijn persoonsgegevens. Die toestemming moet blijken uit een verklaring of een duidelijke, actieve handeling. De gemeente moet kunnen aantonen dat toestemming van de betrokken cliënt verkregen is.
Als niet aan deze eisen voldaan is, dan is de verkregen toestemming niet rechtsgeldig. Dat is in ieder geval zo als de toestemming niet uit vrije wil gegeven is. Maar hoe weet je of dat zo is? De AVG geeft hier een specifiek voorbeeld van: als een overheidsinstantie de toestemming nodig heeft. Oftewel, als de gemeente toestemming wil verkrijgen van een cliënt. Dan is er namelijk sprake van een “duidelijke wanverhouding” tussen de gemeente en de betrokken cliënt, waardoor het “onwaarschijnlijk” is dat toestemming altijd in vrijheid gegeven wordt. Dit betekent overigens niet dat het nooit mogelijk is. Afhankelijk van de concrete situatie en de individuele cliënt waar de gemeente mee te maken heeft, kan er sprake zijn van ‘vrije toestemming’. Maar vaak zal toestemming dus niet gebruikt kunnen worden om persoonsgegevens te mogen verwerken.
Rapport AP
In april 2016 publiceerde de Autoriteit Persoonsgegevens (AP) het rapport Verwerking van persoonsgegevens in het sociaal domein: De rol van toestemming. De AP gaf daarin aan dat toestemming in het sociaal domein niet rechtsgeldig zal zijn. Dit vanwege de afhankelijke relatie waarin de cliënt ten opzichte van de gemeente staat. Deze afhankelijke situatie maakt dat toestemming niet in vrijheid gegeven zal zijn.
De AP baseert dit standpunt op de memorie van toelichting bij de Wbp. Daarin staat: “Er kan bijvoorbeeld niet van een rechtsgeldige toestemming worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke, tot toestemming is overgegaan.” En dat “de wet ook de toestemming van de betrokkene als rechtvaardigingsgrond kan uitsluiten, bijvoorbeeld in situaties waarin sprake is van ongelijke machtsverhoudingen tussen verantwoordelijke en betrokkene”.
Deze formuleringen verschillen niet wezenlijk van die in de AVG. Voor gemeenten verandert er in principe dus niets. Zij het dat de AVG er dus met nadruk op wijst dat in de relatie cliënt-gemeente toestemming niet snel rechtsgeldig zal zijn.
“Dat betekent dat gemeenten in de meeste situaties dus geen toestemming kunnen vragen.”
Gemeenten: omgaan met toestemming
Wat moeten gemeenten nu met toestemming binnen het sociaal domein? Toestemming zal in ieder geval nodig zijn als de gemeente integrale hulp en ondersteuning wil bieden. Bijvoorbeeld om gegevens over gezinsleden die bekend zijn bij het team Schuldhulpverlening te kunnen verstrekken aan het team Jeugd of team Wmo. Maar zeker in het sociaal domein gaat het om cliënten in een kwetsbare positie. Die positie maakt het onwaarschijnlijk dat toestemming uit vrije wil gegeven wordt. Dat betekent dat gemeenten in de meeste situaties dus geen toestemming kunnen vragen. En in de specifieke situaties waarin het wél gevraagd wordt, verlangt dit van gemeenten een zorgvuldige handelwijze.
Leg daarom vast hoe je als gemeente omgaat met toestemming voor het verwerken van persoonsgegevens. Dat kan in een privacyprotocol of -reglement. Regel voor welk doel het nodig is, om welke persoonsgegevens het gaat, wie het aanspreekpunt is binnen de gemeente, aan wie de gegevens eventueel verstrekt kunnen worden, hoelang de gegevens bewaard worden en wat de rechten van de cliënt zijn. Daarbij moet er wel rekening mee gehouden worden dat een eenmaal gegeven toestemming altijd weer ingetrokken kan worden.