Gemeenten werken sinds 1 januari 2015 in het sociaal domein met zeer gevoelige gegevens van hun burgers. Het gaat om kwetsbare mensen die op gebieden als jeugdzorg, maatschappelijke ondersteuning en chronische ziekten afhankelijk zijn van hun gemeente. Denk daarbij aan opvoedhulp bij kinderen of een bejaard echtpaar dat om zorg vraagt bij een keukentafelgesprek. Gemeenten weten volgens de AP niet welke gegevens ze mogen verwerken en welke privacyregels daarbij gelden. Ook informeren gemeenten hun burgers niet goed genoeg over het gebruik van hun persoonsgegevens. Door toestemming te vragen voor gegevensverwerking wordt volgens de AP de suggestie gewekt dat gegevens mogen worden verwerkt als daarvoor toestemming is gegeven. Gemeenten gebruiken die toestemming van de burger nu als lapmiddel voor het ontbreken van kennis over de wettelijke gronden bij verwerking van persoonsgegevens.
Misvatting over toestemming
Toestemming vragen en krijgen is voor gegevensverwerking in het sociaal domein volgens de AP niet voldoende voor gegevensverwerking op wettelijke grond. Iemand die zorg nodig heeft, is daarbij afhankelijk van de gemeente en kan daardoor volgens de AP geen ‘vrije’ keuze maken bij het verlenen van toestemming. Tomesen: ‘Het is vaak onbekend welke gevolgen géén toestemming geven heeft voor de zorg waar je als burger aanspraak op wil maken. De keuze om toestemming te verlenen wordt daardoor beïnvloed. Als een gemeente gegevens verwerkt bij toestemming van de burger en er geen andere wettelijke grond is, dan is dat dus onrechtmatig.’
Alle onderzochte gemeenten de mist in
Naast de misvatting over de wettelijke grondslag van toestemming, informeren gemeenten burgers ook niet goed over wat er met de verwerkte gegevens gebeurt. Veel blijft onduidelijk. ‘Met wie deelt de gemeente gegevens? Hoe worden deze bewaard? Wat gaat de gemeente ermee doen? Tot hoelang worden ze bewaard?’, zo somt Tomesen op. ‘Gemeenten informeren hun inwoners niet goed over deze zaken, met name als er gegevens zonder toestemming worden verwerkt. Voor de burger is het nu zeer onduidelijk waar zijn gegevens terechtkomen en met wie deze gedeeld worden. Zo kan hij zijn toekomende recht niet uitoefenen. Bij ons onderzoek werd duidelijk dat er hier onderling per gemeenten verschillen bij zijn, maar wat vooral blijft hangen is dat geen enkele gemeente het goed doet.’
Vinger op de zere plek
Voor gemeenten en Rijksoverheid is er nog een flinke hoeveelheid werk te doen om gegevensverwerking op wettelijke grond voor elkaar te krijgen. AP legt volgens Tomesen met het rapport ‘de vinger op de zere plek’ van gemeenten. Tegelijkertijd wil hij ook ‘niet schamperen over het gemeentelijk bestuur.’ Volgens de vicevoorzitter zijn gemeenten ‘met te weinig tools op pad gestuurd door Rijksoverheid bij de invoering van de decentralisatie.’ Hij pleit daarom voor meer wetgeving op dit gebied. ‘Het is voor gemeenten eigenlijk onbegonnen werk geweest om dit volgens juridische kaders te doen. Ik wens zowel gemeenten als Rijksoverheid toe dat zij snel goede wettelijke kaders hebben geschapen voor gegevensdeling en zich ook aan die kaders houden. Er moeten snel spelregels komen voor het delen van gevoelige gegevens. Het Rijk heeft de verantwoordelijkheid bij voor het sociaal domein bij gemeenten neergelegd zonder erbij na te denken dat er moeilijkheden kunnen ontstaan. Zowel het Rijk als gemeenten nemen geen verantwoordelijkheid en de gevolgen belanden daardoor uiteindelijk bij de burger.’
Werk aan de winkel voor gemeenten en Rijk
De AP heeft in het rapport een aantal aanbevelingen opgesteld voor gemeenten waarmee zij hun gegevensverwerking juridisch op orde kunnen krijgen. Gemeenten krijgen daarbij van de toezichthouder de tijd om maatregelen te nemen, maar de AP kan er ook voor kiezen om handhavend op te treden. ‘Of dit een waarschuwing is? Dat is veel te licht’, aldus Tomesen. ‘We hebben aanbevelingen gedaan en we gaan ervan uit dat gemeenten ermee aan de slag gaan. Wanneer het over bijvoorbeeld een jaar nog niet goed gaat, zijn we genoodzaakt om ook handhavend op te treden.’