Inmiddels is de Algemene Verordening Gegevensbescherming (AVG) al ruim twee jaar van kracht en zijn organisaties zo’n vier jaar bezig om gegevensbescherming in hun organisatie te organiseren. Uit recent onderzoek van onderzoeksprogramma Argos blijkt dat gemeenten nog steeds worstelen met de uitvoering van de AVG en het nemen van gepaste maatregelen.
Misleidende beeldvorming
Privacy wordt nog vaak als een probleem of beperkende factor gezien, terwijl tegelijkertijd blijkt dat kennis over de AVG binnen gemeenten in voorkomende gevallen niet toereikend is. Dat kan leiden tot misleidende beeldvorming over wat er wel of niet binnen de wet mogelijk is en wat het maatschappelijk belang van gegevensbescherming is. Zo stelden twee burgemeesters vorige maand dat de ‘doorgeslagen privacywet’ extra doden heeft gekost tijdens de coronacrisis, omdat cruciale informatie niet gedeeld zou mogen worden. De Autoriteit Persoonsgegevens reageerde dat er vanuit de wet geen belemmeringen zijn om dergelijke cruciale informatie (van vitaal belang, in termen van de AVG) te delen.
De wet biedt kaders om per gegevensverwerking te bepalen welke persoonsgegevens er verwerkt mogen worden. Voor de gemeente verloopt dat voornamelijk langs de lijnen van haar wettelijke en publiekrechtelijke taken. Voor veel gemeenten is dat al een uitdaging op zich. Daarnaast bestaan er binnen gemeenten, maar ook met ketenpartners, behoeften om gegevens met elkaar te delen. Bijvoorbeeld in het kader van integraal werken in het sociaal domein, maar ook bij vroegsignalering bij schuldenproblematiek of het bestrijden van ondermijning. Het lastige daarbij is dat dergelijke gegevensuitwisseling tussen verschillende disciplines (of wettelijke taakgebieden) niet of nauwelijks beschreven staat in de betreffende wetten. Daar komt langzaam beweging in, bijvoorbeeld met de wijziging in de Wet Gemeentelijke Schuldhulpverlening in 2021 waarmee de uitwisseling van persoonsgegevens beter gefaciliteerd wordt, maar het is zeker niet gezegd dat dit voor alle wettelijke taken zal gebeuren.
Onderbouwen en afwegen
Om het uitwisselen van gegevens op een passende en afgewogen manier te faciliteren is het essentieel om toch een wettelijke basis te vinden voor die uitwisseling. Dat kan bijvoorbeeld in de vorm van een privacyprotocol. In februari dit jaar verscheen het Model Privacyprotocol binnengemeentelijke gegevensdeling. Dat is voor een gemeente een mooie onderbouwde basis om in het kader van ondermijning gegevens uit te kunnen gaan wisselen. Bij gemeenten bestaat echter ook de behoefte om een dergelijk protocol te hebben voor andere domeinen binnen de gemeente. In dat kader ga ik de komende periode met de gemeente Borsele onderzoeken hoe we gegevensdeling binnen de gemeente én met externe partners op een gedegen manier kunnen onderbouwen en vastleggen.
Een van de grootste uitdagingen vanuit de AVG is de verantwoordelijkheid die de wet bij organisaties legt voor het maken van een gedegen afweging op basis van de principes en uitgangspunten die de wet voorschrijft. Dat geeft enerzijds onzekerheid, omdat het wel of niet voldoen aan de wet daardoor niet zwart-wit is en inherent risico’s met zich meebrengt. Anderzijds biedt het juist ook kansen om die ruimte te benutten en te onderzoeken waar gegevensuitwisseling meerwaarde kan bieden voor de dienstverlening, met het belang van de burger voorop uiteraard. Ga aantoonbaar afgewogen te werk en dan kan ‘dat mag niet van de AVG’ vaak genoeg veranderen in ‘dat kan prima onder de AVG’. Hoe heeft uw gemeente gegevensuitwisseling tussen verschillende domeinen geregeld?
Meer weten?
Telengy-adviseur Wouter Le Febre komt graag met u in gesprek via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.