We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.
Onze privacyverklaring:
Hieronder kunt u kiezen voor welke doeleinden u cookies op de website van De Clercq wilt toestaan.
Artikel 8 van de Wet bescherming persoonsgegevens (‘Wbp’) verbiedt de verwerking van persoonsgegevens zonder een geldige grondslag. Een van de geldige grondslagen is de wettelijke verplichting (artikel 8 sub c Wbp). Gemeenten verwerken echter ook persoonsgegevens voor taken die niet ondubbelzinnig terug te vinden zijn in de wetten op het gebied van jeugdzorg, werk en inkomen en zorg voor chronisch zieken en ouderen. Voor deze verwerkingen kunnen zij zich niet beroepen op de grondslag van de wettelijke verplichting.
De 41 onderzochte gemeenten bleken de verwerkingen waarvoor geen expliciete verplichting in de wet bestaat te verwerken op grond van de ondubbelzinnige toestemming van de betrokkene (artikel 8 sub a Wbp). Deze verwerkingen op grond van toestemming blijken vaak niet aan de privacywetgeving te voldoen. Uit het onderzoek blijkt dat:
Onderstaand worden deze problemen toegelicht.
De onderzochte gemeenten blijken geen heldere en op juridische analyse gebaseerde beleidskeuzes te hebben gemaakt over de vraag wanneer en waarvoor toestemming wordt gevraagd bij de verwerking van persoonsgegevens in het sociaal domein. Veelal is niet duidelijk of toestemming wordt gevraagd als grondslag voor de verwerking van persoonsgegevens, toestemming moet worden gevraagd als grond voor de doorbreking van het (medisch) beroepsgeheim van de betrokken professional of dat toestemming wordt gevraagd voor de uitvoering van de hulpverlening
Sommige gemeenten blijken de onzekerheid te ondervangen door voor iedere verwerking toestemming te vragen. De Autoriteit Persoonsgegevens wijst erop dat moet worden voorkomen dat burgers het idee krijgen dat er alleen gegevens over hen mogen worden verwerkt als zij daarvoor toestemming geven, terwijl dat in werkelijkheid niet zo is. Daarmee worden burgers niet goed geïnformeerd over hoe de Wbp werkt. Bovendien ervaart de burger in het sociaal domein veelal weinig vrijheid omtrent de toestemming, omdat de burger van de gemeente afhankelijke is van zorg of van een uitkering. Door toestemming te vragen waar de verwerking plaatsvindt op een andere grondslag wordt de burger op het verkeerde been gezet waar het de betekenis van de toestemming betreft.
Ondubbelzinnige toestemming is slechts mogelijk indien de toestemming voldoet aan drie vereisten (artikel 1 sub i Wbp). De toestemming moet (1) in vrijheid zijn gegeven, er mag geen sprake zijn van druk van de omstandigheden of van de relatie waarin de betrokkene tot de verantwoordelijke staat. Daarnaast moet de toestemming (2) specifiek zijn. De toestemming moet zien op een specifieke verwerking en kan geen vrijbrief zijn voor een scala aan verwerkingen. Ten slotte moet de toestemming (3) geïnformeerd zijn. De betrokkene moet zo goed mogelijk zijn ingelicht voordat hij of zij toestemming geeft voor de verwerking.
De AP concludeert dat veel gemeenten er niet in slagen om de toestemmingsprocedures zodanig vorm te geven dat deze voldoen aan de randvoorwaarden voor het verkrijgen van rechtsgeldige toestemming als grondslag voor de verwerking van persoonsgegevens of ter doorbreking van de (medische) geheimhoudingsplicht
Uit het onderzoek blijkt dat de kwaliteit van de toestemmingformulieren die de gemeenten gebruiken over het algemeen niet voldoende is. Zo wordt de burger veelal niet per doelstelling geïnformeerd over de grondslag voor de verwerking en worden de aard en omvang van de te verwerken persoonsgegevens niet nader gespecifieerd. Dit brengt met zich dat de toestemming niet geïnformeerd is en zodoende niet rechtsgeldig is
Ook blijken er gemeenten te zijn die de toestemming van de betrokkene afleiden uit de medewerking van de burger aan het ondersteuningstraject. Een dergelijke indirecte toestemming voldoet niet aan de vereisten van de Wbp, de Wgbo of de Jeugdwet.
Verder blijkt dat er in veel gevallen toestemming wordt gevraagd waarin de burger niet vrij is om deze toestemming te weigeren. Deze vrijheid ontbreekt doordat de weigering voor de burger grote gevolgen heeft. De passage ‘ik geef toestemming voor de verwerking van mijn persoonsgegevens verwerkt’ op de aanvraag voor gemeentelijke ondersteuning voldoet niet aan de vereiste van vrije toestemming.
Op basis van artikel 33 en 34 Wbp rust een informatieplicht op de verantwoordelijke voor de verwerking van persoonsgegevens. De betrokkene moet in ieder geval worden geïnformeerd over de identiteit van de verantwoordelijke, de doeleinden van de verwerking en derden met wie de informatie wordt gedeeld. De onderzochte gemeenten blijken niet aan deze informatieplicht te voldoen.
Wanneer toestemming wordt gevraagd voor de verwerking van persoonsgegevens blijkt de informatievoorziening veelal onvoldoende specifiek. Zo wordt niet uiteengezet welke gegevens voor welk doel worden verwerkt. Ook worden de burgers niet geïnformeerd op de rechten die zij hebben bij de verwerking van persoonsgegevens, zoals informatie, verzet en verwijdering. Hiermee worden burgers niet voldoende toegerust om de hen toekomende rechten bij de verwerking van persoonsgegevens te kunnen uitoefenen.
Verder concludeert de AP dat in gevallen waarin een andere grondslag dan toestemming wordt gehanteerd, helemaal geen informatie wordt verstrekt. Gemeenten lijken te veronderstellen dat het hanteren van een andere grondslag dan toestemming hen ontslaat van hun informatieverplichtingen. Dit is echter niet het geval.
Gemeenten blijken geen goed overzicht te hebben van de verschillende gegevens die zij verwerken en voor welke doelen en op welke grondslagen zij deze gegevens verwerken. Dit levert bijvoorbeeld grote problemen op in geval van een datalek. Wanneer geen duidelijk overzicht bestaat van welke gegevens worden verwerkt, is ook niet duidelijk welke gegevens (mogelijk) zijn gelekt.
Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.