Gegevensdeling voor samenwerking in de publieke sector: schiet niet in de kramp

Gemeenten werken voor allerlei maatschappelijke doelen samen met ketenpartners, en verwerken daarvoor soms zeer gevoelige persoonsgegevens. Privacy officer Kenneth Sleijpen vertelt over de mogelijkheden en risico’s rond gegevensdeling in de publieke sector en geeft tips voor privacy professionals die met het vraagstuk te maken hebben.

Samenwerking gemeenten

“Gemeenten willen integraal werken om de dienstverlening aan burgers te versterken. Het is dan essentieel dat gegevensverwerkingen goed worden ingericht. De samenwerking tussen gemeenten en ketenpartners zoals de politie, zorginstellingen en woningcorporaties heeft immers in potentie een grote impact op de privacy van burgers”, vertelt Kenneth Sleijpen. Hij werkt als privacy officer bij een gemeente en als zelfstandig privacy consultant voor diverse instanties in de publieke sector. Daarnaast vervult hij een actieve rol in de International Association of Privacy Professionals (IAPP) in Nederland en is hij gastdocent van de actualiteitenreeks Next step privacy compliance.

Er zijn veel onduidelijkheden over de bescherming van persoonsgegevens bij de samenwerking in het sociaal domein en in het zorg- en veiligheidsdomein, ziet Sleijpen. “Samenwerkingspartners hebben verschillende doelstellingen, en werken vanuit verschillende wettelijke kaders. Daarnaast zijn er nogal eens verschillen van inzicht over de interpretatie van de privacywetgeving. Het resultaat is dat er organisaties zijn die veel meer persoonsgegevens delen dan wettelijk is toegestaan, terwijl andere instanties eerder te weinig data verstrekken.”

Aandacht voor privacy

Hoe zijn de verschillende perspectieven te verklaren? Sleijpen: “Rond de komst van de AVG in 2018 was er extreem veel aandacht voor privacy, en werd er veel ruchtbaarheid gegeven aan bijvoorbeeld de boeterisico’s en de nieuwe vereisten van de wet. Sindsdien is het vraagstuk van dataprotectie steeds meer op de voorgrond komen te staan in samenwerkingsverbanden. Sommige organisaties zijn teruggedeinsd voor de veranderingen die de AVG meebrengt, en zijn doorgegaan met de manier van werken die ze al kenden. Andere organisaties zijn juist banger geworden voor eventuele regelovertredingen, en zetten de rem op gegevensuitwisselingen. Het ingewikkelde is natuurlijk dat beide praktijken onwenselijk zijn. Ook als je géén data deelt, kan dat nadelig zijn voor een betrokkene. Bijvoorbeeld omdat een persoon niet de zorg en ondersteuning krijgt die nodig zijn.”

Van privacy naar zorgvuldigheid

De grote opgave is om de balans te vinden tussen de uitwisseling en de bescherming van persoonsgegevens, vat Sleijpen samen. “Zorgvuldigheid is daarbij het essentiële begrip, en een kansrijke invalshoek om privacy-issues te agenderen. Alle partijen in een samenwerkingsverband – van de gemeente tot het Zorg- en Veiligheidshuis – moeten van elkaar weten welke wettelijke verplichtingen er gelden voor de eigen organisatie én voor de andere deelnemers. Dat betekent bijvoorbeeld dat je met elkaar een open gesprek aangaat over de persoonsgegevens die nodig zijn voor de gezamenlijke doelstelling en wat ervoor nodig is om dat te faciliteren.”

“Het begint er allemaal mee dat het belang van de betrokkene voorop staat. Maak vervolgens heldere afspraken over de persoonsgegevens die het samenwerkingsverband verwerkt, met een wederzijds begrip voor de standpunten en doelstellingen van de deelnemende instanties”, adviseert Sleijpen. “Leg de afgesproken werkwijze vast, bijvoorbeeld in procesbeschrijvingen en overeenkomsten. Zorg dat medewerkers voldoende zijn getraind, zodat iedereen op de hoogte is van de voorwaarden voor gegevensdeling. En evalueer de samenwerking regelmatig, zodat eventuele knelpunten tijdig in beeld komen.”

Discussies over wet- en regelgeving

De wettelijke kaders van de diverse partijen die willen samenwerken maken de samenwerking extra complex, ziet Sleijpen. “Er zijn nogal eens verschillende interpretaties van bijvoorbeeld de restricties van het medisch beroepsgeheim en de grondslagen voor de verwerking van persoonsgegevens uit de AVG. Dat leidt ertoe dat sommige partijen ten onrechte zeer terughoudend zijn om data te verstrekken. Maar ook dat de belangen van de betrokkene onvoldoende worden meegenomen. Een gemeente met een sterke drive om een multidisciplinaire zorg en ondersteuning te organiseren, vergeet misschien om direct met een betrokkene in gesprek te gaan over de hulpvraag.”

De toekomstige Wet gegevensverwerking door samenwerkingsverbanden (WGS) en Wet aanpak meervoudige problematiek sociaal domein (WAMS) zullen naar verwachting meer duidelijkheid scheppen. “Maar er zullen altijd punten van discussie zijn, en zorgvuldigheid en maatwerk bij de verwerking van – vaak bijzondere – persoonsgegevens zijn steeds belangrijk. Een focus op de belangen van betrokkenen en een kritische blik op de randvoorwaarden voor gegevensdeling tussen samenwerkingspartners zijn continue aandachtspunten.”

Meewerkstand

Sleijpen verzorgt de module over gegevensdeling door publieke organisaties en ketenpartijen in de actualiteitenreeks Next step privacy compliance van Outvie. Aan bod komen vragen zoals: in hoeverre is een organisatie verplicht om gegevens te delen? Wie is waarvoor verantwoordelijk? Wat zijn de mogelijke implicaties van wetgeving zoals de Wgs, Wams en de Europese Data Governance Act? Sleijpen deelt zijn ervaringen met issues en oplossingen, en verwijst naar relevante gidsen zoals de handreikingen voor gegevensuitwisseling in het zorg- en veiligheidsdomein van de VNG. “Geen enkel stappenplan is perfect, maar het overzicht helpt zeker om als samenwerkingsverband toe te werken naar de beoogde doelstellingen en daarbij de privacyrisico’s voor betrokkenen te minimaliseren.”

Wat zijn de must-do’s voor privacy officers en andere privacy professionals die te maken krijgen met de samenwerkingen tussen decentrale overheden en ketenpartners? Sleijpen: “Ga een constructief gesprek aan met alle partijen, vanuit de vraag: wat willen we bereiken en wat is er dan nodig? Natuurlijk mag je kritisch zijn, zeker als er zeer gevoelige informatie wordt verwerkt, zoals medische en justitiële gegevens. Maar je komt het verst vanuit een meewerkstand, dus als je actief meedenkt over realistische oplossingen en over de mogelijkheden die er zijn binnen de geldende kaders.”

Meelopen bij processen

Loop eens een dag mee met de partijen die willen samenwerken, stelt Sleijpen voor. “Niet als een soort toezichthouder of auditor, maar met een oprechte interesse om te ontdekken wat er speelt. Wat gebeurt er allemaal? Wat zijn de wensen, behoeften en dilemma’s van de dagelijkse praktijk? Wat is er al geregeld? Als je goed in de smiezen hebt wat er speelt, dan kan je overtuigender adviseren en een beter plan van aanpak maken.” Een extra voordeel van het contact met de werkvloer is dat je als privacy officer heel zichtbaar wordt, zodat je in de toekomst goed wordt gevonden als er nieuwe vragen of plannen ontstaan.

Succesfactoren

Bij veel organisaties zijn inmiddels duidelijke werkwijzen vastgelegd over de opstart van een samenwerking, waardoor de privacy officer in een vroeg stadium wordt aangehaakt. “Naarmate een organisatie groeit in privacyvolwassenheid is de samenwerking met de privacy officer en Functionaris Gegevensbescherming (FG) strakker ingeregeld. Maar privacy professionals moeten naar mijn idee altijd een actieve rol pakken. Je wilt immers overzicht hebben over de samenwerkingen die er zijn, en zorgen dat er voldoende aandacht is voor privacy en zorgvuldigheid.”

Een positieve en open grondhouding is een belangrijke succesfactor voor privacy officers, benadrukt Sleijpen. “Wees blij met elk signaal dat je krijgt over een initiatief om gegevens te delen met ketenpartners – zelfs als je later wordt betrokken dan je misschien zou willen. Schiet vooral ook niet in de kramp van nee-zegger. Dan bestaat het risico dat mensen je gaan vermijden en je onvoldoende op de hoogte bent van wat er speelt. Maak gebruik van alle kansen om mee te denken en bij te sturen. Het gaat er uiteindelijk om dat je nauw wordt betrokken en dat daardoor de juiste oplossingen voor dataprotectie worden gevonden.”

De actualiteitenreeks Next step privacy compliance

De actualiteitenreeks Next step privacy compliance is speciaal ontwikkeld voor professionals die te maken hebben met de verwerking en/of analyse van gegevens in een organisatie, zoals privacy officers, Functionarissen Gegevensbescherming, compliance officers, informatiemanagers en bedrijfsjuristen. In de zes keuzemodules staan de actuele vraagstukken centraal die direct van invloed zijn op de compliance van uw organisatie. Bekijk het volledige programma en boek tickets via de website van Outvie.