sociaal / Partnerbijdrage

Privacy in het sociaal domein

5 uitdagingen in 2022

28 januari 2022
Privacy

Gemeenten werken in het sociaal domein veel met privacygevoelige informatie van inwoners. Natuurlijk gaat u zorgvuldig om met het verzamelen, delen en bewaren van gegevens. Maar u kunt ook té voorzichtig zijn.

Volgens functionaris gegevensbescherming Erwin van Vuuren, aan Stimulansz verbonden privacy-expert, schieten gemeenten vaak onnodig in de kramp. Dat kan anders. Dit zijn in 2022 de 5 belangrijkste privacy-uitdagingen in het sociaal domein:

1. Maak je klaar voor de Wet politiegegevens (Wpg)

“Sinds 2019 geldt de Wet politiegegevens (Wpg). Ook gemeenten hebben hiermee te maken. Want buitengewoon opsporingsambtenaren (boa’s) doen onderzoek naar fraudes in het sociaal domein. Zulke stafbare feiten vallen onder de Wpg. Deze wet stelt specifieke eisen aan het delen en bewaren van informatie. Deze eisen gaan niet alleen over de processen, maar ook over de IT-systemen.

In 2022 moeten álle gemeenten het technisch en organisatorisch op orde maken. Ze moeten boa’s trainen, processen aanpassen en ICT-systemen aanpassen. Bij ICT moet je onder meer denken aan autorisaties (wie heeft toegang tot welke informatie), bewaartermijnen en categorieën van betrokkenen (verdachte, getuige, slachtoffer).”

“In de baseline informatiebeveiliging (bio) staat aan welke normen je als gemeente moet voldoen. In 2022 moeten gemeenten een externe audit laten uitvoeren. De auditer moet zijn aangesloten bij de Norea, de beroepsgroep van IT-auditers. Het auditverslag moet uiterlijk op 31 december 2022 bij de Autoriteit Persoonsgegevens (AP) liggen. Ik adviseer gemeenten niet te lang wachten, want de auditers krijgen een druk jaar. Vooral omdat de Wpg ook raakt aan andere sectoren. Heeft een gemeente het niet goed op orde? Dan kan de AP een waarschuwing geven of bestuurlijke maatregelen nemen.”

Gemeenten moeten – naast de vierjaarlijkse externe audit – ook elk jaar een interne audit uitvoeren, waarbij ze een deel van de Wpg-normen toetsen, vertelt Erwin. “Daarna heeft de gemeente drie maanden de tijd voor een verbeterplan. Binnen één jaar na hercontrole moet de verbetering zijn beoordeeld.”

2.  Integrale samenwerking

Vaak spelen meerdere problemen bij een inwoner of een gezin. Dan is het bijna altijd nodig dat verschillende partijen in het sociaal domein samenwerken. Hoe ga je dan om met het delen en bewaren van informatie? Erwin: “De afzonderlijke wetten bieden geen goede grondslag om persoonsgegevens te delen. Als je informatie deelt voor doel A, dan mag je dat alleen voor dat doel gebruiken. Wil je die informatie voor doel B gebruiken, dan is dat een uitdaging. Want die afwijkende bepaling staat niet in de huidige wetten. Veel gemeenten zijn daarom heel voorzichtig met het delen van kennis. Dat kan ten koste gaan van de kwaliteit van het werk en van de service aan de inwoner.”

De Wet aanpak meervoudige problematiek sociaal domein (Wams) moet knelpunten wegnemen over het delen van gegevens in het sociaal domein. “De Raad van State heeft advies uitgebracht over deze wet. Nu moet de wet ter behandeling naar de Tweede Kamer. Volgens de huidige planning wordt het wetsvoorstel op 1 januari 2023 van kracht. Tot die tijd blijft het schipperen.” Erwin verwijst daarvoor naar uitdaging 3.

3. Ga gedurfder om met data

Gemeenten gaan over het algemeen te krampachtig om met de AVG, stelt Erwin. “De wet werkt verlammend voor veel ambtenaren. Daardoor trappen ze al gauw op de rem als het gaat om het delen van data. Uit angst dat een leger advocaten klaarstaat. Daardoor blijft veel informatie in bureaulades liggen. Dat kan ten koste gaan van de dienstverlening aan inwoners. Of het zorgt ervoor dat een vermoeden van overtreding niet wordt onderzocht.”

Erwin pleit voor meer lef. “De AVG biedt meer ruimte dan mensen denken. Belangrijk is dat je kunt aangeven waarom je data toch deelt. En dat je alleen de hoognodige informatie deelt. Helpend is ook de vraag: hoe dicht ligt het afwijkend gebruik van de data bij het eigenlijke gebruik? Als een inwoner aanklopt bij de gemeente voor een voorziening, dan kan hij verwachten dat hij wordt gecontroleerd. Belangrijk is ook om wat voor gegevens het gaat en hoe goed die zijn beveiligd.”

4. Investeer in opleiding en blijf dat doen

“Het is belangrijk dat medewerkers de juiste kennis hebben over de AVG. Want als je de wetgeving goed kent, boek je betere resultaten. En je voelt je zeker in je werk. Veel toezichthouders Wmo weten bijvoorbeeld niet dat ze aangifte móeten doen als ze stuiten op een strafbaar feit.”

Maar met één AVG-training ben je er niet, benadrukt Erwin. “Je moet de lesstof steeds herhalen. Bijvoorbeeld met een jaarlijks webinar van 2 uur of een training van een halve dag. Bekijk goed wat iemand nodig heeft voor zijn werk. Door te herhalen ontstaat awareness. Dan gaat het beklijven en groeit je organisatie in volwassenheid.”

Datalekken voorkomen zit ‘m vaak in kleine dingen, stelt Erwin. “Zoals: geen documenten laten rondslingeren (clean desk) en geen commerciële apps gebruiken. Wijs ook op social engineering, waarbij anderen je proberen over te halen informatie te geven of toegang te geven tot een informatiesysteem. Is er sprake van een datalek, meld dit dan bij het meldpunt datalekken.”

5. Zorg voor een goed privacybeleid dat is gedragen door het management

Het begint met een privacybeleid dat wordt gedragen én uitgedragen door het MT. Erwin: “Dat was natuurlijk altijd al belangrijk, ook toen de Wet bescherming persoonsgegevens (Wbp) er nog was. Het management moet zich verantwoordelijk voelen. Ze moeten uitstralen: wij willen ons houden aan deze wet. We willen dat mensen zijn opgeleid. En we passen onze ICT-systemen aan. Laat dus ook de managers een AVG-training volgen. Dan kunnen zij weloverwogen besluiten nemen en hun verantwoordelijkheid pakken.”

De uitdagingen op het terrein van privacy in het sociaal domein lijken allemaal een open deur, maar volgens Erwin ontbreekt het vaak aan draagvlak voor een gedegen privacybeleid. “Vaak is de gedachte: die maatregelen kosten veel geld en leveren niets op. Dat is een misvatting. Als je het goed inricht, voorkom je datalekken en negatieve koppen in de kranten. En je zorgt voor goede dienstverlening aan de inwoner. Dat is uiteindelijk altijd het doel.”

Plaats als eerste een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.