Autoriteit Persoonsgegevens: gebrekkige toestemming in het sociaal domein

Artikel 8 van de Wet bescherming persoonsgegevens (‘Wbp’) verbiedt de verwerking van persoonsgegevens zonder een geldige grondslag. Een van de geldige grondslagen is de wettelijke verplichting (artikel 8 sub c Wbp). Gemeenten verwerken echter ook persoonsgegevens voor taken die niet ondubbelzinnig terug te vinden zijn in de wetten op het gebied van jeugdzorg, werk en inkomen en zorg voor chronisch zieken en ouderen. Voor deze verwerkingen kunnen zij zich niet beroepen op de grondslag van de wettelijke verplichting.

De 41 onderzochte gemeenten bleken de verwerkingen waarvoor geen expliciete verplichting in de wet bestaat te verwerken op grond van de ondubbelzinnige toestemming van de betrokkene (artikel 8 sub a Wbp). Deze verwerkingen op grond van toestemming blijken vaak niet aan de privacywetgeving te voldoen. Uit het onderzoek blijkt dat:

• Het ontbreekt aan een heldere bepaling van wanneer en waarom toestemming wordt gevraagd bij de verwerking van persoonsgegevens in het sociaal domein;
• Er gebreken kleven aan de manier waarop de toestemmingsprocedures zijn vormgegeven;
• Er gebreken kleven aan de manier waarop de informatieplicht over de verwerking van persoonsgegevens in het sociaal domein wordt nagekomen;
• Geen van de 41 gemeenten heeft duidelijk onderscheiden wanneer toestemming nodig is, waarvoor toestemming nodig is en aan welke voorwaarden deze toestemming dan moet voldoen.

Onderstaand worden deze problemen toegelicht.

De onderzochte gemeenten blijken geen heldere en op juridische analyse gebaseerde beleidskeuzes te hebben gemaakt over de vraag wanneer en waarvoor toestemming wordt gevraagd bij de verwerking van persoonsgegevens in het sociaal domein. Veelal is niet duidelijk of toestemming wordt gevraagd als grondslag voor de verwerking van persoonsgegevens, toestemming moet worden gevraagd als grond voor de doorbreking van het (medisch) beroepsgeheim van de betrokken professional of dat toestemming wordt gevraagd voor de uitvoering van de hulpverlening

Sommige gemeenten blijken de onzekerheid te ondervangen door voor iedere verwerking toestemming te vragen. De Autoriteit Persoonsgegevens wijst erop dat moet worden voorkomen dat burgers het idee krijgen dat er alleen gegevens over hen mogen worden verwerkt als zij daarvoor toestemming geven, terwijl dat in werkelijkheid niet zo is. Daarmee worden burgers niet goed geïnformeerd over hoe de Wbp werkt. Bovendien ervaart de burger in het sociaal domein veelal weinig vrijheid omtrent de toestemming, omdat de burger van de gemeente afhankelijke is van zorg of van een uitkering. Door toestemming te vragen waar de verwerking plaatsvindt op een andere grondslag wordt de burger op het verkeerde been gezet waar het de betekenis van de toestemming betreft.

Ondubbelzinnige toestemming is slechts mogelijk indien de toestemming voldoet aan drie vereisten (artikel 1 sub i Wbp). De toestemming moet (1) in vrijheid zijn gegeven, er mag geen sprake zijn van druk van de omstandigheden of van de relatie waarin de betrokkene tot de verantwoordelijke staat. Daarnaast moet de toestemming (2) specifiek zijn. De toestemming moet zien op een specifieke verwerking en kan geen vrijbrief zijn voor een scala aan verwerkingen. Ten slotte moet de toestemming (3) geïnformeerd zijn.  De betrokkene moet zo goed mogelijk zijn ingelicht voordat hij of zij toestemming geeft voor de verwerking.

De AP concludeert dat veel gemeenten er niet in slagen om de toestemmingsprocedures zodanig vorm te geven dat deze voldoen aan de randvoorwaarden voor het verkrijgen van rechtsgeldige toestemming als grondslag voor de verwerking van persoonsgegevens of ter doorbreking van de (medische) geheimhoudingsplicht

Uit het onderzoek blijkt dat de kwaliteit van de toestemmingformulieren die de gemeenten gebruiken over het algemeen niet voldoende is. Zo wordt de burger veelal niet per doelstelling geïnformeerd over de grondslag voor de verwerking en worden de aard en omvang van de te verwerken persoonsgegevens niet nader gespecifieerd. Dit brengt met zich dat de toestemming niet geïnformeerd is en zodoende niet rechtsgeldig is

Ook blijken er gemeenten te zijn die de toestemming van de betrokkene afleiden uit de medewerking van de burger aan het ondersteuningstraject. Een dergelijke indirecte toestemming voldoet niet aan de vereisten van de Wbp, de Wgbo of de Jeugdwet.

Verder blijkt dat er in veel gevallen toestemming wordt gevraagd waarin de burger niet vrij is om deze toestemming te weigeren. Deze vrijheid ontbreekt doordat de weigering voor de burger grote gevolgen heeft. De passage ‘ik geef toestemming voor de verwerking van mijn persoonsgegevens verwerkt’ op de aanvraag voor gemeentelijke ondersteuning voldoet niet aan de vereiste van vrije toestemming.

Op basis van artikel 33 en 34 Wbp rust een informatieplicht op de verantwoordelijke voor de verwerking van persoonsgegevens. De betrokkene moet in ieder geval worden geïnformeerd over de identiteit van de verantwoordelijke, de doeleinden van de verwerking en derden met wie de informatie wordt gedeeld. De onderzochte gemeenten blijken niet aan deze informatieplicht te voldoen.

Wanneer toestemming wordt gevraagd voor de verwerking van persoonsgegevens blijkt de informatievoorziening veelal onvoldoende specifiek. Zo wordt niet uiteengezet welke gegevens voor welk doel worden verwerkt. Ook worden de burgers niet geïnformeerd op de rechten die zij hebben bij de verwerking van persoonsgegevens, zoals informatie, verzet en verwijdering. Hiermee worden burgers niet voldoende toegerust om de hen toekomende rechten bij de verwerking van persoonsgegevens te kunnen uitoefenen.

Verder concludeert de AP dat in gevallen waarin een andere grondslag dan toestemming wordt gehanteerd, helemaal geen informatie wordt verstrekt. Gemeenten lijken te veronderstellen dat het hanteren van een andere grondslag dan toestemming hen ontslaat van hun informatieverplichtingen. Dit is echter niet het geval.

Gemeenten blijken geen goed overzicht te hebben van de verschillende gegevens die zij verwerken en voor welke doelen en op welke grondslagen zij deze gegevens verwerken. Dit levert bijvoorbeeld grote problemen op in geval van een datalek. Wanneer geen duidelijk overzicht bestaat van welke gegevens worden verwerkt, is ook niet duidelijk welke gegevens (mogelijk) zijn gelekt.

De gegevensverwerking door gemeenten in het sociaal domein blijkt in veel gevallen (nog) niet aan de wet- en regelgeving te voldoen. De AP doet zes aanbevelingen aan de gemeenten om de wet- en regelgeving beter na te leven:

• Specificeer en concretiseer op basis van welke grondslagen voor welke specifieke doelen, welke gegevens concreet noodzakelijk zijn voor de taken in het sociaal domein. Leg dit (transparant) vast in beleid en vertaal dit (consistent) in beleid naar de werkvloer
• Onderscheid wanneer toestemming wordt gebruikt als grondslag voor de (verdere) verwerking van persoonsgegevens, ziet op toestemming voor de doorbreking van een geheimhoudingsplicht of ziet op instemming met de hulpverlening. Breng tot uitdrukking dat er verschillende eisen voor gelden en werk uit op welke wijze daaraan kan worden voldaan.
• Bepaal of ook bij aanwezigheid van een andere grondslag van betrokkene toestemming voor de verwerking van persoonsgegevens wordt gevraagd. Leg dit (transparant) vast in beleid en vertaal dit (consistent) in beleid naar de werkvloer. Leg daarbij met name ook vast wat de consequenties zijn als burgers de gevraagde toestemming niet verlenen, vooral als er een andere grondslag is: gaat men dan wel of niet over tot verwerking van persoonsgegevens.
• Onderbouw dat de toestemming die wordt gebruikt als (enige) grondslag voor de gegevensverwerking vrij, specifiek en geïnformeerd is.
• Voorzie in instructies voor de professional zodat deze in de praktijk (1) weet op basis van welke grondslag persoonsgegevens (mogen) worden verwerkt en (2) hoe hij burgers goed kan informeren over de hem betreffende gegevensverwerkingen.
• Informeer de burger over de gegevens die over hem worden verwerkt en wanneer en waarom daarvoor in de gemeente om toestemming zal worden gevraagd. Duidelijk moet zijn waarom de verwerking van welke specifieke gegevens voor welke specifieke doelen noodzakelijk is. Alleen zo kan de burger immers in staat worden gesteld om de hem toekomende rechten bij de verwerking van persoonsgegevens daadwerkelijk uit te oefenen.

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.