Gisteren heeft de Autoriteit Persoonsgegevens ("AP") een uitgebreid onderzoeksrapport ("Rapport") gepubliceerd over privacy compliance bij gemeenten in het sociaal domein. Het Rapport is gebaseerd op inlichtingen van 41 gemeenten. De AP concludeert dat gemeenten hun zaken (nog) niet op orde hebben. Vooral als het gaat om toestemming of de informatieverplichting schieten gemeenten tekort.

Hoewel de AP in het Rapport tot enkele stevige conclusies komt, geeft zij in het Rapport  ook diverse handvatten. De AP onderkent de complexiteit van de taak van gemeenten in het sociaal domein. De belangrijkste onderwerpen in het Rapport zijn het gebruik van toestemming en de uitwerking van de informatieverplichting.

Geen onderscheid typen toestemming

De AP signaleert dat gemeenten vaak onterecht gebruik maken van toestemming als verwerkingsgrondslag. Er is geen duidelijk onderscheid tussen de verschillende typen toestemming waarmee de burger binnen het sociaal domein te maken krijgt:

  • Toestemming als grondslag voor gegevensverwerking
  • Toestemming als grond voor doorbreking van het (medisch) beroepsgeheim
  • Toestemming/instemming met de uitvoering van hulpverlening

De AP signaleert tevens dat gemeenten vaak op incorrecte wijze toestemming verkrijgen. De huidige aanpak van gemeenten wekt bij burgers ten onrechte de indruk dat alleen gegevens ​van hen worden verwerkt indien zij daarvoor toestemming hebben gegeven.

De AP legt in het Rapport uit welke andere grondslagen voornamelijk relevant zijn voor gemeenten en geeft aan dat deze de voorkeur verdienen boven toestemming. Wanneer sprake is van een afhankelijkheidsrelatie kan toestemming bijvoorbeeld niet in vrijheid worden gegeven. De alternatieve grondslagen betreffen; de wettelijke verplichting (artikel 8 sub c Wbp), de publiekrechtelijke taak (sub e) en de uitvoering van een overeenkomst (sub b). Wanneer deze grondslagen niet aanwezig zijn, bijvoorbeeld bij taken in het sociaal domein die niet wettelijk geregeld zijn, moet toestemming gevraagd worden.

De AP instrueert gemeenten om tot een helder beleid te komen over wa​nneer en waar toestemming hoort te worden gevraagd. De AP biedt gemeenten hierbij hulp in de vorm van diverse modellen en een voorbeeld -toestemmingsformulier (bijgevoegd als bijlagen​ bij het Rapport).

Informatieverplichting

De AP signaleert in haar Rapport tevens dat gemeenten niet voldoen aan hun informatieverplichting uit de Wbp. Vaak wordt het al dan niet bestaan van informatieverplichtingen onterecht gelijkgesteld met het al dan niet bestaan van een toestemmingsvereiste. Ook dient de interne informatievoorziening binnen gemeenten te verbeteren. De AP benadrukt het belang van een helder beleid en goede instructies voor professionals zodat deze op de hoogte zijn van (1) de grondslag waarop zij persoonsgegevens mogen verwerken en (2) hoe zij de burger daarover op een juiste wijze kunnen informeren.