login »

Inrichting en uitgangspunten

Informatievoorziening is een wezenlijk onderdeel van het werken in een Zorg- en Veiligheidshuis. Om tot een goede aanpak van probleemsituaties te komen, is het immers essentieel om over de juiste informatie te beschikken. ZVH dienen zich uiteraard wel aan de geldende wetgeving te houden.

Een verantwoorde en zorgvuldige omgang met persoonsgegevens heeft veel voordelen voor het ZVH. Een goed privacybeleid werkt echter alleen als alle medewerkers op de hoogte zijn van het belang van privacy en duidelijke instructies krijgen.

Om een ZVH zo in te richten dat gegevensuitwisseling binnen de hiervoor geldende wetgeving mogelijk is, dienen de volgende zaken op orde te zijn:

Inzicht in de Wet bescherming persoonsgegevens

Een groot deel van verantwoordelijke en zorgvuldige omgang met persoonsgegevens heeft te maken met het voldoen aan toepasselijke wet- en regelgeving. De Wet bescherming persoonsgegevens bevat de belangrijkste regels voor de bescherming van privacy wanneer het gaat om het verwerken van persoonsgegevens. De Wbp beschermt de informationele privacy van burgers en biedt daarmee een kader dat de verwerking van persoonsgegevens onder condities toestaat.

In tegenstelling tot wat vaak gedacht wordt, verbiedt de Wbp dus niet het delen van gegevens, maar geeft de Wbp aan onder welke omstandigheden dit mag (legitimiteit) en hoe er vervolgens met de gegevens moet worden omgegaan (zorgvuldigheid). Enige kennis van de Wbp is dus een belangrijke vereiste voor een zorgvuldige omgang met persoonsgegevens.

Een actueel samenwerkingsconvenant

Zorg- en Veiligheidshuizen moeten beschikken over een actueel en door alle partijen ondertekend samenwerkingsconvenant. In het convenant wordt de intentie om samen te werken vastgelegd en zijn belangrijke samenwerkingsafspraken, zoals het doel of de doelen van de samenwerking en de gegevensverwerking, nader uitgewerkt.

Let op! Een convenant kan wettelijke regels niet doorbreken. Bovendien kan een convenant nooit de grondslag zijn voor gegevensuitwisseling. Het is ook niet mogelijk om via een convenant een partij gegevens te laten ontvangen die zij normaliter niet zouden mogen krijgen.

Gegevensuitwisseling mag alleen plaatsvinden als daarvoor een wettelijke grondslag bestaat. Die wettelijke grondslag hangt samen met de wettelijke taken van de afzonderlijke partijen. Wanneer in de betreffende wet geen bepalingen staan over gegevensverwerking, zijn zowel die betreffende wet als de Wbp van toepassing.

Dus ongeacht de inhoud van het convenant moeten partijen zich houden aan de voor hen geldende wettelijke regels voor het uitwisselen van persoonsgegevens.

Download

De juiste bevoegdheidsverlening voor de procesregisseurs

Het Zorg- en Veiligheidshuis (ZVH) is geen juridische entiteit en heeft derhalve geen rechtspersoonlijkheid. Het heeft geen eigenstandige wettelijke taak en dus ook geen eigenstandige wettelijke basis om persoonsgegevens te verwerken, ook niet op het gebied van regievoering.

Het ZVH werkt altijd uit naam van een ketenpartner
Aangezien het ZVH geen juridische entiteit is, kan er (juridisch gezien) ook geen casus bij het ZVH worden aangemeld. Het ZVH kan zijn juridische basis om een casus te behandelen, uitsluitend ontlenen aan de bevoegdheid van de ketenpartner die de casus aanbrengt.

De aanmelding wordt in de praktijk in ontvangst genomen door een medewerker van het ZVH die vervolgens, namens de aanmeldende partij, het proces van intake, triage en casusoverleg in gang zet.

Vasteleggen mandatering
Hiervoor is het wel noodzakelijk dat de ketenpartners deze bevoegdheidsverlening aan de procesregisseurs goed hebben vastgelegd. Het ligt het meest voor de hand om deze mandatering vast te leggen in het samenwerkingsconvenant. In het modelconvenant (vanaf september 2017 beschikbaar als download) is de bevoegdheidsverlening als specifieke paragraaf opgenomen.

Toelichting: Het ZVH verwerkt gegevens dus niet op eigen titel, maar ten dienste en onder verantwoordelijkheid van de ketenpartner die de casus aanbrengt. Dit betekent dat de medewerkers van het ZVH hun werkzaamheden uitvoeren ten behoeve van en onder verantwoordelijkheid van de partner die de casus aanbrengt (en de zeggenschap over de gegevens blijft liggen bij deze partner).

Formeel vindt er dus geen gegevensuitwisseling plaats tussen het ZVH en de ketenpartners, maar tussen de aanbrenger van de casus (die hiervoor de procesregisseur heeft gemandateerd) en de andere partners die betrokken worden bij de casus.

Een actueel privacyprotocol

Het Zorg- en Veiligheidshuis beschikt bij voorkeur over een privacyprotocol.

Het doel van een privacyprotocol is meervoudig:

  • Het privacyprotocol bevordert de zorgvuldige verwerking van persoonsgegevens door de partners in het samenwerkingsverband en is een nadere uitwerking van het convenant.
  • Het privacyprotocol beschrijft de werkwijze van het ZVH en de manier waarop (op grond van de geldende privacyregelgeving) persoonsgegevens worden verwerkt door de convenantpartners.
  • Met het privacyprotocol wordt voldaan aan het beginsel van transparantie in de richting van betrokkenen waarvan persoonsgegevens worden verwerkt. Bovendien is het in overeenstemming met de Wet bescherming persoonsgegevens (Wbp) en eventuele sectorale wet- en regelgeving.

Download

Een actuele beschrijving van de werkprocessen

Gegevensuitwisseling binnen samenwerkingsverbanden vraagt om heldere afspraken over de werkprocessen: wie, met welk doel en met welke inzet deelneemt, en wie waarover, op welk niveau, regie voert. Daarom is het essentieel dat een Zorg- en Veiligheidshuis over een document beschikt waarin de werkprocessen goed beschreven zijn.

De partners voldoen aan alle materiële eisen uit de Wbp

De partners die binnen het Zorg- en Veiligheidshuis samenwerken en gegevens uitwisselen, moeten voldoen aan alle materiële eisen uit de Wbp, zoals informatiebeveiliging en het borgen van rechten van betrokkene(n).

In de Wbp zijn de volgende materiële eisen geformuleerd:

Meldplicht datalekken

Per 1 januari 2016 is de Wet meldplicht datalekken in werking getreden. Deze nieuwe wet heeft aan de Wbp een meldplicht toegevoegd voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens (artikel 34a Wbp).

Er is sprake van een datalek als zich bij een organisatie daadwerkelijk een inbreuk op de beveiliging, zoals bedoeld in artikel 13 Wbp, heeft voorgedaan. Hierdoor zijn persoonsgegevens verloren gegaan (lekken) of onrechtmatig verwerkt. Als voorbeelden van datalekken noemt de Autoriteit Persoonsgegevens een kwijtgeraakte USB-stick, een gestolen laptop, een inbraak door een hacker, een malware-besmetting of een calamiteit zoals brand in een datacentrum. Als sprake is van een dreiging of van een tekortkoming in de beveiliging die zou kunnen leiden tot een beveiligingsincident is dit geen datalek, maar gaat het om een beveiligingslek.

Bedrijven en overheden moeten een datalek binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens. Een lek dient gemeld te worden indien het gaat om persoonsgegevens van gevoelige aard, of als er om een andere reden sprake is van een (aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens. In bepaalde gevallen moeten ook betrokkenen worden geïnformeerd, bijvoorbeeld wanneer het lek waarschijnlijk ongunstige gevolgen kan hebben voor hun persoonlijke levenssfeer.

Wanneer een bewerker voor de verantwoordelijke persoonsgegevens verwerkt, moeten afspraken over de meldplicht datalekken worden vastgelegd in een bewerkersovereenkomst (artikel 14 lid 5 Wbp).

ICT-systemen

De Zorg- en Veiligheidshuizen (ZVH) gebruiken ICT-voorzieningen voor het delen en registreren van informatie (persoonsgegevens van de betrokken burgers) in het kader van de ondersteuning van casuïstiek. Een van de voorzieningen die speciaal is ontwikkeld voor het justitieel domein is GCOS. Deze afkorting staat voor: Generiek Casusoverleg Ondersteunend Systeem. GCOS wordt beheerd door de Justitiële Informatiedienst (Justid), een onderdeel van het Ministerie van Veiligheid en Justitie. Het ministerie is eigenaar. Andere systemen zijn SISA: ontwikkeld door de Gemeente Rotterdam en VIS2: ontwikkeld door de gemeente Enschede.

Er is geen specifieke wettelijke regeling voor de in ZVH´en gebruikte ICT-systemen. Dat betekent dat de algemene normen uit de Wet bescherming persoonsgegevens van toepassing zijn. Persoonsgegevens mogen dus alleen worden geregistreerd voor een duidelijk gezamenlijk doel en op basis van een wettelijke grondslag. De registratie moet noodzakelijk zijn voor het bereiken van dat gezamenlijke doel. De gegevens moeten juist, actueel en niet bovenmatig zijn.

De gegevens moeten worden beveiligd tegen verlies en onrechtmatig gebruik. De afzonderlijke casusdeelnemers zijn ieder zelf verantwoordelijk voor de selectie en keuze van casuïstiek en vervolgens voor de daadwerkelijke verwerking van persoonsgegevens in de ondersteunende ICT-voorzieningen. Het uitgangspunt daarbij is dat de persoonsgegevens vooral in de eigen bronsystemen van de deelnemende partijen worden geregistreerd, en alleen het hoogstnoodzakelijke in de ICT-voorziening die het ZVH gebruikt.

De beheerders van de ICT-voorzieningen hebben als zodanig de juridische positie van bewerker. In het geval van GCOS bijvoorbeeld is Justid als beheerder een bewerker namens het samenwerkingsverband ZVH van een bepaalde regio. Uit artikel 14 Wbp volgt dat er dan een bewerkersovereenkomst tussen verantwoordelijken en Justid moet worden afgesloten.

Uitgangspunten van deze webtool

Deze webtool richt zich op het delen van informatie bij integrale, ketenoverstijgende samenwerking rondom complexe problematiek. De tool is ontwikkeld volgens de uitganspunten van het Handvat Gegevensdeling in het zorg- en veiligheidsdomein. Deze zijn uitgebreid beschreven in het vertaaldocument Handvat Gegevensdeling in het zorg- en veiligheidsdomein.

Samenvatting vertaaldocument
Download het vertaaldocument integraal (pdf-bestand)

VIDEO: Werkwijze gegevensdeling over domeinen heen

Cookiemelding

akkoordDeze website maakt gebruik van cookies.
Klik hier voor meer informatie.