Privacy: niks Big Brother
Privacybescherming is vanzelfsprekend een leidend beginsel als data worden gedeeld. Wat zijn de belangrijkste aspecten van privacybescherming rond de Vindplaats?
Wbp
De Wet bescherming persoonsgegevens (Wbp) is sinds 1 september 2001 van kracht en is gebaseerd op EU-wetgeving. De Wbo stelt de kaders voor de - zorgvuldige - omgang met persoonsgegevens. Persoonsgegevens mogen bijvoorbeeld alleen voor vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn. Consumenten en burgers moeten weten wie hun gegevens verwerkt en waarvoor.
Wgs
De Wet gemeentelijke schuldhulpverlening (Wgs) is op 1 juli 2012 in werking getreden. Het is een kaderwet die de gemeente veel beleidsvrijheid biedt. Maar de wet kent daarentegen ook strenge voorschriften van de Algemene wet bestuursrecht (Awb). Dit is met name relevant met het oog op beslistermijnen en het afgeven van beschikkingen.
Winterregeling voor energiemaatschappijen
Tussen 1 oktober en 1 april leveren energiemaatschappijen data aan bij gemeenten in verband met voorgenomen afsluitingen. Wettelijk is het nog niet mogelijk om na deze datum data aan te leveren aan de gemeenten. Hierover vindt nog overleg plaats.
Convenant
Per project dient een convenant te worden getekend tussen alle deelnemende partijen. Dit document legt de juridische kaders vast van de informatie-uitwisseling en borgt dat de werkwijze voldoet aan het principe van society trusted data. zo moet worden vastgelegd wie in het kader van de wet de verantwoordelijke is voor de data en wie de bewerker van de data. Ook dient de gegevensset te worden vastgelegd en het doel van de gegevensverwerking.
Convenanten worden al langere tijd gebruikt in de schuldhulpverlening, maar dan in de meeste gevallen een-op-een tussen branche- en belangenorganisaties. Zo heeft de NVVK, waarin schuldhulpverleners zijn verenigd, convenanten afgesloten met onder andere de Vereniging Energie-Nederland, Thuiswinkel.org, het CJIB, de NS en de gezamenlijke drinkwaterbedrijven.
Beveiliging
Onderdeel van het convenant is de wijze waarop de beveiliging is ingeregeld; een taak voor de verantwoordelijke in het kader van de Wbp. Dit gaat verder dan technische aspecten zoals veilige procedures en gebruik van de ICT-infrastructuur. Ook moet worden vastgelegd wie mag inkijken, meldingen doen en mutaties aanbrengen.
Informatievoorziening
Deelnemende organisaties informeren hun klanten over de mogelijkheid dat hun gegevens worden gedeeld. Hiervoor kunnen speciale voorlichtingscampagnes of brieven worden opgezet. Ook dient de gegevensuitwisseling mogelijk te zijn conform de algemene voorwaarden van de betreffende organisatie.
Branchespecifieke regels
Woningcorporaties, nutsbedrijven en andere deelnemers zoals gemeenten hebben binnen hun branche eigen regels voor het opslaan en eventueel delen van persoonsgegevens. Deze moeten natuurlijk in lijn zijn met de uitgangspunten van de Vindplaats en society trusted data.
Zorgverzekeraars zijn verplicht om van hun klanten betaalachterstanden vanaf twee maanden te registreren in een database: Vektis. Deze wordt beheerd door brancheorganisatie Zorgverzekeraars Nederland. Ook brancheorganisatie Vecozo ontvangt data. De data kan worden gedeeld met gemeenten op basis van de Regeling elektronisch gegevensverkeer Zorgverzekeringswet.
Verantwoordelijke en bewerker
In de Wbp zijn twee belangrijke begrippen vastgelegd: verantwoordelijke en bewerker. Volgens de wet is de ‘verantwoordelijke’ degene die, al dan niet met een ander, het ‘doel en de middelen voor de verwerking van persoonsgegevens vaststelt’. De verantwoordelijke moet nagaan of ‘de gegevensverwerking rechtmatig, behoorlijk, zorgvuldig en in overeenstemming is met de wet’. Ook de gegevensbescherming is zijn verantwoordelijkheid, evenals het erop toezien dat informatie wordt gegeven of (bij fouten) gecorrigeerd als betrokkenen daar om vragen.
De ‘bewerker’ verwerkt in opdracht van de verantwoordelijke de gegevens, zonder dat hiervoor een directe hiërarchische band tussen beiden hoeft te bestaan. Binnen de Vindplaats van Schulden treden zorgverzekeraars, woningcorporaties en andere gegevensverstrekkende organisaties op als verantwoordelijke, waarbij stichting BKR de bewerker is.
Deelnemers aan de Vindplaats van Schulden…
… verwerken niet meer persoonsgegevens dan noodzakelijk en alleen voor vroegsignalering;
… waarborgen de volledigheid en accuratesse van persoonsgegevens;
… beveiligen persoonsgegevens tegen verlies of ongeoorloofde toegang, en openbaarmaking;
… zijn transparant over het beleid en gebruik van persoonsgegevens;
… geven BKR toegang tot de over hen opgeslagen informatie en corrigeren fouten hierin;
… leggen verantwoording af over hun aanpak.
Checklist privacy NVVK
De NVVK heeft een lijst opgesteld voor haar leden voor het borgen van privacy bij vroegsignaleringtrajecten:
- Bepaal wie gegevens verzamelt en wie verantwoordelijke is volgens de Wbp met bijbehorende taken.
- Bepaal welke gegevens worden uitgewisseld én uit welke bronnen ze afkomstig zijn.
- Bepaal welke wettelijke basis er is voor de gegevensuitwisseling.
- Bepaal het verenigbare doel van de gegevensuitwisseling én ten behoeve van welk proces de gegevensuitwisseling plaatsvindt.
- Bepaal de invulling van de aanvullende wettelijke bepalingen.
- Zorg voor een goede borging van alle privacyaspecten.