Stap 8 Regelgeving over dataverwerking

Monitoringstool > Stap 8: Regelgeving over dataverwerking

Belangrijkste vragen in deze stap

  • Welke grondslag is er voor jullie gegevensverwerking?
  • Welke specifieke wetgeving is op jullie gegevensverwerking van toepassing?
  • Zijn er goede afspraken gemaakt over verantwoordelijkheid en maatregelen voor gegevensbescherming?
  • Kun je data anonimiseren of kies je voor pseudonimiseren?

Uitgangspunten AVG-regels

In de Algemene Verordening Gegevensbescherming (AVG) is wettelijk vastgelegd dat je persoonsgegevens niet zomaar mag verwerken. Het mag alleen als het echt niet anders kan, dus als je zonder deze gegevens je doel niet kunt bereiken. De AVG is algemene wetgeving. Dat betekent dat specifieke wetgeving over het verwerken van persoonsgegevens boven de AVG gaat. Daarom speelt bij gegevensverwerking voor het jeugdbeleid ook de specifieke wetgeving voor gemeenten, onderwijs en jeugdzorg een rol.

Belangrijk is dat je een goede reden moet hebben om persoonsgegevens te verwerken, een zogenaamde grondslag. De AVG noemt zes geldige grondslagen:

  1. toestemming
  2. wettelijke plicht
  3. bescherming vitaal belang
  4. uitvoering van een overeenkomst
  5. algemeen belang
  6. gerechtvaardigd belang

Meer informatie over het verwerken van persoonsgegevens binnen de AVG en de grondslagen vind je op de website van de Autoriteit Persoonsgegevens.

Toestemming als grondslag

Op dit moment bestaat er nog geen goede wettelijke grondslag voor de samenwerking tussen verschillende hulpverleningspartners onderling en ontbreekt die helemaal voor de samenwerking van hulpverleners met bijvoorbeeld het onderwijs. Toestemming is dan de meest gebruikte grondslag. Als professional moet je kunnen aantonen dat jongeren en/of hun ouders toestemming hebben gegeven.

Het is aan te raden je grondslag voor het verwerken van persoonsgegevens op verschillende plekken vast te leggen, bijvoorbeeld in je privacyverklaring of privacybeleid.

Naast ‘gewone’ persoonsgegevens heeft de AVG ook regels voor het verwerken van bijzondere persoonsgegevens. Dat zijn bijzonder gevoelige gegevens, zoals etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of genetische informatie. Het verwerken van deze bijzondere persoonsgegevens is in principe verboden. Het mag alleen als er sprake is van een wettelijke uitzondering. Daarnaast is dan nog steeds een grondslag nodig. Gegevensuitwisseling tussen hulpverleners onderling of bijvoorbeeld met het onderwijs gaat vaak over bijzondere persoonsgegevens, namelijk over gezondheid. Die mogen alleen uitgewisseld worden als een wet dat verplicht of mogelijk maakt. In het geval van passend onderwijs en hulpverlening is dit het geval. Meer informatie over het verwerken van bijzondere persoonsgegevens en uitzonderingen in de AVG op basis waarvan je bijzondere persoonsgegevens mag verwerken, vind je op de website van de Autoriteit Persoonsgegevens.

Voor meer informatie over gegevensdeling kun je ook kijken in deze handreiking.

Uit de praktijk

Omgaan met AVG

Gemeente Almere Nadat de gemeente Almere enkele keren met partners het proces heeft doorlopen, heeft zij een standaardovereenkomst opgesteld voor het aanleveren van data over leerlingen. Die kan nu gebruikt worden als opzet voor iedere nieuwe overeenkomst over het aanleveren van data voor de verbinding tussen onderwijs en jeugdhulp. Twentse Onderwijs Jeugdhulp Monitor Toen duidelijk was welke data gebruikt ging worden, werd een DPIA gedaan: een onderzoek dat risico’s voor de privacy aan het licht brengt en aangeeft waar maatregelen nodig zijn. Daar kwamen veel juristen bij kijken. Het was een stroperig, maar zorgvuldig en belangrijk proces. Conclusie: het helpt om vooraf goed voor ogen te hebben welk doel je hebt met je monitor en welke data je erin wilt gebruiken.

Maatregelen voor dataveiligheid

Organisaties die persoonsgegevens verwerken, dienen daar zorgvuldig mee om te gaan. Dat betekent onder meer dat zij passende technische en organisatorische maatregelen moeten nemen om onrechtmatige verwerking van persoonsgegevens te voorkomen. Zo moeten zij bijvoorbeeld voorkomen dat onbevoegden toegang hebben tot persoonsgegevens. Daarvoor kan ook een zogenaamde privacy assessment moeten worden uitgevoerd. Organisaties die persoonsgegevens verwerken hebben ook verantwoordingsplicht.

Onderlinge afspraken

Samenwerkingspartners die persoonsgegevens uitwisselen, dienen onderling goede afspraken te maken die voldoen aan bovenstaande basiseisen. Ook hebben zij de verantwoordelijkheid om op een nette manier met de data om te gaan. Voor het borgen van deze afspraken en verantwoordelijkheden is het van belang om in een vroeg stadium een functionaris gegevensbescherming of privacy officer in te schakelen die het proces beheert en controleert. Het is gebruikelijk dat alle betrokken partijen hiervoor hun eigen privacy officer raadplegen. Wees je ervan bewust dat dit langdurige processen kunnen zijn. Niet alleen de juridische controle maar ook het verzamelen van de benodigde handtekeningen kan tijd kosten.

In de overeenkomst

In een overeenkomst over het verstrekken en/of verwerken van data waarin (bijzondere) persoonsgegevens opgenomen zijn, horen de volgende onderwerpen te staan:

  • welke (bijzondere) persoonsgegevens worden aangeleverd (naam, adres, geslacht, leeftijd, etc.)
  • voor welk doel gegevens verstrekt of verwerkt worden
  • op basis van welke grondslag gegevens verstrekt mogen worden, per leverancier
  • dat de verkregen persoonsgegevens niet zonder toestemming van de leverancier verder mogen worden verstrekt en ook niet gebruikt voor een ander doel dan waarvoor ze verkregen zijn
  • welke functionarissen toegang krijgen tot de gegevens
  • hoe lang gegevens bewaard worden
  • waar mensen terecht kunnen bij vragen of klachten over het verwerken van de gegevens
  • afspraken over hoe gehandeld gaat worden bij een datalek
  • dat partijen die persoonsgegevens verwerken handelen conform AVG en andere privacy wetgeving

Het uitzoeken van de risico’s voor privacy en welke maatregelen je moet nemen is misschien een stroperig proces. Maar het is wel heel belangrijk dat dit zorgvuldig gebeurt.

Kennispunt Twente

Anonimiseren of pseudonimiseren

Persoonsgegevens anonimiseren of pseudonimiseren is noodzakelijk om aan de regels van de AVG te voldoen. Bij anonimiseren bewerk je persoonsgegevens zodanig dat de persoon niet meer identificeerbaar is. Op geanonimiseerde datasets is de AVG niet meer van toepassing omdat er dan geen persoonsgegevens meer zijn. Anonimiseren kan een optie zijn als je geen grondslag hebt voor het verwerken van persoonsgegevens. Je kunt de data dan bijvoorbeeld nog wel voor statistische analyses op een hoger niveau gebruiken. Houd er echter rekening mee dat er geen weg terug is. Wanneer de dataset eenmaal geanonimiseerd is, kunnen de persoonsgegevens later niet opnieuw gevonden worden.

Bij pseudonimiseren worden persoonsgegevens ‘versleuteld’ door ze te vervangen door een pseudoniem, bijvoorbeeld een andere naam of ‘persoon #451’. In de dataset is daardoor niet te zien over welke persoon het precies gaat. Bij een eventueel datalek kunnen daardoor geen gevoelige gegevens aan personen toegeschreven worden. Daarnaast is het wel mogelijk om, wanneer het nodig is, later personen te traceren. Bij pseudonimiseren gelden dus de regels van de AVG en is er dus ook een grondslag voor nodig.

Het versleutelen of bewerken van persoonsgegevens doe je met een algoritme. Voor het maken van dit algoritme is expertise nodig op gebied van zowel AVG als van Business Intelligence of datascience. Kijk goed wie je bij deze handeling nodig hebt. Bespreek dit met je samenwerkingspartners. Het is mogelijk om hiervoor een externe partij in te schakelen. Let er dan op dat ook deze partij een grondslag nodig heeft om toegang te krijgen tot privacygevoelige data.

Uit de praktijk

Pseudonimiseren

Schoolportretten gemeente Utrecht De gemeente Utrecht maakt gebruik van gepseudonimiseerde BSN-nummers. Gegevens uit verschillende bronnen die bij hetzelfde BSN-nummer horen kunnen daardoor aan elkaar gekoppeld worden, zonder dat het oorspronkelijke BSN-nummer zichtbaar is. De gemeente levert partners een programma om zelf de BSN-nummers te pseudonimiseren. De gegevens komen onherkenbaar binnen bij de gemeente en worden daarna gekoppeld aan het datasysteem.

< Stap 7 Persoonsgegevens gebruiken?
Stap 9 Persoonsgegevens koppelen >
< Stap 7 Persoonsgegevens gebruiken?
Stap 9 Persoonsgegevens koppelen >

Deel deze pagina