Home

Informatie delen in samenwerkingsverbanden

Informatieblad nummer 31A, februari 2011

Dit informatieblad is bestemd voor de verantwoordelijke, dat is degene die voor eigen doeleinden persoonsgegevens gebruikt. Dit informatieblad gaat in op de volgende vragen:

Wat zijn samenwerkingsverbanden?
Binnen welk wettelijk kader is informatie delen toegestaan?
Wat is het gemeenschappelijk doel?
Op welke gronden is het informatiedelen toegestaan?
Is informatiedelen verenigbaar?
Wie is de verantwoordelijke?
Wat zijn de verplichtingen van een verantwoordelijke?
Hoe wordt de omvang van het delen van informatie bepaald?
Hoe moet u omgaan met het ambts- en beroepsgeheim?
Wat is de bewaartermijn?
Welke vervolgacties zijn mogelijk?
Welk nut heeft een convenant?
Stappenplan

Samenwerking tussen organisaties kan noodzakelijk zijn om maatschappelijke problemen aan te pakken. Zo kan het noodzakelijk zijn dat informatie gedeeld wordt in het kader van de aanpak van veelplegers, woonfraude, hennepteelt of vrijplaatsen. Daarnaast kan het noodzakelijk gevonden worden om samen te werken om bepaalde basisbehoeften of hulp- en zorgverlening binnen het bereik van mensen te brengen (bemoeizorg). Indien het informatie delen in het samenwerkingsverband het delen van persoonsgegevens inhoudt, moet er voldaan worden aan de normen van de privacywetgeving. Dat betekent dat u een aantal stappen moet doorlopen. U moet zich onder meer afvragen of informatie delen noodzakelijk is en zo ja, of het eerbiedigen van een beroepsgeheim u toestaat om informatie te delen.

lees het volledige informatieblad (78 KB)

Samenwerken
Samenwerking is geboden waar maatschappelijke problemen een gezamenlijke aanpak noodzakelijk maken. Samenwerken en informatie delen kan alleen als alle betrokken instanties het willen en bevoegd zijn om aan de oplossing van het probleem mee te werken. Als u ervoor heeft gekozen deel uit te maken van een samenwerkingsverband, is uw positie evenwel niet vrijblijvend. Als u als medewerker van een woningbouwcorporatie erachter bent gekomen dat een bewoner een wietplantage heeft en u deelt deze informatie met de politie tijdens een overleg, mag de politie deze bewoner daarvoor aanpakken omdat dat tot haar taakuitoefening hoort. Denk hierover na voor u met de samenwerking en het delen van informatie begint.

Wettelijk kader
Op informatie delen in een samenwerkingsverband zijn verschillende wetten van toepassing. De Wet bescherming persoonsgegevens (Wbp) is de algemene kaderwet. De Wet politiegegevens (Wpg) bepaalt wat de politie met informatie mag doen. In de Wet geneeskundige behandelingsovereenkomst is de grens van het (medisch) beroepsgeheim bepaald en in de Wet Gemeentelijke basisadministratie staat wat er met de gegevens uit de gemeentelijke basisadministratie mag gebeuren.

Bepaal het gemeenschappelijk doel
De Wbp bepaalt dat persoonsgegevens alleen verwerkt mogen worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Het doel waarvoor de gegevens zijn verzameld en vervolgens worden gebruikt, is bepalend voor de hoeveelheid en de soort informatie die mag worden gedeeld. U dient dus vooraf goed te bepalen wat het gemeenschappelijke doel van de samenwerking is en of alle deelnemers in het kader hiervan informatie over personen mogen delen. Dit gemeenschappelijke doel bepaalt ook welke gegevens over welke personen u onderling mag delen.

Voor sommige persoonsgegevens, met name voor medische of strafrechtelijke, gelden strengere regels. Deze mogen alleen maar worden gebruikt als de Wbp en andere wetgeving dat uitdrukkelijk toestaan, zoals voor uitoefening van de politietaak, voor hulpverlening of voor de strafrechtspleging.

Grondslagen voor het verwerken van persoonsgegevens
Artikel 8 Wbp bevat een opsomming van de gronden voor een toelaatbare gegevensverwerking (persoonsgegevens delen is ook een vorm van verwerken). U kunt persoonsgegevens delen in een samenwerkingsverband als dat vereist is op grond van een wettelijk voorschrift, in het kader van uw publiekrechtelijke taak of als u daarvoor een gerechtvaardigd belang heeft. Een combinatie van deze gronden is ook mogelijk. Toestemming van degene van wie u gegevens verwerkt (de betrokkene) zal bij samenwerkingsverbanden meestal geen basis zijn. Het initiatief tot samenwerken is namelijk niet van de betrokkene afkomstig. Verder moet hij zijn toestemming in vrijheid kunnen geven. Maar hij verkeert vaak in een afhankelijke positie ten opzichte van bijvoorbeeld een Bureau Jeugdzorg, een school of een woningbouwcorporatie. Dit betekent overigens niet dat betrokkene niet geïnformeerd moet worden over het gebruik van zijn gegevens of hier geen bezwaar tegen kan maken.

Verder gebruik moet verenigbaar zijn
Als u informatie gaat delen binnen het samenwerkingsverband, moet u steeds beoordelen of het doel waarvoor de informatie wordt gedeeld, verenigbaar is met het doel waarvoor u de gegevens oorspronkelijk hebt verzameld. Hierbij geldt:

hoe dichter de twee doeleinden bij elkaar liggen (oftewel hoe meer verwant ze zijn), hoe eerder het verdere gebruik van gegevens verenigbaar is met het doel waarvoor de gegevens zijn verzameld.
als de betrokkene de gegevens als gevoelig ervaart, mag u minder snel aannemen dat deze gegevens ook voor andere doeleinden mogen worden gebruikt. Een leerlingdossier of inkomensgegevens worden vaak als gevoelig ervaren.
als het verdere gebruik tot gevolg heeft dat een bepaalde beslissing over de betrokkene wordt genomen, moet u een extra afweging maken. Het gaat hier bijvoorbeeld om de situatie waarin het gebruik ertoe leidt dat de betrokkene wordt beperkt in zijn mogelijkheden om zich maatschappelijk te ontwikkelen. Denk hierbij aan een verslaafde aan wie een gebiedsontzegging wordt opgelegd.

Stel vast wie de verantwoordelijke is
De Wbp legt verplichtingen op aan degene die persoonsgegevens verwerkt, de verantwoordelijke. Weliswaar hebben ook anderen plichten, maar die verplichtingen zijn steeds afgeleid van de plichten van de verantwoordelijke. Bent u degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze, dan bent u de verantwoordelijke. Een verantwoordelijke is degene die formeel-juridisch de bevoegdheid heeft om doel en middelen te bepalen. In een samenwerkingsverband is de meest gerede partner vaak de verantwoordelijke. Dat is degene met de meeste bevoegdheden en de meeste betrokkenheid in een overleg. Soms kan er sprake zijn van een gezamenlijke verantwoordelijkheid.

Verplichtingen van de verantwoordelijke op grond van de Wbp

Betrokkenen de mogelijkheid geven hun rechten uit te oefenen. De betrokkene moet weten bij wie hij zijn inzage- of correctieverzoek kan indienen of bezwaar kan maken tegen het gebruik van zijn gegevens. Als de betrokkene u om inzage verzoekt, moet u op een duidelijke manier de betrokkene informeren welke gegevens gebruikt worden, wat het doel is van het gebruik van deze gegevens en aan wie de gegevens eventueel zijn verstrekt. Het recht om correctie te vragen omvat verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens. Een betrokkene kan correctie verzoeken in drie gevallen: als zijn persoonsgegevens feitelijk onjuist of voor het doel of de doeleinden waarvoor u ze hebt verzameld, onvolledig of niet ter zake dienend zijn, dan wel als u ze op een andere manier in strijd met een wet gebruikt. Tenslotte kan een betrokkene in enkele gevallen bezwaar maken tegen het gebruik van zijn gegevens in verband met zijn bijzondere persoonlijke omstandigheden. U moet dan beslissen of u stopt met het gebruik van zijn gegevens of hiermee doorgaat omdat u meent hiervoor een goede reden te hebben. Zie verder het informatieblad Rechten van de betrokkene. Wat kan de betrokkene verder zelf doen?
Informatieplicht. U moet de betrokkene in ieder geval op de hoogte stellen van uw identiteit en van het doel of doeleinden waarvoor u de gegevens verzamelt. Daarnaast geldt bij het delen van informatie dat u de betrokkene daarover ook informeert. Zie verder het informatieblad Informatieplicht.
Beveiligingsplicht. De Wbp legt de verantwoordelijke de verplichting op om organisatorische en technische maatregelen te treffen om de verzamelde persoonsgegevens te beveiligen. Zie verder de studie Beveiliging van persoonsgegevens.
Meldingsplicht. Een gegevensverwerking in het kader van een samenwerkingsverband moet gemeld worden bij het College bescherming persoonsgegevens (CBP). Als er sprake is van een centrale gegevenverwerking, kan volstaan worden met één melding voor het samenwerkingsverband. Deze kan gedaan worden door de verantwoordelijke of door de meest gerede partner namens de andere verantwoordelijken als het gaat om een gezamenlijke verantwoordelijkheid. De meest gerede partner is over het algemeen de instantie waar zich de gegevenverwerking bevindt. Als er geen centrale gegevensverwerking is, moeten alle deelnemende instanties in hun eigen melding aangeven dat bepaalde gegevens voor bepaalde doeleinden aan anderen worden verstrekt (de ontvangers). Zie verder het informatieblad Melden en vrijstellingen.
Voorafgaand onderzoek. Een aantal gegevensverwerkingen komt voor een voorafgaand onderzoek door het CBP in aanmerking. Het gaat om verwerkingen die naar het oordeel van de wetgever een grote inbreuk op de persoonlijke levenssfeer van de betrokkenen betekenen, zoals bij heimelijke waarneming of het gebruik van identiteitsnummers en van strafrechtelijke gegevens ten behoeve van derden. Voordat met deze gegevensverwerkingen wordt begonnen, moet het CBP een voorafgaand onderzoek kunnen uitvoeren. Een voorafgaand onderzoek kunt u aanvragen via het Wbp-Meldingsprogramma. Zie verder het informatieblad Voorafgaand onderzoek.

Omvang informatie delen
Als het gaat om bemoeizorg is het doel van het delen van informatie de cliënten geleiden naar de reguliere hulpverlening. Voortvloeiend uit dit doel blijkt wie aan tafel mogen zitten en gegevens mogen krijgen. De kernpartners die deelnemen aan deze overleggen kunnen zijn: verslavingszorg, GGZ, GGD, maatschappelijke opvang, thuiszorg, huisartsen en maatschappelijk werk. De schilpartners kunnen zijn: politie, woningcorporaties, reclassering, gemeenten, buurthuiswerk, nutsbedrijven en andere hulpverleners. De schilpartners nemen afhankelijk van de casus deel aan het overleg. Met het vaststellen van de agenda zal hier zoveel mogelijk rekening mee moeten worden gehouden. Het is raadzaam de schilpartners een geheimhoudingsverklaring te laten tekenen. GGZ Nederland, GGD Nederland en de KNMG hebben in april 2005 de handreiking Gegevensuitwisseling in het kader van bemoeizorg uitgebracht.

Zowel de kernpartners als de schilpartners wisselen alleen de hoogstnoodzakelijke gegevens uit. In sommige gevallen betekent dit dat partijen tijdens een overleg aangeven of een persoon bij hun bekend is.Dit wordt ook wel ‘buitenkant’-informatie genoemd. Dit soort informatie valt gewoon onder de werking van de Wbp.

Geheimhouding
Het beroepsgeheim van een medische beroepsbeoefenaar zal het meestal niet mogelijk maken om het medisch dossier van cliënten aan bijvoorbeeld politie/justitie ter beschikking te stellen. Dit geldt overigens ook voor het mondeling delen van informatie of voor het meekijken op een computerscherm. Ook betekent het feit dat de andere deelnemers een geheimhoudingsplicht hebben nog niet dat informatie zomaar mag worden gedeeld. Op grond van hun beroepscode zijn niet alleen medische beroepsbeoefenaars maar ook maatschappelijke werkers verplicht tot geheimhouding.

De geheimhoudingsplicht is niet absoluut. Informatie delen kan als daarvoor toestemming is verkregen van degene die de informatie betreft, als een wet expliciet voorschrijft om bepaalde informatie te delen, of als het gaat om een noodsituatie. De toestemming wordt verondersteld als het gaat om het delen van de noodzakelijke gegevens tussen beroepsbeoefenaren of hulpverleners die bij dezelfde behandeling betrokken zijn. Samenwerken kan dan deel uitmaken van de wijze van behandelen.

Het verkrijgen van toestemming van de betrokkene is de ideale werkwijze. Soms is dat echter niet mogelijk, terwijl een beroepsbeoefenaar of hulpverlener het wel noodzakelijk kan vinden om informatie te delen met andere instanties. In dat geval kan alleen ‘buitenkant’-informatie gedeeld worden.

Zo mag een GGD geen diagnose (bijvoorbeeld dat iemand schizofrenie heeft) verstrekken aan een woningcorporatie, maar kan het wel noodzakelijk zijn om in het kader van het bestrijden/voorkomen van overlast informatie als ‘onvoorspelbaar impulsief agressief gedrag’ te delen met de woningcorporatie. Ook kan het nodig zijn de woningcorporatie te laten weten dat de betrokkene onder behandeling is en dat, als dat zo is, de verwachting is dat de geconstateerde problemen zullen afnemen.

Het beroepsgeheim staat er dus niet aan in de weg om in bepaalde gevallen, mede in het belang van de cliënt, relevante informatie over hulpverleningscontacten of mogelijkheden daartoe te delen met instanties als politie en woningcorporaties. Uiteraard is de beroepsbeoefenaar of hulpverlener degene die in een concreet geval de afweging moet maken of hij informatie wil delen met anderen. Zie verder het informatieblad Geheimhouding van medische gegevens.

Binnen beroepsgroepen die met het verschijnsel huiselijk geweld of kindermishandeling in aanraking komen, bestaat behoefte aan kennis over de mogelijkheden om informatie over huiselijk geweld met anderen te delen. Huisartsen, hulpverleners, medewerkers van consultatiebureaus, ziekenhuizen en thuiszorginstellingen durven vaak geen persoonlijke gegevens van hun cliënten uit te wisselen uit angst de geheimhoudingsplicht te doorbreken. Toch biedt de Nederlandse wet- en regelgeving wel ruimte om het belang van de cliënt af te wegen tegen het belang van geheimhouding. Om hulpverleners bij deze belangenafweging te helpen, heeft de Helpdesk Privacy Jeugd en Gezin van het ministerie van Justitie een digitale wegwijzer en modelconvenant ontwikkeld.

Voor de politie is de verstrekking van politiegegevens aan samenwerkingsverbanden geregeld in artikel 20 van de Wet politiegegevens (Wpg). In dit artikel staan de voorwaarden waaronder de politie structureel mag verstrekken aan derden. De politie moet voorafgaand aan iedere individuele verstrekking wel afwegen of de verstrekking noodzakelijk is, of deze proportioneel is en of de gegevens niet op andere wijze kunnen worden verkregen door instanties. Als de politie besluit de gegevens te verstrekken, wordt de geheimhoudingsplicht overgedragen op de ontvangende instanties. Zij mogen deze gegevens niet anders verwerken dan voor het doel waarvoor de politie de gegevens heeft verstrekt.

Bewaartermijn
Hoelang u de verzamelde gegevens mag bewaren verschilt per situatie: in de Wbp staat geen vaste bewaartermijn. Soms verplicht een wet u gegevens gedurende een bepaalde periode te bewaren. Indien dat niet het geval is, moet u zich steeds afvragen of het voor uw doel nog noodzakelijk is de gegevens te bewaren. Wat noodzakelijk is, kan in de publieke sector anders liggen dan in de private sector. Als het voor het doel van het samenwerkingsverband niet meer noodzakelijk is de gegevens te bewaren, moeten de persoonsgegevens verwijderd worden of bijvoorbeeld van alle identificerende kenmerken ontdaan worden. Zie verder het informatieblad Bewaartermijnen van persoonsgegevens in uw bestanden.

Verder gebruik van gegevens
De verzamelde gegevens kunnen gebruikt worden voor wetenschappelijk onderzoek en statistiek. De kaders daarvoor kunt u vinden in de Gedragscode voor verwerking van persoonsgegevens bij onderzoek en statistiek. De verzamelde gegevens kunnen niet gebruikt worden als beleidsinformatie, want daarvoor zijn tot individuen herleidbare gegevens niet noodzakelijk.

Convenant
Het verdient aanbeveling om werkafspraken binnen een samenwerkingsverband vast te leggen in een convenant. Een convenant is een bindende overeenkomst tussen de samenwerkende partijen waarin u vastlegt wat de samenwerking inhoudt. Een reglement (ook wel protocol genoemd) legt vervolgens vast hoe de gegevensstromen zijn, hoe de verdeling van de aansprakelijkheid is, wat het doel van de gegevensuitwisseling is, hoe de resultaten en andere afspraken (bijvoorbeeld over periodieke controles of audits) vastgelegd worden en wat de rechten van betrokkenen zijn. Convenanten of reglementen kunnen echter nooit een wet opzij zetten, dus u kunt nooit meer bevoegdheden scheppen dan de wet u toekent. Het is raadzaam om het onderwerp ‘privacy’ regelmatig op de agenda te zetten omdat situaties kunnen wijzigen.

Stappenplan
In de Handreiking criminaliteitspreventie van het Ministerie van Justitie kunt u een stappenplan vinden. Samen met dit informatieblad vormt het een goede basis voor het inrichten van uw samenwerkingsverband. In de Handreiking worden de volgende zes stappen beschreven:

bepaal de taken en belangen
bepaal het doel van het delen van informatie
bepaal welke gegevens
bepaal de vorm en inhoud van het delen
bepaal de verantwoordelijke en maak afspraken
maak afspraken over hoe en wanneer u de betrokkene van informatie voorziet

Op trefwoord

Ik wil snel naar