Is Afdeling verhaal AVG-proof?
Thema:
Overheid, Gegevensbescherming (AVG)
Auteur:
Melisa Maroslic
namens
Gemeente Groningen
Een praktijkgericht juridisch onderzoek naar de mogelijkheden om de werkwijze van Afdeling verhaal ten aanzien van het verwerken van persoonsgegevens met betrekking tot de AVG te verbeteren.
Dit onderzoek is uitgevoerd bij de gemeente Groningen in opdracht van het hoofd van Afdeling Inkomen/Incasso en Verhaal en heeft betrekking op de huidige werkwijze van Afdeling verhaal ten aanzien van het verwerken van persoonsgegevens om deze al dan niet aan te passen aan de vereisten van de AVG. Afdeling verhaal is een afdeling die onderdeel uitmaakt van de directie inkomstendienstverlening. De directie inkomensdienstverlening geeft uitvoering aan de Participatiewet (hierna: Pw). Afdeling verhaal heeft de bevoegdheid om de bijstandsuitkering die uitgekeerd wordt aan de bijstandsgerechtigde geheel of gedeeltelijk terug te vorderen bij de onderhoudsplichtige, dit wordt ook wel verhaal op bijstand genoemd. Doordat de gemeente Groningen gebruik maakt van haar bevoegdheid om verhaal op bijstand uit te voeren, verwerken de medewerkers van Afdeling verhaal dagelijks persoonsgegevens van onderhoudsplichtigen. Sinds de komst van de Algemene verordening gegevensbescherming (hierna: AVG) is per 25 mei 2018 aan het licht gekomen dat het van essentieel belang is om rechtmatig met de persoonsgegevens van betrokkenen om te gaan. Naar aanleiding hiervan speelde binnen Afdeling verhaal zich de vraag af in hoeverre de huidige werkwijze aan de regels van de AVG voldoet ten aanzien van het verwerken van persoonsgegevens. De opdrachtgever wil met dit onderzoek in de eerste plaats er zeker van zijn of de huidige werkwijze voldoet aan de AVG en in de tweede plaats de huidige werkwijze aanpassen, indien uit dit onderzoek blijkt dat de huidige werkwijze niet aan de vereisten van de AVG voldoet. Op het moment dat dit onderzoek werd verricht, had de opdrachtgever geen zicht op in hoeverre de huidige werkwijze van Afdeling verhaal in overeenstemming is met de vereisten van de AVG en op welke wijze de huidige werkwijze aangepast dient te worden indien blijkt dat deze niet in overeenstemming is. De medewerkers van Afdeling verhaal gaven daarnaast aan niet eerder zaak gericht geïnformeerd te zijn over de AVG. Zij hebben sinds de invoering van de AVG geen duidelijke werkwijze met betrekking tot het verwerken van persoonsgegevens. Om deze redenen wilde de opdrachtgever dit vraagstuk graag onderzocht hebben.
Het doel van dit onderzoek is het doen van aanbevelingen aan de gemeente Groningen, over in hoeverre de huidige werkwijze van Afdeling verhaal ten aanzien van het verwerken van persoonsgegevens voldoet aan de eisen van de AVG. Door inzicht te bieden in de wet- en regelgeving, literatuur, jurisprudentie en het privacybeleid van de gemeente Groningen en door inzicht te bieden in de huidige werkwijze aan de hand van een dossieronderzoek en een interviewonderzoek gericht op de verwerking van persoonsgegevens van Afdeling verhaal. Op basis hiervan vloeit de volgende centrale onderzoeksvraag voort: ‘’In hoeverre voldoet de huidige werkwijze van Afdeling verhaal van de gemeente Groningen ten aanzien van het verwerken van persoonsgegevens aan de AVG?’’
Om antwoord te kunnen geven op de centrale onderzoeksvraag is in eerste instantie een theoretisch onderzoek verricht. Dit onderzoek heeft zich verdiept in de artikelen van de AVG die zich richten op de verwerking van persoonsgegevens en die betrekking hebben op de werkwijze van Afdeling verhaal. In het theoretisch onderzoek zijn dan ook specifiek de artikelen die betrekking hebben op de werkzaamheden van Afdeling verhaal onderzocht. Uit het theoretisch onderzoek is gebleken dat de verwerking van persoonsgegevens aan zes beginselen uit art. 5 AVG moet voldoen op het moment dat de persoonsgegevens worden verwerkt. Het gaat om de volgende beginselen: het beginsel van rechtmatigheid, behoorlijkheid en transparantie, beginsel van doelbinding, beginsel van dataminimalisatie, beginsel van opslagbeperking, beginsel van juistheid en het beginsel van integriteit en vertrouwelijkheid. Daarnaast blijkt uit art. 13 leden 1 en 2 AVG en art. 14 leden 1 en 2 AVG dat aan de betrokkene informatie uit deze artikelen verstrekt dient te worden op het moment dat de gegevens bij de betrokkene of bij een andere partij worden verzameld. Ook blijkt dat de persoonsgegevens alleen verwerkt mogen worden als daarvoor een wettelijke grondslag bestaat. Art. 6 AVG kent zes grondslagen, op grond van: toestemming van de betrokkene, uitvoering van een overeenkomst, een wettelijke verplichting, om de vitale belangen te beschermen, een taak in het algemeen belang of voor de uitoefening van het openbaar gezag en voor de behartiging van het gerechtvaardigd belang. Tenslotte blijkt uit het theorie onderzoek dat gemeente Groningen beschikt over een privacybeleid. Dit privacybeleid bevat artikelen van de AVG die betrekking hebben op de verwerking van persoonsgegevens. Uit dit privacybeleid valt op te maken welke maatregelen gemeente Groningen heeft genomen om de persoonsgegevens van de betrokkenen te beschermen.
Vervolgens heeft in het praktijkonderzoek een dossieronderzoek en een interviewonderzoek plaatsgevonden. Het interviewonderzoek is afgenomen bij alle medewerkers van Afdeling verhaal en bij de functionaris gegevensbescherming. Uit het interviewonderzoek is naar voren gekomen dat de medewerkers van Afdeling verhaal inhoudelijk niet bekend zijn met de artikelen van de AVG. Uit het dossieronderzoek blijkt dat niet aan alle beginselen inzake verwerking van persoonsgegevens uit art. 5 AVG wordt voldaan, zo wordt de betrokkene in geen van de onderzochte dossiers op de hoogte gesteld over in hoeverre de persoonsgegevens zullen of zullen worden verwerkt. Ook wordt de betrokkene in geen enkel dossier gewezen op zijn rechten en op de wijze hoe de rechten uitgeoefend kunnen worden. Daarnaast worden voor de dossiers geen bewaar en/of wistermijnen gehanteerd. Uit het interviewonderzoek blijkt ook dat zowel de digitale als de fysieke dossiers voor onbevoegden toegankelijk zijn en dat het doel voor het verwerken van persoonsgegevens niet omschreven is. Opvallend is dat de werkwijze van Afdeling verhaal op een aantal aspecten wel aan de AVG voldoet, ondanks dat de medewerkers van Afdeling verhaal aangeven niet met de artikelen van de AVG bekend te zijn. Uit het interviewonderzoek blijkt dat de medewerkers van Afdeling verhaal de verantwoordelijkheid nemen om ervoor te zorgen dat de persoonsgegevens, die door hen verwerkt worden, actueel en juist zijn. Dit doen zij door de persoonsgegevens uit het systeem Suwinet te halen. In dit systeem worden de persoonsgegevens regelmatig bijgewerkt. Ook wordt in de volgende situaties de juistheid van persoonsgegevens gecontroleerd: bij een heronderzoek dat om de twee jaar plaatsvindt, door de NAW-gegevens te koppelen aan de Basisregistratie Personen en door de persoonsgegevens te controleren bij het schrijven van een verzoekschrift. Daarnaast blijkt uit het interviewonderzoek dat de medewerkers van Afdeling verhaal het gestelde doel, als het gaat om het verwerken van persoonsgegevens, niet buiten gaan. Zij hebben een bepaald doel voor ogen en aan de hand van dit doel vragen zij gegevens op bij betrokkenen. Ten slotte worden de persoonsgegevens niet voor andere doeleinden gebruikt.
Doordat een vergelijking heeft plaatsgevonden tussen de resultaten uit het theorie- en het praktijkonderzoek en tussen de resultaten uit het praktijkonderzoek, is de conclusie getrokken dat de huidige werkwijze van Afdeling verhaal niet aan alle artikelen van de AVG voldoet. Dit doordat de medewerkers van Afdeling verhaal inhoudelijk niet op de hoogte zijn van de artikelen van deze verordening. Hierdoor ontgaat het hen om de verplichtingen uit de AVG in de praktijk toe te passen. Om de werkwijze van Afdeling verhaal aan de AVG te laten voldoen zijn een aantal aanpassingen in de huidige werkwijze van belang. Op welke wijze de huidige werkwijze aangepast kan worden, is terug te lezen in de volgende aanbevelingen:
1. Breidt de informatie in de brief aan de betrokkene uit
Er kan in een zo vroeg mogelijk stadium, in de eerste aanschrijving, worden aangegeven in hoeverre de persoonsgegevens zullen worden verwerkt.
Er kan worden aangegeven welke rechten de betrokkene heeft en op welke wijze de rechten uitgeoefend kunnen worden. Deze informatie is terug te vinden in het privacybeleid van de gemeente Groningen onder het kopje ‘’Rechten van de betrokkenen’’. In dit geval kan in de eerste brief aan de betrokkene ‘’De eerste aanschrijving’’ worden verwezen naar het privacybeleid van de gemeente Groningen. Het privacybeleid dient als bijlage bij de brief te worden toegevoegd.
2. Verstrek aan de betrokkene informatie uit art. 13 leden 1 en 2 AVG en art. 14 leden 1 en 2 AVG op het moment dat de gegevens bij de betrokkene zelf of bij een andere partij worden verzameld.
Indien de gegevens bij de betrokkene worden verzameld, dit gebeurt bij de eerste aanschrijving, kan de informatie uit art. 13 leden 1 en 2 AVG worden verstrekt op het moment dat de persoonsgegevens van de betrokkene zijn verkregen.
Indien de gegevens bij een andere partij worden verzameld, kan de informatie uit art. 14 leden 1 en 2 AVG worden verstrekt op het moment dat de gegevens bij de werkgever, de Belastingdienst of het UWV worden verzameld, uiterlijk binnen een maand na de verkrijging van de persoonsgegevens van één van deze partijen.
De bovenstaande informatie kan in een (nieuwe) brief worden vormgegeven of in de vorm van een privacy statement.
3. Beschrijf de doeleinden van de verwerking van persoonsgegevens en laat deze vastleggen door de functionaris gegevensbescherming, zodat de functionaris gegevensbescherming de doeleinden kan vastleggen in het verwerkingsregister.
4. Uniformeer de werkwijze als het gaat om het treffen van maatregelen omtrent de actualiteit en juistheid van de persoonsgegevens door aan de medewerkers van Afdeling verhaal de verplichting op te leggen om de NAW-gegevens te koppelen aan de Basisregistratie Personen. De Basisregistratie Personen zorgt ervoor dat de NAW-gegevens worden bijgewerkt indien zich een wijziging in de NAW-gegevens voordoet.
5. Achterhaal de termijn voor het wissen van persoonsgegevens en leg deze vast zodat het duidelijk is wanneer het dossier vernietigd dient te worden.
Deze termijn aan de betrokkene meedelen in de eerste aanschrijving.
Deze termijn doorgeven aan de functionaris gegevensbescherming, zodat dit kan worden vastgelegd in het verwerkingsregister.
6. Inventariseer bij de afdeling faciliteiten over de mogelijkheden om de digitale dossiers te beveiligen. Dit om de kans te beperken dat onbevoegden de persoonsgegevens, die door de medewerkers van Afdeling verhaal worden verwerkt, in kunnen zien.
Er kan gedacht worden aan een beveiliging met een twee-authenticatiesysteem. Dit systeem kan worden gekoppeld aan de dossiers van de klanten van Afdeling verhaal.
7. Inventariseer bij de afdeling faciliteiten over de mogelijkheden om de fysieke dossiers te beveiligen. Dit om de kans te beperken dat onbevoegden de dossiers, die in de ladekast zijn opgeborgen, in kunnen zien.
Er kan gedacht worden aan een mechanisch combinatieslot.
8. Organiseer jaarlijks een bijeenkomst met de functionaris gegevensbescherming.
• In deze bijeenkomst kan aandacht worden besteed aan de problematiek die zich op dat moment rondom de AVG voordoet. De medewerkers van Afdeling verhaal kunnen tijdens deze bijeenkomst vragen stellen en/of casussen voorleggen waar zij op dat moment tegen aan lopen. Ook zorgt de bijeenkomst voor blijvende bewustwording, in het kader van het rechtmatig omgaan met de persoonsgegevens van betrokkenen, onder de medewerkers van Afdeling verhaal.
9. Overhandig het privacybeleid aan de medewerkers van Afdeling verhaal. Dit zodat het voor hen duidelijk is welke artikelen van de AVG in het privacybeleid zijn opgenomen. Hierdoor weten de medewerkers van Afdeling verhaal welke maatregelen gemeente Groningen heeft genomen om de veiligheid van de persoonsgegevens te waarborgen. Het privacybeleid kan als houvast dienen bij de uitvoering van de werkzaamheden in de praktijk.
Over dit onderzoek
Regio / wijk
2 oktober 2019
In samenwerking met
Hanzehogeschool Groningen
