avg in het sociaal domein: ja en nee

Door: mr. drs. Bart-Jan Schokking 

Mensen vragen mij vaak: wat betekent de nieuwe AVG nu voor het Sociaal Domein? De Algemene Verordening Gegevensbescherming (AVG) is wetgeving vanuit Brussel die de privacy van burgers beter moet beschermen. De wet wordt eind mei 2018 van kracht en heeft voor veel bedrijven en voor de overheid aanzienlijke gevolgen. Het is niet voor niets dat de AVG de laatste tijd een “buzz” woord is. Maar betekent dat nu dat de werkvloer ook anders moet gaan werken? Ja en nee.

Nee
De AVG heeft vooral betrekking op de inrichting van een systeem om de privacy te waarborgen. Elke gemeente moet een functionaris gegevensbescherming hebben, die hiervoor verantwoordelijk is. Deze wordt ook wel Chief Informatie Officer (CISO) genoemd. Hij licht de hele organisatie door op vier aspecten. In de eerste plaats kijkt hij of de privacy voldoende is vastgelegd in het beleid en of de “governance” is belegd. Dat wil zeggen dat de taken en verantwoordelijkheden zijn vastgelegd in de verantwoording in het opstellen van en verantwoording over het beleid naar het College en naar de Raad. In de tweede plaats worden de processen beoordeeld. Daarbij wordt niet alleen gekeken naar het hoofdproces vanaf de melding tot aan de levering, maar ook naar de ondersteunende processen, zoals facturatie, materiële controle en de werkzaamheden van externe verwerkers. Bij elke stap in het proces onderzoekt de CISO waar persoonsgegevens worden verwerkt, of de verwerking gerechtvaardigd is en waar privacy risico’s zitten. Ten derde kijkt de CISO of de medewerkers op de hoogte zijn van het beleid en de procesbeschrijvingen en ten slotte houdt hij de informatiebeveiliging in de systemen tegen het licht. Zijn analyse wordt vastgelegd in een verwerkingsregister; daarnaast stelt hij een rapport op met aanbevelingen hoe de privacy risico’s kunnen worden beheerst.

Daarvoor hoeft een consulent in principe niets in te doen. De AVG heeft dus geen impact op het werk van de consulent.

Ja
In het Sociaal Domein worden natuurlijk heel veel persoonsgegevens verwerkt. Door de invoering van de AVG zullen zeker de schijnwerpers hierop worden gericht. Dan is het van belang dat de medewerkers goed op de hoogte zijn van het privacy beleid, dat de processen op orde zijn en overeenkomstig wordt gewerkt. De consulent moet zorgvuldig omgaan met de privacy van zijn cliënten: dossiers niet zo maar delen met andere professionals, toestemming vragen om gegevens op te vragen en dat genomen stappen goed vastleggen in het dossier. Ook moet in het berichtenverkeer met de zorgaanbieders, de accountantscontrole en externe verwerkers de borging van de privacy goed zijn afgedekt.

Als in het Sociaal Domein de privacy perfect is geregeld, verandert er met de komst van de AVG voor consulenten waarschijnlijk weinig. Als dat nog niet zo is, kan de AVG een goede aanleiding zijn om die op orde te brengen. AVG in het Sociaal Domein: ja of nee…?