Privacy in Sociaal Domein, het rekenkamerrapport werd besproken.

Vries, 21 maart 2017.

De rekenkamercommissie gemeente Tynaarlo heeft een onderzoek uitgevoerd naar de doeltreffendheid en de doelmatigheid van het beleid en de uitvoeringspraktijk met betrekking tot de privacy binnen het Sociaal Domein.

Onderzoeksvraag.

In dit onderzoek was de centrale onderzoeksvraag: "Zorgt het College van B&W er voldoende voor dat zich binnen het Sociaal Domein een praktijk ontwikkelt waarin een balans wordt gevonden tussen gegevensverwerking en de bescherming van de privacy van de burger? "

Met dit rekenkameronderzoek is beoogd de stand van zaken rondom de privacy binnen het Sociaal Domein in de gemeente Tynaarlo te beschrijven.

Conclusies en aanbevelingen

Naar aanleiding van het onderzoek zijn in het rapport conclusies en aandachtspunten voor de toekomst geformuleerd.

  1. Beleid Binnen de gemeente Tynaarlo bestaat geen duidelijke visie op privacy binnen het sociaal domein, er ontbreekt een helder afwegingskader of bijvoorbeeld een privacy protocol. Concrete doelen ten aanzien van gegevensverwerking zijn dan ook niet bekend, wat maakt dat de doeltreffendheid van het beleid niet beoordeeld kan worden. Aanbevelingen: Ontwikkel aan de hand van doelstellingen duidelijk privacy beleid (waaronder een privacy protocol) en verspreid dit onder interne medewerkers, maar ook onder ketenpartners.

  2. Balans tussen gegevensverwerking en de bescherming van privacy Niet alle medewerkers zijn bekend met het privacy beleid van de gemeente. Bovendien verwijzen gesprekspartners naar verschillende documenten c.q. regelgeving als het gaat om de grondslag van gegevensverwerking. Risico’s van gegevensverwerking zijn het niet eenduidig verwerken van gegevens, verkeerd gebruik van grondslagen en invulling van normen, systeemtechnische beveiliging, en het door ketenpartners onjuist omgaan met de privacy rechten van burgers. Volgens de onderzoekers heeft het college onvoldoende waarborgen ingebouwd opdat gesproken kan worden van een uniforme werkwijze ten aanzien van gegevensverwerking. Dit geldt eveneens voor het gebruik van grondslagen, daarover ligt immers onvoldoende vast. Wat betreft systeemtechnische beveiliging geldt een algemeen Informatiebeveiligingsbeleid, dat echter niet ziet op de taken binnen het sociaal domein. Aanbevelingen: Geef medewerkers en ketenpartners duidelijke – en regelmatige terugkerende – instructies over de toepassing van het privacy beleid. Licht toe welke grondslagen gelden voor het verwerken van gegevens, opdat medewerkers deze grondslagen op dezelfde wijze hanteren. Zie toe op eenduidige toepassing van het privacy beleid door bijvoorbeeld de Security Officer of de onlangs aangetrokken Functionaris Gegevensbescherming. Ontwikkel een praktijk waarin wordt gewerkt met gestandaardiseerde formulieren voor het bij derden opvragen van informatie. Blijf toezien op duidelijke autorisaties in Aeolus, beheer deze autorisaties en instrueer medewerkers over het gebruik van dit systeem. Leg zowel aan medewerkers als aan ketenpartners duidelijk het vereiste gebruik van portals uit. Zie toe op het gebruik van de portals bijvoorbeeld door de Security Officer of de onlangs aangetrokken Functionaris Gegevensbescherming. Evalueer het privacy beleid en de uitvoering daarvan.

  3. Kade stellende en controlerende rol van de raad Raadsleden hebben zich tot op heden nauwelijks beziggehouden met het onderwerp privacy. Het feit dat regelgeving omtrent privacy als ingewikkeld en zeer divers wordt beschouwd, met als gevolg dat raadsleden niet altijd weten welke regels van toepassing zijn en hoe deze te interpreteren, wordt als een van de grootste knelpunten ten aanzien van sturing en controle door raadsleden beschouwd. Aanbevelingen: Informeer raadsleden op regelmatige basis over de ontwikkelingen inzake het privacy recht (hiertoe behoort ook de Europese Algemene Verordening Gegevensbescherming). Ontwikkel een folder – of een soortgelijk document – waarmee aan de wens wordt voldaan om burgers te informeren over het privacy recht. Maak duidelijke afspraken over de met raadsleden te delen informatie.

Het College van B&W heeft naar aanleiding van de bevindingen in het rapport aangegeven de huidige werkwijze en de stand van zaken met betrekking tot (beleids)documenten te herkennen en neemt de aanbevelingen van de rekenkamer over.

Verder heeft het College van B&W aangegeven dat er al een begin is gemaakt met de doorontwikkeling van het privacy beleid en aangegeven op welke wijze er tegemoetgekomen wordt aan de aanbevelingen. In alle gemeenten in Nederland is dit onderwerp momenteel actueel.

Het College van B&W neemt de aanbevelingen over en dus was de raad snel klaar met dit onderwerp.

Gevraagd besluit.

Het gevraagd besluit luidde als volgt.

  1. Het rekenkamerrapport Privacy in het sociaal domein voor kennisgeving aan te nemen.

  2. De aanbevelingen uit het rapport over te nemen.

  3. Het rapport ter kennisneming naar de andere Drentse gemeenten te sturen.

Er werd conform het gevraagde voorstel besloten.

(Het rapport staat op de website van de gemeenteraad en de website van de rekenkamercommissie.)