Denk aan het verwijderen van persoonsgegevens
Weet u hoe lang u persoonsgegevens van inwoners mag bewaren? Eén gemeente die dat minder scherp in de gaten had vond de Autoriteit Persoonsgegevens (AP) op zijn weg. De AP gaf in november 2023 aan die gemeente een boete van € 30.000. Gegevens waren te lang bewaard, en de gemeente had inwoners onvoldoende geïnformeerd over het verzamelen van de persoonsgegevens.
Het ging mis bij het afval. Voor het verzamelen van het afval waren kliko’s en tokens met chip geïntroduceerd. Deze chips waren nodig om tegen te gaan dat inwoners te vaak afval aanleverden. In een dergelijk systeem is het nodig dat de gemeente gegevens enige tijd bewaart. Maar niet 5 jaar, zoals deze gemeente deed.
Overigens heeft deze gemeente na het opleggen van de boete direct het bewaren van gegevens beperkt tot 14 dagen. En gezien de reden van het verzamelen van deze gegevens lijkt dat ook voldoende.
Hoe kwam deze zaak bij de AP onder de aandacht? Een van de inwoners had geklaagd. Reden om als gemeente goed te letten op bewaartermijnen. Deze staan in wetgeving, in de Selectielijst, of volgen uit de Avg. Ik licht er twee uit.
Bewaar persoonsgegevens zo kort mogelijk
Verwijderen na intrekken van aanvraag
Wist u dat in het sociaal domein na het intrekken van een aanvraag de gemeente alle gegevens na 6 weken moet verwijderen? Ja, dus ook het onderzoeksverslag, en de melding (Wmo), eventuele correspondentie met school (Jeugdwet) en bankafschriften (Pw). Dit staat in de Selectielijst 2020.
Verwijderen na intrekken toestemming
Wist u ook dat als iemand ‘toestemming’ voor gegevensverwerking intrekt, ook alle oude gegevens verwijderd moeten worden?
Gegevens die op grond van ‘toestemming’ zijn verkregen, mogen verwerkt worden. Maar trekt iemand die toestemming in, dan moeten alle gegevens die alleen op grond van ‘toestemming’ zijn verkregen, direct worden vernietigd. Dan vervalt immers de verwerkingsgrond van artikel 6 Avg. Dus niet alleen vanaf de datum van intrekking, maar ook alle al eerder op grond van toestemming verkregen persoonsgegevens. Ongeacht of deze in een verslag zijn opgenomen of bijvoorbeeld als aparte mail of telefoonnotitie zijn opgeslagen.
Zorg als gemeente dat je dus zorgvuldig bent bij het opslaan van gegevens; niet langer dan noodzakelijk, en eerder verwijderen dan de in de wet genoemde termijn als daar aanleiding toe is.
Let op bij telefonisch verstrekken van persoonsgegevens
Naast het vastleggen in systemen speelt privacy ook een rol bij telefonisch contact. Weet u wie u aan de lijn heeft? De SVB controleerde dat onvoldoende, en kreeg van de AP een boete van € 150.000.
Ook deze zaak kreeg de aandacht van de AP vanwege een klacht van een burger. Deze had ontdekt dat een familielid persoonlijke informatie had ontvangen van de SVB. Een medewerker had deze zonder toestemming telefonisch verstrekt.
De SVB had werkinstructies waarin was beschreven hoe de identiteit van een beller kon worden gecontroleerd. Verschillende instructies bleken elkaar tegen te spreken. Daarnaast betroffen te stellen controlevragen relatief eenvoudig te achterhalen gegevens. Bovendien ontmoedigde een van de instructies medewerkers om bepaalde specifieke controlevragen te stellen. Kortom, de SVB kon onvoldoende waarborgen dat de identiteit van een beller voldoende werd gecontroleerd.
Weet met wie je spreekt
Net als bij de gemeentelijke afval-boete, heeft ook de SVB nadien direct het beleid aangepast. Het stellen van controlevragen is beter in systemen vastgelegd, en de SVB maakt medewerkers meer bewust van het belang van het vaststellen van de identiteit. Maar de boete staat er wel.
Hoe is dit bij uw gemeente geregeld? Weten de medewerkers voldoende zeker dat diegene die belt is wie hij zegt dat hij is? Hoe wordt dit gecontroleerd? En doet iedereen dat ook standaard elke keer? Één enkele klacht kan immers al leiden tot een boete van duizenden euro’s.
Pas op voor een datalek
Heeft uw gemeente wel eens een datalek? Misschien wel vaker dan u denkt.
In 2023 zijn er (tenminste) twee uitspraken van rechtbanken geweest over een schadevergoeding na een datalek. Het UWV moest een uitkeringsgerechtigde schadevergoeding betalen omdat 5 brieven naar een verkeerd adres waren gestuurd. Hierdoor waren de psychische klachten van de uitkeringsgerechtigde toegenomen. Een immateriële schadevergoeding van € 500 vond de rechtbank passend.
Ook de HAN ontkwam niet aan vergoeding van schade. In dit geval zijn bij een hack medische gegevens van een oud-student buit gemaakt. Deze gegevens had de student pas aan de HAN verstrekt, na bevestiging dat die bijzondere persoonsgegevens bij de HAN veilig waren. Dat bleek niet zo te zijn, en dus kende de rechtbank een schadevergoeding van € 300 toe.
Voorkom een datalek
Misschien versturen uw medewerkers post nooit verkeerd. Of zijn uw systemen goed beveiligd. Maar wist u dat het uitwisselen van persoonsgegeven tussen verschillende sociale domeinen ook een datalek is? Als schuldhulpverlener aan de bijstandsconsulent even doorgeven hoe het met het schuldentraject staat? Datalek. De Wmo-consulent meldt aan een bijstandsmedewerker dat hij bij een bepaalde cliënt het ernstige vermoeden heeft van samenwonen? Datalek. Vanuit Jeugd even afstemmen met Wmo over benodigde voorzieningen voor moeder en jeugdige? Datalek!
Persoonsgegevens: een dagelijks aandachtspunt
Dag van de Privacy is een goed moment om bij privacy en verwerking van persoonsgegevens stil te staan. Maar zorg wel dat het ook na die dag onder de aandacht blijft. Er gaan veel persoonsgegevens rond op de verschillende afdelingen van de gemeente. En van gemeenten wordt verwacht dat zij daar zeer zorgvuldig mee omgaan. Met recht een dagtaak dus!
Meer weten?
In alle Kennisbanken van Schulinck hebben wij een onderdeel ‘privacy’ opgenomen. Hierin komen onder andere de Avg en de Woo aan de orde. En daarnaast privacyonderwerpen specifiek voor bepaalde wetgeving. Zoals het recht op inzage van een ouder in een dossier voor jeugdhulp. Of de mogelijkheid van een Wmo-consulent om persoonsgegevens aan een aanbieder te verstrekken. En mag een bijstandsconsulent informatie delen met het UWV of een werkgever? Wil je hier meer over weten, neem dan een proefabonnement op Schulinck Participatiewet, Wmo, Jeugd, Inburgering of Schuldhulpverlening.