Zuinig met persoonsgegevens

Bezuinigen is natuurlijk niet het doel van de Algemene Verordening Gegevensbescherming, AVG. Maar privacy en kostenbesparing kunnen wel degelijk samengaan, zelfs met snel en blijvend effect. Wilmar Hendriks licht drie manieren toe om te besparen én verbeteren via de vaak verfoeide AVG.

Iedere gemeenteambtenaar herkent de schaarste in aanbod van ervaren professionals. Daarom als eerste een set aan eenvoudig in te voeren tips die aanzienlijk op de tijd van professionals besparen, terwijl hun effect juist groeit. Ik heb dit zelf in het sociaal domein mogen ervaren toen ik aan het werk mocht met boa’s, waaronder leerplichtambtenaren. Met hen bekeken we bovengemiddeld complexe gevallen: langer lopende problematiek, vaak multiproblematiek en gerommel in de thuissituatie. We troffen hierover in het systeem omvangrijke digitale dossiers aan. Vaak met talrijke bijlagen en grote hoeveelheden gevoelige informatie, die bij nader inzien vaak niet noodzakelijk bleek.

Bij veel dossiers schrokken we er samen van. Zo zou de betrokkene grote kans maken in een eventuele rechtszaak, alleen door wat er allemaal in stond. En rechtszaken komen bij moeilijke leerplichtdossiers helaas met regelmaat voor. De boa’s gingen samen aan de slag deze dossiers samen te vatten tot wat minimaal nodig was om het doel te bereiken. Een oefening die overigens deze complexe dossiers binnen de eisen van de AVG ‘hervormden’, dus dat ruimde keurig op.

Met de professionals bedachten we ook een manier om elk gesprek of contactmoment in het dossier tot een minimum beschrij ving te beperken. Simpel gezegd: wanneer, wie, aanleiding, afspraken en vervolg. En verder alleen de op dat moment noodzakelijke omstandigheden en feiten. In de AVG heet dat dataminimalisatie. Feiten dus, geen meningen of vermoedens – uitzonderingen zoals Veilig Thuis daargelaten.

Ook spraken we af dat die minimale beschrijving direct en ter plekke met de betrokkene(n) werd gedeeld en eventueel aangepast met of zelfs aangevuld door de betrokkene. In de AVG heet dit Informatieplicht en Rechten van betrokkene. Enkele leerplichtambtenaren boden aan dit zes weken in praktijk te brengen en de ervaringen terug te koppelen. Die werkwijze maakte indruk op collega’s en management: ‘Dit scheelt ons zeker een halve dag per week’. We hebben het dus over 10 procent van de capaciteit van deze schaarse professionals. Per casus scheelde het gemiddeld een half tot een heel uur voorbereidingstijd en datzelfde gebeurde bij het (niet meer hoeven) uitwerken daarvan.

Bovendien was de directe betrokkenheid van betrokkenen ook merkbaar in het effect. Omdat ze veel meer onderdeel werden van het leesbare en duidelijke dossier, met daarin de korte, duidelijke afspraken, werden ze meer onderdeel van het probleem en daardoor ook van de oplossing. Kortom: (veel) minder werk en daar bovenop beter effect.

Ketenprocessen

Zo valt er ook veel te besparen in ketenprocessen door ‘Privacy by design’ toe te passen bij het beschrijven en inrichten ervan. Slimme inrichting voorkomt onnodig werk, opslag en discussies en beperkt het risico op vervolgschade. Die besparing is incidenteel én structureel.

Ketenprocessen in het sociaal domein gaan over een ‘klantreis’ die iemand langs verschillende uitvoerders leidt. Soms worden daarbinnen verschillende wettelijke taken na of naast elkaar uitgevoerd. Denk bijvoorbeeld aan de Wmo, Jeugdwet, Leerplicht wet en de Woningwet. Ook kunnen verschillende partijen in die ene klantreis verwerkingsverantwoordelijke voor onderdelen daar van zijn. En, in het geval van wijkteams, kunnen ze soms voor diezelfde klant tegelijk verwerkers zijn, dus niet verwerkingsverantwoordelijk.

Die complexiteit kan veel problemen veroorzaken, zoals discussies over welke informatie wel of niet mag worden gevraagd of gedeeld. Die gaan dan regelmatig over in juridische discussies en kunnen tot conflicten leiden, waardoor ketenprocessen soms zelfs (dreigen te) stoppen. Deze problemen belemmeren betrokkenen om hun doel te bereiken en ze kosten bovendien veel tijd, geld en moeite, niet zelden omdat voor het oplossen externe expertise wordt ingezet. Wat te doen? Heel kort: zorg dat je de hele reis van de ‘klant’ in beeld krijgt, werk daarbij echt samen aan de ‘koppelmomenten’. Beperk je daarbij tot wat echt nodig is en laat verder iedereen ‘gewoon zijn werk doen’.

Het grootste euvel is hier ontbrekende of onvoldoende afstemming over koppelvlakken tussen ketenpartners. Het valt te voorkomen door privacy by design, het ontwerpen en inrichten van deze momenten met de expertise én samenwerking die de koppelmomenten vereisen. Dat klinkt gemakkelijker dan het is, maar bespaart heel veel werk en geld zowel bij de inrichting als bij de uitvoering.

Ruzie

Een goede plek om dit te borgen is de DPIA, Data Protection Impact Assessment. Het is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Het beschrijven, inrichten en qua privacy borgen van een proces moet volgens de AVG met een dergelijke DPIA. Hier is de uitdaging dat in ketenprocessen de DPIA’s vaak letterlijk zijn verknipt tussen de verwerkingsverantwoordelijken. Dan bestaat één DPIA voor dat ketenproces feitelijk niet, hoogstens een aantal dat wordt geacht met andere ‘gekoppeld’ te zijn. Dat is juridisch correct en het lijkt tijd te besparen. En ‘schoffelen in de tuin van de buurman’ levert toch gegarandeerd ruzie op, dus laat maar lekker zitten, is de praktijk vaak.

Probleem is dat de klantreis en het doel daarvan niet centraal staan. En in elke klantreis komen de partners elkaar zo diverse keren tegen. Met falen, ergernis of negatieve gevolgen voor de betrokkene of verantwoordelijke als gevolg. De oplossing is hier elkaar structureel opzoeken en samenwerken. Organiseer dat bij voorkeur in opdracht van bestuurlijke stuurgroepen, waar de ketenpartners dit samen vaststellen. In een ketenproces is samenwerking een feit tussen gemeenten en tientallen ondersteuners, aanbieders, leveranciers van hulp, voorzieningen en ondersteuning, verschillende woningcorporaties, politie, GGD en andere partijen.

Het advies is om een club gedelegeerden aan de slag te zetten, met mandaat en afspraken over wie zij vertegenwoordigen, hoe hun resultaat op kwaliteit wordt gecheckt en hoe dat wordt vastgesteld. Als dezelfde ketenpartners elkaar vaak tegenkomen, pleit ik voor een algemeen convenant tussen veel partners. Daar zijn mooie standaarden voor. En dan laat je de koppelmomenten per ketenproces in een bijlage vaststellen.

Belangrijk is dat de klantreis en het doel daarvan centraal moeten staan. En uitsluitend op de raakvlakken moeten zij afspraken maken die nodig zijn over de maximale inhoud ervan, de manier waarop je die tot het minimum beperkt, het gebruik ervan, de toegang ertoe en de wijze van bewaren.

En uiteraard de rechten van betrokkenen. In de praktijk zal dat vier effecten hebben. Ten eerste wordt op deze manier geborgd dat er tussen ketenpartners geen verschillen ontstaan (of blijven bestaan) van inrichting van hetzelfde moment. Daarmee voldoen de partners aan verplichtingen over zorgvuldigheid uit de AVG. Op deze manier wordt ook dubbel (of vaak veel meer dan dubbel) werk voorkomen, omdat het helemaal kan worden gekopieerd in die DPIA’s. Derde grote voordeel is dat deze aanpak leidt tot veel meer onderling begrip. En ten slotte helpt het onnodige – en daarmee onrechtmatige – verwerking van veel en gevoelige persoonsgegevens te voorkomen. Zoals er ook geen sprake meer hoeft te zijn van dubbele opslag bij verschillende ketenpartners.

Kosten besparen

Opzet bij de overheid is zelden de drijfveer voor grote datalekken of (andere) onrechtmatige verwerking. Als alle mensen in de GGD Corona belteams in hun opleiding duidelijke instructies over privacy en vertrouwelijkheid van gegevens hadden gekregen, was de kans groot dat het datalek daar niet was voorgevallen. En dat geldt evengoed voor de meeste datalekken bij gemeenten, ziekenhuizen en andere organisaties. Vergeet niet dat die hele AVG ook slaat op alles wat we in de mail hebben staan. Bij verzender en ontvanger, ook in ‘verzonden’ items, ook in de ‘prullenbak’. Dus meestal uitstekende bedoelingen, maar onvoldoende bewustzijn en kennis van de (juiste) alternatieven. De laatste tip is daarom structureel aandacht te geven aan bewustzijn: train mensen voordat ze starten, onderhoud dat en stimuleer onderlinge afstemming.

En één ding werkt nog beter dan op zorgvuldige verwerking en daarop gebaseerd vertrouwen. Dat is laten zien wat je doet. Dat hoeft niet met alles, maar je kunt als overheid heel goed laten zien dat er controle is op verwerking van persoonsgegevens. Voor ketenpartners geldt hetzelfde. En vergeet niet dat controle niet alleen dat vertrouwen overtreft, het maakt professionals ook bewuster, biedt ruimte voor verbetering en geeft argumenten in (rechts)zaken waarbij de gegevens een rol spelen. Zeker in het sociaal domein: de transparantie draagt vaak bij aan betrokkenheid van de betrokkene.

Passende wetgeving

Einstein zei het mooi: je kan een probleem niet oplossen met de denkwijze die het heeft veroorzaakt. Daarom, wanneer iemand je vertelt dat iets, wat echt nodig is ‘niet van de AVG mag’: laat je niet te gemakkelijk afschepen. De AVG moet zwaar serieus genomen worden, die beschermt immers grondrechten. Maar de AVG is er absoluut niet om de belangen van die betrokkenen te beperken. Dan is het de uitdaging om dit slimmer in te richten. En als dat echt niet kan terwijl het toch nodig is, overweeg dan om passende wetgeving te stimuleren die deze rechten en doelen verenigt. De invoering in 2024 van de Wet aanpak meervoudige problematiek sociaal domein, waarmee wordt beoogd knelpunten weg te nemen in relatie tot gegevensuitwisseling en privacy in het sociaal domein, is daarvan een resultaat.