Juridische positie van het Zorg- en Veiligheidshuis

Het Zorg- en Veiligheidshuis heeft geen eigen wettelijke taak heeft en dus ook geen eigen wettelijke basis om persoonsgegevens te verwerken. Bij de samenwerking rond een specifieke casus behouden de deelnemende partijen hun eigen inhoudelijke bevoegdheden en verantwoordelijkheden voor de eigen taken.

De consequentie hiervan is dat het Zorg- en Veiligheidshuis nooit op eigen titel gegevens verwerkt, maar de gegevens verwerkt ten behoeve van een of meerdere van de partijen in het samenwerkingsverband. Het faciliteert de deelnemende partijen bij de uitvoering van hun taken.

Procesregie en procesregisseur

De ondersteuning die het Zorg- en Veiligheidshuis biedt is die van procesregie. Zij organiseert namens een van de partrijen het proces om tot samenwerking en afstemming te omentussen partijen die noodzakelijk zijn om tot een goede oplossing van de casus te komen. De werkzaamheden ten behoeve van die procesregie worden uitgevoerd door de procesregisseur die daarbij ondersteund kan worden door administratief personeel.

Juridisch gezien handelt de procesregisseur dan namens de partij die de casus heeft aangemeld, of namens de partij die in de loop van het proces de casusregie op zich heeft genomen. Kortheidshalve duiden we de partij namens wie de procesregisseur handelt aan met ‘de leidende partij’.

Een actueel samenwerkingsconvenant

Zorg- en Veiligheidshuizen moeten beschikken over een actueel en door alle partijen ondertekend samenwerkingsconvenant. In het convenant wordt de intentie om samen te werken vastgelegd en zijn belangrijke samenwerkingsafspraken, zoals het doel of de doelen van de samenwerking en de gegevensverwerking, nader uitgewerkt.

Let op! Een convenant kan wettelijke regels niet doorbreken. Bovendien kan een convenant nooit de grondslag zijn voor gegevensuitwisseling. Het is ook niet mogelijk om via een convenant een partij gegevens te laten ontvangen die zij normaliter niet zouden mogen krijgen.

Gegevensuitwisseling mag alleen plaatsvinden als daarvoor een wettelijke grondslag bestaat. Die wettelijke grondslag hangt samen met de wettelijke taken van de afzonderlijke partijen. Wanneer in de betreffende wet geen bepalingen staan over gegevensverwerking, zijn zowel die betreffende wet als de AVG van toepassing.

Dus ongeacht de inhoud van het convenant moeten partijen zich houden aan de voor hen geldende wettelijke regels voor het uitwisselen van persoonsgegevens.

Download

• Model samenwerkingsconvenant Zorg- en Veiligheidshuis
  Dit document (versie 14 juli 2020) is vastgesteld door de landelijke stuurgroep Zorg- en Veiligheid. Het voldoet aan de Algemene Verordening Gegevensverwerking AVG en de nationale Uitvoeringswet AVG.
• FAQ-rubriek modelconvenant
  De vragen waar ZVH-en tegenaan lopen bij het implementeren van het modelconvenant (en de antwoorden op die vragen) zijn verwerkt in een FAQ-rubriek. De FAQ-rubriek zal regelmatig worden geactualiseerd.

Een actueel privacyprotocol

Het Zorg- en Veiligheidshuis beschikt bij voorkeur over een privacyprotocol.

Het doel van een privacyprotocol is meervoudig:

• Het privacyprotocol bevordert de zorgvuldige verwerking van persoonsgegevens door de partners in het samenwerkingsverband en is een nadere uitwerking van het convenant.
• Het privacyprotocol beschrijft de werkwijze van het ZVH en de manier waarop (op grond van de geldende privacyregelgeving) persoonsgegevens worden verwerkt door de convenantpartners.
• Met het privacyprotocol wordt voldaan aan het beginsel van transparantie in de richting van betrokkenen waarvan persoonsgegevens worden verwerkt.

Download

• Model privacyprotocol Zorg- en Veiligheidshuis
  Dit document (versie 14 juli 2020)is vastgesteld door de landelijke stuurgroep Zorg- en Veiligheid. Het voldoet aan de Algemene Verordening Gegevensverwerking AVG en de nationale Uitvoeringswet AVG.
• FAQ-rubriek privacyprotocol
  De vragen waar ZVH-en tegenaan lopen bij het implementeren van het model privacyprotocol (en de antwoorden op die vragen) zijn verwerkt in een FAQ-rubriek. De FAQ-rubriek zal regelmatig worden geactualiseerd.

Een actuele beschrijving van de werkprocessen

Gegevensuitwisseling binnen samenwerkingsverbanden vraagt om heldere afspraken over de werkprocessen: wie, met welk doel en met welke inzet deelneemt, en wie waarover, op welk niveau, regie voert. Daarom is het essentieel dat een Zorg- en Veiligheidshuis over een document beschikt waarin de werkprocessen goed beschreven zijn.

DPIA Adviesdocumenten

Adviesdocument DPIA ZVH
Dit document is opgesteld om organisaties die samenwerken binnen de Zorg- en Veiligheidshuizen (ZVH’s) te ondersteunen bij het opstellen van een gegevensbeschermingseffectbeoordeling (DPIA) zoals bedoeld in artikel 35 AVG, artikel 7b Wjsg en artikel 4c Wpg. De uitwerkingen in dit document zijn opgesteld in lijn met het '' Handvat gegevensuitwisseling bij samenwerking rond casuïstiek in het zorg en veiligheidsdomein'.

Adviesdocument Middenvelder
Bij het uitvoeren van een bekendheidscheck van een persoon bij de verschillende Zorg- en Veiligheidshuizen d.m.v. de applicatie Middenvelder, worden persoonsgegevens verwerkt. In dit rapport worden adviezen uitgewerkt voor het op juiste wijze omgaan met de mogelijkheid van het doen van een landelijke check.

Vraag en antwoord bij het modelconvenant en -protocol

Eerder dit jaar werden het modelconvenant en –protocol voor de zorg- en veiligheidshuizen gepresenteerd. Een aantal ZVH-en zijn de documenten al aan het implementeren binnen hun organisatie. De vragen waar zij tegenaan lopen (en de antwoorden op die vragen) zijn verwerkt in een FAQ-rubriek.

• FAQ-rubriek modelconvenant
• FAQ-rubriek modelprotocol

De juiste bevoegdheidsverlening voor de procesregisseurs

Het Zorg- en Veiligheidshuis (ZVH) is geen juridische entiteit en heeft derhalve geen rechtspersoonlijkheid. Het heeft geen eigenstandige wettelijke taak en dus ook geen eigenstandige wettelijke basis om persoonsgegevens te verwerken, ook niet op het gebied van regievoering.

Het ZVH werkt altijd uit naam van een ketenpartner
Aangezien het ZVH geen juridische entiteit is, kan er (juridisch gezien) ook geen casus bij het ZVH worden aangemeld. Het ZVH kan zijn juridische basis om een casus te behandelen, uitsluitend ontlenen aan de bevoegdheid van de ketenpartner die de casus aanbrengt.

De aanmelding wordt in de praktijk in ontvangst genomen door een medewerker van het ZVH die vervolgens, namens de aanmeldende partij, het proces van intake, triage en casusoverleg in gang zet.

Vasteleggen mandatering
Hiervoor is het wel noodzakelijk dat de ketenpartners deze bevoegdheidsverlening aan de procesregisseurs goed hebben vastgelegd. Het ligt het meest voor de hand om deze mandatering vast te leggen in het samenwerkingsconvenant. In het modelconvenant is de bevoegdheidsverlening als specifieke paragraaf opgenomen.

Toelichting: Het ZVH verwerkt gegevens dus niet op eigen titel, maar ten dienste en onder verantwoordelijkheid van de ketenpartner die de casus aanbrengt. Dit betekent dat de medewerkers van het ZVH hun werkzaamheden uitvoeren ten behoeve van en onder verantwoordelijkheid van de partner die de casus aanbrengt (en de zeggenschap over de gegevens blijft liggen bij deze partner).

Formeel vindt er dus geen gegevensuitwisseling plaats tussen het ZVH en de ketenpartners, maar tussen de aanbrenger van de casus (die hiervoor de procesregisseur heeft gemandateerd) en de andere partners die betrokken worden bij de casus.

Meldplicht datalekken

Per 1 januari 2016 is de Wet meldplicht datalekken in werking getreden.

Er is sprake van een datalek als zich bij een organisatie daadwerkelijk een inbreuk op de beveiliging heeft voorgedaan. Hierdoor zijn persoonsgegevens verloren gegaan (lekken) of onrechtmatig verwerkt. Als voorbeelden van datalekken noemt de Autoriteit Persoonsgegevens een kwijtgeraakte USB-stick, een gestolen laptop, een inbraak door een hacker, een malware-besmetting of een calamiteit zoals brand in een datacentrum. Als sprake is van een dreiging of van een tekortkoming in de beveiliging die zou kunnen leiden tot een beveiligingsincident is dit geen datalek, maar gaat het om een beveiligingslek.

Bedrijven en overheden moeten een datalek binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens. Een lek dient gemeld te worden indien het gaat om persoonsgegevens van gevoelige aard, of als er om een andere reden sprake is van een (aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens. In bepaalde gevallen moeten ook betrokkenen worden geïnformeerd, bijvoorbeeld wanneer het lek waarschijnlijk ongunstige gevolgen kan hebben voor hun persoonlijke levenssfeer.

Wanneer een bewerker voor de verantwoordelijke persoonsgegevens verwerkt, moeten afspraken over de meldplicht datalekken worden vastgelegd in een bewerkersovereenkomst.

ICT-systemen

Ten behoeve van de samenwerking bij casuïstiek zullen partijen gebruik willen maken van een ICT-systeem. Dit kan of een systeem zijn van het samenwerkingsverband, of van een van de partijen.

Op deze systemen zijn de algemene normen uit de AVG van toepassing. Persoonsgegevens mogen dus alleen worden geregistreerd voor een duidelijk doel en op basis van een wettelijke grondslag. De registratie moet noodzakelijk zijn voor het bereiken van dat gezamenlijke doel. De gegevens moeten juist, actueel en niet bovenmatig zijn. De gegevens moeten worden beveiligd tegen verlies en onrechtmatig gebruik.

Voor de inrichting van deze systemen moeten de samenwerkingspartners een aantal uitgangspunten in acht nemen:

1. Indien gebruik wordt gemaakt van een ICT-systeem van een van de partners moet de informatiehuishouding voor ten behoeve van de samenwerking strikt gescheiden zijn van de informatiehuishouding voor andere taken van de organisatie;
2. Indien gebruik wordt gemaakt van een ICT-systeem van het samenwerkingsverband zelf en dit systeem wordt gebruikt voor verschillende taken van het samenwerkingsverband, moet er sprake zijn van een strikte scheiding tussen de informatiehuishoudingen voor de verschillende taken;
3. Registratie van inhoudelijke persoonsgegevens in het ICT-systeem blijft beperkt tot hetgeen noodzakelijk is voor de coördinatie of regie (procesregiedossier). Gegevens ten behoeve van de uitvoering van eigen taken registreren partijen in het eigen dossier, en worden niet opgeslagen in het ICT-systeem ten behoeve van de samenwerking;
4. Er dient sprake te zijn van een autorisatiebeleid waarin tevens duidelijk is wie daarop aanspreekbaar is, en het ICT-systeem moet autorisaties tot op het individuele medewerker niveau mogelijk maken.
5. Uitsluitend medewerkers die betrokken zijn bij een casus kunnen geautoriseerd worden om inzage te hebben in de persoonsgegevens van de casus en indien noodzakelijk deze te verwerken;
6. Medewerkers die betrokken zijn bij de casus mogen uitsluitend persoonsgegevens uit het gezamenlijke dossier overnemen in het eigen dossier indien de partij die de gegevens heeft ingebracht hiervoor toestemming heeft gegeven.
7. De afzonderlijke casusdeelnemers zijn ieder zelf verantwoordelijk voor de persoonsgegevens die zij inbrengen ten behoeve van een specifieke casus;
8. De beheerders van de ICT-voorzieningen hebben als zodanig de juridische positie van verwerker. De AVG vereist dat er de eisen, inclusief die ten aanzien van informatiebeveiliging die aan de verwerker worden gesteld in een contract of verwerkersovereenkomst zijn vastgelegd.