Stap 1: beschrijf de wettelijke taak van iedere deelnemende afdeling/organisatie

Beschrijf voor iedere samenwerkingspartner (afdeling en/of organisatie) de wettelijke taak in relatie tot deze samenwerking. Zie voor voorbeelden de kolom ‘Relevantie’ in de bijlage met mogelijke samenwerkingspartners.

Stap 2: werk doel en noodzaak van gegevensdeling verder uit

Werk het doel en de noodzaak van de samenwerking zo concreet mogelijk uit. Wat is de maatschappelijke opgave, welke bijdrage moet de samenwerking daaraan leveren, waarom is deze samenwerking noodzakelijk, wanneer stopt de samenwerking? En hoe verhoudt de wettelijke taak uit stap 1 zich tot de samenwerking?

Stap 3: inventariseer taken en verantwoordelijkheden uit relevante materiewetten

De materiewetten en de AVG kennen geen specifieke bepalingen over gegevensverwerkingen bij samenwerking. Een organisatie die gegevens verwerkt en deelt in het kader van de samenwerking, doet dat in beginsel op basis van zijn eigen taak in relatie tot de gemeenschappelijke maatschappelijke opgave. Naast de AVG-grondslag voor de gegevensverwerking moet er een grondslag in de eigen materiewet staan.

Breng voor iedere wettelijke taak uit stap 1 in kaart wat de relevante materiewet is. Doe dit op artikelniveau. Zorg dat voor iedereen duidelijk is wat taken, wetten en belangen zijn van iedere deelnemer.

Stap 4: beschrijf welke gegevens mogelijk worden uitgewisseld

Welke gegevens in de samenwerking worden gedeeld, hangt af van de inhoud van de casussen. U mag niet meer gegevens delen dan noodzakelijk is voor het doel van de samenwerking. Het is dan ook niet mogelijk om van tevoren definitief te zeggen welke soorten gegevens u gaat delen. Maak daarom een lijst van alle soorten gegevens die aan de orde kunnen komen.

Stap 5: maak een juridische analyse bij de mogelijke gegevensuitwisseling

Analyseer welke wetgeving van toepassing is op de gegevenssoorten uit stap 4. Denk daarbij in ieder geval aan het volgende:

a. Privacywetgeving

Benoem specifieke vereisten vanuit de privacywetgeving, zoals de AVG, de Wet Politiegegevens (Wpg) bij samenwerking de politie en de Wet justitiële en strafvorderlijke gegevens (Wjsg) bij samenwerking met het Openbaar Ministerie. Het gaat dan bijvoorbeeld om de grondslagen conform artikel 6 AVG die voortvloeien uit de (wettelijke) taken van partijen, de beginselen van zorgvuldigheid zoals benoemd in artikel 5 van de AVG, de verwerkingsverantwoordelijkheid, de rechten van betrokkenen, de noodzaak om eventueel een DPIA doen, en dergelijke.

b. Bijzondere persoonsgegevens

De AVG stelt dat het gebruik van bijzondere persoonsgegevens verboden is, tenzij aan specifieke uitzonderingen uit artikel 9, lid 2 van de AVG is voldaan. Die uitzonderingen zijn o.a. te vinden in de voor een partij geldende materiewetgeving en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). De Wpg en de Wjsg kennen hun eigen uitzonderingen. Inventariseer óf er sprake is van de verwerking van bijzondere persoonsgegevens, onderbouw waarom dat noodzakelijk is, en onderbouw op grond waarvan de verwerking van die gegevens mogelijk is voor elke deelnemende partij afzonderlijk.

c. Strafrechtelijke gegevens

De AVG stelt dat strafrechtelijke gegevens alleen onder toezicht van de overheid mogen worden verwerkt (artikel 10 AVG), of als dat specifiek in nationale wetgeving is geregeld. Die bepalingen zijn te vinden in de materiewetten en in de UAVG, Wpg en Wjsg regelen de verwerking van strafrechtelijke gegevens door politie en justitiepartners.

Inventariseer óf er sprake is van de verwerking van strafrechtelijke gegevens, onderbouw waarom dat noodzakelijk is, en onderbouw op grond waarvan de verwerking van die gegevens mogelijk is voor elke deelnemende partij afzonderlijk.

d. Wettelijke nummers en BRP

Het gebruik van identificerende persoonsgebonden nummers en gegevens uit de BRP is in aparte wetgeving geregeld, zoals Wet algemene bepalingen burgerservicenummer, Wet BRP en de wet BSN in de zorg. Vaak wordt het gebruik van BSN verplicht in materiewetgeving.

Inventariseer óf er sprake is van de verwerking van persoonsgebonden nummers, onderbouw waarom dat noodzakelijk is, en onderbouw op grond waarvan de verwerking van die gegevens mogelijk is voor elke deelnemende partij afzonderlijk.

e. Specifieke bepalingen over geheimhouding of verstrekking

Inventariseer of er specifieke bepalingen zijn die verstrekking verhinderen, of die partijen juist verplichten tot het verstrekken van gegevens. Hierbij kan onder andere gedacht worden aan het (medisch) beroepsgeheim (Wgbo) de wet BIG of de Jeugdwet, een crisismaatregel (Wvggz), de verstrekkingsverplichtingen aan de Raad voor de Kinderbescherming en de verstrekkingsrechten aan Veilig Thuis.

Stap 6: beschrijf het werkproces

Zijn er op grond van voorgaande stappen geen belemmeringen voor de samenwerking, dan kunt u verder. Beschrijf in een werkproces hoe de samenwerking eruit ziet. Denk aan: wie brengt welke gegevens in, op welk moment in de samenwerking, hoe worden casussen opgepakt. Het werkproces laat ook zien hoe wordt omgegaan met in te brengen persoonsgegevens. Dit is meteen de basis voor een DPIA.

Neem in het werkproces ook werkafspraken op over waar en hoe bestanden worden opgeslagen, wat de frequentie is van overleg, hoe afstemming met directie/MT verloopt, en hoe de verschillende samenwerkingspartners worden geïnformeerd.

Stap 7: stel een DPIA op

Met een DPIA wordt duidelijk wat de risico’s zijn van gegevensdeling binnen deze samenwerking en of deze risico’s aanvaardbaar zijn.

Stap 8: leg de afspraken vast in een convenant of privacyprotocol

In voorgaande stappen is onderzocht en beschreven welke gegevenssoorten mogelijk gedeeld worden binnen de samenwerking en welke wettelijke grondslag daarbij hoort. Leg dit vast in een convenant  of privacyprotocol. Een convenant brengt alle afspraken en bronnen samen in één document. In een privacyprotocol staat uitgewerkt hoe gegevens gedeeld worden, wat de privacyafspraken zijn tussen afdelingen en/of partners en hoe die worden gewaarborgd.

Bij binnengemeentelijke samenwerking volstaat een privacyprotocol; een convenant is niet verplicht, maar wel aan te raden omdat het overzicht biedt in één document. Een convenant is wél verplicht bij samenwerking met de politie (art. 20 Wpg).

Neem in het convenant of privacyprotocol in ieder geval het volgende op:

• Het doel van de samenwerking en de partijen die gaan samenwerken (inclusief grondslag) en bijbehorende verantwoordelijkheden;
• Grondslagen voor de gegevensverwerking;
• Type persoonsgegevens;
• Hoe rechten van betrokkene worden geborgd.