Vraag van de week (nieuwsbrief)
-
Hiervoor mag de escapefunctie gebruikt worden met als escapereden “nieuwe aanvraag”. Deze escapereden betreft namelijk niet alleen de aanvraag bijstand maar ook bijvoorbeeld de bijzondere bijstand of de re-integratie van een niet-uitkeringsgerechtigde (nugger).
-
Op hoofdlijnen is het de beheerder van Suwinet, BKWI, die verantwoordelijk is voor de technische componenten van Suwinet. Ook gemeenten hebben in de eigen omgeving een aantal componenten die tot het Suwinet Deel Landschap kunnen worden gerekend. Je kunt hierbij denken aan toegang tot de gemeentelijke werkplek waarop Suwinet te benaderen is, de applicatieserver waarop de internetbrowser is geïnstalleerd voor gebruik door de gemeente, het gemeentelijke netwerk en de netwerkcomponenten die het verkeer met Suwinet regelen. Indien men gebruik maakt van DKD of Suwinet inlezen, is het Suwinet Deel Landschap nog weer wat uitgebreider omdat ook de inlezende applicatie hiertoe behoort.
-
Veel gemeenten stellen aan het team implementatie BVGS de vraag of invoering van de Whitelist verplicht is. Deze vraag is niet met een eenvoudig ‘ja’ of ‘nee’ te beantwoorden. Vanuit de Wet SUWI of het normenkader Suwinet is er weliswaar geen directe verplichting tot het invoeren van de Whitelist. Echter, vanuit de Wet Bescherming Persoonsgegevens (WBP) is er ten eerste het proportionaliteitsbeginsel en ten tweede, artikel 13. In dit artikel staat verwoord dat organisaties passende technische en organisatorische maatregelen dienen te treffen.
Wettekst WBP, artikel 13
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Toelichting:
In het begrip 'passende' ligt besloten dat de beveiliging in overeenstemming is met de huidige stand van de techniek.
WBP
Vanuit de WBP mag op grond van bovenstaand artikel gesteld worden, dat wanneer bepaalde ‘oplossingen’ beschikbaar zijn om de beveiliging op een passend niveau te brengen, de verantwoordelijke organisatie ook geacht wordt deze oplossingen toe te passen. De Whitelist is een dergelijke technische oplossing. Het niet toepassen ervan leidt ertoe dat men niet voldoet aan de verplichting rekening te houden met de stand van de techniek.
AVG
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze Europese verordening komt in de plaats van de WBP en is op onderdelen strikter dan de huidige WBP. In de AVG komen o.a. de begrippen ‘privacy by design’ en ‘privacy by default’ aan de orde. Beide begrippen en vooral ‘privacy by default’ zijn met het oog op de Whitelist relevant. Organisaties zijn op grond van de AVG verplicht organisatorische en technische maatregelen te treffen om het gebruik van persoonsgegevens tot een minimum te beperken. De Whitelist is een treffend voorbeeld van dergelijke maatregelen als verplichting, voortvloeiend uit de AVG. Ter voorbereiding op de inwerkingtreding van de AVG is invoering van de Whitelist een belangrijke eerste stap.
Privacy Impact Assessment Suwinet
In 2014 en 2016 zijn twee Privacy Impact Assessments uitgevoerd. In beide PIA’s wordt geconcludeerd dat het open karakter van Suwinet tot risico’s leidt en dat toegang tot gegevens van burgers die geen dienstverleningsrelatie hebben met de betreffende gemeente, beperkt moet worden. De PIA van 2016 gaat zelfs nog een stap verder en stelt dat toegang tot Suwinet beperkt moet worden tot alleen de persoonsgegevens van burgers die tot de ‘caseload’ van de individuele medewerker van de gemeente behoren. Dit is echter met de huidige techniek (nog) niet mogelijk en stuit op grote organisatorische bezwaren.
Voordelen Whitelist
Los van wet- en regelgeving zijn er ook voordelen te behalen met toepassing van de Whitelist. Gemeenten controleren nu ofwel steekproefsgewijs achteraf, of vergelijken bevragingen in Suwinet met de eigen bestanden. Met name deze controles worden veel eenvoudiger. Een belangrijk extra voordeel is dat medewerkers zich beter toegerust vinden voor hun taak en weten dat ze alleen tot die gegevens toegang hebben die ze nodig hebben. Medewerkers zijn daarmee meer ‘op hun gemak’ bij het werken met deze persoonsgegevens.
Beleid bronhouders
Tot slot: vanuit de verantwoordelijkheid die bronhouders hebben voor het verstrekken van gegevens, gaan stemmen op dat alleen gegevens worden verstrekt aan gemeenten die gebruik maken van de Whitelist. Zover is het nu nog niet. Wij houden u graag op de hoogte.
Nadere informatie kunt u vinden op www.vng.nl/veiliggebruiksuwinet -
Dat klopt inderdaad. Dat komt omdat een pagina Rechtmatigheid + is opgenomen die qua inhoud gelijk is aan de pagina Rechtmatigheid. Het enige verschil is dat op de pagina Rechtmatigheid + ook gegevens van medebewoners zijn opgenomen.
-
In het verleden mochten gemeenten Suwinet-Inkijk raadplegen om vast te stellen of iemand in aanmerking kwam voor financiering vanuit het Europees Sociaal Fonds (ESF). Deze activiteit komt niet voort uit de Participatiewet. Toch heeft SZW dit toegestaan omdat er geen andere geschikte oplossing was. Tegelijkertijd heeft SZW aan Stichting Inlichtingenbureau (Gemeentelijk Gegevens Knooppunt voor Gemeenten) gevraagd een oplossing te bedenken.
Het Inlichtingenbureau heeft vervolgens de ESF subsidietoets ontwikkeld. Sinds afgelopen januari kunnen gemeenten hier gebruik van maken. Deze gegevensset wordt nog verder uitgebreid, zodat het alle gegevens bevat die nodig zijn voor de ESF subsidietoets. Totdat deze set compleet is mogen gemeenten nog Suwinet-Inkijk raadplegen.
Onderstaand de link die u rechtstreeks naar de relevante informatie bij het Inlichtingenbureau brengt.
https://www.inlichtingenbureau.nl/Pages/Product.aspx?pID=70 -
Een vraag die we als team implementatie “Borging veilige gegevensuitwisseling via Suwinet (BVGS)” hebben ontvangen, is of de bestanden die gemeenten aan het Inlichtingenbureau leveren, niet ook als Whitelist bestand kunnen dienen. Een begrijpelijke vraag aangezien hergebruik tot hogere efficiency zou kunnen leiden.
Het is echter helaas niet mogelijk de bestanden van de Verwijsindex te gebruiken voor de Whitelist vanwege verschillen tussen beide bestanden op de volgende punten.- Beleid en wettelijk regime
- Scope/afbakening
- Actualisatie bestanden
Beleid en wettelijk regime
Vanuit beleidsoogpunt is belangrijk dat de Whitelist is bedoeld als lokaal beleid en dat gemeenten hiermee zelf in staat zijn te bepalen voor welke doelgroepen het opvragen van gegevens via Suwinet mogelijk wordt gemaakt. De verwijsindex biedt gemeenten niet die lokale beleidsinvulling en flexibiliteit voor onder meer doelgroepen en actualiteit van gegevens. Het doel van de Verwijsindex is wezenlijk anders. De Verwijsindex DKD is ingesteld als wettelijke verplichting voor gemeenten om periodiek bestanden aan te leveren aan het Inlichtingenbureau (IB). Deze bestanden kennen een vaste definitie. Onderliggend hebben gemeenten met IB een bewerkersovereenkomst afgesloten voor deze gegevensuitwisseling. Zowel de huidige wettelijke verplichting als de bewerkersovereenkomst bieden op dit moment niet de mogelijkheid de Verwijsindex te hergebruiken als Whitelist. Daarmee is de doelbinding van de Verwijsindex beperkt tot alleen het gebruik in het kader van het DKD door het Inlichtingenbureau.
Scope
De scope van de Whitelist wijkt af van de scope van de Verwijsindex. Voor de Whitelist wordt als advies meegegeven een selectie te maken met: lopende uitkeringen, beëindigde uitkeringen, terugvordering & verhaal. Een gemeente kan vervolgens zelf bepalen of onderhoudsplichtigen, re-integratie van niet-uitkeringsgerechtigden op de Whitelist worden opgenomen en hoeveel tijd na het beëindigen van de uitkering wordt meegenomen.
In de Verwijsindex zijn deze parameters vastgelegd voor alle gemeenten op dezelfde manier.
Actualisatie bestanden
Zowel de Whitelist als de Verwijsindex DKD dient periodiek te worden geactualiseerd door gemeenten. Voor beide voorzieningen zijn een uploadvoorziening en een voorziening voor geautomatiseerde berichten beschikbaar. Voor de goede orde: Er zijn momenteel slechts twee leveranciers die het geautomatiseerd bijwerken van de Verwijsindex DKD ondersteunen (Centric, Wigo4it).
Veel gemeenten actualiseren de Verwijsindex DKD op maandelijkse basis. Deze frequentie maakt dat veel vaker gebruik zou moeten worden gemaakt van de Escape-mogelijkheid dan in de situatie waarin de gemeente periodiek (per dag of per week) de Whitelist actualiseert. Ook door een andere inhoudelijke afbakening zou de gemeente vaker gebruik moeten maken van de escape-rol. Door vaker de Whitelist te actualiseren zorgt de gemeente ervoor dat onder meer nieuwe aanvragen sneller vanuit een nieuwe dienstverleningsrelatie worden toegevoegd aan de Whitelist.
Huidige technologie
Wanneer de bovenstaande punten niet of beperkter zouden spelen, zou het voor hergebruik van de verwijsindex ook nodig zijn dat er een voorziening komt tussen Inlichtingenbureau en BKWI voor het doorleveren van het Verwijsindex-bestand. De flexibiliteit van een dergelijke voorziening (de ene gemeente wil een eigen definitie van de Whitelist maken, de andere neemt de Verwijsindex over) leidt tot grote complexiteit en bijbehorende risico’s in ontwikkeling en beheer.
-
Vervolg van de vraag:
En mag ik deze gegevens dan gebruiken voor de uitvoering van andere wettelijke taken?
In artikel 74, lid 1 en lid 2 van de wet SUWI wordt antwoord gegeven op deze vraag. Gegevens die via Suwinet verkregen zijn, mogen alleen voor de uitvoering van de Participatiewet worden gebruikt. Er zijn enkele uitzonderingen op deze regel, onder andere indien de persoon op wie de gegevens betrekking hebben, vooraf schriftelijk toestemming verleent voor verstrekking van deze gegevens.
Reactie van een gemeente
De gemeente Arnhem heeft gereageerd op de laatste regel. De ontwikkelingen staan niet stil en deze reactie willen wij graag delen.
"In het rapport 'De rol van toestemming in het sociaal domein' (april 2016) van de Autoriteit Persoonsgegevens (AP) staat op pagina 2 onder 'Toestemming' het volgende aangegeven.
“Gemeenten kunnen problemen bij het bepalen van de grondslagen voor de verwerking van persoonsgegevens in het sociaal domein niet vermijden door toestemming aan betrokkenen te vragen voor de verwerking van hun persoonsgegevens. Vooral niet als gemeenten die toestemming vragen in situaties waarin de betrokkenen afhankelijk zijn van de gemeente voor hulp, zoals de intake/toegangsverlening. Betrokkenen kunnen daarbij niet in vrijheid toestemming geven.
Een ‘onvrije’ toestemming vormt geen grondslag. Gemeenten mogen dan alléén persoonsgegevens verwerken als zij zich kunnen baseren op een van de andere grondslagen uit artikel 8 van de Wet bescherming persoonsgegevens (Wbp)."
Het gaat er hierbij om dat toestemming vrij gegeven moet kunnen worden. En de AP geeft aan dat afhankelijkheid maakt dat iemand niet in vrijheid toestemming kan geven. Dat geldt overigens niet alleen voor het sociaal domein, maar in alle gevallen waar een afhankelijkheid bestaat. De (schriftelijke) toestemming is dus geen basis voor het verwerken van persoonsgegevens in dit geval”.
Het antwoord zoals het in nieuwsflits 5 is aangegeven was niet helemaal volledig. Gebruik van de gegevens uit Suwinet is buiten het kader van de wet Suwi niet toegestaan, waarbij de opgegeven uitzonderingsgrond in de praktijk op grond van de uitspraken van de Autoriteit Persoonsgegevens (AP) onvoldoende mogelijkheden lijkt te bieden.
Met dank aan Hans Jansen van de gemeente Arnhem! -
Uitgangspunten
- Partijen moeten er op kunnen vertrouwen dat “hun” gegevens zorgvuldig en controleerbaar
worden behandeld. - Bij interne controle mag Suwinet-Inkijk niet geraadpleegd worden (geen toegang tot Suwinet-
Inkijk). Wel kan een print bekeken worden die ten tijde van de aanvraag is geprint en is
opgeslagen in een dossier t.b.v. de interne controle. - Printen van pagina’s uit Suwinet-Inkijk mag en prints mogen opgeslagen worden. Maar alleen
als dit op een veilige manier gebeurt en als we er voor zorgdragen dat de prints alleen worden
gebruikt voor de uitvoering van de Participatiewet.
Voorwaarden waaronder het bewaren en opslaan van uitdraaien/prints van pagina’s uit Suwinet-Inkijk is toegestaan zijn:
- De prints worden alleen gebruikt voor de uitvoering van de Participatiewet.
- Er mogen niet meer gegevens worden vastgelegd of uitdraaien/prints worden gemaakt dan
strikt noodzakelijk (toereikend, ter zake dienend, niet bovenmatig). - De gegevens (prints) mogen niet langer worden bewaard dan noodzakelijk.
- Prints die voor een bezoek/intake voor een cliënt worden gemaakt en niet door de cliënt
worden meegenomen, moeten worden vernietigd. - Onrechtmatige toegang, onrechtmatige of doel overschrijdende verwerking moet worden
tegengegaan. - Alleen medewerkers die belast zijn met de uitvoering van de wettelijke taken die vallen onder
de Participatiewet, IOAW en IOAZ en de kwaliteitsmedewerker (controle dat aanvragen op de
juiste manier zijn behandeld en op de rechtmatigheid van de uitkering) mogen toegang
hebben tot deze gegevens/prints. - Anderen, bijvoorbeeld medewerkers die belast zijn met de uitvoering van de WMO etc.
hebben geen toegang tot deze gegevens/prints. - Gegevens/prints mogen niet onbeheerd op het bureau of beeldscherm achterblijven.
- Voor zover niet gedigitaliseerd worden de dossiers, waarin de uitdraai/print wordt opgeslagen,
bewaard in een kast die na werktijd of bij het verlaten van de werkplek wordt afgesloten. - Het raadplegen van een fysiek dossier moet controleerbaar worden vastgelegd. Vastgelegd
wordt wie, wanneer, welke gegevens heeft geraadpleegd en met welk doel of doeleinden
(compleet met handtekening). - De verantwoordelijkheid voor een juiste naleving ligt te allen tijde bij het college van
burgemeester en wethouders en namens deze bij het betreffende organisatieonderdeel. - De medewerker Planning &Control en/of de Security Officer Suwinet zijn belast met de periodieke controle op de naleving van deze voorwaarden.
- Partijen moeten er op kunnen vertrouwen dat “hun” gegevens zorgvuldig en controleerbaar
Vragen en antwoorden over de Drank- en Horecawet
-
Gemeente vraagt zich af of een afgegeven DHW-vergunning voor een VOF nog rechtsgeldig is. Met andere woorden, mag de exploitant van de huidige eenmanszaak (vormde samen met partner eerst de VOF) de horeca-inrichting nog exploiteren of is er sprake van exploitatie zonder geldige DHW-vergunning? Ons antwoord op deze vraag is als volgt. Àrtikel 29 van de DHW) bepaalt waaraan een vergunning moet voldoen, immers deze bepaling stelt wat er in een vergunning vermeld moet worden. Vervolgens bepaalt artikel 31 op welke gronden de vergunning ingetrokken kan worden en een van deze bepalingen betreft het eerste lid, sub c, van artikel 31 waarin is bepaald dat een niet op de vergunning vermelde persoon leidinggevende is geworden m.b.t. de inrichting waarop de vergunning betrekking heeft, grondslag is om de vergunning in te trekken. En dat is in deze casus het geval. Immers er is in verband met het opheffen van de VOF een leidinggevende vertrokken en daarvoor in de plaats is een ander aangetrokken die niet vermeld staat op de bestaande vergunning. Kortom niet het feit dat de VOF ontbonden is, is de grondslag voor het vervallen van de vergunning. Maar dat zijn de vereisten zoals in de artikelen 29 en 31 van de DHW waarop de vereisten worden getoetst en vervolgens bij het niet voldoen hieraan, de vergunning kan worden ingetrokken, waardoor opnieuw een vergunning moet worden aangevraagd.
-
Webwinkels die zwak-alcoholhoudende drank verkopen hebben géén vergunning nodig. De wet stelt geen eisen aan deze ondernemers. Wël vanuit welk pand ze leveren. Dat moet zijn: a. een niet voor publiek toegankelijke besloten ruimte, waarin overeenkomstige bestellingen plegen te worden aanvaard, niet zijnde een horecalokaliteit; b. een levensmiddelenwinkel, een warenhuis, een snackbar etc. (nl. alle ruimtes als bedoeld in artikel 18, tweede lid); c. een inrichting waarin het slijtersbedrijf wordt uitgeoefend.
Ondernemers met webwinkels die sterke drank verkopen hebben altijd een fysiek slijterijbedrijf. Die slijterij moet vanzelfsprekend een vergunning hebben. Het is voor gemeenten alleen nodig te weten of een webwinkel een vergunning heeft als die webwinkel sterke drank verkoopt. De gemeente kan dan kijken op de website naar het bezoekadres van de slijterij van waaruit geleverd wordt.
-
In onze gemeente is een toko gevestigd die op dit moment detailhandel drijft (afhaal van etenswaren + verkoop van andere producten). Op het pand rust tevens de bestemming horeca, dus er mag ook horeca worden gedreven. Dit wil de ondernemer ook graag.
Nu verbiedt art 14 lid 2 Alcoholwet dat wanneer er een alcoholwetvergunning is verleend er niet tevens kleinhandel of zelfbedieningsgroothandel mag worden uitgeoefend, tenzij het betreft de verkoop van etenswaren die voor consumptie gereed zijn. Dit houdt voor de toko dus in dat er wel een mogelijkheid tot afhaal van gerechten mag blijven, maar dat er bijvoorbeeld geen kroepoek, sambal e.d. vanuit schappen mag worden verkocht. Hoe zit het als er wel een exploitatievergunning is verleend, en dus horeca wordt geëxploiteerd, maar er geen alcoholhoudende drank wordt geschonken. Mag er dan wel kroepoek, sambal e.d. vanuit schappen worden verkocht?
Antwoord
Als er sprake is van zogenaamde droge horeca (een gelegenheid waar spijzen en/of uitsluitend alcoholvrije dranken worden verstrekt voor gebruik ter plaatse) is de Alcoholwet niet van toepassing maar is wel een exploitatievergunning vereist.
In veel APV's is aangegeven dat de combinatie van horeca met detailhandel niet is toegestaan. Vermoedelijk hangt dit samen met de bestemming op een pand. Echter, als de bestemming zowel horeca als detailhandel is zou ditgeen beletsel vormen.
Dit neemt niet weg dat er andere gronden in de APV kunnen staan vermeld die wel een beletsel zouden kunnen zijn. Dit moet dus getoetst worden. Hiernaast is het van belang dat op de winkel (de detailhandel) de Winkeltijdenwet van toepassing is. Het kan dus zijn dat voor de horeca andere (vaak ruimere) openingstijden mogelijk zijn dan voor de detailhandel.
-
Binnen onze gemeente zijn wij bezig de huurovereenkomsten met de huurders van de horecagelegenheden bij de sporthallen te herzien. In dat kader is er een kleine discussie ontstaan over het 'schenkrecht' dat de huurder van een horecagelegenheid zou hebben, als in de sporthal een groot evenement wordt georganiseerd. Volgens de huurder zou hem het alleenrecht tot het schenken van drank toekomen, wanneer de gemeente de naastgelegen sporthal verhuurt voor bijvoorbeeld een feest of ander evenement. Komt de huurder van een horecagelegenheid naast een sporthal inderdaad het alleenrecht tot het schenken van drank toe, wanneer de gemeente de sporthal verhuurt voor een evenement? Zo ja, waarop is dit recht gebaseerd?
Antwoord
De voorwaarden waaronder mag worden geschonken etc. zijn geregeld in de vergunning, die destijds is verstrekt. Waarschijnlijk beschikt de sporthal over een alcoholwetvergunning. Als de sporthal schenkt en als paracommercie is gedefinieerd is artikel 4 Alcoholwet van toepassing. Is dit niet het geval, want er is een aparte horecagelegenheid binnen de sporthal die door een ander dan de eigenaar van de sporthal commercieel wordt verpacht, dan is er aan die pachter een alcoholwetvergunning verstrekt en is het schenkrecht aan de pachter. De reguliere regels zijn dan van toepassing.