Privacy en gegevensuitwisseling

Veelgestelde vragen

• Is er bij het opstellen van het Model Privacy Convenant Samenwerking Onderwijs-Gemeenten-Jeugdhulp een DPIA uitgevoerd?

  Bij het opstellen van het Model Privacy Convenant Samenwerking Onderwijs-Gemeente-Jeugdhulp  is geen DPIA (een risiso-analyse ten aanzien van het verwerken van gevoelige persoonsgegevens) opgesteld. Partijen moeten het model convenant nader invulling geven door onder meer in Bijlage 3 het Casusoverleg te beschrijven en daar te vermelden welke partijen, vanuit welke wettelijke taak en verantwoordelijkheid aan tafel zitten, met welk doel en hoe in het Casusoverleg concreet met verwerking van persoonsgegevens wordt omgegaan. Gemeenten zijn verplicht om ten aanzien van het opgestelde concept Convenant een DPIA uit te voeren. Grondslag hiervoor is het besluit van de Autoriteit Persoonsgegevens van 27 november 2019. De AP heeft in dit besluit een lijst opgesteld van verwerkingen van persoonsgegevens waarvoor een DPIA verplicht is. Tot de lijst behoort ook het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard met elkaar uitwisselen. Het deelnemen aan het Privacy Convenant is een samenwerkingsverband in de zin van dit besluit. De gemeente is verplicht om de eigen Functionaris Gegevensbescherming (FG) hierbij om advies te vragen.

  Het Convenant heeft wel rekening gehouden met mogelijke risico’s die verbonden zijn aan gegevensuitwisseling in de context van meerdere partijen en daar is aandacht aan besteed met o.a. de volgende bepalingen:

  • Alleen gegevens uitwisseling met het oog op de eigen taak (doelbepaling);
  • Niet meer gegevens uitwisselen dan strikt nodig (werken met buitenkant informatie);
  • Toestemming goed regelen van betrokkene in het kader de geheimhoudingsplicht van professionals (toestemmingsformulier); Betrokkene/ouders wordt uitgenodigd voor Casusoverleg en is in principe zelf aanwezig;
  • Bij elke fase in Casusoverleg bepalen voor welk doel, welke informatie van wie nodig is (bijlage3 Inrichting casusoverleg);
  • Elke partij is als verwerkingsverantwoordelijke belast met beveiliging van persoonsgegevens (toegang bepalen, meerfactor authenticatie etc.).

  Het is vooral zaak dat elke partij voor zichzelf nagaat of met name de gezondheidsgegevens die verwerkt worden in de eigen gegevensverwerking naar aanleiding van het Casusoverleg voor betrokkene een hoog risico opleveren. Om die reden wordt aanbevolen dat de FG’s van de betrokken partijen worden betrokken bij het opstellen van het Privacy Convenant.

   

   

• Waar vind ik informatie over privacy en gegevensdeling in de samenwerking tussen onderwijs, gemeenten en jeugdhulp?

  Er leven veel vragen rond privacy en het delen en verwerken van persoonsgegevens tussen gemeenten, jeugdhulp en samenwerkingsverbanden. Deze verzameling van de veelgestelde vragen geeft antwoorden.
  

  In deze FAQ staan antwoorden op vragen rond de volgende onderwerpen:

  • Vragen over Convenant
  • AVG, verschillende wetgeving en beroepscodes
  • Vragen over proces en rol ouders

  Privacyconvenant

  Met het Privacy Convenant worden afspraken vastgelegd tussen gemeenten, jeugdhulp en samenwerkingsverbanden over het verwerken van persoonsgegevens van jongeren (en eventueel hun ouders) in de samenwerking tussen deze partijen.

  Privacy tool

  Zoek je andere informatie over privacy en passend onderwijs? Bezoek dan onze digitale privacy tool. De tool is een praktische vertaling van wet- en regelgeving en geeft aan de hand van processtappen een overzicht van de privacyaspecten en veelgestelde vragen.