Het handvat is een lijvig document (aangevuld met de lokale uitvoering bijna 300 pagina’s). Hoe komen we tot een eenvoudige, handzame, begrijpelijke en werkbare vorm?

Het adviesdocument zelf telt minder dan tien bladzijden. Daarin staan verwijzingen naar het handvat Z&V en de bijlagen daarvan, met paginanummer. Dat zou moeten helpen om gericht de nodige info te kunnen opzoeken. Medewerkers van de ZVH hoeven niet van de volledige inhoud van het handvat precies op de hoogte te zijn; de verantwoordelijkheid vanuit de AVG ligt namelijk bij de deelnemers.

Ik snap dat het in de praktijk wel zo kan voelen, als de deelnemers die verantwoordelijkheid niet lijken te nemen. Dan is de stuurgroep van lokale deelnemers aan zet (degenen die het convenant gezamenlijk hebben ondertekend), en/of de Functionaris Gegevensbescherming van de betreffende deelnemer.

Waar moet de toetsing, of een casus wel of niet in het ZVH-overleg thuishoort, plaatsvinden? Bij deelnemers van het casusoverleg, het ZVH of beide?

Als het goed is, vallen casussen die niet in het ZVH thuishoren bij de aanmelding of triage al af. Het is zinvol om te monitoren of het vaak voorkomt dat er in het casusoverleg casuïstiek doordringt die er eigenlijk niet thuishoort. In dat geval moet je de ‘filter’ scherper afstellen. Onafhankelijke toetsing op casusniveau is niet gewenst.

Voor plustaken van het ZVH dient een apart protocol te worden opgesteld. Deze taken dienen niet onder het protocol ZVH te worden uitgevoerd, tenzij is vastgesteld dat het protocol daarvoor geschikt is. Daarvoor zou je een overleg van Functionarissen Gegevensbescherming (FG’en) van ketenpartners kunnen gebruiken.

De wijze waarop weging en triage plaatsvinden moet in lijn zijn met de lokale afspraken daarover. Als die afspraken onvoldoende concreet zijn, kan een overleg van FG’en of de stuurgroep daar inderdaad meer duidelijkheid over geven. Het is in elk geval niet goed als binnen het ZVH afwegingen (moeten) worden gemaakt die buiten de scope van de gemaakte en vastgelegde afspraken vallen.

De ZVH-regisseur bouwt voort op de grondslag van de inbrenger. Maar is er een waarborg dat er binnen die grondslag zal worden gebleven?

De werkwijze in het ZVH biedt niet zoveel ruimte om daar buiten te treden. De grondslag is gedurende het hele proces artikel 6 lid 1 e. In praktijk bewaakt de procesregisseur de zorgvuldigheid van het proces. Ook qua privacy. Het protocol is daarbij leidend.

De grondslag van de indiener is leidend, maar zodra een casusregisseur wordt aangewezen (wat ook een andere partij kan zijn) is diens grondslag leidend. De regisseur bewaakt de zorgvuldigheid van het proces rond het casusoverleg, maar neemt hierbij de verantwoordelijk niet over van de deelnemers.

Waarom wordt er voor de bewaartermijn geen gebruikgemaakt van privacy by design (zoals automatisch verwijderen)? Eventueel met een voorafgaande waarschuwing.

We hebben in de landelijke documenten het wat voorgeschreven, niet het hoe. De DPIA ziet daar op. Maar bovenstaande is een prima voorstel, waar de ZVH-en zelf kunnen kiezen om dat zo in te regelen.

Bij medische gegevens zijn we gebonden aan de mailstandaard NTA7510. Waarom wordt er niet dwingend voorgeschreven dat wij Zivver of een dergelijke applicatie gebruiken?

We schrijven het ‘wat’ voor. Niet het ‘hoe’. En we gaan zeker niet één systeem voorschrijven.

De bewaartermijn van max. één jaar zorgt voor risico’s. Als de cliënt daarna een terugval krijgt, ontstaat dan niet het gevaar dat er op basis van gebrekkige informatie gehandeld wordt?

De landelijke termijn van één jaar is tot stand gekomen in overleg met de praktijk. Daarbij is afgesproken dat we, als de praktijk uitwijst dat die termijn te kort is, die landelijke afspraak kunnen heroverwegen. Dus als de managers ZVH collectief met een ander, goed onderbouwd voorstel komen, dan kan dat.

Bovendien is de termijn van één jaar niet absoluut. Per casus kan bekeken worden of het nodig is deze te verlengen. Maar dat vergt steeds een specifieke afweging in het casusoverleg. Dat de informatie weg zou zijn, is niet waar. Het ligt voor de hand dat, in het geval van terugval, veel van dezelfde partijen weer betrokken zullen worden. Die hebben nog veel informatie in hun eigen dossiers zitten, in ieder geval over hun eigen aandeel. Daar kan dan dus gebruik van worden gemaakt.

De verantwoordelijkheid voor de DPIA wordt nu bij de partners gelegd. Maar partners beschikken vaak niet over voldoende kennis over de uitvoering door het ZVH.

Zoals de vragensteller zelf al aangeeft: juridisch gezien zijn de afzonderlijke partijen verwerkingsverantwoordelijk voor hun aandeel in het ZVH. Zij zullen dus zelf een beoordeling moeten maken. Er is echter niets op tegen om dat op een praktische manier via de manager ZVH te organiseren en daar een gecoördineerd proces van te maken. Daar helpt dit document bij.

Vervolgens zullen alle partners afzonderlijk moeten afwegen of ze de uitkomsten en maatregelen voldoende vinden. Indien er aanleiding is tot bijstelling, zal dat altijd in overleg met de andere verwerkingsverantwoordelijken moeten gebeuren. Daar is de stuurgroep van het ZVH voor. De manager ZVH kan, op basis van de reacties van de partijen en in overleg met hen, tot een afgewogen voorstel komen. Het uitgangspunt is echter dat de ZVH-en zoveel mogelijk handelen binnen de afspraken die op landelijk niveau gemaakt zijn en door de privacy-experts van de landelijke ketenpartners en brancheorganisaties van regionale partners zijn goedgekeurd. Én dat er weinig reden tot fundamentele bijstelling zal zijn. Als dat wel zo is, zullen de landelijke afspraken moeten worden herzien.

De maatregelen met betrekking tot de verwerkingen waarvoor een gezamenlijke verwerkingsverantwoordelijkheid geldt, dienen altijd in onderlinge afstemming te worden vastgesteld. In de stuurgroep kan worden bepaald wie van de deelnemers hier een aanzet voor levert/leveren. Uiteindelijk wordt deze met alle deelnemers gezamenlijk vastgesteld.

Als het gaat om de opstelling met betrekking tot de eigen verwerkingsverantwoordelijkheden van de deelnemers: daarbij kun je inderdaad wijzen op de werkwijze in het landelijk overeengekomen handvat Z&V. Tegelijkertijd hebben ze als verwerkingsverantwoordelijke het recht op een eigen risicoafweging.

Deelnemers wisselen ook buiten het ZVH-casusoverleg informatie uit. Hierbij is het heel goed mogelijk dat er minder aandacht is voor de privacyvereisten.

Als twee partijen elkaar - buiten het casusoverleg om - gegevens verstrekken waarover ze beschikken op basis van hun eigen taak, dan zijn dat bilaterale verstrekkingen. Daarover oordelen de partners zelf. Als ze gegevens aan elkaar verstrekken die ze van een van de andere partners hebben gekregen, dan zullen ze terug moeten naar de betreffende partner.

Dat is onderdeel van de afspraken, maar inderdaad niet controleerbaar. Vaak zal pas achteraf blijken dat iemand zich niet aan de afspraken heeft gehouden. De procesregisseur kan de partners daar op aanspreken. Als dit vaker voorkomt, is dat reden om te escaleren naar het bestuurlijk niveau. Het gaat immers om een ondermijning van de samenwerking.

Doen de landelijke partners (OM, politie, Reclassering Nederland etc.) één landelijke DPIA?

Dat weten we niet van elke landelijke ZVH-deelnemer, maar het is in elk geval erg handig als er landelijk één wordt opgesteld. Deelnemers dienen dus altijd eerst te informeren bij hun collega’s van het hoofdkantoor of er een DPIA of vergelijkbaar document is met betrekking op de deelname aan het ZVH. Ook als er een landelijke DPIA is opgesteld, moet door de lokale partij altijd worden beoordeeld of die DPIA de lading dekt van de lokale praktijk. Zo niet, dan is een aanvulling nodig.

Als één van de partijen de DPIA niet uitvoert, wat zijn dan de consequenties?

Dan blijft deze partij in gebreke voor wat betreft de AVG-verplichtingen. Dat betekent dat de toezichthouder een maatregel of boete kan opleggen aan deze partij. Als er gezamenlijke verwerkingsverantwoordelijkheden spelen waarbij één partij bijvoorbeeld een datalek veroorzaakt, zijn alle deelnemers daarvoor in beginsel aansprakelijk. Daarom zijn duidelijke afspraken ten aanzien van de gezamenlijke verwerkingsverantwoordelijkheden van belang. Daarbij gaat het in eerste instantie om het gebruik van het informatiesysteem en de applicatie Middenvelder.

Moet het ZVH in de gaten houden of partijen een DPIA hebben gedaan?

Dat is niet de verantwoordelijkheid van het ZVH. Als er signalen zijn dat partijen geen DPIA hebben uitgevoerd, is het wél iets waar de lokale stuurgroep zich over kan uitspreken, aangezien het uitvoeren van een DPIA onderdeel uitmaakt van de AVG-compliance die ZVH-partners van elkaar mogen verwachten.

Veel lokale partners sluiten wel op casusniveau aan, maar zijn geen officiële convenantpartner. Moeten deze partijen ook een DPIA doen?

Een partij zal eerst convenantpartner moeten worden voordat deze kan deelnemen aan een casusoverleg. Als anders besloten wordt, dient in elk geval een zorgvuldige triage te worden gedaan met aandacht voor een specifiek aantoonbare grondslag. In elk geval geldt dat deelname in lijn moet zijn met de uitgangspunten in het handvat Z&V.

Met inbegrip van bovenstaande: als partijen af en toe aansluiten, moeten ze een DPIA uitvoeren. Alleen als het gaat om een incidentele (en dus niet regelmatig terugkerende) verwerking geldt de DPIA-plicht niet.

Als partners met vragen komen, bij wie kunnen wij als ZVH dan terecht?

We verwachten dat dit adviesdocument samen met de verwijzingen naar het handvat Z&V de meeste vragen kan afvangen. Voor zover dat niet het geval is, dienen vragen binnen de eigen organisatie te worden opgepakt, in lijn met de eigen verwerkingsverantwoordelijkheid die deelnemers hebben. Het is ook goed denkbaar dat de Functionarissen Gegevensbescherming of privacyfunctionarissen van de deelnemers een regulier overleg hebben waarbij vraagstukken of afwegingen van afzonderlijke deelnemers kunnen worden besproken.

Wordt het adviesdocument ook als bijlage toegevoegd aan het modelconvenant/-protocol?

Ja, het adviesdocument wordt in versie 2.3 toegevoegd als bijlage.

Hebben we al zicht op eventuele consequenties van DPIA? Wat als een partij besluit om niet meer mee te doen of bepaalde gegevens niet meer te delen?

Als een ZVH anders te werk gaat dan in het Handvat Z&V beschreven staat, zal de DPIA leiden tot maatregelen of inperkingen die moeten worden doorgevoerd. Als al netjes volgens het Handvat wordt gewerkt, zullen de benodigde maatregelen goed te overzien zijn.
Als antwoord op het tweede deel van de vraag: in zulke gevallen kun je wijzen op de landelijk overeengekomen werkwijze in het Handvat Z&V; tegelijkertijd hebben ze als verwerkingsverantwoordelijke het recht op een eigen risicoafweging.

Kunnen we de adviesdocumenten delen met partners die een DPIA willen uitvoeren?

Klopt.

Is het niet efficiënter voor de ZVH'en om de eigen situatie te beoordelen en dit vervolgens als referentie te laten dienen voor de DPIA's van de aangesloten partijen?

Dat kan handig zijn, mits de lokale stuurgroep van convenantpartners hiervoor kiest. We verwachten overigens wel dat deelnemers in staat zullen zijn om zelfstandig een DPIA op te kunnen stellen met behulp van het voorwerk dat in het adviesdocument is gedaan. De reden hoeft dus niet te zijn om vragen aan de ZVH-manager te voorkomen, maar eerder om een voorzet te geven voor risico’s en bijbehorende maatregelen die bij de lokale situatie passen. De afzonderlijke deelnemers houden, voor zover het hun eigen verwerkingsverantwoordelijkheid betreft, altijd de vrijheid om risico’s en/of maatregelen naar eigen inzicht aan te passen.

Voor GCOS is ook een DPIA uitgevoerd. Ik kan alleen een bericht vinden over een PIA uit het jaar 2018. Is er inmiddels een nieuwere DPIA beschikbaar?

De DPIA die op GCOS gedaan is (en die overigens formeel ook geldt als adviesdocument aan de verwerkingsverantwoordelijken) wordt gepubliceerd op Zorgenveiligheidshuizen.nl.

Is er een verschil tussen het hebben van een wettelijke taak en het hebben van een grondslag (wettelijke verplichting of taak van algemeen belang)?

Met een wettelijke of publieke taak wordt bedoeld dat er sprake is van één van beide genoemde verwerkingsgrondslagen uit de AVG. Die moet echter altijd blijken uit een specifieke sectorale wet en artikel waarin staat aangegeven dat bepaalde gegevens voor een bepaald doel kunnen of moeten worden verwerkt.

Hebben jullie tips over het maken van afspraken die voortvloeien uit de gezamenlijke verwerkingsverantwoordelijkheid?

Ja, geef de lokale stuurgroep hierin de regie. Die kan bijvoorbeeld aan één of meer deelnemers vragen om een voorstel uit te werken, waarna het gezamenlijk door de stuurgroep kan worden vastgesteld.