Dat is makkelijker gezegd dan gedaan. Dat informatiedeling in het veiligheidsdomein geen eenvoudige zaak is, behoeft hier geen betoog. Het veiligheidsdomein is de afgelopen jaren steeds breder geworden en de onderscheidenlijke partners die in het Veiligheidsdomein werken zijn zeer divers.

In het veiligheidsdomein worstelt men al jaren om het veilig delen van veiligheids- en privacygevoelige persoonsinformatie, op een voor alle partijen bevredigende en juridisch correcte wijze, mogelijk te maken. Elke veiligheidspartner heeft een eigen informatiesysteem waarvan de informatie per definitie niet met derden wordt gedeeld. In het veiligheidsdomein met elkaar praten is natuurlijk oké, maar relevante informatie mondeling of digitaal met elkaar delen is toch net even iets anders. “Geheim, “vertrouwelijk”, “privacygevoelig”, “voor jou echt niet relevant” zijn kreten en gebruikte terminologieën om de andere veiligheidspartners niet met jouw informatie “te belasten” Dat deze terughoudendheid een beperking vormt voor de meest gewenste oplossing van het probleem wordt vaak niet beseft. Hierdoor wordt vaak maar een deel van het probleem in beeld gebracht en slechts een deeloplossing verkregen. Inzetten op een symptoom zonder de kern van het probleem te doorgronden. Koppelingen van systemen of delen van veiligheid gerelateerde informatie met sociale partners was tot voor kort helemaal taboe.

Bij domeinoverschrijdend samenwerken hoort domeinoverschrijdend informatie uitwisselen.
Door het kabinet wordt steeds vaker de nadruk gelegd op domeinoverschrijdende samenwerking, het delen van informatie over de domeingrenzen heen. De gemeenten worden daarbij door landelijke teams geholpen om deze manier van werken van de grond te krijgen. Deze manier van werken geeft zicht op de totale omvang van de problematiek en de achterliggende oorzaken waardoor een domeinoverschrijdende sluitende aanpak voor het probleem kan worden gerealiseerd.
Bij de aanpak van personen met verward gedrag wordt deze manier van samenwerken door staatssecretaris Paul Blokhuis “dringend aanbevolen”. Anders gezegd de informatiedeling tussen de veiligheidspartners onderling en de informatiedeling van partners in het Veiligheidsdomein en het Sociale Domein moet op een juridisch correcte manier worden “ontschot”. In feite is dit een oproep voor een domeinoverschrijdende persoonsgerichte aanpak waarbij samenwerking en informatiedeling centraal staan. Nieuwe centrale regelgeving opent hiervoor de mogelijkheden.

De Algemene Verordening Gegevensbescherming (AVG) de basis voor de legitieme verwerkingen deling van persoonsgegevens.
De AVG is op 25 mei 2018 formeel in werking getreden. Hiermee is de Wet Bescherming Persoonsgegevens (Wbp) komen te vervallen. Bij de informatiedeling tussen partners werd de Wet Bescherming Persoonsgegevens te pas en te onpas als excuus gebruikt om geen informatie of gegevens te delen. Door de inwerking van de AVG wordt het veel moeilijker om een excuus aan te voeren om geen informatie of gegevens te delen. De kaders waarbinnen informatie- en gegevens deling mogelijk is worden in de AVG haarscherp aangegeven. Zoals gebruikelijk bij de invoering van nieuwe regelgeving heb je uitgesproken voor- en tegenstanders. De AVG wordt door sommige partners binnen het veiligheidsdomein als een grote belemmering gezien. Vrijelijk alle informatie over een persoon delen is er niet meer bij omdat men voor de gegevensverwerking nu aan stringente regels gebonden is en men niet meer alles mag registeren. Bovendien krijgt men anders dan voorheen rechtstreeks met de betrokkene te maken, die inzicht in zijn dossier/gegevensverwerking kan vragen. Andere partners in het veiligheidsdomein vinden het juist een geweldig bruikbare verordening omdat daarin exact aangegeven wordt onder welke voorwaarden er wat, met wie gedeeld mag worden en dat ook de betrokkene expliciet rechten heeft gekregen en van de gegevensbewerking in kennis moet worden gesteld. De AVG geeft de juridische kaders aan wat in welke situatie gedeeld mag worden en met wie. 

De AVG nader beschouwd

Het verzamelen, registeren en opslaan van persoonsgegevens en het eventueel delen van deze gegevens met derden vallen allemaal onder de werkingssfeer van de AVG. De AVG spreekt in dit kader over “een verwerking”. Voor een verwerking, is een verwerkingsgrondslag nodig.
Hierbij gelden een aantal beginselen en er zijn specifieke nieuwe verplichtingen waaraan voldaan moet worden.

Beginselen:

•    Dataorganisatie en data minimalisatie
( Er moet een overzicht van de verwerkingen zijn met de doelomschrijvingen per verwerking. Niet meer data organiseren en/of bewaren dan absoluut nodig is voor het doel.
Pas maximale bewaartermijnen toe. B.v. binnen een jaar geen plan van aanpak – alle persoonsgegevens verwijderen. Een uitzonderling hierop kan zijn een lopend onderzoek waarvoor de gegevens toch nog nodig zijn).  
•    Doelbeperking
(Concreet doel aangeven. Gebruik gegevens alleen waarvoor ze (oorspronkelijk) zijn verzameld)
•    Transparantie
(De betrokkene moet (kunnen) weten wat er met zijn/haar gegevens gebeurt.
Dit geldt dus ook voor cliënten tenzij ………………. zich hier dringende redenen toe verzetten.
De vraag die daarbij hoort is hoe ga je de cliënten informeren over de verwerkingen, de redenen en het doel)       
•    Passende beveiliging
(Veiligheid organiseren intern maar ook bij de leverancier van de digitale systemen.
Sluit een verwerkersovereenkomst af met de leverancier.
Zet een autorisatiematrix op en onderhoudt die.
Wijs intern een Functionaris Gegevensbescherming (FG) aan. De FG informeert en adviseert op het gebied van de privacy en Privacy Impact Assessment (PIA’s), houdt toezicht op de naleving van de regelgeving en is contactpersoon voor de toezichthouder, in casu de AP,).
•    De betrokkene is de baas over zijn of haar gegevens
(o.a. inzage recht in de verwerking, weigering tot medewerking)


 
Verplichtingen:

•    De plicht om toezicht op het systeem, de beveiliging en de data te organiseren
•    Er is een meldplicht voor datalekken (binnen 72 uur handelen om het lek te dichten en melden bij de Autoriteit Persoonsgegevens. De rechten van betrokkene binnen 4 weken ook melden bij betrokkene(n)
•    Er zijn rechten voor betrokkenen (inzien van de registratie, de reden en het doel van de registratie)
•    Naleving aantonen van de regels bij controles door de Autoriteit Persoonsgegevens (AP).
Bijzonder is dat er sprake is van de zogenaamde omgekeerde bewijslast. Dat betekent dat de maatregelen zelf moeten worden aangetoond in plaats van dat er bewezen moet worden dat de maatregelen niet zijn getroffen.  

N.B. In dit kader wil ik opmerken dat de AP uitermate streng zal controleren. Op overtreding van de AVG, bijvoorbeeld bij een verwijtbaar datalek kunnen hoge boetes worden opgelegd. Doordat bijna elke organisatie in Nederland met persoonsgegevens werkt, betekenen de controles voor de AP een enorme hoeveelheid werk. Er zullen in eerste instantie steekproeven worden genomen. Met name bij overheidsinstanties, die immers, als het om privacywetgeving gaat, een voorbeeldfunctie hebben. Wees derhalve bij deze gewaarschuwd.

Grondslagen voor de verwerking van persoonsgegevens (rechtmatigheid)
De verwerking van persoonsgegevens is alleen rechtmatig indien er voor zover aan ten minste een van de onderstaande voorwaarden is voldaan. Het betreft hier een limitatieve lijst.
1.    Toestemming van betrokkene
2.    Uitvoering van een overeenkomst
3.    Wettelijke verplichting
4.    Vitale belangen
5.    Taak van algemeen belang of taak in het kader van de uitoefening van het openbaar gezag (gemeente en politie)
6.    Gerechtvaardigde belangen

Gewone en bijzondere Persoonsgegevens
Er wordt in de AVG-onderscheid gemaakt in “gewone” persoonsgegevens (NAW-gegevens) en of “bijzondere” persoonsgegevens. De bijzondere persoonsgegevens vertellen heel veel over de betreffende persoon en zijn meestal uiterst “privacygevoelig” en raken dus aan het wezen van die persoon in kwestie

Mag dat zomaar die bijzondere persoonsgegevens verwerken?   
De verwerking van bijzondere categorieën persoonsgegevens is verboden, tenzij er een specifieke uitzondering van toepassing is óf de betrokkene uitdrukkelijk toestemming hiervoor heeft gegeven.
Persoonsgegevens zijn bijzonder als daaruit het volgende blijkt:

1.    Ras of etnische afkomst
2.    Politieke opvattingen
3.    Religieuze of levensbeschouwelijke overtuiging
4.    Lidmaatschap van een vakbond
5.    Verwerking van genetische gegevens
6.    Biometrische gegevens met het oog op de unieke identificatie van een persoon
7.    Gegevens over gezondheid
8.     Gegevens met betrekking tot iemand seksueel gedrag of seksuele gerichtheid

Maar je kan ook denken aan categorale indelingen die gebaseerd zijn op de leefgebieden. Die categorieën kunnen veel over een persoon zeggen b.v. verslavingindicatie, drugs, drank, gokken, ex-gedetineerde voor een gewelds- vermogensdelict, zedendelinquent, etc.
Voor de verwerking van “bijzondere” persoonsgegevens moet een vitaal belang worden aangetoond.

Conclusie
De AVG is een groot goed. De verordening gaat over de domeingrenzen heen en elke organisatie heeft nu precies dezelfde privacyregels, althans voor zover dit het bewerken van persoonsgegevens en de uitwisseling van persoonsgegevens betreft. De kaders, mogelijkheden en onmogelijkheden zijn duidelijk aangegeven. De AVG is derhalve niet samenwerking belemmerd maar juist samenwerking bevorderend.


Te zetten stappen voorwaarts
Wij zijn in het Veiligheidsdomein nog niet helemaal af van de koudwatervrees om als veiligheidspartners essentiële informatie met elkaar te delen. Dat geldt voor het verticaal delen van informatie in de eigen kolom. Met andere woorden dringt belangrijke informatie van de onderste lagen van de organisatie, zonder vervorming, censurering of andere belemmeringen door tot de hogere regionen in de organisatie of is dat niet het geval. In de praktijk blijkt dat vaak niet het geval te zijn. De laatste perikelen bij defensie zijn daar een voorbeeld van en vaak moeten burgemeesters en ministers meedelen dat ze niet tijdig, geen of onvolledige informatie hebben gehad.
In de horizontale informatie-uitwisseling tussen de diverse veiligheidspartners loopt het vaak ook nog wat stroefjes. Is die andere partij wel helemaal te vertrouwen? Moeten die anderen dat allemaal wel zo nodig weten? Wij zijn de baas over onze eigen werkprocessen, informatiestromen en informanten en hoeven daarbij geen inmenging door “goedbedoelende” andere veiligheidspartners.

De link met de sociale partners
De link met de sociale partners wordt nog niet overal gelegd. De barricades moeten worden geslecht om echt optimaal rendement uit de beschikbare informatie te kunnen halen. Het totaalbeeld van de situatie, de aard van de dreiging, de achtergronden van een persoon en zijn gedrag, tendens tot radicalisering, leefomstandigheden, leefbaarheids- en veiligheidsgevoelens, de analyse van een persoon voor toekomstig (voorspelbaar) gedrag, etc. komen pas volledig in beeld als er informatie-uitwisseling en multidisciplinair overleg plaats vindt. Pas dan kan er sprake zijn van een domeinoverschrijdende sluitende aanpak.

Multidisciplinair overleggen, informatie delen, aanpak afstemmen en doorpakken.
Een door de gemeente voorgezeten domeinoverschrijdend multidisciplinair afstemmingsoverleg is daar een oplossing voor. De gemeente agendeert ter integrale bespreking en afstemming: situaties, gebeurtenissen, concrete personen, gezinnen, groepen en bedrijven. In dit overleg kunnen de partners binnen de omlijnde kaders van de AVG-informatie delen. Alsdan kan besloten worden of bepaalde informatie noodzaakt tot verder onderzoek door een of meerdere partners, monitoring van de situatie, of in een ander geval tot het aanleggen van een dossier en de ontwikkeling van een sluitend plan van aanpak. Maar het overleg kan ook leiden tot het direct interveniëren.
Zoals gezegd kan In het overleg ook in gezamenlijkheid besloten worden om voor deze specifieke situatie, zaak of casus een dossier aan te leggen en daarin de relevante informatie van alle betrokken partners vast te leggen. Het doel is om met het dossier en het afstemmingsoverleg een plan van aanpak te ontwikkelen waarmee de gesignaleerde problemen worden opgelost.
Door de C3 Group uit Leerdam is een SMART ingerichte softwareapplicatie ontwikkeld die aan alle AVG-eisen voldoet en officieel ISO gecertificeerd is. Met deze applicatie is het mogelijk het domein overschrijdend overlegvorm te geven, het overleg te notuleren, juridisch “AVG-correct” informatie uit te wisselen tussen alle deelnemende partijen, dossiers aan te leggen en sluitende plannen van aanpak te generen.  Wilt u meer weten over deze applicatie neem dan gerust contact met ons op.   

De regie over de informatiestromen
Delen van informatie of verwerking van persoonsgegevens is dan nu wel formeel geregeld en gekanaliseerd maar om informatie te kunnen delen moet je ook over informatie beschikken. In dat geval hebben wij het over de informatieposities van de partners, de informatiebronnen en het door onderzoek verkrijgen van informatie. De regie krijgen op de informatiebronnen en informatiestromen is de kunst. Daar zal in een separate C3-blog nader op in worden gegaan.