Privacy & Informatiebeveiliging

In de Verwijsindex wordt geen vertrouwelijke informatie over de behandeling van de cliënt gedeeld. Het gaat uitsluitend om de naam, geboortedatum en BSN van de cliënt en de contactgegevens van de professional en de instantie, die de registratie in MULTIsignaal heeft geplaatst. Alle betrokkenen kunnen erop vertrouwen dat de gegevens in de Verwijsindex zorgvuldig gehanteerd worden.

AVG en de Verwijsindex MULTIsignaal

Onze samenleving en economie zijn de afgelopen decennia sterk gedigitaliseerd. Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing om de privacy van burgers en ondernemingen te beschermen. Vanaf 25 mei geldt dezelfde privacywetgeving in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

In de Verwijsindex worden persoonsgegevens verwerkt in de zin van de AVG. De wettelijke basis voor gegevensverwerking door de Verwijsindex is de Jeugdwet, namelijk artikel 7.1.4.3. De volgende gegevens worden in de Verwijsindex verwerkt:

  1. BSN;
  2. Naam, inclusief voornamen;
  3. Geslacht;
  4. Geboortedatum;
  5. Adresgegevens.

In het kader van gegevensverwerking bedoeld in dit artikel worden tevens de identificatiegegevens en contactgegevens van de meldingsbevoegde die de melding doet, verwerkt.

Verwerkersovereenkomst

De gemeenten zijn de ‘Verwerkingsverantwoordelijke’ in de zin van de AVG, en MULTIsignaal is de ‘Verwerker’. In artikel 28 lid 3 van de AVG wordt vereist dat Verwerkingsverantwoordelijke een verwerkersovereenkomst sluit met verwerker. Gemeenten hadden reeds een bewerkersovereenkomst met MULTIsignaal (bijlage V van de SLA). Deze wordt vervangen door een vernieuwde verwerkersovereenkomst, conform AVG, welke door MULTIsignaal in april en mei 2018 is toegezonden aan alle gemeenten.

Beveiligingsmaatregelen MULTIsignaal

MULTIsignaal heeft verschillende stappen ondernomen om te voldoen aan de eisen die gesteld zijn in de AVG en in de meldplicht datalekken. MULTIsignaal heeft een Privacy Impact Assessment in het beveiligingsprotocol geïmplementeerd én een up to date verwerkersovereenkomst met alle gemeenten. MULTIsignaal beschikt sinds 2014 over het ISO 27001 informatiebeveiligingscertificaat. In juni 2017 heeft MULTIsignaal opnieuw dit certificaat verkregen. Afgelopen april is de jaarlijkse ISO controleaudit met succes doorlopen.

ISO certificering

In 2017 ontving MULTIsignaal N.V. opnieuw het ISO 27001 certificaat voor informatiebeveiliging. Met het ISO 27001 certificaat toont MULTIsignaal N.V. aan te voldoen aan de eisen die gesteld zijn in de Algemene Verordening Gegevensbescherming. Deze wet vereist onder andere dat bedrijven en overheden passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen (artikel 5, eerste lid, sub f). Na een intensieve audit door BSI, ontving MULTIsignaal in 2014 het ISO 27001 certificaat Informatiebeveiliging. Dit certificaat is drie jaar geldig. In 2017 is dit traject opnieuw succesvol doorlopen met als resultaat certificering tot 2020.

MULTIsignaal kiest er bewust voor om blijvend de veiligheid van informatie na te streven en zich jaarlijks door externen te laten toetsen. In april 2018 is de jaarlijkse ISO controleaudit met succes doorlopen. MULTIsignaal volgt daarbij de specifieke eisen in de nieuwe Jeugdwet, de richtlijnen in het Richtsnoer van het College Bescherming Persoonsgegevens en de afspraken in onze overeenkomst met gemeenten. Informatie in de Verwijsindex, hoe beperkt ook, verdient immers alle bescherming.

Voor een korte samenvatting van de AVG klik hier.

De AVG en het werken met de Verwijsindex

Gegevensverwerking is rechtmatig indien de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting. De Verwijsindex MULTIsignaal geeft uitvoering aan een wettelijke verplichting, namelijk onze nationale Jeugdwet. De AVG vereist wel dat de betrokkenen geïnformeerd worden over het afgeven van een signaal. Zie artikel 13 & 14 van de wet AVG.

Zodra er een match is tussen twee signaleringsbevoegden, vindt er afstemming plaats. Deze afstemming kan inhoudelijke gegevensuitwisseling met zich meebrengen. In de AVG is geregeld dat hiervoor toestemming vereist is van de betrokkene(n). Kortom; pas op het moment van een match is er op grond van de AVG toestemming nodig. Voor adviezen over het voldoen aan de informatieplicht of het vragen van toestemming bekijk de FAQ.

De AVG en de Verwijsindex voor gemeenten

Op grond van artikel 7.1.3.1, lid 1 van de Jeugdwet worden de samenwerkingsafspraken tussen gemeenten en organisaties vastgelegd vastgelegd in een convenant. MULTIsignaal heeft het modelconvenant, gebaseerd op het standaardconvenant van de VNG, getoetst aan de Jeugdwet en de AVG. De AVG heeft op een aantal onderdelen van dit modelconvenant effect:

  1. Begripsbepalingen;
    De terminologie van de AVG is overgenomen. Tevens zijn verwijzingen naar artikelen van de WBP vervangen door verwijzingen naar artikelen van de AVG.

  2. Inhoud van de informatieplicht aan betrokkenen (dit kan mondeling of schriftelijk, denk aan een persoonlijk gesprek waarin je betrokkenen wijst op een folder of informatie op de website). De informatieplicht aan betrokkene is uitgebreid en moet het volgende inhouden:
    • Contactgegevens van de betreffende gemeente;
    • Verwerkingsdoeleinden zoals bedoeld in de Jeugdwet, artikel 7.1.2.1. lid 2;;
    • Rechtsgrond voor verwerking zoals bedoeld in de Jeugdwet artikel 7.1.4.1, sub a t/m l;
    • Ontvangers of categorieën van ontvangers (nieuw);
    • Periode van opslaan van persoonsgegevens (nieuw);
    • Het recht om bezwaar te maken (nieuw).
  3. Rechten van betrokkenen, in het bijzonder het recht van bezwaar:
    Het recht om bezwaar te maken is gewijzigd met de komst van de AVG. In de WBP kon voorheen ‘verzet’ worden aangetekend op grond van bijzondere persoonlijke omstandigheden (artikel 40). Dit is anders dan het recht op bezwaar uit de AVG (artikel 21), waarin staat dat er bezwaar kan worden gemaakt op grond van ‘met een specifieke situatie verband houdende reden’. Deze reden moet zwaarder wegen dan de dwingende gerechtvaardigde gronden voor verwerking, die gebaseerd zijn op een belangenafweging volgend uit artikel 7.1.4.1 van de Jeugdwet.

NB: De procedure voor het aantekenen van bezwaar blijft gelijk. Zie FAQ vraag 30.