Voor wie even niet opgelet heeft: In mei 2018 wordt in Nederland de Europese privacy wet (GDPR) van kracht onder de naam AVG (Algemene verordening gegevensbescherming). Het belangrijkste hieruit is dat je alleen persoonsgebonden gegevens mag opslaan zolang je hiervoor een geldige grondslag (reden) hebt. In de aanloop naar deze datum worden wij doodgegooid met artikelen over deze nieuwe wetgeving èn wat er gebeurt als we er nièt aan voldoen. Het is, als je de vele gesprekken en artikelen daarover moet geloven, enge shit. En dat op zijn beurt is volgens mij nou weer bullshit.
Interessant fenomeen is dat het bij dit alles vooral gaat om de formele en administratieve verplichtingen. Is er een informatie beleid? Is er een beveiligingsbeleid? Welke rol hebben persoonsgebonden data hierin? Zijn beleid en processen op dit gebied geborgd in organisatorische maatregelen? Wat gebeurt er als er fouten worden gemaakt? Past de organisatie zich daar op aan? Dat alles is best wel even een klusje. Maar laten wij dat niet spannender maken dan het is: een lastig, maar uiteindelijk technisch klusje.
Natuurlijk, de wetgeving wordt actief en wij moeten er echt aan voldoen. Maar moeten wij daarvan in paniek raken? Nee, we moeten het uitzoeken, regelen en organiseren. Dat is heel wat anders. Bovendien, doelstelling van de Autoriteit Persoonsgegevens is niet om zoveel mogelijk boetes op te leggen, maar het borgen van de – uw en onze – privacy! Zij wil borgen wat wij wensen! En ja, de nieuwe wetgeving vergt een andere houding ten aanzien van het omgaan met persoonsgebonden data. We kunnen niet meer zomaar onbezonnen allerlei persoonlijke gegevens verzamelen delen en analyseren. Het doel moet legitiem zijn, en dat is een goede zaak.
Veel interessanter en uitdagender dan de papieren exercitie en het daarmee verbonden informatiemanagement is het vraagstuk van de praktische toepassing. Binnen mijn eigen werkveld – zorg en welzijn – bijvoorbeeld. Want juist daar wordt in de praktijk privacy vaak als belemmering ervaren. De beleving is dat privacy betekent dat er geen gegevens gedeeld mogen worden. En al helemaal niet zonder voorafgaande toestemming van de betrokken persoon of personen. U herkent ze waarschijnlijk wel, de privacy-schaamlappen: ‘Ik heb een vertrouwensrelatie met mijn cliënt, daar zit mijn cliënt niet op te wachten, ik heb een beroepsgeheim, ik kan alleen gegevens delen na een schriftelijke toestemming van mijn cliënt, ik mag alleen gegevens delen binnen mijn discipline. Nee, ik mag geen gegevens delen!” Dat is allemaal bullshit! De rechters van het Europees Hof hebben namelijk ook een Europees Verdrag voor de Rechten van de Mens vastgesteld.
Er kan en mag dan ook veel meer dan wij denken. Juist dankzij die vaak verguisde wet- en regelgeving. Omdat juist die wet- en regelgeving ons professionals een prachtig en uniform afwegingskader biedt. Zij bevat krachtige en prachtige bepalingen die een andere – minder angstige – manier van kijken mogelijk maken. Met als uitgangspunt: het doel van ons handelen is leidend! Zo ook bevestigde mij deze week Jolanda van Boven weer. Zij hield een schitterend betoog voor welzijns- en zorgprofessionals in de gemeente Wijchen. Zij reikte hen in haar presentatie een paar simpele zorgvuldigheidskleppen aan:
- Met welk doel deel ik gegevens?
- Welke noodzaak is er?
- Communicatie met betrokkenen over het voornemen om informatie te delen. En als daartegen bezwaar is het wegen van argumenten om informatie te delen met de bezwaren van leerlingen of ouders.
Let op: communicatie over het voornemen om informatie mag en moet niet verward worden met het vragen om toestemming! Het toestemmingsvereiste is – zoals Jolanda dat noemde – “een ‘vluchtstrook’ voor de professional, die daarmee wegloopt voor de eigen professionele verantwoordelijkheid.” Zo ook maakte zij korte metten met het niet durven doen terwijl het wel nodig is. “Ook niet handelen is een verantwoordelijkheid. Natuurlijk is het beroepsgeheim belangrijk, maar dat betekent niet dat je niks kan doen. Het Europese Hof leert ons dat het recht op menselijke waardigheid belangrijker is dan het recht op zelfbeschikking.”
In de wetgeving wordt toestemming van de betrokkene als belangrijke pijler genoemd, maar niet als dé pijler. Bij het delen van gegevens moet het ‘transparantiebeginsel’ worden gehanteerd: iemand heeft het recht te weten wat er waar vastligt en wat wordt uitgewisseld tussen wie. Dit betekent dat wij als professional aan betrokkenen moeten vertellen wat wij van plan zijn te gaan doen. Wanneer betrokkenen met tegenargumenten komen, kunt wij de voor- en tegenargumenten tegen elkaar afwegen.
De eerste vraag is dus niet of wij informatie mogen delen, maar wat ons doel is als wij informatie willen delen. Bij die afweging kunnen wij putten uit twee bronnen: 1. Ons eigen vakgebied en 2. de wetgeving. Bij onze weging zijn vervolgens drie principes relevant: kiezen voor de minst ingrijpende maatregel (subsidiariteit), kijken naar de verhouding tussen maatregel en doel (proportionaliteit) en antwoord vinden op de vraag of de meest geschikte maatregel is getroffen (doelmatigheid). Belangrijk daarbij is dat wij onze motivering documenteren. En dus zorgdragen voor een goede dossieropbouw. Dat bevordert de transparantie.
Als wij willen komen tot één plan en één regisseur, dan kan dat dus. Maar wel binnen kaders van zorgvuldigheid, argumentatie en documentatie. Zo omgaan met privacy maakt dat zijn in plaats van struikelsteen een vliegwiel voor de transformatie binnen het sociaal domein kan zijn. Dat vraagt van ons om cultuurverandering en zorgvuldige en bewuste sturing, gebaseerd op een wijziging van onze paradigma.
Wanneer wij integraal willen werken, zullen wij breder moeten willen en durven kijken dan de eigen discipline. Als wij meer aandacht willen hebben voor en geven aan preventie, moeten wij al gegevens willen delen in het stadium ‘waar we ons zorgen maken’. En als wij proactief willen handelen, zijn wij verplicht iets met onze kennis te doen als wij ons zorgen maken om mensen met en voor wie wij werken. Niets doen is ook een keuze waar wij net zo verantwoordelijk voor zijn.
De conclusie? Privacy waarborgen is geen belemmering, maar een hulpmiddel voor betere, transparante en gelijkwaardigere dienstverlening. Privacy, zo blijkt, is niet statisch of juridisch maar heeft een duidelijke ethische component. Die gaat over het antwoord op de vraag wie wij als dienstverlener willen zijn en hoe wij onze werkprocessen daarop inrichten. Wij kunnen doen wat écht nodig is door aansluiting te vinden bij de persoon om wie het gaat. Niet door het voor hem of haar te bepalen, maar door samen te werken op basis van open en gelijkwaardige communicatie vanuit doel en noodzaak. Met inzet en verantwoordelijkheid van onze eigen professionaliteit, gebed in een gezamenlijk afwegingskader met eenduidige afspraken over privacy. Privacy is dus niet de boeman waarvoor wij haar graag houden. Zij is een vriend van alles en iedereen die zorgvuldige zorg vraagt, krijgt en geeft.
- De auteur, Peter Paul J. Doodkorte, is als senior-adviseur verbonden aan Vondel & Nassau, een landelijk werkend adviesbureau voor sociaal domein en overheden.
- Meer blogs en ideeën zijn te vinden op Verruim de horizon, De kracht van het alledaagse en Inspirituals