MezzaLama Actueel

Opiniestuk: Kanttekeningen bij het integraal klantbeeld

De verschuiving van taken van het Rijk naar gemeenten betekent dat gemeenten in toenemende mate verantwoordelijk worden voor de dienstverlening aan burgers. In 2015 komt de uitvoering van jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen bij gemeenten te liggen. De decentralisatie van deze taken leidt er toe dat gemeenten op grote schaal onderdeel worden van processen waarbij een keten, of netwerk, van organisaties betrokken is bij de afhandeling van de ondersteuning aan de burger. Denk hierbij aan de taken die in het kader van de Jeugdwet en AWBZ naar gemeenten overgedragen worden. Bij de afhandeling hiervan is vaak een groot aantal verschillende ketenparters betrokken, zoals bijvoorbeeld zorgaanbieders, het CAK, de SVB, indicatiestellingsorganen en wijkteams.

De gemeente krijgt de regie over deze taken en het aansturen en controleren van de verschillende ketenpartijen is daar een onderdeel van. Voor het effectief en efficiënt kunnen voeren van regie hebben gemeenten inzicht nodig in de persoonlijke situatie van de klant en van zijn of haar leefomgeving en de lopende processen bij gemeenten en ketenpartners. Dit totaalpakket aan gegevens wordt vaak het ‘integraal klantbeeld’ genoemd.

Automatiseerders zijn snel geneigd om in het kader van een integraal klantbeeld alle beschikbare bronnen – in onderlinge samenhang – te ontsluiten. De aandacht van automatiseerders is daardoor hoofdzakelijk gericht op beschikbaarheid van bronnen en de connectiviteit naar die bronnen. Het gevaar hierbij is dat snel voorbij wordt gegaan aan zowel de werkelijke behoefte aan gegevens tijdens de uitvoering van de bedrijfsprocessen als aan de wettelijke vereisten die gelden ten aanzien van de verwerking van privacygevoelige gegevens. Hieronder worden enkele aspecten behandeld die bij het ‘integraal klantbeeld’ niet uit het oog verloren mogen worden.

Wet- en regelgeving

Ten aanzien van de verwerking van privacygevoelige gegevens gelden regels die afkomstig zijn uit (sectorale) wet- en regelgeving. Denk hierbij bijvoorbeeld aan de Wet bescherming persoonsgegevens (Wbp) en de Wet structuur uitvoeringsorganisatie werk en inkomen (Wet SUWI). Vanuit deze wetgeving worden voorwaarden gesteld aan de rechtmatige verwerking van gegevens en worden rechten toebedeeld aan de individuele burgers. Deze rechten omvatten onder meer het recht op inzage, het informatierecht, het correctierecht en het recht om vergeten te worden. Kern bij de wet- en regelgeving is dat persoonsgegevens enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld en dat over de verwerking van persoonsgegevens verantwoording afgelegd moet kunnen worden. Vanuit sectorale wetgeving kan vervolgens aanvullend op deze algemene voorwaarden worden vastgelegd wie onder welke voorwaarden toegang kan krijgen tot gegevens.

Verwerking van persoonsgegevens bij processen

Vanuit verschillende bedrijfsprocessen die door de gemeente worden uitgevoerd in het kader van haar taken bestaat er behoefte aan inzicht in gegevens van personen. De persoonsgegevens die worden gebruikt voor de uitvoering van deze processen dienen conform de wet te voldoen aan de beginselen van proportionaliteit en subsidiariteit. Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkene niet onevenredig mag zijn in verhouding tot het te dienen doel. Ten aanzien van het subsidiariteitsbeginsel mag het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kunnen worden verwerkelijkt.

Uit deze beginselen volgt dat bij de uitvoering van een proces bepaald moet worden wat de minimale set aan gegevens is die benodigd is voor het uitvoeren van het proces. Ook moet worden nagedacht over wat de minst ingrijpende wijze is voor het verkrijgen van de gewenste informatie. Dit houdt in dat bijvoorbeeld moet worden bepaald of ‘dat’ of ‘wat’ gegevens vereist zijn. Indien iemand bijvoorbeeld recht heeft op een voorziening indien de leeftijd van 65 bereikt is, dan kan volstaan worden met een antwoord dat iemand 65 of ouder is in plaats van de geboortedatum op te vragen.

Gezien het bovenstaande staat het verwerken van een standaard set van gegevens over een persoon via een ‘integraal klantbeeld’ op gespannen voet met de beginselen van proportionaliteit en subsidiariteit.

Doelbinding

Een van de meest belangrijke aspecten bij het verwerken van persoonsgegevens is het beginsel van doelbinding. Het principe van doelbinding bestaat uit twee belangrijke bouwstenen:

  • Persoonsgegevens mogen alleen worden verwerkt ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.
  • Onder bepaalde omstandigheden mogen de verzamelde gegevens later ook worden gebruikt voor een ander doel dan waarvoor ze zijn verkregen. Dat mag echter niet gebeuren op een wijze die onverenigbaar is met het doel waarvoor de gegevens zijn verzameld.

Persoonsgegevens mogen dus niet zomaar verwerkt worden. Voor de verwerking moet er een uitdrukkelijk omschreven en gerechtvaardigd doeleinde zijn. Het is maar de vraag of het ‘voeren van regie’ een uitdrukkelijk omschreven en gerechtvaardigd doeleinde is. Het College bescherming persoonsgegevens (CBP) heeft onlangs nog geconstateerd dat het in de praktijk lastig blijkt te zijn om een vereiste grondslag te vinden voor iedere verwerking van persoonsgegevens in het sociaal domein. Reden hiervoor is dat in de relevante sectorale wetgeving een wettelijke basis ontbreekt voor het uitwisselen van persoonsgegevens voor taken die niet concreet terug te vinden zijn in de wetten over jeugdzorg, werk en inkomen en zorg voor langdurig zieken en ouderen.

Uitgangspunt bij het aanbieden van een ‘integraal klantbeeld’ behoort te zijn dat de gegevens die in het klantbeeld verwerkt worden, altijd bepaald moeten worden door het doel waarvoor het klantbeeld geraadpleegd wordt. Je kunt dus feitelijk niet spreken van een ‘integraal klantbeeld’ aangezien de context van de integraliteit, als het goed is, beperkt blijft tot het doel waartoe de gegevens verwerkt worden.

Protocollering van verwerking van persoonsgegevens

Gemeenten moeten verantwoording af kunnen leggen, zowel intern als aan de burger, over de verwerking van persoonsgegevens. Iedere verwerking van persoonsgegevens dient daartoe ‘geprotocolleerd’ te worden. Deze protocollering houdt in dat geregistreerd wordt wie, wanneer, met welk doel, welke gegevens(categorieën) verwerkt heeft. Bij iedere verwerking in een ‘integraal klantbeeld’ zal deze protocollering moeten worden uitgevoerd.

Een verwerking is in de Wbp gedefinieerd als ‘elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, uitwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’.

Uit bovenstaande definitie blijkt dat het opvragen van gegevens bij een bronhouder een verwerking is. Het opvragen van gegevens dient daarom geprotocolleerd te worden. Dat betekent dat de verwerking van persoonsgegevens in een integraal klantbeeld om grote zorgvuldigheid vraagt; het slechts autoriseren van de ontsluiting van gegevens aan een afnemer is niet voldoende. Ook het ophalen van de gegevens bij de bron dient gebaseerd te zijn op een doelbinding.

Technische aspecten

De technische aspecten die verbonden zijn aan de totstandkoming van een integraal klantbeeld zijn niet heel complex. Gegevens moeten uit verschillende bronnen worden opgehaald en samengevoegd in een integraal beeld. Vragen die daarbij beantwoord moeten worden liggen onder meer op het vlak van connectiviteit, beschikbaarheid van gegevensdiensten bij bronhouders, autorisatie en authenticatie, uitwisselstandaarden en semantiek en syntax van gegevens. Al deze aandachtspunten zijn een uitdaging, maar uiteindelijk oplosbaar. Het is mogelijk, en onder voorwaarden toegestaan, om privacygevoelige gegevens uit te wisselen via het publieke Internet. Webservices waarmee gegevens realtime opgehaald kunnen worden zijn ook niet nieuw voor de meeste organisaties, dus de basis voor het uitwisselen van gegevens is er. Uiteraard bestaan er technische uitdagingen op het gebied van certificaten, instellingen van firewalls en routers, maar de techniek en infrastructuur voor het uit kunnen wisselen van gegevens tussen organisaties bestaat al.

Er zijn dus geen technische beperkingen aan het inrichten van een integraal klantbeeld, maar wel praktische. Niet iedere organisatie zal bijvoorbeeld gegevensdiensten bieden waarmee de gewenste ‘dat’ en ‘wat’ gegevens opgehaald kunnen worden. Ook is de semantiek en syntax van gegevens tussen de verschillende bronhouders niet altijd gelijk. Dit kan leiden tot problematiek bij het bijeen brengen van de verschillende gegevens in een ‘integraal klantbeeld’.

Vanuit de professional bezien

Uit de ervaringen die door KING met de ‘Living Labs’ zijn opgedaan blijkt dat medewerkers van wijkteams en professionals bij gemeenten wel behoefte hebben aan een integraal beeld van de klant, maar geen behoefte aan een systeem dat de verschillende gegevens ophaalt bij de bron en geïntegreerd presenteert. De professionals halen deze gegevens op bij de cliënt zelf; de informatie die de klant deelt met de professional wordt vervolgens opgeslagen in het dossier dat bij het lopende proces hoort. Dit dossier is niet inzichtelijk vanuit andere processen. De reden dat de professionals geen inzage willen hebben in een ‘geautomatiseerd samengesteld integraal klantbeeld’ is dat zij onbevooroordeeld het gesprek met een cliënt in willen gaan.

Deze opvatting over het integraal klantbeeld is voor automatiseerders meestal een verrassing. Automatiseerders hebben immers de ruggenmerg-reflex om alles wat technisch mogelijk is en handig lijkt te zijn ook te willen automatiseren. Het feit dat beschikbare gegevens in bronsystemen niet geraadpleegd worden door de professionals lijkt ook op gespannen voet te staan met het uitgangspunt dat de overheid geen gegevens opvraagt die bij de overheid al beschikbaar zijn en met de nagestreefde efficiency. Het niet gebruiken van deze bronnen lijkt ook de mogelijkheden tot het plegen van fraude te vergroten. De toekomst zal moeten uitwijzen waar precies de balans ligt tussen het uitvragen van gegevens bij de cliënten en het ophalen van gegevens uit bestaande bronregistraties.

Vanuit de burger bezien

Als burger moet je er vanuit kunnen gaan dat de overheid zorgvuldig met jouw gegevens omgaat en de privacy van jouw persoonsgegevens beschermd. Als burger heb je ook de mogelijkheid om na te gaan wat een overheidsinstelling (bijvoorbeeld een gemeente) met jouw gegevens heeft gedaan. Dat recht heet het Inzagerecht. Hierin is bepaald dat iedereen zich tot een organisatie mag wenden met het verzoek om hem te berichten of, en zo ja welke, persoonsgegevens over hem zijn verwerkt. Op een dergelijk verzoek moet de betreffende overheidsdienst binnen vier weken schriftelijk reageren met:

  • een volledig overzicht van de gegevens in begrijpelijke vorm;
  • een omschrijving van het doel of de doeleinden van de verwerking;
  • de categorieën van gegevens waarop de verwerking betrekking heeft;
  • de ontvangers of categorieën van ontvangers;
  • de beschikbare informatie over de herkomst van de gegevens.

De bedoeling van het inzagerecht is dat de betrokkene in staat gesteld wordt om erachter te komen of de gegevens die over hem of haar verwerkt worden wel juist en rechtmatig zijn. De Wbp geeft de betrokkene namelijk ook het recht om te eisen dat zijn gegevens worden verwijderd of gecorrigeerd.

Met het oog op de wettelijk vereiste doelbinding vormt ‘een omschrijving van het doel of de doeleinden van de verwerking’ een belangrijk onderdeel van het overzicht met betrekking tot de inzage. Aan de hand van deze doelbinding kan de burger bepalen of de verwerking van de gegevens door de gemeente rechtmatig is geweest. Indien door middel van een ‘integraal klantbeeld’ aan ieder proces een standaard set van persoonsgegevens aangeboden wordt, of sterker nog, medewerkers dit klantbeeld als losse functie aangeboden krijgen, dan zal een geldige doelbinding voor de verwerking van de persoonsgegevens te allen tijde ontbreken.

Conclusie

Gezien de vigerende wet- en regelgeving is het bieden van een ‘integraal klantbeeld’ gebonden aan strenge eisen. Doelbinding moet geborgd zijn en er moet voldaan worden aan de beginselen van proportionaliteit en subsidiariteit. Om adequaat invulling te kunnen geven aan deze eisen dienen de processen die aan de basis liggen van het integrale klantbeeld bekend te zijn en moeten deze ieder afzonderlijk een wettelijke doelbinding hebben. Daarnaast moet inzichtelijk zijn welke specifieke persoonsgegevens vanuit deze processen benodigd zijn. Voor het klantbeeld mogen enkel de gegevens verwerkt worden die vanuit de doelbinding vereist zijn.

Los van de eisen die wettelijk gesteld worden aan een ‘integraal klantbeeld’ is het ook nog de vraag of professionals behoefte hebben aan een geautomatiseerd gegenereerd klantbeeld.

De ervaring van de laatste maanden is dat gemeenten, mede door de opgelaaide discussie over de bescherming van de privacy van burgers en het oneigenlijk gebruik van persoonsgegevens door overheden, zich de vraag stellen of en hoe zij een integraal klantbeeld breed kunnen inzetten binnen de gemeentelijke processen.

Arnoud Quanjer

Informatiearchitect MezzaLama