Meer inzicht, minder werk en optimaal beveiligd
DDAS: zo kun je schulddata veilig delen
Het NVVK/VNG/SZW/Divosa-project 'Data delen Armoede en Schulden' verbetert ons inzicht in de impact van ons werk. Het verzamelen van de data wordt efficiënter en uniformer dan zoals het nu nog gaat via een jaarlijkse uitvraag bij NVVK-leden. Maar hoe is de veiligheid en de privacy van inwoners gewaarborgd?
Welke waarborgen voor de privacy van inwoners zijn ingebouwd in DDAS? Solide gegevensbescherming is bij dataproject DDAS (Data Delen Armoede en Schulden) van meet af aan een belangrijk onderwerp geweest, zegt projectleider Jeroen Wismans (VNG).
'In het voortraject hebben we 6 verschillende varianten om de data te verzamelen en te ontsluiten beoordeeld. De keuze viel op de variant waarbij samenwerking met CBS was ingebouwd. Die variant heeft voor- en nadelen. De data komen minder snel beschikbaar. Het is iets minder flexibel en ook wel wat duurder. Maar het grote voordeel is dat CBS een overheidsorganisatie is, met een eigen wet waarin de gegevensuitwisseling goed beschermd en geregeld is.'
Meld je hier aan voor het webinar 'DDAS, de nieuwe standaard voor gegevensverzameling'
Vertrouwenwekkende partner
Gemeenten zullen volgens Wismans meer vertrouwen in het CBS hebben dan in een private partij die data gaat opvragen. 'Het CBS heeft veel ervaring en expertise om gegevens veilig te verwerken. Divosa, de NVVK en VNG hoeven dat niet zelf te doen. Dat zou bovendien ook beperkingen hebben voor het uitwisselen van persoonsgegevens. Ook voor SZW als financier is het een prettig idee dat we met een overheidsinstantie werken.'
De keuze voor CBS heeft volgens Wismans nog een voordeel. 'CBS heeft ook andere data, zoals leeftijdscategorie, Wmo-gebruik of zorgkosten. Die kan het CBS koppelen op BSN-niveau en daarmee de DDAS-data verrijken met bijvoorbeeld inkomen of leeftijd.'
Wat mogen we delen?
De privacy-experts van de deelnemende organisaties NVVK, VNG, en SZW en Divosa dachten steeds mee met de projectorganisatie. Wismans: 'Aanvankelijk namen we aan dat elke gemeente schuldhulpdata zou kunnen leveren. Want zij zijn verantwoordelijk voor schuldhulp. Voor ons zou dat makkelijk zijn: 1 poppetje, 1 contactpersoon per gemeente.'
Maar toen bleek dat instanties of buurgemeenten waaraan gemeenten schuldhulp hebben uitbesteed hun gegevens niet via de inhurende gemeente naar het CBS mogen sturen. 'Dat moet rechtstreeks; je mag BSN-data niet onnodig langs een andere organisatie sturen. Dus we moesten de werkwijze aanpassen.'
Ook kwam de projectorganisatie erachter dat je bepaalde data niet mag uitvragen. 'Bijvoorbeeld over iemands gezondheid of crimineel verleden. Het zou best interessant zijn om het CBS op BSN-niveau een link te laten leggen tussen schulden en gezondheid. Maar die extra gevoelige gegevens mogen we niet gebruiken.'
Beveiligde upload-kanalen
Voor elk project waarbij je data deelt moet je -op grond van de Algemene Verordening Gegevensbescherming- het risico op inbreuk op de privacy inschatten. Dat heet een 'data protection impact assessment' (DPIA). Wismans vertelt dat DDAS gemeenten daarbij zoveel mogelijk werk uit handen wil nemen. De DPIA is daarom al zoveel mogelijk voor alle gemeenten ingevuld. Dat hebben de specialisten van de informatiebeveiligingsdienst van VNG gedaan.
In de DPIA van het project DDAS is onder meer te lezen dat het CBS gegevens binnenkrijgt via beveiligde uploadkanalen en volgens een strikt aanleverprotocol. Ook worden de ontvangen persoonsgegevens zo snel mogelijk na binnenkomst versleuteld. Bij publicatie zijn de gegevens nooit te herleiden naar individuen of herkenbare groepen.
Wat moet je nog zelf doen?
De DPIA zegt niets over de manier waarop gemeenten hun data verzamelen en opsturen, alleen dat het volgens de aanleverinstructie van het CBS moet zijn. Het hangt er namelijk van af hoe de schuldhulp is ingericht. Voert de gemeente die zelf uit of wordt die uitbesteed aan een andere gemeente of uitvoeringsinstantie? Elke gemeente moet de risico's van de gekozen aanlevermethode zelf inschatten en maatregelen nemen om die risico's te beperken. Met informatie daarover kunnen ze de DPIA compleet maken.
Meer inzicht met minder werk
Met alle nadruk op veiligheid zou je uit het oog kunnen verliezen wat DDAS moet opleveren. Wismans: 'We hebben het nu over de risico's, maar het doel van DDAS is: beter en eenduidig zicht krijgen op de schuldenproblematiek in Nederland. En dan vooral vanuit het perspectief van de schuldhulpverlening. Daarmee kun je het effect van je eigen beleid beter en gedetailleerder evalueren. In tweede instantie gaan we de gegevensuitvraag ook automatiseren zodat het aanleveren gemeenten bijna geen tijd meer kost.'
Wismans benadrukt dat gemeenten zich door DDAS ook beter met elkaar kunnen gaan vergelijken. 'Als VNG vinden we het een vorm van solidariteit dat je je informatie deelt om collega-gemeenten te helpen. Zeker als je voorloper bent en een succesvolle aanpak hebt.'
Meer weten?
Lees de DPIA voor DDAS (technische informatie voor privacy officers) of de bijbehorende Notitie over privacy (uitleg voor beslissers en andere geïnteresseerden). Of stel je vraag op het webinar over DDAS op 19 november.
Meld je hier aan voor het webinar 'DDAS, de nieuwe standaard voor gegevensverzameling'
Data delen over armoede en schulden is onderdeel van de afspraken in het project 'Basisdienstverlening, overal schuldhulp vna hoge kwaliteit'.