Veelgestelde vragen modelprotocol ondermijning

Hieronder vind je veelgestelde vragen over het modelprotocol ondermijning. Zit jouw vraag er niet bij? Stuur dan een mail naar CCV-adviseur michel.devroege@hetccv.nl of stel je vraag in het Netwerk voor gemeenten.
In dit webdossier staan praktijkvoorbeelden van gemeenten. Als daar geen geschikt voorbeeld tussen staat, kun je bij het Netwerk voor gemeenten een voorbeeld op maat opvragen.
Het is zeker mogelijk de stappen of de signaalanalyse in te bouwen in een veiligheidsinformatieknooppunt (Privacy by design). Meer informatie hierover vind je bij de praktijkvoorbeelden in dit webdossier.
Het modelprotocol ondermijning is geen exacte blauwdruk voor de praktijk in jouw gemeente. Het is ook niet bindend voor de gemeentelijke praktijk. Het modelprotocol is niet de enige mogelijkheid voor de aanpak van ondermijning.
Het modelprotocol is bedoeld als handleiding voor professionals die zich bij gemeenten bezighouden met de aanpak van ondermijning. Het protocol geeft inzicht op welke wijze het uitwisselen van informatie binnen een gemeente kan worden ingericht of worden aangepast. Ook geeft het aan welke mogelijkheden gemeenten hebben om dit op een rechtmatige manier te doen.
Uitgangspunt is een protocol voor de informatie die binnen gemeenten wordt uitgewisseld, dat behoort tot het wettelijk kader. In het modelprotocol staat dat de gemeente een signaal weegt (in stap 2). Dit doet de gemeente onder meer door te kijken of het signaal voldoende concreet is, of het van recente datum is en of het signaal onderwerp is van een trend- en fenomeenanalyse. Zo’n weging kan leiden tot het besluit dat er geen aanpak volgt. De weging kan ook leiden tot het besluit de informatie buiten de gemeenten te delen.
In het modelprotocol is per stap aangegeven welke afwegingen gemaakt worden. Hiervan staan voorbeelden in het protocol. Ook is een lijst opgenomen met mogelijke signalen. Het is aan de gemeenten zelf om criteria vast te stellen wanneer wel en wanneer niet met een bepaald signaal verder wordt gegaan. Dit is onder meer afhankelijk van de lokale omstandigheden, de lokale beleidsprioriteiten en beschikbare capaciteit. Uiteraard houd je wel rekening met de algemene uitgangspunten in het privacyrecht.
De algemene uitgangspunten zijn:
- Verwerk alleen gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen.
- Gerechtvaardigd betekent hier dat er een wettelijke verplichting is (AVG art. 6 lid 1 sub c AVG) of dat het noodzakelijk is voor het vervullen van een taak van algemeen belang of voor het uitoefenen van het algemeen belang dat aan de verwerkingsverantwoordelijke is opgedragen (art. 6 lid 1 sub e AVG).
- Voldoe aan eisen van proportionaliteit en subsidiariteit. Dus het doel kan niet bereikt worden op een manier die minder privacy impact heeft voor de betrokkene. De mate van impact moet in verhouding zijn tot het beoogde doel.
- Er mag geen verdere verwerking van gegevens plaatsvinden voor doeleinden, die onverenigbaar zijn met het oorspronkelijke doel.
Dit zijn zogenaamde ‘open’ normen, die door de omstandigheden bepaald worden en die ook contextafhankelijk zijn. Daarom moeten gemeenten dit zelf beoordelen. Wel krijgen we goede praktijkvoorbeelden, die in meerdere gemeenten op min of meer vergelijkbare wijze voorkomen en waarvan duidelijk is dat deze voldoen aan de criteria. Deze voorbeelden worden de komende tijd verzameld en in dit dossier opgenomen bij praktijkvoorbeelden.
In bijlage 1 van het modelprotocol staat een uitgebreide lijst van voorbeelden van signalen. Het gaat daarbij om zogenaamde red flags. Het zijn algemene red flags en meer specifieke red flags, zoals signalen die kunnen helpen bij het doorzien van verdachte financiële transacties.
Als de gemeente gebruikmaakt van Meld Misdaad Anoniem, kan dit inderdaad een signaal opleveren om het stappenplan in het modelprotocol te doorlopen.
Het is aan te raden vooraf goed na te denken over de aanpak van ondermijning en de processen en stappen die onderdeel uitmaken van die aanpak. Wat zijn prioriteiten in de gemeente? Welke meldingen zijn daarbij belangrijk?
Maak een helder implementatieplan, waarbij van tevoren is nagedacht over de eventuele afwegingen die gemaakt moeten worden. Als je gestandaardiseerde processen inricht, dan hoeft een privacyfunctionaris niet bij elke afzonderlijke vraag betrokken te worden.
Het is handig, en soms ook verplicht (art. 35 AVG), om een Data Protection Impact Assessment (DPIA) uit te voeren. Ook wel gegevensbeschermingseffectbeoordeling genoemd. Een DPIA is een instrument om vooraf de privacyrisico’s in kaart te brengen om vervolgens maatregelen te nemen om de risico’s te verkleinen.