Dossier CompetenSys: (1) Aanleiding en vragen; (2) Vraaggesprek met CompetenSys; (3) Schriftelijk antwoord van CompetenSys; (4) Schriftelijk antwoord van WIL; (5) Documenten van WIL; (6) Overige informatiebronnen.
Paul Ensink, CompetenSys: Laat ik voorop stellen dat onze dienstverlening niets van doen heeft met het al dan niet vaststellen van een uitkeringsrecht of het opleggen van sancties. Wij helpen gemeenten om een kandidaat goed te leren kennen en op basis van deze kennis een goed vervolg te kunnen inzetten richting de arbeidsmarkt, dat recht doet aan de mogelijkheden, kennis en competenties van een kandidaat. De gemeente kiest hierbij zelf het proces en de inzet van CompetenSys.
Het klantportaal: de cliënt aan het woord laten
Wij hebben onze arbeidsmarktprofielen afgestemd op de roep van veel cliënten om los van de uitkeringsdruk hun verhaal te kunnen doen over hun wensen en kansen op de arbeidsmarkt. Een veel gehoord geluid hierbij is vaak dat een gemeente soms vooringenomen is en de dromen, wensen en mogelijkheden van een individu te weinig meeneemt. Een aantal jaren terug was ook zichtbaar dat cliënten voor hun gevoel soms lukraak op niet passende en geldverslindende trajecten werden geplaatst. Er was behoefte aan meer aandacht, een goed gesprek en een zo objectief mogelijk beeld om een passend vervolg in te kunnen zetten.
In de loop der tijd werd de roep om “meer zelfsturing” steeds duidelijker. De stem van de cliënt zelf en aansluiten bij wat deze wél kan, is hierbij het uitgangspunt, ook van de Participatiewet. Met die gedachte hebben wij een vragenset opgesteld op basis waarvan de kansen en geschiktheid van een kandidaat voor regulier werk, werk met ondersteuning, vrijwilligerswerk of maatschappelijke participatie goed in beeld kunnen worden gebracht. Uitgangspunt hierbij is om altijd het gesprek met de kandidaat aan te gaan. Voorafgaand aan dat gesprek wordt de kandidaat de kans geboden om over zijn wensen en doelen na te denken en deze kenbaar te maken, zodat ze tijdens het gesprek aan bod kunnen komen. En daarvoor wordt een vragenlijst voorgelegd. De wijze waarop deze vragenlijst wordt afgenomen, is afhankelijk van de gekozen aanpak. De antwoorden in het klantportaal kunnen ondersteunen bij het voeren van het gesprek met een professional.
Privacymaatregelen (AVG)
Voor de Algemene Verordening Gegevensbescherming (AVG) is 'doelbinding' verplicht: persoonlijke gegevens mogen alleen opgeslagen worden voor het doel waar ze voor zijn bestemd. De gegevens worden uitgevraagd om de kansen op werk in te schatten en dienen met dat doel in overeenstemming te zijn. CompetenSys is enkele jaren terug als één van de eerste particuliere bedrijven geaudit op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en heeft daarvoor een uitgebreid Beleidsplan Informatiebeveiliging opgesteld. Bij de inwerkingtreding van de AVG hebben we samen met onze eigen Functionaris Gegevensbescherming en het gespecialiseerde bureau VKA (Verdonck Klooster & Associates) een Privacy Impact Analyse laten uitvoeren. Hierin is een analyse gemaakt van de informatiesoorten die worden uitgevraagd in de vragenlijst, afgezet tegen het doel. Op basis van de Privacy Impact Analyse zijn op de volgende vlakken extra maatregelen genomen:
* Privacy by default. In het CompetenSys klantportaal worden geen persoonsgegevens getoond, het betreft een lege vragenlijst die door de cliënt kan worden ingevuld. Er worden vanuit dit systeem dus geen data gedeeld. Het zijn puur de antwoorden van de cliënt, die kunnen worden aangevinkt en ingevuld en die aan de orde kunnen komen tijdens het vervolggesprek. Hierbij is niets verplicht en de cliënt wordt er meerdere keren op gewezen dat persoonlijke zaken in het gesprek besproken kunnen worden.
* Doelbinding. Alle vragen die de cliënt in het klantportaal te zien krijgt, zijn in lijn met het vooraf bekende doel: het in kaart brengen van de mogelijke inzetbaarheid op de arbeidsmarkt en het samen met de cliënt/kandidaat inzetten van een gepast vervolgtraject om iemand naar vermogen te laten participeren. Zo is conform de AVG de vragenlijst inhoudelijk verder toegesneden op de doelbinding.
* In CompetenSys worden geen medische gegevens uitgevraagd of vastgelegd. Puur en alleen de mate waarin een eventuele belemmering gevolgen heeft voor een werksetting wordt behandeld. Het gaat alleen om de gevolgen voor de inzetbaarheid, bijvoorbeeld moeite met tillen of moeite met lang concentreren.
* Minimale gegevensverwerking. Naast het systeem speelt ook de professional een belangrijke rol in de privacybeheersing. Zij worden extra getraind om respectvol met de kandidaat in gesprek te gaan en terughoudend te zijn met de toelichtingen in het arbeidsmarktprofiel. We schenken hier gedurende de training van de consulenten extra aandacht aan. Verder brengen we tijdens diverse opfrisbijeenkomsten het belang van gegevensarm rapporteren onder de aandacht.
* Data-minimalisatie. Ook binnen de diagnose wordt gestreefd naar "lean data”. De vragenlijsten kennen een routing-systematiek waarbij door middel van uitklap-technologie uitsluitend die gegevens worden uitgevraagd die van toepassing zijn op de situatie van de kandidaat. Er wordt dus zo min mogelijk uitgevraagd en vastgelegd.
Verder is het wel van belang om te vermelden dat CompetenSys puur en alleen de applicatie levert, waarbij het proces door de gemeente wordt ingericht. Formeel gezien is de gemeente de verwerkingsverantwoordelijke en CompetenSys de verwerker. Ook de gegevens vallen onder het eigenaarschap van de gemeente. In die zin bepalen de opdrachtgever en de wet- en regelgeving die hierop van toepassing is, zoals de richtlijnen voor bijvoorbeeld bewaar- en verwijdertermijnen. Dit kan wisselen omdat sommige gemeenten bijvoorbeeld gebruik maken van Europese subsidies en daarmee rekening dienen te houden met diverse soorten wetgeving qua bewaartermijnen.
Hoogwaardige beveiliging
Op het vlak van beveiliging is nog van belang om het volgende te benoemen. Hardwarematig draait het CompetenSys-systeem in een geheel beveiligde en afgeschermde serveromgeving. Previder, de hostingpartner waar CompetenSysis is ondergebracht, is gecertificeerd volgens ISO 9001:2015, 14001:2015 en 27001:2013.
In de loop der tijd werd de roep om “meer zelfsturing” steeds duidelijker. De stem van de cliënt zelf en aansluiten bij wat deze wél kan, is hierbij het uitgangspunt, ook van de Participatiewet. Met die gedachte hebben wij een vragenset opgesteld op basis waarvan de kansen en geschiktheid van een kandidaat voor regulier werk, werk met ondersteuning, vrijwilligerswerk of maatschappelijke participatie goed in beeld kunnen worden gebracht. Uitgangspunt hierbij is om altijd het gesprek met de kandidaat aan te gaan. Voorafgaand aan dat gesprek wordt de kandidaat de kans geboden om over zijn wensen en doelen na te denken en deze kenbaar te maken, zodat ze tijdens het gesprek aan bod kunnen komen. En daarvoor wordt een vragenlijst voorgelegd. De wijze waarop deze vragenlijst wordt afgenomen, is afhankelijk van de gekozen aanpak. De antwoorden in het klantportaal kunnen ondersteunen bij het voeren van het gesprek met een professional.
Privacymaatregelen (AVG)
Voor de Algemene Verordening Gegevensbescherming (AVG) is 'doelbinding' verplicht: persoonlijke gegevens mogen alleen opgeslagen worden voor het doel waar ze voor zijn bestemd. De gegevens worden uitgevraagd om de kansen op werk in te schatten en dienen met dat doel in overeenstemming te zijn. CompetenSys is enkele jaren terug als één van de eerste particuliere bedrijven geaudit op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en heeft daarvoor een uitgebreid Beleidsplan Informatiebeveiliging opgesteld. Bij de inwerkingtreding van de AVG hebben we samen met onze eigen Functionaris Gegevensbescherming en het gespecialiseerde bureau VKA (Verdonck Klooster & Associates) een Privacy Impact Analyse laten uitvoeren. Hierin is een analyse gemaakt van de informatiesoorten die worden uitgevraagd in de vragenlijst, afgezet tegen het doel. Op basis van de Privacy Impact Analyse zijn op de volgende vlakken extra maatregelen genomen:
* Privacy by default. In het CompetenSys klantportaal worden geen persoonsgegevens getoond, het betreft een lege vragenlijst die door de cliënt kan worden ingevuld. Er worden vanuit dit systeem dus geen data gedeeld. Het zijn puur de antwoorden van de cliënt, die kunnen worden aangevinkt en ingevuld en die aan de orde kunnen komen tijdens het vervolggesprek. Hierbij is niets verplicht en de cliënt wordt er meerdere keren op gewezen dat persoonlijke zaken in het gesprek besproken kunnen worden.
* Doelbinding. Alle vragen die de cliënt in het klantportaal te zien krijgt, zijn in lijn met het vooraf bekende doel: het in kaart brengen van de mogelijke inzetbaarheid op de arbeidsmarkt en het samen met de cliënt/kandidaat inzetten van een gepast vervolgtraject om iemand naar vermogen te laten participeren. Zo is conform de AVG de vragenlijst inhoudelijk verder toegesneden op de doelbinding.
* In CompetenSys worden geen medische gegevens uitgevraagd of vastgelegd. Puur en alleen de mate waarin een eventuele belemmering gevolgen heeft voor een werksetting wordt behandeld. Het gaat alleen om de gevolgen voor de inzetbaarheid, bijvoorbeeld moeite met tillen of moeite met lang concentreren.
* Minimale gegevensverwerking. Naast het systeem speelt ook de professional een belangrijke rol in de privacybeheersing. Zij worden extra getraind om respectvol met de kandidaat in gesprek te gaan en terughoudend te zijn met de toelichtingen in het arbeidsmarktprofiel. We schenken hier gedurende de training van de consulenten extra aandacht aan. Verder brengen we tijdens diverse opfrisbijeenkomsten het belang van gegevensarm rapporteren onder de aandacht.
* Data-minimalisatie. Ook binnen de diagnose wordt gestreefd naar "lean data”. De vragenlijsten kennen een routing-systematiek waarbij door middel van uitklap-technologie uitsluitend die gegevens worden uitgevraagd die van toepassing zijn op de situatie van de kandidaat. Er wordt dus zo min mogelijk uitgevraagd en vastgelegd.
Verder is het wel van belang om te vermelden dat CompetenSys puur en alleen de applicatie levert, waarbij het proces door de gemeente wordt ingericht. Formeel gezien is de gemeente de verwerkingsverantwoordelijke en CompetenSys de verwerker. Ook de gegevens vallen onder het eigenaarschap van de gemeente. In die zin bepalen de opdrachtgever en de wet- en regelgeving die hierop van toepassing is, zoals de richtlijnen voor bijvoorbeeld bewaar- en verwijdertermijnen. Dit kan wisselen omdat sommige gemeenten bijvoorbeeld gebruik maken van Europese subsidies en daarmee rekening dienen te houden met diverse soorten wetgeving qua bewaartermijnen.
Hoogwaardige beveiliging
Op het vlak van beveiliging is nog van belang om het volgende te benoemen. Hardwarematig draait het CompetenSys-systeem in een geheel beveiligde en afgeschermde serveromgeving. Previder, de hostingpartner waar CompetenSysis is ondergebracht, is gecertificeerd volgens ISO 9001:2015, 14001:2015 en 27001:2013.
ISO 27001 is de internationale standaard voor informatiebeveiligingsmanagement. Hiermee wordt o.a. de beschikbaarheid, integriteit en vertrouwelijkheid van klantgegevens en -systemen gewaarborgd. Previder levert keiharde garanties ten aanzien van de beschikbaarheid, veiligheid en integriteit van data. Daarmee is het één van de weinige datacenters die tegelijkertijd voor de normen op het gebied van kwaliteit, milieu en informatiebeveiliging erkend wordt. Daarnaast is op de serveromgeving een managed-firewall geïnstalleerd en hebben de afgelopen jaren herhaalde audits plaatsgevonden van de server- en applicatieomgeving. Onze serveromgeving heeft deze audit doorstaan en in het kader hiervan is certificering verkregen die aantoont dat de serveromgeving voldoet aan de door de overheid gestelde beveiligingseisen aan (DigID) applicatie-omgevingen. Wanneer de kandidaat de vragenlijst voorafgaand aan het gesprek invult, worden deze gegevens versleuteld verstuurd. Wij maken gebruik van een A+ HTTPS-verbinding, waarmee alle persoonlijke informatie tussen de kandidaat en de website veilig wordt verstuurd.
Continu werken aan met veiligheid en een goede gebruikerservaring
De link naar de vragenlijst is afhankelijk van de opdrachtgever 7 tot 14 dagen geldig is. Nogmaals, het klantportaal is volledig data-arm, dus er staan geen persoonsgegevens in. Nadat de kandidaat de vragenlijst heeft ingevuld en afgerond, wordt de link onmiddellijk ongeldig. Tussentijdse antwoorden worden automatisch opgeslagen, zodat bijvoorbeeld bij het wegvallen van de internetverbinding een kandidaat niet alles opnieuw hoeft in te vullen. De vragenlijst is in klare taal opgesteld, maar het is wel zo dat de kandidaat basisvaardigheden in lezen, schrijven en digitaal moet hebben. Over het algemeen is een kandidaat in staat om de vragenlijst in een goed half uur in te vullen (in de communicatie wordt aangegeven dat dit ongeveer 45 minuten duurt). Veel gemeenten bieden extra hulp op locatie indien dit nodig is. Op diverse plekken in de vragenlijst wordt toegelicht dat de kandidaat niet verplicht is te antwoorden of dat hij/zij een en ander ook mag bewaren voor het vervolggesprek.
Juist omdat het een privacygevoelig thema is nemen we vragen en zorgen van cliënten serieus en leiden deze daadwerkelijk tot evaluatie en verbetering. Het evalueren en volgen van privacywetgeving en beveiligingsnormen krijgen daarom dagelijks aandacht binnen ons bedrijf.
Respectvol met een positieve insteek
Wat ik vooral nog eens wil benadrukken: het opstellen van een arbeidsmarktprofiel in CompetenSys heeft juist een respectvolle en opbouwende insteek. En op die manier is de communicatie met de deelnemer binnen het klantportaal ook vormgegeven. Wij zijn dagelijks bezig om samen het werken en participeren naar vermogen concreet te maken. Dat werk doen we vol overgave en met liefde en ik durf te zeggen dat wij hiermee echt een bijdrage leveren om de potentie van mensen vol tot uiting te laten komen op de arbeidsmarkt. En dat is een doel waar we vol voor gaan, met respect voor kwetsbare doelgroepen in de samenleving. Ik hoop dat dit laat zien dat we uiterst serieus omgaan met alles rondom privacy. Maar vooral ook om deelnemers de mogelijkheid te geven om samen met de gemeentelijk medewerker de route uit te stippelen naar een zo goed mogelijke plek op de arbeidsmarkt.
Continu werken aan met veiligheid en een goede gebruikerservaring
De link naar de vragenlijst is afhankelijk van de opdrachtgever 7 tot 14 dagen geldig is. Nogmaals, het klantportaal is volledig data-arm, dus er staan geen persoonsgegevens in. Nadat de kandidaat de vragenlijst heeft ingevuld en afgerond, wordt de link onmiddellijk ongeldig. Tussentijdse antwoorden worden automatisch opgeslagen, zodat bijvoorbeeld bij het wegvallen van de internetverbinding een kandidaat niet alles opnieuw hoeft in te vullen. De vragenlijst is in klare taal opgesteld, maar het is wel zo dat de kandidaat basisvaardigheden in lezen, schrijven en digitaal moet hebben. Over het algemeen is een kandidaat in staat om de vragenlijst in een goed half uur in te vullen (in de communicatie wordt aangegeven dat dit ongeveer 45 minuten duurt). Veel gemeenten bieden extra hulp op locatie indien dit nodig is. Op diverse plekken in de vragenlijst wordt toegelicht dat de kandidaat niet verplicht is te antwoorden of dat hij/zij een en ander ook mag bewaren voor het vervolggesprek.
Juist omdat het een privacygevoelig thema is nemen we vragen en zorgen van cliënten serieus en leiden deze daadwerkelijk tot evaluatie en verbetering. Het evalueren en volgen van privacywetgeving en beveiligingsnormen krijgen daarom dagelijks aandacht binnen ons bedrijf.
Respectvol met een positieve insteek
Wat ik vooral nog eens wil benadrukken: het opstellen van een arbeidsmarktprofiel in CompetenSys heeft juist een respectvolle en opbouwende insteek. En op die manier is de communicatie met de deelnemer binnen het klantportaal ook vormgegeven. Wij zijn dagelijks bezig om samen het werken en participeren naar vermogen concreet te maken. Dat werk doen we vol overgave en met liefde en ik durf te zeggen dat wij hiermee echt een bijdrage leveren om de potentie van mensen vol tot uiting te laten komen op de arbeidsmarkt. En dat is een doel waar we vol voor gaan, met respect voor kwetsbare doelgroepen in de samenleving. Ik hoop dat dit laat zien dat we uiterst serieus omgaan met alles rondom privacy. Maar vooral ook om deelnemers de mogelijkheid te geven om samen met de gemeentelijk medewerker de route uit te stippelen naar een zo goed mogelijke plek op de arbeidsmarkt.
Dossier CompetenSys: (1) Aanleiding en vragen; (2) Vraaggesprek met CompetenSys; (3) Schriftelijk antwoord van CompetenSys; (4) Schriftelijk antwoord van WIL; (5) Documenten van WIL; (6) Overige informatiebronnen.
