privacy, nog steeds een stekelig onderwerp.
Mickey Mousecactus. De Moerkant, Kalmthoutse Hoek, € 9,95
Door Tineke van Heijst, directeur VHIC en Samuel van Bruchem, adviseur.
Het archiefbeheer en de Europese
Verordening Bescherming Persoonsgegevens
Op 25
mei 2018 moesten alle organisaties in de Europese Unie en daarbuiten die werken
met persoonsgegevens (van burgers in de EU) voldoen aan de nieuwe regels en
eisen die zijn vastgelegd in de Algemene Verordening Gegevensbescherming. Alle
organisaties. Dus ook organisaties met archieven. Archieven waarin zich
persoonsgegevens (kunnen) bevinden. Maar wat betekent dit dan? Wat gaat er
veranderen?
Archiefbewerkingen vallen onder het hoofdstuk Specifieke Verwerkingen (IX) – art 89 ‘Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden’.
Art 89.1 luidt als volgt: ‘De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.’
Het beheer van archieven is van groot belang voor de maatschappij. Vandaar dat in de AVG een bijzondere positie wordt gecreëerd voor deze activiteit; het is niet wenselijk als daar al te makkelijk persoonsgegevens worden gewist (art 17) of verwijderd (art 16). Ook hoeven archivarissen betrokkenen niet te informeren onder art. 14 over de verkregen persoonsgegevens wanneer dit onmogelijk blijkt of onevenredig veel inspanning zou vergen. Wel moeten ze dan langs andere weg de betreffende informatie openbaar maken (bijvoorbeeld middels een privacyverklaring) zodat betrokkenen de informatie langs die weg verkrijgen.
Verwerkingen onder het kopje van onderzoek en archivering dienen onderworpen te zijn aan passende waarborgen voor de rechten en vrijheden van de betrokkenen. Het accent hierbij ligt bij het beginsel van gegevensminimalisering. Dit betekent dat niet meer persoonsgegevens mogen worden verwerkt dan strikt noodzakelijk voor het doel. Zodra het mogelijk is om het archiveringsdoel te halen met ontkoppelde gegevens (die dus niet langer persoonsgegevens zijn) moet deze ontkoppeling worden uitgevoerd. Als tussenvorm mag worden gewerkt met pseudonimisering waarbij koppeling nog wel mogelijk is, maar de daarvoor benodigde informatie niet direct beschikbaar is.
Art 89.3 gaat nog specifieker in op verwerking van persoonsgegevens met het oog op archivering ‘wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht of lidstatelijk recht worden voorzien in afwijkingen van art. 15 (recht van inzage), art. 16 (recht op rectificatie), art 18 (recht op beperking van de verwerking), art 19 (kennisgevingsplicht inzake rectificatie, wissing, of beperking), art 20 (recht op overdraagbaarheid van gegevens) en art 21 (recht van bezwaar)’.
Nederland heeft in de concept Uitvoeringswet Algemene Verordening Gegevensbeschermingin artikel 43 nadere invulling gegeven aan de afwijkingen die binnen Nederland gelden voor de verwerking van persoonsgegevens die deel uitmaken van archiefbescheiden die berusten in een archiefbewaarplaats. Daarbij wordt aangesloten bij de begrippen zoals deze gedefinieerd zijn in de Archiefwet 1995.
In dit artikel wordt ingegaan op:
Het recht van inzage: Omdat het recht op inzage in de verordening een aantal nadere vereisten kent die voor inzage in archiefstukken niet aan de orde zijn, is besloten af te wijken van art. 15 van de AVG en tegelijkertijd een specifiek recht op inzage in archiefstukken in een archiefbewaarplaats op te nemen.
Het recht op rectificatie en het recht op beperking van de verwerking: deze beide rechten hebben in de context van archiefbescheiden in een archiefbewaarplaats een specifieke betekenis. Omwille van de integriteit van het archief kunnen gegevens in de oorspronkelijke archiefbescheiden niet worden gewijzigd, zelfs niet wanneer de stukken onjuiste gegevens zouden bevatten. Om deze reden worden de artikelen 16 en 18, eerste lid, onderdeel a, van de AVG niet van toepassing verklaard, maar wordt wel de mogelijkheid geboden om een eigen lezing aan de desbetreffende archiefbescheiden toe te voegen. Dit is wat betreft het recht op rectificatie in overeenstemming met bestaande praktijk.
Het recht op gegevensoverdraagbaarheid: dit artikel is in strijd met het wezen van de bewaring van archiefbescheiden in een archiefbewaarplaats, omdat het meenemen van archiefbescheiden zou afdoen aan de integriteit van het archief. Artikel 20 van de AVG wordt daarom voor archiefbescheiden buiten toepassing gesteld.
Kennisgevingsplicht en recht van bezwaar: In Nederland is geen behoefte gebleken aan de mogelijkheid om in het kader van art. 89, lid 3 van de AVG af te wijken van de kennisgevingsplicht van art. 19 of het recht van bezwaar van art. 21.
Verwerking van bijzondere persoonsgegevens voor archivering in het algemeen belang: dit zal verder worden geconcretiseerd in een bepaling in de Archiefwet 1995. Voor een aantal specifieke archiefwettelijke verwerkingen zal het verbod buiten toepassing worden gesteld.
Verwerking strafrechtelijke gegevens: hiervoor geldt hetzelfde als voor de verwerking van bijzondere persoonsgegevens.
Conclusie
Er hoeven geen persoonsgegevens gewist of gewijzigd te worden in de bestaande archiefbestanden. Ook hoeven er geen specifieke procedures te worden ingericht om te voldoen aan de rechten van betrokkenen ten aanzien van archieven. Wel dient de organisatie kritisch te kijken naar de verwerking van persoonsgegevens binnen de eigen werkprocessen voorafgaand aan archivering en deze te toetsen op dataminimalisatie, zodat in toekomstige archiefbestanden kan worden aangetoond dat is voldaan aan de vereiste passende waarborgen.
Gegevensbeschermingseffectbeoordeling (of PIA Privacy Impact Assessment)
Een nieuwe verplichting onder de AVG die onderdeel uitmaakt van informatiebeveiliging is het uitvoeren van een gegevensbeschermingseffectbeoordeling (of privacy impact assessment afgekort tot PIA) voor verwerkingen die waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen opleveren. Engelfriet, Meij en Kager beschrijven de gegevensbeschermingseffectbeoordeling als ‘een drietrapsraket. Bij iedere verwerking moet een eerste beoordeling gemaakt worden van de risico’s die daarbij kunnen bestaan. Volgt daaruit dat er waarschijnlijk een hoog risico kleeft aan een verwerking, dan moet daarop een uitgebreide gegevensbeschermingseffectbeoordeling worden uitgevoerd. Als daar vervolgens uit blijkt dat het hoge risico niet kan worden beperkt met redelijke middelen dan moet de toezichthouder eerst worden geraadpleegd.’[1] De AVG definieert drie gevallen waarin een PIA vereist is:
De geautomatiseerde beoordeling van personen;
De grootschalige verwerking van bijzondere persoonsgegevens;
Het grootschalig monitoren van openbare ruimten.
Naast deze drie gevallen zal de Autoriteit Persoonsgegevens een lijst opstellen van het soort verwerkingen waarvoor een PIA verplicht is. Hetzelfde geldt voor een lijst van verwerkingen waarvoor een PIA niet is vereist. Deze lijsten zijn op dit moment nog niet beschikbaar. Omdat er in de Uitvoeringswet specifiek wordt ingegaan op archivering verwachten wij niet dat hiervoor een PIA verplicht zal worden gesteld.
Verwerkersovereenkomst inzake archiefbewerkingen
Het is wel aan te raden om voor archiefbewerkingen die worden uitgevoerd door een derde partij hiervoor een verwerkersovereenkomst te sluiten met de partij die de archiefbewerking uitvoert. De IBD heeft hiervoor een model inhoud verwerkersovereenkomst opgesteld, in samenwerking met KING en de VNG. Dit geldt overigens ook voor leveranciers van e-depot oplossingen!
Archiefbewerkingen vallen onder het hoofdstuk Specifieke Verwerkingen (IX) – art 89 ‘Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden’.
Art 89.1 luidt als volgt: ‘De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.’
Het beheer van archieven is van groot belang voor de maatschappij. Vandaar dat in de AVG een bijzondere positie wordt gecreëerd voor deze activiteit; het is niet wenselijk als daar al te makkelijk persoonsgegevens worden gewist (art 17) of verwijderd (art 16). Ook hoeven archivarissen betrokkenen niet te informeren onder art. 14 over de verkregen persoonsgegevens wanneer dit onmogelijk blijkt of onevenredig veel inspanning zou vergen. Wel moeten ze dan langs andere weg de betreffende informatie openbaar maken (bijvoorbeeld middels een privacyverklaring) zodat betrokkenen de informatie langs die weg verkrijgen.
Verwerkingen onder het kopje van onderzoek en archivering dienen onderworpen te zijn aan passende waarborgen voor de rechten en vrijheden van de betrokkenen. Het accent hierbij ligt bij het beginsel van gegevensminimalisering. Dit betekent dat niet meer persoonsgegevens mogen worden verwerkt dan strikt noodzakelijk voor het doel. Zodra het mogelijk is om het archiveringsdoel te halen met ontkoppelde gegevens (die dus niet langer persoonsgegevens zijn) moet deze ontkoppeling worden uitgevoerd. Als tussenvorm mag worden gewerkt met pseudonimisering waarbij koppeling nog wel mogelijk is, maar de daarvoor benodigde informatie niet direct beschikbaar is.
Art 89.3 gaat nog specifieker in op verwerking van persoonsgegevens met het oog op archivering ‘wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht of lidstatelijk recht worden voorzien in afwijkingen van art. 15 (recht van inzage), art. 16 (recht op rectificatie), art 18 (recht op beperking van de verwerking), art 19 (kennisgevingsplicht inzake rectificatie, wissing, of beperking), art 20 (recht op overdraagbaarheid van gegevens) en art 21 (recht van bezwaar)’.
Nederland heeft in de concept Uitvoeringswet Algemene Verordening Gegevensbeschermingin artikel 43 nadere invulling gegeven aan de afwijkingen die binnen Nederland gelden voor de verwerking van persoonsgegevens die deel uitmaken van archiefbescheiden die berusten in een archiefbewaarplaats. Daarbij wordt aangesloten bij de begrippen zoals deze gedefinieerd zijn in de Archiefwet 1995.
In dit artikel wordt ingegaan op:
Het recht van inzage: Omdat het recht op inzage in de verordening een aantal nadere vereisten kent die voor inzage in archiefstukken niet aan de orde zijn, is besloten af te wijken van art. 15 van de AVG en tegelijkertijd een specifiek recht op inzage in archiefstukken in een archiefbewaarplaats op te nemen.
Het recht op rectificatie en het recht op beperking van de verwerking: deze beide rechten hebben in de context van archiefbescheiden in een archiefbewaarplaats een specifieke betekenis. Omwille van de integriteit van het archief kunnen gegevens in de oorspronkelijke archiefbescheiden niet worden gewijzigd, zelfs niet wanneer de stukken onjuiste gegevens zouden bevatten. Om deze reden worden de artikelen 16 en 18, eerste lid, onderdeel a, van de AVG niet van toepassing verklaard, maar wordt wel de mogelijkheid geboden om een eigen lezing aan de desbetreffende archiefbescheiden toe te voegen. Dit is wat betreft het recht op rectificatie in overeenstemming met bestaande praktijk.
Het recht op gegevensoverdraagbaarheid: dit artikel is in strijd met het wezen van de bewaring van archiefbescheiden in een archiefbewaarplaats, omdat het meenemen van archiefbescheiden zou afdoen aan de integriteit van het archief. Artikel 20 van de AVG wordt daarom voor archiefbescheiden buiten toepassing gesteld.
Kennisgevingsplicht en recht van bezwaar: In Nederland is geen behoefte gebleken aan de mogelijkheid om in het kader van art. 89, lid 3 van de AVG af te wijken van de kennisgevingsplicht van art. 19 of het recht van bezwaar van art. 21.
Verwerking van bijzondere persoonsgegevens voor archivering in het algemeen belang: dit zal verder worden geconcretiseerd in een bepaling in de Archiefwet 1995. Voor een aantal specifieke archiefwettelijke verwerkingen zal het verbod buiten toepassing worden gesteld.
Verwerking strafrechtelijke gegevens: hiervoor geldt hetzelfde als voor de verwerking van bijzondere persoonsgegevens.
Conclusie
Er hoeven geen persoonsgegevens gewist of gewijzigd te worden in de bestaande archiefbestanden. Ook hoeven er geen specifieke procedures te worden ingericht om te voldoen aan de rechten van betrokkenen ten aanzien van archieven. Wel dient de organisatie kritisch te kijken naar de verwerking van persoonsgegevens binnen de eigen werkprocessen voorafgaand aan archivering en deze te toetsen op dataminimalisatie, zodat in toekomstige archiefbestanden kan worden aangetoond dat is voldaan aan de vereiste passende waarborgen.
Gegevensbeschermingseffectbeoordeling (of PIA Privacy Impact Assessment)
Een nieuwe verplichting onder de AVG die onderdeel uitmaakt van informatiebeveiliging is het uitvoeren van een gegevensbeschermingseffectbeoordeling (of privacy impact assessment afgekort tot PIA) voor verwerkingen die waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen opleveren. Engelfriet, Meij en Kager beschrijven de gegevensbeschermingseffectbeoordeling als ‘een drietrapsraket. Bij iedere verwerking moet een eerste beoordeling gemaakt worden van de risico’s die daarbij kunnen bestaan. Volgt daaruit dat er waarschijnlijk een hoog risico kleeft aan een verwerking, dan moet daarop een uitgebreide gegevensbeschermingseffectbeoordeling worden uitgevoerd. Als daar vervolgens uit blijkt dat het hoge risico niet kan worden beperkt met redelijke middelen dan moet de toezichthouder eerst worden geraadpleegd.’[1] De AVG definieert drie gevallen waarin een PIA vereist is:
De geautomatiseerde beoordeling van personen;
De grootschalige verwerking van bijzondere persoonsgegevens;
Het grootschalig monitoren van openbare ruimten.
Naast deze drie gevallen zal de Autoriteit Persoonsgegevens een lijst opstellen van het soort verwerkingen waarvoor een PIA verplicht is. Hetzelfde geldt voor een lijst van verwerkingen waarvoor een PIA niet is vereist. Deze lijsten zijn op dit moment nog niet beschikbaar. Omdat er in de Uitvoeringswet specifiek wordt ingegaan op archivering verwachten wij niet dat hiervoor een PIA verplicht zal worden gesteld.
Verwerkersovereenkomst inzake archiefbewerkingen
Het is wel aan te raden om voor archiefbewerkingen die worden uitgevoerd door een derde partij hiervoor een verwerkersovereenkomst te sluiten met de partij die de archiefbewerking uitvoert. De IBD heeft hiervoor een model inhoud verwerkersovereenkomst opgesteld, in samenwerking met KING en de VNG. Dit geldt overigens ook voor leveranciers van e-depot oplossingen!
Mijn collega Samuel van Bruchem vult
het bovenstaande aan:
Een zinsnede die regelmatig terugkomt
in de Europese tekst is “archivering in het algemeen belang”, doorgaans als
eerste lid van een opsomming met daarna wetenschappelijk of historisch
onderzoek of statistische doeleinden en verscheidene aspecten van een
rechtsvordering. Deze opsomming komt zeventien keer terug in de Europese
wettekst.
Overweging 50 van de Europese
Verordening Bescherming Persoonsgegevens (https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=celex%3A32016R0679)
stelt dat het verwerken van persoonsgegevens in de vorm van archivering in
het algemeen belang wordt gezien als verenigbaar met het doel waarmee deze
persoonsgegevens oorspronkelijk zijn verzameld.
Overweging 52 benoemt
archivering voor het algemeen belang als uitzonderingsgrond bij het verbod op
de verwerking van bijzondere persoonsgegevens. In deze overweging worden
volksgezondheid, arbeidsrecht en sociale beschermingsrecht als voorbeelden van
algemeen belang genoemd. Overweging 53 werkt deze uitzondering uit door de
verwerking hiervan te beperken tot het gezondheidsbelang van natuurlijke
personen of van de samenleving als geheel.
Overweging 62 bepaalt dat de
verplichting tot informatieverstrekking aan de persoon of personen wiens
gegevens worden verwerkt niet opgaat wanneer het voldoen aan deze verplichting
onmogelijk is of onevenredig veel inspanning vereist.
Overweging 65 bepaalt dat
archivering voor algemeen belang een rechtmatige verwerkingsgrond is dat
zodoende het recht op vergetelheid, waarbij sprake is van een onrechtmatige
verwerking, niet op deze verwerkingsvorm van toepassing kan zijn.
Overweging 156 biedt een inkadering
voor het vastleggen van persoonsgegevens op basis van uitzonderingsgronden
zoals archivering voor algemeen belang. Het principe van gegevensminimalisatie
is hier van toepassing; oftewel, er moeten niet méér persoonsgegevens worden
vastgelegd dan nodig is voor de uitvoering van de verwerking waarvoor deze
gegevens nodig zijn. Organisaties dienen waarborgen te hebben waarmee kan
worden aangetoond dat technische en organisatorische stappen zijn genomen om
deze gegevensminimalisatie te realiseren.
Overweging 158 stelt een aantal eisen
aan organisaties die archiveren omwille van het algemeen belang, met name een
wettelijke verplichting om gegevens van blijvende waarde omwille van het
algemeen belang te verwerken. Hiernaast wordt benoemd dat deze gegevens verder
mogen worden verwerkt voor onderzoek naar gruweldaden zoals de Holocaust.
Deze overwegingen krijgen concrete
vorm in artikelen van de verordening. In artikel 5, lid 1b wordt archiveren
voor het algemeen belang gespecifieerd als niet onverenigbaar met doelbinding.
Artikel 5, lid 1e legt de verplichting tot gegevensminimalisatie vast wanneer
persoonsgegevens worden gearchiveerd voor algemeen belang. Artikel 9, lid 2j
legt archivering voor algemeen belang vast als uitzondering voor de beperking
van de verwerking van bijzondere persoonsgegevens. Artikel 14, lid 5b legt vast dat de betrokkene niet hoeft te worden geïnformeerd wanneer persoonsgegevens worden
gebruikt voor archivering voor het algemeen belang en het informeren onredelijk
veel inspanning van de verwerker zou vragen. Artikel 17, lid 3d benoemt dat het
recht van vergetelheid niet van toepassing is op voor algemeen belang
gearchiveerde persoonsgegevens, aangezien deze verwerking rechtmatig is.
Artikel 89 legt in lid 1 de noodzaak
voor passende waarborgen vast. De noodzaak om technische en organisatorische
maatregelen te treffen is ook hier vastgelegd. Lid 3 van dit artikel legt
vast dat uitzonderingen op een aantal rechten (te weten het recht op inzage,
het recht op rectificatie, het recht op beperking gegevensverwerking, de
kennisgevingsplicht, het recht op dataportabiliteit en het recht op bezwaar)
kunnen worden gemaakt als de toepassing van deze rechten het doel waarvoor de
persoonsgegevens verzameld zijn belemmert.
Overzichtstabel Europese Verordening
Bescherming Persoonsgegevens
Wat zegt de Europese Verordening
omtrent de bescherming van persoonsgegevens over archivering voor het algemeen
belang (AVAB)?
Principe
|
Overweging
|
Artikel en lid
|
AVAB uitzondering verbod
verwerking persoonsgegevens
|
50
|
5 (lid 1b)
|
AVAB uitzondering verwerking
bijzondere persoonsgegevens
|
52, 53
|
9 (lid 2j)
|
Geen plicht informeren
betrokkene bij onevenredige inspanning
|
62
|
14 (lid 5b)
|
AVAB niet van toepassing bij
recht van vergetelheid
|
65
|
17 (lid 3d)
|
AVAB moet voldoen aan
gegevensminimalisatie
|
156
|
5 (lid 1e)
|
AVAB van toepassing voor
bestudering totalitaire regimes
|
158
|
|
Bij AVAB waarborgen wettelijke
verwerking noodzakelijk
|
156
|
89 (lid 1)
|
Rechten niet van toepassing bij
AVAB als het beroepen op deze rechten doel inwinning persoonsgegevens
belemmert
|
89 (lid 3)
|
Bronnen:
1) Engelfried, A., Meij, L. & Kager, P. ‘De Algemene Verordening Gegevensbescherming – artikelsgewijs commentaar’, Editie 2017, ICT en Recht
2) Heijst, T. van, Roadmap voor de implementatie van de Algemene Verordening Gegevensbescherming, (gratis te downloaden via www.vhic.nl/roadmap-avg)
3) Uitvoeringswet Algemene Verordening Gegevensbescherming, https://www.internetconsultatie.nl/uitvoeringswetavg
4) Algemene Verordening Gegevensbescherming, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf
Geen opmerkingen:
Een reactie posten