De positie van archieven onder de nieuwe Europese Privacywetgeving

Door Tineke van Heijst, directeur VHIC

Op 25 mei 2018 moeten alle organisaties in de Europese Unie en daarbuiten die werken met persoonsgegevens (van burgers in de EU) voldoen aan de nieuwe regels en eisen die zijn vastgelegd in de Algemene Verordening Gegevensbescherming. Alle organisaties. Dus ook organisaties met archieven. Archieven waarin zich persoonsgegevens (kunnen) bevinden. Maar wat betekent dit dan? Wat gaat er veranderen?

Archiefbewerkingen vallen onder het hoofdstuk Specifieke Verwerkingen (IX) – art 89 ‘Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden’.

Art 89.1 luidt als volgt: ‘De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.’

Het beheer van archieven is van groot belang voor de maatschappij. Vandaar dat in de AVG een bijzondere positie wordt gecreëerd voor deze activiteit; het is niet wenselijk als daar al te makkelijk persoonsgegevens worden gewist (art 17) of verwijderd (art 16). Ook hoeven archivarissen betrokkenen niet te informeren onder art. 14 over de verkregen persoonsgegevens wanneer dit onmogelijk blijkt of onevenredig veel inspanning zou vergen. Wel moeten ze dan langs andere weg de betreffende informatie openbaar maken (bijvoorbeeld middels een privacyverklaring) zodat betrokkenen de informatie langs die weg verkrijgen.

Verwerkingen onder het kopje van onderzoek en archivering dienen onderworpen te zijn aan passende waarborgen voor de rechten en vrijheden van de betrokkenen. Het accent hierbij ligt bij het beginsel van gegevensminimalisering. Dit betekent dat niet meer persoonsgegevens mogen worden verwerkt dan strikt noodzakelijk voor het doel. Zodra het mogelijk is om het archiveringsdoel te halen met ontkoppelde gegevens (die dus niet langer persoonsgegevens zijn) moet deze ontkoppeling worden uitgevoerd. Als tussenvorm mag worden gewerkt met pseudonimisering waarbij koppeling nog wel mogelijk is, maar de daarvoor benodigde informatie niet direct beschikbaar is.

Art 89.3 gaat nog specifieker in op verwerking van persoonsgegevens met het oog op archivering ‘wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht of lidstatelijk recht worden voorzien in afwijkingen van art. 15 (recht van inzage), art. 16 (recht op rectificatie), art 18 (recht op beperking van de verwerking), art 19 (kennisgevingsplicht inzake rectificatie, wissing, of beperking), art 20 (recht op overdraagbaarheid van gegevens) en art 21 (recht van bezwaar)’.

Nederland heeft in de concept Uitvoeringswet Algemene Verordening Gegevensbescherming in artikel 43 nadere invulling gegeven aan de afwijkingen die binnen Nederland gelden voor de verwerking van persoonsgegevens die deel uitmaken van archiefbescheiden die berusten in een archiefbewaarplaats. Daarbij wordt aangesloten bij de begrippen zoals deze gedefinieerd zijn in de Archiefwet 1995.

In dit artikel wordt ingegaan op:

  • Het recht van inzage: Omdat het recht op inzage in de verordening een aantal nadere vereisten kent die voor inzage in archiefstukken niet aan de orde zijn, is besloten af te wijken van art. 15 van de AVG en tegelijkertijd een specifiek recht op inzage in archiefstukken in een archiefbewaarplaats op te nemen.
  • Het recht op rectificatie en het recht op beperking van de verwerking: deze beide rechten hebben in de context van archiefbescheiden in een archiefbewaarplaats een specifieke betekenis. Omwille van de integriteit van het archief kunnen gegevens in de oorspronkelijke archiefbescheiden niet worden gewijzigd, zelfs niet wanneer de stukken onjuiste gegevens zouden bevatten. Om deze reden worden de artikelen 16 en 18, eerste lid, onderdeel a, van de AVG niet van toepassing verklaard, maar wordt wel de mogelijkheid geboden om een eigen lezing aan de desbetreffende archiefbescheiden toe te voegen. Dit is wat betreft het recht op rectificatie in overeenstemming met bestaande praktijk.
  • Het recht op gegevensoverdraagbaarheid: dit artikel is in strijd met het wezen van de bewaring van archiefbescheiden in een archiefbewaarplaats, omdat het meenemen van archiefbescheiden zou afdoen aan de integriteit van het archief. Artikel 20 van de AVG wordt daarom voor archiefbescheiden buiten toepassing gesteld.
  • Kennisgevingsplicht en recht van bezwaar: In Nederland is geen behoefte gebleken aan de mogelijkheid om in het kader van art. 89, lid 3 van de AVG af te wijken van de kennisgevingsplicht van art. 19 of het recht van bezwaar van art. 21.
  • Verwerking van bijzondere persoonsgegevens voor archivering in het algemeen belang: dit zal verder worden geconcretiseerd in een bepaling in de Archiefwet 1995. Voor een aantal specifieke archiefwettelijke verwerkingen zal het verbod buiten toepassing worden gesteld.
  • Verwerking strafrechtelijke gegevens: hiervoor geldt hetzelfde als voor de verwerking van bijzondere persoonsgegevens.

Conclusie
Er hoeven geen persoonsgegevens gewist of gewijzigd te worden in de bestaande archiefbestanden. Ook hoeven er geen specifieke procedures te worden ingericht om te voldoen aan de rechten van betrokkenen ten aanzien van archieven. Wel dient de organisatie kritisch te kijken naar de verwerking van persoonsgegevens binnen de eigen werkprocessen voorafgaand aan archivering en deze te toetsen op dataminimalisatie, zodat in toekomstige archiefbestanden kan worden aangetoond dat is voldaan aan de vereiste passende waarborgen.

Gegevensbeschermingseffectbeoordeling (of PIA Privacy Impact Assessment)
Een nieuwe verplichting onder de AVG die onderdeel uitmaakt van informatiebeveiliging is het uitvoeren van een gegevensbeschermingseffectbeoordeling (of privacy impact assessment afgekort tot PIA) voor verwerkingen die waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen opleveren. Engelfriet, Meij en Kager beschrijven de gegevensbeschermingseffectbeoordeling als ‘een drietrapsraket. Bij iedere verwerking moet een eerste beoordeling gemaakt worden van de risico’s die daarbij kunnen bestaan. Volgt daaruit dat er waarschijnlijk een hoog risico kleeft aan een verwerking, dan moet daarop een uitgebreide gegevensbeschermingseffectbeoordeling worden uitgevoerd. Als daar vervolgens uit blijkt dat het hoge risico niet kan worden beperkt met redelijke middelen dan moet de toezichthouder eerst worden geraadpleegd.’[1] De AVG definieert drie gevallen waarin een PIA vereist is:

  • De geautomatiseerde beoordeling van personen;
  • De grootschalige verwerking van bijzondere persoonsgegevens;
  • Het grootschalig monitoren van openbare ruimten.

Naast deze drie gevallen zal de Autoriteit Persoonsgegevens een lijst opstellen van het soort verwerkingen waarvoor een PIA verplicht is. Hetzelfde geldt voor een lijst van verwerkingen waarvoor een PIA niet is vereist. Deze lijsten zijn op dit moment nog niet beschikbaar. Omdat er in de Uitvoeringswet specifiek wordt ingegaan op archivering verwachten wij niet dat hiervoor een PIA verplicht zal worden gesteld.

Verwerkersovereenkomst inzake archiefbewerkingen
Het is wel aan te raden om voor archiefbewerkingen die worden uitgevoerd door een derde partij hiervoor een verwerkersovereenkomst te sluiten met de partij die de archiefbewerking uitvoert. De IBD heeft hiervoor een model inhoud verwerkersovereenkomst opgesteld, in samenwerking met KING en de VNG. Dit geldt overigens ook voor leveranciers van e-depot oplossingen!

Bronnen:
1) Engelfried, A., Meij, L. & Kager, P. ‘De Algemene Verordening Gegevensbescherming – artikelsgewijs commentaar’, Editie 2017, ICT en Recht
2) Heijst, T. van, Roadmap voor de implementatie van de Algemene Verordening Gegevensbescherming, (gratis te downloaden via www.vhic.nl/roadmap-avg)
3) Uitvoeringswet Algemene Verordening Gegevensbescherming, https://www.internetconsultatie.nl/uitvoeringswetavg
4) Algemene Verordening Gegevensbescherming, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf


Cursusmogelijkheden: Hoe kunt u goed op de hoogte blijven van de wet- en regelgeving rondom de AVG?

Tijdens onze cursus Privacy en bescherming van (persoons)gegevens of Praktijkdagen informatiewet- en regelgeving leert u alles wat u moet weten als informatieprofessional over de AVG.

Klaar voor de toekomst?

Bent u een CISO of verantwoordelijk voor de technische informatiebeveiliging van persoonsgegevens? Krijg grip op de gegevensverwerking en zorg dat u uw informatiehuishouding op orde heeft.

Terug naar overzicht