Het spanningsveld tussen de AVG en het archief blijft
25 mei 2018: de Algemene Verordening Gegevensbescherming wordt van kracht. Paniek in ons werkveld, want mogen we nog wel persoonsgegevens bewaren in het archief?
Inmiddels zijn we twee jaar verder en weten we dat het mag: we mogen persoonsgegevens bewaren zolang die doelbinding hebben. Dit betekent dat zij nodig zijn voor de context van de zaak of het dossier zoals de uAVG en de aanpassingswet duidelijk maken. Organisaties die een archiefselectielijst actief en correct toepassen lopen weinig risico om aangesproken te worden volgens de uAVG.
Spanningsveld AVG en nieuwe archiefwet
In de praktijk zien we een spanningsveld tussen de AVG en de toepassing hiervan in een werkveld dat zich ook heeft te richten naar de Archiefwet 1995. De Autoriteit Persoonsgegevens (AP) heeft recent bezwaar gemaakt tegen het concept van de nieuwe Archiefwet. Zij erkent het belang van archivering maar vraagt om een minimale gegevensverwerking. Kortom: het opslaan van persoonsgegevens in een archief is prima, maar moet beperkt blijven tot niet meer dan noodzakelijk. De Archiefwet zou volgens de AP duidelijker moeten maken welke persoonsgegevens onder bepaalde omstandigheden wel en welke niet mogen worden opgenomen in een archief.
Informatiemanagers willen er zeker van zijn dat informatie integer en authentiek is. Om die reden willen zij liefst zo veel mogelijk metadata bewaren. Dus ook gegevens over de aanvrager, de behandelaar, degene die wijzigingen heeft aangebracht, wie heeft geprobeerd toegang te krijgen en wie dit inderdaad heeft gekregen: tal van persoonsgegevens die de authenticiteit van een bepaald gegeven kunnen waarborgen. Probleem is dat blijvend te bewaren archieven openbaar worden na overbrenging en daarmee ook de daarin aanwezige persoonsgegevens. Het risico bestaat dat daarmee (bijzondere) persoonsgegevens onbedoeld op termijn openbaar worden.
Dat is een overweging dat vaak niet wordt meegenomen. Zo is met de nieuwe bepalingen op het gebied van de bewaring van e-mail bij het rijk (zie https://www.informatiehuishouding.nl/projecten/e-mailarchivering en de Handreiking bewaring e-mails) onbedoeld de weg geopend om een grote variëteit aan mails te bewaren, die persoonsgegevens bevatten!
Erfenis uit het verleden
Het grootste probleem wat we nu hebben is dat de AVG een nieuwe wet is. Een wet die ook van toepassing is op dossiers, zaken en gegevens die in het verleden zijn gevormd. De discussie over gezinskaarten hebben we al gehad. Gevolg: alle gezinskaarten uit de jaren ‘20 en ‘30 moeten geanonimiseerd worden voordat ze online mogen, ondanks dat ze conform de huidige Archiefwet openbaar zijn. Dit geldt voor het hele archief. In theorie moeten alle dossiers die openbaar zijn of in de toekomst openbaar worden, worden nagelopen op persoonsgegevens en elke keer opnieuw moet de afweging worden gemaakt tussen het belang van openbaarheid versus de belangen van de betrokkenen. Persoonsgegevens die in het verleden onnodig zijn opgenomen of die overbodig zijn voor de context van het dossier of de zaak zullen zonder meer vernietigd moeten worden. En dan is er ook nog het recht op vergetelheid van personen: het loont de moeite om eens aandachtig de veel gestelde vragen op de website van de Autoriteit Persoonsgegevens door te nemen.
Overheden worden in de nieuwe Archiefwet gewezen op beperkingen op de openbaarheid die moeten worden gesteld indien in een zaak of dossier bijzondere persoonsgegevens voorkomen*. In de praktijk zijn er al voorbeelden waarbij de duur van zo’n beperking naar 110 jaar wordt opgerekt (denk aan dossiers over NSB’ers).
Dat vereist wel bewustzijn en kennis van de aanwezigheid van (bijzondere) persoonsgegevens in de archieven. Met name voor de archieven die zich al in het semi-statisch archief bevinden is dat een probleem, want bij het vormen dan die archieven is nooit rekening gehouden met deze nieuwe voorwaarde en dat is dus nooit geïnventariseerd.
Vernietigingslijsten
Voorgaande geldt ook voor persoonsgegevens die zijn gebruikt om dossiers en zaken in het verleden te ontsluiten. Er zijn dossiers die ontsloten worden door bijvoorbeeld een personeelsnummer of een BSN-nummer, want dat is makkelijk zoeken. ‘Makkelijk zoeken’ is echter geen argument om persoonsgegevens te bewaren en dus zijn die dossierontsluitingen onder de huidige wetgeving niet meer mogelijk.
Archivarissen wijzen bij het controleren van vernietigingslijsten de laatste tijd dan ook op persoonsgegevens die voorkomen in vernietigingslijsten. Een vernietigingslijst wordt permanent bewaard en wordt daarmee na 20 jaar** openbaar: daarmee ook de persoonsgegevens die in die vernietigingslijst staan. BSN-nummers mogen dus niet dienen voor een dossieromschrijving in archieven en in veel gevallen geldt dat ook voor een geboortedatum.
Een organisatie dient zich echter wel te kunnen verantwoorden richting een betrokkene. Dat geldt ook voor het vernietigen van de dossiers die betrekking hebben op een betrokkene. Als een betrokkene vraagt of zijn/haar dossier is vernietigd, moet de organisatie dat kunnen overleggen. ‘WMO-dossier afgesloten in 2013’ is dan niet voldoende want welke WMO-dossiers in 2013 zijn afgesloten is vaak niet te achterhalen. Persoonsgegevens mogen dus wel gebruikt worden om dossiers te ontsluiten, maar ook hier moet worden uitgegaan van dataminimalisatie: niet meer persoonsgegevens dan noodzakelijk om het dossier terug te vinden
Oude registratiesystemen
Deze erfenis uit het verleden gaat niet alleen op voor dossiers. Eén keer in de zoveel jaar wordt er een nieuw DMS of zaaksysteem aangeschaft. De database van het oude systeem wordt dan geconverteerd naar het nieuwe systeem. Op zich is daar niks mis mee als men zich maar realiseert dat daarmee persoonsgegevens worden geconverteerd en dat die ook beheerd moeten worden (lees: op tijd vernietigd). Problemen gaan zich voor doen als oude registratiesystemen en databases worden bewaard omdat ‘dat makkelijk is voor de ontsluiting van oude dossiers’. Permanent te bewaren dossiers worden overgedragen naar een archiefdepot. Daarmee wordt de verantwoordelijkheid voor de ontsluiting van die dossiers overgedragen naar de beheerder hiervan. Het bewaren van de oude database (of een kopie daarvan) omdat dat gemakkelijk is bij het opvragen van de overgebrachte dossiers bij die beheerder betekent dat er onnodig persoonsgegevens worden bewaard en moet daarom worden voorkomen. Als een oud registratiesysteem wordt geconverteerd naar een nieuw systeem dient de organisatie zich af te vragen voor welk doel dat gebeurt en welke risico’s er zijn op het AVG-gebied.
Kopieën van gedigitaliseerde archieven
Dat zien we ook terug komen in de discussie over databases met gedigitaliseerde archieven, zoals bijvoorbeeld bouwvergunningen. Gemeenten digitaliseren hun archieven en dragen vervolgens het gedigitaliseerde bestand over aan het streekarchief. Een aantal gemeenten bewaren echter ook een kopie (inclusief persoonsgegevens) voor hun eigen gemak. Bij bouwvergunningen worden deze kopie-databases gebruikt om controles uit te voeren op gebouwen. Dan is het niet nodig om bijvoorbeeld te zien wie de vergunning heeft aangevraagd. Streekarchieven houden hier rekening mee door persoonsgegevens te anonimiseren vóór openbaarmaking. Dat gebeurt vaak niet bij de kopie-databases bij toezichthouders waardoor persoonsgegevens onrechtmatig worden bewaard. Gemeenten kunnen daarom beter werken met rechtstreekse koppeling met het streekarchief dan eigen kopieën bewaren. Dat voorkomt ook dat er op twee plekken dezelfde informatie wordt bewaard en gewijzigd.
Inspanning vs. risico’s
Het verwijderen van persoonsgegevens uit archieven hoeft niet te leiden tot minder volledige archieven. Wel meent de archiefwereld dat geschiedkundig onderzoek naar personen en/of families onder de AVG wellicht een stuk lastiger gaat worden. Waar nog weinig aandacht voor is, is de inspanning die moet worden gedaan om de overheidsadministratie, dus ook de archieven, ‘AVG-proof’ te maken. In de afweging tussen het belang van de betrokkene en het belang van de organisatie wordt nu puur gekeken naar de waarde van de persoonsgegevens voor de organisatie. Is er geen waarde meer voor de processen die de organisatie uitvoert, dan dienen de gegevens vernietigd te worden. Veruit de meeste persoonsgegevens die opgenomen zijn in permanent te bewaren archieven vallen onder de ‘gewone’*** persoonsgegevens. Hoeveel moeite moet er worden gedaan om deze gegevens te verwijderen uit archieven terwijl de risico’s die worden gelopen bij het openbaar worden van deze persoonsgegevens minimaal zijn?
Onrechtmatig verkregen gegevens
Een nieuwe discussie gaat over onrechtmatig verkregen persoonsgegevens die zich in archieven bevinden. Functionarissen Gegevensbescherming roepen dat die vernietigd moeten worden, informatiemanagers beroepen zich op de bewaartermijnen in de selectielijst. De selectielijst namelijk bepaalt bewaartermijnen van zaken en dossiers en kijkt daarbij niet naar individuele gegevens maar naar de gehele zaak. Informatiemanagers stellen zich op het standpunt dat persoonsgegevens altijd vallen onder die bewaartermijnen. Echter, de selectielijst gaat uit van gegevens die behoren bij de zaak. Zij zegt niks over gegevens die onrechtmatig zijn verzameld en dus onterecht in een zaak zijn opgeslagen. Onrechtmatig verkregen (persoons)gegevens vallen daarmee niet onder de selectielijst. Deze persoonsgegevens dienen altijd zo snel mogelijk vernietigd te worden.
Tot slot
Het is duidelijk dat de AVG een grote invloed heeft op de informatiewereld. We hebben nog niet op ons netvlies welke consequenties dit zal hebben in de toekomst. Vernietigingslijsten, opschonen en persoonsgegevens die blijven zitten in verouderde databases zijn maar een paar onderwerpen die de laatste tijd naar voren komen.
Hedendaags wordt steeds vaker gepraat over ‘privacy by design’, het op zaaktype- of procesniveau vooraf bepalen welke gevoeligheden er zijn. Veel afwegingen op gebied van privacy kunnen daarmee al gemaakt worden bij de inrichting van een proces. Dit zal een grote stap voorwaarts zijn, maar ‘Privacy by design’ staat nog in de kinderschoenen. Voorlopig zullen we dossiers en zaken nog achteraf moeten opschonen: persoonsgegevens die niet nodig zijn voor de context van met name te bewaren informatie moeten verwijderd worden.
Er zullen nog meer issues uit het verleden opduiken die aangepakt moeten worden. VHIC pleit ervoor om deze vraagstukken pragmatisch te benaderen en steeds de afweging te maken tussen het belang van de betrokkenen en de gevraagde inspanning van de organisatie om deze persoonsgegevens te verwijderen.
Wordt ongetwijfeld vervolgd…
Kees-Jan Vermeulen
*zie de VNG Handreiking ‘Beperkt waar het moet’
**Onder de nieuw Archiefwet wordt de overbrengingstermijn 10 jaar
***Gewone persoonsgegevens: alle persoonsgegevens die onder de uAVG niet bijzonder zijn.