Verslag expertmeetings 'Ketensamenwerking, privacy en archiveren'

Expertmeeting ‘Ketensamenwerking, privacy en archivering’

Dit is een verslag van de expertmeetings Ketensamenwerking, privacy en archivering gehouden op 5 en 19 juli in het Koninklijk Instituut voor Ingenieurs in Den Haag. Organisatie: Jeroen Padmos (Nationaal Archief). Begeleiding: Auke Bloembergen (PLBQ). Het waren levendige bijeenkomsten, dankzij presentaties van Koen Versmissen, Jacques Grossouw en Erik Saaman (alleen 19 juli). En vooral dankzij de actieve deelname van de aanwezigen.

Welkom en introductie sprekers

Jeroen Padmos, adviseur strategische openbaarheid en open data bij het Nationaal Archief, heet iedereen van harte welkom. Hij legt uit hoe het komt dat we hier nu zo bij elkaar zitten: drie jaar geleden was er een symposium over actieve openbaarheid. Daar was een vrij grote groep archivarissen, informatieprofessionals en geïnteresseerden bij elkaar. Een geslaagde bijeenkomst. Jeroen: “Zo geslaagd, dat we na afloop besloten met elkaar verder te bouwen aan een kennisnetwerk.” En dat kennisnetwerk is er gekomen. Met als doel: het uitwisselen van kennis over openbaarheid. Dat gebeurt via het kennisplatform Openbaarheid. Maar: “Al snel bleek dat we ook behoefte hebben om elkaar regelmatig live te zien en te spreken.” En zo is het gekomen dat het kennisnetwerk een paar keer per jaar dit soort bijeenkomsten organiseert. Waar experts de state of art presenteren en de deelnemers de ruimte krijgen om met elkaar nieuwe concepten uit te denken en te bespreken.

Vervolgens introduceert Jeroen enthousiast de sprekers die hij voor deze bijeenkomst heeft weten te strikken. Koen Versmissen van Privacy Management Partners met een verhaal over privacy in het licht van de nieuwe Algemene Verordening Gegevensbescherming. Jacques Grossouw, werkzaam bij SSC-ICT, over de Digitale Samenwerkingsruimte Rijksdienst. Op 19 juli is er bovendien nog een bonusspreker: Erik Saaman van het Nationaal Archief.

Na de toezegging dat van deze bijeenkomst een verslag wordt gemaakt dat samen met de presentaties aan iedereen wordt toegezonden – waarvan akte – geeft hij het woord aan ‘dagvoorzitter, facilitator, begeleider’ Auke Bloembergen van PBLQ.

Waarom gegevensbescherming in ketensamenwerkingen extra aandacht verdient

De informatiehuishouding van overheidsorganen raakt steeds meer met elkaar verknoopt. Ook met de buitenwereld wordt vaker en meer informatie uitgewisseld. Dat genereert meerwaarde: informatie delen is waarde vermenigvuldigen. Maar, zo constateerden onlangs de Raad voor Cultuur (RvC) en de Raad voor het Openbaar Bestuur (RoB), die ketensamenwerking gaat gepaard met de nodige problemen. In hun rapport ’Het puberbrein van de overheid’ wijzen zij op de grote risico’s van ketensamenwerking in combinatie met de huidige staat van het informatiebeheer. In het hergebruik van persoonsgegevens is de overheid geneigd tot grenzeloosheid. Voor de rechtsstaat en de rechtsbescherming van burgers is dat onwenselijk. En bovendien: in veel gevallen mag het ook gewoon niet van de wet.

Soepele begeleiding

Hij noemt zichzelf weliswaar “een hardcore IT-er”, maar Auke Bloembergen van PBLQ vindt dat je pas in 2e instantie over systemen moet praten. Eerst gaat het erom het vraagstuk, dat je met een probleem denkt op te lossen, helder over het voetlicht te krijgen. En dat is precies waar deze bijeenkomst wat Auke betreft om draait: “een vraagstuk helder krijgen door er vanuit verschillende perspectieven naar te kijken.” Hij zorgt ervoor dat de middag soepel en zonder een wanklank verloopt. Hij stelt zo nu en dan een scherpe vraag. Bijvoorbeeld als Koen uitlegt dat organisaties zich op verschillende niveaus van de privacy-maturity ladder kunnen bevinden. Ergens tussen 0 (= nalatig) en 5 (= optimaliserend): “Waar zit ongeveer de gemiddelde overheidsinstelling op die ladder?”

Hij brengt de discussie met de zaal op gang. Bijvoorbeeld na afloop van het verhaal van Koen Versmissen: “Wie denkt na het horen van dit verhaal dat het allemaal wel meevalt met die AVG?” En hij zorgt er ook voor dat we strak bij de les blijven. Zo grijpt hij in als de zaal met Erik Saaman in gesprek wil over de vraag hoe DUTO zich verhoudt tot Kido: “Dat lijkt me een hele leuke voor een volgende bijeenkomst.”

Kleine discussie tussendoor met de zaal: wie denkt dat het allemaal wel meevalt met de AVG?

Theo Akse van het ministerie van SZW: “Ja, ik denk dat het uiteindelijk wel meevalt. Je hebt immers al een hoop geregeld voor de Archiefwet. Maar ja, ik weet ook dat de werkelijkheid altijd weerbarstig is.”

Adrie Spruit, onder andere werkzaam bij KING: “Het gaat om de driehoek archiveren, openbaarheid en privacy. Ik heb niet het gevoel dat op het niveau van wetgeving alles in samenhang met elkaar wordt uitgedacht. Dus dáár zie ik nog wel een uitdaging voor ons. En in die zin denk ik helemaal niet dat het meevalt.”

Koen Versmissen: De impact van de Algemene Verordening Gegevensbescherming

De eerste spreker is Koen Versmissen van Privacy Management Partners. Hij schetst in het kort de aanleiding voor deze expertmeeting: de Algemene Verordening Gegevensbescherming (AVG). Deze opvolger van de Wet Bescherming Persoonsgegevens (WBP) is op 25 mei 2016 ingegaan. Alle organisaties in de publieke en private sector worden geacht om hun bedrijfsvoering in overeenstemming te brengen met de AVG. Ze krijgen daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken, en spelen er boeterisico’s tot 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet.

Omdat een Europese verordening als de AVG boven een nationale wet als de Archiefwet uitstijgt, komt de archiefsector voor nieuwe uitdagingen en vragen te staan. Zeker waar het gaat om de archiefsector als samenwerkingspartner in de keten. Reden voor het Nationaal Archief om DIV-specialisten, archiefprofessionals, informatiemanagers, architecten en privacydeskundigen vanuit verschillende overheden door heel Nederland uit te nodigen om deel te nemen aan een van twee expertmeetings. Met als centraal thema: wat betekent de AVG voor (hergebruik van persoonsgegevens in) ketensamenwerking in het algemeen? En voor informatiebeheer en archivering in het bijzonder?

Ontwikkeling in privacydenken

Koen gaat eerst in sneltreinvaart door de ontwikkeling van het privacydenken van de afgelopen jaren. Waren burgers aanvankelijk huiverig om organisaties hun persoonlijke gegevens te geven, voor de jongeren van nu is dat anders. Delen lijkt voor hen de norm. Ook als het om persoonlijke gegevens gaat. Toch blijkt uit onderzoek dat ook zij – net als ouderen – privacy belangrijk vinden. Privacy en informatiebeveiliging zijn dan ook ‘ontdekt’ door de politiek.

Koen constateert dat de focus op privacybescherming bij veel organisaties leidt tot verkramping. “Maar dat is helemaal niet nodig”. Koen maakt een vergelijking met een voetbalveld. “Als organisatie kun je het hele speelveld gebruiken of je kunt uit angst met z’n allen rond de middenstip blijven hangen. Wil je het hele speelveld gebruiken, dan moet je daar wel wat voor doen.” Als voorbeelden van organisaties die dat goed doen noemt Koen KPN en de Belastingdienst. “Beide hebben privacy onderdeel gemaakt van hun bedrijfsstrategie. Tot op het hoogste niveau.”

Dat omgaan met privacy niet in één keer is geregeld, snapt ook de AVG. Organisaties krijgen dus de tijd om, stap voor stap, alle beheers- en organisatorische maatregelen te nemen die nodig zijn om aan de wet te voldoen. Maar: op 25 mei 2018 moet je dat dus wel hebben gedaan!

Kern van het verhaal: bewaren versus archiveren

Dan zijn we voor deze bijeenkomst bij de kern van het verhaal van Koen. Bewaren versus archiveren. De AVG heeft als uitgangspunt: als persoonsgegevens, afkomstig uit primaire processen, geen belang meer dienen, dan moet je ze weggooien. Terwijl de Archiefwet min of meer omgekeerd redeneert: archiveren is bewaren met een doel. Dat kan een wettelijk, historisch of bijvoorbeeld statistisch doel zijn. Alleen als je het niet meer nodig hebt, gooi je het weg. Dat kan met elkaar in tegenspraak zijn. Stel, je gebruikt archiefmateriaal voor onderzoek, mag je dan van de AVG nog wel de persoonsgegevens gebruiken? Stemt dat gebruik overeen met algemeen belang uit de AVG of niet?

Koen doet een oproep aan de zaal en aan het Nationaal Archief om zich, via OCW te bemoeien met deze wetswijziging, met input uit deze expertmeeting. “Denk niet: daar kan ik in april 2018 nog wel even naar kijken. Want dan ben je dus te laat.”

Koen wijst ook op de extra opdracht die bij archiefvormers en archiefbeheerders komt te liggen. Voor archieven gelden in de AVG bepaalde uitzonderingen. “Jullie mogen meer dan andere organisatieonderdelen”. Maar dat geeft ook een extra opdracht mee aan archieven. “U krijgt een aantal uitzonderingen, maar u krijgt ze niet cadeau, u moet er wel wat voor doen.”

Zo moeten er ‘passende waarborgen’ worden genomen die ervoor zorgen dat ‘technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen’ (artikel 89 van de AVG). Vrij en in snelle stappen vertaald betekent dat voor archiefvormers en archiefbeheerders dat ze bij het inrichten van hun archiefprocessen en hun systemen privacyoverwegingen zullen moeten meenemen. By design: dus vanaf het begin van het ontwerpproces. En by default: door te zorgen voor privacy- vriendelijke standaardinstellingen.

Goed om te weten

Doorgifte aan het buitenland kan voor problemen zorgen. Hiervoor zou vanuit de archiefwereld veel meer aandacht moeten zijn. Cloudtoepassing? Zorg dat je zeker weet dat gebruikte servers of dataopslag niet buiten de EU staan. Helpdesk in India of Pakistan? Dat kan niet zomaar. Zeker niet als men daar inzage krijgt in privacygevoelige gegevens.

Erik Saaman: wie is verantwoordelijk in de keten? Erik, spreker nummer 2, is adviseur archivering bij het Nationaal Archief en projectleider DUTO, het normenkader voor Duurzaam Toegankelijke Overheidsinformatie. Hij komt oorspronkelijk uit de ICT maar hij voelt zich helemaal thuis in de archiefwereld. “Logisch, want archiveren is de oudste vorm van informatica.” Erik wil het met de zaal hebben over wie er verantwoordelijk is voor gegevens en archiefbescheiden, en dus ook: voor het gebruik van die gegevens in een ketensamenwerking. Ook hij verwijst naar het rapport Het puberbrein van de overheid (zie hiervoor).

Erik hoopt op een verhitte discussie, maar die blijft uit. Niet omdat de zaal niet mee wil doen, maar omdat de zaal hem eigenlijk helemaal volgt in zijn redeneerlijn.

De lijn komt in het kort op het volgende neer: als organisatie B een document download van organisatie A, is er in feite sprake van een kopie. Je denkt misschien wel: het is hetzelfde document. Maar dat is het niet. Bovendien is de kans groot dat organisatie B het document voor iets anders gebruikt dan organisatie A. Kortom, in deze situatie zijn beide organisaties verantwoordelijk. Want op het moment dat B download, zijn er strikt genomen twee archiefstukken.

Maar wat nu als A alleen maar informatie doorvoert? Of als er een aparte beheerorganisatie in het leven wordt geroepen? Of een gemeenschappelijke regeling. Of als er sprake is van co-creatie? Er ontstaat een levendig gesprek. De crux is dat je steeds moet kijken naar wat er met informatie gebeurt in het kader van een wettelijke taak. En dat je dus altijd goede afspraken moet maken over ketensamenwerkingen. En dat taakveranderingen of een veranderende opvatting over taken dus ook weer kunnen leiden tot het opbreken of ontvlechten van de samenwerking.

Jacques Grossouw: Digitale Werkomgeving Rijksdienst

Jacques Grossouw van het SSC-ICT is de laatste spreker. Hij zoomt in op de Digitale Werkomgeving Rijksdienst. Welke kansen biedt dit DWR voor ketensamenwerking? “Ik zou willen dat dit de oplossing voor al uw problemen was. Maar zo ver zijn we helaas nog niet.” Zo geeft hij aan dat ze op dit moment worstelen met het probleem van vernietiging van informatie en documenten. “Als je iets vernietigt, moet ook alles in je back-ups worden vernietigd. Ik geef het je te doen.” Instemmend geknik vanuit de zaal. Verder gaat de samenwerking binnen een departement met behulp van DWR goed. De samenwerking tussen departementen is nog niet mogelijk. Ook is het nog niet mogelijk om een helemaal openbare samenwerkingsomgeving te maken. Maar volgens Jacques is dat een kwestie van tijd. Vanuit de zaal geven verschillende mensen aan dat zij behoefte hebben aan een goed functionerende samenwerkingsomgeving. Duidelijk is wel dat iedereen nog zoekende is. Een van de aanwezigen, een leverancier, waarschuwt “Met technologie alleen ben je er niet. Je hebt een goede, betrokken, actieve communitymanager nodig. Als je wilt dat het een succes wordt, moet je er tijd en energie in steken.”

Soundbites uit het publiek Tineke Rouschop recordmanager van Waterschap Brabantse Delta. “Over het geheel zeg ik: complimenten, ik vond het zeer leerzaam. Ik was vooral heel blij met het tweede verhaal, van Erik. Bij het eerste verhaal had ik last van wat mist. Waar hebben we het nou over? Over archiveren vóór of ná overbrenging? Dus daar zouden we wat mij betreft nog eens heel zorgvuldig naar moeten kijken.”

Janine Nolen, archiefinspecteur streekarchief Rijnlandsmidden: “Ik ben hier omdat ik enthousiaste verhalen had gehoord over de vorige meeting op 5 juli. Ik zag hier nog wel wat ondergeschoven kindjes. Bestuurlijke bewustwording lijkt mij op zijn plaats. Daar kan ik morgen al direct mee aan de slag. Ik kan eens om mij heen gaan kijken bij gemeenten of zij zich bewust zijn van de impact van de AVG. En ik ben co-creator van Lopai. Ook daar kan ik vandaag opgedane kennis mee naartoe nemen. Kortom: goede dag! Volgens mij kunnen jullie nog wel een derde bijeenkomst organiseren.”

Paula Kiens, senior beleidsmedewerker DIV van UWV “Ik ben hier omdat de thema’s die hier vandaag worden besproken bij ons zeer actueel zijn. Tot nu toe vond ik alles interessant. Heel waardevol dat Koen, iemand die niet uit de archief- of DIV-wereld komt, zo’n verhaal houdt. Die bekijkt de zaken vanuit een heel ander perspectief. Hij zegt dingen die anders niet zomaar gezegd zouden worden.”

Juli 2016

Mireille Reijs en Marjan Derksen

(Nawwara).