DPIA e-Depot

  • okt 2022
  • Wouter Oenema
  • ·
  • Aangepast 27 jun
  • 8
  • 424
Wouter Oenema
InformatiehuishoudingOverheden
  • Chido Houbraken
  • Bart Hekkert
  • Karin Kuilboer
  • Eunice Vink
  • Yvonne Welings
  • Frederiekje de Jongh
  • Inge Baars
  • Maarten Zeinstra
  • Wouter Brunner

In Amersfoort zijn we voor Archief Eemland bezig met het voorbereiden van een aanbesteding voor het e-Depot. In het gesprek met onze privacy adviseur kwam naar voren dat er tijdens de implementatie een DPIA uitgevoerd moet worden. We vragen ons af of er in het land al iemand is die een DPIA voor het e-Depot heeft uitgevoerd en de resultaten zou willen delen?

Hartelijke groet,

Wouter Oenema

Reacties

8 reacties, meest recent: 10 november 2022
  • Ik heb toevallig eerder deze week elders dezelfde vraag gesteld. Wij gaan er binnenkort mee van start en zijn ook op zoek naar voorbeelden - en vooral ook zaken die we over kunnen nemen (we hebben immers allemaal min of meer dezelfde processen met dezelfde grondslagen et cetera). Tegen de tijd dat jullie met de implementatie gaan beginnen dan zouden wij wel iets moeten hebben liggen, verwacht ik.

    Wouter Brunner
  • @wouterbrunner

    Bedankt Wouter. Ik ben benieuwd naar jullie uitkomsten. Als we volgend jaar zover zijn, dan informeer ik even bij je!

    Wouter Oenema
  • @wouterbrunner

    Ha Wouter (B), vraag ook eens bij je contacten bij het Nationaal Archief eens vragen. Als het goed is zouden zij ook een DPIA hebben gedaan op het rijks e-depot.

    Ook zou je eens bij je leverancier van je e-depot kunnen vragen welke andere klanten hetzelfde product gebruiken en dan een generieke DPIA kunnen opstellen voor dat product en jullie gezamenlijke archiefstukken die jullie daarin plannen te zetten.

    (mocht je daarvoor een externe begeleider nodig hebben, dan weet je me te vinden).

    Maarten Zeinstra
  • @wouterbrunner

    Hoi Inge, Nog geen volledig antwoord gevonden, dus ben benieuwd wat er binnen het NA al is gedaan. Fijn dat je dat wilt navragen voor mij!

    Wouter Oenema
  • Beste Wouter,

    Ik heb de vraag van de Wouter Brunner net beantwoord in het platform van de Dutch User Group Preservica Cloud. Bij deze deel ik mijn gedachten ook in dit platform.

    Bij de Groninger Archieven zijn we altijd wel voor samenwerking. Tegelijkertijd vraag ik me af of een generieke DPIA wel echt mogelijk is. Als privacymedewerker weet ik uit ervaring dat de aard van de persoonsgegevens een belangrijke rol speelt in de DPIA. Het is dus afhankelijk van wat je in het e-depot stopt, welke maatregelen nodig zijn. Hierbij wat van mijn ideeën hierover:

    De grondslag voor de verwerking is niet altijd hetzelfde. Bij overgebracht archief is de grondslag voor de opname, bewaring, preservering en beschikbaarstelling (in de studiezaal) dat de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting op grond van de Archiefwet. Ik denk daarbij aan de artikelen 3 (in GGTS bewaren); 12 lid 1 (overbrengen naar archiefbewaarplaats); 13 lid 1 (vervroegd overbrengen); 14 (beschikbaar stellen) en 17 lid 1 (hergebruik) van de Archiefwet 1995. Omdat de Archiefwet niet verplicht tot online beschikbaar stellen, kun je niet zeggen dat online publiceren noodzakelijk is om te voldoen aan een wettelijke verplichting. Het mag dus alleen als je er een andere grondslag voor kunt vinden. Misschien kun je verantwoorden dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang. De grondslag en de verantwoording zijn dan waarschijnlijk afhankelijk van de aard van de informatie.

    Vóór overbrenging is de Archiefwet waarschijnlijk onvoldoende grondslag voor de verwerking in een e-depot, omdat de Raad van State uitspraak heeft gedaan dat van archivering in het algemeen belang alleen sprake kan zijn indien de oorspronkelijke verwerking gerechtvaardigd was. De originele grondslagen voor verwerking door de archiefvormer zijn dan dus ook belangrijk. Die verschillen per werkproces of zaaktype.

    Een andere complicerende factor bij een generieke DPIA is dat we binnen de DUGP weliswaar allemaal hetzelfde systeem hebben, maar dat de inrichting van securitytags en rechten en rollen waarschijnlijk zal verschillen.

    Tot slot speelt voor regionale archiefinstellingen nog de vraag van verwerkingsverantwoordelijkheid. Als een archiefvormer archief uitplaatst, is de beherende archiefinstelling een verwerker in de zin van de AVG en moet de verwerkingsverantwoordelijke, de archiefvormer, de DPIA uitvoeren.

    Dit zijn zo mijn eerste ideeën hierover. Maar ik ben geen jurist, dus leg dit vooral ook voor aan je FG.

    Frederiekje de Jongh

Trefwoorden