Plan van aanpak voor AVG-proof maken van DIM-instrumenten. Auteur: Karin Bornhijm, Rijkswaterstaat
Inleiding Rijkswaterstaat (RWS) werkt nauw samen met marktpartijen en is van grote invloed om de ruimt...
Alle leden mogen wijzigen
Het is op dit moment onvoldoende duidelijk of er een verwerkersovereenkomst moet worden afgesloten tussen gemeente Nijmegen en elk van de regiogemeenten na overbrenging van archieven van een regiogemeente naar hun archiefbewaarplaats in Nijmegen.
Het Regionaal Archief Nijmegen is een gemeentelijke archiefdienst met een eigen archiefbewaarplaats. Acht gemeenten in de omgeving van Nijmegen hebben de gemeentearchivaris van Nijmegen benoemd tot hun gemeentearchivaris en hebben de gemeentelijke archiefbewaarplaats van Nijmegen aangewezen als hun archiefbewaarplaats.
Het beheer van de archiefbewaarplaats in Nijmegen en van de daarin opgenomen archieven wordt gevoerd door gemeente Nijmegen. Afspraken over dit beheer met de regiogemeenten zijn vastgelegd in een ‘Overeenkomst overdracht beheer archieven' en in een daarbij behorende service level agreement. Het door gemeente Nijmegen te verrichten beheer omvat “het huisvesten van de archieven, het toegankelijk houden van de archieven, het schonen van de archieven, het verstrekken van inlichtingen [….]. Overigens wordt onder beheer verstaan hetgeen de memorie van toelichting op de Archiefwet 1995 daaronder verstaat”.[1] Afspraken over raadpleging staat beschreven in het service level agreement.
De overgebrachte archieven zoals hierboven bedoeld, bevatten onder andere (bestanden met) persoonsgegevens zoals gedefinieerd in artikel 4, definitie 1 van de AVG. Door de archieven waarin deze gegevens zijn opgenomen te huisvesten, toegankelijk te houden, te schonen, er inlichtingen uit te verstrekken en door raadpleging mogelijk te maken voert de gemeente Nijmegen verwerkingshandelingen uit. De persoonsgegevens in deze archieven vallen daarmee onder een verwerking zoals bedoeld in artikel 4, definitie 2 van de AVG. Er moeten dus passende maatregelen genomen worden om de privacy van betrokken personen voldoende te beschermen. Maar wie doet wat en op welke manier?
Het antwoord op de vraag ‘wie doet wat’ is afhankelijk van wie verantwoordelijk is voor de persoonsgegevens en wie de gegevens verwerkt.
Artikel 4 van de AVG, definitie 7 beschrijft als verwerkingsverantwoordelijke “[…]een overheidsinstantie, een dienst of ander orgaan die/dat, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt […]”. De verwerker is “[…]
1 Door de gemeente Nijmegen opgestelde ‘Overeenkomst overdracht beheer archieven’, artikel 2.2.
een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.” (AVG, artikel 4, definitie 8). Over het algemeen kiest de verwerkingsverantwoordelijke doel en middelen voor de verwerkingen.
In de Archiefwet wordt onderscheid gemaakt tussen archiefzorg en archiefbeheer. Het college van B&W van de regiogemeente blijft altijd zorgdrager; zorg voor gemeentearchieven kan niet overgedragen worden aan het college van een andere gemeente. Archiefbeheer kan wél overgedragen worden en dat is wat in deze situatie gebeurt.
We hebben te maken met twee verschillende juridische entiteiten, te weten de regiogemeente en de gemeente Nijmegen. Het beheer van - en dus niet de zorg voor - het archief wordt van de ene juridische entiteit overdragen aan de andere juridische entiteit, waarmee de verantwoordelijkheid voor het verwerken van de persoonsgegevens in die archieven een gedeelde verantwoordelijkheid wordt.
De gedeelde verantwoordelijkheid wordt tot uitdrukking gebracht doordat:
de zorg bij de regiogemeente blijft en het beheer door de gemeente Nijmegen gevoerd wordt
beide partijen doel en middelen kiezen voor de verwerkingen
het besluit informatiebeheer en de archiefverordening van de regiogemeente van toepassing blijven
er tussen gemeente Nijmegen en regiogemeente afspraken over het beheer zijn gemaakt, die zijn vastgelegd in een ‘overeenkomst overdracht beheer archieven’ en een bijbehorend service level agreement. Deze afspraken zijn in onderling overleg vastgesteld.
Een gedeelde verantwoordelijkheid wordt in de AVG gedefinieerd als ‘gezamenlijk verwerkingsverantwoordelijk’ (artikel 26.1).
Gemeente Nijmegen wordt na overbrenging (ook) de verwerkende partij, maar is niet enkel aan te wijzen als verwerker zoals gedefinieerd in artikel 4, definitie 8 AVG.
Gemeente Nijmegen draagt met het in beheer nemen van het archief van de regiogemeente zorg voor (en kiest de middelen voor) het huisvesten, toegankelijk houden, schonen, verstrekken van inlichtingen en voor het mogelijk maken van raadpleging. Allemaal zaken die volgens de AVG vallen onder verwerkingen. Enerzijds voert gemeente Nijmegen deze verwerkingen zelfstandig uit, op basis van de bevoegdheden die zij heeft doordat de regiogemeente de archiefbewaarplaats in Nijmegen heeft aangewezen als haar archiefbewaarplaats.
Anderzijds doet gemeente Nijmegen dit altijd binnen de kaders van de gezamenlijke gemaakte afspraken. Bovendien blijft het besluit informatiebeheer en archiefverordening van de regiogemeente van toepassing.
Wanneer gemeente Nijmegen enkel verwerker zou zijn, zou zij geen enkele zeggenschap hebben over de verwerkingen. Gemeente Nijmegen zou dan alleen mogen handelen naar de
instructies zoals uitgegeven door de regiogemeente. Dit is niet het geval, zoals we gezien hebben. Bovendien is het verwerken van persoonsgegeven niet de primaire opdracht na overbrenging van archieven, een extra bevestiging dat gemeente Nijmegen niet enkel gezien kan worden als verwerker.[2]
Regiogemeente noch gemeente Nijmegen kiest nadrukkelijk zelfstandig een doel; in dit geval valt de verwerking van de persoonsgegevens onder een generiek doel, namelijk archivering in het algemeen belang (AVG, artikel 89).
Zoals hierboven vastgesteld zijn gemeente Nijmegen en regiogemeente gezamenlijk verwerkingsverantwoordelijk en kan gemeente Nijmegen niet enkel gezien worden als verwerker. Op grond hiervan is de conclusie dat er geen verwerkersovereenkomst afgesloten hoeft te worden.
Een verwerkersovereenkomst is niet nodig, maar er moeten wel afspraken gemaakt worden aangaande wederzijdse rechten en plichten die voortvloeien uit de AVG. Deze afspraken dienen schriftelijk vastgelegd te worden vanwege transparantie en verantwoording ten opzichte van de burger en vanwege het feit dat de Autoriteit Persoonsgegevens toezicht moet kunnen uitoefenen.
Op grond van AVG, artikel 26, lid 1 moeten gemeente Nijmegen en regiogemeente namelijk “hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening [vaststellen], met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, […]”.
Daarnaast stelt de AVG in overweging 79: “[…] is het noodzakelijk onder meer wat het toezicht door en de maatregelen van de toezichthoudende autoriteiten betreft, dat de bij de verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, […]”.
De AVG stelt geen formele eisen aan de wijze van vastleggen van de respectieve verantwoordelijkheden. Een aparte overeenkomst opstellen zou een mogelijkheid zijn, maar opname van één of meer artikelen in een algemenere samenwerkingsovereenkomst is ook een acceptabele optie.[3]
Omdat er tussen gemeente Nijmegen en regiogemeente al een ‘overeenkomst overdracht beheer archieven’ is afgesloten, ligt het voor de hand deze overeenkomst te actualiseren en de wederzijdse rechten en plichten die voortvloeien uit de AVG hierin op te nemen. Deze is zowel van toepassing op reeds in de archiefbewaarplaats in Nijmegen opgenomen archieven als op nieuw over te brengen archieven.
Concreet zal het gaan om artikelen die:
het soort verwerkingen nader beschrijven
vermelden welke passende technische en organisatorische waarborgen worden getroffen
de manier aangeven waarop omgegaan wordt met verzoeken van betrokkenen die één of meer van hun AVG-rechten wensen uit te oefenen
duidelijk maken wie er wanneer aansprakelijk is bij een inbreuk op de privacy en hoe in dat geval te handelen
bepalen wat er geregeld moet worden als de overeenkomst beëindigd wordt.
Zolang de archiefbewaarplaats van Nijmegen is aangewezen als archiefbewaarplaats van de betreffende regiogemeente hoeft er geen verwerkersovereenkomst afgesloten te worden. In de reeds bestaande ‘overeenkomst overdracht beheer archieven’ dienen afspraken opgenomen te worden aangaande de wederzijdse rechten en plichten die voortvloeien uit de AVG.
[1] Door de gemeente Nijmegen opgestelde ‘Overeenkomst overdracht beheer archieven’, artikel 2.2.
[2] Handleiding Algemene verordening gegevensbescherming, uitgegeven door Ministerie van Justitie en Veiligheid (januari 2018), p. 33.
[3] De Algemene verordening gegevensbescherming, artikelsgewijs commentaar (editie 2018), A. Engelfriet, e.a. (Amsterdam 2018), p. 121-122.