Het adviseren van zorgdragers over archiveren van persoonsgegevens in relatie tot ‘archiveren by design’. Auteur: Ceciel Huitema, Nationaal Archief

Beschrijving van het probleem

Als accountmanager digitale archiefdiensten bij het Nationaal Archief adviseer ik zorgdragers over producten en diensten van het Nationaal Archief die kunnen helpen bij het duurzaam toegankelijk houden of maken van overheidsinformatie, niet alleen ten aanzien van over te dragen materiaal maar ook voor niet blijvend te bewaren informatieobjecten. Om overheidsinformatie goed vindbaar, beschikbaar, leesbaar, interpreteerbaar, betrouwbaar en bestand tegen (organisatorische of technische) veranderingen te houden, zou een zorgdrager bij het ontwerpen van een informatiesysteem op voorhand rekening moeten houden met archiveringsprincipes en ook met wetgeving, waaronder de Archiefwet en de AVG. Met het doel zorgdragers te helpen dit principe van ‘archivering by design’ toe te passen, reikt het Nationaal Archief verschillende producten en diensten aan.

Vragen

In dit licht krijgt het Nationaal Archief geregeld vragen over wat de nieuwe privacywetgeving betekent voor het archiveren van hun informatieobjecten.

1. Heeft de AVG invloed op de regels die het Nationaal Archief hanteert voor het overbrengen of uitplaatsen van digitaal archiefmateriaal?

2. Gelden voor archiefinstellingen andere privacyregels voor het beheer van persoonsgegevens dan voor zorgdragers met betrekking tot dezelfde digitale informatieobjecten? (met andere woorden: gelden er twee regimes?)

3. Kun je als zorgdrager met ‘archiveren by design’ al vooraf rekening houden met die eisen van archiefinstellingen om te voorkomen dat bij het overbrengen of uitplaatsen van digitale objecten een enorme bewerkingsslag gemaakt moet worden?

4. Maakt het Nationaal Archief hierbij onderscheid tussen digitale informatieobjecten, die uitgeplaatst worden of overgebracht?

Bij het overbrengen van archief gaat het eigendom en de verantwoordelijkheid voor (een goed beheer van) de informatie over van de zorgdrager naar de aangewezen archiefbewaarplaats, in dit geval het Nationaal Archief. Met het overbrengen van archief geldt met betrekking tot de informatievoorziening aan burgers dat van het WOB-regime (recht op informatie) wordt overgegaan op het regime van de Archiefwet 1995 (openbaar, recht op inzage, tenzij er gegronde redenen zijn om dit tijdelijk te beperken).
Bij uitplaatsing worden informatieobjecten door een zorgdrager uitgeplaatst naar het e-Depot van het Nationaal Archief (vooralsnog is het Nationaal Archief de enige archiefinstelling die de dienst uitplaatsing aanbiedt). Het eigenaarschap verandert niet en de verantwoordelijkheid voor een goed beheer van de informatie ligt nog steeds bij de zorgdrager (die dit uitbesteedt aan het NA) en de informatie is voor burgers toegankelijk via het WOB-regime.

Analyse van de uitwerking van de AVG op deze vraagstelling

Toepassingsgebied

Ten eerste kunnen we constateren dat bij deze casus inderdaad de AVG-wetgeving van toepassing is, omdat het hier gaat om (nog te vormen) digitale informatieobjecten waarbij mogelijk ook (bijzondere) persoonsgegevens in zijn opgenomen.

Belangrijkste punten uit AVG

De belangrijkste principes van de Wbp zijn in de AVG van kracht gebleven. Wat er veranderd is, is de versterking en uitbreiding van de privacyrechten van betrokkenen.

• Verwerking van persoonsgegevens mag alleen wanneer het doel ‘welbepaald, uitdrukkelijk omschreven en gerechtvaardigd’ is (doelbinding).

• Persoonsgegevens mogen alleen worden verwerkt op grond van bepaalde verwerkingsgronden ( toestemming, uitvoeren van overeenkomst, noodzakelijkheid voor vervulling van een taak van algemeen belang, etc.).

• Verwerking mag alleen van díe gegevens die nodig zijn en niet langer dan nodig (minimale gegevensverwerking).

• Bovenstaande moet vastgelegd worden in een verwerkingsregister (verantwoordelijkheid ligt bij organisatie).

• Boeteclausule als niet voldaan wordt aan bovenstaande.

Concreet betekent dit dat de ‘verwerkingsverantwoordelijke' (degene die verantwoordelijk is voor het ontvangen, bewaren of verwerken van (bijzondere) persoonsgegevens in zijn werkproces) goed moet vastleggen en kunnen motiveren waarom persoonsgegevens worden verwerkt en hoe de belangen van betrokkenen worden gewaarborgd. Een verandering ten opzichte van de Wbp is de mogelijkheid om persoonsgegevens te verwerken vanwege het algemene belang van archiveren. Het doel ‘archiveren in het algemeen belang’ kan als reden worden opgegeven in het verwerkingsregister. Een andere belangrijke wijziging is dat betrokkenen van wie gegevens worden verwerkt het recht hebben om te weten welke gegevens van hem worden verwerkt (inzagerecht) en het recht hebben om foutieve gegevens te laten corrigeren. Belangrijk is te realiseren dat het verwerken van (bijzondere) persoonsgegevens mag, als de belangenafweging tussen de privacy van betrokkenen en de reden van het vastleggen van die gegevens maar goed gemotiveerd en gedocumenteerd is.

Wat betekent de AVG nu concreet voor archiefvormers?

Van archiefvormers wordt verwacht dat zij een verwerkingsregister opstellen met daarin opgesomd alle verwerkingen van (bijzondere) persoonsgegevens. In dit register moeten ze vastleggen waarom (doel en op welke grondslag) zij welke persoonsgegevens verwerken en voor hoe lang. De grondslag kan zijn het nakomen van een wettelijke verplichting (bijv. uitkeren van een uitkering of toeslag) of het vervullen van een taak in het algemeen belang (het innen van belastingen). De nieuwe term ‘archiveren in het algemeen belang’ kan ook als doel worden opgenomen. In het verwerkingsregister moet ook duidelijk de belangenafweging naar voren komen, die is gemaakt om bepaalde gegevens te verzamelen.

Adviezen van archiefinstellingen aan archiefvormers

• Koppel de bewaartermijnen uit het verwerkingsregister met de systemen waarin de (bijzondere) persoonsgegevens verwerkt worden, door middel van metadata. Zo zorg je ervoor dat je niet langer dan nodig persoonsgegevens verwerkt.

• Stel de selectielijst zo op dat per werkproces vermeldt wordt of en welke persoonsgegevens in dit werkproces verwerkt worden (gebruikmakend van het register). Koppel hier ook de grondslagen aan. In een selectielijst is elk werkproces gekoppeld aan een bewaartermijn. Wanneer de informatieobjecten met persoonsgegevens uit een werkproces in aanmerking komen voor blijvende bewaring, dan is goed te onderbouwen dat deze gegevens ook na het verstrijken van het oorspronkelijke doel, in aanmerking komen voor ‘archiveren in het algemeen belang’.

• Zorg ervoor dat de belangenafweging en motivatie tot het permanent bewaren van persoonsgegevens zijn neerslag vindt in de selectielijst.

• Leg vast wat er gedaan wordt om belangen van betrokkenen te waarborgen.

• Verzeker je je als archiefvormer er van dat je voldoet aan eisen van informatiebeveiliging.

Concrete beantwoording van de gestelde vragen

1. Wanneer er sprake is van het overbrengen van een digitaal archief is de selectielijst en de hotspotlijst in eerste instantie de leidraad. Ter voorbereiding van zo’n overbrenging (en ook bij uitplaatsing) wordt door het Nationaal Archief in samenwerking met de zorgdrager een zogenoemde impactanalyse opgestart. Er wordt in een multidisciplinair team gekeken wat zowel het Nationaal Archief als de zorgdrager moet doen voordat van overdracht sprake kan zijn. Eén van de aspecten waar naar gekeken wordt is de openbaarheid. Eén van de gronden om tijdelijk een beperking aan de openbaarheid op te leggen is de privacy van betrokkenen. Wanneer in de selectielijst duidelijk vermeld staat welke persoonsgegevens opgenomen zijn en waarom (geeft ook context aan het materiaal), kan samen gekeken worden hoe hier mee wordt omgegaan. Zijn de persoonsgegevens nog van belang voor reconstructie? Zouden ze geanonimiseerd kunnen worden? Zo nee, hoe zouden we de belangen van betrokkenen het beste kunnen waarborgen? Bij uitplaatsing worden de informatieobjecten nog niet openbaar gemaakt. Natuurlijk moet wel bekend zijn in welke dossiers welke persoonsgegevens zitten om bij een eventuele overbrenging later keuzes over openbaarheid te kunnen maken. In beide gevallen is dus van belang een actuele selectielijst te hebben waarin gemaakte keuzes goed zijn gedocumenteerd.

2. Een archiefinstelling heeft als overheidsinstantie en verwerker van (bijzondere) persoonsgegevens in digitale bestanden net zo goed te maken met de AVG. Dat betekent dat een archiefinstelling ook een verwerkingsregister heeft waarin onder andere het beheren en beschikbaar stellen van de collectie staat opgenomen. Uiteraard moet een archiefinstelling zich houden aan de eisen die worden gesteld aan informatiebeveiliging. Een archiefinstelling heeft echter ook een uitzonderingspositie als het gaat om het recht van inzage en het recht tot rectificatie. Een betrokkene kan namelijk niet aan een archiefinstelling vragen een lijst te overhandigen van alle persoonsgegevens die van die betrokkene in de archiefcollectie worden beheerd. Evenmin kan een betrokkene een archiefinstelling vragen foutieve informatie in een archief te rectificeren. Je kunt echter niet echt spreken van twee verschillende regimes. Het is niet zo dat een zorgdrager aan een geheel andere set van regels ten aanzien van de AVG moet voldoen wanneer archief wordt overgedragen.

3. Je kunt in het kader van ‘archiveren by design’ rekening houden met eisen die de AVG stelt aan organisaties, voor nu en voor de toekomst (wanneer de informatieobjecten eventueel naar een archiefbewaarplaats worden overgebracht). Er is geen sprake van een geheel ander regime van vóór en na overbrenging, dus een organisatie hoeft niet geheel andere maatregelen te nemen voor over te dragen materiaal. Een concreet voorbeeld in het kader van archiveren by design is om de bewaartermijnen uit de selectielijst te koppelen aan de systemen waarin de gegevens verwerkt worden.

4. Wanneer het gaat om uitplaatsing, dan is de zorgdrager eigenaar van de informatie, maar wordt het beheer van die informatie aan het Nationaal Archief uitbesteed. Dat betekent in de terminologie van de AVG dat het Nationaal Archief een derde partij is. Wanneer een ‘derde’ verwerkingshandelingen uitvoert met betrekking tot persoonsgegevens (en dat is het geval bij het beheren van materiaal) moet hiervoor een verwerkersovereenkomst worden gesloten tussen het Nationaal Archief en de zorgdrager. De punten die in deze verwerkersovereenkomst moeten staan, zijn in onze situatie opgenomen in de nieuwe Dienstverleningsovereenkomsten (DVO’s).

Stappen voor vervolg

Binnen het Nationaal Archief is al het één en ander gedaan ten aanzien van de AVG. Er is uiteraard een verwerkingsregister opgesteld en er wordt gewerkt aan nieuwe DVO’s met zorgdragers die de dienst uitplaatsen bij ons afnemen. Daarnaast hebben we voor zorgdragers een informatiefolder opgesteld met tips hoe om te gaan met de AVG bij archiveren en het beheren van de informatiehuishouding. Deze informatiefolder staat op onze website: https://www.nationaalarchief.nl/archiveren/nieuws/bent-u-klaar-voor-de-avg. Ook heeft het Nationaal Archief een voorbeeldselectielijst gemaakt waarin rekening is gehouden met het motiveren en documenteren van belangenafwegingen zoals die in de AVG wordt voorgeschreven en dat een hulpmiddel kan zijn om archivering en de AVG ‘by design’ te regelen.

We gaan verder met:

• Feedback organiseren op deze voorbeeldselectielijst. De Nieuwe Waarderingsmethodiek gaat uit van waarderen op hoofdlijnen (geen handelingen meer maar werkprocessen). De verplichting om in de selectielijst op te nemen welke persoonsgegevens zijn opgenomen en waarom en hoe met de belangen van betrokkenen wordt omgegaan, kan leiden tot een hoge mate van detaillering, waar de nieuwe waarderingsmethodiek juist afscheid van wilde nemen. Het is goed om dit spanningsveld goed te monitoren en bij zorgdragers na te gaan in hoeverre de voorbeeldselectielijst hen daadwerkelijk helpt.

• Het zou goed zijn om na verloop van tijd te kijken hoe onze collega’s van record keeping (of de Adviseurs Digitale Informatie (ADI’s) bij regionale archiefdiensten) onze zorgdragers concreet adviseren over archiveren by design. Hoe adviseren zij concreet over implementatie van de AVG op organisatorisch, beheersmatig en technisch gebied? Wat zijn de lessons learned en draag die uit.