Onrechtmatige informatieverstrekking website-archief Waterschap Brabantse Delta. Auteur: Tineke Rouschop, Waterschap Brabantse Delta

Inleiding

Het waterschap is zowel archiefvormer als -beheerder (cf.art. 37 Aw). Sinds 2010 is archiefvorming volledig digitaal. Er is nog geen E-depot in technische zin. De website brabantsedelta.nl wordt dagelijks gearchiveerd door Archiefweb.eu sinds 18 december 2014.

Tevens zijn drie statische websites gearchiveerd.
De content van het website-archief is nog niet AVG-proof. Er staan namelijk publicaties op met persoonsgegevens, gemaakt in de periode dat er nog geen privacy by design van toepassing was (is) bij de voortbrengende processen. De probleemstelling luidt daarom: Is het mogelijk dat het website-archief alsnog privacy-proof wordt gemaakt, zodat er geen onrechtmatige informatieverstrekking plaatsvindt? Als deelvragen zijn geformuleerd: Zo ja, op welke wijze? Wat is daarvoor nodig? Wat zijn de gevolgen? Welke vragen en/of knelpunten zijn er nog?

Beantwoording van de probleemstelling

Het is mogelijk, dat het website-archief alsnog privacy-proof wordt gemaakt.[1] Dit is mogelijk door het beperken van de openbaarheid van de publicaties met persoonsgegevens cf. AVG 5.1.e (‘opslagbeperking’). Het is niet toegestaan de integriteit van het archief aan te tasten door publicaties met persoonsgegevens te verwijderen (AVG 17.3.d. en 89.1).

Implementatie

De website kan privacy-proof gemaakt worden door de volgende stappen te implementeren.

1. Bepalen wie de beheerder is van het website-archief. Is dit de procesmanager ‘Leveren communicatie-diensten’ of de procesmanager ‘Leveren facilitaire diensten’ (onder wie het centraal beheerde bedrijfsarchief valt)?

2. In overleg treden met de lokale privacydesk.

3. Archiveren website opnemen in het Register van Verwerkingen.

4. Aan de hand van het stappenplan in de Richtlijn webarchivering bepalen welke websites moeten worden onderzocht (stap 6.7 van de richtlijn).

5. Vervolgens een lijst opstellen van publicaties die persoonsgegevens bevatten, waarvoor een opslagbeperking nodig is (stap 6.11 van de richtlijn).

6. Deze lijst gebruiken als input voor de procesmanagers, t.b.v. privacy by design voor toekomstige publicaties.

7. Vervolgens regelen wie bevoegd is de beperking op de openbaarheid vast te stellen (voorstel: de zorgdrager c.q. de verwerkingsverantwoordelijke; bij voorkeur via (onder)mandatering).

8. Besluit tot beperkingen laten nemen, inclusief de voorwaarden waarop toch toegang kan worden verleend (5.10 van de Richtlijn).

9. Beheer van de lijst van beperkingen regelen (duur van beperkingen, nieuwe beperkingen etc.).

10. De beperking laten effectueren door de contentbeheerder en leverancier toegangsdienst.

11. Uiterlijk bij overbrenging bezien in hoeverre de beperking nog nodig is (art. 15 Archiefwet).

Gevolgen

De gevolgen zijn drieledig. Voor de betrokkenen betekent dit een betere bescherming van hun persoonsgegevens. Voor de medewerkers van het waterschap betekent dit, dat zo spoedig mogelijk privacy by design wordt toegepast op hun publicaties en dat het voor hen duidelijk moet zijn welke publicaties beperkt openbaar zijn en op welke manier zij deze toch kunnen inzien. Voor gebruikers moet het duidelijk zijn, dat delen van het website-archief beperkt openbaar zijn en op welke manier zij een verzoek tot inzage kunnen indienen (op grond van de Wet openbaarheid bestuur (Wob).

Blijvende vragen en knelpunten

• Hoe kan het waterschap effectief bepalen in welke publicaties persoonsgegevens voorkomen? Denk aan verslagen en foto’s van bijeenkomsten, ingediende zienswijzen, projectplannen, vragen aan het bestuur etc. Dit zijn potentieel heel veel publicaties.

• In de Richtlijn staat onder 5.10: “Voor webpagina’s en bijlagen op de lijst van beperkte openbaarheid geldt: Deze zijn niet online voor iedereen vindbaar en opvraagbaar. Waar technisch mogelijk is dit alleen beperkt tot dat deel waarvoor de beperking geldt”. Dit roept de vraag op hoeveel ‘onomstreden’ informatie mogelijk óók ontoegankelijk wordt gemaakt.

• Is het voor het waterschap mogelijk of wenselijk om een E-depotvoorziening te hebben, die ook het website-archief kan opnemen? Of is het mogelijk / wenselijk om Archiefweb.eu aan te wijzen als archiefbewaarplaats?

• Is er bij het waterschap voldoende (archivistische, juridische en technische) kennis in huis voor het uitvoeren van de Richtlijn ‘archiveren overheidswebsites voor publiekscommunicatie’?

Noten

[1] Relevante wetsartikelen betreffende doelbinding voor het website-archief: AVG art. 5.1b en 89.1; Betreffende vervulling publiekrechtelijke taak / c.q. taak van algemeen belang is de verwerkingsgrondslag AVG art. 6 e.