Archieven van lokale Rabobanken. Auteur: Jan van der Meer, Rabobank

Rabobank

De Rabobank is een financiële instelling, geworteld in Nederland en internationaal actief met een klantenbestand van zo’n 8,4 miljoen klanten wereldwijd. De oorsprong van de bank ligt bij lokale (coöperatieve) boerenleenbanken, die onderdeel werden van een netwerk van banken. De lokale banken richtten samen een centrale bank op. In Nederland waren er aanvankelijk twee landelijke organisaties van Boerenleenbanken en Raiffeisenbanken. Sinds de fusie van de centrale organisaties in 1972 spreken we van de Rabobank.

Probleemstelling

Een bank bestaat bij financiële transacties, meerzijdige rechtshandelingen waarbij twee of meer personen (partijen) betrokken zijn. Dat kunnen rechtspersonen zijn, zoals de bank zelf, en natuurlijke personen. Aan de kant van de klant van de bank is dat laatste heel vaak het geval. De Rabobank beschikt daardoor over een enorme berg aan klantdata. In aanloop naar de inwerkingtreding van de AVG is de bank begonnen aan een enorme inhaalslag om het databeheer conform de verordening op de rit te krijgen en achterstanden weg te werken. Klantdossiers en -data worden uiteindelijk niet bewaard. De databeheerders en juristen zijn daar rigoureus in (prudent als bank en vanwege strikt toezicht). In de eerste overleggen die ik hierover bijwoonde, leefde het idee dat in principe alle data, wel of geen klantdata, gestructureerd of ongestructureerd, op termijn vernietigd zouden moeten worden. Dat er documenten zijn met historische waarde was niet in scope. Inmiddels is dat wel het geval, maar de overtuiging leeft dat uit het oogpunt van ‘compliance’ (voldoen aan wet- en regelgeving) eigenlijk zo veel mogelijk verwijderd moet worden. “Dat mag je van de AVG niet bewaren” is het dan.

In de archieven en documenten die vanwege historisch belang bewaard worden, kunnen persoonsgegevens voorkomen. Dit betekent dat ik als bedrijfsarchivaris er voor moet zorgen dat er op de juiste wijze mee omgegaan wordt. Ook op de archieven die bewaard worden is de AVG van toepassing. Bewaren van archieven mag wel van de AVG.
Daarbij zijn we er ons van bewust dat de Rabobank een private onderneming is en geen overheidsorgaan in de zin van de Archiefwet. De uitzonderingsgrond ‘archivering in het algemeen belang’, zoals die in de AVG voorkomt, is mogelijk niet van toepassing. Uit art. 45 van de Uitvoeringswet blijkt dat voor de Nederlandse wetgever alleen verwerkingen die plaatsvinden bij en na overbrenging conform de Archiefwet 1995 onder deze uitzondering vallen.

Voor deze casus wil ik me beperken tot een bepaalde groep archieven die de afdeling beheert: archieven van lokale (=plaatselijke) banken.[1] De lokale banken zijn primair gericht op financiële dienstverlening aan klanten en dus komen er enorm veel klantgegevens (=persoonsgegevens) voor in de neerslag. En dat leidde tot de vraag: wat kan ik, wat mag ik en/of wat moet ik met deze archieven met betrekking tot de voorschriften voor omgang met persoonsgegevens die de AVG voorschrijft? Welke stappen en overwegingen moet een bedrijf maken in de toepassing van de AVG in de omgang met (verwerkingen van) bronnen voor historisch onderzoek? Ik zal deze stappen beschrijven en vervolgens toepassen op het concrete geval.

Stappenplan

1. Is de AVG van toepassing?

Allereerst moet bekeken worden of en in hoeverre de AVG van toepassing is op een bepaald archief of archiefbestand. Art. 1 en 2 lid 1 geven daar antwoord op: het gaat om geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, gegevens van natuurlijke personen. En van verwerking van persoonsgegevens die in een bestand zijn opgenomen. In het tweede lid van art. 2 zijn nog enkele uitzonderingen opgenomen. Wat voor type archief is het? Wat zit er in?

• Bevat het persoonsgegevens? Wanneer een archief überhaupt geen persoonsgegevens bevat zijn we gauw klaar en hoeven we geen analyse te maken van verwerkingen en grondslagen.

• Is het digitaal archief of fysiek? Een digitaal archief is een geautomatiseerd bestand en bij aanwezigheid van persoonsgegevens is de AVG zeker van toepassing op elke verwerking. Bij een niet digitaal archief komen we aan de volgende vraag:

• Is er sprake van een bestand? In geval van archief in analoge vorm (meestal op papier) is de AVG alleen van toepassing als er bestanden aanwezig zijn. De definitie van een bestand is te vinden in art. 4 onder 6) van de AVG: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn […]

• Bijkomende vraag: Is er sprake van bijzondere persoonsgegevens? Als duidelijk is dat er verwerking van persoonsgegevens plaatsvindt, dient er extra rekening gehouden te worden met eventueel voorkomende bijzondere persoonsgegevens. De omschrijving daarvan is te vinden in art. 9 AVG. Verwerking daarvan is in principe verboden (en de uitzondering met het oog op ‘archivering in het algemeen belang’ art. 9 lid 2 onder j is niet van toepassing zoals eerder gezegd).

2. Welke verwerkingsactiviteiten vinden er plaats?

Elke verwerking dient rechtmatig te zijn. Om de rechtmatigheid van de verwerkingen te kunnen vaststellen dienen de verschillende verwerkingen bepaald te worden.
- Bewaren > het opslaan van het archief in het depot. Dit is de basis-verwerking: mogen het archief/archiefbestand überhaupt bewaard worden? Zo niet, dan komen we aan andere verwerkingen niet toe. Bij het voorkomen van bijzonder persoonsgegevens in het archief is hier al sprake van.

• ontsluiten > bijv. maken van een inventaris van een archief

• beschikbaar stellen > voor onderzoek door interne of externe onderzoekers

• onderzoek doen > zelf onderzoek doen

• dupliceren > bijv. digitaliseren voor behoud of onderzoek

• publiceren > denk aan de eigen bladen die we op internet hebben staan, zoals de personeelsbladen. Of een toegangslijst van een archief waarin de naam van een persoon in een dossieromschrijving staat; maar ook een artikel over een lokale bank (namen van personeel of bestuurders).

3. Wat is het doel van de verwerking?

Het doel waarvoor de persoonsgegevens in eerste instantie verzameld zijn, de commerciële activiteiten van de bank, is grotendeels vervallen bij de overgang naar het historisch archief. In een enkel geval worden (digitale) bestanden overgedragen die lang bewaard moeten blijven en persoonsgegevens bevatten. Het doel van de verwerking door de afdeling Bedrijfshistorie is ten eerste historisch onderzoek naar de geschiedenis van de organisatie, ten tweede het mogelijk maken van historisch onderzoek door derden en ten derde het versterken van de corporate identity en corporate image door uitingen waarin elementen uit de geschiedenis voorkomen.

4. Wat is de grondslag voor de verwerkingen?

Daar waar persoonsgegevens in archiefstukken voorkomen zal de verwerking ervan getoetst moeten worden aan verwerkingsgronden van de AVG.
Wanneer gekeken wordt naar deze verwerkingsgronden zoals opgesomd in art. 6 AVG, zien we dat die onder lid 1 a) t/m e) meestal al vervallen zijn op het moment dat bestanden in het historisch archief terecht komen. Dan blijft de grondslag van f) nog over: de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde. Dus is de vraag: heeft de Rabobank een gerechtvaardigd belang bij de onder 2 voorgestelde verwerkingen?
De Rabobank profileert zich als een in veel opzichten andere bank. Dit vertaalt zich in de missie en doelstellingen van de bank. Dat ‘anders zijn’ heeft een historische achtergrond. De afdeling Bedrijfshistorie versterkt en onderbouwt deze interne en externe profilering door het bijeenbrengen, beheren en (doen) uitdragen van het historisch erfgoed van de Rabobank Groep, dat zijn de huidige bank, de voorgangers en de dochterondernemingen. De bank heeft er dus belang bij dat ze beschikt over een rijk archief met een goed functionerend beheer. Ze kan deze bronnen inzetten voor historisch onderzoek en de versterking van haar corporate identity en corporate image.
Bij elke verwerkingsactiviteit zal gekeken moeten worden of deze een bijdrage levert aan de functies van het historisch archief en het genoemde belang van de Rabobank om als rechtmatige verwerking te gelden.

5. Als er geen rechtvaardigingsgrond is voor de verwerking, wat dan?

Dan mogen deze verwerkingsactiviteiten niet plaatsvinden. Als er geen grond is om de gegevens zelfs maar te bewaren, betekent dit dat de gegevens verwijderd zullen moeten worden. Dit houdt in dat delen van een archief vernietigd moeten worden.
Overbrenging naar een archiefbewaarplaats in de zin van de Archiefwet zou daarnaast een alternatief kunnen zijn. De uitzondering in de AVG ten behoeve van ‘archivering in het algemeen belang’ is dan wel toepasbaar.

6. Vastleggen van de bevindingen– opnemen in het ‘register van verwerkingsactiviteiten’

Bij het Data Management Office (DMO, een afdeling binnen Rabobank) wordt het verwerkingsregister conform art. 30 AVG bijgehouden. Wanneer er sprake is van verwerkingsactiviteiten worden deze door DMO getoetst en vastgelegd. De bedrijfsarchivaris zal in geval van verwerking in de zin van de AVG, deze aan de collega’s dienen door te geven en met hen af te stemmen over de op te nemen gegevens.

Archief van een lokale bank

De Rabobank Groep bestond tot voor kort uit een groot aantal lokale (coöperatieve) banken die zelfstandige rechtspersonen waren en een overkoepelende organisatie (Rabobank Nederland). In het midden van de vorige eeuw was er in bijna elk dorp in Nederland wel een boerenleenbank of een Raiffeisenbank. Op het hoogtepunt waren er zelfs meer dan 1300. Door schaalvergroting en fusies nam het aantal af tot 106 eind 2015. Toen fuseerden de lokale Rabobanken met Rabobank Nederland; nu is er nog maar één rechtspersoon. De lokale banken zijn nog wel als zodanig werkzaam.
Hoe het coöperatieve landbouwkrediet zich ontwikkeld heeft van deze kleine plaatselijke bankjes en twee landelijke organisaties tot de Rabobank van nu, is het aandachtsgebied van de afdeling Bedrijfshistorie. Vandaar dat er archief van een aantal lokale banken bewaard wordt en archief van de centrale organisatie en van diverse dochterondernemingen.

Toepassing van het stappenplan op het concrete geval, het archief van een lokale bank

1. Is de AVG van toepassing?

Het historisch archief van een lokale bank bevat veel persoonsgegevens die uit transacties met particuliere klanten (natuurlijke personen) en bedrijven (waarvoor natuurlijke personen de relatie van de bank zijn) voorkomen en als werkgever. Maar vindt er verwerking van persoonsgegevens plaats in de zin van de AVG? Het betreft over het algemeen een papieren archief. Het vereiste van de geautomatiseerde verwerking van persoonsgegevens is daardoor niet van toepassing als we spreken over de bewaring. Bij het maken van een (digitale) inventaris en mogelijk digitaliseren zal het anders worden. In het papieren archief komen o.m. ledenregisters voor. Deze zijn te beschouwen als bestanden in de zin van art. 2 lid 1 AVG. Van bijzonder persoonsgegevens is geen sprake in het historisch archief. Gegevens over religie, seksuele voorkeur, etniciteit e.d. worden niet als zodanig vastgelegd en zeker niet in bestanden die aangemerkt worden als historisch.

2. Welke verwerkingen vinden er plaats?

De archieven van lokale banken worden bewaard en geïnventariseerd.

• bewaren > het bankarchief wordt bewaard in het depot van de afd. Bedrijfshistorie

• ontsluiten > door middel van een digitale inventaris worden de archieven ontsloten

• beschikbaar stellen > interne of externe onderzoekers mogen onderzoek doen wanneer zij een verklaring van onderzoek hebben getekend

• onderzoek doen > de bedrijfshistoricus doet onderzoek in de archieven.

• dupliceren > digitalisering van de archieven van lokale banken is niet aan de orde

• publiceren > de bedrijfshistoricus heeft een artikel over de geschiedenis van banken in een bepaalde regio gepubliceerd. Dat lokale historisch-geïnteresseerden dit ook kunnen doen ligt voor de hand.

Bij het op zich bewaren van het papieren archief is de AVG nauwelijks van toepassing (afgezien van de voorkomende bestanden – een klein deel). Met name bij het digitaal inventariseren en publiceren kan er sprake zijn van een verwerkingsactiviteit waarbij met de AVG rekening gehouden dient te worden. Daarbij kan gekozen worden voor dataminimalisatie. Er worden bestanden met persoonsgegevens geselecteerd en vernietigd omdat ze niet noodzakelijk zijn voor de kennis van de geschiedenis van de organisatie. Bij het ontsluiten, beschikbaar stellen en publiceren worden niet noodzakelijke persoonsgegevens achterwege gelaten. Bijv. bij de beschrijving van archiefstukken zal de functie van een bestuurder of personeelslid (kassier, directeur) volstaan.

3. Wat is het doel van de verwerking?

Het uiteindelijke doel is het vergroten van de kennis van de geschiedenis van de organisatie, zowel lokaal als de landelijk d.m.v. onderzoek en kennisdeling.

4. Wat is de grondslag voor de verwerkingen?

De Rabobank heeft een gerechtvaardigd belang wanneer zij haar positie en organisatie wil versterken door middel van onderzoek naar haar geschiedenis en dit wil delen met interne en externe partijen. Die geschiedenis kenmerkt zich door de lokale worteling in een plaatselijke coöperatieve bank, de ontwikkeling van de organisatie (groei, differentiatie, internationalisatie), de relatie lokaal-centraal, enz. De geschiedenis van lokale banken vormt daar dus een wezenlijk onderdeel van. Het bewaren, beheer en anderszins verwerken van de bronnen, waarin mogelijk persoonsgegevens voorkomen en waarop de AVG betrekking heeft, is dan te zien als verwerking die noodzakelijk is voor het gerechtvaardigd belang van de organisatie.

5. Als er geen rechtvaardigingsgrond is voor de verwerking, wat dan?

Tijdens de inventarisatie zal kritisch gekeken moeten worden naar de aanwezigheid van bestanden die persoonsgegevens bevatten en waarop de AVG van toepassing is. Zijn ze nodig voor de kennis van de geschiedenis van de organisatie? Zo niet dan is bewaren niet nodig. Bij de digitale verwerking in een inventaris of een publicatie moet bekeken worden of het gebruik van persoonsgegevens inderdaad nodig is of dat meer neutrale of geanonimiseerde verwerking ook mogelijk is.
De lokale bank heeft vooral binding met de gemeente of regio waar ze haar werkgebied heeft. Overbrenging van een bankarchief naar een lokale of regionale bewaarplaats is de meest logische oplossing, mocht het ervan komen.

6. Vastleggen van de bevindingen– opnemen in het ‘register van verwerkingsactiviteiten’.

De afdeling Bedrijfshistorie beheert archieven van organisatieonderdelen, bestuurlijke gremia en van lokale banken. Daarbij komen steeds dezelfde typen verwerkingsactiviteiten voor. Het beste is om in het verwerkingsregister de activiteiten te beschrijven en daarbij eventueel bijzondere aandachtspunten voor bepaalde archieven op te nemen.

Conclusie

Het bewaren van historische archieven van lokale Rabobanken bij de afdeling Bedrijfshistorie is goed mogelijk, ook onder het regime van de AVG. De vorm waarin dat nu gebeurt, zijnde papier, blijkt daarbij een belangrijke factor te zijn. Papieren archief niet in de vorm van bestanden valt niet onder het bereik van de AVG. De meeste stukken waarin persoonsgegevens voorkomen bij lokale banken zijn geen op personen gestructureerde bestanden. Mochten in de toekomst digitale archieven van lokale banken bij de afdeling Bedrijfshistorie bewaard gaan worden dan is er sprake van een nieuwe situatie.

Voor bestanden die wel onder het bereik van de AVG vallen geldt als rechtvaardigingsgrond voor de verwerking de behartiging van de gerechtvaardigde belangen van de Rabobank. De bedrijfsgeschiedenis maakt integraal deel uit van wie/wat de Rabobank is. Versterking van identiteit en imago is een gerechtvaardigd belang van elke organisatie.
Bij verwerking in de zin van inventarisatie en publicatie is in veel gevallen dataminimalisatie goed toe te passen.

Noten

[1] Tot voor kort waren de lokale banken zelfstandige rechtspersonen die zelf verantwoordelijk waren voor het archiefbeheer, incl. het historisch archief. In het kader van de schaalvergroting van de lokale banken, de verschuiving (centralisatie) van taken en ander ontwikkelingen is besloten om de archieven van een aantal banken veilig te stellen door ze bij de afdeling Bedrijfshistorie onder te brengen.