Het bewaren waard: persoonsgegevens en selectielijsten. Auteur: Emanuel Tomassen, Nationaal Archief

Inleiding

In deze eindopdracht wil ik helderheid verschaffen over de relatie tussen persoonsgegevens en selectielijsten. Na een korte situatiebeschrijving wordt de kwestie uiteengezet. In de daaropvolgende analyse komen de spelers, het speelveld en de spelregels aan bod. Een conclusie rondt het geheel tenslotte af.

De context

De Nederlandse overheid heeft een directe verantwoordelijkheid voor de eigen archieven. Deze verantwoordelijkheid is in de Archiefwet 1995 vastgelegd. Zo hebben overheidsorganisaties de plicht om de daarvoor in aanmerking komende archiefbescheiden te vernietigen.[1] Vernietiging vindt plaats aan de hand van selectielijsten, waarin is bepaald welke informatie permanent bewaard moet blijven en welke na verloop van tijd vernietigd moet worden. Selectielijsten worden opgesteld en vastgesteld volgens een in wet- en regelgeving vastgelegde procedure. Overheidsorganisaties zijn op grond van artikel 5 van de Archiefwet verplicht om een selectielijst te hebben. Het team Waardering & Selectie van het Nationaal Archief begeleidt zorgdragers bij het opstellen van hun selectielijsten en zorgt voor de vaststelling en de digitale publicatie ervan.

Een spanningsveld

De kwestie spitst zich toe op de relatie tussen selectielijsten en de AVG. Er wordt vanuit de toezichthouders [2] een interpretatie van de Algemene verordening gegevensbescherming (AVG) gegeven waarin bijzondere persoonsgegevens zo snel mogelijk moeten worden vernietigd. In een conceptselectielijst werd de neerslag behorende bij een werkproces gewaardeerd op V10 jaar, met in de toelichting dat stukken met bijzondere persoonsgegevens erin eerder worden vernietigd, en wel 4 weken na het afsluiten van de zaak. Als grondslag werd de AVG genoemd. De stukken met de bijzondere persoonsgegevens waren, in de ogen van de jurist van de zorgdrager, niet meer noodzakelijk voor de verwerkelijking van de doeleinden waarvoor zij werden verwerkt en konden eerder worden vernietigd, ondanks de bewaartermijn van 10 jaar. Maar is deze redenering wel juist?
De casus wordt complexer omdat de openbaarheid van toezichtinformatie een rol speelt. Veelal zijn notulen van bestuursvergaderingen van (financiële) toezichthouders als vertrouwelijk gerubriceerd en volgens bepaalde wetgeving in beginsel niet openbaar.[3]

De notulen bevatten (bijzondere) persoonsgegevens over zowel individuele handhavingszaken als functioneringsstukken over personeelsleden. Ook deze archiefbescheiden met (bijzondere) persoonsgegevens worden door zorgdragers gewaardeerd als vernietigbaar, terwijl op grond van de nieuwe waarderingsmethodiek de notulen voor permanente bewaring in aanmerking komen. Met een beroep op de AVG zijn deze stukken vernietigbaar voor de zorgdragers. Het zijn immers – zo is de argumentatie – bijzondere persoonsgegevens en die worden nu eenmaal zo snel mogelijk vernietigd op grond van de AVG.[4] Maar klopt deze argumentatie? Wat is nu de precieze relatie tussen de AVG en selectielijsten?

De analyse

De analyse betreft het in kaart brengen van de spelers, het speelveld en tot slot de spelregels.[5]

De spelers op het veld

Wie de spelers zijn, om in sportjargon te spreken, hangt af van de opstelling. Er is bij het maken van een selectielijst sprake van een gezamenlijke verwerkingsverantwoordelijkheid.[6] De toezichthouder en het Nationaal Archief ontwikkelen samen een product, waarbij de toezichthouder de selectielijst ontwerpt en het Nationaal Archief de lijst vaststelt en publiceert.[7] Zij doen dit op grond van de juridische verplichting in artikel 5 van de Archiefwet, hetgeen is uitgewerkt in het Archiefbesluit. De betrokkenen zijn de opstellers van de ontwerpselectielijst. De verwerkers zijn de derde partijen (i.c. de systemen waarin de betrokkenen werken).
Een selectielijst is een instrument om informatie te waarderen en te selecteren. In die informatie kunnen (bijzondere) persoonsgegevens zitten. Bij het toepassen van een lijst door toezichthouders zijn ook andere spelers betrokken. Dat zijn degenen op wie toezicht wordt uitgeoefend, zowel natuurlijke personen als rechtspersonen. De AVG is alleen van toepassing op natuurlijke personen en niet op rechtspersonen.[8] Maar het is goed om in de gaten te houden dat informatie van onder toezicht gestelde rechtspersonen (bijzondere) persoonsgegevens van natuurlijke personen kán bevatten. Als bijvoorbeeld de Nederlandse Zorgautoriteit toezicht uitoefent op een zorgaanbieder, dan kunnen medische gegevens van natuurlijke personen in de in beslag genomen dossiers van die zorgaanbieder worden aangetroffen. Een toezichthouder, gevestigd in de Europese Unie, kan aangeduid worden als verwerkingsverantwoordelijke; de verantwoordelijkheid vloeit voort uit een juridische bevoegdheid.[9] De verwerkers zijn de organisaties die de gegevensverwerking voor de toezichthouders mogelijk maken.

Het drassige speelveld

In het toepassen van de selectielijst door zorgdragers worden persoonsgegevens van natuurlijke personen verzameld, vastgelegd, gestructureerd, geordend, bijgewerkt en gewijzigd, gealigneerd en gecombineerd en vernietigd. In veel gevallen zijn dit bijzondere en strafrechtelijke persoonsgegevens. De verwerking van dit soort gegevens wordt gerechtvaardigd vanuit de noodzaak om te voldoen aan een wettelijke plicht. De toezichthoudende taak van toezichthouders is immers neergelegd in (diverse) wet- en regelgeving.

De regels van het spel

De AVG bepaalt dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor ze zijn verwerkt. In de verordening worden geen concrete bewaartermijnen of vernietigingstermijnen genoemd; een bewaartermijn wordt bepaald door het begrip ‘noodzakelijk’. In het kader van archivering kent de AVG een specifieke uitzondering voor de verwerking van persoonsgegevens. In artikel 5, lid 1 onder b wordt ‘archivering in het algemeen belang’ als verenigbaar met de oorspronkelijke doeleinden beschouwd. En in artikel 5, lid 1, onder e, is bepaald dat persoonsgegevens ‘voor langere perioden [mogen] worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang (…) worden verwerkt’.[10] Maar wat wordt hier precies bedoeld met ‘archivering in het algemeen belang’? Het antwoord is te vinden in overweging 158 van de considerans. Het gaat om ‘overheidsinstanties of openbare particuliere organen die in het bezit zijn van gegevens van algemeen belang’ en die ‘wettelijk [conform unierecht of nationaal recht] verplicht zijn gegevens van blijvende waarde voor het algemeen belang te verwerven, te bewaren, te beoordelen, te ordenen, te beschrijven, mee te delen, onder de aandacht te brengen, te verspreiden en toegankelijk te maken’.[11]

De minister van Justitie en Veiligheid heeft aangegeven dat in ieder geval het archiefwezen op publiekrechtelijke grondslag hieronder begrepen moet worden zoals het Nationaal Archief, ministeries, provincies, gemeenten, waterschappen en ZBO’s.[12]

Op grond van artikel 89, derde lid, heeft de nationale wetgever ervoor gekozen om in de Uitvoeringswet AVG (UAVG) het begrip ‘archiveren in het algemeen belang’ nader in te vullen. De AVG geeft immers nog ruimte voor interpretatie van dit begrip: gaat het om verwerkingen die alleen van toepassing zijn op permanent te bewaren archieven, of moet het begrip meer geïnterpreteerd worden als archiefbeheer zodat verwerkingen bij de archiefvormers er ook onder vallen? De nationale wetgever heeft er voor gekozen om in de UAVG, artikel 45, het ‘archiveren in het algemeen belang’ te koppelen aan archiefbescheiden die berusten in een archiefbewaarplaats.[13] Onder de doelbinding valt in dit geval dus behoud van (een deel van) het Nederlandse culturele erfgoed en daarmee een in beginsel onbepaalde bewaartermijn.[14] ‘Archiveren in het algemeen belang’ geldt als uitzonderingsgrond in principe niet voor verwerkingen bij het archiefbeheer voorafgaand aan de overbrenging van archiefbescheiden naar een archiefbewaarplaats. Dan geldt immers een andere grond voor de verwerking van persoonsgegevens.[15] Er is duidelijk in de UAVG aansluiting gezocht bij het archiefwettelijke begrip archiefbewaarplaats, waarmee een ruime interpretatie van ‘archiveren in het algemeen belang’ niet bedoeld is door de nationale wetgever.[16] Daarbij moet nog worden opgemerkt dat de persoonsgegevens wel in overeenstemming met de AVG moeten zijn verwerkt. Bij een onrechtmatige verwerking in het kader van de AVG, gaat het permanent bewaren van bescheiden met persoonsgegevens niet op.[17]

Slotbeschouwing

De kwestie bevindt zich op het snijvlak van persoonsgegevens en selectielijsten. Wanneer categorieën archiefbescheiden met persoonsgegevens erin de waardering ‘permanent te bewaren’ krijgen, ligt het voor de hand om deze bescheiden na twintig jaar over te brengen naar een archiefbewaarplaats. Met een beroep op de uitzondering ‘archiveren in het algemeen belang’ mogen deze persoonsgegevens in beginsel voor onbepaalde tijd worden bewaard.[18] Het langer bewaren wordt door archivering in het algemeen belang dus niet in strijd geacht met de oorspronkelijke rechtmatige doeleinden waarvoor de persoonsgegevens zijn verzameld. Let wel: dit geldt alleen voor permanent te bewaren archiefbescheiden. Bij archiefbescheiden met persoonsgegevens die gewaardeerd worden als te vernietigen – en dus niet overgebracht worden naar een archiefbewaarplaats – kan geen beroep worden gedaan op de uitzondering archiveren in het algemeen belang in de AVG. In dit geval bepaalt een overheidsorganisatie aan de hand van een risicoanalyse de bewaartermijn van deze categorie vernietigbare archiefbescheiden. Bij de bepaling van deze termijn moeten onder andere de overwegingen en bepalingen in de AVG in acht worden genomen. Het eerder vernietigen van archiefbescheiden met persoonsgegevens dan de bewaartermijn in een selectielijst aangeeft, is in strijd met de Archiefwet en niet in lijn met de AVG.

Noten

[1] Archiefwet 1995, artikel 3.
[2] Hiermee bedoel ik in deze eindopdracht organisaties die toezicht uitoefenen op de financiële markt of de zorgmarkt, zoals De Nederlandse Bank, de Autoriteit Financiële Markten of de Nederlandse Zorgautoriteit.
[3] Een voorbeeld: de Wet marktordening gezondheidszorg (Wmg) bepaalt in artikel 5 dat vergaderingen van de zorgautoriteit niet openbaar zijn tenzij het bestuursreglement anders bepaald (waar overigens niet voor gekozen is door de wetgever/het bestuur), zie: https://wetten.overheid.nl/BWBR0020078/2018-10-01#Hoofdstuk2_Paragraaf2.1. De Memorie van Toelichting bij de Wmg geeft aan dat ‘vanwege het toezichtkarakter van de werkzaamheden de Wet openbaarheid van bestuur ook niet van toepassing is op de gegevens en inlichtingen waarover de zorgautoriteit beschikt’.
[4] Hoewel openbaarheid het geheel complexer maakt, ga ik niet specifiek in op openbaarheid(sbeperkingen). De gelimiteerde ruimte voor dit stuk laat dit niet toe. Op de achtergrond wordt het af en toe kort aangestipt.
[5] De methodiek is ontleend aan Zwenne (2018).
[6] Schermer (2018), p. 32-33. Deze term staat niet als zodanig in de AVG, maar vloeit eruit voort.
[7] Het Nationaal Archief doet dit in mandaat want de Archiefwet schrijft voor dat bij ZBO’s de minister de selectielijst vaststelt.
[8] Overweging 14 AVG stelt dat de verordening betrekking heeft op de verwerking van gegevens over natuurlijke personen en niet op rechtspersonen. Zie ook art. 1 (onderwerp AVG) en art. 4 lid 1 (definitie persoonsgegevens).
[9] Schermer (2018), p. 32.
[10] AVG, artikel 5, lid 1, onder e en artikel 89, lid 1. Er geldt hierbij wel de beperking dat er passende technische en organisatorische maatregelen moeten worden getroffen om de rechten en vrijheden van de betrokkene te beschermen.
[11] AVG, Overweging 158. Overigens merkt Ketelaar (2018a) D2-65 op dat de term ‘beoordelen’ beter vertaald had kunnen worden als ‘waarderen’. In de Engelse, Duitse en Franse vertalingen is dat namelijk wél gedaan.
[12] Brief minister V&J d.d. 5 april 2016, Kamerstukken I, 2015-2016, 33169, AF, p. 3, ontleend aan: Ketelaar (2018a), D2-65. Overigens: in 2016 heette het ministerie V&J, anno 2018 is het veranderd in J&V.
[13] UAVG, artikel 45. Zie tevens de MvT UAVG, p. 43 en de toelichting bij artikel 45, en de notitie van Schiphof (2018b).
[14] MvT Wbp, p.95-96.
[15] In de Informatiefolder AVG van het Nationaal Archief wordt op dit punt een ander, maar verdedigbaar, standpunt ingenomen. Goed archiefbeheer, en de verantwoording daarover, begint immers al bij de creatie of ontvangst van archiefbescheiden.
[16] Schiphof (2018); Ketelaar (2018a) D2-66; Ketelaar (2018b), D2-91.
[17] Kraai en Schreuder (2017) p. 30. Zij baseren zich op een uitspraak van de Raad van State (ECLI:NL:RVS:2017:2232), zie:
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RVS:2017:2232
[18] Jeurgens (2018).