De archiefdienst als verwerker. Auteur: Caroline de Hart, Streekarchief Langstraat Heusden Altena

Situatie

Het Streekarchief Langstraat Heusden Altena is een gemeenschappelijke regeling waarbij vijf gemeenten zijn aangesloten. Drie van deze gemeenten gaan per 1 januari 2019 fuseren tot één gemeente. Deze nieuwe gemeente heeft in het gemeentehuis geen archiefruimte, maar alleen een kleine ruimte voor de opslag van op termijn te vervangen documenten. De gemeenten willen daarom te vernietigen archief in de archiefbewaarplaats van het Streekarchief opslaan, tot de bewaartermijn is verstreken. Het archief wordt dan niet overgebracht, maar uitgeplaatst.

Uitgangspunt

Het streekarchief is een gemeenschappelijke regeling, en maakt geen onderdeel uit van de gemeentelijke organisatie.

Probleemstelling

1. Wanneer een gemeentearchief uitplaatst bij een archiefdienst, is de archiefdienst dan een verwerker?

2. Moet er dan een verwerkersovereenkomst afgesloten worden en zo ja, wat staat daarin?

3. Wat moet een archiefdienst regelen om als verwerker aan een gemiddelde verwerkersovereenkomst te voldoen?

Uitwerking van deze vragen geeft meteen enig inzicht in waar je als archiefdienst op moet letten bij het aangaan van een verwerkersovereenkomst als je zelf verwerkingsverantwoordelijke bent.

Uitwerking vraag 1: wanneer een gemeentearchief uitplaatst bij een archiefdienst, is de archiefdienst dan een verwerker?

Ja, de archiefdienst is verwerker. Het gaat immers om de verwerking van persoonsgegevens die in een bestand zijn opgenomen (art. 2 AVG). Het uitgeplaatste archief is een bestand omdat de gegevens gestructureerd zijn en toegankelijk. N.B. Archiefdiensten die deel uitmaken van de gemeentelijke organisatie zijn bij uitplaatsing geen verwerker, omdat zij een organisatieonderdeel zijn van de gemeente.

Uitwerking vraag 2: moet er een verwerkersovereenkomst gesloten worden en zo ja, wat staat daarin?

Aangezien de archiefdienst verwerker is moet er een verwerkersovereenkomst gesloten worden met de gemeente, die verwerkingsverantwoordelijke is (dit staat in artikel 28 lid 3 van de AVG).[1]

Waaraan een verwerkersovereenkomst moet voldoen staat in artikel 28 lid 3 van de AVG. Een eenvoudiger beschrijving hiervan is te vinden op de website van de Autoriteit Persoonsgegevens. Het volgende moet vastgelegd worden:

Algemene beschrijving

Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Vragen hierbij:

• Wat wordt bedoeld met “het soort persoonsgegevens”? Aangeven of het gaat om gegevens van gevoelige aard: bijzondere persoonsgegevens, gegevens over de financiële of economische situatie van de betrokkene, gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene, gebruikersnamen, wachtwoorden en andere inloggegevens, gegevens die misbruikt kunnen worden voor (identiteits)fraude (o.a. kopieën ID-bewijzen en BSN), gegevens over kwetsbare groepen.[2]

• Wat wordt bedoeld met “de categorieën van betrokkenen”? Betreft een algemene omschrijving van de categorieën personen waar de gegevens die verwerkt worden betrekking op hebben, zoals: personeelsleden, burgers, ingeschrevenen, vergunning aanvragers, voorziening aanvragers (cliënten).[3]

• Wat wordt bedoeld met “de rechten en verplichtingen van de verwerkingsverantwoordelijke”? Waarschijnlijk wordt hiermee hetgeen bedoeld wat verder onder artikel 28 lid 3 wordt uitgewerkt.

Instructies verwerking (AVG art. 28 lid 3 onder a)

De verwerking vindt in principe uitsluitend plaats op basis van schriftelijke instructies van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Geheimhoudingsplicht (AVG art. 28 lid 3 onder b)

Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

Beveiliging (AVG art. 28 lid 3 onder c)

De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

Subverwerkers (AVG art. 28 lid 3 onder d)

De verwerker schakelt geen subverwerker(s) in zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting de verwerkingsverantwoordelijke heeft. In de overeenkomst kan de verwerkingsverantwoordelijke ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen. Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting de verwerkingsverantwoordelijke voor het nakomen van de verplichtingen van de subverwerker (art. 28, lid 4 van de AVG).

Privacyrechten (AVG art. 28 lid 3 onder e)

De verwerker helpt de verwerkingsverantwoordelijke te voldoen aan zijn plichten als betrokkenen hun privacyrechten willen uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

Andere verplichtingen (AVG art. 28 lid 3 onder f)

De verwerker helpt de verwerkingsverantwoordelijke ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

Vraag:

• Wat is een voorafgaande raadpleging (AVG artikel 36)? Raadpleging van de Autoriteit Persoonsgegevens voordat de verwerking plaats vindt. Vooral van toepassing bij verwerkingen waarbij er een hoog risico is.

Gegevens verwijderen (AVG art. 28 lid 3 onder g)

Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan de verwerkingsverantwoordelijke terug, als deze dat wil. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

Audits (AVG art. 28 lid 3 onder h)

De verwerker werkt mee aan audits door de verwerkingsverantwoordelijke of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de verplichtingen uit artikel 28 AVG.

Uitwerking vraag 3: wat moet een archiefdienst regelen om aan een gemiddelde verwerkersovereenkomst te voldoen?

Uitgewerkt per punt uit de verwerkersovereenkomst:

Algemene beschrijving

Geen consequenties voor archiefdienst.

Instructies verwerking (AVG art. 28 lid 3 onder a)

Geen consequenties voor archiefdienst (de verwerkingsverantwoordelijke moet zorgen voor schriftelijke instructies).

Geheimhoudingsplicht (AVG art. 28 lid 3 onder b)

De medewerkers van de archiefdienst moeten een geheimhoudingsverklaring tekenen.

Beveiliging (AVG art. 28 lid 3 onder c)

Aangezien het gaat om ‘passende’ beveiliging kunnen er grote verschillen zijn voor wat betreft de consequenties die deze bepaling voor de archiefdienst heeft. Het gaat hier zowel om organisatorische als technische maatregelen. In het model voor een verwerkersovereenkomst van de IBD zit een meerdere pagina’s tellende bijlage met maatregelen die op basis van de BIG genomen kunnen worden ten aanzien van een verwerker.[4] Welke maatregelen ‘passend’ zijn zal onder andere afhankelijk zijn van of de archiefbescheiden analoog of digitaal zijn, en hoe gevoelig de gegevens zijn. Aangezien de archiefregeling aan een archiefbewaarplaats al meerdere eisen stelt om de daarin opgeslagen informatie veilig te bewaren zullen er ten aanzien van analoge informatie weinig extra maatregelen nodig zijn. Voor digitale informatie ligt dit anders.

Subverwerkers (AVG art. 28 lid 3 onder d)

De archiefdienst moet bepalen of er sprake is van subverwerkers. Bij analoog archief zal dit waarschijnlijk niet vaak een rol spelen. Bij digitaal archief is de kans groter dat de archiefdienst subverwerkers moet inschakelen om de dienst te leveren.

Privacyrechten (AVG art. 28 lid 3 onder f)

Afhankelijk van hoeveel betrokkenen van dit recht gebruik maken zou dit de archiefdienst extra werkzaamheden op kunnen leveren. Het zal waarschijnlijk niet veel extra werk opleveren, omdat de gemeente nog zelf verantwoordelijk is voor de inventaris op de archieven. De gemeente moet dus opzoeken in welke stukken de gegevens van de betrokkene te vinden zijn.

Andere verplichtingen (AVG art. 28 lid 3 onder f)

De archiefdienst moet een procedure hebben hoe om te gaan met datalekken (dat zou de archiefdienst sowieso moeten hebben). Verder moet de archiefdienst de verwerkingsverantwoordelijke ter wille zijn bij het uitvoeren van een DPIA of voorafgaande raadpleging.

Gegevens verwijderen (AVG art. 28 lid 3 onder g)

Bij analoog archief betekent dit dat het terugbezorgd moet kunnen worden aan de archiefvormer. Bij digitaal archief moeten gegevens geëxporteerd en verwijderd kunnen worden.

Audits (AVG art. 28 lid 3 onder h)

Geen consequenties voor archiefdienst (de archiefdienst moet meewerken met de audits).

Conclusie en overgebleven vragen

Wat een archiefdienst moet regelen om aan een verwerkersovereenkomst te voldoen valt bij analoog archief eigenlijk best mee. Het is vooral van belang dat de archiefdienst de verwerkingsverantwoordelijke ter wille is bij audits en verzoeken van de betrokkene. Daarnaast moeten er zaken goed geregeld zijn die op grond van de AVG sowieso al geregeld zouden moeten zijn (zoals de procedure datalekken). Over wat er ten aanzien van beveiliging beschreven moet worden in de overeenkomst is de AVG niet heel concreet. De verwerker en verwerkingsverantwoordelijke zullen er gezamenlijk uit moeten komen wat in een bepaalde situatie passende beveiliging is.

Een nog openstaande vraag is in hoeverre het opstellen van een verwerkersovereenkomst ook bij het overbrengen van archief naar een archiefbewaarplaats speelt. Bij sommige archiefdiensten gaat de zorg na overbrenging over van de gemeente naar de archiefdienst. Bij andere archiefdiensten blijft de zorg bij de gemeente. Dat artikel 28 niet is opgenomen in de uitzonderingen ten aanzien van archivering in het algemeen belang die volgens artikel 89 van de AVG gemaakt mogen worden, zou erop kunnen wijzen dat een overeenkomst toch nodig is wanneer de zorg voor het archief na overbrenging bij de gemeente blijft.

Noten

[1] Dit kan ook in een ‘andere rechtshandeling’ worden vastgelegd volgens artikel 28 lid 3 van de AVG. Op de website van de Autoriteit Persoonsgegevens is echter alleen sprake van een overeenkomst.
[2] Informatiebeveiligingsdienst voor gemeenten, Model voor een verwerkersovereenkomst versie 2.4 (september 2017) 22, https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2017/09/20170925-Model-voor-een-verwerkersovereenkomst-v2.4.pdf.
[3] Idem, 21.
[4] Idem, 24-38.