Samenhang tussen register van verwerkingen en de verplichting een 'actueel, complete en logisch samenhangend overzicht van aanwezige archiefbescheiden' te hebben. Auteur: Marianne Loef, Provincie Noord-Holland

Inleiding

Deze casus gaat over de dynamische fase van de archivering.
Gaat de verplichting uit de AVG om een register van verwerkingen bij te houden in de praktijk samen met de verplichting uit de Archiefregeling om een ‘actueel, compleet en logisch samenhangend overzicht van de aanwezige archiefbescheiden’ te hebben?[1] Stimuleert de ene verplichting de uitvoering van de andere en vice versa? Of zijn het gescheiden trajecten? Het hebben van een overzicht en register is de basis voor alle verdere beleid en maatregelen, daarom vind ik deze vraag zo belangrijk.
Vanuit het provinciale toezicht constateer ik, dat vrijwel geen enkele overheid beschikt over het complete en actuele overzicht van alle archieven/informatiebestanden zoals bedoeld in de Archiefregeling. Nu vrijwel alle overheden vanwege de urgentie van de AVG-invoering wél bezig zijn om een ‘register van verwerkingen’ aan te leggen, moet men toch de organisatie in om de verwerkingen van persoonsgegevens in kaart te brengen. Dus dan zou je veronderstellen, dat dit samen gaat.

Onderzoeksaanpak

Ik heb mijn vraag intern uitgezet bij de provincie Noord-Holland. Er is per januari 2018 een Functionaris Gegevensbescherming benoemd. Deze heb ik geïnterviewd. Ook de senior projectleider DIV en de senior beleidsmedewerker informatievoorziening van de CIO-office heb ik geïnterviewd. Uit de interviews komt het volgende beeld naar voren:
Op 25 mei was de provincie niet klaar met het aanleggen van het register van verwerkingen. De Functionaris Gegevensbescherming heeft wel begin 2018 samen met de CIO-office een risico-analyse gemaakt van de verwerkingen van gevoelige of bijzondere persoonsgegevens in de provinciale organisatie, aan de hand van de werkprocessen. Op de daaruit voortkomende meest risicovolle verwerkingen is een Privacy Impact Analyse toegepast (in termen van de AVG: een gegevensbeschermingseffectbeoordeling). Aan de hand van deze analyses zijn zo nodig maatregelen genomen zoals betere beveiliging van de bewuste verwerkingen.
Vervolgens heeft de provincie software laten bouwen om een register van verwerkingen mee aan te leggen. Daarna zijn in mei dit jaar alle sectormanagers in de organisatie aangeschreven met het verzoek om:

1. een contactpersoon voor de persoonsgegevens aan te wijzen van hun sector

2. alle verwerkingen van persoonsgegevens in te voeren in het inmiddels geleverde programma, met de kenmerken zoals vereist in artikel 30 van de AVG.

Ruim een jaar later (februari 2019) is voor het register overgestapt op nieuwe software, maar het register is nog niet compleet.

Wat betreft het aanleggen van een overzicht van alle archiefbescheiden op grond van de Archiefregeling was er in juni 2018, toen ik deze opdracht maakte, alleen een depotoverzicht van het semi-statisch archief (papier) beschikbaar. De provincie werkt sinds 2012 geheel digitaal en archiveert sinds 2017 ook geheel digitaal in een centraal DMS. Er zijn dus weinig tot geen originele papieren bestanden meer in de organisatie. Wel bestaan er vele applicaties buiten het centrale DMS, waarvan in 2016-2017 een overzicht is gemaakt. Helaas is daar niet in opgenomen welke informatie die applicaties precies bevatten, of deze informatie archiefwaardig is, wat de bewaartermijn is, etc., en is het overzicht ook niet bijgehouden. Dit overzicht kan dus noch voor het register van verwerkingen, noch voor het archievenoverzicht nuttig zijn. Het is wel duidelijk geworden. dat er vele bestandseigenaren zijn in de organisatie.
Stand van zaken in februari 2019: er is recent een overzicht van alle applicaties met archiefwaardige informatie gereed gekomen. Hiermee zijn ook alle bestanden met persoonsgegevens in beeld gekomen. Ook is er een proces ingericht, waarbij dit overzicht wordt bijgehouden en waarbij zowel de FG als de DIV in een vroeg stadium betrokken worden bij de aanschaf van nieuwe software.

Het blijft echter een moeizame kwestie om steeds ‘goed informatiebeheer’ op de agenda te houden. Het leeft alleen bij de informatiespecialisten van DIV, de CIO-office en de FG. Voor de rest van de organisatie is het iets, dat nu eenmaal moet, maar wat niet van harte gaat.

Conclusie

Het voorbeeld van de provincie Noord-Holland laat zien, dat het versnipperde beheer van en de verantwoordelijkheid voor informatiebestanden binnen (overheids)organisaties de uitvoering van wetgeving op het terrein van informatiebeheer in de weg staat, of het nu privacy-, openbaarheids- of archiefwetgeving betreft.

De wil binnen de provincie is er wel om zowel een register van verwerkingen op grond van de AVG als een archievenoverzicht op grond van de Archiefregeling aan te leggen en bij te houden. Het overzicht op grond van de Archiefregeling is gereed, maar het register van verwerkingen nog niet, dat blijken gescheiden trajecten. Bij de CIO-office, bij DIV en de FG ziet men wel in, dat beide zaken gecombineerd zouden kunnen worden en dat dit zelfs handiger en goedkoper zou zijn. Er bestaat een programmalijn Optimaal Digitaal om dit gecombineerd aan te pakken. Maar in de praktijk winnen de gebeurtenissen van alledag het van de theorie.

Mijn eigen observatie is, dat een gecombineerd register van archiefbescheiden, informatiebestanden, verwerkingen persoonsgegevens, of hoe het ook te benoemen valt, de basis is voor elk verder beheer van informatie op grond van welke wet dan ook. De huidige en toekomstige wet- en regelgeving op het gebied van informatiebeheer is en wordt steeds complexer. Aan privacywetgeving en Archiefwet- en regelgeving moet binnenkort nog de openbaarheidswetgeving en heel veel specifieke sectorale wetgeving (Omgevingswet!) worden toegevoegd. Ook het informatiebeheer is momenteel complex. We zitten in een hybride overgangssituatie waarbij in hetzelfde werkproces zowel papieren als diverse digitale bestanden worden opgemaakt en het beheer versnipperd is.

Met een wirwar aan registers en overzichten is zo’n situatie niet beheersbaar, wel met een gecombineerd of aan elkaar gelinkt overzicht. Vanuit het archiefwezen zouden we dit moeten stimuleren.

Oplossingsrichting

Gebrek aan overzicht van en inzicht in alle informatie die (overheids)organisaties beheren, is alleen op te lossen door aandacht hiervoor op het hoogste management- en/of bestuurlijke niveau. Overzicht en inzicht daarin zijn de basis voor alle verplichte beheers-, verwerkings- en openbaarheidsmaatregelen die verplicht zijn op grond van informatiewetgeving. De top van een organisatie kan een samenwerking afdwingen tussen alle spelers op dit terrein zoals de FG, de CIO, concern control, de archiefafdeling, de archivaris en het afdelingsmanagement. Op die manier kan een overzicht of een aan elkaar gelinkt geheel van overzichten van alle relevante informatie binnen de organisatie ontstaan en, heel belangrijk, ook worden bijgehouden. Dat is een voorwaarde om alle beheersmaatregelen die door diverse wetten worden voorgeschreven, te kunnen uitvoeren.

Wat leren we van deze casus?

Wanneer er bij een organisatie geen inzicht is in wat men allemaal aan informatiebestanden in welke vorm dan ook in huis heeft, kan noch de AVG, noch andere wetgeving op het terrein van informatiebeheer goed worden uitgevoerd.
Het archiefwezen zou aan het stimuleren hiervan prioriteit moeten geven, onder meer via de archiefinspectie.

Noten

[1] AVG, art. 30 en Archiefregeling art. 18.