4. Mag ik als archiefinstelling niet-bijzondere en niet-strafrechtelijke persoonsgegevens wel altijd voor gebruik en raadpleging ter beschikking stellen en ook online plaatsen?

Nee, niet altijd. Naast bijzondere en strafrechtelijke persoonsgegevens die precies in artikelen 9 en 10 van de AVG zijn omschreven, bestaan er ook ‘gevoelige’ persoonsgegevens van nog levende personen. Deze categorie is niet in enige wet- of regelgeving exact omschreven. Het is ook geen juridisch begrip, maar valt wel onder het criterium uit artikel 15.1 van de Archiefwet: ‘eerbiediging van de persoonlijke levenssfeer’. Dat is een breder begrip dan alleen bescherming van bijzondere of strafrechtelijke persoonsgegevens, al vallen die twee categorieën er ook onder. De categorie ‘gevoelige persoonsgegevens’ komt uiteraard ook voor bij archiefinstellingen, die niet onder de Archiefwet vallen.

Gevoelige persoonsgegevens
Bij de invulling van het begrip ‘eerbiediging van de persoonlijke levenssfeer’ moet je met gezond verstand zorgvuldig afwegen, of die persoonsgegevens openbaar kunnen zijn, fysiek dan wel online.
Voorbeelden van dit type ‘gevoelige’ gegevens zijn: financiële gegevens zoals inkomensgegevens, uitkeringsgegevens, gegevens over schulden, kopieën van paspoorten en rijbewijzen, (mail)adressen, telefoonnummers, locatiegegevens, geboortedatum. Voor het BSN zie vraag 7.
Het hangt vaak van de context af, zoals ouderdom van de gegevens, vindbaarheid, mogelijke combinatie met andere gegevens, en al dan niet gemakkelijke herleidbaarheid tot een levende persoon of personen, of openbaarheid van deze gegevens nadelige gevolgen voor betrokkenen kunnen hebben en dus (tijdelijk) beperkt openbaar moeten zijn. Vraag je dus altijd af: hoe schadelijk of nadelig kan het voor iemand zijn, als deze gegevens van haar/hem nu openbaar worden?
Betrek de Functionaris Gegevensbescherming bij het beleid op dit gebied.

Tip
Het is handig om als (bestuur van een) archiefinstelling zoveel mogelijk op schrift te stellen, welke persoonsgegevens je als 'gevoelig' beschouwt en hoe je daarmee omgaat, zoals: welke termijn van beperkte openbaarstelling koppel ik aan persoonsgegeven X in de context van archief Y?

Voorbeelden:

1. Een bestand met beleidsdocumenten van een afdeling Onderwijs en Cultuur van een gemeente in pdf wordt online op de website gezet, het is niet geïndexeerd op persoonsnaam en ook niet doorzoekbaar noch voorzien van een OCR-laag. (Bijzondere) persoonsgegevens zijn in dit bestand niet eenvoudig te vinden, dit levert dus weinig privacyrisico’s op.

2. Een ledenregister van een kerk uit periode 1950-1980 is beperkt openbaar gesteld voor een periode van 75 jaar na afsluiting van het register, totdat er geen levende personen meer in kunnen in voorkomen. Dit register is op persoonsnaam doorzoekbaar, levert dus privacyrisico’s op. Totdat de 75 jaar zijn verstreken is het register wel raadpleegbaar als een verzoeker aan de voorwaarden voldoet (op basis van Archiefwet 15.3, 17.1 en/of Uitvoeringswet AVG 24)

Zie ook de website van de AP: wanneer openbaarheid beperken.