Uitkomst overleg met de Autoriteit Persoonsgegevens, over gezinskaarten en meer

  • feb 2019
  • Marianne Loef
  • ·
  • Aangepast 28 jun
  • 1
  • 3
  • 198
Marianne Loef
Informatierecht
  • Anastassia Adriaanse
  • Bob Coret

Elke instelling die archieven beheert is zelf verantwoordelijk voor de bescherming van persoonsgegevens in die archieven conform de AVG. Bij twijfel zoals in de casus 'gezinskaarten' moet de instelling een risicoanalyse maken. Daarbij wordt bekeken welke risico's de betrokken personen - en in sommige gevallen ook hun nabestaanden - lopen bij het openbaar maken van persoonsgegevens in zo'n archief. Vervolgens moeten de maatregelen worden genomen waarmee die risico's teniet kunnen worden gedaan.
Dit antwoordde de Autoriteit op de vraag vanuit het archiefwezen, welke 'passende maatregelen' genomen moeten worden in deze casus, om de persoonsgegevens te beschermen.
De Autoriteit stelde ook, dat het feit dat persoonsgegevens al lange tijd online staan, op zichzelf geen rechtvaardigingsgrond is om onjuiste online publicatie - want niet conform de AVG - in stand te houden.

Verslag gesprek archiefwezen met AP 17122018 def.pdf

Het gesprek met de Autoriteit verliep in een goede sfeer.
De Werkgroep AVG zal zo'n risico-analyse (Data Protection Impact Analyses of i d term van de AVG 'gegevensbeschermingseffectbeoordeling') nu voor de gezinskaarten gaan uitvoeren. Deze kan als model gaan dienen voor archiefinstellingen in Nederland, ook voor soortgelijke bestanden.
Het volledige verslag van het overleg gaat hierbij en is ook te lezen via Bestanden - Werkgroep AVG bij deze groep. Daar staan ook de vragen die het archiefwezen aan de AP had gesteld, het document Passende waarborgen.

Reacties

3 reacties, meest recent: 6 februari 2019
  • De inhoud van het verslag roept bij mij diverse vragen op.

    "Bij dit alles speelt de digitalisering (en het online plaatsen) van archieven duidelijk een grote rol."

    Waarom speelt digitalisering een rol bij het bepalen van de toepasbaarheid van de AVG op bronnen? Hoe verhoudt zich de openbaarheid tot de AVG? Het lijkt er op de AVG een schaduw werpt over openbare bronnen waardoor deze beperkt openbaar worden? Mag ik als onderzoeker de gezinskaart, inclusief mogelijk gegevens van levende personen en hun geloof, wel of niet inzien?

    "Maar wat is nu redelijk en acceptabel met betrekking tot het online publiceren van de gezinskaarten?"

    En nogmaals, is online publiceren en het hebben van een collectie gezinskaarten niet beide een verwerking van mogelijke persoonsgegevens? Of werkt de AVG zo dat de privacy risico's anders worden ingeschat in de studiezaal, in familieboekvorm, wetenschappelijk onderzoek of virtuele studiezaal of open data?

    "Maar ook de verwerkingsverantwoordelijken hebben een eigen verantwoordelijkheid, taak en opdracht."

    Kan het dan zo zijn dat archiefinstellingen die willen dat de gezinskaarten-data wordt hergebruikt deze kunnen aanbieden als er een verwerkingsovereenkomst door de hergebruiker wordt ondertekend (waarin passende maatregelen conform AVG e.d. worden afgesproken)?

    "Ook de belangen van nabestaanden van overleden personen op de gezinskaarten zou moeten worden meegenomen in de afweging van risico’s bij het online publiceren van de gezinskaarten."
    "Voor een levensverzekeraar kan de leeftijd bij overlijden bijvoorbeeld belangrijk zijn voor het vaststellen van de premies. Hoe oud mensen binnen een bepaalde familie worden zou dan ook voor nabestaanden gevolgen kunnen hebben. Deze en andere mogelijke risico’s zou je in kaart moeten brengen voordat je overgaat tot online publiceren. Pas daarna kun je bepalen met welke maatregelen je deze geconstateerde risico’s zou kunnen wegnemen. Bijvoorbeeld door web-scrapende robots niet meer toe te laten op je website of door het gebruik van wachtwoorden."

    Dit is een hele enge uitspraak van de AP, één die voor archieven een zeer grote impact kan hebben, zelfs de doodsteek voor genealogisch onderzoek kan betekenen! Of overdrijf ik nu?

    Bob Coret
  • Beste Bob,

    De doodsteek voor genealogisch onderzoek zal het niet zijn. Wel zullen er mogelijk wat maatregelen worden ingebouwd, die het risico voor de privacy verminderen of uitbannen en waardoor archieven toch ingezien kunnen (blijven) worden.
    In de komende risico-analyse zullen we gewetensvol de risico's voor de privacy van de personen op de gezinskaarten in kaart brengen. De AP heeft gelijk, dat in de praktijk bijvoorbeeld verzekeraars hun tarieven kunnen aanpassen en dat in praktijk ook doen als zij zien, dat er veel sterfgevallen op jonge leeftijd in een familie voorkomen. En wanneer die gegevens online beschikbaar zijn, is dat vele malen beter na te gaan dan wanneer zij alleen op een studiezaal zijn in te zien. In die zin is het risico voor de privacy inderdaad online ook vele malen groter dan offline, zoals ook de vele privacykwesties rond Facebook en Google laten zien.
    Er zal echt een nieuwe afweging van belangen moeten worden gemaakt, die nooit gemaakt is bij invoering van de vorige privacywet, de Wbp. Het belang van genealogen en andere onderzoekers is ook groot en dat wordt in de AVG als 'archivering in het algemeen belang' ook erkend, meer dan in de Wbp! Tegenover het risico van inbreuk op de privacy moeten dan volgens de AVG 'passende maatregelen' worden genomen om een archief toch beschikbaar te stellen. In het geval van de gezinskaarten hebben we al een aantal van die maatregelen beschreven: afdekken van de bijzondere persoonsgegevens, toegang via inloggegevens, en een Register van Overledenen. Zie onderstaand bestand.
    Hopelijk zijn je vragen hiermee enigszins beantwoord?
    Onze komende risico-analyse en een aantal casussen, waarbij het belang van de onderzoeker en het privacybelang goed tegen elkaar worden afgewogen, worden op deze plek binnenkort gepubliceerd.

    Passende waarborgen vragen aan Autoriteit Persoonsgegevens eindversie.pdf
    Marianne Loef

Trefwoorden