Verslag van de AVG-studiemiddag 2019: een jaar later

Op 3 juli 2019, ruim een jaar nadat de nieuwe AVG in werking is getreden, organiseerde DEN een studiemiddag over de stand van zaken. Ook nu bleek dat er nog veel vragen zijn, maar gelukkig zijn er ondertussen ook case studies.

Erik Kraai, privacyfunctionaris bij het Nationaal Archief, opende de studiemiddag. Hij vatte eerst de bijeenkomst van vorig jaar kort samen en herhaalde de conclusies die we destijds trokken. Vervolgens loodste hij ons door een aantal screenshots van nieuwsberichten. Zijn dit de eerste zichtbare gevolgen van de AVG?

Een bericht over een postkantoor dat prullenbakken weghaalt, omdat medewerkers bang zijn dat ze de verantwoordelijkheid dragen voor de persoonsgegevens op weggegooide enveloppen. Een apotheek die nieuwe richtlijnen uitzet voor het inleveren van oude medicijnen waar nog naamstickers op zitten. Wat blijkt: dit zijn niet de gevolgen van de AVG, maar van de verwarring hierover bij de mensen zelf, vooral over de vraag wanneer je als verwerker van persoonsgegevens optreedt. Het stof dat AVG heet is dus nog niet neergedaald.

© European Data Protection Board

Nederlandse praktijk

Clementine Bevers en Martine Brons, juridisch adviseurs bij de Koninklijke Bibliotheek, bespreken het afgelopen jaar van de AVG in cijfers en in de praktijk. Nederland blijkt goed op de hoogte te zijn van de AVG. Van de 144 duizend klachten die op Europees niveau zijn geregistreerd, kwam 20% van de Autoriteit Persoonsgegevens. Ook 25% van de meldingen omtrent datalekken kwam uit Nederland. Goed vertegenwoordigd, dus. Maar de wetgeving in Nederland is ook goed geïmplementeerd. Landen als Griekenland, Slovenië en Portugal hebben bijvoorbeeld nog geen nationale uitwerking van de Europese richtlijnen.

Voordelen vs. risico’s

De implementatie van de AVG, zo stelt Clementine, heeft een internationale standaard gezet over hoe we om moeten gaan met persoonsgegevens. Meer mensen maken nu gebruik van hun rechten, bijvoorbeeld via mydatadoneright.eu. Europese toezichthouders delen boetes uit aan grote bedrijven en werken daarin samen. In Nederland trad de Autoriteit Persoonsgegevens op tegen het gebruik van BSN-nummers in btw-nummers van ZZP’ers, tegen cookie walls en tegen Uber.

Maar er zijn ook risico’s verbonden aan hoe de implementatie van de AVG nu wordt opgepakt. De waarde van ‘toestemming’ is aan inflatie onderhevig. Je gaat nu met van alles akkoord zonder dat je de complete voorwaarden leest. Daarnaast worden rechten en plichten teruggebracht tot soms te simpele checklists. Verder floreert momenteel de online flitshandel in gepersonaliseerde advertenties, die eigenlijk lijnrecht ingaat tegen alles waar de AVG voor is ingevoerd. Daarnaast is het implementeren van de AVG vooral bij MKB’ers een te groot, duur en complex project om zelf uit te kunnen voeren. Er zijn dus nog genoeg aandachtspunten voor de toekomst.

Recht op bescherming vs. vrijheid van meningsuiting

Bij de diensten die de KB biedt, speelt vaak het debat van privacy tegenover de vrijheid van meningsuiting. Iemand kan een verzoek indienen tot verwijdering van zijn persoonsgegevens, terwijl diegene nog wel gebruik wil maken van sommige diensten. Daarnaast zou je een persoonlijke selectie van e-books op het digitale boekenplankje van een lezer al als persoonsgegevens kunnen aanmerken; het zou herleidbaar kunnen zijn naar iemands psychologische of etnische identiteit. Waar trek je dan de grens?

Artikel 85, lid 2 stelt dat er een uitzondering mag worden vastgesteld om deze twee belangen in overeenstemming te brengen. Nederland heeft daarom een uitzondering voor journalistieke doeleinden of voor doeleinden ten behoeve van academische, artistieke of literaire uitdrukkingsvormen. Specifiek staat daar ook de KB in benoemd. Met deze grondslag kan de KB dus bijvoorbeeld verwijderverzoeken van namen in gedigitaliseerde krantenartikelen weigeren; dit valt onder de journalistieke uitzondering of de academische uitzondering voor onderzoeksdoeleinden. Dit zal voor andere organisaties soms lastiger aan te tonen zijn. Bedenk goed of het doel van je verwerking van persoonsgegevens onder één van deze uitzonderingen zou kunnen vallen.

Archiveren rijkswebsites: het moet, maar mag het?

Florence Limburg van de Inspectie Overheidsinformatie en Erfgoed houdt zich bezig met toezicht op de naleving van de Archiefwet en de Erfgoedwet. Zij vertelt over het archiveren van rijkswebsites met persoonsgegevens. Op basis van de archiefwet zijn rijksinstellingen daartoe verplicht, maar mag het nog van de AVG? Daarvoor is het volgende stappenplan opgesteld:

      1. Stel vast dat het gaat om persoonsgegevens die vallen onder AVG. Dat wil zeggen dat het gaat om zowel directe als indirecte herleidbaarheid naar een levende persoon, maar bedrijfsgegevens vallen hier bijvoorbeeld niet onder.
      2. Zijn de gegevens rechtmatig verzameld? Volgens de AVG heb je een geldige grondslag nodig om de gegevens te verzamelen en verwerken, zoals een wettelijke taak of wanneer je toestemming hebt. Een handige checklist hierbij vind je in De AVG in een notendop (pdf).
      3. Online publiceren of niet? Weeg de privacybelangen af tegen het belang van publicatie. Vraag toestemming waar dat kan (en sowieso als je geen andere grondslag hebt). Bepaal ook hoe lang het online komt te staan. Daarnaast geldt dat je in principe nooit bijzondere persoonsgegevens online mag zetten. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands religie of seksuele voorkeur.
      4. Wat te bewaren? Hierbij moet je afwegen en verantwoorden hoe lang informatie wordt bewaard. Er zijn bepalingen voor archiveren in het algemeen belang. Particuliere archieven zijn niet in de uitvoeringswet opgenomen, maar er zijn ook uitzonderingen voor wetenschappelijk en historisch onderzoek of statistische doeleinden.

        Daarnaast is er het recht op vergetelheid: het privacybelang moet afgewogen worden tegen het belang van complete archieven. Het is lastig om van tevoren te bepalen hoe gegevens later kunnen bijdragen aan onderzoek, dus het liefst wil je een archief zo compleet mogelijk bewaren. In de toekomst kan een volledig archief van onschatbare waarde zijn.

      5. Bescherming van bewaarde gegevens. Wat toon je en hoe? Mogelijkheden om de openbaring van gegevens te beperken zijn bijvoorbeeld door gegevens te anonimiseren, pseudonimiseren of door de toegang te beperken, bijvoorbeeld door de gegevens alleen op pc’s in de leeszaal beschikbaar te maken. 

Wiki-wetenschappers

Linn Borghuis en Frank Meijer brengen namens de Stichting Academisch Erfgoed een case study in. De SAE is een samenwerkingsverband van 12 universiteiten rondom wetenschappelijke collecties. Zij willen graag een compleet overzicht van Nederlandse hoogleraren en vooraanstaande wetenschappers sinds 1575 op wikidata realiseren. Dat betekent dat er persoonsgegevens openbaar gemaakt moeten worden. Maar wil een hoogleraar wel online gezet worden? En welke gegevens dan? Of kun je zeggen: hoogleraar is een publiekelijk ambt, die gegevens zijn dus ook publiek beschikbaar?

Eerst zijn alleen gegevens van overleden hoogleraren online gezet. Voor de nog levende hoogleraren wordt een Privacy Impact Assessment uitgevoerd. Daarbij wordt bijvoorbeeld gekeken naar de impact van het publiceren van bijzondere persoonsgegevens. Er staat natuurlijk geen directe rij met religie of seksuele voorkeur, maar als iemand in de jaren ‘50 hoogleraar was bij de Radboud Universiteit, kun je concluderen dat hij waarschijnlijk katholiek was. Indirect is op die manier een aanstelling dus toch herleidbaar tot een bijzonder persoonsgegeven, namelijk religie.

De persoonsgegevens van de hoogleraren staan vaak al op de website van de universiteit, maar als het op Wikidata wordt gezet, is dat een nieuwe verwerking, waar opnieuw een verwerkingsgrond voor nodig is. En wie is dan de verwerker in het geval van wikidata? Is dat de Stichting Academisch Erfgoed, of een anonieme wikipediaan, of wikidata als rechtspersoon? En wanneer is er eigenlijk sprake van een datalek in een open, transparante database? En hoe verhoudt het feit dat die gegevens al publiek zijn op de universiteitswebsites zich tot het recht op privacy?

Deze vraagstukken, die de komende tijd geadresseerd worden in dit project, kunnen de aanzet zijn voor een discussie rondom de relatie van erfgoedinstellingen met platforms van vrije kennis. We houden het project in de gaten als interessante case study.

Gezinskaarten; belang van archief vs privacy

Marianne Loef, die ondersteunt in AVG-kwesties bij erfgoedinstellingen, brengt ook een case study in: gezinskaarten. Deze werden tussen 1920 en 1939 bijgehouden door gemeenten als onderdeel van de bevolkingsregistratie. Vanaf de jaren ’70 zijn de kaarten overgebracht naar gemeentelijke archiefbewaarplaatsen. Bij een overbrenging naar een gemeentelijk archief wordt in principe alles openbaar. De kaarten werden dan ook meteen veel gebruikt door genealogen en daarom al snel op grote schaal gemicrofilmd en later ingescand om ze beter beschikbaar te maken. Vanaf ca. 2000 zijn ze ook online beschikbaar gemaakt in een database. Hierbij is echter één groot probleem: de kaarten bevatten bijzondere persoonsgegevens, namelijk de religie.

Sinds 2001, onder de Wet Bescherming Persoonsgegevens, is het online openbaren van bijzondere persoonsgegevens al strafbaar. Er waren ook toen al uitzonderingen voor het archiveren in het algemeen belang, maar die uitzondering in de Archiefwet zegt dat de bijzondere persoonsgegevens wel mogen worden verwerkt, maar niet openbaar mogen worden gesteld.

In 2017 kwam er dan ook een klacht van iemand die zijn gezinskaart niet openbaar wilde hebben. Waterlands Archief heeft dit toen gemeld als datalek en heeft de kaarten meteen offline gehaald. Er volgde een oproep van KVAN/BRAIN aan alle gemeentelijke archieven om gezinskaarten offline te halen. Het gevolg? De helft van de archieven had de kaarten nog wel openbaar online staan, de andere helft niet meer. Er moest dus een structurelere oplossing komen. Sinds 2018 praatten de KVAN, BRAIN, Autoriteit Persoonsgegevens en het Nationaal Archief over mogelijkheden. Kon bijvoorbeeld de kolom met religie worden afgedekt? Moest er een register komen van overleden personen, zodat alleen die kaarten online konden worden gezet?

Er moest een risicoanalyse worden gemaakt: wat is de impact als de godsdienst uit je kindertijd bekend wordt? De pdf-scans van de kaarten moeten actief worden aangeklikt en kunnen dus voorlopig nog niet worden gecrawld door zoekmachines. De vindbaarheid is dus niet zo groot. Dat maakt het risico van publicatie kleiner. Aan de andere kant is er in de huidige maatschappij sprake van islamofobie en antisemitisme, wat voor een grotere impact kan zorgen.

De aanbevelingen: Op grond van de archiefwet moeten deze bronnen openbaar worden gesteld, maar er staan bijzondere persoonsgegevens in, dus de toegang moet beperkt worden. Je kunt bijvoorbeeld denken aan een dekkende privacyverklaring op de website, waarbij je de gebruiker op een button laat klikken om daarmee akkoord gaan. In zo’n verklaring zet je dan dat deze gegevens alleen gebruikt mogen worden voor wetenschappelijke doeleinden. Een andere optie is om geen gezinskaarten online te zetten van personen die minder dan 100 jaar geleden zijn geboren. De kans is aanwezig dat deze mensen, of hun kinderen die ook op de kaart staan, nog leven.  Verder kun je de kolom religie afdekken, maar dat is voor kleinere archieven waarschijnlijk een te kostbaar project. Beperken van de toegang door de kaarten alleen offline op de studiezaal beschikbaar te maken voor mensen met een getekende bezoekersverklaring zou ook een optie zijn. Waarschijnlijk zijn er meerdere van deze maatregelen nodig, geen enkele maatregel is afzonderlijk voldoende om deze kwestie af te dekken.

 

Slotsom: maak een PIA

Na al deze case studies is dus een voorzichtige conclusie te trekken; er is meer bekend over hoe de AVG moet worden geïmplementeerd, maar er spelen nog veel tegenstrijdige belangen waarbij de privacy van een persoon niet altijd de overhand heeft. Dat maakt het lastig om generieke oplossingen aan te bevelen. Het is daarom aan te raden om voor elke individuele situatie of elk project een Privacy Impact Assessment (PIA) te maken met alle betrokken partijen, dat maakt vaak veel duidelijker welke belangen er spelen en welke belangen zwaarder wegen dan andere. En, zoals Erik Kraai aan het begin van de bijeenkomst al zei: “Misschien moeten we volgend jaar nog een stand van zaken-middag organiseren. Dat is dan de derde keer, dus dan is het traditie, toch?”

Auteur: Marjet van Rietschoten

Communicatiemedewerker

Neem contact op met Marjet:


070 314 07 16
Thema's
Deel dit artikel