Verslag AVG studiemiddag 18 april

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. In april verzorgde DEN daarom een platform voor verschillende partijen om de implementatie van de AVG bij erfgoedinstellingen toe te lichten.

Privacy

Wendy Hofmans-Watson, jurist bij het Ministerie van Onderwijs, Cultuur en Wetenschappen, trapt af met een introductie op het thema. Want wat is eigenlijk privacy? Een luier geeft met een draadloze sensor door of een verschoning nodig is. Winkels gebruiken Wi-Fi tracking. In steden als Rotterdam is continu cameratoezicht. Waar leg je de grens?

De Europese privacyverordening gaat over de 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens van Europese staatsburgers en betreffende het vrije verkeer van die gegevens'. Maar eigenlijk is de AVG niets nieuws. Behalve dat de AVG al sinds mei 2016 in werking is getreden, bestond er ook vóór die tijd al een wet die grotendeels dezelfde strekking had: de Wet Bescherming Persoonsgegevens (WBP). Ook onder deze wet moest er al een duidelijk doel zijn en een duidelijke grondslag voor de verwerking van persoonsgegevens. Bewaren mocht niet langer dan nodig is en de gegevens moesten ook al beveiligd worden.

Wat verandert er dan wel? De definitie van wat persoonsgegevens zijn is verruimd. Ook biometrische en genetische gegevens vallen hier nu onder. Daarnaast heeft eenieder nu een duidelijker recht op vergetelheid; je mag als burger een verzoek tot verwijdering van je gegevens indienen bij een instelling die jouw persoonsgegevens heeft verwerkt. In de praktijk zitten er nog wat haken en ogen aan zo’n verzoek. Als het bijvoorbeeld een internationaal bedrijf betreft, moeten je gegevens dan wereldwijd worden verwijderd? Verder is er nu een meldplicht voor datalekken en is een documentatie- en verwerkingsregister verplicht voor bedrijven die persoonsgegevens verwerken. Ook een Privacy Impact Assessment (PIA) en een Functionaris Gegevensbescherming (FG) zijn verplicht.

Ja of nee? Bekijk deze vragen, klik op de vraag voor het juiste antwoord:
Stel: je meldt je morgen bij het Nationaal Archief met het verzoek om inzage in al jouw persoonsgegevens. Kan dat?

Nee, dat kan niet. Voor het NA geldt een beperking van het recht op inzage, omdat dit archief zo ontzettend veel gegevens bevat. Je verzoek mag niet ongericht zijn en moet redelijk zijn. Deze beperking geldt voor archivering in het algemeen belang. 

Stel: je arts vraagt éénmalig toestemming voor het gebruik van je gegevens, voor (toekomstig en nog onduidelijk) onderzoek. Kan dat?

Ja, dat mag. Ook voor verwerking van gegevens voor wetenschappelijk onderzoek geldt een uitzondering. Je weet immers van tevoren niet altijd of bepaalde gegevens later voor wetenschappelijk onderzoek relevant kunnen zijn.

Stel: de minister geeft een media-interview, maar weigert uitzending omdat hij/zij toch niet zo goed uit de verf kwam. Kan dat?

Nee, dat kan niet. Voor journalistieke of statistische doeleinden geldt ook een uitzondering op de AVG. Eenmaal gegeven toestemming mag niet zomaar worden ingetrokken.

Archiveren in het algemeen belang

Erik Kraai, jurist bij het Nationaal Archief, spreekt over de implementatie van AVG binnen archiefinstellingen. Hij begint met een interessante stelling om het algemeen belang van archiveren aan te geven. Want als je je gegevens zou laten verwijderen uit een archief, doe je dan niet aan geschiedvervalsing? 

In de nieuwe AVG-richtlijnen is specifiekere aandacht voor de archiefsector. Archiefinstellingen hebben nu een uitzonderingspositie op basis van de grondslag ‘algemeen belang’. Zo geldt de ‘niet langer dan nodig’-richtlijn niet voor het bewaren van gegevens in een archief.

Het is belangrijk om als archief te bepalen of je een rol als verwerkingsverantwoordelijke hebt of dat je enkel een verwerker bent. Voor een gemeentearchief bijvoorbeeld geldt waarschijnlijk dat de verwerkingsverantwoordelijke partij het college van B&W is. Ga dus goed na welke rol je inneemt en welke verantwoordelijkheden daarbij horen.

 

Wettelijke grondslag

Daarnaast is het zaak om goed te letten op de gegevens die je verwerkt. Voor reeds overleden personen is de AVG niet meer van kracht, maar voor levende personen is het belangrijk om te kijken welke gegevens je verwerkt. Bijzondere persoonsgegevens zoals ras, politieke of seksuele voorkeur of godsdienst mag je namelijk niet zonder wettelijke grondslag verwerken. Je kunt deze gegevens als archief wel overgedragen krijgen. Je mag deze gegevens dan wel beheren, maar niet online publiceren.

Voor het digitaliseren van archieven is namelijk ook een duidelijke grondslag nodig. Het digitaliseren en daarmee preserveren van kwetsbare materialen kan bijvoorbeeld een noodzaak of wettelijke verplichting zijn. Wanneer je de gedigitaliseerde materialen echter online beschikbaar wil maken, ligt dat anders. Daar is immers geen wettelijke noodzaak voor. Kijk dan goed naar de mogelijkheden die andere wetten je als archiefinstelling mogelijk kunnen bieden.

Wanneer je als archief verzoeken van onderzoekers krijgt om archiefbescheiden met bijzondere persoonsgegevens te raadplegen, zul je deze verzoeken individueel moeten beoordelen aan de hand van een aantal criteria. Dat vergt een actieve toetsing.

 

Conclusies:

  • Bepaal je rol: verwerker/verantwoordelijke
  • Vallen de archiefbescheiden onder de AVG?
    • Overleden personen
    • Geheel of gedeeltelijk geautomatiseerd bestand
  • Online beschikbaar stellen?
    • Openbaarheidsbeperking (dan is het antwoord ‘nee’)
    • Openbaar archief? Dan een belangenafweging. Beargumenteer het goed, documenteer het goed. 

 

Persoonsgegevens in particuliere archiefinstellingen

Maarten Zeinstra, adviseur auteursrecht & technologie bij Kennisland, begint zijn verhaal met enkele praktische zaken. Want wat zijn eigenlijk persoonsgegevens? Dat zijn alle gegevens die betrekking hebben op een geïdentificeerde, of identificeerbare, natuurlijke persoon. Een natuurlijke persoon is in leven. En wat is verwerking? Dat is alles wat je doet met deze gegevens.

 

De AVG kent zes grondslagen die een verwerking rechtvaardigen:
  1. Toestemming van de betrokkene
  2. Noodzakelijk voor de uitvoering van een overeenkomst
  3. Noodzakelijk om te voldoen aan wettelijke plicht
  4. Noodzakelijk om de vitale belangen te beschermen
  5. Noodzakelijk voor een taak in het algemeen belang of voor de uitoefening van openbaar gezag
  6. Noodzakelijk voor de behartiging van het gerechtvaardigde belang

Voor particuliere archieven/amateurverenigingen is er geen wettelijke plicht of taak die een grondslag op basis van algemeen belang rechtvaardigt, zoals dat wel het geval is voor het Nationaal Archief. Hierdoor blijft alleen toestemming over als mogelijke grond voor verwerking. Deze moet expliciet en aantoonbaar zijn.

Maarten heeft voor Kennisland in opdracht van het Netwerk Oorlogsbronnen het rapport ‘Bescherming persoonsgegevens uit oorlogstijd’ geschreven. Daaruit komt de volgende handige infographic, waarin duidelijk wordt wat je wel open mag publiceren (zoals persoonsgegevens van overleden personen) en wat niet (persoonsgegevens die herleidbaar zijn).

 

Maarten geeft tot slot nog enkele aanbevelingen:
  • Toestemming vragen waar mogelijk
  • Maak het zo makkelijk mogelijk om de gegevens weer offline te halen
  • Schrijf je afwegingen over de rechtvaardiging van het publiceren van persoonsgegevens op.

Dan komt er een vraag uit het publiek: is de AVG compatible met creative commons of open data, zoals op wikipedia? Het antwoord daarop is duidelijk: nee, herleidbare persoonsgegevens mogen ook niet als open data beschikbaar worden gemaakt.

 

Use case: RKDartists

Anne Marie van der Torren, directiesecretaris bij het RKD, vertelt als use case over RKDArtists, een openbaar raadpleegbare database met biografische gegevens van beeldend kunstenaars, kunstverzamelaars, kunsthandelaren en kunsthistorici.

Het RKD valt in de categorie rijksgesubsidieerde musea die verzelfstandigd zijn in 1993. Op grond van de Erfgoedwet is het RKD aangewezen als beheerder van een rijkscollectie. Die collectie bestaat uit archief-, beeld- en bibliotheekmateriaal en persdocumentatie van en over de kunst van de Nederlanden in internationale context.

Een van de beheerstaken van het RKD bestaat uit het bevorderen van de toegankelijkheid voor het publiek van de rijkscollectie, bijvoorbeeld door deze digitaal te ontsluiten. De database RKDARtists biedt niet alleen biografische gegevens over kunstenaars enz., maar vormt tevens een index op de rijkscollectie die door het RKD wordt beheerd. RKDArtists wordt vanaf de jaren negentig van de vorige eeuw met al deze gegevens gevoed.

Rechtvaardigingsgronden voor de verwerking van persoonsgegevens van kunstenaars zouden gelet op het voorgaande kunnen zijn de voldoening aan een wettelijke verplichting en het noodzakelijk zijn voor de vervulling van een taak van algemeen belang. Daarnaast geldt het criterium dat de verwerking van specifieke persoonsgegevens noodzakelijk is om de met die rechtvaardigingsgronden beoogde doelen te bereiken. Er is een belang om biografische gegevens van kunstenaars te verwerken. Hiertoe behoren niet het adres of de geloofsovertuiging, maar bijvoorbeeld wel de geboortedatum – onderscheidend voor kunstenaars met dezelfde naam – en de opleiding. Het RKD vraagt zich af in hoeverre de beginselen van de AVG een rol zullen spelen. Daarbij wordt met name gedacht aan het recht op correctie, aanvulling en verwijdering van gegevens.

 

Use case: Online krantenarchieven bij de KB

Annemarie Beunen, auteursrechtjurist bij de Koninklijke Bibliotheek, vertelt over een andere use case: de online krantendatabase Delpher. Het is namelijk onmogelijk om toestemming te vragen aan alle mensen die in alle krantenartikelen voorkomen, dus hoe ga je dan om met de verzamelde persoonsgegevens? Voor het online krantenarchief van de KB, Delpher, geldt echter een aantal uitzonderingen. Allereerst is in de Wet Stelsel Openbare Bibliotheekvoorzieningen (Wsob) en in de Wet Hoger Onderwijs en Wetenschappelijk Onderzoek (WHW) bepaald dat de KB een aantal kerntaken heeft met betrekking tot het publiceren van deze online archiefmaterialen voor het algemeen belang. Met dat algemene belang kan ook nu nog één van de zes grondslagen binnen de AVG worden aangesproken.

 

Conclusies

Uit de verhalen van deze vijf sprekers kunnen enkele algemene conclusies worden gehaald. Hieronder een overzicht:

  • Krijg goed in kaart welke persoonsgegevens je als instelling verwerkt en wat je rol is in deze verwerking; ben je de verwerker of de verwerkingsverantwoordelijke?
  • Bepaal of er een wettelijke grondslag is om de gegevens te verwerken of dat er een andere uitzondering bestaat waarbinnen je instelling valt.
  • Bepaal of je de persoonsgegevens online publiceert of achter een gesloten login zet.
  • Vraag toestemming waar mogelijk
  • Maak het zo makkelijk mogelijk om de gegevens weer offline te halen
  • Schrijf je afwegingen over de rechtvaardiging van het publiceren van persoonsgegevens op, zodat je altijd kunt aantonen dat je erover hebt nagedacht en dat je de keuze voor verwerking van bepaalde gegevens bewust hebt gemaakt.

 

Meer informatie

Thema's
Deel dit artikel