De GDPR en archiefzorg: wat is er nog mogelijk?
De GDPR biedt verregaande bescherming voor privacy en persoonsgegevens. Deze wetgeving heeft ook gevolgen voor archiefzorg. Gelukkig kan je binnen het kader van archiefzorg gebruik maken van enkele uitzonderingen.
In deze tool leer je het volgende:
- Wat zijn de algemene principes van de GDPR-wetgeving?
- Wat zijn de gevolgen van de GDPR-wetgeving voor archiefzorg?
- Van welke uitzonderingen mag je gebruik maken binnen het kader van archiefzorg?
De Algemene Verordening Gegevensbescherming (AVG), beter bekend onder de Engelse afkorting GDPR (General Data Protection Regulation), trad op 25 mei 2018 in werking. Omwille van heel wat onduidelijkheden, ging dat niet zonder slag of stoot. Wat in de hele hetze rond de nieuwe wetgeving zelden of niet de revue passeerde, was informatie met betrekking tot de repercussies voor archiefzorg. Welke gegevens mogen organisaties nog verzamelen? Welke gegevens mogen langdurig bewaard worden? En welke niet? Hoe zit het bijvoorbeeld met een archiefoverdracht? En wat met (online) ontsluiting, raadpleging en hergebruik van het archiefmateriaal?
Inhoud
De principes met betrekking tot de verwerking van persoonsgegevens
Om een antwoord te kunnen formuleren op bovenstaande vragen moeten de principes met betrekking tot de verwerking van persoonsgegevens van nabij bekeken worden. Voor we dit doen, is het raadzaam om terug te grijpen naar de definities van verwerking en persoonsgegevens.
Persoonsgegevens: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, of locatiegegevens, maar evengoed ook een online identificator of een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.”[1]
Verwerking: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.”[2]
Volgens deze definities is archiefzorg in bijna alle gevallen een verwerking van persoonsgegevens. De verordening somt na de begrippenlijst een heleboel beginselen van de verwerking van persoonsgegevens op: rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid en verantwoordingsplicht. Deze beginselen moeten gerespecteerd worden bij het verwerken van persoonsgegevens en dus ook bij de archiefzorg.
Het eerste principe stipuleert dat persoonsgegevens rechtmatig, behoorlijk en transparant verwerkt moeten worden. Van een rechtmatige verwerking wordt gesproken in zes gevallen:
- wanneer de betrokken persoon toestemming heeft gegeven;
- wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst of contract;
- in het geval van de behartiging van een gerechtvaardigd belang;
- om te voldoen aan een wettelijke verplichting;
- voor de bescherming van vitale belangen;
- voor de vervulling van een taak van algemeen belang.
De belangrijkste rechtsgronden voor de verwerking van persoonsgegevens voor kunstorganisaties zijn de toestemming van de betrokken persoon, de uitvoering van een overeenkomst of contract en het behartigen van een gerechtvaardigd belang (bijvoorbeeld het garanderen van een degelijke werking van de organisatie).[3]
Een behoorlijke verwerking houdt onder andere in dat de verwerking van de verzamelde gegevens gebeurt met respect voor de betrokken persoon en op een manier die in lijn ligt met de verwachtingen van deze persoon. Zo is het behoorlijk om bijvoorbeeld een e-mailadres uit je adressenbestand te verwerken om een nieuwsbrief te verzenden. Het is echter niet behoorlijk om andere organisaties met een gelijkaardige doelgroep dit e-mailadres te laten verwerken. Een transparante verwerking steunt vooral op een open, duidelijke en eenvoudig te begrijpen communicatie over de verwerking. De betrokken persoon moet zicht hebben op welke gegevens verzameld worden en wat er met zijn persoonsgegevens gebeurt. Dit kan bijvoorbeeld door middel van een privacyverklaring.
Een tweede belangrijk principe voor de verwerking van persoonsgegevens is dat van de doelbinding. Verwerkingen moeten steeds gebeuren volgens welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, waarvoor de betrokken persoon telkens toestemming heeft gegeven. De gegevens mogen hierna in principe niet verwerkt worden op een met die doeleinden onverenigbare wijze, tenzij een gerechtvaardigd belang aangetoond kan worden. Uit dit principe van doelbinding vloeien enkele andere principes voort. Zo is er bijvoorbeeld het principe van de minimale gegevensverwerking, dat stelt dat de verwerking beperkt moet blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij verwerkt worden. Tevens moet er sprake zijn van opslagbeperking. De gegevens mogen niet langer bewaard worden dan noodzakelijk voor de doeleinden die bij het verzamelen van de gegevens opgesomd werden.
Vervolgens zijn er ook nog de principes van de juistheid, integriteit en vertrouwelijkheid. Het beginsel van de juistheid houdt in dat de verzamelde persoonsgegevens juiste informatie moeten bevatten en dat er indien nodig wijzigingen worden doorgevoerd. In het kader hiervan hebben de betrokken personen recht op rectificatie. Het beginsel van de integriteit en vertrouwelijkheid spoort de verwerkingsverantwoordelijke aan om een goede beveiliging te voorzien en te beletten dat er ongeoorloofde of onrechtmatige verwerkingen plaatsvinden of onopzettelijke verliezen of vernietigingen van persoonsgegevens optreden. Hiertoe moeten passende technische en organisatorische maatregelen getroffen worden.
Wat met archiefzorg?
De hoger beschreven principes behartigen de belangen van de personen wiens persoonsgegevens verwerkt worden. Er zijn echter ook andere belangen in het spel, die in overeenstemming gebracht moeten worden met de bescherming van de persoonsgegevens. Zo is er onder andere het recht op informatie, het belang van wetenschappelijk en historisch onderzoek of simpelweg het vlot en efficiënt functioneren en beheren van een organisatie (waar archiefzorg een onderdeel van is).
Wie de principes leest en op een rijtje zet, kan het gevoel krijgen dat de GDPR een probleem vormt voor de archiefzorg van een organisatie. Voornamelijk de principes van doelbinding, minimale gegevensverwerking en opslagbeperking lijken te impliceren dat archivering een juridisch heikele onderneming wordt. De gecommuniceerde doeleinden van de verwerking bevatten immers zelden het langdurig bewaren van de verzamelde gegevens (wat bovendien in strijd is met de principes van minimale gegevensverwerking en opslagbeperking).
De wettekst houdt echter rekening met deze problematiek. Zo valt er te lezen dat "de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden […] niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd" wordt.[4] De GDPR verschaft de verwerkingsverantwoordelijke zo handelingsruimte op het vlak van archiefzorg. Hiermee is de kous echter niet af.
Aangezien bij vele verwerkingen van persoonsgegevens archiefzorg niet als doel gespecificeerd is, zal meestal de toestemming van de betrokken persoon ontbreken. De verwerkingsverantwoordelijke zal zich in dat geval niet kunnen beroepen op toestemming als rechtsgrond voor de verwerking. Het inroepen van een gerechtvaardigd belang als verwerkingsgrond is de meest voor de hand liggende optie. De verschillende uitzonderingen in de wettekst met betrekking tot archivering tonen aan dat de wetgever het belang van archivering inziet. Het is immers zowel voor de archiefvormende organisatie als voor de samenleving in het geheel van belang dat er goede archieven bijgehouden worden. Een samenleving zonder archieven kan haar geschiedenis niet reconstrueren. Een organisatie zonder archieven verliest zicht op haar voorgaande handelingen en verliest essentiële informatie. Een goed beheer van de dynamische archieven is ook instrumenteel voor de efficiënte werking van een organisatie. Bovendien is een goede archiefzorg belangrijk om te voldoen aan het GDPR-principe van integriteit en vertrouwelijkheid, daar het verlies van informatie en onrechtmatige verwerkingen hierdoor vermeden kunnen worden.
Verwerkingsactiviteiten in het kader van archiefzorg vormen dus een gerechtvaardigd belang. Bij een gerechtvaardigd belang is het wel noodzakelijk om steeds een afweging te maken tussen het recht op privacy enerzijds en het belang van de organisatie (en de samenleving) anderzijds.
De GDPR vermeldt bij de uitleg van het principe van de opslagbeperking eveneens dat persoonsgegevens voor langere perioden mogen worden opgeslagen “voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden” verwerkt worden.[5] Verwerkingen die hierdoor mogelijk worden, zijn onder andere langdurige en duurzame opslag, een archiefoverdracht, het ontsluiten en raadpleegbaar maken van archieven, een inventaris of andere toegang creëren, … Bij al deze verwerkingen moet de bescherming van persoonsgegevens wel actief nagestreefd worden. Artikel 89 van de GDPR, dat specifiek een uitzonderingsgrond voor archiveren in het leven roept, gaat hierop verder in en stelt dat er passende technische en organisatorische maatregelen getroffen moeten worden.
Bijkomende concepten en belangrijke artikels
Passende technische en organisatorische maatregelen
De GDPR vermeldt meerdere malen dat elke organisatie passende technische en organisatorische maatregelen moet treffen bij de verwerking van persoonsgegevens. Deze maatregelen moeten rekening houden met de stand van de techniek, de uitvoeringskosten en de aard, omvang en context van de organisatie en de verwerkingsdoeleinden. De wettekst vermeldt pseudonomisering en versleuteling als mogelijke maatregelen en stelt ook dat organisaties de betrouwbaarheid van hun verwerkingssystemen moeten garanderen, beoordelen en evalueren.
Door deze weinig concrete invulling is het aan te raden om de sectorale gedragscodes te raadplegen. In deze codes bepalen de verschillende sectoren best practices omtrent de verwerking van persoonsgegevens. Deze codes worden door representatieve groepen samengesteld en goedgekeurd door de Gegevensbeschermingsautoriteit. Het is in België nog even wachten op de uitwerking van deze sectorale gedragscodes.
Artikel 30: gegevensverwerkingsregister
Een andere belangrijke vernieuwing in de GDPR is het Gegevensverwerkingsregister (artikel 30). Organisaties worden verplicht om in dit register de verwerkingsactiviteiten te vermelden die onder hun verantwoordelijkheid plaatsvinden. Dit register bevat de gegevens van de verwerkingsverantwoordelijke, de verwerkingsdoeleinden, een beschrijving van de categorieën van betrokkenen, een beschrijving van de categorieën van persoonsgegevens en ontvangers, indien mogelijk de termijn van wissen en indien mogelijk de technische en organisatorische beveiligingsmaatregelen.
Dit register moet in schriftelijke vorm opgesteld worden, waaronder ook elektronische vorm wordt begrepen. De tekst vermeldt dat dit niet verplicht is voor organisaties die minder dan 250 personen in dienst hebben, tenzij er een risico bestaat voor de betrokken personen, de verwerking van persoonsgegevens niet incidenteel is of de verwerking betrekking heeft op bijzondere categorieën van persoonsgegevens. Aangezien ook erg standaard verwerkingen zoals personeelsadministratie of het uitsturen van een nieuwsbrief niet-incidentele verwerkingen zijn, zal quasi elke organisatie een dergelijk register moeten bijhouden.
De handelingen die je uitvoert in het kader van de archiefzorg moeten in dit register opgenomen worden. Bijvoorbeeld het overdragen van archief aan een archiefbewaarplaats valt onder het verwerken van persoonsgegevens, net zoals het ontsluiten en toegankelijk maken of ter raadpleging aanbieden van archieven. Ook het ordenen, waarderen en vernietigen van archieven valt onder het verwerken van persoonsgegevens en moet in dit register opgenomen worden.
Artikel 17: recht op vergetelheid
In het kader van de poging om individuen meer rechten en bescherming te bieden, roept de GDPR met artikel 17 het recht op vergetelheid en gegevenswissing in. Dit geeft de betrokken personen het recht om het wissen van hun persoonsgegevens aan te vragen.
Ook moeten de verwerkingsverantwoordelijken de persoonsgegevens wissen die niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt werden, waarvoor de toestemming teruggetrokken is of die op onrechtmatige wijze verwerkt werden.
Dit recht is echter niet absoluut en niet van toepassing op verwerkingen die nodig zijn voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie, noch op verwerkingen met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.
Artikel 83: Administratieve boetes
Organisaties die in hun verwerking van persoonsgegevens niet voldoen aan de eisen van de GDPR lopen het risico om beboet te worden.
De tekst verschaft meer informatie over de boetes en stelt dat ze doeltreffend, evenredig en afschrikkend moeten zijn en rekening moeten houden met de aard, de ernst en de duur van de inbreuk. Ook de aard, omvang en het doel van de verwerking moeten geanalyseerd worden. Bij het bepalen van de sanctie wordt tevens gekeken of de inbreuk van opzettelijke of nalatige aard is, of er (technische en organisatorische) maatregelen genomen zijn om schade te beperken en of er sprake is van eerdere relevante inbreuken. Ook kijkt men naar de inspanningen die geleverd zijn om de inbreuk te verhelpen en in hoeverre er sprake was van samenwerking met de toezichthoudende autoriteit. Ten slotte zijn ook eventuele financiële winsten een factor bij de sanctiebepaling.
Toenmalig staatssecretaris voor Privacy Philippe De Backer stelde reeds dat het niet de bedoeling is om een heksenjacht te gaan organiseren. Dit betekent echter zeker niet dat overtredingen geen gevolgen kunnen hebben. De rechtspraak zal in de nabije toekomst uitwijzen wat de concrete toepassing van het sanctiesysteem zal zijn.
Artikel 85: verwerking en vrijheid van meningsuiting en informatie
Artikel 85 is een zeer belangrijk artikel voor kunstenorganisaties. Hierin wordt namelijk vastgelegd dat het recht op gegevensbescherming in overeenstemming gebracht moet worden met het recht op vrijheid van meningsuiting en van informatie. Hieronder vallen ook de artistieke uitdrukkingsvormen. In het kader van deze overeenstemming kunnen enkele uitzonderingen vastgesteld worden door de verschillende lidstaten. In België is dit nog niet gebeurd. Hier komt hopelijk zo snel mogelijk verandering in, zodat ook hier de nodige duidelijkheid en bewegingsruimte vastgelegd wordt.
Auteurs: Jens Bertels (AMVB) en Bart Magnus (Meemoo)
- ↑ Art. 4§1, Algemene Verordening Gegevensbescherming, Publicatieblad van de Europese Unie, 4 mei 2016.
- ↑ Art. 4§2, Algemene Verordening Gegevensbescherming, Publicatieblad van de Europese Unie, 4 mei 2016.
- ↑ Meer informatie over toestemming en het gerechtvaardigd belang als rechtsgrond voor een verwerking vindt u hier.
- ↑ Art. 5§1 sub b, Algemene Verordening Gegevensbescherming, Publicatieblad van de Europese Unie, 4 mei 2016.
- ↑ Art. 5§1 sub e, Algemene Verordening Gegevensbescherming, Publicatieblad van de Europese Unie, 4 mei 2016.