Informatiefolder Algemene Verordening Gegevensbescherming

Transcriptie

1 Informatiefolder Algemene Verordening Gegevensbescherming

2 Goed voorbereid van start met de Algemene Verordening Gegevensbescherming Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze wet vervangt de Wet bescherming persoonsgegevens. De belangrijkste principes van de bestaande wetgeving blijven van kracht, maar de AVG zorgt voor een versterking en uitbreiding van de privacyrechten. Archiefwet 1995 De AVG heeft ook invloed op het archiefbeheer en de uitvoering van de Archiefwet Alledaagse handelingen zoals het bewaren en ter raadpleging verstrekken van dossiers met persoonsgegevens vallen onder deze nieuwe wet. Deze informatiefolder gaat in op wat de AVG voor archiefvormers betekent. Specifiek gaat het om de volgende punten: Het toepassen van de nieuwe verwerkingsgrondslag archiveren in het algemeen belang door archiefvormers.

3 Wat betekent dat voor de selectielijsten? En hoe wordt de verantwoording voor een bewaartermijn vastgelegd in de selectielijst en het SIO? Het gebruik van privacy by design en privacy by default, verplicht gesteld onder de AVG, in relatie tot de duurzame toegankelijkheid van overheidsinformatie. Hoe voorkomen we dat privacywaarborgen op de korte termijn de duurzame toegankelijkheid van de informatie op de lange termijn schaadt? Archivering in het algemeen belang Archivering in het algemeen belang is in de AVG beperkt tot overheidsinstanties of openbare of particuliere organen die wettelijk verplicht zijn om archiefbescheiden te beheren. Het uitgangspunt is dat archiefvormers archivering in het algemeen belang al toepassen tijdens het verzamelen van persoonsgegevens en dus niet alleen ná overbrenging. In het kader van Archivering in het algemeen belang is het permanent bewaren van persoonsgegevens verenigbaar met de oorspronkelijke rechtmatige doeleinden waarvoor ze zijn verzameld. De belangenafweging en motivatie tot het permanent bewaren moet zijn neerslag vinden in de selectielijst, waarover, desgevraagd, verantwoording moet kunnen worden afgelegd.

4 Van de archiefvormer wordt in dit verband verwacht dat hij bij het ontwerpen van een selectielijst gedetailleerd een verwerkingsgrondslag en motivatie kan geven waarom die specifieke gegevens als te bewaren worden gewaardeerd. De noodzaak om duidelijk te motiveren waarom persoonsgegevens permanent worden bewaard, weegt zwaar mee. Waarom zijn gegevens verzameld, waarom moeten ze zo lang bewaard blijven en wat wordt er gedaan om de privacy van betrokkenen te waarborgen? Zo staat er in de recent door het ministerie van Justitie en Veiligheid uitgegeven handleiding AVG dat bij het verzamelen van persoonsgegevens de bewaartermijn van de persoonsgegevens, of de criteria voor het bepalen ervan, verstrekt moet worden. Om daaraan te voldoen, moet de bewaartermijn van persoonsgegevens in selectielijsten beter identificeerbaar zijn dan nu het geval is. Twee aanbevelingen: Vermeld welke persoonsgegevens (zoals NAW-gegevens of medische gegevens) u bij welk proces verwerkt. Neem standaard een toelichtingsveld op waarin staat op basis van welke grondslag u de persoonsgegevens verwerkt. Een verdere verwerking met het oog op archivering in het algemeen belang, wordt als verenigbaar met de oorspronkelijke doeleinden beschouwd. Wanneer sprake is van een B-waardering kan dit in het toelichtingsveld worden opgenomen. De bewaartermijn van persoonsgegevens in selectielijsten moet beter identificeerbaar zijn dan nu het geval is.

5 Gaat u een nieuwe selectielijst opstellen of een bestaande lijst wijzigen of actualiseren? Staat u op het punt om hotspots aan te wijzen? Houd dan rekening met het volgende: Maak duidelijk welke persoonsgegevens u bij welk proces verwerkt en wat de verwerkingsgrondslag is. Bepaal na afweging van belangen een bewaartermijn bij processen waarin u persoonsgegevens verwerkt. Neem de verantwoording op in de ontwerp-selectielijst, het SIO-verslag en bij de publicatie van hotspots. De waarderingsmethodiek zoals beschreven in de handreiking Belangen in Balans kan u hierbij helpen. Gebruik het register van verwerkingsactiviteiten als bronbestand bij het opstellen of actualiseren van selectielijsten en het aanwijzen van hotspots. Betrek uw functionaris gegevensbescherming vroegtijdig bij het opstellen van nieuwe selectielijsten, het actualiseren van bestaande lijsten en het aanwijzen van hotspots.

6 Informatieplicht De AVG verplicht het vooraf informeren van betrokkenen over verdere verwerking van hun gegevens. In artikel 13 en 14 AVG is bepaald dat informeren niet vereist is wanneer dat onevenredig veel inspanning vergt. In het bijzonder bij verwerking met het oog op archivering in het algemeen belang. Selectielijsten worden echter altijd voor vaststelling openbaar ter inzage gelegd en hotspots worden altijd openbaar gepubliceerd, waarmee voldaan wordt aan de algemene vereisten voor publieke kennisgeving. Recht op gegevenswissing ( recht op vergetelheid ) Het recht om vergeten te worden is niet van toepassing voor zover hierdoor archivering in het algemeen belang onmogelijk dreigt te worden of ernstig in het gedrang dreigt te komen, aldus artikel 17 lid 3 onder de AVG.

7 Privacy by design/by default Van archiefvormers wordt verwacht dat zij passende waarborgen treffen voor de bescherming van de privacy. Dat kan gedaan worden door privacy by design of privacy by default toe te passen. Hierbij is het van belang dat deze waarborgen altijd overeenstemmen met de kwaliteitseisen voor duurzaam toegankelijke overheidsinformatie Zo moet een maatregel als pseudonimisering wel omkeerbaar zijn, omdat het anders ernstig afbreuk doet aan de integriteit en authenticiteit van de informatie. Vragen of opmerkingen over deze informatiefolder stuurt u naar [email protected] o.v.v. Informatiefolder AVG voor archiefvormers. Of neem contact op met de relatiemanager van het Nationaal Archief voor uw organisatie. Alles en meer over de AVG is na te lezen op de site van de Autoriteit Persoonsgegevens. Maatregelen zoals pseudonimisering moeten wel omkeerbaar zijn, omdat het anders ernstig afbreuk doet aan de integriteit en authenticiteit van informatie.

8 Voor een goede discussie over de AVG kunt u terecht bij het Kennisnetwerk Informatie en Archief.