Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

AVG- over open deuren en botsingen met de Archiefwet

Zes praktische tips wanneer de Autoriteit Persoonsgegevens bij je aanbelt.

Door Shira van Dongen en Geraldine Scholten

Deze blog is tot stand gekomen naar aanleiding van een AVG-workshop door Gert Koerselman.

Yes, het is bijna D-day voor de Algemene Verordening Gegevensbescherming. Top, want persoonsgegevens zijn in de verkeerde handen meer dan goud waard. Organisaties moeten aan de bak om de manier waarop zij met persoonsgegevens omgaan op een verantwoorde manier in te richten. Dat betekent nogal wat! Zeker voor de overheid.

We merken in gesprekken met verschillende overheidsorganisaties dat zij zich behoorlijk achter de oren krabben: ‘Is het voor ons haalbaar om straks aan al die verzoeken tegemoet te komen?’, ‘Welke stappen moet mijn organisatie ondernemen om voor 25 mei klaar te zijn en hoe stellen we de juiste prio’s?’

Kop-staart botsing met Archiefwet

Bovendien is de Algemene Verordening Gegevensbescherming niet de enige wet die iets zegt over persoonsgegevens. De AVG bijt andere wetten soms, met terugwerkende kracht, in de staart. De Archiefwet bijvoorbeeld, om maar eens even een wetje te noemen…De Archiefwet zegt onder meer wat over het inzien (openbaarheid) van archieven. De AVG walst hier overheen als het gaat om persoonsgegevens.

En hoe zit het met het cultuurhistorisch perspectief? Denk aan de regionale historische centra die kostbare bijzondere beeldbanken hebben opgezet; hoe specifieker hoe beter is hierbij het motto. Interessant maar dit is dus fotomateriaal; AVG-technisch al tricky. Daarnaast kunnen er in veel gevallen ook aanvullende persoonsgegevens gekoppeld worden aan bepaald beeldmateriaal. In principe een AVG-technische no-no….

De achterdeur staat open…

De overheid heeft een voorbeeldfunctie; zij wordt geacht de zaken goed op orde te hebben. Afgezien van het feit dat de Autoriteit Persoonsgegevens ook de overheid boetes kan opleggen, is het risico op imagoschade groot! Ook het recht op informatie is sterk verankerd in deze wetgeving en journalisten staan al in de startblokken om hier na 25 mei een beroep op te doen. Nu lees je al bijna dagelijks berichten in de media over ‘weer een overheidsorganisatie’ die persoonsgegevens via een ‘open achterdeur’ op straat kiepert.

De Autoriteit Persoonsgegevens belt aan; zes tips!

Hoe ga je hier mee om? De Algemene Verordening Gegevensbescherming dwingt je in een lastige spagaat. We geven je een paar handige tips om goed beslagen ten ijs te komen wanneer (niet als!) de Autoriteit Persoonsgegevens bij je aanbelt.

Tip 1 – Verwerkingsregister op orde

Zorg dat je verwerkingsregister voor zowel intern als extern gebruik op orde is. Dit kan door middel van een verwerkingsregister waarin alle processen en systemen in kaart worden gebracht. Ook moet je in beeld hebben waar de AVG-risico’s zitten en welke beveiligingsmaatregelen je hiertoe getroffen hebt.

Tip 2 – Transparant richting de burger

Wees duidelijk en helder in je communicatie naar burgers. Informeer vooraf goed waar ze aan toe zijn en wat ze van jou als overheidsorganisatie mogen verwachten als het gaat om het borgen van de privacy van persoonsgegevens. Dit kun je doen door ze op je website te wijzen op hun rechten. Door het verwerkingsregister op hoofdlijnen te publiceren voldoe je aan je informatieplicht.

Tip 3 – Alle collega’s goed geïnformeerd en getraind

De eerste stap richting verandering is bewustwording. Zorg dat de hele organisatie zich bewust is van de urgentie en de risico’s ten aanzien van de AVG. Het vergt een gezamenlijke inspanning om ‘AVG-proof’ te worden. Wanneer alle collega’s goed geïnformeerd en geïnstrueerd zijn kunnen zij de burger goed te woord staan.

Tip 4 – Inzet van AVG-instrumentarium

Geanonimiseerde informatie in een archief of archiefbewaarplaats valt niet onder de AVG. Dit biedt mogelijkheden op korte- en lange termijn. Er zijn instrumenten die geautomatiseerd anonieme archiefkopieën beschikbaar kunnen stellen.

Tip 5 – Minimalisatie en doelbinding

Regel je zaken aan de voorkant door minder persoonsgegevens te bewaren en over te dragen naar de archiefbewaarplaats. Dit betekent meer aandacht voor selectie en waardering en scheiding van bijzondere gegevens, persoonsgegevens en overige gegevens. Als het doel is bepaalde privacygevoelige informatie te bewaren zorg dan dat het op wettelijke grondslag onderbouwd is en leg dat vast.

Tip 6 – Onderbouw je keuzes

En last but zeker not least; niemand weet precies hoe de AVG zich in de praktijk zal uitkristalliseren! De wet kent een aantal uitzonderingen zoals het algemeen belang, wetenschappelijk en historisch onderzoek of statistische doeleinden. Ook op grond van wettelijke zorgplicht/zorgtaak kan beargumenteerd worden dat bepaalde persoonsgegevens bewaard moeten blijven.
Zolang er geen jurisprudentie is, biedt de breed te interpreteren terminologie in de wet mogelijkheden om ‘slim’ om te gaan met de uitvoering. Houd wel de ontwikkelingen goed in de gaten en zorg dat je je keuzes altijd goed afweegt, onderbouwt en vastlegt!