Verantwoordingsplicht AVG

In de Algemene verordening gegevensbescherming (AVG) staan een aantal verplichte maatregelen genoemd hoe een organisatie moet voldoen  aan de verantwoordingsplicht (accountability). Een van die verplichtingen is het 'register van verwerkingsactiviteiten'. Het is vrijwel zeker dat een archiefdienst zo'n verwerkingsregister moet opstellen, maar hoe dat te doen hangt af van de omvang van de organisatie en het type gegevens dat worden verwerkt.

Al deze informatie is te vinden op de website van de Autoriteit Persoonsgegevens.

Organisaties met meer dan 250 medewerkers

Heeft uw organisatie meer dan 250 medewerkers? Dan bent u verplicht om een verwerkingsregister bij te houden.

Organisaties met minder dan 250 medewerkers

Heeft uw organisatie minder dan 250 medewerkers? Dan moet u over een verwerkingsregister beschikken wanneer u persoonsgegevens verwerkt:

  • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of;
  • waarvan de verwerking niet incidenteel is en/of;
  • die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

Register van verwerkingsactiviteiten en archiefdiensten

Een archiefdienst kan op verschillende manieren zijn vorm gegeven. Is de archiefdienst een gemeenschappelijke regeling, dan is er sprake van een organisatie met minder dan 250 medewerkers. Een archiefdienst kan ook onderdeel zijn van een gemeente. Dan is sprake van meer dan 250 medewerkers. Elke gemeente heeft al een functionaris gegevensbescherming benoemd. Het lijkt me dat provincies en gemeenten, die een dienstverleningsovereenkomst met een RHC of gemeente hebben afgesloten zelf de gegevens in het register moeten gaan bijhouden.

Zeker is dat alle archiefdiensten in Nederland een register al dan niet in eigen beheer moeten gaan bijhouden.

Maar wat plaats je in een dergelijk register?

Zelf denk ik vanuit mijn eigen beroepspraktijk aan:

  • Koninklijke Onderscheidingen;
  • Personeelsdossiers;
  • Bevolkingsadministratie;
  • Inburgeringscertificaten;
  • Vertrouwenscommissie burgemeestersbenoemingen;
  • Gemeentelijke politiearchieven;
  • Ledenlijsten van verenigingen;
  • Bezoekersadministratie.

Wie heeft ook al nagedacht over deze categorieën en kan aanvullen ? Of plaatsen we alle niet-openbare inventarisnummers in het register inclusief geheime dagboeken .

Tips zijn welkom.

Link naar vragenlijst PIA.

Weergaven: 237

Hierop reageren

Berichten in deze discussie

Het register is de centrale administratie waarin alle verwerkingen van persoonsgegevens binnen een

gemeente in kaart zijn gebracht. Dit geeft overzicht en structuur. Hoewel het beheer van het register

bij de FG is belegd, gebeurt het invullen ervan – vaak - in samenwerking met de verantwoordelijken

voor de verwerkingen op de werkvloer. Het is belangrijk om het gesprek met de verantwoordelijken

voor de verwerkingen aan te gaan, omdat op die manier gemeente-specifieke informatie aan het

register kan worden toegevoegd. Het register is daarmee ook weer een perfecte gelegenheid om

meer bewustwording omtrent privacy te creëren, en de bestaande verwerkingen nog eens goed te

bekijken.

Het bijhouden van het register van verwerkingen is onderdeel van de verantwoordingsplicht van de

gemeente. Het register kan ook nodig zijn als betrokkenen hun rechten uitoefenen. Eén van de

maatregelen om invulling te geven aan de vereisten om betrokkenen actief te informeren zodra u

persoonsgegevens gaat verwerken is het publiceren van een vereenvoudigde versie van het register

op uw website. Op die manier geeft u ook uw burgers inzicht in welke persoonsgegevens de gemeente verwerkt. In de handreiking privacyverklaring is daarom al een verwijzing naar het register opgenomen.

https://www.kinggemeenten.nl/sites/king/files/20171201%20VNG-KING%2...

Yvonne,

Wij kwamen bij onze gemeente tot bijna 200 verschillende overzichten.

Voorbeelden die niet alleen voor archiefdiensten van belang zijn:

Gemeentelijke onderscheidingen

Veteranenlijst
Carnegiefonds
Huisverboden/opname psychiatrisch ziekenhuis

Financien

Leerplicht/vervoer

rampen-bel-boom

Gegadigdenlijst voor mogelijk aankoop gemeentelijke eigendommen (denk aan bankgarantie/loonopgave)

Veelal dubbel als drank-en horeca/kansspel/ontheffing sluitingsuur maar voor de zekerheid apart opgenomen.

Zelfs huisnummertoekenning (wordt aan de aanvrager verleend en geregistreerd)

Henry

@Henry, heel erg bedankt. Ik was van plan nog een keer een blog te schrijven met dan de variant gemeente. Mag ik daar jouw tips voor gebruiken ?

Waar ik ook nog aan dacht:

- Dataonderzoek criminaliteit

- Wat te doen met de bestanden die op vernietiging zijn afgesteld.

Op grond van artikel 30 van de Verordening vallen ook de overgebrachte archiefbescheiden in principe onder de verplichting deze verwerkingen op te nemen in een register. Hierdoor zou ten aanzien van alle overgebrachte archiefbescheiden (openbare en beperkt openbare) waarin persoonsgegevens van nog levende personen (dus je zou dit moeten checken) voorkomen een register moeten worden opgesteld. De inventaris zal hiervoor slechts zeer beperkt bruikbaar zijn. In de inventaris zal immers niet alle verplichte velden opgenomen (doeleinde verwerking, categorieën van betrokkenen, categorieën van persoonsgegevens, categorieën van ontvangers, bewaartermijnen).

Hierbij speelt het volgende: op grond van de Wbp zijn verantwoordelijken verplicht elke verwerking te melden. Veel verwerkingen zijn echter uitgesloten van de meldingsplicht in het zogenoemde Vrijstellingsbesluit.

In het Vrijstellingsbesluit wordt in artikel 29 verwerkingen die uitsluitend een archiefbestemming hebben uitgezonderd van de meldingsplicht. In de Memorie van Toelichting stelde de wetgever destijds: “Aangezien de doeleinden bij bewaring ingevolge de Archiefwet 1995 altijd dezelfde (wettelijke) doeleinden zijn, die bovendien geacht mogen worden bij het publiek bekend te zijn, zullen verwerkingen van persoonsgegevens in de archiefbescheiden worden vrijgesteld van de aanmeldingsplicht als bedoeld in artikel 29. Een aanmeldingsverplichting zou met het oog op het belang dat daarmee wordt gediend een onevenredig zware belasting betekenen voor de verantwoordelijke. Om die reden zijn de persoonsgegevens die deel uitmaken van archiefbescheiden die volgens de archiefwettelijke regels zijn overgebracht naar een archiefbewaarplaats (in de regel twintig jaar nadat zij zijn verzameld), eveneens uitgezonderd van de werking van artikel 34 (artikel 44, tweede lid).”

 

Om aan de verplichting van artikel 30 AVG te kunnen voldoen is het noodzakelijk niet alleen naar de inventarissen te kijken, maar ook in de archiefbescheiden zelf om bijvoorbeeld te kunnen vaststellen welke categorieën van gegevensverwerkingen in het desbetreffende archief voorkomen. Dit betekent dat de verantwoordelijke na een dergelijke inventarisatie op de hoogte is of persoonsgegevens die in overgebrachte archiefbescheiden voorkomen en welke categorieën worden verwerkt (dus NAW-gegevens, telefoonnummer, etc.) dan daarvoor. Archiefdiensten hebben geen precieze kennis van de verwerking van persoonsgegevens op een dergelijk gedetailleerd niveau. En het behoord ook niet tot zijn wettelijke taak (in tegenstelling tot de zorgdrager/verwerkingsverantwoordelijke voor overbrenging).

Een register van verwerkingsactiviteiten moet een verantwoordelijke bijvoorbeeld helpen om te kunnen voldoen aan de rechten van betrokkenen. Juist die rechten van betrokkenen worden t.a.v. overgebrachte archiefbescheiden ingeperkt. 

Artikel 11, eerste lid, van de Verordening stelt dat indien de doeleinden waarvoor een verwerkingsverantwoordelijke persoonsgegevens verwerkt, niet of niet meer vereisen dat hij de betrokkene identificeert, is hij niet verplicht om, uitsluitend om aan deze verordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te verwerken.

 

Op grond van dit artikel is het niet noodzakelijk om nader onderzoek te verrichten in overgebrachte archiefbescheiden alleen om te kunnen voldoen aan de verplichting om een register van verwerkingen aan te leggen op grond van artikel 30 AVG.

Voor de niet overgebrachte archiefbescheiden blijft de registerplicht uiteraard wel gelden. Dit omvat bijvoorbeeld ook de inventarissen voor zover hierin persoonsgegevens zijn opgenomen.

De verplichting om een register op te stellen rust op de verantwoordelijke. In de meeste gevallen zal een archiefdienst nooit de verantwoordelijke zijn. Ze zullen wel de benodigde gegevens moeten aanleveren.

Overigens verplicht de Avg niet dat een FG het register zou moeten beheren (onder de Wbp is het beheer van het meldingenregister wel bij de FG belegd), althans ik kan geen artikel vinden die daartoe zou verplichten. 

In het overzicht van de Autoriteit Persoonsgegevens waarin in alle functionarissen voor gegevensbescherming zijn opgenomen, kom ik trouwens niet alle gemeenten tegen. Zo zie ik in het lijstje niet de gemeente Rotterdam of Amsterdam. Niet alle gemeenten hebben denk ik op dit moment een FG. Dat moet uiteraard wel na 25 mei 2018.

Bij dienstverleningsovereenkomsten zou je je kunnen afvragen of er dan geen sprake is van een ververwerkingsverantwoordelijke (bijvoorbeeld een gemeente) en een verwerker (de archiefdienst). Ook voor een verwerker geldt de verplichting om een register bij te houden van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke verricht (artikel 30, tweede lid Avg).

Dank Erik voor de aanvulling. Ik heb nog wel een vraag, waarom zou een archiefdienst met een GR constructie zelf niet verantwoordelijk zijn ?

Die uitspraak moet ik iets nuanceren. Die vraag is namelijk niet eenvoudig te beantwoorden. Op de website van de Autoriteit Persoonsgegevens zijn bijvoorbeeld uitspraken te vinden waarbij de uitvoering van de Participatiewet en ander wettelijke taken zijn uitbesteed aan een gemeenschappelijke regeling. Omdat de deelnemende gemeenten zelf doel en middelen vaststellen, werden zij toch als verantwoordelijke gezien door de AP en niet de GR zelf.

(zie bijvoorbeeld z2015-00174 en z2015-00404)

Aangezien de deelnemers in een gemeenschappelijke regeling waarin het archiefbeheer van overgebrachte archiefbescheiden zijn ondergebracht ook allemaal zorgdrager blijven in de zin van de Archiefwet, is er wellicht iets voor te zeggen dat zij ook verantwoordelijke blijven in de zin van de Wbp/Avg. 

Dit neemt niet weg dat een GR wel de verantwoordelijke kan zijn voor de eigen verwerkingen, zoals een personeelsadministratie etc. voorzover zij hiervoor zelf het doel en middelen vaststellen.

Zie ook de toelichting op deze website:

https://www.vijverbergjuristen.nl/publicaties/gemeenschappelijke-re...

Kortom: het is nog maar de vraag of een GR altijd de verantwoordelijke is voor alle persoonsgegevens die zij verwerkt.


Yvonne Welings zei:

Dank Erik voor de aanvulling. Ik heb nog wel een vraag, waarom zou een archiefdienst met een GR constructie zelf niet verantwoordelijk zijn ?

Mooie casus voor de leergang ! Dank.

Tuurlijk Yvonne, geen probleem.

Dataonderzoek criminaliteit is niet mijn ding.

Wel het onderzoek van meldingen van een mogelijk beveiligingsincident.

Bestanden die op vernietiging zijn afgesteld: Ik zou daar geen onderscheid in maken ten opzichte van de te bewaren bestanden.

Als je het al wilt zou je bij het aanleggen van het AVG register een verwijzing naar de selectielijst 2017 kunnen maken.

Dan heb je vastgelegd dat veel informatie na de bewaartermijn vernietigd wordt.


Yvonne Welings zei:

@Henry, heel erg bedankt. Ik was van plan nog een keer een blog te schrijven met dan de variant gemeente. Mag ik daar jouw tips voor gebruiken ?

Waar ik ook nog aan dacht:

- Dataonderzoek criminaliteit

- Wat te doen met de bestanden die op vernietiging zijn afgesteld.

Antwoorden op discussie

RSS

© 2017   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden