AVG en het vernietigen van archiefbescheiden in vakapplicaties

Onlangs deed de Raad van State een opmerkelijke uitspraak op het gebied van het bewaren en vernietigen van gegevens in de persoonlijke levenssfeer van een burger. De vastgestelde bewaartermijn was 10 jaar. Hier ging het niet om de vraag of de juiste termijn zou zijn gehanteerd, privacy werd belangrijker geacht dan de bewaartermijn.

In de Archiefwet kennen we een plicht om aan te geven welke bewaartermijnen voor het bewaren van overheidsarchieven worden gehanteerd (AW art 5).De bewaartermijnen staan niet in de Archiefwet zelf maar worden nader bepaald in de selectielijsten. Papier wordt vernietigd door verbranding of versnippering en digitale informatie door verwijdering van de bestanden zodanig dat deze niet meer te lezen of te herleiden zijn.

Dat laatste ging bij het bekende bonnetje van Teeven niet goed. En dat is voor veel meer overheden best een probleem. Want hoe moet je hierop sturen en hoe kan je controleren dat die digitale verwijdering echt gebeurt? Veel (cloud) vakapplicaties beschikken immers niet over de functionaliteit om die bestanden te verwijderen. Inmiddels zijn veel DMS systemen (niet alle) wel vaak uitgerust met de functionaliteit.

Het is niet zo dat bij aanbesteding deze functionaliteit wordt vergeten. In GIBIT zijn eisen voor archivering opgenomen en wordt verwezen naar de NEN-ISO 15489-1 NL.

Het lijkt me niet realistisch om te veronderstellen dat dit (technisch) probleem voor 25 mei 2018 is opgelost, maar wel dat het nodig is dat die technische oplossingen er snel komen.

Weergaven: 3073

Hierop reageren

Berichten in deze discussie

Permalink Antwoord van Hilona Wierenga op 19 November 2017 op 19.09
Mee eens Yvonne! We zitten nu in een spagaat! Er schijnen ook nog aanvullingen op de AVG te komen. Wanneer? Geen idee. Jurisprudentie zal ons een handvat geven. Maar hopen dat wij dan geen beslissingen hebben genomen die aan de andere kant van de medaille zitten. Lijkt wel Russische roulette zo langzamerhand.
Permalink Antwoord van Hans Pieterse op 19 November 2017 op 19.17
@Yvonne, moest van de RvS de persoonsgegevens verwijderd worden voordat de archiefwettelijke bewaartermijn was verstreken? Als dat zo is ben ik benieuwd naar de uitspraak en motivatie.
Permalink Antwoord van Yvonne Welings op 19 November 2017 op 19.35
Permalink Antwoord van Yvonne Welings op 19 November 2017 op 20.23
@Hilona, ik vraag me ook af waar haal je die extra tijd vandaan? Aan de andere kant zijn we vaak in ons vakgebied een roepende in de woestijn geweest, met de AVG in de hand gaat dat zeker veranderen.
Permalink Antwoord van Hans Pieterse op 19 November 2017 op 20.50
Kan de rechterlijke uitspraak wel volgen. Vraag me wel het vervolproces af. Wordt hiervan nog een verklaring van vernietiging opgemaakt en wordt het verwijderingsverzoek als proces ook gearchiveerd? Mogelijk dat dan toch nog (bijzondere) persoonsgegevens in andere processen worden opgenomen en gearchiveerd?
Permalink Antwoord van Erik Kraai op 20 November 2017 op 8.29

Zo bijzonder is de uitspraak van de Raad van State op dit punt toch niet? Als je op grond van de wet de persoonsgegevens niet mag verwerken, kun je je toch nooit beroepen op een selectielijst om de gegevens wel te bewaren? In de uitspraak is dan ook niet een "privacy is belangrijker dan een bewaartermijn" te lezen. 

Overigens is dit ook geen technisch probleem dat nu voor 25 mei 2018 opgelost moet worden, maar wat al sinds 2001 met de invoering van de Wbp opgelost had moeten zijn.

Permalink Antwoord van Yvonne Welings op 20 November 2017 op 8.34

@Hans, of de gegevens daadwerkelijk zijn verwijderd kan ik je niet vertellen. Wel blijft het vaak een illusie dat we digitale bestanden kunnen verwijderen, denk aan de vele back-ups.

Toch ben ik van mening dat de uitspraak geen recht doet aan archiefwetgeving. Het valt me de laatste tijd vaker op dat de archief wetgeving een grote onbekende is ten opzichte van privacywetgeving (Wbp, AVG), zelfs medewerkers van de Autoriteit Persoonsgegevens. Wat voorts opvallend is dat wordt gesteld dat de burger terecht geen kennis had kunnen hebben van de bewaartermijnen. Publicatie in de Staatscourant zou geen goed communicatiemiddel in deze zijn.

In de AVG zijn de volgende bepalingen opgenomen:

• Uitzondering op het recht om vergeten te worden bij archivering in het algemeen belang (art. 17 lid 3 sub d AVG). Dit recht om vergeten te worden is (min of meer) nieuw met invoering van de AVG;
•Uitzondering gemaakt op de plicht om de betrokkene in te lichten over de verwerking (de archivering). De betrokkene hoeft dus niet te worden geïnformeerd als zijn persoonsgegevens worden opgenomen in het archief (art. 14a AVG). Deze regel geldt ook al in de Wbp in art. 44 lid 2, er verandert dus niets ten opzichte van de Wbp.

Permalink Antwoord van Yvonne Welings op 20 November 2017 op 9.36

@Erik, in mijn optiek is er wel een opmerkelijke uitspraak gedaan omdat we landelijk werken met selectielijsten waar bewaartermijnen zijn afgesproken.

Privacy is inderdaad geen nieuw onderwerp, maar de AVG is wel veel strenger wat uitvoering. Daarom wil ik graag weten in hoeverre de Algemeen Rijksarchivaris de Minister heeft geadviseerd in deze? En wat zijn de adviezen geweest toen de Wbp werd ingevoerd? Toen is de Archiefwet ook aangepast.

Permalink Antwoord van Hans Pieterse op 20 November 2017 op 13.01
Ik interpreteer de uitspraak als dat je persoonsgegevens niet mag archiveren als je die niet had mogen verwerken. Als er geen doelbinding is voor een medisch advies kan ik me er in vinden dat je die informatie dan ook niet mag archiveren. In die zin is een waardering conform de Selectielijst eigenlijk niet van toepassing. Het doet mij een beetje denken aan 'noodvernietiging' waarbij ik er meteen aan toevoeg dat er andere beginselen aan de basis liggen.
Permalink Antwoord van Yvonne Welings op 20 November 2017 op 13.28

Alle overheidsinformatie die wordt beheerd moet te herleiden naar een bewaartermijn. En dat wordt ook uitdrukkelijk vermeld in het vonnis:

Uit het op grond van de Archiefwet opgestelde Basisselectiedocument IGZ dat in de Staatscourant is gepubliceerd, volgt dat dossiers van meldingen tien jaar worden bewaard. Door desgevraagd en uit eigen beweging gegevens te verstrekken heeft [wederpartij] uitdrukkelijke toestemming gegeven om haar dossier tien jaar te bewaren, aldus de minister.

En het punt is dat waarschijnlijk veel meer wordt bewaard en geregistreerd dan strikt nodig is. Het is mij niet bekend of de verwerking vooraf is gemeld aan de Autoriteit Persoonsgegevens.

Maar het issue dat ik vooral heb willen benadrukken is dat overheidsinformatie in veel applicaties langdurig (te lang) wordt bewaard en nooit wordt vernietigd. Daarbij kan je vraag stellen of je in dit tijdperk echt kunt vernietigen. Er is altijd wel een back-up te vinden. 

In die zin kan deze uitspraak een omslagpunt zijn in de bewustwording wat bewaar je wel en wat bewaar je niet en wat registreer je wel of niet. BSN nummers is een bekend voorbeeld van overbodige registraties.

Tijdens een bijeenkomst over de AVG vergeleek een specialist privacy met een luizenkam, altijd alert blijven en blijven controleren.

Overigens staat in de uitvoeringsregels van de AGV het volgende:

De verwerking noodzakelijk is voor doelen van preventieve of arbeidsgeneeskunde, voor beoordeling van arbeidsgeschiktheid, medische diagnosen, verstrekken van gezondheidszorg of sociale diensten, op grond van Uniewetgeving of nationale wetgeving en onder de voorwaarden van het vierde lid;

Zie ECLI:NL:RVS:2017:2232: https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RVS:201...

Permalink Antwoord van Yvonne Welings op 21 November 2017 op 11.54

Cliëntenrecht

Vanaf 1 juli 2020 geldt tevens de Wet Cliëntenrechten die de burger recht geeft op kosteloze inzage en afschrift van zijn dossier. Ook kan de burger gespecificeerde toestemming geven voor gegevensuitwisseling met bepaalde (categorieën van) hulpverleners.

De burger kan verzoeken kenbaar te maken wie wanneer bepaalde informatie beschikbaar heeft gemaakt en wie die informatie allemaal heeft kunnen inzien. Dit vereist ook een strikte boekhouding rond het hele privacy-dossier. Niet alleen intern, maar ook over de keten heen, waar een organisatie verantwoordelijkheid – en belangrijker – aansprakelijkheid heeft, dient de datastroom transparant te zijn geadministreerd en worden beheerd.

https://dutchitchannel.nl/587119/privacy-boekhouding.html

Permalink Antwoord van Rens op 22 November 2017 op 13.17

Deze discussie komt regelmatig voorbij en meestal worden gegevens en informatie dan door elkaar gehaald. De bewaartermijnen gaan over informatie, de Wbp gaat over gegevens. Dat is niet (per se) hetzelfde. Vaak vertegenwoordigen gegevens een informatiewaarde, maar niet altijd. Je kunt dus niet zonder meer stellen dat bewaartermijnen van toepassing zijn op alle gegevens die in het kader van een proces zijn verwerkt.

Soms zijn persoonsgegevens relevant binnen een bepaalde proceshandeling, maar verliezen ze hun informatiewaarde zodra die processtap is afgerond. In een dergelijk geval is een bewaartermijn niet van toepassing en moet je die persoonsgegevens dus verwijderen. En wat Hans zegt is natuurlijk ook waar: je moet geen gegevens archiveren die je onrechtmatig hebt verkregen. Gister was ik toevallig voor bespreking van dit onderwerp te gast in het vakoverleg privacy (daarin zijn onze privacy officers verenigd) en de uitkomst daarvan was, niet geheel verrassend, dat privacy officers en informatiebeheerders op casusniveau samen moeten analyseren hoe hiermee om te gaan. Het is te kort door de bocht om algemene uitspraken over dit vraagstuk te doen.

Overigens geeft de Autoriteit Persoonsgegevens op de website expliciet aan dat de AVG geen gevolgen heeft voor het toekennen van bewaartermijnen.

Antwoorden op discussie

RSS

Partner(s)

Sponsor(s)

http://www.elveo.nl

Direct naar...

Vind BREED!

- Twitter

- LinkedIn

- RSS: alle activiteiten

- RSS: nieuwe discussies

- RSS: nieuwe blogs

- E-mail

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden