AVG en het vernietigen van archiefbescheiden in vakapplicaties

Onlangs deed de Raad van State een opmerkelijke uitspraak op het gebied van het bewaren en vernietigen van gegevens in de persoonlijke levenssfeer van een burger. De vastgestelde bewaartermijn was 10 jaar. Hier ging het niet om de vraag of de juiste termijn zou zijn gehanteerd, privacy werd belangrijker geacht dan de bewaartermijn.

In de Archiefwet kennen we een plicht om aan te geven welke bewaartermijnen voor het bewaren van overheidsarchieven worden gehanteerd (AW art 5).De bewaartermijnen staan niet in de Archiefwet zelf maar worden nader bepaald in de selectielijsten. Papier wordt vernietigd door verbranding of versnippering en digitale informatie door verwijdering van de bestanden zodanig dat deze niet meer te lezen of te herleiden zijn.

Dat laatste ging bij het bekende bonnetje van Teeven niet goed. En dat is voor veel meer overheden best een probleem. Want hoe moet je hierop sturen en hoe kan je controleren dat die digitale verwijdering echt gebeurt? Veel (cloud) vakapplicaties beschikken immers niet over de functionaliteit om die bestanden te verwijderen. Inmiddels zijn veel DMS systemen (niet alle) wel vaak uitgerust met de functionaliteit.

Het is niet zo dat bij aanbesteding deze functionaliteit wordt vergeten. In GIBIT zijn eisen voor archivering opgenomen en wordt verwezen naar de NEN-ISO 15489-1 NL.

Het lijkt me niet realistisch om te veronderstellen dat dit (technisch) probleem voor 25 mei 2018 is opgelost, maar wel dat het nodig is dat die technische oplossingen er snel komen.

Weergaven: 3068

Hierop reageren

Berichten in deze discussie

Zie artikel 1 van de Archiefwet: http://wetten.overheid.nl/BWBR0007376/2015-07-18

Persoonlijk ben ik niet zo van de letter van de wet, het gaat er meer om te handelen in de geest van de wet.

De Archiefwet hanteert nog de term "bescheiden". Dat is natuurlijk een volkomen achterhaalde term uit het jaar kruik. En volgens de Van Dale betekent dit "geschreven stuk", dus dan heb je a priori al een vorm te pakken en dit hele wetsartikel is in mijn ogen dan ook een contradictio in terminis. Prima begrijpelijk vanuit het tijdsbeeld waarin die wet destijds is opgesteld, maar in de moderne tijd zouden we "archiefbescheiden" m.i. als "informatie" moeten interpreteren: informatie, ongeacht de vorm. Bijvoorbeeld informatie vastgelegd in de vorm van bescheiden.

In onze gemeente hebben we sinds 2010 een Besluit Informatiebeheer waarin de gemeentearchivaris consequent de term "archiefbescheiden" heeft vervangen door "informatie". Daar ben ik wel blij mee, want dat dekt veel beter de lading. Nu de wetgever nog.

Mee eens dat de term achterhaald is, maar het Nationaal Archief zelf nog niet. http://www.breednetwerk.nl/m/discussion?id=2537796%3ATopic%3A116357

Ach, op 10 januari 1975 besefte de minister van CRM al dat ook niet-schriftelijke registratievormen (zoals 'computerbescheiden') onder het begrip 'archiefbescheiden' gerekend moeten worden.

Voor de liefhebber: http://kvan.courant.nu/issue/NAB/1975-10-01/edition/0/page/40

Belangrijke risico's inzake de AVG zijn:

  • Menselijke fouten van eigen medewerkers;
  • Het te lang bewaren van gegevens (archiefbescheiden in de AW);
  • Onzekerheid hoe leveranciers omgaan met die gegevens.

In deze bijdrage heb ik proberen te duiden dat veel (cloud)applicaties de mogelijkheid niet hebben om bestanden te verwijderen die vernietigd moeten worden afgezien van de vraag of dit technisch wel mogelijk is. Met GIBIT is onder andere gepoogd regie te krijgen op de archieffunctionaliteiten van (vak)applicaties.

Waar ik benieuwd naar ben naar de maatregelen om de bestanden wel op tijd te vernietigen zonder in de discussie te hoeven treden welke reikwijdte de term archiefbescheiden in de AW 1995 heeft. Wie heeft hier al een plan voor bijvoorbeeld?

Ik herken niet zo het beeld dat veel (cloud)applicaties geen mogelijkheid tot schoning hebben, mijn ervaring is juist dat de markt hier steeds beter mee om weet te gaan. Wat ik wel zie, is dat hier in het verleden niet altijd aandacht voor is geweest waardoor we nu, in mijn omgeving althans, met een niet zo goed beheerde legacy zitten.

Ons "plan" is dat we de focus leggen op de vernieuwing door hier bij projecten en aanbestedingen aandacht voor te hebben. Dat doen we door in al onze integrale domeinteams een adviseur informatiebeheer te laten deelnemen. Voor die adviseur is het regulier werk om mee te helpen met het opstellen van projectplannen, pve's e.d. binnen dat betreffende domein (archivering by design). Op tactisch niveau hebben we adviesteams (soort project control boards) dat projectdocumenten toetst aan kaders, daarin zit een senior adviseur informatiebeheer. Van daaruit wordt soms nog ingegrepen als iets over het hoofd gezien dreigt te worden. En op strategisch niveau geldt hetzelfde voor de gemeentearchivaris en zijn adviseursafdeling. Zo komen we stapje voor stapje tot een steeds beter beheerd landschap.

Reparatiewerkzaamheden op de legacy hebben minder de aandacht. Pas bij het uitfaseren van dergelijke oplossingen kijken we welke data we wel en welke we niet moeten veiligstellen of vernietigen. Uitzonderingen zijn er o.a. voor applicaties die vanuit de BIG-implementatie prioriteit hebben gekregen. En sommige van onze informatiebeheerteams benoemen nog aanvullende maatregelen in de informatiebeheerplannen.

GIBIT vind ik een goede ontwikkeling, maar het is wel een document op hoofdlijnen. Daar moet altijd nog een detailslag overheen.

Overigens leidt de AVG op dit vlak helemaal niet tot nieuwe eisen of richtlijnen, alleen maar tot meer aandacht voor regels die er op zich al zijn. En dat is op zichzelf best een goede zaak.

@Rens, de Wbp verschilt inderdaad inhoudelijk niet van de AVG, maar er zijn strengere uitvoeringsregels en de boetes liegen er niet om.

Fijn om te horen dat jullie goed ervaringen hebben met archivering in vakapplicaties, die al dan niet in de cloud en/of bij private partijen (bijvoorbeeld WOZ, parkeerbeheer) zijn ondergebracht. Het is goed om ervaringen op dit gebied te delen zonder in naming en shaming te vervallen.

Laten jullie ook auditen ? Toevallig zag ik dit net voorbij komen.

Interessant artikel, Yvonne.

In antwoord op je vraag: ik ken in mijn omgeving geen voorbeelden van audits specifiek op het vlak van gegevensvernietiging, als je daar nog een tip voor hebt dan houd ik me aanbevolen! Zaken als pen- en hacktest laten we meestal wel doen. En we stimuleren leveranciers om zelf door derden audits te laten uitvoeren door te vragen of ze kunnen aantonen dat ze voldoen aan specifieke normen en standaarden.

De quasi-archivering in de back office-applicaties begint problematisch te worden. Informatie wordt op zoveel plekken, in zoveel applicaties bewaard dat het zeer waarschijnlijk is dat geen enkele gemeente 100% zeker is dat informatie op de juiste bewaard en vernietigd wordt.

Het is daarom zinvol om de archief- en documentregistratie-component uit de back office-applicaties te halen. Registratie en archiveren moet in je DMS plaatsvinden. Je archiefcomponent zorgt ervoor dat documenten niet in de back office-applicatie wordt bewaard en daar dus ook niet te lang (of te kort) bewaard blijft en je back office-applicatie zorgt voor een workflow, procesbewaking, berekeningen, meldingen, etc.

Grootste uitdaging: je leverancier uitleggen dat je een uitgeklede back office-applicatie wil die gekoppeld moet worden met je DMS. Maar dat is een kwestie van goed aanbesteden.  

Het is inderdaad zo dat het goed positioneren en benutten van je DMS helpt.

Nadeel van een DMS is wel dat die een oplossing biedt voor documentbeheer, maar niet voor het beheer van gestructureerde gegevens in je zaaksysteem die ook onder de Archiefwet/Wbp/AVG vallen. Dus je ontkomt er m.i. niet aan om beheer breder te regelen dan DMS.

Er is ook een ontwikkeling om niet zo zeer de opslag te centraliseren, maar om de toegang te centraliseren. Via één interface benader je dan verschillende informatiebronnen. Eén van onze architecten wees me gister op dit artikel waarin deze ontwikkeling kernachtig wordt beschreven: https://www.computable.nl/artikel/blogs/digital-innovation/6250668/...  Zo'n benadering is niet alleen handig voor de gebruiker, maar biedt ook kansen om via eenzelfde methodiek beheeracties in bulk over meerdere bronnen uit te voeren. In de Gemeente Amsterdam zijn we nu die kant op aan het bewegen.

De gemeenten waarvoor ik werk gebruiken veelal My-Lex.

Yvonne, ken je ook gemeenten die dergelijke functionaliteit behalve voor zoeken ook gebruiken voor het uitvoeren van beheeractiviteiten zoals vernietiging en overbrenging?

Ik ben nu een plan van aanpak aan het schrijven op dit onderwerp, dus lijkt me leuk en nuttig om eens wat kennis en ervaring uit te wisselen.

Antwoorden op discussie

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden