Privacy en informatieveiligheid zijn hot topics op dit moment. Zeker gezien de nakende inwerkingtreding van de nieuwe Europese Privacyverordening GDPR, voluit de General Data Protection Regulation of in het Nederlands de Algemene Verordening Gegevensbescherming. Die ondertussen beruchte verordening gaat over de verwerking van persoonsgegevens en zal op 25 mei 2018 de huidige Privacywet (de wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens) vervangen.

Toch eerst een beetje achtergrond. Er is wel wat begripsver­warring tussen privacy, persoonlijke levenssfeer, gegevensbe­scherming en informatieveiligheid. Privacy en het beschermen van de persoonlijke levenssfeer zijn namelijk begrippen die veel breder gaan dan het louter beschermen van persoonsgegevens. De nieuwe verordening handelt eigenlijk enkel over die zoge­naamde verwerkingen. Die betreffen daadwerkelijk alles wat je met persoonsgegevens kunt doen: raadplegen, opslaan, door­sturen, enz.

Persoonsgegevens slaan bovendien ook op meer dan je in eer­ste instantie zou denken. Een naam is een duidelijk persoons­gegeven, een rijksregisternummer ook. Op basis van dat soort data ben je rechtstreeks identificeerbaar. Een set van schijn­baar onschuldige gegevens zouden je echter ook identificeer­baar kunnen maken. Wanneer je een adres combineert met een geslacht en een leeftijd, kun je met vrij grote waarschijnlijkheid nauwkeurig aanwijzen over wie het gaat. In dat geval moet de combinatie van die gegevens dus ook als persoonsgegevens behandeld worden en bijgevolg verwerkt worden in overeen­stemming met de GDPR. Persoonsgegevens zijn dus alle gege­vens die je direct of indirect identificeren of identificeerbaar maken.

De nieuwe verordening

Eerst en vooral raak ik toch graag even aan dat de GDPR een erg leesbare tekst is en voor heel wat archivarissen nuttige lite­ratuur kan zijn om duidelijk te krijgen hoe er in hoofdzaak met persoonsgegevens moet worden omgegaan.

In essentie zijn de basisbeginselen van de verwerking van per­soonsgegevens in deze nieuwe verordening onaangeroerd. Die blijven nog steeds finaliteit, rechtmatigheid en proportionaliteit. Dat komt er op neer dat je voor een verwerking van persoons­gegevens steeds een duidelijk gedefinieerd doel moet hebben, met een rechtsgrond. En je mag slechts die gegevens verwerken die je strikt nodig hebt om dat specifieke doel te bereiken. Dat laatste wordt in de GDPR ook wel het beginsel van de minimale gegevensverwerking genoemd.

Wat betreft het archiveren in het algemeen belang zijn er specifieke bepalingen voorzien in de GDPR. Het archiveren van persoonsgegevens is namelijk steeds een zogenaamde verdere verwerking. De persoonsgegevens worden eerst voor een bepaald doel verwerkt. Eens dat doel bereikt is moeten die gegevens ofwel vernietigd, ofwel gearchiveerd worden. De GDPR bepaalt echter expliciet dat een verdere verwerking met het oog op archivering in het algemeen belang als een verenig­bare rechtmatige verwerking wordt gezien. Het artikel 89 van de GDPR – voor archivarissen overigens erg interessant om lezen – bepaalt welke waarborgen er voorzien moeten worden in ver­band met een verwerking met het oog op archivering. Minimale gegevensverwerking blijft namelijk van toepassing. Wanneer het eigenlijk geen waarde heeft om bepaalde persoonsgegevens in een archiefstuk te bewaren, dan moeten die ofwel verwijderd worden, ofwel gepseudonimiseerd. Dat is een nieuw concept, waarbij de data die iemand identificeerbaar maken versleuteld worden of vervangen worden door een pseudoniem. Het artikel 89 stippelt echter enkel de grote lijnen uit. Verdere verduidelij­king en verplichtingen zullen in de federale wetgeving bepaald worden. De wetgevende initiatieven daarrond zijn momenteel nog in volle ontwikkeling.

Dataverwerkingsregister

De belangrijkste verandering in de GDPR is de invoering van het zogenaamde accountability-principe, ofwel de verantwoor­dingsplicht. Alle organisaties die persoonsgegevens verwerken, moeten al die verwerkingen inventariseren in een register. Ook lokale archieven zullen daaraan hun steentje moeten bijdragen. Daarbij moet steeds bijgehouden worden wat het doel van de verwerking is, welke categorieën van persoonsgegevens daarbij verwerkt worden, wat de rechtsgrond is, met wie de informatie gedeeld wordt, welke bewaartermijn er gehanteerd wordt en welke maatregelen er genomen worden om het risico te beper­ken.

Dat fameuze dataverwerkingsregister moet steeds ter beschikking gehouden worden van de toekomstige Gegevensbeschermingsautoriteit (de opvolger van de Privacycommissie). Die oefening heeft echter ook nog een sensi­biliserend effect. Zo krijgen leidinggevenden een duidelijk over­zicht over welke persoonsgegevens er allemaal verwerkt worden binnen hun afdeling. Dat maakt het ook eenvoudiger om na te gaan of alle verwerkingen die gebeuren wel degelijk rechtmatig zijn en of de nodige maatregelen genomen zijn om het risico dat bij die verwerking gepaard gaat in te perken.

Implementatie van de GDPR

Dat dataverwerkingsregister opstellen zal voor iedere organi­satie dus een hele opdracht zijn. Daarom hebben we bij de stad Gent en het OCMW Gent een plan van aanpak opgesteld waar­bij we langs zullen gaan bij iedere dienst om na te gaan welke verwerkingen er allemaal uitgevoerd worden. Zoals gezegd zal ook het Archief Gent hierin opgenomen worden. Voor gemeen­telijke archieven kan het dus nu al een goede oefening zijn om hun verwerkingen duidelijk te inventariseren.

Bij de meest risicovolle verwerkingen moet er bovendien een zogenaamde gegevensbeschermingseffectbeoordeling uitge­voerd worden. Het langste nieuwe woord uit de GDPR slaat eigenlijk op een soort impact assessment rond het risico dat gepaard gaat met een bepaalde verwerking. Om zo goed te kun­nen bepalen welke de gepaste maatregelen zijn om dat risico te kunnen beperken. De Privacycommissie legde begin dit jaar een ontwerpadvies ter publieke consultatie voor over hoe je met die gegevensbeschermingseffectbeoordeling moet omgaan en zal binnenkort ook een definitief advies daaromtrent publiceren.

In een derde fase moet er dan op een transparante manier gecommuniceerd worden over die verwerkingen. Dat betekent dus helder oplijsten welke categorieën van persoonsgegevens er verwerkt worden, en voor welke doeleinden. Het is zeker niet de bedoeling dat die communicatie een ingewikkelde juridische disclaimer wordt, maar een korte begrijpelijke tekst waardoor de inwoners van onze steden en gemeenten echt te weten komen wat we nu allemaal met hun persoonsgegevens doen.

Beveiligen van informatie

Lokale overheidsarchieven bevatten uiteraard grote hoeveelhe­den persoonsgegevens. Ik denk maar aan sociale dossiers uit een OCMW-archief of subsidieaanvragen uit gemeentearchie­ven. Al die gegevens moeten bijgevolg een passende bescher­ming krijgen. Informatieveiligheid is de verzamelterm van alle maatregelen die genomen worden om informatie, voornamelijk persoonsgegevens, te beveiligen.

Informatieveiligheid valt uiteen in drie delen. Ten eerste bewa­ken van de vertrouwelijkheid van de gegevens. Ten tweede de integriteit van de gegevens waarborgen en ten derde ervoor zorgen dat de informatie steeds beschikbaar is voor de perso­nen die gemachtigd zijn om ze te gebruiken.

Voor een lokaal overheidsarchief zijn alle drie die aspecten van groot belang. Uiteraard moet de toegang tot persoonsgege­vens goed geregeld worden. Wanneer er met een archiefbe­heersysteem gewerkt wordt is een goede rechtenstructuur van primordiaal belang, zodat vertrouwelijke gegevens niet door onbevoegde personen ingezien kunnen worden. Bovendien moeten beschrijvingen van archiefstukken die persoonsgege­vens bevatten zodanig aangepast worden dat personen in die beschrijvingen niet meer identificeerbaar zijn. Op die manier kan de structuur van het archief wel volledig openbaar gemaakt worden, zonder de GDPR te schenden.
Een aantal beheersmaatregelen bij het raadplegen van de archieven zijn onontbeerlijk, zoals loggen welke archiefstuk­ken door wie geraadpleegd worden en duidelijk vragen naar de reden van het verzoek tot inzage. Ook wanneer medewer­kers uit je organisatie of archiefmedewerkers zelf bepaalde archiefstukken raadplegen moet je dat loggen. Mocht er ooit, al de bewustmakingsinspanningen ten spijt, een onrechtmatige raadpleging gebeuren, kun je steeds achterhalen wie de verant­woordelijke was.

Belangrijk om te vermelden is dat de GDPR niet van toepassing is op persoonsgegevens van overleden personen. Het is echter praktisch bijna onmogelijk om van ieder archiefstuk te achterha­len of de persoonsgegevens handelen over een nog levend, dan wel een overleden persoon. Om die reden hanteert het Archief Gent een praktische regel van honderd jaar. Nadien worden de stukken openbaar en kan iedereen ze inkijken.

Dat de integriteit van de gegevens bewaard moet worden staat buiten kijf, zeker wanneer het gaat om archiefstukken die bewaard worden om aan een wettelijke taak te voldoen en die mogelijk in een rechtsprocedure gebruikt kunnen worden.

Wat betreft dynamisch en semi-dynamisch archief, moeten de archiefstukken ook steeds beschikbaar zijn voor bepaalde medewerkers. Dat betekent uiteraard niet dat gelijk wie van de organisatie die ter beschikking kan krijgen, daar blijft het een goede regel om enkel diegenen die een bepaald archiefstuk nodig hebben voor hun werk toegang te geven. Eigenlijk is infor­matieveiligheid dus ook een kwestie van gezond verstand. Je moet niet in privacywetgeving onderlegd zijn om te weten dat een collega van de sportdienst geen toegang mag krijgen tot het gearchiveerde sociaal dossier van zijn buurman.

Informatieveiligheid in de praktijk

Een overheidsarchief kan ook een belangrijke rol spelen als coach op vlak van informatieveiligheid voor andere diensten en afdelingen binnen de organisatie. Ik denk bijvoorbeeld aan opruimacties. Vaak worden er documenten met persoonsge­gevens gewoon zonder nadenken in de papiermand gegooid, waarna ze dan op straat in containers te grabbel worden gelegd. Documenten met persoonsgegevens moet je ofwel onmiddellijk vernietigen, bijvoorbeeld met behulp van een versnipperma­chine, ofwel verzamelen in afsluitbare containers. Er zijn gespe­cialiseerde firma’s die zelfs ter plaatse dat soort documenten komen vernietigen. Alleen zo ben je zeker dat er geen per­soonsgegevens in verkeerde handen komen. Als archiefdienst kun je hierin een belangrijke sensibiliseringsfunctie opnemen en de diensten ondersteunen bij het weggooien van documenten.

De kans dat iemand een papiercontainer doorzoekt vooraleer de vuilniswagen het papier komt ophalen is misschien klein, maar we zouden in dat geval toch over een datalek spreken. We kunnen dit verhaal echter doortrekken tot alle dragers van informatie. Een harde schijf, een cd of een tape die niet op een correcte manier gewist werd kan ook leiden tot een datalek. Denk maar aan het uitvoerig gemediatiseerde verhaal van de federale overheid die oude laptops verkocht met daarop nog vertrouwelijke medische informatie. Het gewoon formatteren van een harde schijf is trouwens niet voldoende. Iemand die voldoende technisch onderlegd is, haalt zo weer de informatie naar boven. Er zijn dus twee manieren om hiermee om te gaan: ofwel laten wissen door een gespecialiseerde firma, ofwel haal je de hamer boven.

Deze voorbeelden tonen overduidelijk aan dat datalekken niet alleen door hacking of onvoldoende beveiliging van de IT-infrastructuur ontstaan. Informatieveiligheid is ontegen­sprekelijk meer dan enkel IT. Het start bij voldoende bewustzijn bij de mensen die dagelijks met persoonsgegevens omgaan. Fysieke beveiliging is bijvoorbeeld ook een belangrijk aspect van informatieveiligheid. Iets wat eenvoudig afgedekt kan worden door een deur te sluiten. Desondanks wordt dat vaak vergeten. Wanneer het archief zich bevindt in een gebouw dat gedeeld wordt met andere organisaties, is het van erg groot belang dat er geen onbevoegden toegang krijgen tot de locatie waar de archiefstukken met persoonsgegevens bewaard worden. Dat kun je regelen met een systeem van toegangsbeheer op basis van badges en automatische deuren, maar de deur op slot doen is heus ook een effectieve manier.

Tips & tricks

Over het algemeen blijkt het bewustzijn rond informatievei­ligheid relatief laag. Het allerbelangrijkste wat je kunt doen is blijvend inzetten op sensibilisering. Een aantal actuele gebeur­tenissen, zoals de groots gemediatiseerde cyberaanval met het wannacry-virus, blijven op de absolute noodzaak daarvan wij­zen. De gevaren van phishing zijn reëel.

Phishing is een soort internetfraude waarbij mensen doorgaans via e-mail naar valse websites worden gelokt. Daar wordt hen allerlei informatie ,zoals wachtwoorden en creditkaartgegevens, afgetroggeld. Tegenwoordig is ransomware nog gevaarlijker. Daarbij wordt, vaak via een bijlage in een e-mail, een bestand op je pc gezet dat eerst je eigen PC en vervolgens je hele netwerk versleutelt, waarna gevraagd wordt om grote sommen geld via Bitcoin over te schrijven. Uiteraard zonder zekerheid dat betalen de oplossing zal bieden. Grote organisaties met een aanzienlijke IT-dienst hebben de middelen om dat soort aanvallen deels het hoofd te bieden, maar voor kleinere archiefdiensten is dat vaak niet mogelijk, met potentieel rampzalige gevolgen. Beter dus om te voorkomen dan genezen.

Je kunt zelf ook steeds een aantal stappen zetten om je veilig­heid te verhogen en je eigen persoonsgegevens te beschermen. Zo blijven wachtwoorden als 12345, qwerty, 1111 en ook gewoon password, anno 2017 nog steeds op veel lijstjes van meest gebruikte paswoorden ter wereld staan. Op die manier hoef je uiteraard niet verwonderd te zijn wanneer je account gehackt wordt. Een goed wachtwoord is lang, minstens twaalf karakters is een goede richtlijn. Hoe meer karakters, hoe moeilijker het wacht­woord te kraken wordt. Specialisten geven vaak de tip om eerder een wachtzin te gebruiken in plaats van een wachtwoord. Een wachtwoord als MijnZusGaatIedereZondagNaarDeSupermarkt bevat maar liefst 39 tekens en is een veel veiliger wachtwoord dan bv. 3a5D!?8Iy, en is daarenboven nog veel gemakkelijker te onthouden ook!

Archiefmedewerkers hebben ook vaak via hun archiefbeheersys­teem toegang tot de persoonsgegevens in allerlei archiefstuk­ken. Uiteraard is het belangrijk dat die medewerkers de nodige deontologie aan de dag leggen en niet zomaar in alles gaan snuisteren vooraleer een archief openbaar is. Nog belangrijker is dat een pc of laptop altijd versleuteld wordt achtergelaten, zodat anderen zonder die deontologie daartoe ook niet verleid kunnen worden. De toetsencombinatie Windowskey + L ver­grendelt je scherm en zorgt ervoor dat je pc op een onbewaakt moment niet zomaar gebruikt wordt door iemand anders om een snelle opzoeking te doen.