Word lid
Word lid

De algemene Verordening Gegevensbescherming en archieven (20 oktober 2017)

Home META META Nummer 2018/1 De algemene Verordening Gegevensbescherming en archieven (20 oktober 2017)
META Nummer 2018/1

De algemene Verordening Gegevensbescherming en archieven (20 oktober 2017)

Geschreven door Werkgroep Automatisering
Gepubliceerd op 15.01.2018

De nieuwe Europese regelgeving inzake privacy zorgde al sinds zijn genese voor onrust in vele sectoren. De informatie- en archiefsector is hierop geen uitzondering. Aan de ene kant waren bewaarinstellingen zoals archieven beducht voor de impact dat het zogenaamde right to be forgotten zou meebrengen. Daarnaast worden vele archivarissen en informatiebeheerders in organisaties geconfronteerd met de invloed van de AVG op het interne informatiebeheer. Tijdens de studiedag op 20 oktober 2017 kwamen beide aspecten aan bod en probeerden we een antwoord te geven op de vele vragen die in de informatie- en archiefsector leven rond de nieuwe wetgeving en de impact op de sector.

Privacy doorheen de jaren
Willem Debeuckelaere, voorzitter van de huidige Privacycommissie, opende de studiedag met een historisch overzicht van het concept privacy om daarna over te schakelen op het onderwerp van de dag: de AVG. Enkele kernconcepten werden toegelicht. Een geheel nieuw kernbegrip is dat van de accountability, de verantwoordingsplicht. Organisaties weten in principe best hoe ze kunnen omgaan met persoonsgegevens die ze in hun bezit hebben. De AVG vertrekt dan ook vanuit het principe dat er geen strikt kader moet worden opgelegd, maar dat het aan de organisatie zelf toekomt om te verantwoorden welke procedures of mechanismen er geïnstalleerd zijn om de bepalingen van de AVG te respecteren. Geen one size fits all dus, een thema dat doorheen de studiedag zal terugkomen. En dan is er de Data Protection Officer (DPO) of Functionaris voor de gegevensbescherming. De DPO moet een onafhankelijke raadgevende instantie zijn binnen een organisatie. Hij of zij treedt niet normerend of sanctionerend op, maar verleent advies over hoe processen aangepast kunnen worden aan de AVG. Overheidsinstellingen worden verplicht een DPO aan te stellen. Het middel om controle en overzicht te bewaren over alle processen waar persoonsgegevens worden verwerkt (waarom, wanneer, hoe (lang)) is het register van de verwerkingsactiviteiten.

Wat vooral doorschijnt in de presentatie van Debeuckelaere is dat er geen unieke oplossing bestaat die aan organisaties aangeboden kan worden. Voldoen aan de bepalingen van de AVG heeft veel weg van een proces van kwaliteitscontrole: continue analyse en aanpassing is noodzakelijk.
Terug naar het archief
Voor archieven is het vooral interessant om te weten dat er uitzonderingen zijn voorzien voor de verdere verwerking met het oog op archivering in het algemeen belang. Inge Schoups (Stadsarchief Antwerpen) benadrukt het belang van deze expliciete vermelding: het is de eerste keer dat een verordening archivering zo’n uitgesproken plaats geeft. De AVG laat archieven toe om hun maatschappelijke rol verder te vervullen, maar legt ook een aantal nieuwe verantwoordelijkheden op aan archieven. De verordening is dan wel enkel van toepassing op levende personen, kortere overbrengingstermijnen zorgen er voor dat er meer en meer gegevens over levende natuurlijke personen bij archieven terechtkomen.

Het is evenwel niet de eerste keer dat we als sector geconfronteerd worden met gegevensbescherming. Het spanningsveld tussen openbaarheid van bestuur en privacy plaatst archivarissen al enige tijd voor moeilijke afwegingen. De AVG drukt ons nogmaals op het feit dat we nog zorgvuldiger zullen moeten omspringen met namen van identificeerbare levende personen. Zo nam het stadsarchief Antwerpen ook in het verleden al enkele maatregelen (o.a. het verwijderen van namen van aanvragers van bouw- en milieuvergunningen uit publiek beschikbare detailtoegangen).

Bij wijze van voorsmaakje ging Inge Schoups in op het wetsvoorstel dat momenteel circuleert. Een kaderwet zal de noodzakelijke voorwaarden opsommen zodat archiefinstellingen gebruik kunnen maken van de uitzonderingen die de AVG voorziet. Zo moeten we waarschijnlijk geen strakke definities verwachten van de verwerking met het oog op archivering of van het algemeen belang. De DPO heeft daarentegen een cruciale rol te vervullen t.o.v. archiefdiensten. Ook het register van verwerkingsactiviteiten is een must. Bij de verwerving van archieven zal het algemeen belang verantwoord moeten worden (en bijgevoegd worden bij het register). Ook de communicatie van persoonsgegevens moet strakker geregisseerd worden.

Het register van de verwerkingsactiviteiten vs. archief-en informatiebeheer
Een weerkerend thema in de namiddag is het register van de verwerkingsactiviteiten (hierna AVG-register). Het blijkt uit verschillende presentaties dat archivarissen en informatiebeheerders belangrijke bouwstenen kunnen aanreiken aan hun instellingen. Informatieveiligheid en informatiebeheer kunnen zo goed als hand in hand gaan. Renée Cambré (Vlaams Parlement) sprak o.a. over het opstellen van een dataclassificatie. Deze oefening wordt ondersteund door de opmaak van archiefbeheersplannen. Processen, bewaartermijnen, bestemmingen en verantwoordingen bieden kapstokken om een interne dataclassificatie (geheime, interne of publieke informatie) aan op te hangen.

Quincy Oeyen (Vlaamse overheid) pikte de draad op en ging verder op het nut van informatiebeheersplannen om orde te scheppen in de chaos die in de verschillende entiteiten van de Vlaamse Overheid heerst. Zo wordt al snel duidelijk dat een aantal belangrijke elementen van het AVG-register eenvoudig te vinden zijn in informatiebeheersplannen. Verwerkingsdoeleinden worden duidelijk uit de geregistreerde processen, bestemming en bewaartermijnen worden geëxpliciteerd en gemotiveerd. Er ontbreken evenwel nog enkele elementen waaraan momenteel gewerkt wordt (een gedetailleerde categorisering van actoren en persoonsgegevens, een dataclassificatie, enz.), maar de Vlaamse overheid is ervan overtuigd dat het IBP samen met een organisatieregister (overzicht van de VO-entiteiten) en een dienstverleningsregister al aan heel veel eisen van het AVG-register tegemoetkomt.

Sofie Roebben en Soizik Van Huele trachtten duidelijk te maken hoe de Provincie Antwerpen omgaat met de komst van de AVG. Om te beginnen is er een grotere bewustmaking nodig binnen de organisatie. Wat is de AVG? Hoe gaan we om met dataveiligheid op ICT-gebied? Hoe gaan we de minimalisering van gegevensverzameling bewerkstelligen? De Provincie Antwerpen werkt aan een stappenplan dat zich nog in embryonaal stadium bevindt. Welke documenten moeten uit dossiers geschoond worden? Waar speelt het openbaar belang? Ook de uitwerking van het AVG-register komt aan bod. Kan een IPB bv. soelaas bieden? Bij de Provincie Antwerpen is men sceptisch. Een één-op-één relatie bouwen zal moeilijk worden omdat beide instrumenten andere uitgangspunten hebben (minimale vs. maximale bewaartermijnen).

Katia Bodard en Sander Breeman van de KU Leuven bekeken het register vanuit het oogpunt van een bedrijfsjurist en IT-auditor. Tijdens hun presentatie gaven ze een overzicht van de stappen die ze al gezet hadden en nog gingen zetten om te voldoen aan de eisen die de AVG oplegt, geen eenvoudige taak voor een organisatie ter grootte van de KUL. De vele onderzoekers en studenten maken de omgeving complex. Door het aanreiken van richtlijnen en tools zoals een risico-inschatting geven ze hun medewerkers de nodige middelen om te voldoen aan de AVG. Aangezien ze onmogelijk alles zelf kunnen opvolgen, zorgen ze voor steekproefsgewijze controles op de naleving van de procedures die ze hebben opgesteld.

Verdere stappen naar invoering van de wetgeving in België

Als laatste spreker gaf Karin Van Honacker een beeld van de stappen die internationaal gezet worden om de AVG ingang te doen vinden in de archiefsector in Europa. Door de sterke invloed die de AVG zal hebben op de werking van archiefinstellingen, werd er vanuit de EAG (European Archives Group) beslist om een gezamenlijke gedragscode op te stellen. Deze gedragscode wil de invloed van de wetgeving concreter maken en aangeven hoe de sector moet inspelen op wat van hen wordt gevraagd. De voorbije jaren werd er tijdens verschillende internationale bijeenkomsten aan de gedragscode gewerkt, maar momenteel is er nog geen definitieve tekst. Daarvoor is het wachten op de effectieve invoering van de AVG. Pas dan kan er advies komen op de gedragscode.

Conclusie

Een algemene conclusie die we kunnen voorleggen na de studiedag is dat er nog steeds veel vragen en onduidelijkheden zijn. Ondanks het feit dat de invoering van de AVG er in mei 2018 aankomt, zijn er nog maar weinig zekerheden rond wat het gevolg van de AVG precies zal zijn, zowel voor archiefinstellingen als voor het informatie- en archiefbeheer bij organisaties. Het zal er dus op aankomen om de verschillende initiatieven rond de AVG de komende maanden in het oog te houden zodat we er snel op in kunnen spelen. De Werkgroep Automatisering volgt de ontwikkelingen van nabij op en bereidt zich voor om een vervolg te breien aan de studiedag van 20 oktober.

Waarom lid van de VVBAD worden?

  • Deel zijn van het netwerk van experten en collega's
  • Mee de belangen van de informatiesector behartigen
  • Korting krijgen op de activiteiten van de VVBAD
  • Toegang krijgen tot vakinformatie
  • Participeren in de verenigingsbesturen
Word lid
© Vlaamse Vereniging voor Bibliotheek, Archief & Documentatie vzw
Statiestraat 179 | B-2600 Berchem (Antwerpen)
Tel: (+32) 03 281 44 57 | email: vvbad@vvbad.be