De nieuwe Europese verordening die ervoor moet zorgen dat zorgvuldiger wordt omgesprongen met persoonsgegevens zou voor nog meer kommer en kwel zorgen dan de millenniumbug. Of is de Algemene Verordening Gegevensbescherming (AVG) eerder een opportuniteit die zal leiden tot meer gestroomlijnde werkprocessen en tot meer strategisch omgaan met gegevens? Een ding is zeker: vanaf 25 mei 2018 moet de AVG toegepast worden in alle lidstaten, door al wie persoonsgegevens verwerkt.

Ook in de middens van erfgoedbeheerders doet de AVG (stilaan of eindelijk) stof opwaaien. De cover van het eerste nummer van META van 2018 riep het beeld op van het onherkenbaar gemaakte individu, maar de witte ballon refereerde tegelijk aan een blinde vlek, een hiaat als gevolg van de toepassing van de nieuwe wetgeving. Een grotere contradictie met het credo van archivarissen — de integriteit, authenticiteit en volledigheid van de beheerde informatie — is moeilijk denkbaar.

De meest belobbyde verordening

Wie als archivaris de pers volgt, heeft inderdaad reden om zich zorgen te maken. We worden om de oren geslagen met begrippen als doelbinding, opslagbeperking, minimale gegevensverwerking, het recht op rectificatie en op overdraagbaarheid van gegevens en zelfs het recht op gegevenswissing, beter bekend als het recht op vergetelheid. (Zie kadertekst 4 voor de omschrijving van deze begrippen.)

Dat recht om vergeten te worden heeft sinds 2012, toen het eerste voorstel van de Europese Commissie (EC) tot herziening van de Europese Privacyrichtlijn uit 1995 circuleerde, de gemoederen van de archivarissen beroerd en is sindsdien een vast agendapunt op de halfjaarlijkse bijeenkomst van de European Archives Group (EAG), die experten uit de lidstaten en uit geassocieerde landen bijeenbrengt. In mei 2012 werd toenmalig European Data Protection Supervisor Peter Hustinx uitgenodigd op de EAG-bijeenkomst in Kopenhagen. Zijn boodschap stelde de aanwezigen niet meteen gerust: de uitzonderingen die de EU-Richtlijn van 1995 voorzag voor historisch onderzoek en waarop ook archiefdiensten zich beriepen, zouden drastisch teruggeschroefd worden. Via Eurbica, de Europese afdeling van de International Council on Archives (ICA), maakten eind 2012 de Europese nationale archivarissen hun bezorgdheid officieel kenbaar aan Viviane Reding, vice-voorzitter van de EC en bevoegd voor Justitie en Mensenrechten.

Gedurende de daaropvolgende drie jaren zagen honderden aanpassingen aan de ontwerpverordening het licht — de AVG heeft dan ook de reputatie de meest belobbyde verordening in de geschiedenis van de EU te zijn. In het Europees Parlement werden meer dan vierduizend amendementen voorgesteld. Ook de archiefsector liet zich niet onbetuigd, via contacten van nationale archivarissen met hun regering, met de permanente vertegenwoordiging van hun land bij de EU en/of met Europese parlementsleden, maar ook rechtstreeks met de Raad van de EU (de werkgroep DAPIX) en met de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement (LIBE). Informeel overleg met DG JUST (de afdeling van de EC bevoegd voor het EU-beleid op vlak van justitie), met de European Data Protection Supervisor en met de nationale toezichthouders gegevensbescherming (in België de Commissie voor de Bescherming van de Persoonlijke Levenssfeer, kortweg de Privacycommissie) was eveneens een frequent gebruikte strategie.

En onverdroten lobbyen was meer dan ooit nodig, want vooral op aansturen van de Service Interministériel des Archives de France (SIAF) had de Europese archiefsector de ambities scherpgesteld: in plaats van te ijveren voor het behoud van uitzonderingen voor historisch onderzoek en zich onder die vlag te scharen, claimden de archiefinstellingen eigen uitzonderingen. Archieven worden immers niet enkel bewaard voor onderzoeksdoeleinden; archieven hebben ook een wettelijke taak ten behoeve van de recht- en bewijszoekende burger!

Eind 2013 zag het er helemaal niet goed uit. Zelfs Willem Debeuckelaere, voorzitter van de Belgische Privacycommissie, sprak op 23 november 2013 op de Annual Conference van de ICA over “Bad news. A new European data protection regulation is coming, including a terrible monster for archivists, at least that is what I fear: the right to be forgotten. What this means concretely is not just an enigma, but also a real nightmare. The right to be forgotten is said to imply in general that individuals have the right to erase documents or other elements from their personal life”.

Een nieuwe uitzonderingsgrond: archivering in het algemeen belang

De archivarissen lieten zich evenwel niet zo gauw ontmoedigen en bleven ijveren voor aparte en specifieke bepalingen die verwerkingen voor archiveringsdoeleinden mogelijk moesten maken. En die vasthoudendheid begon in de loop van 2014 vruchten af te werpen: voorstellen circuleerden waarin aparte artikelen werden gewijd aan “the processing of personal data for historical, statistical or scientific purposes and for archiving purposes in the public interest”. Het succesverhaal verliep evenwel niet rechtlijnig: soms waren er setbacks en verdwenen de archiving purposes even, om in een volgende versie opnieuw op te duiken. Met andere woorden: de EU-instanties wisten de spanning er in te houden tot 27 april 2016, toen de Verordening werd uitgevaardigd (publicatie volgde op 4 mei).

Op 27 april 2016 kon de Europese archiefsector collectief een zucht van verlichting slaken: art. 17 van de AVG, dat het recht op gegevenswissing of op vergetelheid betonneerde, voorzag dadelijk ook een uitzondering voor “verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden”. En in art. 5 van de Verordening werden voor diezelfde doeleinden uitzonderingen voorzien op de principes van doelbinding en opslagbeperking. Met andere woorden: met het oog op archivering in het algemeen belang mogen persoonsgegevens verder verwerkt worden en mogen ze bewaard worden in een vorm die identificatie van de betrokkenen niet onmogelijk maakt.

Maar: archivering in het algemeen belang is allesbehalve een blanco cheque! Want elke uitzondering in de AVG wordt gevolgd door het woord ‘overeenkomstig’, een voorzetsel dat meteen een voorwaarde, in dit geval een beperking inhoudt.

Afwijkingen, indien ook waarborgen

In art. 89 van de AVG worden de “Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden” geregeld (zie kadertekst 2).

Wanneer uitzonderingen voor archivering in het algemeen belang worden ingeroepen, moet bij lidstatelijk recht voorzien worden in passende waarborgen om de rechten en vrijheden van de betrokkene overeenkomstig de AVG te garanderen. Mits in de grootst mogelijke mate het principe van minimale gegevensverwerking gehuldigd wordt, kan voor archivering in het algemeen belang afgeweken worden van het recht van inzage, het recht op rectificatie, het recht op beperking van verwerking, de kennisgevingsplicht inzake rectificatie of wissing, het recht op gegevensoverdraagbaarheid en het recht van bezwaar, naast het reeds eerder aangehaalde recht op wissing of op vergetelheid (art. 17). Ook voor de verwerking van bijzondere categorieën van gevoelige persoonsgegevens (zie kadertekst 4), waarvan de verwerking volgens art. 9 van de AVG verboden is, kan bij lidstatelijk recht de verwerking voor archiefdoeleinden geregeld worden, waarbij evenwel “de wezenlijke inhoud van het recht op bescherming van persoonsgegevens moet worden geëerbiedigd” (art. 9, par. 2.j).

De federale kaderwet tot uitvoering van de AVG

Wat betekent dat concreet voor de archiefpraktijk? In België is de federale wetgever voor de materie bevoegd. Philippe De Backer, staatssecretaris voor (o.a.) Privacy, heeft opdracht gegeven aan de FOD Justitie tot voorbereiding van een “voorontwerp van wet betreffende de bescherming van natuurlijke personen ten opzichte van de verwerking van persoonsgegevens”. Een kaderwet zal niet alleen de afwijkingen voor archivering in het algemeen belang, wetenschappelijk en historisch onderzoek en statistische doeleinden en de daaraan gekoppelde waarborgen voor de gegevensbescherming regelen (Titel 4 van de ontwerpversie van januari 2018), maar ook de algemene bepalingen, de rechten van de betrokkene en de plichten van de verwerkingsverantwoordelijken (Titel 1), de verwerking van persoonsgegevens door de gerechtelijke overheden en politiediensten (Titel 2) en door de inlichtingen- en veiligheidsdiensten (Titel 3) en tot slot de rechtsmiddelen ter beschikking van de betrokkene (Titel 5). Op het ogenblik van de redactie van deze bijdrage (begin februari) wordt het voorontwerp besproken in de interkabinettenwerkgroep, waarna het nog ter goedkeuring voorgelegd moet worden aan de Ministerraad en nadien voor advies aan de Raad van State. Tot slot, eventueel na aanpassingen, wordt het wetsontwerp naar de Kamer gezonden. De weg is dus nog lang, de tijd die rest tot 25 mei evenwel kort.

Ook de EC toont zich bezorgd over de naderende deadline en roept de lidstaten op een versnelling hoger te schakelen. In een Mededeling van de Commissie aan het Europees Parlement van 24 januari 2018 luidt het: “In dit stadium hebben pas twee lidstaten (Duitsland en Oostenrijk) de relevante nationale wetgeving reeds vastgesteld; de overige lidstaten bevinden zich in verschillende stadia van hun wetgevingsprocedures”. Op het kabinet van staatssecretaris De Backer maakt men zich evenwel sterk dat België op schema zit: de hervorming van de huidige Privacycommissie tot een gegevensbeschermingsautoriteit is rond en de kaderwet is in voorbereiding en wordt in februari 2018 voorgelegd aan de Ministerraad (Datanews, 26/01/18).

Hoewel de definitieve inhoud van de kaderwet nog niet helemaal vaststaat, kunnen — in lijn met eerdere privacywetgeving (zoals de Wet tot omzetting van de richtlijn 95/46/van 11 december 1998, BS 03.02.1999) en het KB ter uitvoering van de wet van 8 december 1992 van 13 februari 2001, BS 13.03.2001) de kerngedachten met enige zekerheid geduid worden:

• Archiefinstellingen die gebruik willen maken van de afwijkingen voorzien voor archivering in het algemeen belang zullen verplicht een functionaris voor gegevensbescherming, beter bekend onder het acroniem DPO (data protection officer) moeten aanstellen. Voor alle overheidsinstellingen in de EU is dat sowieso een verplichting (ook een freelance DPO of een gedeelde DPO is mogelijk);
• In het verplicht bij te houden register van de verwerkingsactiviteiten (art. 30 van de AVG) moet de verwerkingsverantwoordelijke voor de archivering het algemeen belang van de bewaarde archieven verantwoorden;
• Bij het verzamelen van gegevens moet in een overeenkomst of kennisgeving de concrete informatie over de gegevensverwerking opgenomen worden, zoals contactgegevens van verantwoordelijken van eerdere verwerkingen en van DPO’s, het algemeen belang van de gegevens, de categoriëen van gegevens;
• De verwerkingsverantwoordelijke moet motiveren waarom de uitoefening van de rechten vervat in de artikelen 15 t.e.m. 21 van de AVG de verwezenlijking van de archiveringsdoeleinden onmogelijk dreigt te maken of ernstig te belemmeren;
• Hoewel voor archiveringsdoeleinden geen sprake kan zijn van anonimisering van persoonsgegevens, moet bij verspreiding de verwerkingsverantwoordelijke minimale gegevensverwerking betrachten [‘verspreiding’ betekent ter beschikking stellen van informatie zonder identificatie van de bestemmeling, bijv. via de website];
• De verwerkingsverantwoordelijke verspreidt geen niet-gepseudonimiseerde gegevens, tenzij de betrokkene zijn toestemming heeft verleend, de gegevens door de betrokkene zelf openbaar zijn gemaakt of de gegevens nauw samenhangen met het openbare of historische karakter van de betrokkene of van feiten waarin hij/zij verwikkeld was;
• De verwerkingsverantwoordelijke moet erop toezien dat de meegedeelde niet-gepseudonimiseerde gegevens niet gereproduceerd worden, tenzij onder speciale voorwaarden [‘mededeling’ betekent ter beschikking stellen van informatie aan geïdentificeerde personen of groepen, bijv. aan een onderzoeker in de leeszaal].

Intussen werd bij wet van 3 december 2017 (BS 10.01.2018) de Privacycommissie omgevormd tot een gegevensbeschermingsautoriteit (GBA), zoals voorzien in de AVG. De GBA die op 25 mei 2018 in functie treedt, heeft niet alleen uitgebreide controle- en sanctionerende bevoegdheid, maar heeft ook de uitdrukkelijke opdracht om kosteloos advies te verlenen aan verwerkingsverantwoordelijken en hun DPO’s (art. 57 van de AVG).

Een gedragscode voor archiefinstellingen

Een andere taak van de GBA is de redactie van sectorspecifieke gedragscodes stimuleren, zoals bepaald in art. 40 van de AVG. Gedragscodes moeten bijdragen tot de juiste toepassing van de AVG in de sector in kwestie. Al van in 2012 staat een dergelijke gedragscode voor archiefdiensten op de agenda van de EAG. Sinds april 2016 raakte het proces in een stroomversnelling: ontwerpversies werden besproken en bijgesteld, stakeholders werden geraadpleegd, aanpassingen doorgevoerd, enz. Er is een basistekst, maar de randvoorwaarden zijn nog niet vervuld: de Werkgroep Art. 29, die de toezichthouders van alle lidstaten groepeert, werkt momenteel aan een richtlijn over gedragscodes, zowel wat hun inhoud betreft als de te volgen procedure. De goedkeuringsprocedure kan trouwens niet opgestart worden voor 25 mei 2018. In afwachting van die richtlijn zijn op de website van de Privacycommissie enkele fundamentele principes voor gedragscodes terug te vinden. Op diezelfde website (www.privacycommission.be) is trouwens alle beschikbare informatie over de AVG en de implementatie ervan overzichtelijk en zoveel mogelijk in het Nederlands terug te vinden, inclusief een stappenplan, een uitgebreide FAQ, een online contactformulier en een downloadbaar Model voor Register van de verwerkingsactiviteiten.

Privacy Guide en Privacy Register

Het bijhouden van een register van de verwerkingsactiviteiten is een verplichting voor al wie persoonsgegevens verwerkt. Overheidsdiensten verwerken massale hoeveelheden persoonsgegevens. Om (federale) administraties toe te laten tegemoet te komen aan de registerverplichting en tegelijk het recht op toegang tot informatie van de burger te verbeteren, werd op last van de staatssecretaris voor Privacy een webapplicatie ontwikkeld die zorgt dat alle informatie over de gegevensstromen centraal bewaard wordt. De website bestaat uit twee delen: de Privacy Guide (publieke website) en het Privacy Register (private omgeving). De applicatie moet zorgen dat de federale administraties voldoen aan de AVG-verplichtingen én moet leiden tot meer transparantie en tot administratieve vereenvoudiging, aangezien het only once-principe geïmplementeerd wordt. En een niet onbelangrijk aspect van deze rationalisering: ze is kostenbesparend. Begin 2018 werd een pilootversie van de toepassing door verschillende administraties uitgetest. Het is de bedoeling de definitieve versie zo snel mogelijk, dus ruim voor 25 mei 2018, ter beschikking van alle federale diensten te stellen.

Drievoudige uitdaging

25 mei 2018 betekent voor de Europese archiefdiensten een meervoudige uitdaging:

1.  Ze moeten bij het implementeren van IT-toepassingen voor hun dagelijkse werking (HR, boekhouding, adressenbestanden, enz.) de gewone AVG-vereisten naleven;
2. Willen ze gebruik maken van de afwijkingen voor archivering in het algemeen belang, dan moeten ze specifieke bepalingen naleven en waarborgen voorzien — hoewel de Belgische kaderwet er nog niet is, moeten onder meer alle gegevensstromen in kaart worden gebracht, knelpunten gedetecteerd, bestaande toepassingen en gebruiken voor mededeling en verspreiding van archieven tegen het licht worden gehouden en moet een DPO aangesteld worden;
3. Idealiter: archiefinstellingen moeten de archiefoverbrengende organisaties kunnen adviseren over hoe ze bij het ontwerpen van hun IT-toepassingen de regels i.v.m. gegevensbescherming kunnen nakomen en tegelijk overdrachtsvriendelijk blijven (bv. door te zorgen dat versleutelde gegevens ook gedecodeerd kunnen worden). Immers: volledigheid en authenticiteit van het bestand blijven hét criterium!

1. Archivering in het algemeen belang

Wat wordt bedoeld met archivering in het algemeen belang? De term wordt niet nader verduidelijkt in de AVG, behalve door de toevoeging dat “overheidsinstanties of openbare of particuliere organen die in het bezit zijn van gegevens van algemeen belang diensten moeten zijn die, conform het Unierecht of het lidstatelijke recht, wettelijk verplicht zijn gegevens van blijvende waarde voor het algemeen belang te verwerven, te bewaren, te beoordelen, te ordenen, te beschrijven, mee te delen, onder de aandacht te brengen, te verspreiden en toegankelijk te maken” (Overweging 158).

Ook de federale wetgever lijkt niet de intentie te hebben om ‘algemeen belang’ strikt te omschrijven — wat een goede zaak is. Sommige juristen verbinden algemeen belang wel met vrij toegankelijk. Informatie die ter beschikking gesteld wordt met een winstoogmerk — wat niet hetzelfde is als kostendekkend — zal moeilijker te bestempelen zijn als van algemeen belang (Patrick Van Eecke in zijn bijdrage aan het congres Right to be forgotten vs. Right to remember, Brussel, 10 okt. 2016 — Acta ter perse).

2. Artikel 89 van de AVG

Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

1. De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten [...]
2.  
3. Wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht of het lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18, 19, 20 en 21 genoemde rechten, behoudens de in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten het verwezenlijken van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.

3. En de Vlaamse decreten?

In recente wetgevende initiatieven in Vlaanderen is duidelijk aandacht voor de AVG. Zo werden reeds alle decreten gescreend om de overeenstemming met de bepalingen van de AVG na te gaan. Aangezien het nieuwe Vlaams Bestuursdecreet, dat twaalf bestaande bestuurlijke decreten moet coördineren, nog volop in voorbereiding is, is het definitieve plaatje nog onduidelijk.

4. Kernbegrippen uit de AVG

• Doelbinding (purpose limitation) (art. 5 par. 1b)
  Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld worden en mogen vervolgens niet verder verwerkt worden.
• Minimale gegevensverwerking (data minimisation) (art. 5 par. 1c)
  Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
• Opslagbeperking (storage limitation) (art. 5 par. 1e)
  Persoonsgegevens moeten bewaard worden in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is.
• Bijzondere categorieën van persoonsgegevens (art. 9 par. 1)
  Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, seksuele geaardheid, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische, biometrische of gezondheidsgegevens.
• Gegevensbescherming door ontwerp en door standaardinstellingen (art. 25)
  -    Gegevensbescherming door ontwerp (data protection by design):
  Technische en organisatorische maatregelen, zoals pseudonimisering, die de beginselen van minimale gegevensverwerking implementeren en garanderen (= via softwareontwikkeling met gegevensbeschermingsvriendelijke technologie)
  -    Gegevensbescherming door standaardinstellingen (data protection by default)
  Technische en organisatorische maatregelen die zorgen dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking.