Jens Bertels (AMVB) en Bart Magnus (PACKED vzw)

1. Inleiding

De laatste weken en maanden kon je er niet naast kijken: de Algemene Verordening Gegevensbescherming (AVG), beter bekend onder de Engelse afkorting GDPR, trad op 25 mei 2018 in werking. De naderende deadline ging gepaard met alarmistische uitnodigingen voor vormingen en workshops, allerhande artikels en blogs en oproepen in nieuwsbrieven.                              

Dit heeft te maken met het feit dat veel organisaties te laat in gang zijn geschoten of niet de nodige expertise in huis hebben, maar evenzeer met de complexiteit van de wetgeving. Zo resulteerde het ontwerp van de Europese verordening, dat na drie jaar klaar was, in maar liefst vierduizend voorstellen voor amendementen. Dit wijst op de veelheid aan belangen en de brede waaier aan achterliggende waarden. De wettekst is hierdoor vaak bewust dubbelzinnig opgesteld, wat tot onduidelijkheid en ongerustheid leidde.

Wat in de hele hetze rond de nieuwe wetgeving zelden of niet de revue passeerde, was informatie met betrekking tot de repercussies voor archiefzorg. Welke gegevens mogen organisaties nog verzamelen? Welke gegevens mogen langdurig bewaard worden? En welke niet? Hoe zit het bijvoorbeeld met een archiefoverdracht? En wat met de raadpleging van het archiefmateriaal?

2. De principes met betrekking tot de verwerking van persoonsgegevens

Om een antwoord te kunnen formuleren op bovenstaande vragen moeten de principes en beginselen met betrekking tot de verwerking van persoonsgegevens van naderbij bekeken worden. Vooraleer deze principes en beginselen besproken worden, is het raadzaam om terug te grijpen naar de definities van verwerking en persoonsgegevens:

Persoonsgegevens:

“alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, of locatiegegevens, maar even goed ook een online identificator of een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.”1

Verwerking:

“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.”2

Volgens deze definities is archiefzorg in bijna alle gevallen een verwerking van persoonsgegevens. De verordening somt na de begrippenlijst een heleboel beginselen van de verwerking van persoonsgegevens op. Deze beginselen moeten gerespecteerd worden bij het verwerken van persoonsgegevens en dus ook bij de archiefzorg: rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid en verantwoordingsplicht. De wettekst beschrijft niet elk principe even uitvoerig en verschaft niet altijd volledige duidelijkheid over hoe aan het principe voldaan moet worden.

Het eerste principe stipuleert dat persoonsgegevens rechtmatig, behoorlijk en transparant verwerkt moeten worden. Van een rechtmatige verwerking wordt gesproken in zes gevallen: (1)wanneer de betrokken persoon toestemming heeft gegeven, (2) wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst of contract, (3) in het geval van de behartiging van een gerechtvaardigd belang, (4) om te voldoen aan een wettelijke verplichting, (5) voor de bescherming van vitale belangen of (6) voor de vervulling van een taak van algemeen belang.De belangrijkste rechtsgronden voor de verwerking van persoonsgegevens voor kunstorganisaties zijn de toestemming van de betrokken persoon, de uitvoering van een overeenkomst of contract en het behartigen van een gerechtvaardigd belang (bijvoorbeeld het garanderen van een degelijke werking van de organisatie).3

Een behoorlijke verwerking houdt onder andere in dat de verwerking van de verzamelde gegevens gebeurt met respect voor de betrokken persoon en op een manier die in  lijn ligt met de verwachtingen van deze persoon. Zo is het behoorlijk om bijvoorbeeld een mailadres uit je adressenbestand te verwerken om een nieuwsbrief te verzenden. Het is echter niet behoorlijk om andere organisaties met een gelijkaardige doelgroep dit mailadres te laten verwerken. Een transparante verwerking steunt vooral op een open, duidelijke en eenvoudig te begrijpen communicatie over de verwerking. De betrokken persoon moet zicht hebben op welke gegevens verzameld worden en wat er met zijn persoonsgegevens gebeurt. Dit kan bijvoorbeeld door middel van een privacyverklaring.  

Een tweede belangrijk principe voor de verwerking van persoonsgegevens is dat van de doelbinding. Verwerkingen moeten steeds gebeuren volgens welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, waarvoor de betrokken persoon telkens toestemming heeft gegeven. De gegevens mogen hierna in principe niet verwerkt worden op een met die doeleinden onverenigbare wijze, tenzij een gerechtvaardigd belang aangetoond kan worden. Uit dit principe van doelbinding vloeien enkele andere principes voort. Zo is er bijvoorbeeld het principe van de minimale gegevensverwerking, dat stelt dat de verwerking beperkt moet blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij verwerkt worden. Tevens moet er sprake zijn van opslagbeperking. De gegevens mogen niet langer bewaard worden dan noodzakelijk voor de doeleinden die bij het verzamelen van de gegevens opgesomd werden.

Vervolgens zijn er ook nog de principes van de juistheid, integriteit en vertrouwelijkheid. Het beginsel van de juistheid houdt in dat de verzamelde persoonsgegevens juiste informatie moeten bevatten en dat er indien nodig wijzigingen worden doorgevoerd. In het kader hiervan hebben de betrokken personen recht op rectificatie. Het beginsel van de integriteit en vertrouwelijkheid spoort de verwerkingsverantwoordelijke aan om een goede beveiliging te voorzien en te beletten dat er ongeoorloofde of onrechtmatige verwerkingen plaatsvinden of onopzettelijke verliezen of vernietigingen van persoonsgegevens optreden. Hiertoe moeten passende technische en organisatorische maatregelen getroffen worden.

3. Wat met archiefzorg?

Deze principes behartigen de belangen van de personen wiens persoonsgegevens verwerkt worden. Er zijn echter ook andere belangen in het spel, die in overeenstemming gebracht moeten worden met de bescherming van de persoonsgegevens. Zo is er onder andere het recht op informatie, het belang van wetenschappelijk en historisch onderzoek of simpelweg het vlot en efficiënt functioneren en beheren van een organisatie (waar archiefzorg een onderdeel van is).

Wie de principes leest en op een rijtje zet, krijgt het gevoel dat de GDPR een probleem kan vormen voor de archiefzorg van een organisatie. Voornamelijk de principes van doelbinding, minimale gegevensverwerking en opslagbeperking lijken te impliceren dat archivering een juridisch heikele onderneming wordt. De gecommuniceerde doeleinden van de verwerking bevatten immers zelden het langdurig bewaren van de verzamelde gegevens (wat bovendien in strijd is met de principes van minimale gegevensbescherming en opslagbeperking). De wettekst houdt echter rekening met deze problematiek. Zo valt er te lezen dat de “de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden […] niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd“ wordt.4De GDPR verschaft op deze manier de verwerkingsverantwoordelijke handelingsruimte op het vlak van archiefzorg. Hiermee is de kous echter niet af.    Aangezien bij vele verwerkingen van persoonsgegevens archiefzorg niet als doel gespecifieerd is, zal meestal de toestemming van de betrokken persoon ontbreken. De verwerkingsverantwoordelijke zal zich in dat geval niet kunnen beroepen op toestemming als rechtsgrond voor de verwerking. Het inroepen van een gerechtvaardigd belang als verwerkingsgrond is de meest voor de hand liggende optie. De verschillende uitzonderingen in de wettekst met betrekking tot archivering tonen aan dat de wetgever het belang van archivering inziet. Het is immers zowel voor de archiefvormende organisatie als voor de samenleving in het geheel van belang dat er goede archieven bijgehouden worden. Een samenleving zonder archieven kan haar geschiedenis niet reconstrueren.Een organisatie zonder archieven verliest zicht op haar voorgaande handelingen en verliest essentiële informatie. Een goed beheer van de dynamische archieven is ook instrumenteel voor de efficiënte werking van een organisatie. Bovendien is een goede archiefzorg belangrijk om te voldoen aan het GDPR-principe van integriteit en vertrouwelijkheid, daar het verlies van informatie en onrechtmatige verwerkingen hierdoor vermeden kunnen worden. Verwerkingsactiviteiten in het kader van archiefzorg vormen dus een gerechtvaardigd belang. Bij een gerechtvaardigd belang is het wel noodzakelijk om steeds een afweging te maken tussen het recht op privacy enerzijds en het belang van de organisatie (en de samenleving) anderzijds.

De GDPR vermeldt bij de uitleg van het principe van de opslagbeperking eveneens dat persoonsgegevens voor langere perioden mogen worden opgeslagen “voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden” verwerkt worden.5 Verwerkingen die hierdoor mogelijk worden, zijn onder andere langdurige en duurzame opslag, een archiefoverdracht, het ontsluiten en raadpleegbaar maken van archieven, een inventaris of andere toegang creëren,... Bij al deze verwerkingen moet de bescherming van persoonsgegevens wel actief nagestreefd worden. Artikel 89 van de GDPR, dat specifiek een uitzonderingsgrond voor archiveren in het leven roept, gaat hierop verder in en stelt dat er passende technische en organisatorische maatregelen getroffen moeten worden.        

4. Bijkomende concepten en belangrijke artikels

Passende technische en organisatorische maatregelen

De GDPR vermeldt meerdere malen dat elke organisatie passende technische en organisatorische maatregelen moet treffen bij de verwerking van persoonsgegevens. Deze maatregelen moeten rekening houden met de stand van de techniek, de uitvoeringskosten  en de aard, omvang en context van de organisatie en de verwerkingsdoeleinden. De wettekst vermeldt pseudonomisering en versleuteling als mogelijke maatregelen en stelt ook dat organisaties de betrouwbaarheid van hun verwerkingssystemen moet garanderen, beoordelen en evalueren.

Door deze weinig concrete invulling is het aan te raden om de sectorale gedragscodes te raadplegen. In deze codes bepalen de verschillende sectoren best practices omtrent de verwerking van persoonsgegevens. Deze codes worden door representatieve groepen samengesteld en goedgekeurd door de Gegevensbeschermingsautoriteit. Het is in België nog even wachten op de uitwerking van deze sectorale gedragscodes. 

 Artikel 30: gegevensverwerkingsregister

Een andere belangrijke vernieuwing in de GDPR is het Gegevensverwerkingsregister (artikel 30). Organisaties worden vanaf nu verplicht om in dit register de verwerkingsactiviteiten te vermelden die onder hun verantwoordelijkheid plaatsvinden. Dit register bevat de gegevens van de verwerkingsverantwoordelijke, de verwerkingsdoeleinden, een beschrijving van de categorieën van betrokkenen, een beschrijving van de categorieën van persoonsgegevens en ontvangers, indien mogelijk de termijn van wissen en indien mogelijk de technische en organisatorische beveiligingsmaatregelen.

Dit register moet in schriftelijke vorm opgesteld worden, waaronder ook elektronische vorm wordt begrepen. De tekst schrijft dat dit niet verplicht is voor organisaties die minder dan 250 personen in dienst hebben, tenzij er een risico bestaat voor de betrokken personen, de verwerking van persoonsgegevens niet incidenteel is of de verwerking betrekking heeft op bijzondere categorieën van persoonsgegevens. Aangezien ook erg standaard verwerkingen zoals personeelsadministratie of het uitsturen van een nieuwsbrief niet-incidentele verwerkingen zijn, zal quasi elke organisatie een dergelijk register moeten bijhouden.

De handelingen die je uitvoert in het kader van de archiefzorg moeten in dit register opgenomen worden. Bijvoorbeeld het overdragen van archief aan een archiefbewaarplaats valt onder het verwerken van persoonsgegevens, net zoals het ontsluiten en toegankelijk maken of ter raadpleging aanbieden van archieven. Ook het ordenen, waarderen en vernietigen van archieven valt onder het verwerken van persoonsgegevens en moet in dit register opgenomen worden.

Artikel 17: recht op vergetelheid

In het kader van de poging om individuen meer rechten en bescherming te bieden, roept de GDPR met artikel 17 het recht op vergetelheid en gegevenswissing in. Dit geeft de betrokken personen het recht om het wissen van hun persoonsgegevens aan te vragen.

Ook moeten de verwerkingsverantwoordelijken de persoonsgegevens wissen die niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt, waarvoor de toestemming teruggetrokken is of die op onrechtmatige wijze verwerkt werden.

Dit recht is echter niet absoluut en niet van toepassing op verwerkingen die nodig zijn voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie, noch op verwerkingen met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.

Artikel 83: Administratieve boetes

Organisaties die in hun verwerking van persoonsgegevens niet voldoen aan de eisen van de GDPR lopen het risico om beboet te worden. Ook deze bepaling zorgt voor heel wat angst en onzekerheid.

De tekst verschaft meer informatie over de boetes en stelt dat ze doeltreffend, evenredig en afschrikkend moeten zijn en rekening moeten houden met de aard, de ernst en de duur van de inbreuk. Ook de aard, omvang en het doel van de verwerking moeten geanalyseerd worden. Bij het bepalen van de sanctie wordt tevens gekeken of de inbreuk van opzettelijke of nalatige aard is of er (technische en organisatorische) maatregelen genomen zijn om schade te beperken en of er sprake is van eerdere relevante inbreuken. Ook kijkt men naar de inspanningen die geleverd zijn om de inbreuk te verhelpen en in hoeverre er sprake was van samenwerking met de toezichthoudende autoriteit. Tenslotte zijn ook eventuele financiële winsten een factor bij de sanctiebepaling.

Staatsecretaris voor privacy Philippe De Backer stelde reeds dat het niet de bedoeling is om een heksenjacht te gaan organiseren. Dit betekent echter zeker niet dat overtredingen geen gevolgen kunnen hebben. De rechtspraak zal in de nabije toekomst uitwijzen wat de concrete toepassing van het sanctiesysteem zal zijn.

Artikel 85: verwerking en vrijheid van meningstuiting en informatie

Artikel 85 is een zeer belangrijk artikel voor kunstenorganisaties. Hierin wordt namelijk vastgelegd dat het recht op gegevensbescherming in overeenstemming gebracht moet worden met het recht op vrijheid van meningsuiting en van informatie. Hieronder vallen ook de artistieke uitdrukkingsvormen. In het kader van deze overeenstemming moeten enkele uitzonderingen vastgesteld worden door de verschillende lidstaten. In België is dit nog niet gebeurd. Hier komt hopelijk zo snel mogelijk verandering in, zodat ook hier de nodige duidelijkheid en bewegingsruimte vastgelegd wordt.

CC BY