Veel organisaties bewaren liever te veel dan te weinig informatie. Juist bij persoonsgegevens kan dat risico’s opleveren. De AVG (Algemene verordening gegevensbescherming) bepaalt hoe organisaties met persoonsgegevens moeten omgaan. Wat betekent de AVG voor jouw dagelijkse werk?
Wat is de AVG?
De AVG gaat over de bescherming van onze persoonsgegevens. Dat kunnen bijvoorbeeld namen en mobiele telefoonnummers zijn, maar ook de migratiegeschiedenis van een persoon of camerabeelden waarop iemand te herkennen is.
Bij het Nationaal Archief worden archieven beheerd en ter inzage gegeven. In die archieven kunnen veel (bijzondere en strafrechtelijke) persoonsgegevens voorkomen. De AVG heeft dan onder andere invloed op het openbaar maken en beschikbaar stellen van de archieven voor het publiek. “Soms is een archief openbaar volgens de Archiefwet, maar staan er ook persoonsgegevens in,” legt Chantal uit. “Dan mogen wij het archief niet zomaar online plaatsen.”
Hoe verhoudt de AVG zich tot de Woo en de Archiefwet?
Dat klinkt alsof de wetten elkaar in de weg zitten, maar dat is volgens Chantal niet het geval. Volgens haar vullen de wetten elkaar aan en is er dus geen sprake van botsende wetgeving.
“Zowel de Woo als de Archiefwet houden rekening met privacy. Als je je aan die wetten houdt, zit je qua AVG vaak al op de goede weg.”
In de Archiefwet staat bijvoorbeeld dat archieven beperkt openbaar gemaakt mogen worden, in verband met de ‘eerbiediging van de persoonlijke levenssfeer’. Chantal: “Voor de inzage in archieven over vluchtmigratie gelden dan bijvoorbeeld extra voorwaarden.”
In sommige gevallen biedt de AVG niet minder, maar juist méér ruimte dan de Archiefwet. “De AVG maakt het bij wetenschappelijk onderzoek soms mogelijk om toegang te geven tot archieven met bijzondere persoonsgegevens, ook als de Archiefwet daar niet expliciet iets over zegt.”
AVG in de praktijk: van metadata tot bewaartermijnen
Een informatiebeheerder heeft al snel te maken met de AVG in diens dagelijkse werkpraktijk. “Om verantwoord met de AVG om te gaan, is goede informatiehuishouding een voorwaarde,” aldus Chantal. “Stel regels op voor consistente metadata per document en geef documenten met persoonsgegevens een duidelijke markering.”
Andere manieren om de AVG in de dagelijkse praktijk te handhaven:
- Koppel de juiste bewaartermijnen aan de juiste documenten, en leef deze na.
- Stel toegangsrechten in, zowel extern als intern
- Vergrendel je laptop
Waar de AVG (soms) schuurt
Volgens Chantal is ‘gemak’ in de dagelijkse praktijk een valkuil. “Voor het gemak worden documenten soms zo opgeslagen dat alle werknemers ze kunnen lezen. Maar als mensen die informatie niet nodig hebben voor hun werk, moet je die toegang dus beperken.”
Tegelijkertijd ziet ze ook het tegenovergestelde gebeuren: overijverigheid. Organisaties willen AVG-proof werken en slaan daarom liever te weinig informatie op dan te veel. Maar ook dat kan problemen opleveren. “Enerzijds vraagt de AVG om zo min mogelijk persoonsgegevens te bewaren (dataminimalisatie). Anderzijds vraagt de AVG juist om controleerbare en dus beschikbare informatie. Bovendien kan het bewaren van persoonsgegevens belangrijk zijn voor verantwoording, archivering en historisch onderzoek.”
Het naleven van bewaar- en vernietigingstermijnen is niet alleen een wettelijke verplichting, maar helpt ook bij het vinden van een balans. Zo verklein je het risico op datalekken én hou je informatiebeheer overzichtelijk.
Tips voor praktische toepassing van de AVG
- Ken de basisprincipes van de AVG, de Archiefwet en de Woo
- Meld (een vermoeden van) een datalek meteen bij de daarvoor aangewezen persoon (bijvoorbeeld de privacy officer of security officer)
- Houd de website van de Autoriteit Persoonsgegevens in de gaten voor nieuwe ontwikkelingen op het gebied van de AVG
- Vraag bij twijfel hulp aan privacy officers of juristen
Meer weten over de AVG?
Wil je meer weten over dit onderwerp? Het Leerhuis biedt verschillende trainingen en leeractiviteiten aan die jou inzicht geven over Woo-processen en het belang van openbaarmaking van informatie. Deze trainingen bijvoorbeeld: