Gedragscode voor archieven en gebruikers Karin Van Honacker
Jan 21, 2018
Gedragscodevoor archieven en gebruikers
Karin Van Honacker
Art. 40 van AVG – Gedragscodes
1. De lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie bevorderen de opstelling van gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen, moeten bijdragen tot de juiste toepassing van deze verordening.
2
2. Verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, kunnen gedragscodes opstellen, of die codes wijzigen of uitbreiden, teneinde de toepassing van deze verordening nader toe te lichten, zoals met betrekking tot, o.m.• behoorlijke en transparante verwerking; • de gerechtvaardigde belangen die door verwerkingsverantwoordelijken in een
specifieke context worden behartigd; • de verzameling van gegevens; • de pseudonimisering van persoonsgegevens; • de aan het publiek en betrokkenen verstrekte informatie; • de uitoefening van de rechten van betrokkenen; • de kennisgeving van inbreuken ivm persoonsgegevens aan toezichthoudende
autoriteiten en de mededeling van die inbreuken ivm persoonsgegevens aan betrokkenen
• …
3
Art. 40 – Gedragscodes
2012• 25 jan.: eerste voorstel van EC over hervorming
gegevensbescherming (AVG – verordening)
• 30 mei, Kopenhagen: halfjaarlijkse bijeenkomst van de EAG (European Archives Group - een expertgroep van de EC bestaande uit vertegenwoordigers van de nationale/federale archieven van de lidstaten)
gastspreker: Peter Hustinx, toenmalig European Data Protection Supervisor (EDPS)conclusie: veel minder specifieke voorzieningen voor de archiefsector in het nieuwe voorstel dan in Richtlijn uit 1995
4
Historiek van een Europees initiatief:een gedragscode voor archiefdiensten
EAG Kopenhagen - mei 2012
• Discussie waaruit ongerustheid blijkt, o.m. over het ‘recht op vergetelheid’
• Reflectie over nationale gedragscodes (UK en Italië) opgesteld na 1995, om problemen met Richtlijn uit 1995 op te lossen
• Idee om in contact te treden met EC en in ruil voor specifieke maatregelen voor archieven, zodat authenticiteit en volledigheid kan gegarandeerd blijven, een gedragscode uit te werken en die aan de EC voor te leggen. In de gedragscode zullen de verantwoordelijkheden van archivarissen worden uiteengezet
• Oprichting van een werkgroep o.l.v. IT en UK5
EAG Nicosia - okt. 2012
• Validering van een brief voor Viviane Reding (EC), in naam van alle Europese nationaal archivarissen
• Voorstelling van en discussie over de bestaande gedragscodes van IT en UK
• Beslissing om een Europese gedragscode op te stellen
• De in Kopenhagen opgerichte werkgroep zal een eerste voorstel van gedragscode opstellen en voorleggen op volgende vergadering van de EAG
6
EAG Dublin - april 2013
• Ierse toezichthouder geeft stand van zaken:‘… while member states will retain the right tocollect personal data for a number of purposes, including historical research, the processing of personal data, including by archives services, willbe subject to strict conditions’
• De werkgroep stelt een eerste ontwerp van gedragscode voor en vraagt om feedback tegen volgende bijeenkomst
7
Loop 2013
• Petities van beroepsverenigingen van archivarissen in verschillende lidstaten tegen AVG
• Contacten van nationaal archivarissen met hun regering en/of met Europese parlementsleden
• Voorstel uitgewerkt door Frankrijk voor specifieke uitzondering voor archiefdoeleinden, niet beperkt tot historisch onderzoek
• Contacten van nationaal archivarissen met de Raad van de EU (de werkgroep DAPIX) en met het EP (Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE))
• Informele contacten met DG JUST (afdeling EC bevoegd voor EU-beleid op vlak van
justitie), EDPS en nationale toezichthouders gegevensbescherming
• Amendementen door Litouws voorzitterschap, o.m. mbthistorisch, statistisch & wetenschappelijk onderzoek
8
EAG Vilnius - okt. 2013
• Update over evolutie en initiatieven sinds Dublin
• Toelichting bij standpunten van de EC:– Verordening mag niet minder persoonsbescherming bieden
dan de Richtlijn uit 1995
– Bedenkingen EC bij uitzonderingen voor privéarchiefdiensten
– Tegenstand EC tegen idee om uitzonderingen te voorzien via nationale wetgeving
• Oproep aan alle nationaal archivarissen om in contact te blijven met eigen vertegenwoordigers in EU
• Beslissing om discussie over gedragscode uit te stellen, gezien het gebrek aan duidelijkheid
9
EAG Athene - juni 2014
Stand van zaken:
• Discussies lopende (DAPIX – werkgroep van Raad)
• EAG volgt evolutie op de voet
• Beslissing om op volgende vergadering (Italië) de nationale toezichthouder uit te nodigen voor een update
10
EAG Turijn - nov. 2014
• Italiaanse toezichthouder geeft stand van zaken:– Nadruk op belang van minstens even hoge graad van
bescherming als onder Richtlijn 1995
– NIEUW: in de Raad van de EU wordt gediscussieerd over mogelijkheid om uitzonderingen – o.m. voor archiefdoeleinden en onderzoek – te laten regelen via nationale wetgeving
– NIEUW: introductie van ‘archivering in het algemeen belang’, ipv focus op organisatie die de archieven bewaart
11
EAG Riga en Luxemburg - 2015
• Weinig te melden over de AVG
• Aandacht voor
– Herziening regelgeving auteursrecht
– Omzetting door de lidstaten van de nieuwe Europese richtlijn (2013) rond het hergebruik van overheidsinformatie
12
EAG Den Haag - juni 2016
• 27 april: goedkeuring AVG
• EAG: discussie over de prioriteiten voor de komende jaren
– aan de top: e-archiving en bescherming persoonsgegevens
– Relance van de idee van een gedragscode (vooral Frankrijk)
– Opnieuw oprichting van een werkgroep AVG, o.l.v.Frankrijk
13
EAG Bratislava - november 2016
• Voorstel van een eerste ontwerp van gedragscode door Frankrijk
• Discussie en opstellen van een tijdschema
inclusief: stakeholdersbevraging
• Probleem: nog geen richtlijnen beschikbaar voor het opstellen van gedragscodes
14
EAG Valletta - april 2017
• Tweede versie van ontwerp gedragscode (incl. suggesties van EAG leden) wordt toegelicht
• EAG drukt voorkeur uit voor een Europese gedragscode, eerder dan diverse nationale gedragscodes
• Vertegenwoordiger EC in de EAG zal zich informeren over de te volgen procedure
Juni 2017: derde versie, bestemd voor discussie door stakeholders
15
Gedragscode voor archiefdiensten
Doel: overzicht geven van de acties die archiefdiensten moeten ondernemen in verband met de verwerking van persoonsgegevens voor archiefdoeleinden, om ervoor te zorgen dat deze gegevens bruikbaar blijven voor onderzoek en voor bewijsgaring, nu en in de toekomst
Coördinator EAG-werkgroep: Archives de France (Sous-
direction de la politique archivistique - Bureau du contrôle et de la collecte des archives publiques)
16
Inleiding
• Opsomming van passages uit AVG mbt‘archivering in het algemeen belang’ (art. 89, rec. 156 en 158) en ‘recht op vergetelheid’ (art. 17)
• Opsomming van bestaande richtlijnen en codes mbt toegang tot informatie, integriteit van archieven, rol van de archivaris (EU, UNESCO, ICA)
17
Algemene principes
3.1 Definities• Bij ‘Onderzoek’ wordt ook ‘genealogisch onderzoek’ expliciet
vermeld!
3.2 Verantwoordelijkheden & verbintenissen• verantwoordelijkheden van alle partijen moeten per verwerving
duidelijk worden omschreven• archiefdiensten moeten de nodige maatregelen treffen om te
voldoen aan de bepalingen van de AVG en de gedragscode+ ze moeten daartoe ook hun DPO en hun personeel opleiden+ ze moeten de nodige technische voorzieningen treffen+ ze moeten erop toezien dat de verwerkingen die ze uitvoeren (beschrijving, terbeschikkingstelling van informatie) conform de AVG zijn
18
Regels voor de activiteiten van een archiefdienst / 1
4.1 Waardering & verwerving van documenten
Nadruk op argumenteren waarom bepaalde keuzes tot selectie en verwerving worden gemaakt, zodat archiefdiensten kunnen verduidelijken waarom sommige documenten permanent bewaard worden (m.a.w. waarom het hier gaat om archivering in het algemeen belang)
Pertinent: • vooraleer overgegaan wordt tot pseudonimisering, goed nadenken over
de mogelijke gevolgen voor de authenticiteit van de documenten• archiefdiensten moeten duidelijk communiceren naar het publiek dat ze
documenten met persoonsgegevens bewaren, maar dat die verwerkt worden conform de AVG en de gedragscode
19
Regels… archiefdiensten / 2
4.2 Opslag & bewaring
• in geval van een inbreuk (breach) ivmpersoonsgegevens: archiefdiensten kunnen gebruik maken van de uitz. voorzien in art 34.3c) van de AVG: openbare mededeling
20
Regels… archiefdiensten / 3
4.3 Toegang tot archieven: beschrijving, mededeling en verspreiding• Mededeling = aan enkeling, individuele onderzoeker: speciale
toelatingen mogelijk, mits onderzoeksverklaring. Gebruiker uitdrukkelijk op verantwoordelijkheden wijzen
• Verspreiding = in leeszaal of online; geen controle mogelijk over gebruik. Risk assessment vooraleer over te gaan tot verspreiding
Belangrijk:
- Indien nodig, gebruik maken van pseudonimisering en gegevensminimalisatie (data protection by design and by default)
- gebruikers moeten op eigen verantwoordelijkheid worden gewezen
21
4.4 Geautomatiseerde verwerking
• Adequate waarborgen en veiligheidsmaatregelen voorzien
• uitdrukkelijk verwijzen naar data protection by design andby default, met toevoeging dat proces omkeerbaar moet zijn?
4.5 Rechten van de betrokkenen (data subjects)
• archiefdiensten moeten procedures uitwerken om te kunnen reageren op vragen/verzoeken van betrokkenen, en medewerkers moeten die procedures kennen
22
Regels… archiefdiensten / 4
Regels voor archiefgebruikers
• Gebruikers wijzen op hun verplichtingen en verantwoordelijkheden wanneer ze persoonsgegevens verwerken
• igv van speciale toelating: beperkingen bij de verdere verwerking & geen verwerking door derden toegestaan. Regels op hergebruik van overheidsinformatie zijn niet van toepassing
23
Stakeholdersbevraging over gedragscode
• 8 juni: v. 1 van de gedragscode ontvangen in EN en FR
• Vertaling in NL
• 16 juni: verzending naar ‘stakeholders’: de Commissie voor de Bescherming van de Persoonlijke Levenssfeer, diverse federale, regionale en lokale overheidsdiensten, de kabinetten van de ministers bevoegd voor Privacy, voor de Digitale agenda en voor Wetenschapsbeleid, de archiefdiensten van de parlementen van de verschillende bestuursniveaus, erfgoedorganisaties in de verschillende regio’s en met uiteenlopende statuten, academici, archiefopleidingen…
24
Stakeholdersoverleg: 3 juli, ARA
25
Feedback stakeholders
• Specifiek: bij tal van artikelen van de gedragscode: toevoegingen, schrappingen, alternatieve formuleringen
• Algemeen:– een gedragscode moet een toegevoegde waarde hebben, iets wat in
de huidige versie teveel ontbreekt. Het volstaat niet de artikelen uit de AVG te reproduceren
– ook specifieke beschikkingen/voorbeelden voorzien– sommige artikelen uit de gedragscode zouden niet – geheel of
gedeeltelijk – stroken met de bepalingen van de AVG, of zijn onvolledig
– Toezicht op de naleving van de gedragscode ontbreekt (art. 41)– Kritiek op verwijzing naar ‘anonimisering’– Discussie over nut van een onderdeel ‘definities’– [Vragen over inhoudelijke aspecten van de AVG]
26
EAG Tallinn - sept. 2017
14 lidstaten rapporteren over de feedback verzameld bij hun stakeholders
+
Commentaar DG JUST
27
Voornaamste commentaren
• ‘toegevoegde waarde’ die een gedragscode moet hebben, • nood aan concrete voorbeelden en specifieke maatregelen, inz.
mbt maatregelen als anonimisering en pseudonimisering• Een gedragscode moet prioriteit geven aan de rechten van de
betrokkenen (‘the data subjects’)• concrete invulling van de ‘afwijkingen en waarborgen’ die in acht
moeten worden genomen met het oog op ‘archivering in het algemeen belang’
• situatie van privéarchieven?• al dan niet verplicht karakter van een dergelijk document:
opteren voor een gedragscode of eerder voor richtlijnen? En voor een Europese of eerder nationale gedragscodes?
• meer expliciete aandacht voor digitale archivering
28
Conclusie EAG
Tijd nog niet rijp voor een gedragscode:
– Richtlijnen EC voor het opstellen van gedragscodes afwachten
– Afwijkende lezingen van sommige artikelen uit de AVG, zelfs door specialisten – overleg met DG JUST en met EDPS nodig
– Rol van de nationale wetgeving, vereist voor de ‘afwijkingen en waarborgen’ voor ‘archivering in het algemeen belang’
29
Verdere evolutie
• Voorstel voor het verdere verloop te formuleren door een nieuwe werkgroep, o.l.v. Italië
• Na overleg met DG JUST en EDPS
• Reflectie over keuze voor ‘richtlijnen/vademecum voor archiefdiensten met het oog op de naleving van de AVG’ en/of voor een formele gedragscode
• Richtlijnen/vademecum = dringend (AVG treedt in voege op 25 mei 2018). Ontwerp gedragscode kan hiervoor als basis dienen
30
Links
EUR-Lex:
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2016:119:TOC
European Data Protection Supervisor:
https://secure.edps.europa.eu/EDPSWEB/edps/lang/en/Consultation/Reform_package
European Commission:
http://ec.europa.eu/justice/data-protection/index_en.htm
31
Contact:
Karin Van Honacker – Algemeen Rijksarchief, Brussel
02/548 38 23
32