Overheidsinformatie in chatapplicaties valt onder de Archiefwet. Daarnaast heeft andere wet- en regelgeving ook invloed op het archiveren van deze informatie., zoals de Algemene verordening gegevensbescherming (AVG) die over de privacy waakt. Deze module licht toe wat de voornaamste wet- en regelgeving is die van toepassing is op dit onderwerp. Ook vat de module samen hoe je de belangrijkste bepalingen met deze handreiking kunt toepassen.
De Archiefwet 1995 (Archiefwet) regelt het beheer van en de toegang tot overheidsarchieven. En hanteert in artikel 1 de volgende definitie voor archiefbescheiden: ‘bescheiden, ongeacht hun vorm, door de overheidsorganen ontvangen of opgemaakt en naar hun aard bestemd daaronder te berusten.’ Overheidsinformatie is alle vastgelegde informatie die de overheid ontvangt, verwerkt of maakt bij het uitvoeren van haar taken. Hierbij wordt geen onderscheid gemaakt in de (technische) vorm, (zoals e-mail en websites) of de plaats waar de informatie bewaard wordt.
Goed om te weten
Chatberichten vallen ook onder deze definitie en dus onder de toepassing van de Archiefwet. Dit omvat zowel het gebruikersprofiel en de berichten, als de reacties op deze berichten. En alle eventuele wijzigingen en de metadata. Dit speelt een rol bij het bepalen van de archiveringsmethode en -frequentie.
Archiefbesluit
Het Archiefbesluit 1995 (Archiefbesluit) wijst in artikel 2 op ‘het belang van de in de archiefbescheiden voorkomende gegevens voor overheidsorganen, voor recht- of bewijszoekenden en voor historisch onderzoek.’ Daarom legt de Archiefwet in artikel 3 overheidsorganen de verplichting op om ‘[…] de onder hen berustende archiefbescheiden in goede, geordende en toegankelijke staat te brengen en te bewaren.’
Goed om te weten
Een overheidsorganisatie mag zelf invullen hoe het aan deze wettelijke verplichtingen voldoet. Bij voorkeur voordat of vanaf het moment waarop de organisatie gebruikmaakt van een systeem. Dat noemen we archiveren by design.
Verder bepaalt de Archiefwet in artikel 5 dat overheidsorganen ‘selectielijsten’ moeten ontwerpen ‘waarin tenminste wordt aangegeven welke archiefbescheiden voor vernietiging in aanmerking komen.’ Artikel 5 van het Archiefbesluit 1995 licht toe dat selectielijsten moeten verduidelijken of ‘de archiefbescheiden bewaard worden dan wel na welke termijn zij voor vernietiging in aanmerking komen.’ Dat geldt dus ook voor chatberichten.
Artikel 3 van de Archiefwet verplicht overheidsorganen ‘zorg te dragen voor de vernietiging van de daarvoor in aanmerking komende archiefbescheiden.’ En artikel 12 om ‘de archiefbescheiden die niet voor vernietiging in aanmerking komen en ouder zijn dan twintig jaar over te brengen naar een archiefbewaarplaats.’ Bij het overbrengen van overheidsinformatie naar een archiefbewaarplaats geldt het uitgangspunt in artikel 14 van de Archiefwet dat deze informatie openbaar is. Wel kunnen volgens artikel 15 van de Archiefwet ‘beperkingen aan de openbaarheid voor een bepaalde termijn’ gesteld worden. Daarvoor kent de Archiefwet drie uitzonderingsgronden. Een voorbeeld is de eerbiediging van de persoonlijke levenssfeer.
Goed om te weten
De uitzonderingsgronden gelden ook voor blijvend te bewaren chatberichten.
Meer informatie over de Archiefwet is te vinden op de websites van de Rijksoverheid en de Vereniging van Nederlandse Gemeenten.
NB. De afdeling Bestuursrechtspraak van de Raad van State heeft als hoogste bestuursrechter in 2019 uitgesproken dat WhatsApp- en sms-berichten (chatberichten) documenten in de zin van de Wet openbaarheid van bestuur (Wob) zijn en dus onder een Wob-verzoek kunnen vallen. Het betreft de uitspraak: 201800258/1/A3, ECLI:NL:RVS:2019:899. Op 21 oktober 2020 heeft de Raad van State een nieuwe uitspraak gedaan, deze keer over eventuele bewaarplichten voor WhatsApp- en sms-berichten. Het gaat om uitspraak 201905713/1/A3, ECLI:NL:RVS:2020:2477.
De Wet open overheid (Woo) regelt het recht van burgers op overheidsinformatie.
De Woo hanteert in artikel 2.1 de volgende definitie voor publieke informatie: ‘Informatie neergelegd in documenten die berusten bij een orgaan, persoon of college.’ En de volgende definitie voor document: ‘Een door een orgaan, persoon of college […] opgemaakt of ontvangen schriftelijk stuk of ander geheel van vastgelegde gegevens dat naar zijn aard verband houdt met de publieke taak van dat orgaan, die persoon of dat college.’
Goed om te weten
Chatberichten vallen ook onder deze definitie en dus onder de toepassing van de Woo.
De Woo stelt in artikel 1.1 het volgende: ‘Eenieder heeft recht op toegang tot publieke informatie zonder daartoe een belang te hoeven stellen, behoudens bij deze wet gestelde beperkingen.’ De Woo verplicht in artikel 3.1 overheidsorganisaties zoveel mogelijk informatie open te stellen voor iedereen. Dit is actieve openbaarmaking. Daarnaast stelt artikel 4.1 dat iedereen informatie mag vragen over wat de overheid doet. Dit is passieve openbaarmaking. Chatberichten kunnen dus actief openbaar worden gemaakt en betrokken worden bij een Woo-verzoek. Wel bepaalt artikel 5.1 van de Woo dat er uitzonderingen mogelijk zijn op het openbaar maken van informatie. Daarvoor kent de Woo vijf absolute en negen relatieve uitzonderingsgronden. Een voorbeeld van een absolute uitzonderingsgrond zijn bepaalde persoonsgegevens zoals ras of etnische afkomst. Een voorbeeld van een relatieve uitzonderingsgrond is de bescherming van de persoonlijke levenssfeer, zoals adresgegevens.
Tot slot legt de Woo in artikel 2.4 overheidsorganisaties de volgende algemene verplichting op over overheidsinformatie: ‘Een bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden.’
Goed om te weten
Een overheidsorganisatie mag zelf invullen hoe het aan de wettelijke verplichtingen rondom goede, geordende en toegankelijke staat voldoet.
De Algemene verordening gegevensbescherming (AVG) is een Europese verordening. Deze verordening standaardiseert de regels voor het verwerken van persoonsgegevens door overheidsinstanties en bedrijven in de hele Europese Unie (E.U.). Verwerken van persoonsgegevens houdt dus in: alles wat een organisatie kan doen met die gegevens.
De AVG hanteert in artikel 4 de volgende definitie van persoonsgegevens: ‘Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.’ En stelt in artikel 9 dat er naast gewone ook bijzondere persoonsgegevens zijn. Bijzondere persoonsgegevens zijn gegevens die zó privacygevoelig zijn dat het grote impact op iemand kan hebben als deze gegevens worden verwerkt. Hierbij gaat het gaat om persoonsgegevens zoals ras of etnische afkomst, politieke opvattingen, etc. Daarom is de verwerking van bijzondere persoonsgegevens verboden, tenzij een in de AVG genoemde uitzondering van toepassing is. Chatberichten vallen onder de toepassing van de AVG, aangezien o.a. ook namen en herleidbare telefoonnummers onder de AVG vallen. En er in de inhoud van chatgesprekken ook persoonsgegevens kunnen voorkomen.
Artikel 4 van de AVG geeft ook aan dat ‘verwerking’ betrekking heeft op een breed scala aan verschillende verwerkingen van persoonsgegevens. Deze kunnen zowel handmatig als geautomatiseerd zijn.
Goed om te weten
Doorgaans zijn dat voor overheidsorganisaties verwerkingen die:
- voldoen aan een wettelijke verplichting die op de gegevensverwerkende overheidsorganisatie rust (artikel 6 lid 1 onder c van de AVG);
- een taak van algemeen belang vervullen;
- een taak vervullen voor het openbaar gezag dat de verwerkende organisatie uitoefent (artikel 6 lid 1 onder e van de AVG).
Artikel 5 van de AVG kent een aantal ‘beginselen inzake de verwerking van persoonsgegevens.’ Het stelt onder andere dat persoonsgegevens verwerkt moeten worden op een ‘wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.’
Goed om te weten
Overheidsorganisaties hebben een gegronde reden nodig om persoonsgegevens rechtmatig te kunnen verzamelen en beheren. Een ander belangrijk beginsel is doelbinding. Organisaties mogen persoonsgegevens alleen verzamelen voor een gerechtvaardigd doel. Dat doel moet specifiek zijn en vooraf uitdrukkelijk zijn omschreven. Verder geldt ook het principe van minimale gegevensverwerking (of dataminimalisatie). De verwerking van de gegevens moet passen bij het doel. En de organisatie mag niet meer gegevens verwerken dan noodzakelijk om het doel te bereiken.
Doelbinding houdt ook in dat de organisatie de gegevens niet ineens voor een heel ander doel mag gebruiken. Artikel 89 van de AVG verduidelijkt dat ‘verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden’ een verdere gegevensverwerking is; het doel is verenigbaar met het oorspronkelijke verwerkingsdoel. Het archiveren van chatberichten volgens de Archiefwet is zo’n verdere verwerking. Wel moeten er volgens datzelfde artikel 89 passende waarborgen zijn om het beginsel van minimale gegevensverwerking te garanderen. Denk aan pseudonimiseren (het omzetten van persoonsgegevens naar een niet-herleidbare code). En/of andere organisatorische en technische maatregelen, zoals de beperking van de toegang tot informatie. Anonimiseren is geen optie. Dit leidt tot onomkeerbaar verlies van historisch waardevolle informatie.
Artikel 17 verduidelijkt dat dit recht in principe niet geldt bij het voldoen aan een wettelijke verplichting. En/of bij het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag. En bij het daarop aansluitende archiveren in het algemeen belang. Dat laatste slaat op blijvend te bewaren overheidsinformatie die nog naar een archiefbewaarplaats overgebracht moet worden. En op overheidsinformatie die al overgebracht is.
Tot slot kent de AVG een aantal privacy-rechten toe aan individuen.
De Digital Markets Act (DMA) bevat regels speciaal voor zeer grote platforms zoals zoekmachines, webbrowsers, besturingssystemen en social media. Zij worden poortwachters genoemd. De Europese Commissie heeft aangewezen welke online bedrijven dit zijn. Poortwachters hebben zo’n grote rol op de online markt, dat ze zich aan de extra regels uit de DMA moeten houden. Zo zorgt de DMA voor eerlijke voorwaarden voor consumenten en zakelijke gebruikers. En voor ruimte voor alternatieve platforms. De DMA bevat regels om mensen en bedrijven minder afhankelijk te laten zijn van poortwachters. Iedereen moet vrij kunnen kiezen tussen diensten van een platform en die van kleinere concurrenten. Poortwachters mogen gebruikers bijvoorbeeld niet verplichten om een bepaalde betaaldienst te gebruiken.
Goed te weten
Voor de archivering van chatberichten is van belang dat de chatapplicaties van o.a. META (WhatsApp en Facebook messenger) deel uitmaken van deze regeling. Dit betekent dat hiervoor naar specifieke regels wordt gekeken waar deze aan moeten voldoen, zoals de toegang vanuit andere chatapplicaties. Het kan verplicht worden gesteld dat met gebruikers van Whatsapp ook vanuit een andere chatapp berichten kunnen worden gestuurd en vice versa. Deze functie kan de keuze voor de archiveringstrategie en beleid beïnvloeden. Het opent meer mogelijkheden dan er op dit moment zijn, waarbij er geen/ beperkt toegang mogelijk is.
De Cyberbeveiligingswet (Cbw) is de Nederlandse omzetting van de European Network and Information Security Directive ofwel de NIS2-richtlijn. De NIS2-richtlijn is gericht op het verbeteren van de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten. Deze verbetering is noodzakelijk vanwege steeds meer afhankelijkheid van digitalisering en toegenomen cyberdreigingen.
Goed om te weten
Organisaties die onder de Cyberbeveiligingswet (Cbw) vallen hebben een zorgplicht. Dit betekent dat ze passende maatregelen moeten nemen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de informatie die ze gebruiken te beschermen. Dat doen organisaties op basis van een risicobeoordeling. De maatregelen voor de zorgplicht worden nader uitgewerkt in de Cyberbeveiligingswet en de lagere regelgeving. Nadere invulling van de zorgplicht voor de overheid zal gebeuren via de Baseline Informatiebeveiliging Overheid (BIO)2.
De BIO2 is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). De BIO2 weerspiegelt de internationale beveiligingsnormen (NEN-EN-ISO/IEC 27001:2023 (nl) en NEN-EN-ISO/IEC 27002:2022 (nl)) en vraagt om een risicogerichte benadering. Hiermee kunnen overheidsinstanties maatregelen afstemmen op specifieke risico’s.
Goed om te weten
Bij het gebruik van chatapplicaties en de archivering van chatberichten, die verschillende niveaus van informatie kunnen bevatten, afhankelijk van het beleid en gebruik moet de BIO2 ingezet worden om de risico’s bij het gebruik van deze applicaties te beoordelen.
Sectorale wetgeving kan ook van toepassing zijn. In een aantal situaties stelt sectorale wetgeving nadere eisen aan de omgang met informatie, zowel over beheer als beveiliging als ook specifieke bewaartermijnen. Denk bijvoorbeeld aan de wet Politiegegevens.
Goed om te weten
Kijk als organisatie altijd goed naar de eigen sectorale wetgeving en neem deze mee in de ontwikkeling van het beleid en de nodige beheersmaatregelen.