Privacyreglement Nationaal Archief

De wijze waarop het Nationaal Archief persoonsgegevens verwerkt is vastgelegd in een Privacybeleid en Privacyreglement. Het Privacyreglement is een verdieping van het beleid en laat zien hoe het Nationaal Archief met privacy omgaat.

Alles uitklappen

In dit reglement heeft het Nationaal Archief vastgelegd op welke manier dagelijks wordt omgegaan met persoonsgegevens en privacy, en wat wettelijk verantwoord is.

Privacy speelt een belangrijke rol in de relatie tussen de burger en de overheid en staat daarmee hoog op de bestuurlijke agenda. Het Nationaal Archief heeft een verantwoordelijkheid met betrekking tot persoonsgegevens en gegevensuitwisseling op alle terreinen waarop de organisatie actief is. Het Nationaal Archief is verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoonsgegevens van betrokkenen. Dat geldt voor taken op het gebied van het verwerven van archiefmateriaal, het archiefwettelijk beheer en het beschikbaar stellen van archiefbescheiden. Goed en zorgvuldig omgaan met persoonsgegevens is een dagelijkse bezigheid van het Nationaal Archief. Het beschermen van de privacy is complex, ook in relatie met de Archiefwet 1995, en wordt steeds complexer door technologische ontwikkelingen, grote uitdagingen op het terrein van veiligheid en nieuwe Europese wetgeving. 

Daarom vindt het Nationaal Archief het belangrijk om transparant te zijn over de manier waarop de organisatie met persoonsgegevens omgaat en de privacy waarborgt.

Op 25 mei 2018 is AVG de Europese Algemene verordening gegevensbescherming (AVG) in werking getreden, samen met de Uitvoeringswet AVG (UAVG). De AVG bevat regels over de bescherming van persoonsgegevens van natuurlijke personen. Speciale regels zijn opgenomen in het kader van “archivering in het algemeen belang”. 

De volgende begrippen worden onder meer in de AVG gebruikt (artikel 4 AVG; voor zover hier van belang):

Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

Verwerker: De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie, de verwerkingsverantwoordelijke.

Persoonsgegevens: Alle gegevens die gaan over nog levende mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld: naam, adres, geboortedatum). Naast gewone persoonsgegevens kent de Verordening ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over gevoelige onderwerpen, zoals etnische achtergrond, politieke voorkeuren of Burgerservicenummer (BSN).

Gegegevensbeschermingseffectbeoordeling: Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen op de bescherming van de privacy beoordeeld. Dit heet ook wel een Data Protection Impact Assessment (DPIA).

Verwerkingsverantwoordelijke: Een persoon of instantie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerking: Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen, bewaren, verwerven, bij elkaar voegen, verstrekken aan een ander en vernietigen.

Het reglement is van toepassing op alle verwerkingen van persoonsgegevens door het Nationaal Archief. 

4.1 Minister van Onderwijs, Cultuur en wetenschap

De minister van Onderwijs, Cultuur en Wetenschap is uiteindelijk de verwerkingsverantwoordelijke voor verwerkingen van het Nationaal Archief. De directeur van het Nationaal Archief oefent voor de minister deze verantwoordelijkheid uit. Daarnaast zijn ook de directie, de afdelingshoofden en alle medewerkers (inclusief inhuur en externen) verantwoordelijk voor de bescherming van de privacy van betrokkenen. De minister van OCW heeft conform de Avg een Functionaris voor de gegevensbescherming aangesteld.

4.2 De Directieraad van het Nationaal Archief

De Directieraad is verantwoordelijk voor kaderstelling en sturing. De Directieraad:

  • stuurt op concernrisico’s;
  • controleert of de getroffen maatregelen voldoende bescherming bieden om de privacy van betrokkene(n) te beschermen;
  • beoordeelt periodiek het privacybeleid op basis van de evaluatie en aanpassingen van het privacybeleid;
  • zorgt dat de privacyfunctionaris, de security officer, de adviseur openbaarheid en de adviseur calamiteiten/coördinator veiligheid naar behoren en tijdig worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens en mogelijke schendingen daarvan.

4.3 Afdelingshoofden

Het afdelingshoofd is verantwoordelijk voor de zorgvuldige verwerking van persoonsgegevens die binnen zijn of haar afdeling plaatsvindt. Het afdelingshoofd kan hierbij een beroep doen op de privacyfunctionaris, de security officer, de adviseur openbaarheid en de adviseur calamiteiten/coördinator veiligheid. Het afdelingshoofd:

  • zorgt voor naleving van wet- en regeling en het privacybeleid (rechtmatige, behoorlijke en transparante verwerking, bewustwording, gebruikt en evalueert PIA, past “Privacy by design/default” toe en zorgt voor registratie van verwerkingsactiviteiten, etc.);
  • zorgt dat de privacyfunctionaris, de security officer, de adviseur openbaarheid en de adviseur calamiteiten/coördinator veiligheid naar behoren en tijdig worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens;
  • meldt aan de privacyfunctionaris een nieuwe verwerking, een wijziging of een beëindiging van een verwerking van persoonsgegevens ten behoeve van het register van verwerkingsactiviteiten;
  • informeert nieuwe medewerkers bij indiensttreding over het privacybeleid en –reglement;
  • stelt het privacy- en informatiebeveiligingsbeleid regulier aan de orde in het werkoverleg.

4.4 Medewerkers

Alle medewerkers van het Nationaal Archief (inclusief inhuur en externen) zijn verantwoordelijk voor de bescherming van de privacy van betrokkene(n). Dat betekent dat iedereen zorgt voor een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens.

4.5 De privacyfunctionaris

Het Nationaal Archief heeft een privacyfunctionaris. De privacyfunctionaris ondersteunt de Directieraad, de afdelingshoofden en medewerkers in een juiste toepassing van de Avg. De privacyfunctionaris werkt samen en stemt af met de adviseur openbaarheid, de security officer en de adviseur calamiteiten/coördinator veiligheidszorg. De privacyfunctionaris:

  • bevordert en adviseert over de bescherming van persoonsgegevens;
  • informeert en adviseert over de verplichtingen met betrekking tot de bescherming van persoonsgegevens;
  • wordt betrokken bij nieuwe processen waarbij persoonsgegevens worden verwerkt, bijvoorbeeld wanneer een gegevensbeschermingseffectbeoordeling (DPIA) nodig is;
  • evalueert het door de Directieraad vastgestelde privacybeleid en -reglement met betrekking tot de bescherming van persoonsgegevens;
  • heeft in samenwerking met de security officer een adviserende rol in het kader van de meldplicht datalekken;
  • is verantwoordelijk voor het register van verwerkingsactiviteiten;
  • is eerste aanspreekpunt voor de Functionaris gegevensbescherming  OCW.

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. De Avg noemt als verwerking onder meer:

  • Verzamelen, vastleggen en ordenen;
  • Bewaren, bijwerken en wijzigen;
  • Opvragen, raadplegen, gebruiken;
  • Verstrekken door middel van doorzending;
  • Verspreiding of enige andere vorm van ter beschikkingstellen;
  • Samenbrengen, met elkaar in verband brengen;
  • Afschermen, uitwissen of vernietigen van gegevens.

Doeleinden (Artikel 5 Avg)

Volgens de Verordening mogen persoonsgegevens alleen verzameld worden als daarvoor een doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere, onverenigbare, doelen verwerkt worden. Persoonsgegevens die in het kader van een bezoekersregistratie worden verzameld, mogen niet gebruikt worden om een mailing te versturen.

De Verordening maakt een uitzondering voor de verdere verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. Deze verdere verwerkingen worden niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (doorbreking van de “doelbinding”).

Rechtmatige grondslag (artikel 6 Avg)

De Verordening vereist voor elke verwerking van persoonsgegevens een rechtmatige grondslag. Dat betekent dat de verwerking alleen mag plaatsvinden:

  • Om een verplichting na te komen die in de wet staat;
  • Voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;
  • Om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden;
  • Voor een goede vervulling van de wettelijke taak van het Nationaal Archief;
  • Wanneer de betrokkene toestemming heeft gegeven voor de specifieke verwerking.

Wijze van verwerking

De hoofdregel van de verwerking van persoonsgegevens is dat dit alleen toegestaan is in overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. De wet gaat uit van subsidiariteit. Dit betekent dat een verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt. In de Verordening wordt ook gesproken over proportionaliteit. Persoonsgegevens mogen alleen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen, of minder (belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden. Het Nationaal Archief zorgt ervoor dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden (deze verplichting geldt niet voor persoonsgegevens in overgebrachte archiefbescheiden).

De wijze van verwerking is bij overgebrachte archiefbescheiden vooral relevant wanneer het de raadpleging en gebruik van het archiefmateriaal betreft. De Archiefwet 1995 bevat hierbij het wettelijk kader. Voorbeelden zijn het stellen van openbaarheidsbeperkingen bij de overbrenging en de verplichting voor de beheerder om archiefbescheiden met inachtneming van dergelijke beperkingen ter beschikking te stellen. In overgebrachte archiefbescheiden kunnen overigens onjuiste persoonsgegevens voorkomen: archiefbescheiden worden overgenomen zoals ze zijn gevormd, dus inclusief “foute” of onvolledige persoonsgegevens. In artikel 43 van de Uitvoeringswet Avg is een uitzondering opgenomen op dit recht op correctie voor overgebrachte archiefbescheiden. De persoonsgegevens worden niet gecorrigeerd, maar een betrokkene kan zijn eigen lezing laten toevoegen aan het dossier.

Persoonsgegevens worden alleen verwerkt door medewerkers met een geheimhoudingsplicht. Daarnaast beveiligt het Nationaal Archief alle persoonsgegevens. Dit moet voorkomen dat de persoonsgegevens kunnen worden ingezien of gewijzigd door iemand die daar geen recht toe heeft. Hoe het Nationaal Archief dit doet staat in het informatiebeveiligingsbeleid.

Doorgifte (artikelen 44 t/m 50 Avg)

Het Nationaal Archief geeft alleen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie op grond van goedgekeurde afspraken door de Europese Commissie.

Een overzicht van de verwerkingsactiviteiten van het Nationaal Archief zijn terug te vinden in het register.

Wet open overheid (Woo)

Via de Woo kan een verzoek om informatie worden ingediend bij het Nationaal Archief. Bij het verzoek bekijkt het Nationaal Archief of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkene. In principe worden geen persoonsgegevens verstrekt.

Voor raadpleging en gebruik van overgebrachte archiefbescheiden geldt de Woo niet, maar het regime van de Archiefwet 1995 (artikel 14 tot en met  17 Archiefwet 1995; zie hieronder).

Wet hergebruik van overheidsinformatie

De Wet hergebruik van overheidsinformatie regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het verzoek bekijkt het Nationaal Archief of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

Voor hergebruik van overheidsinformatie in overgebrachte archiefbescheiden kent de Archiefwet 1995 eigen regels (artikel 2b Archiefwet 1995).

Informatieplicht (Artikel 13 en 14 Avg)

Het Nationaal Archief informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan het Nationaal Archief verstrekken, worden zij op de hoogte gesteld van de manier waarop het Nationaal Archief met de persoonsgegevens om zal gaan. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat het Nationaal Archief persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor welk doel dat gebeurt.

Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt betrokkene geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.

De informatieplicht is niet van toepassing op persoonsgegevens die in overgebrachte archiefbescheiden voorkomen (artikel 14, vijfde lid, Avg; zie hoofdstuk 9). Dit betekent dat het Nationaal Archief bij overbrenging niet naar alle betrokkenen in de archiefbescheiden hierover hoeft te informeren.

Bewaartermijn 

Het Nationaal Archief bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van de wettelijke taken, of zoals dit voortvloeit uit de voor het Nationaal Archief vastgestelde selectielijst (artikel 5 Archiefwet 1995). Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel, worden deze zo snel mogelijk verwijderd. Dit houdt in dat de gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

Persoonsgegevens die voorkomen in overgebrachte archiefbescheiden kunnen voor onbepaalde tijd worden bewaard (artikel 5 Avg; zie hoofdstuk 9).

Rechten van betrokkenen (artikelen 13 t/m 20 Avg)

De Verordening bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:

  • Recht op informatie: betrokkenen hebben het recht om aan het Nationaal Archief te vragen of zijn/haar persoonsgegevens worden verwerkt. 
  • Inzagerecht: betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, zijn/haar gegevens worden verwerkt. 
  • Correctierecht: als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoeken indienen bij het Nationaal Archief om dit te corrigeren. Dit correctierecht is in beperkte mate van toepassing op overgebrachte archiefbescheiden.
  • Recht van verzet: betrokkenen hebben het recht aan het Nationaal Archief te vragen om hun persoonsgegevens niet meer te gebruiken. 
  • Recht om vergeten te worden: de betrokkene heeft in bepaalde gevallen het recht om de persoonsgegevens te laten verwijderen. 
  • Recht op bezwaar: betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van zijn/haar persoonsgegevens. Het Nationaal Archief zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking. Dat kan zich bijvoorbeeld voordoen in het geval persoonsgegevens in overgebrachte archiefbescheiden betreft.

De rechten van betrokkenen ten aanzien van persoonsgegevens in overgebrachte archiefbescheiden zijn beperkter. Zie hieronder in hoofdstuk 9 voor een nadere toelichting.

Indienen van een verzoek

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen, dat kan zowel schriftelijk als via e-mail. Het Nationaal Archief heeft vanaf de ontvangst van het verzoek, vier weken de tijd om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal het Nationaal Archief laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij het Nationaal Archief, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan het Nationaal Archief bij de betrokkene aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene. 

Profilering (artikel 22 Avg)

Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen voorspellen en op basis van deze informatie een besluit te nemen waaraan rechtsgevolgen zijn verbonden of hem anderszins in aanmerkelijke mate treft. Voorbeelden van persoonlijke aspecten kunnen zijn: financiële situatie, interesses, gedrag of locatie.

Het Nationaal Archief maakt geen gebruik van profilering.

Big data en tracking

Het Nationaal Archief maakt geen gebruik van big data en tracking.

Inzet van camera’s

Binnen het Nationaal Archief wordt onder bepaalde omstandigheden gebruik gemaakt van cameratoezicht. Cameratoezicht wordt onder andere gebruikt voor beveiliging van de unieke archiefstukken die op de studiezaal van het Nationaal Archief kunnen worden ingezien. Maar ook de privacy van medewerkers en bezoekers van het Nationaal Archief zijn te beschermen belangen. Camera’s kunnen een grote inbreuk maken op de privacy van diegene die gefilmd worden. Om de privacy zo goed mogelijk te waarborgen worden camera’s alleen ingezet wanneer er geen andere manieren zijn om het doel te bereiken, en worden er eisen gesteld aan de inzet van camera’s.

Het Nationaal Archief maakt gebruik van cameratoezicht onder de volgende voorwaarden:

  • de camerabeelden worden verzameld ten behoeve van de beveiliging van het gebouw, goederen en collectie van het NA; 
  • de beelden worden verwijderd uiterlijk zeven dagen nadat de opnamen zijn gemaakt, dan wel na afhandeling van de geconstateerde incidenten;
  • de beelden zijn technisch en organisatorisch beveiligd.

Het Nationaal Archief heeft camerabeveiliging op de volgende locaties geplaatst:

  • studiezaal Nationaal Archief;
  • ingang fietsenstalling;
  • tentoonstellingsruimte;
  • publieke ruimte;
  • kantoorruimte;
  • buitenzijde gebouw.

Register van verwerkingen (artikel 30 Avg)

Het Nationaal Archief is (deel-) verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan de minister van Onderwijs, Cultuur en Wetenschap de verwerkingsverantwoordelijke is.

Het register bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt, namelijk:

  • de naam en contactgegevens van de verwerkingsverantwoordelijke en mogelijk de gezamenlijke verwerkingsverantwoordelijke;
  • de doelen van de verwerking;
  • een beschrijving van het soort persoonsgegevens en de daarbij behorende betrokkenen;
  • een beschrijving van de ontvangers van de persoonsgegevens;
  • een beschrijving van het delen van persoonsgegevens aan een derde land of internationale organisatie;
  • de termijnen waarin de verschillende persoonsgegevens moeten worden gewist;
  • een algemene beschrijving van de beveiligingsmaatregelen.

Het Nationaal Archief is op grond van artikel 11 Avg niet verplicht om in het register van verwerkingsactiviteiten ook de verschillende categorieën van persoonsgegevens uit overgebrachte archiefbescheiden op te nemen. In het kader van archivering in het algemeen belang is namelijk niet langer vereist dat het Nationaal Archief de betrokkenen in overgebrachte archiefbescheiden identificeert of aanvullende gegevens ter identificatie bijhoudt, verkrijgt of verwerkt.

Gegevensbeschermingseffectbeoordeling (artikel 35 Avg)

Met een gegevensbeschermingseffectbeoordeling – oftewel een Data Protection Impact Assessment (DPIA) – worden de effecten en risico’s van nieuwe of bestaande verwerkingen op de bescherming van privacy beoordeeld. Het Nationaal Archief voert deze uit bij een geautomatiseerde of grootschalige verwerking van gegevens of wanneer er een grootschalige monitoring van openbare ruimte plaatsvindt. Dit in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt. Per DPIA wordt advies aan de Functionaris voor de gegevensbescherming van OCW gevraagd. Als uit een DPIA blijkt dat er sprake is van een risicovolle verwerking wordt de Autoriteit Persoonsgegevens op de hoogte gesteld. De Autoriteit Persoonsgegevens maakt het overzicht met risicovolle verwerkingen openbaar.

Aanstellen van een Functionaris voor de gegevensbescherming (artikelen 37 t/m 39 AVG)
De minister van Onderwijs, Cultuur en Wetenschap heeft een Functionaris voor de gegevensbescherming (FG) aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de Autoriteit Persoonsgegevens. Het is niet de bedoeling dat de functionaris de taken op het gebied van bescherming van de privacy van de verschillende directies van het ministerie of agentschappen als het Nationaal Archief overneemt. Het Nationaal Archief heeft een eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens. Een verwerking van persoonsgegevens wordt eerst aan de FG van OCW gemeld voordat de verwerking begint. De FG van OCW is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en/van de departementaal brede richtlijnen op het gebied van privacy. De privacyfunctionaris van het Nationaal Archief heeft regelmatig overleg met de FG van OCW over de naleving van het privacybeleid en –reglement. 

Datalekken (artikel 33 en 34 Avg)

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook een onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

De meldplicht datalekken houdt in dat een ernstig datalek moet worden gemeld bij de Autoriteit Persoonsgegevens. Een datalek moet aan de betrokkene(n) worden gemeld als de inbreuk waarschijnlijk ongunstige gevolgen heeft voor zijn of haar privéleven.

Het Nationaal Archief volgt hierbij de procedure voor het melden van datalekken van het ministerie van OCW. Om toekomstige datalekken te voorkomen worden voorgekomen datalekken geëvalueerd. Alle datalekken worden opgenomen in een intern register.

Privacy by design of privacy by default (artikel 25 Avg)

Privacy by design houdt in dat vanaf het ontwerpen van een nieuw of aangepast proces, product, dienst, of informatiesysteem wordt nagedacht over:

  • het rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens;
  • de maatregelen die hiervoor nodig zijn;

Privacy by default betekent dat de standaardinstellingen in systemen zijn ingesteld om maximale privacybescherming te borgen. De Avg noemt “gegevensbescherming door ontwerp en standaardinstellingen”.  Bij het toepassen van Privacy by design en –default wordt advies aan de Functionaris voor de gegevensbescherming OCW gevraagd.

Verwerkersovereenkomsten (artikel 28 Avg)

Er worden verwerkersovereenkomsten afgesloten met verwerkers. Een verwerkersovereenkomst is wettelijk verplicht als het verwerken van persoonsgegevens aan een andere partij wordt uitbesteed. Het Nationaal Archief sluit bijvoorbeeld verwerkersovereenkomsten wanneer overgebrachte archiefbescheiden worden gedigitaliseerd. Er worden bijvoorbeeld afspraken gemaakt over:

  • de doeleinden waarvoor de gegevens worden verwerkt;
  • hoe de verwerker met de persoonsgegevens moet omgaan;
  • welke beveiligingsmaatregelen moeten worden genomen;
  • welke vormen van toezicht de eigenaar van de gegevens kan uitoefenen;
  • de geheimhoudingsplicht;
  • inschakelen van derden en onderaannemers;
  • locatie van de data;
  • aansprakelijkheid in geval van schade door het niet naleven van regelgeving.

De Privacyfunctionaris houdt een register van verwerkersovereenkomsten bij.

De verordening kent een aantal specifieke uitzonderingen voor verwerkingen van persoonsgegevens met het oog op archivering in het algemeen belang. Een aantal van deze uitzonderingen werkt rechtstreeks. Daarnaast bevat artikel 89, derde lid, van de Verordening een specifieke bepaling op grond waarvan bij lidstatelijk recht kan worden afgeweken van enkele voorschriften van de verordening.

Informatieplicht

De informatieplicht is niet van toepassing op persoonsgegevens die in overgebrachte archiefbescheiden voorkomen (artikel 14, vijfde lid, Avg). Gelet op de grote hoeveelheden archiefbescheiden die worden overgebracht naar het Nationaal Archief, zou het informeren van alle betrokkenen een onmogelijke opgave worden. De informatieplicht geldt uiteraard wel voor het overheidsorgaan dat de persoonsgegevens in de archiefbescheiden heeft opgenomen. 

Bewaartermijn

Persoonsgegevens die voorkomen in overgebrachte archiefbescheiden kunnen voor onbepaalde tijd worden bewaard. Deze archiefstukken worden bewaard met als doel het behoud van (een deel van) het Nederlandse culturele erfgoed. 

Rechten van betrokkenen (artikel 89 Avg en artikel 41 Uitvoeringswet Avg)

De rechten van betrokken met betrekking tot persoonsgegevens die in overgebrachte archiefbescheiden voorkomen, kunnen in het kader van archivering in het algemeen belang en op grond van artikel 89 Avg worden beperkt. Dit betekent het volgende:

  • Recht op informatie: Het Nationaal Archief voert geen onderzoek uit naar persoonsgegevens in archiefbescheiden. Het is aan de onderzoeker zelf om te achterhalen of en waar hij/zij in de archiefbescheiden voorkomt.
  • Inzagerecht: betrokkenen hebben de mogelijkheid om archiefbescheiden te raadplegen, tenzij de verzoeken zo ongericht zijn dat deze in redelijkheid niet kunnen worden ingewilligd.
  • Correctierecht: om de authenticiteit van de overgebrachte archiefbescheiden te waarborgen is het niet mogelijk om onjuiste persoonsgegevens te rectificeren. Wel kan het Nationaal Archief op verzoek uw eigen lezing aan het dossier toevoegen.
  • Recht van verzet: mochten overgebrachte archiefbescheiden onjuiste persoonsgegevens bevatten, dan is het niet mogelijk de verwerking hiervan door het Nationaal Archief te blokkeren. 
  • Recht om vergeten te worden: dit recht is niet van toepassing op archiefbescheiden die zijn overgebracht naar een archiefbewaarplaats. Het Nationaal Archief heeft namelijk als wettelijke taak de overgebrachte archiefbescheiden voor onbepaalde tijd te bewaren.
  • Recht op overdraagbaarheid van gegevens: aangezien de Archiefwet bepaalt naar welke archiefbewaarplaats archiefbescheiden overgebracht moeten worden, heeft een betrokkene niet het recht zijn persoonsgegevens aan een andere verwerkingsverantwoordelijke over te dragen.
  • Recht op bezwaar: het Nationaal Archief voert een taak van algemeen belang uit, waardoor het niet mogelijk is om bezwaar te maken tegen verwerkingen van persoonsgegevens in overgebrachte archiefbescheiden.

Indienen van een verzoek

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als via de e-mail (AVG@nationaalarchief.nl) ingediend worden.

Als het Nationaal Archief een wettelijke verplichting niet nakomt kan de betrokkene een klacht indienen. Deze zal via de klachtenregeling van het Nationaal Archief worden behandeld. 

Den Haag, 10 februari 2022