Gedragscodevoor archieven en gebruikers

Karin Van Honacker

Art. 40 van AVG – Gedragscodes

1. De lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie bevorderen de opstelling van gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen, moeten bijdragen tot de juiste toepassing van deze verordening.

2

2. Verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, kunnen gedragscodes opstellen, of die codes wijzigen of uitbreiden, teneinde de toepassing van deze verordening nader toe te lichten, zoals met betrekking tot, o.m.• behoorlijke en transparante verwerking; • de gerechtvaardigde belangen die door verwerkingsverantwoordelijken in een

specifieke context worden behartigd; • de verzameling van gegevens; • de pseudonimisering van persoonsgegevens; • de aan het publiek en betrokkenen verstrekte informatie; • de uitoefening van de rechten van betrokkenen; • de kennisgeving van inbreuken ivm persoonsgegevens aan toezichthoudende

autoriteiten en de mededeling van die inbreuken ivm persoonsgegevens aan betrokkenen

• …

3

Art. 40 – Gedragscodes

2012• 25 jan.: eerste voorstel van EC over hervorming

gegevensbescherming (AVG – verordening)

• 30 mei, Kopenhagen: halfjaarlijkse bijeenkomst van de EAG (European Archives Group - een expertgroep van de EC bestaande uit vertegenwoordigers van de nationale/federale archieven van de lidstaten)

gastspreker: Peter Hustinx, toenmalig European Data Protection Supervisor (EDPS)conclusie: veel minder specifieke voorzieningen voor de archiefsector in het nieuwe voorstel dan in Richtlijn uit 1995

4

Historiek van een Europees initiatief:een gedragscode voor archiefdiensten

EAG Kopenhagen - mei 2012

• Discussie waaruit ongerustheid blijkt, o.m. over het ‘recht op vergetelheid’

• Reflectie over nationale gedragscodes (UK en Italië) opgesteld na 1995, om problemen met Richtlijn uit 1995 op te lossen

• Idee om in contact te treden met EC en in ruil voor specifieke maatregelen voor archieven, zodat authenticiteit en volledigheid kan gegarandeerd blijven, een gedragscode uit te werken en die aan de EC voor te leggen. In de gedragscode zullen de verantwoordelijkheden van archivarissen worden uiteengezet

• Oprichting van een werkgroep o.l.v. IT en UK5

EAG Nicosia - okt. 2012

• Validering van een brief voor Viviane Reding (EC), in naam van alle Europese nationaal archivarissen

• Voorstelling van en discussie over de bestaande gedragscodes van IT en UK

• Beslissing om een Europese gedragscode op te stellen

• De in Kopenhagen opgerichte werkgroep zal een eerste voorstel van gedragscode opstellen en voorleggen op volgende vergadering van de EAG

6

EAG Dublin - april 2013

• Ierse toezichthouder geeft stand van zaken:‘… while member states will retain the right tocollect personal data for a number of purposes, including historical research, the processing of personal data, including by archives services, willbe subject to strict conditions’

• De werkgroep stelt een eerste ontwerp van gedragscode voor en vraagt om feedback tegen volgende bijeenkomst

7

Loop 2013

• Petities van beroepsverenigingen van archivarissen in verschillende lidstaten tegen AVG

• Contacten van nationaal archivarissen met hun regering en/of met Europese parlementsleden

• Voorstel uitgewerkt door Frankrijk voor specifieke uitzondering voor archiefdoeleinden, niet beperkt tot historisch onderzoek

• Contacten van nationaal archivarissen met de Raad van de EU (de werkgroep DAPIX) en met het EP (Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE))

• Informele contacten met DG JUST (afdeling EC bevoegd voor EU-beleid op vlak van

justitie), EDPS en nationale toezichthouders gegevensbescherming

• Amendementen door Litouws voorzitterschap, o.m. mbthistorisch, statistisch & wetenschappelijk onderzoek

8

EAG Vilnius - okt. 2013

• Update over evolutie en initiatieven sinds Dublin

• Toelichting bij standpunten van de EC:– Verordening mag niet minder persoonsbescherming bieden

dan de Richtlijn uit 1995

– Bedenkingen EC bij uitzonderingen voor privéarchiefdiensten

– Tegenstand EC tegen idee om uitzonderingen te voorzien via nationale wetgeving

• Oproep aan alle nationaal archivarissen om in contact te blijven met eigen vertegenwoordigers in EU

• Beslissing om discussie over gedragscode uit te stellen, gezien het gebrek aan duidelijkheid

9

EAG Athene - juni 2014

Stand van zaken:

• Discussies lopende (DAPIX – werkgroep van Raad)

• EAG volgt evolutie op de voet

• Beslissing om op volgende vergadering (Italië) de nationale toezichthouder uit te nodigen voor een update

10

EAG Turijn - nov. 2014

• Italiaanse toezichthouder geeft stand van zaken:– Nadruk op belang van minstens even hoge graad van

bescherming als onder Richtlijn 1995

– NIEUW: in de Raad van de EU wordt gediscussieerd over mogelijkheid om uitzonderingen – o.m. voor archiefdoeleinden en onderzoek – te laten regelen via nationale wetgeving

– NIEUW: introductie van ‘archivering in het algemeen belang’, ipv focus op organisatie die de archieven bewaart

11

EAG Riga en Luxemburg - 2015

• Weinig te melden over de AVG

• Aandacht voor

– Herziening regelgeving auteursrecht

– Omzetting door de lidstaten van de nieuwe Europese richtlijn (2013) rond het hergebruik van overheidsinformatie

12

EAG Den Haag - juni 2016

• 27 april: goedkeuring AVG

• EAG: discussie over de prioriteiten voor de komende jaren

– aan de top: e-archiving en bescherming persoonsgegevens

– Relance van de idee van een gedragscode (vooral Frankrijk)

– Opnieuw oprichting van een werkgroep AVG, o.l.v.Frankrijk

13

EAG Bratislava - november 2016

• Voorstel van een eerste ontwerp van gedragscode door Frankrijk

• Discussie en opstellen van een tijdschema

inclusief: stakeholdersbevraging

• Probleem: nog geen richtlijnen beschikbaar voor het opstellen van gedragscodes

14

EAG Valletta - april 2017

• Tweede versie van ontwerp gedragscode (incl. suggesties van EAG leden) wordt toegelicht

• EAG drukt voorkeur uit voor een Europese gedragscode, eerder dan diverse nationale gedragscodes

• Vertegenwoordiger EC in de EAG zal zich informeren over de te volgen procedure

Juni 2017: derde versie, bestemd voor discussie door stakeholders

15

Gedragscode voor archiefdiensten

Doel: overzicht geven van de acties die archiefdiensten moeten ondernemen in verband met de verwerking van persoonsgegevens voor archiefdoeleinden, om ervoor te zorgen dat deze gegevens bruikbaar blijven voor onderzoek en voor bewijsgaring, nu en in de toekomst

Coördinator EAG-werkgroep: Archives de France (Sous-

direction de la politique archivistique - Bureau du contrôle et de la collecte des archives publiques)

16

Inleiding

• Opsomming van passages uit AVG mbt‘archivering in het algemeen belang’ (art. 89, rec. 156 en 158) en ‘recht op vergetelheid’ (art. 17)

• Opsomming van bestaande richtlijnen en codes mbt toegang tot informatie, integriteit van archieven, rol van de archivaris (EU, UNESCO, ICA)

17

Algemene principes

3.1 Definities• Bij ‘Onderzoek’ wordt ook ‘genealogisch onderzoek’ expliciet

vermeld!

3.2 Verantwoordelijkheden & verbintenissen• verantwoordelijkheden van alle partijen moeten per verwerving

duidelijk worden omschreven• archiefdiensten moeten de nodige maatregelen treffen om te

voldoen aan de bepalingen van de AVG en de gedragscode+ ze moeten daartoe ook hun DPO en hun personeel opleiden+ ze moeten de nodige technische voorzieningen treffen+ ze moeten erop toezien dat de verwerkingen die ze uitvoeren (beschrijving, terbeschikkingstelling van informatie) conform de AVG zijn

18

Regels voor de activiteiten van een archiefdienst / 1

4.1 Waardering & verwerving van documenten

Nadruk op argumenteren waarom bepaalde keuzes tot selectie en verwerving worden gemaakt, zodat archiefdiensten kunnen verduidelijken waarom sommige documenten permanent bewaard worden (m.a.w. waarom het hier gaat om archivering in het algemeen belang)

Pertinent: • vooraleer overgegaan wordt tot pseudonimisering, goed nadenken over

de mogelijke gevolgen voor de authenticiteit van de documenten• archiefdiensten moeten duidelijk communiceren naar het publiek dat ze

documenten met persoonsgegevens bewaren, maar dat die verwerkt worden conform de AVG en de gedragscode

19

Regels… archiefdiensten / 2

4.2 Opslag & bewaring

• in geval van een inbreuk (breach) ivmpersoonsgegevens: archiefdiensten kunnen gebruik maken van de uitz. voorzien in art 34.3c) van de AVG: openbare mededeling

20

Regels… archiefdiensten / 3

4.3 Toegang tot archieven: beschrijving, mededeling en verspreiding• Mededeling = aan enkeling, individuele onderzoeker: speciale

toelatingen mogelijk, mits onderzoeksverklaring. Gebruiker uitdrukkelijk op verantwoordelijkheden wijzen

• Verspreiding = in leeszaal of online; geen controle mogelijk over gebruik. Risk assessment vooraleer over te gaan tot verspreiding

Belangrijk:

- Indien nodig, gebruik maken van pseudonimisering en gegevensminimalisatie (data protection by design and by default)

- gebruikers moeten op eigen verantwoordelijkheid worden gewezen

21

4.4 Geautomatiseerde verwerking

• Adequate waarborgen en veiligheidsmaatregelen voorzien

• uitdrukkelijk verwijzen naar data protection by design andby default, met toevoeging dat proces omkeerbaar moet zijn?

4.5 Rechten van de betrokkenen (data subjects)

• archiefdiensten moeten procedures uitwerken om te kunnen reageren op vragen/verzoeken van betrokkenen, en medewerkers moeten die procedures kennen

22

Regels… archiefdiensten / 4

Regels voor archiefgebruikers

• Gebruikers wijzen op hun verplichtingen en verantwoordelijkheden wanneer ze persoonsgegevens verwerken

• igv van speciale toelating: beperkingen bij de verdere verwerking & geen verwerking door derden toegestaan. Regels op hergebruik van overheidsinformatie zijn niet van toepassing

23

Stakeholdersbevraging over gedragscode

• 8 juni: v. 1 van de gedragscode ontvangen in EN en FR

• Vertaling in NL

• 16 juni: verzending naar ‘stakeholders’: de Commissie voor de Bescherming van de Persoonlijke Levenssfeer, diverse federale, regionale en lokale overheidsdiensten, de kabinetten van de ministers bevoegd voor Privacy, voor de Digitale agenda en voor Wetenschapsbeleid, de archiefdiensten van de parlementen van de verschillende bestuursniveaus, erfgoedorganisaties in de verschillende regio’s en met uiteenlopende statuten, academici, archiefopleidingen…

24

Stakeholdersoverleg: 3 juli, ARA

25

Feedback stakeholders

• Specifiek: bij tal van artikelen van de gedragscode: toevoegingen, schrappingen, alternatieve formuleringen

• Algemeen:– een gedragscode moet een toegevoegde waarde hebben, iets wat in

de huidige versie teveel ontbreekt. Het volstaat niet de artikelen uit de AVG te reproduceren

– ook specifieke beschikkingen/voorbeelden voorzien– sommige artikelen uit de gedragscode zouden niet – geheel of

gedeeltelijk – stroken met de bepalingen van de AVG, of zijn onvolledig

– Toezicht op de naleving van de gedragscode ontbreekt (art. 41)– Kritiek op verwijzing naar ‘anonimisering’– Discussie over nut van een onderdeel ‘definities’– [Vragen over inhoudelijke aspecten van de AVG]

26

EAG Tallinn - sept. 2017

14 lidstaten rapporteren over de feedback verzameld bij hun stakeholders

+

Commentaar DG JUST

27

Voornaamste commentaren

• ‘toegevoegde waarde’ die een gedragscode moet hebben, • nood aan concrete voorbeelden en specifieke maatregelen, inz.

mbt maatregelen als anonimisering en pseudonimisering• Een gedragscode moet prioriteit geven aan de rechten van de

betrokkenen (‘the data subjects’)• concrete invulling van de ‘afwijkingen en waarborgen’ die in acht

moeten worden genomen met het oog op ‘archivering in het algemeen belang’

• situatie van privéarchieven?• al dan niet verplicht karakter van een dergelijk document:

opteren voor een gedragscode of eerder voor richtlijnen? En voor een Europese of eerder nationale gedragscodes?

• meer expliciete aandacht voor digitale archivering

28

Conclusie EAG

Tijd nog niet rijp voor een gedragscode:

– Richtlijnen EC voor het opstellen van gedragscodes afwachten

– Afwijkende lezingen van sommige artikelen uit de AVG, zelfs door specialisten – overleg met DG JUST en met EDPS nodig

– Rol van de nationale wetgeving, vereist voor de ‘afwijkingen en waarborgen’ voor ‘archivering in het algemeen belang’

29

Verdere evolutie

• Voorstel voor het verdere verloop te formuleren door een nieuwe werkgroep, o.l.v. Italië

• Na overleg met DG JUST en EDPS

• Reflectie over keuze voor ‘richtlijnen/vademecum voor archiefdiensten met het oog op de naleving van de AVG’ en/of voor een formele gedragscode

• Richtlijnen/vademecum = dringend (AVG treedt in voege op 25 mei 2018). Ontwerp gedragscode kan hiervoor als basis dienen

30

Links

EUR-Lex:

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2016:119:TOC

European Data Protection Supervisor:

https://secure.edps.europa.eu/EDPSWEB/edps/lang/en/Consultation/Reform_package

European Commission:

http://ec.europa.eu/justice/data-protection/index_en.htm

31

Contact:

Karin Van Honacker – Algemeen Rijksarchief, Brussel

karin.van_honacker@arch.be

02/548 38 23

32