U bent hier

Vernietigen, bewaren en datalekken

Inleiding

De invoering van de Wet datalekken per 1-1-2016 heeft tot consequentie dat overheden nog zorgvuldiger met vernietiging van persoonsgegevens om moeten gaan dan ze mogelijkerwijs al deden (of niet). Bij overheden is in dat geval niet alleen rekening te houden met de Wet bescherming persoonsgegevens (WBP), maar ook met de Archiefwet 1995 (AW95). Beschrijft de eerste vooral wat wel en niet mag met persoonsgegevens, de laatste beschrijft in het geval van bewaring en vernietiging van informatie de toe te passen instrumenten, de verantwoordelijkheden en de manier van documenteren.

Aan de hand van stellingen wordt op deze pagina de relatie tussen het onderdeel datalekken van de WBP en de AW95 weergegeven. Beide vullen elkaar mooi aan.

Op deze stellingen volgen de conclusies dat zowel in het geval van bepaalde vormen van vernietiging als van te lange bewaring sprake kan zijn van datalekken. In deze context wordt geen aandacht besteed aan de eventuele meldplicht1. Dat is van geval tot geval te beoordelen.

Doel is te voorkomen dat persoonsgegevens te lang bewaard blijven of wel op niet correct wijze worden vernietigd2.

Stellingen

Vernietigen

  1. Vernietigen van informatie is het zodanig bewerken van informatie dat reconstructie daarvan niet mogelijk is3.
  2. Vernietiging bij organisaties die vallen in het domein van de AW95 is alleen toegestaan wanneer de te vernietigen informatie in een vastgestelde selectielijst is opgenomen4.
  3. Vernietiging is uit te voeren overeenkomstig het Archiefbesluit 1995 (AB95) en de beheersregels van een overheidsorganisatie op basis van de Archiefwet.
    1. het AB95 schrijft een verklaring van vernietiging voor5.
    2. in de beheersregels zijn de verantwoordelijkheden voor vernietiging vastgelegd.
  4. Vernietiging van informatie is op grond van de AW verplicht6.
  5. Vernietigen van persoonsgegevens is volgens de WBP verplicht op het moment dat de doelbinding is vervallen7.
  6. De Archiefwet wordt ten opzichte van de WBP beschouwd als een speciale wet8.
  7. Archiefwet en WBP vullen elkaar ook deels aan9.
  8. De doelbinding is vervallen op het moment dat de bewaartermijn volgens een selectielijst is verstreken.
  9. De WBP geeft een aantal uitzonderingen op de verplichting tot vernietiging van persoonsgegevens waaronder historisch, statistisch en wetenschappelijk onderzoek10.
  10. Vernietigen van bepaalde informatie kan op grond van uitzonderingscriteria die zijn opgenomen in een selectielijst achterwege blijven11.
  11. Vernietigen is een vorm van verwerking van gegevens12.
  12. Vernietigen van persoonsgegevens is een verwerking van persoonsgegevens13.
  13. Vernietiging buiten vastgestelde beheersregels en selectielijsten om is illegaal.
  14. Illegale vernietiging is een ambtsmisdrijf14 .
  15. Een datalek is een onrechtmatige verwerking van persoonsgegevens15.
  16. Illegale vernietiging van persoonsgegevens is een onrechtmatige verwerking van persoonsgegevens.
  17. Beveiligen en andere organisatorische maatregelen betreffen ook het beschermen van persoonsgegevens tegen illegale vernietiging 16 .
  18. Illegale vernietiging van persoonsgegevens is een datalek.

Bewaren

  1. Bewaren van informatie is het op aantoonbare manier beschikbaar houden van informatie gedurende wettelijke bewaartermijnen17.
  2. De te bewaren informatie bevindt zich in een goede, geordende en toegankelijke staat18.
  3. Bewaren vindt plaats tot de wettelijke bewaartermijnen verstreken zijn18.
  4. Bewaren van informatie is een vorm van verwerking van gegevens12.
  5. Bewaren van persoonsgegevens is een vorm van verwerking van persoonsgegevens13.
  6. Bewaring van eigenlijk te vernietigen persoonsgegevens is op grond van een van de uitzonderingscriteria van de selectielijst een rechtmatige verwerking van persoonsgegevens19.
  7. Te lang bewaren, te weten het bewaren van persoonsgegevens nadat de wettelijke bewaartermijnen zijn verstreken, is een onrechtmatige verwerking van persoonsgegevens.
  8. Beveiligen en andere organisatorische maatregelen betreffen ook het beschermen van persoonsgegevens tegen te lange bewaring16.
  9. Te lang bewaren van persoonsgegevens is een datalek.

En dus

  1. Zorg dat vernietiging van persoonsgegevens aantoonbaar plaatsvindt
    1. op tijd
    2. regelmatig / jaarlijks
    3. op basis van
      1. een vastgestelde selectielijst20 en
      2. interne procedures en afspraken
    4. door daartoe bevoegde functionarissen
  2. Digitale systemen waarmee persoonsgegevens worden verwerkt moeten beschikken over functionaliteiten voor vernietiging conform de NEN 2082 21 .
  3. Zorg dat vernietiging aantoonbaar is, dus met vastlegging van de nodige documentatie
    1. Verklaring van vernietiging conform AB955.
    2. Overzicht van vernietigde informatie (bijlage bij de verklaring van vernietiging).
  • 1. WBP, artikel 34a
  • 2. Bijvoorbeeld op basis van intern vastgelegde afspraken, procedures en processen
  • 3. NEN 2082; Eisen voor functionaliteit van informatie- en archiefmanagement in programmatuur, Nederlands Normalisatie Instituut, Delft, 2008. (NEN 2082:2008 nl), paragraaf 3.25
  • 4. AW95, artikel 5
  • 5. a. b. AB95, artikel 8
  • 6. AW95, artikel 3
  • 7. WBP, artikel 10
  • 8. WBP Memorie van Toelichting hfd. 5. en hfd. 12. Het lijkt er op dat de Archiefwet ten opzichte van de WBP als bijzondere wet wordt beschouwd. De regel is dat een bijzondere wet boven een algemene wet gaat.
  • 9. WBP Memorie van Toelichting hfd. 5. en hfd. 12. (https://zoek.officielebekendmakingen.nl/kst-25892-3.html)
  • 10. WBP, artikel 9 lid 3 en 10 lid 2.
  • 11. Archiefbesluit 1995 artikel 5 lid 1 sub e.
  • 12. a. b. Kan gedefinieerd worden in de interne afspraken.
  • 13. a. b. WBP, artikel 1 sub b.
  • 14. Wetboek van Strafrecht, artikel 361 en Wetboek van strafvordering, artikel 162.
  • 15. WBP, artikel 34a en artikel 13.
  • 16. a. b. WBP, artikel 13.
  • 17. Nederlandse Norm NEN-ISO 15489-1(nl); Informatie en documentatie – Archiefbeheer, (ISO 15489-1:2001,IDT), Nederlands Normalisatie Instituut, Delft, 2001. Paragraaf 3.14 termen en begrippen.
  • 18. a. b. AW95, artikel 3.
  • 19. Zie bijvoorbeeld de uitzonderingscriteria uit de gemeentelijke selectielijst van 2012.
  • 20. Zie ook grondslag - datalek
  • 21. NEN 2082; Eisen voor functionaliteit van informatie- en archiefmanagement in programmatuur, Nederlands Normalisatie Instituut, Delft, 2008. (NEN 2082:2008 nl).

Informatiemodel:

Sharte this / Add this: 
Datum eerste publicatie: 
maandag, 16 mei 2016 - 7:15pm
Share/Deel