Home > Privacyrecht > Raad van State: Archiefwet geen excuus voor privacyschending
Raad van State: Archiefwet geen excuus voor privacyschending

Raad van State: Archiefwet geen excuus voor privacyschending

Bij sommige overheden leeft nog wel eens de indruk dat de Archiefwet een rechtvaardiging vormt om, ongeacht de omstandigheden, persoonsgegevens voor archiefdoeleinden te mogen verwerken. Een uitspraak van de Raad van State van 23 augustus 2017 laat zien dat dit niet zo is.

Verwijderverzoek na handhavingsverzoek bij IGZ

De kwestie gaat over het volgende. Een vrouw had een handhavingsverzoek ingediend bij de inspectie voor de gezondheidszorg (IGZ). In dat kader waren bij haar aanvullende (medische) gegevens opgevraagd.

IGZ besloot uiteindelijk niet handhavend op te treden. De vrouw verzocht daarop haar gegevens te verwijderen. Dat weigerde de IGZ, met een beroep op de Archiefwet.

Rechtbank geeft vrouw gelijk

De vrouw stapt – nadat ze ongelijk krijgt na het indienen van een bezwaarschrift – naar de rechter. En de rechtbank geeft de vrouw gelijk.

De rechtbank oordeelt, samengevat, dat er geen grond is gezondheidsgegevens in archieven te bewaren en dat het bewaren ook overigens niet noodzakelijk is. Zie over details mijn eerdere blogbericht in deze kwestie.

Raad van State: specifieke wettelijke grondslag vereist

De inspectie gaat in hoger beroep bij de Raad van State. De Raad van State benadrukt allereerst dat voor de verwerking van bijzondere persoonsgegevens een specifieke wettelijke grondslag aanwezig moet zijn:

4.1.    Ingevolge artikel 23, eerste lid, aanhef en onder f, van de Wbp is het verbod om persoonsgegevens betreffende iemands gezondheid te verwerken niet van toepassing voor zover dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het College ontheffing heeft verleend. Uit de geschiedenis van de totstandkoming van deze bepaling blijkt dat de zinsnede «bij wet bepaald» met zich brengt dat de verwerking van een gevoelig gegeven alleen mogelijk is indien bij formele wet daarin is voorzien. Een zodanige verwerking moet in de Wbp of in een formele wet uitdrukkelijk zijn geregeld (Kamerstukken II 1997-1998, 25 892, nr. 3, p. 125).

Raad van State: Archiefwet is niet een dergelijke bepaling

Vervolgens toetst de Raad van State of er een wettelijke grondslag is voor de IGZ om de gegevens te bewaren.

De Raad van State constateert dat dit niet het geval is. Op de details van die redenering ga ik niet volledig in.

Met name de volgende passage in de uitspraak valt mij op:

Ingevolge artikel 3 van de Archiefwet zijn de overheidsorganen verplicht de onder hen berustende archiefbescheiden in goede, geordende en toegankelijke staat te brengen en te bewaren, alsmede zorg te dragen voor de vernietiging van de daarvoor in aanmerking komende archiefbescheiden. Naar het oordeel van de Afdeling vormt deze algemene bepaling niet een zelfstandige grondslag voor de verwerking van bijzondere persoonsgegevens als bedoeld in artikel 23, eerste lid, aanhef en onder f, van de Wbp, nu aan de bewaarplicht van de Archiefwet pas wordt toegekomen als gegevens in overeenstemming met de Wbp worden verwerkt.

De Raad van State zegt in feite dat persoonsgegevens alleen mogen worden gearchiveerd als ze voorafgaand aan die archivering ook mochten worden verwerkt.

Raad van State: publicatie in Staatscourant over bewaartermijn onvoldoende

De uitspraak gaat verder met de vraag of de vrouw dan toestemming heeft gegeven voor het bewaren van haar gegevens. Ook die vraag wordt ontkennend beantwoord.

De Raad van State benadrukt in dat kader allereerst dat er stevige eisen worden gesteld aan een toestemmingsverklaring, wil deze rechtsgeldig zijn (vrij vertaald: informed consent, de consument moet snappen waarvoor hij/zij nu precies toestemming geeft).

Vervolgens analyseert de Raad van State of ergens uit blijkt dat de vrouw wist dat haar gegevens 10 jaar zouden worden bewaard. De enige aanwijzing die daarvoor gevonden wordt is dat die informatie in de Staatscourant te vinden was. Overigens blijkt nergens uit dat de vrouw vooraf wist dat haar gegevens langdurig zouden worden bewaard. Ook van een geldige toestemming voor archivering is dus geen sprake.

Conclusie: archieven schonen, of wettelijke regeling nodig

Voor overheden geldt dus dat zij bij het archiveren van gegevens zich steeds de vraag moeten stellen of zij de gegevens überhaupt op grond van de Wet bescherming persoonsgegevens mochten verwerken. Gegevens die niet verwerkt hadden mogen worden, horen ook niet in een archief thuis.

Voor alle toezichthouders die mogelijk te maken krijgen met bijzondere persoonsgegevens (bij bijvoorbeeld handhavingsverzoeken) ligt een wettelijke regeling meest voor de hand. Als de enige wettelijke grond waarop toezichthouders dergelijke gegevens mogen verwerken immers de toestemming van de betrokkene zou zijn, dan ontstaat de wat wonderlijke situatie dat een betrokkene door het intrekken van die toestemming een reeds in gang gezette handhaving kan frustreren. Het is dus de vraag of de wetgever snel met reparatiewetgeving komt.

Onder de AVG vermoedelijk niet wezenlijk anders

Het voorgaande wordt onder de AVG vermoedelijk niet wezenlijk anders, zij het dat er wel een paar accentverschillen zijn.

Artikel 5 onder b en onder e AVG bepaalt dat de verdere verwerking voor archiefdoeleinden in het algemeen belang, niet in strijd met de regels van doelbinding. Het “verdere” in die bepaling impliceert al dat de oorspronkelijke verwerking wel rechtmatig moet zijn.

Voor bijzondere persoonsgegevens wordt in artikel 9 lid 2 onder j AVG een uitzondering getroffen voor archieven in het algemeen belang. Die bepaling lijkt op het huidige artikel 23 Wbp (zij het dat het niet verwijst naar een nog te treffen wettelijke maatregel). Het artikel lijkt echter geen algemene grondslag te geven voor verwerking voor archiefdoeleinden.

In artikel 13 en 14 AVG (informatieplichten) is bepaald dat verstrekken van informatie niet nodig is wanneer dat onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang. Een wonderlijke bepaling, want ik zou denken dat als je toch al transparant bent, dat het dan een kleine moeite is – en dus geen onevenredige inspanning kost – om ook te vertellen dat gegevens voor archiefdoeleinden worden verwerkt. Dit artikel lijkt aldus nauwelijks een excuus om de betrokkene niet te informeren over archivering.

Het recht om vergeten te worden is niet van toepassing op archiefinformatie, aldus artikel 17 lid 3 onder d AVG. In lid 3 van artikel 89 AVG staat vervolgens dat in nationaal recht ook van de andere rechten dan de hiervoor genoemde rechten kan worden afgeweken die aan de betrokkene worden toegekend. Naar mijn verwachting doen al die uitzonderingen op de rechten van betrokkene er niet aan af dat de oorspronkelijke verwerking wel rechtmatig moet zijn geweest (en dat de betrokkene in dat kader zo nodig zijn correctierecht inroept). Anders zou archiveren het perfecte privacy-excuus zijn en dat staat haaks op de door de AVG vereiste “passende waarborgen” bij archivering.

Artikel 89 AVG geeft ten slotte de algemene regels voor archivering in het algemeen belang. Hoofdregel is dat er passende waarborgen moeten zijn getroffen bij archivering. Ik verwacht dat de Nederlandse regering van oordeel is dat de Archiefwet die passende waarborgen kent. Door artikel 89 AVG heeft het Hof van Justitie naar mijn verwachting vanaf 25 mei 2018 het laatste woord over (de privacy-aspecten van) onze Archiefwet.

Mogelijk stevige sancties

De Autoriteit Persoonsgegevens zou dus overheidsarchieven kunnen onderzoeken op de rechtmatigheid van de daarin verwerkte persoonsgegevens. Vervolgens zouden hele stevige boetes opgelegd kunnen worden (10/20 mio). Dat is alleen anders in de Nederlandse overheid ervoor kiest in de wet te bepalen dat aan overheden geen boetes kunnen worden opgelegd (zie artikel 83 lid 7 AVG). De vraag is natuurlijk wel of het zo ver komt en of de AP de beperkte handhavingscapaciteit niet anders zal aanwenden.

Conclusie: stop niet zomaar alles in uw archief

De conclusie is uiteindelijk kort en simpel: verwerk niet meer persoonsgegevens dan noodzakelijk voor uw taken en normale bedrijfsvoering en archiveer vervolgens niet meer gegevens dan noodzakelijk voor het archief.

Heeft u vragen over privacyrecht? Neem dan contact op.

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
  • Print
Naar boven scrollen