2. Inhoud
1. Algemene Verordening Gegevensbescherming van 27
april 2016 (AVG)
2. Bestuursdecreet van 7 december 2018
3. Wet van 30 juli 2018 betreffende de bescherming van
natuurlijke personen met betrekking tot de verwerking
van persoonsgegevens (Kaderwet)
4. Conclusie
5. (potentiële) rol van het Serieregister
6. Slotconclusie
3. Vraagstelling
• Hoe lang moeten/mogen bestuursdocumenten
bewaard worden?
• Wat na afloop van de bewaartermijn?
• Moeten er bijkomende maatregelen genomen
worden om ervoor te zorgen dat de integriteit van
permanent bewaarde bestuursdocumenten niet in
het gedrang komt?
5. Beginsel van opslagbeperking
• Artikel 5, lid 1, e) - Persoonsgegevens moeten worden bewaard in een vorm die
het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de
doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is
• Overweging (39) - de verwerkingsverantwoordelijke [dient] termijnen vast te
stellen voor het wissen van gegevens of voor een periodieke toetsing ervan
• = vaststellen van een bewaartermijn
• In principe moeten de persoonsgegevens gewist of geanonimiseerd worden na
verstrijken van de bewaartermijn
6. Voorbeeld: Dossiers overheidsopdrachten
• Artikel 164, §4 van de Wet van 17 juni 2016 inzake
overheidsopdrachten (plaatsingsprocedures)
• Wettelijke bewaartermijn van 10 jaar “vanaf de datum van
sluiting van de opdracht en in ieder geval tot het einde
van de waarborgtermijn, onverminderd het bepaalde in
wetten, decreten en ordonnanties inzake archieven.”
• = minimale wettelijke bewaartermijn van 10 jaar van
toepassing
➔ Gedurende deze bewaartermijn kan er in ieder geval dus
geen sprake zijn van vernietiging van de informatie
7. Archiveringsuitzondering
Persoonsgegevens mogen voor langere perioden worden
opgeslagen voor zover de persoonsgegevens louter met het oog op
archivering in het algemeen belang, wetenschappelijk of
historisch onderzoek of statistische doeleinden worden
verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze
verordening vereiste passende technische en organisatorische
maatregelen worden getroffen om de rechten en vrijheden van de
betrokkene te beschermen
8. Art. 89, lid 1
De verwerking met het oog op archivering in het algemeen belang,
wetenschappelijk of historisch onderzoek of statistische doeleinden is
onderworpen aan passende waarborgen in overeenstemming met deze
verordening voor de rechten en vrijheden van de betrokkene
Die waarborgen zorgen ervoor dat er technische en organisatorische
maatregelen zijn getroffen om de inachtneming van het beginsel van
minimale gegevensverwerking te garanderen.
Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die
doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die
doeleinden kunnen worden verwezenlijkt door verdere verwerking die de
identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus
worden verwezenlijkt.
9. Art. 89, lid 1 – concreet: een gelaagd stelstel
• Optie 1: anonimisering toepassen vooraleer over te gaan tot bewaring
• Optie 2: pseudonimisering toepassen vooraleer over te gaan tot bewaring
• Optie 3: originele gegevens bewaren
• In praktijk zal meestal optie 3 gekozen worden, maar dit moet steeds
duidelijk verantwoord worden (= verantwoordingsplicht cf. artikel 5, lid 2
AVG)
10. Doelbinding
• Persoonsgegevens mogen voor welbepaalde, uitdrukkelijk omschreven en
gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet
verder op een met die doeleinden onverenigbare wijze worden verwerkt
• ECHTER de verwerking i.k.v. archivering (cf. betekenis art. 89) wordt niet als
onverenigbaar met de oorspronkelijke doeleinden beschouwd
• Overweging 50 AVG verduidelijkt verder dat het wettelijk kader dat voor de
initiële verwerking van persoonsgegevens OK was, ook een rechtsgrond biedt
voor een verwerking i.k.v. archivering (vooral voor overheden relevant)
11. Verwerking van bijzondere categorieën
persoonsgegevens
• Art. 9, lid 1 AVG verbiedt in principe de verwerking van bijzondere categorieën van
persoonsgegevens
• Art. 9, lid 2, h) laat archivering toe ALS:
• Er een rechtsgrond is
• de evenredigheid met het nagestreefde doel wordt gewaarborgd
• de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt
geëerbiedigd
• passende en specifieke maatregelen worden getroffen ter bescherming van de
grondrechten en de belangen van de betrokkene
13. Belangrijke begrippen in Bestuursdecreet
Bestemming
Bestuursdecreet en AVG sluiten op elkaar
aan wat betreft terminologie
Een groepering van gelijksoortige
bestuursdocumenten die gecreëerd
en ontvangen worden door
dezelfde overheidsinstantie binnen
een bepaald proces
Categorie van bestuursdocumenten
De aanduiding van de waarde voor
het algemeen belang,
wetenschappelijk of historisch
onderzoek of statistische
doeleinden
14. Gemotiveerde selectieregels voor elke
categorie van bestuursdocumenten
• Voor elke categorie van bestuursdocumenten moet een selectieregel
opgemaakt worden
• Een selectieregel bevat volgende info:
• een betekenisvolle naam en omschrijving;
• een gemotiveerde administratieve en/of wettelijke bewaartermijn;
• een gemotiveerde bestemming: bewaren of vernietigen.
• Geldig vanaf publicatie in het centrale register gedurende 5 jaar
15. Centraal register = Serieregister
• Centraal register cf. Bestuursdecreet:
• Ingebouwde goedkeuringsflow selectiecommissie
• Masterbron van beheersmatige metadata
• Uniforme beschrijvingsstandaard
• Alle series op 1 plek
• Helpt een hogere maturiteit te bereiken m.b.t.:
• Informatiebeheer
• Organisatiebeheer
• Procesbeheer
• Risicobeheer
• Informatieveiligheid
Serieregister
Centraal register van alle
series in Vlaanderen
16. Voorbeeld: gemotiveerde bestemming van subsidiedossiers –
case Vlaamse overheid
• Bewaartermijn: 10 jaar vanaf de afhandeling van het dossier.
• motivering: artikels 32 en 41 van het Decreet houdende de Vlaamse Codex
Overheidsfinanciën.
• Bestemming: vernietigen
• Nadat de bewaartermijn verstreken is kunnen subsidiedossiers vernietigd worden omdat
ze geen duidelijke waarde hebben voor wetenschappelijk of historisch onderzoek. Dit
omdat deze informatie niet voldoende inzicht geeft in de werking van de Vlaamse
overheid of haar relatie met de maatschappij. De financiële kant van de
subsidieverlening is steeds te raadplegen in financiële stukken op een hoger niveau
(kasboeken, grootboeken, jaarverslagen…). Het inhoudelijk luik is normaal geregeld in een
regelgevend kader zoals een subsidiereglement waarin de criteria zijn opgenomen die
voldaan moeten zijn om een subsidie te bekomen.
17. Onafhankelijke selectiecommissies
• Regelgever heeft geopteerd voor concept van ‘commissies’ om subjectiviteit
zoveel mogelijk uit te sluiten
• Selectiecommissie per ‘type overheid’
• Taak: algemene selectieregels opstellen, actualiseren en goedkeuren
18. Transparantie communicatie en documentatie
• Publicatie van de selectieregels in het Serieregister
• Voorlopig nog niet publiek toegankelijk
• Grote focus op motivering zowel van de bewaartermijn
als de bestemming
• Selectieregels zijn slechts beperkt geldig in tijd (5j) wat
ervoor zorgt dat ze steeds opnieuw aan de veranderende
context getoetst (moeten) worden
19. Kaderwet
• Voert bepaalde aspecten van de AVG verder
uit specifiek voor België.
• Titel 4 van de Kaderwet bevat specifieke
regels voor verwerkingen met het oog op
archivering in het algemeen belang,
wetenschappelijk of historisch onderzoek of
statistische doeleinden, zoals bedoeld in
artikelen 89, lid 2 en lid 3 AVG.
20. Kaderwet: wanneer van belang?
• Niet algemeen van toepassing voor verwerkingen met het oog op bv.
archivering in het algemeen belang, maar enkel indien men wil afwijken van de
volgende rechten:
• recht van inzage (art. 15 AVG),
• het recht op rectificatie (art. 16 AVG),
• het recht op beperking (art. 18 AVG),
• het recht op overdraagbaarheid (art. 20 AVG)
• het recht van bezwaar (art. 21 AVG).
• Deze afwijkingen worden verantwoord door de overweging dat de uitoefening
van bepaalde rechten de integriteit van de archieven kunnen aantasten
21. Welke maatregelen in de kaderwet? (1)
• De redenen volgens dewelke de uitoefening van de rechten van de betrokkene de
verwezenlijking van de doeleinden onmogelijk dreigen te maken of ernstig
dreigen te belemmeren moeten opgenomen worden in het verwerkingsregister
(art. 192)
• Info bezorgen aan de betrokkene als de gegevens rechtstreeks verzameld worden
van de betrokkene
• Oplijsting van bijkomende info is te vinden in art. 193
• Worden de gegevens niet rechtstreeks bij de betrokkenen verzameld – en is de
archiefinstantie m.a.w. een andere instantie dan de overheidsinstantie die de
gegevens heeft verzameld – dan dient de archiefinstantie een overeenkomst af te
sluiten met de verantwoordelijke overheidsinstantie voor de oorspronkelijke
verwerking
22. Welke maatregelen in de kaderwet? (2)
• Specifieke regels voor de verspreiding (aan niet geïdentificeerde
derden) (art. 205 en 206)
• Verwerkingsverantwoordelijken mogen geen niet-gepseudonomiseerde persoonsgegevens
verspreiden TENZIJ er een specifieke wettelijke machtiging is
• Gepseudonomiseerde gegevens mogen wel verspreid worden ALS het geen bijzondere
categorieën persoonsgegevens zijn
• Specifieke regels voor de mededeling (aan geïdentificeerde derden)
van de gegevens (art. 207)
• niet-gepseudonomiseerde bijzondere categorieën persoonsgegevens mogen niet
gereproduceerd worden TENZIJ handgeschreven (= geen verbod op mededeling wel
vereisten gesteld aan reproductie)
• Gepseudonimiseerde gegevens of niet-gepseudonimiseerde “gewone” persoonsgegevens
mogen wel gereproduceerd worden
23. Conclusie (1)
• Opslagbeperking in AVG met de daarbij horende
verplichting om bewaartermijnen vast te stellen
• Bewaartermijnen moeten gevalideerd worden door
de bevoegde selectiecommissies en gepubliceerd
worden in het Serieregister
• Bestuursdecreet en AVG bieden samen een
transparant en coherent kader voor de toepassing
en validatie van de bewaartermijnen
Hoe lang moeten/mogen bestuursdocumenten bewaard
worden?
24. Conclusie (2)
• AVG: pas opslagbeperking toe => bestuursdocumenten
moeten vernietigd worden na afloop van de
bewaartermijn worden MAAR archiveringsuitzondering
laat toe om bestuursdocumenten langer te bewaren
i.k.v. algemeen belang
• passende waarborgen moeten genomen worden om beginsel van
dataminimalisatie te respecteren
• Bestuursdecreet: bestemming wordt gevalideerd door
de selectiecommissie wat betekent dat er niet
lichtzinnig beslist wordt om iets te bewaren
• Hierdoor wordt er steeds duidelijk gemotiveerd waarom iets langer
bewaard wordt dan de bewaartermijn voorschrijft
Wat na afloop van de bewaartermijn?
25. Conclusie (3)
• Afhankelijk van het feit of de documenten onder de
toepassing van de bepalingen van de Kaderwet
vallen
• De kaderwet schrijft bijkomende regels voor
waaraan voldaan moet worden indien het
archiveringsdoel niet zou toelaten dat de
betrokkenen bepaalde van hun rechten zouden
kunnen uitoefenen waardoor de integriteit van de
informatie in het gedrang kan komen
Moeten er bijkomende maatregelen genomen
worden om ervoor te zorgen dat de integriteit van
permanent bewaarde bestuursdocumenten niet in
het gedrang komt?
26. Rol van het Serieregister
• Faciliteert het vastleggen van
bewaartermijnen door de ingebouwde
workflow met de selectiecommissie
• Dekt veel aspecten uit art. 30 AVG
(verwerkingsregister) af
• Zorgt voor transparantie
27. Artikel 30 AVG vs. Serieregister
Art. 30 AVG Veld in Serieregister
Contactgegevens van de verwerkingsverantwoordelijke, de
eventuele gezamenlijke verwerkingsverantwoordelijken en van de
vertegenwoordiger van de verwerkingsverantwoordelijke en van
de functionaris voor gegevensbescherming
Bewaargever in combo met Organisatieregister, waarin de
nodige contactgegevens staan
De verwerkingsdoeleinden Proces/dienstverlening
Een beschrijving van de categorieën van betrokkenen en van de
categorieën van persoonsgegevens
• Categorieën van persoonsgegevens is een apart veld
• Categorieën van betrokkenen is niet opgenomen in het
Serieregister
De categorieën van ontvangers aan wie de persoonsgegevens zijn
of zullen worden verstrekt, onder meer ontvangers in derde
landen of internationale organisaties
Niet opgenomen
Indien van toepassing, doorgiften van persoonsgegevens aan een
derde land of een internationale organisatie
Niet opgenomen
Indien mogelijk, de beoogde termijnen waarbinnen de
verschillende categorieën van gegevens moeten worden gewist
• Administratieve bewaartermijn
• Wettelijke bewaartermijn
• Bestemming
Een algemene beschrijving van de technische en organisatorische
beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
Informatieclassificatie
28. (Potentiële) rol van het Serieregister
• Verantwoordingsplicht kan als uitbreiding voorzien
worden in het Serieregister als de bestemming
“bewaren” is
• Waarom opteren om de gegevens
ongeanonimiseerd/ongepseudonimiseerd te bewaren?
• Op serieniveau aangeven of het archiveringsdoel al dan
niet toelaat dat er op een later moment bepaalde
wijzigingen aan de informatie wordt
29. Aan de slag!
• Bespreek verhouding Bestuursdecreet / AVG / Kaderwet met DPO
– toon aan dat ze elkaar aanvullen en niet tegenspreken
• Toon de link tussen Serieregister en Verwerkingsregister aan
• Informatiebeheerder en DPO zijn natuurlijke bondgenoten
• Integriteit waarborgen
• Toegang (voor de juiste personen) voorzien
• Info tijdig vernietigen