[Privacy beleid Historisch Centrum Limburg]

1. Inleiding

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (hierna: AVG) van toepassing. De AVG zorgt samen met de Uitvoeringswet AVG (hierna UAVG) onder andere voor versterking en uitbreiding van de privacyrechten voor betrokkenen met meer verplichtingen en verantwoordelijkheden voor organisaties die persoonsgegevens verwerken.

De AVG is van toepassing op het verwerken van persoonsgegevens. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.[1] Dit betekent dat informatie direct over iemand gaat of naar deze persoon te herleiden is. Gegevens over organisaties en overleden personen zijn geen persoonsgegevens volgens de AVG. Voorbeelden van persoonsgegevens zijn naam, adres en telefoonnummer. Daarnaast moet het gaan om een verwerking van deze gegevens. Daar is al heel snel sprake van. Bijvoorbeeld het verzamelen, raadplegen, delen en vernietigen van persoonsgegevens.[2] 

Bij het Historisch Centrum Limburg (hierna: HCL) worden allerlei persoonsgegevens verzameld en gebruikt van bezoekers, medewerkers, vrijwilligers en eventuele andere relaties. Daarnaast beheert het HCL archiefbescheiden die voor blijvende bewaring in aanmerking komen. Het HCL moet aantonen dat zij als organisatie aan de privacyregels voldoet. Er kunnen sancties volgen als het HCL hier niet aan voldoet, maar belangrijker is dat het HCL in controle wil zijn en zorgvuldig omgaat met de persoonsgegevens van betrokkenen. Het HCL levert op deze manier een belangrijke bijdrage aan de bescherming van het grondrecht op privacy. Dat zorgt ervoor dat het HCL een professionele organisatie is waar mensen vertrouwen in hebben.

In dit beleid wordt beschreven hoe het HCL omgaat met het verwerken van persoonsgegevens. Als sprake is van afwijkende regels voor persoonsgegevens in archiefbescheiden van een archiefbewaarplaats, wordt dat zoveel mogelijk benoemd in dit beleid. Voor de overige gegevensverwerking, zoals de organisatorische kant van het HCL, gelden de regels van de AVG onverminderd.

2. Rollen en verantwoordelijkheden

2.1 Algemeen bestuur 

Het algemeen bestuur van de Gemeenschappelijke Regeling Historisch Centrum Limburg is de verwerkingsverantwoordelijke. Dit betekent dat het algemeen bestuur eindverantwoordelijk is voor het verwerken van persoonsgegevens binnen de gestelde kaders. De directeur van het HCL oefent deze verantwoordelijkheid voor het algemeen bestuur uit.

2.2 Directeur 

De directeur van het HCL is verantwoordelijk voor kaderstelling en sturing. De directeur is verantwoordelijk voor de uitvoering van de taken in de organisatie rond privacy.

2.3 Afdelingshoofden (proceseigenaar)

Het afdelingshoofd is verantwoordelijk voor de zorgvuldige verwerking van persoonsgegevens die binnen zijn of haar afdeling plaatsvindt. Ieder afdelingshoofd is proceseigenaar van verschillende processen. Dit kan gaan om processen waarin persoonsgegevens verwerkt worden. De proceseigenaar is verantwoordelijk voor de zorgvuldige verwerking van persoonsgegevens binnen deze processen.

Het afdelingshoofd zorgt voor naleving van wet- en regelgeving en het privacybeleid binnen zijn of haar afdeling. Daarnaast zorgt het afdelingshoofd ervoor dat de privacy officer naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Zo meldt het afdelingshoofd bijvoorbeeld een nieuwe, een wijziging of een beëindiging van een verwerking van persoonsgegevens aan de privacy officer. Verder informeert het afdelingshoofd nieuwe medewerkers bij indiensttreding over het privacybeleid en wordt het privacybeleid regelmatig aan de orde gesteld in afdelingsoverleggen.

2.4 Functionaris gegevensbescherming 

Het HCL heeft een Functionaris Gegevensbescherming (hierna: FG). De FG ziet toe op naleving van de AVG en de Uitvoeringswet AVG. De FG is een onafhankelijke adviseur en toezichthouder en kan daarom voor de uitoefening van zijn rol geen aanwijzingen ontvangen van de verwerkingsverantwoordelijke.[3] De FG houdt onder andere toezicht op het verwerkingsregister, de verwerkersovereenkomsten, de afhandeling van beveiligingsincidenten en datalekken, het privacybeleid en de privacyverklaring. De FG controleert hoe het HCL in de praktijk omgaat met de persoonsgegevens.

2.5 Privacy officer

De privacy officer richt zich met name op uitvoerende privacytaken. Een privacy officer houdt zich onder andere bezig met het opstellen van procedures die betrekking hebben op gegevensbescherming, het bijhouden van het verwerkingsregister en het afsluiten van verwerkersovereenkomsten. Daarnaast handelt de privacy officer verzoeken van betrokkenen af en speelt de privacy officer een belangrijke rol bij het afhandelen van beveiligingsincidenten en datalekken. De privacy officer geeft ook advies en draagt actief bij aan het vergroten van de awareness van medewerkers op het gebied van privacy.

2.6 Medewerker en vrijwilliger

Alle medewerkers en vrijwilligers van het HCL (inclusief inhuur en externen) zijn verantwoordelijk voor de bescherming van de persoonsgegevens die zij verwerken. Dat betekent dat iedereen zorgt voor een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens.

Medewerkers en vrijwilligers hebben een geheimhoudingsplicht. Medewerkers die in dienst zijn van het HCL, hebben een eed of belofte afgelegd. De geheimhouding van medewerkers die niet in dienst zijn van het HCL wordt op een andere manier geborgd. Met vrijwilligers wordt een overeenkomst afgesloten. De geheimhoudingsverklaring is hier een onderdeel van.

3. Uitgangspunten

Het HCL gaat op een veilige en zorgvuldige manier met persoonsgegevens om en respecteert de privacy van de betrokkenen. In dit hoofdstuk staan de uitgangspunten, waaraan het HCL gebonden is, centraal.

3.1 Grondslag en doelbinding

Het HCL verwerkt persoonsgegevens op een rechtmatige, behoorlijke en transparante manier.[4] Er is een juridische grondslag aanwezig voor iedere gegevensverwerking. Dit houdt in dat het HCL een goede reden heeft om de gegevens te verwerken. In de AVG staan de zes grondslagen.[5] Dit is een limitatieve lijst. Als geen sprake is van een van deze zes grondslagen, verwerkt het HCL de persoonsgegevens niet.

Persoonsgegevens mogen daarnaast alleen verwerkt worden als dat nodig is om een doel te bereiken dat vooraf is bepaald. Dit doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere, onverenigbare, doelen verwerkt worden. De AVG maakt een uitzondering voor de verdere verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. Deze verdere verwerkingen worden niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (doorbreking van de “doelbinding”).[6] 

Persoonsgegevens die voorkomen in overgebrachte archiefbescheiden worden verwerkt met het oog op archivering in het algemeen belang.[7] De Archiefwet 1995 schrijft voor dat archiefbescheiden die voor blijvende bewaring in aanmerking komen, moeten worden overgebracht naar een archiefbewaarplaats.[8] Welke archiefbescheiden dit zijn, wordt vastgelegd in een selectielijst. Ieder overheidsorgaan is verplicht een selectielijst op te stellen.[9] De selectiecriteria zijn: de waarde die de bescheiden vertegenwoordigen voor het nationale culturele erfgoed, het belang van de bescheiden voor de overheidsorganen zelf, voor recht- of bewijszoekenden en voor historisch onderzoek.

3.2 Dataminimalisatie

Het HCL streeft naar dataminimalisatie. Dit houdt in dat alleen persoonsgegevens verwerkt worden die noodzakelijk zijn voor het vooraf bepaalde doel. Er wordt gestreefd naar een minimale verwerking van gegevens.[10] 

In principe gebeurt dataminimalisatie bij de archiefvormer, al bij het ontwerpen van systemen en bij het vormen van dossiers. Dan is dataminimalisatie bij overbrenging niet meer nodig. Na overbrenging naar het HCL vindt geen dataminimalisatie meer plaats.

3.3 Proportionaliteit en subsidiariteit 

Het HCL beoordeelt of een verwerking voldoet aan de eisen van subsidiariteit en proportionaliteit. Bij de verwerking van persoonsgegevens wordt erop toegezien dat de inbreuk op de belangen van de betrokkene zoveel mogelijk wordt beperkt. Als het doel met minder ingrijpende middelen kan worden bereikt, gaat daar de voorkeur naar uit. De inbreuk moet in verhouding staan tot het doel dat wordt nagestreefd.

Voor overgebrachte archiefbescheiden is deze afweging van belangen bij het vaststellen van de selectielijst gemaakt.

3.4 Bewaartermijn 

Het HCL bewaart persoonsgegevens niet langer dan noodzakelijk is om het doel te kunnen bereiken. Het gebruiken en bewaren van persoonsgegevens kan nodig zijn om bepaalde taken goed uit te voeren of om wettelijke verplichtingen na te kunnen leven. Voor de bewaartermijnen wordt zoveel mogelijk aangesloten bij wet- en regelgeving. Als wet- en regelgeving, zoals de selectielijst, geen uitsluitsel geeft over bewaring van persoonsgegevens, worden de persoonsgegevens niet langer bewaard dan nodig is.[11] 

Persoonsgegevens mogen op grond van de AVG voor langere perioden worden opgeslagen voor zover de persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt.[12] Dit geldt in ieder geval voor de archiefbescheiden die volgens een selectielijst voor blijvende bewaring in aanmerking komen. Het HCL heeft een wettelijke taak om overgebrachte archiefbescheiden eeuwig te bewaren. Persoonsgegevens die voorkomen in overgebrachte archiefbescheiden worden voor onbepaalde tijd bewaard.[13]

3.5 Informatieplicht 

Het HCL informeert betrokkenen over de persoonsgegevens die van hen verwerkt worden en waarom dat gebeurt.[14] Dit draagt bij aan transparantie. Betrokkenen worden bijvoorbeeld geïnformeerd via de privacyverklaring van het HCL. Iedere betrokkene heeft het recht om te vragen welke persoonsgegevens het HCL van hem of haar verwerkt. Betrokkenen hebben daarnaast nog andere rechten.

Voor persoonsgegevens die in overgebrachte archieven voorkomen gelden een aantal van deze rechten echter niet. Ook de informatieplicht is niet onverkort van toepassing op persoonsgegevens die in overgebrachte archiefbescheiden voorkomen. Dit betekent, dat de betrokkene moet aangeven, waarin hij/zij precies inzage wil.[15] De betrokkene mag niet zomaar het hele archief inzien.

3.6 Beveiliging

Het HCL zorgt ervoor dat de persoonsgegevens goed beveiligd zijn.[16] Het HCL beschermt de systemen en gegevens die daarin verwerkt worden volgens de richtlijnen en normen uit de Baseline Informatiebeveiliging Overheid, de BIO. Daarnaast hanteert het HCL het “need-to-know” principe. Dit houdt in dat medewerkers alleen toegang hebben tot de gegevens die zij nodig hebben voor hun werk. Persoonsgegevens worden beschermd tegen ongeoorloofde toegang.

3.7 Delen met derden en doorgifte van persoonsgegevens

Het HCL blijft verantwoordelijk voor de persoonsgegevens die zij verzameld heeft, ook als de verwerking door een derde wordt uitgevoerd voor het HCL. De afspraken worden vastgelegd in een (verwerkers)overeenkomst als dat noodzakelijk is.[17]

Het HCL geeft alleen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie op grond van goedgekeurde afspraken.[18]

3.8 Beperking openbaarheid

De openbaarheid van overgebrachte archieven kan worden beperkt op grond van de Archiefwet 1995 en in geval van particulier archief bij overeenkomst.[19] Openbaarheidsbeperkingen kunnen gelden voor archiefbescheiden waarin (bijzondere of strafrechtelijke) persoonsgegevens voorkomen.

Overgebrachte archiefbescheiden worden voor raadpleging en gebruik beschikbaar gesteld conform de Archiefwet 1995 en AVG. In principe zijn archiefbescheiden na overbrenging openbaar. Raadpleging of gebruik van openbare archiefbescheiden met daarin persoonsgegevens is mogelijk. Indien niet iedereen van archiefbescheiden met persoonsgegevens kennis mag nemen, kan de openbaarheid voor een bepaalde termijn worden beperkt.

4. Verwerkingsregister

Het HCL houdt een actueel verwerkingsregister bij met daarin alle verwerkingen waarin persoonsgegevens worden vastgelegd. Per verwerking is aangegeven wat de grondslag is, voor welk doel de persoonsgegevens worden verwerkt, welke persoonsgegevens verwerkt worden, met wie de gegevens gedeeld worden, hoe lang de gegevens bewaard moeten worden en hoe de beveiliging hiervan is geregeld.[20] Voor persoonsgegevens in overgebrachte archieven geldt een uitzondering.[21]

Het afdelingshoofd meldt een nieuwe, een wijziging of een beëindiging van een verwerking van persoonsgegevens aan de privacy officer. De privacy officer zorgt er voor dat het verwerkingsregister wordt bijgehouden.

5. Verwerkersovereenkomst

Het HCL maakt soms gebruik van andere organisaties bij de uitvoering van bepaalde werkzaamheden. Als het HCL de verwerking van persoonsgegevens heeft uitbesteed aan een andere organisatie, heet deze organisatie een verwerker. Hierbij valt te denken aan leveranciers van software, netwerkdiensten en dataopslag. Het HCL controleert of de verwerker voldoende garanties biedt om de verwerking van persoonsgegevens te laten voldoen aan de eisen uit de AVG. Belangrijke afspraken met een verwerker worden vastgelegd in een verwerkersovereenkomst.[22] Het HCL maakt zoveel mogelijk gebruik van de modelovereenkomst van de Vereniging Nederlandse Gemeenten.[23] Er worden bijvoorbeeld afspraken gemaakt over de doeleinden waarvoor de persoonsgegevens worden verwerkt, hoe de verwerker met de gegevens om moet gaan en welke beveiligingsmaatregelen de verwerker getroffen heeft. 

6. DPIA 

Het HCL controleert of een Data protection impact assessment (hierna: DPIA) moet worden uitgevoerd als een proces wijzigt of als sprake is van een nieuw proces waarin persoonsgegevens worden verwerkt. Als blijkt dat de gewijzigde of nieuwe gegevensverwerking mogelijk een hoog risico voor de privacy oplevert, wordt een DPIA uitgevoerd. Dit is een gegevensbeschermingeffectsbeoordeling waarin eventuele risico’s met betrekking tot de verwerking van de persoonsgegevens worden beschreven. Naar aanleiding van de DPIA kunnen concrete maatregelen getroffen worden om de risico’s te beperken.[24]

Het HCL heeft een separate procedure vastgesteld die zich richt op het uitvoeren van DPIA’s. Deze procedure wordt iedere drie jaar geëvalueerd en van een update voorzien als dat nodig blijkt te zijn.

7. Rechten van betrokkenen

Zoals bij de uitgangspunten reeds is benoemd, hebben betrokkenen verschillende rechten op grond van de AVG.[25] Er gelden uitzonderingen voor overgebrachte archiefbescheiden.[26] Het HCL heeft een separate procedure vastgesteld die zich richt op het afhandelen van verzoeken van betrokkenen. Deze procedure wordt iedere drie jaar geëvalueerd en van een update voorzien als dat nodig blijkt te zijn.

Als iemand vermoedt dat zijn of haar persoonsgegevens zijn verwerkt op een manier die in strijd is met de AVG, kan die persoon een klacht indienen bij het HCL. De FG zal deze klacht in behandeling nemen. In de privacyverklaring van het HCL en op de website is vermeld hoe een klacht ingediend kan worden bij de FG.

8. Beveiligingsincidenten en datalekken

Het HCL heeft een separate procedure vastgesteld die zich richt op het afhandelen van beveiligingsincidenten en datalekken.[27] Deze procedure wordt iedere drie jaar geëvalueerd en van een update voorzien als dat nodig blijkt te zijn.

Uit deze procedure blijkt dat het vakgebied privacy en informatiebeveiliging onlosmakelijk met elkaar verbonden zijn. Persoonsgegevens moeten op een veilige manier verwerkt worden door het nemen van de juiste technische en organisatorische maatregelen. Deze maatregelen moeten ervoor zorgen dat de persoonsgegevens op een passende wijze beveiligd worden.

9. Awareness medewerkers

Om awareness te creëren bij nieuwe en bestaande medewerkers op het gebied van privacy, is het belangrijk om regelmatig aandacht te besteden aan dit thema. Dit gebeurt bij het HCL op verschillende manieren. Op intranet is bijvoorbeeld een pagina ingericht waar medewerkers belangrijke informatie over gegevensbescherming en informatiebeveiliging vinden. Daarnaast maakt het HCL gebruik van een e-learning die alle medewerkers jaarlijks succesvol dienen af te ronden. Het voltooien van deze e-learning maakt ook uit van het indiensttredingsproces van nieuwe medewerkers. Medewerkers kunnen de modules en instructies op eigen tempo volgen en leren op deze manier over de omgang met gegevens. De privacy officer en FG besteden verder periodiek aandacht aan deze thema’s tijdens (afdelings)overleggen. Zo wordt dieper ingegaan op de beginselen van de AVG en wat dit betekent voor de werkzaamheden binnen die afdeling. Het is noodzakelijk dat alle medewerkers het belang van gegevensbescherming en informatiebeveiliging kennen bij het werk dat zij verrichten voor het HCL.

10. Privacyverklaring 

Het HCL heeft een privacyverklaring opgesteld. Deze privacyverklaring is gepubliceerd op de website van het HCL en wordt iedere drie jaar geëvalueerd en van een update voorzien als dat nodig blijkt te zijn.

11. Afsluiting

Dit beleid wordt iedere drie jaar geëvalueerd en van een update voorzien als dat nodig blijkt te zijn. Dit beleid is te vinden op de website van het HCL.

Dit beleid is vastgesteld op 16 oktober 2023 door de directeur van het Historisch Centrum Limburg.

[1] Artikel 4 onder 1 Algemene Verordening Gegevensbescherming.

[2] Artikel 4 onder 2 Algemene Verordening Gegevensbescherming.

[3] Artikel 37 tot en met 39 Algemene Verordening Gegevensbescherming.

[4] Artikel 5 lid 1 onder a Algemene Verordening Gegevensbescherming.

[5] Artikel 6 lid 1 Algemene Verordening Gegevensbescherming.

[6] Artikel 5 lid 1 onder b Algemene Verordening Gegevensbescherming.

[7] Artikel 5 lid 1 onder b juncto artikel 89 Algemene Verordening Gegevensbescherming.

[8] Artikel 12 Archiefwet 1995.

[9] Artikel 5 Archiefwet 1995.

[10] Artikel 5 lid 1 onder c Algemene Verordening Gegevensbescherming.

[11] Artikel 5 lid 1 onder e Algemene Verordening Gegevensbescherming.

[12] Artikel 89 Algemene Verordening Gegevensbescherming.

[13] Artikel 12 Archiefwet 1995.

[14] Artikel 12 en 13 Algemene Verordening Gegevensbescherming.

[15] Artikel 14 lid 5 Algemene Verordening Gegevensbescherming en artikel 45 lid 2 Uitvoeringswet Algemene Verordening Gegevensbescherming.

[16] Artikel 5 lid 1 onder f Algemene Verordening Gegevensbescherming.

[17] Artikel 28 Algemene Verordening Gegevensbescherming.

[18] Artikel 44 tot en met 50 Algemene Verordening Gegevensbescherming.

[19] Artikel 15 Archiefwet 1995.

[20] Artikel 30 Algemene Verordening Gegevensbescherming.

[21] Artikel 11 Algemene Verordening Gegevensbescherming.

[22] Artikel 28 Algemene Verordening Gegevensbescherming.

[23] De modelovereenkomst kan geraadpleegd worden via www.informatiebeveiligingsdienst.nl.

[24] Artikel 35 juncto artikel 36 Algemene Verordening Gegevensbescherming.

[25] Artikel 12 tot en met 22 Algemene Verordening Gegevensbescherming.

[26] Artikel 89 Algemene Verordening Gegevensbescherming en artikel 45 Uitvoeringswet Algemene Verordening Gegevensbescherming.

[27] Artikel 33 juncto artikel 34 Algemene Verordening Gegevensbescherming.