Bescherming van persoonsgegevens (‘privacy’) is niet nieuw. Sinds 1995 bestaat een Europese richtlijn over de omgang met persoonsgegevens, naast nationale wetten. Sinds 1995 is er op het terrein echter veel  veranderd: met name de spectaculaire ontwikkeling van het internet (Google viert dit jaar zijn twintigste verjaardag) stelt de bescherming van persoonsgegevens in een heel nieuw licht.  Persoonsgegevens gaan niet alleen de wereld rond; persoonsgegevens uit verschillende bestanden kunnen makkelijk gecombineerd of doorgegeven worden en zo een bedreiging vormen voor de privacy. De Algemene Verordening  Gegevensbescherming (AVG) wil die evolutie bijbenen en juridisch omkaderen. Door te kiezen voor een verordening en niet voor een richtlijn worden de regels binnen de Europese Unie meer uniform. Een verordening heeft direct juridische uitwerking, zonder de omweg van een nationale wet en de regels zijn dezelfde in alle Europese lidstaten. Wat zijn nu de gevolgen voor het Rijksarchief?

De bedrijfsvoering

Elke organisatie, dus ook het Rijksarchief, verwerkt bijna dagelijks persoonsgegevens om als organisatie te kunnen functioneren: de betaling van lonen en de personeelsadministratie in het algemeen, inschrijvingen in de leeszaal, bestellingen van publicaties of het versturen van Nieuwsbrieven ... De AVG bepaalt welke verwerkingen onder welke voorwaarden toegelaten zijn en bepaalt hoe de personen van wie gegevens worden verwerkt hun rechten kunnen laten gelden. Dergelijke regels bestonden voorheen ook al (bijvoorbeeld het laten schrappen van een e-mailadres uit een mailinglijst), maar de rechten worden specifieker omschreven  en de uitoefening ervan wordt makkelijker gemaakt.

Verwerkers van persoonsgegevens krijgen regels opgelegd, bijvoorbeeld op het vlak van de beveiliging van de gegevens, de registratie en de  transparantie van de verwerking, het melden van datalekken of het sluiten van overeenkomsten met onderaannemers die gegevens verwerken. Toezichthouders (‘privacywaakhonden’) krijgen meer macht; zo kunnen ze voortaan boetes opleggen. Organisaties  worden kortom gestimuleerd om een beleid te ontwikkelen over de omgang met persoonsgegevens en daarover duidelijk te communiceren met hun doelpubliek.

‘Archivering in het algemeen belang’ en historisch onderzoek

De nieuwe regelgeving over de bescherming van persoonsgegevens heeft ook gevolgen voor de kerntaak van het Rijksarchief: het selecteren, verwerven, bewaren en ontsluiten, onder meer voor onderzoek, van archief. Nieuw in de AVG is het begrip ‘archivering in het algemeen belang’; dat is precies wat het Rijksarchief doet. Hier is, net zoals voor historisch en wetenschappelijk onderzoek, een uitzonderingsregime voorzien, dat onder voorwaarden toelaat af te wijken van een aantal algemene regels voor de bescherming van persoonsgegevens uit de AVG. Daar moeten wel passende waarborgen  tegenover staan. De nationale wetgever krijgt de taak die waarborgen te concretiseren. Op 5 september 2018 verscheen in het Staatsblad de Belgische ‘kaderwet privacy’ (Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens/Loi du 30 juillet 2018 relative à la protection des personnes  physiques à l’égard des traitements de données à caractère personnel - http://www.ejustice.just.fgov.be/eli/wet/2018/07/30/2018040581/staatsblad - http://www.ejustice.just.fgov.be/eli/loi/2018/07/30/2018040581/moniteur), die onder meer deze  uitzondering voor archivering in het algemeen belang en historisch  onderzoek regelt.

Ook hier geldt dat niet helemaal van nul moet begonnen worden: het Rijksarchief heeft al langer een beleid voor de raadpleging van privacygevoelige archieven, waarvan de onderzoeksverklaring de belangrijkste pijler is.

Wat archivering betreft, is al in een vroege fase aandacht nodig voor de privacyproblematiek: binnen de administratie moet al beslist worden welke persoonsgegevens in aanmerking komen voor permanente bewaring, onder meer om te vermijden dat uit veiligheidsoverwegingen persoonsgegevens vernietigd worden; vernietiging verhindert immers verder ongeoorloofd gebruik …  Hier zijn aangepaste digitale tools nodig, naast waarborgen voor de veilige en integrale opslag van deze persoonsgegevens.  

De functionaris voor de gegevensbescherming

De komende tijd zal het privacybeleid verder ontwikkeld worden om het conform te maken met de nieuwe regels. In dat proces zal de functionaris voor de gegevensbescherming, die het Rijksarchief als gevolg van de AVG moet aanstellen, een sleutelrol spelen.

De rol van externe stakeholders mag evenwel niet onderschat worden. De AVG verwacht voor de privacybescherming veel van direct betrokkenen die persoonsgegevens verwerken zoals bedrijven of onderzoekers of archivarissen. Ze worden gestimuleerd voor hun groep gedragscodes uit te werken en zo bij te dragen tot bewustmaking over het belang van een correcte omgang met persoonsgegevens.