Voldoen aan de AVG

Als uw documenten gepubliceerd moeten worden, moet u daarbij in de eerste plaats rekening houden met de regels rondom gegevensbescherming. Binnen Nederland volgen deze regels met name uit de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG.

Persoongegevens anonimiseren

Het naleven van deze wetgeving is geen eenvoudige klus, in uw publicaties kan het allerlei gegevens betreffen van verschillende categorieën betrokkenen. Een techniek waarmee de bescherming van gegevens in uw publicaties gerealiseerd kan worden is: anonimisering. Met anonimiseren wordt bereikt dat het onmogelijk wordt om gegevens het herleiden tot individuen. Tot anonimiseren gaat u vooral over wanneer de verwerking van deze gegevens niet langer noodzakelijk of rechtmatig is. Daarbij speelt het principe van dataminimalisatie een belangrijke rol. De Artikel 29 Werkgroep heeft daaromtrent geadviseerd dat een verantwoordelijke (uw organisatie, bij de publicatie): “alle middelen die hiervoor redelijkerwijs gebruikt kunnen worden in ogenschouw moet nemen.”

Onomkeerbaar onherleidbaar

DataMask is zo’n middel, waarbij we zowel technisch (onze software) als organisatorisch (onze dienstverlenging) zorgen voor een passende wijze van anonimiseren. Zo worden gevoelige gegevens geautomatiseerd gevonden, kunnen uw medewerkers hierop nog controle of aanpassingen uitvoeren en worden door afronding de gegevens vervolgens effectief onleesbaar en onomkeerbaar onherleidbaar gemaakt. DataMask levert hiervoor als marktleider een effectieve en breed beproefde oplossing, in een Nederlandse en ISO gecertificeerde cloudomgeving, waarmee u eenvoudig onder andere persoonsgegevens in documenten anonimiseert en hiermee voldoet aan de regels van de AVG.

Dataminimalisatie

Het principe van dataminimalisatie zorgt ervoor dat er goed nagedacht moet worden over wanneer het verwerken en delen van persoonsgegevens noodzakelijk is en wanneer het delen en verwerken van deze gegevens beperkt moet worden. Bij deze afweging kan een conflict ontstaan tussen het zijn van een transparante overheid en de verplichting om de persoonlijke levenssfeer van het individu te beschermen. In veel documenten die openbaar worden gemaakt mogen geen - of slechts zeer beperkt - persoonsgegevens zichtbaar of vindbaar zijn.

Pseudonimiseren of anonimiseren?

Persoonsgegevens kunnen zowel gepseudonimiseerd als geanonimiseerd worden. In het eerste geval is er nog steeds sprake van verwerking van persoonsgegevens. Bij pseudonimisering worden gegevens verhuld, maar kunnen de gegevens met een koppeling of sleutel weer inzichtelijk gemaakt worden. Omdat gegevens bij pseudonimisering nog steeds herleidbaar zijn vallen deze onder persoonsgegevens en dus de AVG. Bij anonimisering is er sprake van een onomkeerbaar proces. De gegevens zijn niet meer terug te voeren naar een identificeerbaar natuurlijke persoon, waardoor waardoor bij een volledig geanonimiseerd document, de AVG niet langer daarop van toepassing is.

Wetgeving

Transparantie is een belangrijk principe wat wordt verankerd in verschillende wetgeving. Vaak is daarbij publicatie of verstrekking een onderdeel, waardoor u als bestuursorgaan steeds meer stukken toegankelijk en openbaar moeten maken. DataMask houdt hiermee in de oplossing rekening en kan u daarbij adviseren.

WOO

De Wet open overheid (Woo) is in 2022 van toepassing geworden. Deze opvolger van de Wet openbaarheid van bestuur (Wob) zorgt ervoor dat bestuursorganen documenten op verzoek zullen moeten publiceren maar - wellicht organisatorisch nog een grotere uitdaging - ook actief toegankelijk moeten worden gemaakt. Bepaalde documenten moeten binnen een strikte termijn via het Platform Open Overheidsinformatie (PLOOI) gepubliceerd gaan worden. Te denken valt dan aan bestuursstukken, stukken van adviescolleges, onderzoeken, klachten en openbaarheidsverzoeken van burgers. Bij deze openbaarmakingen moet grote zorgvuldigheid betracht worden bij het publiceren van persoonsgegevens. De DataMask zoekt en classificeert deze gegevens automatisch, zodat uw medewerkers Woo-verzoeken en actieve openbaarmakingsverplichtingen, kunnen afhandelen.

Wep

De Wet elektronische publicaties (WEP) verplicht bestuursorganen alle wettelijk voorgeschreven bekendmakingen, mededelingen en kennisgevingen van besluiten – wanneer deze niet tot één of meer belanghebbenden zijn gericht - in een officieel elektronisch publicatieblad (DROP) op te nemen. Het doel van de Wep is de toegankelijkheid van (voorgenomen) overheidsbesluiten te vergroten door burgers digitaal te informeren over besluiten die invloed hebben op hun leefomgeving. In veel gevallen zullen deze documenten dan ontdaan moeten worden van persoonsgegevens. Zoals bijvoorbeeld de gegevens van uw medewerkers. Niet elke ambtenaar speelt een even grote rol in het publieke domein. Het antwoord op de vraag zijn of haar persoonsgegevens bescherming geniet en zou moeten worden geanonimiseerd hangt daarom af van de ‘publieke exposure’ van de betreffende ambtenaar. Met DataMask past u gemakkelijk de regels van de Wet elektronische publicaties toe, zodat u deze na anonimiseren direct kunt publiceren.

Wkpb

Het doel van de Wkpb is het centraliseren en digitaal beschikbaar stellen van alle informatie over beperkingen die gelden voor een stuk grond of het daarop rustende gebouw. Deze informatie moet beschikbaar gesteld worden bij het loket Basisregistratie Kadaster (BRK). Hier zal vervolgens goed opgelet moeten worden welke persoonsgegevens geanonimiseerd dienen te worden, aangezien het AVG-principe van minimale gegevensverwerking ook hier van toepassing is.

Archiefwet

De Archiefwet is erop gericht de informatie die de overheid bij het uitoefenen van haar taken verzameld en verwerkt zoveel mogelijk openbaar te maken. Persoonsgegevens mogen hierbij alleen in archieven worden bewaard als deze in overeenstemming met de AVG zijn verzameld. Documenten moeten ontdaan zijn van persoonsgegevens wanneer dit het doel van bewaring niet in de weg staat.

quote anonimiseren

Maak gebruik van onze kennis en expertise!

DataMask wil uw organisatie maximaal ondersteunen. Dat wil zeggen dat wij met u uitgebreid uw eigen configuratie bespreken, de betrokken medewerkers trainen en zelfs de juridische ondersteuning bieden om te bepalen welke gegevens in welk geval geanonimiseerd zouden moeten worden.

Leonard van der Leeden
Jurist
§