Op 1 juli 2021 zal de Wet elektronische publicaties (Wep) van kracht worden. De inwerkingtreding van deze wet komt voort uit het huidige regeerakkoord, waarin is afgesproken dat overheidscommunicatie die nu nog fysiek plaatsvindt, in de toekomst ook digitaal moet kunnen plaatsvinden. De Wep verplicht gemeenten om alle wettelijk voorgeschreven bekendmakingen, mededelingen en kennisgevingen van (voorgenomen) besluiten die niet tot één of meer belanghebbenden zijn gericht, in een officieel elektronisch publicatieblad op te nemen. Op dit moment geldt voor veel van dit soort bekendmakingen dat publicatie in dag-, nieuws- of huis-aan- huisbladen, al dan niet in combinatie met terinzagelegging in een overheidsgebouw, de enige wijze is waarop deze worden gepubliceerd. In dit artikel zullen we eerst korst stilstaan bij de veranderingen die de Wep met zich meebrengt voor overheden, om vervolgens specifiek in te gaan op de terinzagelegging van stukken.

apply

De Wep stroomlijnt de publicatievoorschriften in diverse weten (waaronder de Bekendmakingswet, de Algemene wet bestuursrecht, de Gemeentewet en de Wet gemeenschappelijke regelingen) en concentreert deze in de Bekendmakingswet. Momenteel worden bekendmakingen, mededelingen en kennisgevingen van (voorgenomen) overheidsbesluiten door overheden op grond van verschillende wetten, op verschillende wijzen en in verschillende media gepubliceerd. Dit zorgt ervoor dat deze informatie vaak lastig vindbaar en toegankelijk is. De Wep beoogt een einde te maken aan deze versnippering door het creëren van één centraal digitaal platform waar burgers en ondernemers alle officiële publicaties kunnen vinden en kosteloos kunnen raadplegen. Er wordt een praktische opzet voorzien, waarbij burgers per e-mail worden geattendeerd op algemene bekendmakingen die voor hen relevant zijn, bijvoorbeeld omdat ze betrekking hebben op het woongebied van de burger. Officiële publicaties dienen via de applicatie Decentrale Regelgeving en Officiële Publicaties (DROP) op officielebekendmakingen.nl gepubliceerd te worden. Op dit moment maken gemeenten verordeningen al op deze manier bekend, maar volgens de Wep moeten straks ook de kennisgevingen op deze wijze gepubliceerd worden.

Terinzagelegging en anonimiseren

De Wep stelt dat terinzagelegging van stukken (zoals bijvoorbeeld in het kader van artikel artikel 3:11van de Algemene wet bestuursrecht) zowel op elektronische wijze, als op een fysieke locatie moet kunnen plaatsvinden. Ter inzage moeten worden gelegd de stukken die redelijkerwijs nodig zijn voor een beoordeling van een ontwerpbesluit. Over het algemeen betreffen het vaak aanvraagformulieren en documenten die een aanvraag beschrijven, zoals een bouwtekening of uitgebracht advies. Bij de terinzagelegging moet goed rekening gehouden worden met privacy en gegevensbescherming. Bijzondere persoonsgegevens of vertrouwelijke bedrijfsinformatie mag niet openbaar gemaakt worden. Zo kan er, bijvoorbeeld bij ontwerpbesluiten, sprake zijn van informatie waarvan het belang niet opweegt tegen de eerbiediging van de persoonlijke levenssfeer. Daarnaast moet worden voorkomen dat er sprake kan zijn van onevenredige bevoordeling of benadeling van betrokkenen of derden ( artikel 10 van de Wet openbaarheid van bestuur).

In de Wep is gewaarborgd dat degene die stukken overlegt aan een bestuursorgaan, gemotiveerd kan verzoeken om terinzagelegging te beperken. Bovendien biedt de Wet openbaarheid van bestuur (Wob) voldoende grondslag om bij terinzagelegging een verzoek tot anonimisering in de meeste gevallen te honoreren. Voor toetsing aan de Wob is het noodzakelijk om stukken integraal door te lezen, te beoordelen en te anonimiseren, zoals gebeurt in het kader van een Wob-verzoek. Het beschermen van persoonsgegevens zou hierbij een grote prioriteit moeten zijn. In het door de Rijksoverheid opgestelde stappenplan wordt bijzondere aandacht geschonken aan het anonimiseren van persoonsgegevens, maar wordt nog niet verder ingegaan op de precieze toepassing en welke gegevens wel of niet moeten worden geanonimiseerd. Het Kennis- en Exploitatiecentrum Officiële Overheidspublicaties heeft onlangs een handreiking anonimiseren voor decentrale bestuursorganen opgesteld om gemeenten te ondersteunen bij het publiceren van documenten in het kader van de Wep.

In dit document wordt stilgestaan bij welke gegevens geanonimiseerd moeten worden en welke gepubliceerd kunnen worden. Zoals het stuk terecht aangeeft, is de vraag of gegevens gepubliceerd mogen worden niet altijd direct te beantwoorden. Hiervoor moet een afweging plaatsvinden waarin de belangen van openbaarmaking worden afgewogen tegen de persoonlijke belangen van de betrokkenen. Hierbij zijn een aantal duidelijke vuistregels te hanteren, maar in sommige gevallen zal er toch een individuele afweging gemaakt moeten worden. Zo is het bijvoorbeeld bij een brief van inwoners aan de gemeenteraad niet vereist dat bekend wordt wie de brief geschreven heeft, waar deze persoon woont en hoe zijn/haar handtekening eruit ziet. Dus het is in dit geval duidelijk dat persoonsgegevens niet gepubliceerd dienen te worden. Het wordt een stuk lastiger bij bijvoorbeeld het publiceren van persoonsgegevens van functionarissen die voor een gemeente werken. Niet elke ambtenaar speelt een even grote rol in het publieke domein, waardoor rekening gehouden moet worden met de ‘publieke exposure’ van de betreffende ambtenaar. Dit betekent dat naarmate een ambtenaar meer bij het publiek bekend is, zijn persoonsgegevens minder bescherming genieten. Er moet hier dan ook onderscheid gemaakt worden op basis van de publieke bekendheid van de betreffende functionaris. Wanneer een bestuursorgaan ervoor kiest om gegevens voor publicatie uit het document te verwijderen is het belangrijk om na te gaan of de gegevens zodanig verwijderd worden dat deze ook ‘onder water’ niet meer vindbaar zijn. Dit is bijvoorbeeld het geval als in de onbetaalde variant van Adobe reader de gegevens zwart gelakt worden. Zoekmachines vinden en indexeren deze gegevens dan nog wel. Verder worden er een aantal belangrijke adviezen gegeven, zoals het zoveel mogelijk beperken van het onnodig gebruik van persoonsgegevens, het opstellen van protocollen en vaste afspraken over de omgang met gevoelige documenten en aanpassen van modellen, formulieren en formats. Ook wordt het advies gegeven om de mogelijkheden van anonimiseringssoftware te onderzoeken die kunnen helpen om niet-openbare gegevens op te sporen en onleesbaar te maken. Wel wordt de kanttekening gemaakt dat ICT altijd slechts ter ondersteuning zal zijn en dat het wel of niet publiceren van gegeven in beginsel een menselijke afweging blijft. Een inschatting of het vrijgeven van bepaalde informatie over een evenement afbreuk doet aan de veiligheid van de Staat zal bijna nooit door een computer kunnen worden gedaan.

Bij DataMask bieden we u niet alleen de juiste softwarematige oplossing met betrekking tot het automatiseren van het anonimiseringsproces aan, maar hebben we ook de nodige juridische expertise in huis om u te ondersteunen met het maken van afwegingen rondom publicatie en anonimiseren. Ons doel is het leveren van het effectiefste antwoord op de vraag: Hoe deel of publiceer ik documenten die persoonsgegevens bevatten op een wijze die compliant is aan de privacywetgeving? Met behulp van de software van DataMask kunnen gebruikers zelf in staat worden gesteld om persoonsgegevens op een efficiënte wijze te anonimiseren. Onze software maakt gebruik van Artificial Intelligence technieken, zoals Natural Language Processing en valt naar eigen voorkeur te configureren. Door het instellen van bepaalde regels of sjablonen kunnen veelgebruikte (standaard)documenten op uniforme wijze worden geanonimiseerd. Met onze software bespaart u niet alleen veel tijd bij het behandelen van bijvoorbeeld Wob-verzoeken, maar weet u ook zeker dat persoonsgegevens geanonimiseerd zijn.

Daarnaast geeft de kennis die we in huis hebben ons de mogelijkheid om antwoorden te bieden op vragen zoals;

  • Wanneer moet ik anonimiseren?
  • Wat moet er wel/niet worden geanonimseerd?
  • Hoe verwerk ik het anonimiseringsproces in mijn verwerkingsregister?
  • Moet ik een Data protection impact assessment (DPIA) uitvoeren op het proces van anonimiseren?

Naast onze ervaring en softwarematige oplossing met betrekking tot het automatiseren van het anonimiseringsproces hebben we ook de nodige juridische expertise in huis, zodat we in staat zijn uw organisatie in brede zin te adviseren. Mocht u vragen hebben over het anonimiseren van persoonsgegevens binnen uw organisatie en de wijze waarop DataMask u hierin kan ondersteunen, neem dan vrijblijvend contact op.