Elke instelling die archieven beheert is zelf verantwoordelijk voor de bescherming van persoonsgegevens in die archieven conform de AVG. Bij twijfel zoals in de casus 'gezinskaarten' moet de instelling een risicoanalyse maken. Daarbij wordt bekeken welke risico's de betrokken personen - en in sommige gevallen ook hun nabestaanden - lopen bij het openbaar maken van persoonsgegevens in zo'n archief. Vervolgens moeten de maatregelen worden genomen waarmee die risico's teniet kunnen worden gedaan.
Dit antwoordde de Autoriteit op de vraag vanuit het archiefwezen, welke ‘passende maatregelen’ genomen moeten worden in deze casus, om de persoonsgegevens te beschermen. De Autoriteit stelde ook, dat het feit dat persoonsgegevens al lange tijd online staan, op zichzelf geen rechtvaardigingsgrond is om onjuiste online publicatie – want niet conform de AVG – in stand te houden.
Verslag gesprek archiefwezen met AP 17122018 def.pdf 339.8kB
Het gesprek met de Autoriteit verliep in een goede sfeer. De Werkgroep AVG zal zo’n risico-analyse (Data Protection Impact Analyses of, in de termen van de AVG ‘gegevensbeschermingseffectbeoordeling’) nu voor de gezinskaarten gaan uitvoeren. Deze kan als model gaan dienen voor archiefinstellingen in Nederland, ook voor soortgelijke bestanden.