Zoals wij stamboomonderzoekers de afgelopen tijd wel gemerkt hebben, is de inwerkingtreding van de Algemene Verordening Gegevensbescherming (hierna: AVG) op de vijfentwintigste mei van het afgelopen jaar een heet hangijzer geworden binnen de genealogische en geschiedkundige wereld. Sommige mensen wagen het überhaupt niet eens om aan dit onderwerp hun vingers te branden en anderen liggen met elkaar overhoop in de discussie over wat wel en niet mag. Middels dit bericht wil ik wat orde in deze wanhoop en chaos scheppen.

Wat is een Europese Unie-verordening en hoe werkt het Unierecht?

Laten we eerst beginnen met het leren begrijpen van het systeem van Europese Unie-wetgeving. De AVG (in het Engels GDPR) is een wet in formele zin, eigenlijk wat jij en ik gewoon “een wet” zouden noemen, net zoals bijvoorbeeld het Wetboek van Strafrecht, de Leerplichtwet en de nieuwe Wet gedeeltelijk verbod gezichtsbedekkende kleding, een ander interessant discussieonderwerp. Deze wetgeving wordt gemaakt door diverse samenwerkende organen van de Europese Unie, maar de Europese Commissie heeft het exclusieve recht op het nemen van initiatief om een wetgevingsprocedure op te starten.

Dan vraag je je wellicht af hoe zo’n “Europese wet” zich verhoudt tot bijvoorbeeld onze nationale wetgeving. Allereerst moet je weten dat de Europese Unie een volkenrechtelijke organisatie is, net als de NAVO, de Raad van Europa en de Verenigde Naties. Omdat de verhouding tussen de wetgeving van de Europese Unie en die van de regeringen van Europese Unie-lidstaten in het verre verleden al een groot punt van discussie is geweest, is hierom door het Hof van Justitie (van toen nog de Europese Gemeenschappen, een voorganger van de Europese Unie) duidelijkheid geschapen in deze eindeloze discussie.

Zeker twee maal, in 1962 met het Van Gend en Loos-arrest en in 1964 met het Costa/ENEL-arrest, is dit onderwerp tot op het hoogste niveau ter discussie gekomen en deze uitspraken van het Hof van Justitie zijn tot op de dag van vandaag leidend in de discussie over voorrang van wetten. In deze arresten is namelijk bepaald dat de wetgeving van volkenrechtelijke organisaties directe werking en dus voorrang heeft op nationale wetgeving. Dit heeft de Nederlandse overheid later nog vastgelegd in artikel 94 van de Grondwet. Nu weet je dus waarom de AVG boven bijvoorbeeld de Archiefwet en de Databankenwet gaat.

Maar dan terzake: wat zijn je rechten als stamboomonderzoeker?

Waarschijnlijk begon je je al af te vragen hoe de AVG en stamboomonderzoek zich dan tot elkaar verhouden. Laten we hiervoor alles op een rijtje zetten en bij het begin beginnen. De AVG is geïntroduceerd om de privacy van inwoners van de lidstaten van de Europese Unie beter te beschermen, omdat de nationale regeringen hier in meerdere gevallen mee achter zijn gebleven, dit is ook nader uitgewerkt in onder andere artikel 1 van de AVG en de preambule (inleiding). In artikel 2 is bepaald dat de AVG van toepassing is op de verwerking van persoonsgegevens, hier kan dus van alles onder vallen, maar dat spreekt redelijk voor zich. Het een en ander over het begrip
“verwerking” valt na te lezen in artikel 4 lid 2.

In artikel 3 is bepaald dat deze verordening niet alleen binnen de grenzen van de Europese Unie geldt, maar ook voor alle inwoners van de lidstaten van de Europese Unie die zich fysiek, dan wel digitaal buiten de grenzen van de Europese Unie begeven. Niet alleen het begrip “verwerking”, maar ook het begrip “persoonsgegevens” is verder gedefinieerd in artikel 4. Kort samengevat kan je hier alles onder verstaan waarmee een levend individu te identificeren valt, dit kan van alles zijn, bijvoorbeeld een lichamelijke omschrijving, NAW-gegevens, etc. Dit is een enorm rekbaar begrip helaas.

Nu hebben we dat allemaal redelijk duidelijk, maar we willen graag weten of we als stamboomonderzoeker gebruik mogen maken van gegevens van nog levende individuen. Het belangrijkste hieromtrent is bepaald in artikel 6 van de AVG. In dit artikel zijn zes situaties opgesomd waarin het is toegestaan persoonsgegevens van levende individuen te verwerken. Om het niet al te ingewikkeld te maken zal ik alvast verklappen dat zeer waarschijnlijk alleen de eerste situatie van toepassing is: de persoon van wie de gegevens zullen worden verwerkt heeft hiervoor toestemming gegeven voor een of meerdere specifieke doeleinden. Je zal dus altijd toestemming moeten vragen voor het verwerken van persoonsgegevens van levende individuen, maar je begrijpt vast zelf ook wel dat het waarschijnlijk niemand schaadt als je deze gegevens zonder toestemming in je eigen privéverzameling verwerkt en verder niet publiekelijk deelt, ondanks dat dit niet is toegestaan.

En heb ik dan ook nog plichten als onderzoeker?

Wellicht vraag je je nu af of je dan ook nog ergens toe verplicht bent, nu je toestemming van iemand hebt om zijn of haar persoonsgegevens te verwerken. Het antwoord is nadrukkelijk “ja”. Sowieso moet je aan de persoon die toestemming moet geven duidelijk kenbaar maken voor welke specifieke doeleinden je deze gegevens gaat gebruiken. Voor genealogisch onderzoek is verwerking met toestemming toegestaan, zoals omschreven in de toelichting onder nummer 160. Dan zijn we er voorlopig nog niet. Er is nog een aantal beginselen waar je rekening mee moet houden, zoals omschreven in artikel 5 van de AVG. Dit zijn de belangrijkste:

  1. de wijze van verwerking van de persoonsgegevens moet rechtmatig, transparant en behoorlijk zijn;
  2. de verwerking moet gebonden zijn aan specifiek omschreven doeleinden en hier mag niet van worden afgeweken
  3. er mogen niet meer gegevens verwerkt worden dan noodzakelijk;
  4. de gegevens moeten actueel en juist zijn; en
  5. de gegevens moeten veilig bewaard worden, zodat er geen misbruik van kan worden gemaakt

Dan zijn er nog wat kleine lettertjes waar men rekening mee moet houden. Zoals in artikel 8 van de AVG omschreven staat moet de verwerker van de gegevens kunnen aantonen dat hij of zij toestemming heeft van de persoon wiens gegevens worden verwerkt. Daarnaast heeft de persoon wiens gegevens worden verwerkt nog een viertal belangrijke rechten: deze persoon kan de gegevens inzien (artikel 15), laten rectificeren (artikel 16), laten wissen (artikel 17) en laten beperken (artikel 18).

Conclusie

Zoals je wel hebt gemerkt is de verwerking van gegevens van levende individuen aan heel veel eisen gebonden, wat het plezier van stamboomonderzoek wel enigszins doet afnemen bij menig stamboomonderzoeker. Nu snap je waarom de AVG voorrang heeft op bijvoorbeeld de regels van 100, 75 en 50 jaar, zoals iedereen dit rijtje wel kent. Je zal rekening moeten houden met de rechten van de betrokken personen en hun keuzes moeten respecteren.

Maar laten we met zijn allen het plezier van het onderzoeken zeker niet bederven en laten we elkaar vooral op een milde manier hierover benaderen. Onderling gegevens uitwisselen en je eigen privébestand aanleggen moet makkelijk kunnen, maar houd in je achterhoofd wel rekening met de gevolgen van het uitwisselen en probeer hier een gedegen inschatting van te maken, bijvoorbeeld wie wel en niet betrouwbaar is en wat je zoal wil delen, zodat je de belangen van een ander niet zal schaden.

Bron afbeelding: Ec.europa.eu, 3 augustus 2019 (Zoek op “College meeting: Future of EU finances”).

Zelf de wettekst erop naslaan? Klik hier voor de originele wettekst.