Het recht op privacy omhelst het recht om relaties aan te knopen met anderen en te onderhouden zonder inmenging door derden. Dit fundamenteel recht heeft verregaande implicaties en kent vele incarnaties in ons recht.
Historisch is dit recht ontstaan als een afweerrecht tegen inmengingen van de overheid. Meer en meer wordt duidelijk dat we niet enkel van de overheid schendingen te vrezen hebben, maar eveneens van onze medemensen. De opkomst van de informatietechnologie heeft de privacyproblematiek enkel nog verscherpt.
De privacyregels hebben een verregaande impact op alle aspecten van archiefbeheer:
Dat de bescherming van de persoonlijke levenssfeer van eenieder een fundamentele waarde in onze maatschappij blijkt uit de overvloed aan rechtsnormen die deze materie beheersen. De voornaamste zijn:
)
van 8 december 1992 )
.
Voor meer informatie over het internationale kader zie het David-rapport Archiveren van e-mail.
Elke verwerking van persoonsgegevens die wordt verricht op het Belgische grondgebied, voor zover de verantwoordelijke voor de verwerking hier reëel gevestigd is, moet voldoen aan de voorwaarden opgelegd door de wet[1]. De privacywet is van toepassing op iedereen: de overheid, organisaties en gewone burgers.
De verplichtingen van de wet zijn gericht aan de 'verantwoordelijke voor de verwerking'. Dit is degene die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt[2]. Indien het doel en de middelen voor de verwerking door of krachtens een wet, een decreet of een ordonnantie zijn bepaald, is de verantwoordelijke voor de verwerking degene die deze norm aanwijst. In de regel is de archiefvormer de verantwoordelijke voor de verwerking en als zodanig draagt hij de eindverantwoordelijkheid voor de naleving van de privacyregels.
De rol die de archivaris speelt in termen van de privacywet verschilt naar gelang de omstandigheden. Indien de archiefdienst een zelfstandige instantie is die 'ten behoeve van' de archiefvormer werkt, is de archiefdienst een 'verwerker'. Met verwerker wordt bedoeld degene die in opdracht en onder toezicht van de eigenlijke verantwoordelijke voor de verwerking persoonsgegevens verwerkt[3]. De werknemers of ondergeschikten van de verantwoordelijke voor de verwerking zijn geen 'verwerker' in de zin van de privacywet. Dus, een archivaris of records manager in dienst bij de archiefvormer heeft geen zelfstandige plichten op grond van de privacywet. Het Algemeen Rijksarchief heeft een eigen wettelijk mandaat om documenten te archiveren en bijgevolg om persoonsgegevens te verwerken. Het Algemeen Rijksarchief is dus een verantwoordelijke voor de verwerking en geen verwerker.
De wet regelt de verwerking van persoonsgegevens.
Een persoonsgegeven is iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Identificeerbaar is een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit[4].
Het begrip persoonsgegeven moet erg ruim geïnterpreteerd worden. Het is niet vereist dat degene die de gegevens in zijn bezit heeft de betrokkene kan identificeren. Van zodra iemand in staat is om de betrokkene te identificeren aan de hand van redelijke middelen, is er sprake van een persoonsgegeven. Zo verklapt een e-mailadres met een pseudoniem (bijvoorbeeld incognito@provider.be) niet meteen wie erachter schuil gaat, de dienstverlener weet waarschijnlijk wel om welke klant het precies gaat. Dit e-mailadres is dus een persoonsgegeven over die klant.
Onder ``verwerking'' wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens[5]. Ook dit begrip moet ruim ingevuld worden. De wet is van toepassing op elke verwerking die geheel of gedeeltelijk automatisch gebeuren, en op sommige manuele verwerkingen[6].
De wet is slechts in beperkte mate van toepassing op verwerkingen uitgevoerd door de veiligheids-, politie- en inlichtingendiensten[7]. Ook het Europese centrum voor vermiste en seksueel uitgebuitte kinderen kreeg enkele uitzonderingen[8]. Bijkomende vrijstellingen kunnen verleend worden bij koninklijk besluit Deze vrijstellingen hebben voornamelijk een impact bij de archiefvorming, en slechts in beperkte mate op het archiefbeheer door de archivaris.
Aan de privacywet liggen drie belangrijke beginselen ten grondslag: legaliteit of transparantie, finaliteit en proportionaliteit. Deze beginselen worden telkens in concreto uitgewerkt door de bepalingen van de wet.
Het legaliteits- of transparantiebeginsel houdt in dat elke betrokkene redelijkerwijze moet kunnen weten welke gegevens over hem verwerkt worden, waarom en door wie. Wanneer de overheid gegevens verwerkt moet zij zich kunnen baseren op een rechtsnorm die voldoende duidelijk is en die toegankelijk is voor alle burgers. Tussen privé-personen onderling (zowel natuurlijke personen als rechtspersonen) wordt dit vertaald in het transparantiebeginsel, met andere woorden er moet duidelijke informatie verstrekt worden zodat alle betrokkenen redelijkerwijze weten welke privacyverwachtingen ze mogen koesteren.
De wet leg in eerste instantie vast onder welke omstandigheden de verwerking van persoonsgegevens toelaatbaar is. Voor de publieke sector zijn de volgende situaties van belang:
Het finaliteitsbeginsel houdt in dat persoonsgegevens enkel voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel verwerkt mogen worden. Daarna de gegevens voor een ander doel gebruiken mag enkel indien dit nieuwe doel verenigbaar is met het oorspronkelijk doel. De verenigbaarheid moet beoordeeld worden rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen[12]. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, onder de voorwaarden vastgelegd bij koninklijk besluit[13]. Gegevens verzamelen omdat ze ooit nog eens van pas kunnen komen is uit den boze.
Ten slotte mogen niet meer gegevens verwerkt worden dan noodzakelijk om het doel te bereiken: gegevens moeten toereikend, terzake dienend en niet overmatig zijn[14]. Daarenboven moeten gegevens nauwkeurig zijn en zo nodig worden bijgewerkt[15]. Aanpassingen moeten niet noodzakelijk in het oorspronkelijke document gebeuren, maar mogen in bijlage toegevoegd worden.
Persoonsgegevens mogen in een vorm die het mogelijk maakt de betrokkenen te identificeren niet langer bewaard worden dan noodzakelijk[16]. Voor historische, statistische of wetenschappelijke doeleinden geldt een bijzonder regime vastgelegd bij koninklijk besluit[17].
Bij de selectie van de archiefstukken zal het proportionaliteitsprincipe een rol moeten spelen.
De verantwoordelijke voor de verwerking moet alle betrokkenen in beginsel inlichten over de verwerking van persoonsgegevens. De wet maakt een onderscheid naargelang de gegevens bij de betrokkene zelf verkregen worden of uit een andere bron.
Alleen de archiefvormer zal geregeld rechtstreeks bij de betrokkene gegevens opvragen. Bij de archivaris zal deze situatie slechts sporadisch voorkomen.
Uiterlijk op het moment dat de gegevens worden verkregen moet onder meer de hierna volgende informatie aan de betrokkene verstrekt worden, behalve indien hij daarvan reeds op de hoogte is[18]:
De archiefvormer vermeldt bij deze gelegenheid best meteen de archief- en openbaarheidsverplichtingen waaraan hij/zij onderworpen is. Archivering en openbaarheid zijn eveneens doelstellingen voor verwerking van persoonsgegevens.
De uitzonderingen op deze regel worden verder besproken.
Wanneer de gegevens niet bij de betrokkene zelf verkregen worden, is er geen onmiddellijke gelegenheid om de nodige informatie te verstrekken. De wet geeft de verantwoordelijke voor de verwerking enkele opties: ofwel neemt hij onmiddelijk na ontvangst van de gegevens contact op met de betrokkene, ofwel doet hij dit vooraleer hij gegevens meedeelt aan een derde. Indien de betrokkene reeds op de hoogte is van de nodige informatie, moet de verantwoordelijke voor de verwerking niet opnieuw informeren.
Het gaat om de volgende gegevens:
Ook op deze regel bestaan verschillende uitzonderingen.
Zoals eerder vermeld, geldt de privacywet slechts in beperkte mate voor bepaalde verwerkingen[19]. Onder meer de veiligheids-, politie- en inlichtingendiensten zijn van de kennisgevingsplicht vrijgesteld. Ook verwerkingen voor uitsluitend journalistieke, artistieke of literaire doeleinden zijn vrijgesteld.
Wanneer de betrokkene reeds beschikt over de nodige informatie betreffende de verwerking van zijn gegevens, hoeft de verantwoordelijke voor de verwerking niet opnieuw te informeren[20].
Wanneer de registratie of de verstrekking van de persoonsgegevens verricht wordt met het oog op de toepassing van een bepaling voorgeschreven door een wettelijke norm[21], moet er geen kennisgeving gebeuren. Deze uitzondering is enkel van toepassing wanneer de gegevens niet bij de betrokkene zelf verzameld worden[22].
De overheid zal zich in de regel op deze vrijstelling kunnen beroepen bij de verwerking of de mededeling van persoonsgegevens. Ook voor de overdracht van documenten aan de archiefdienst is deze vrijstelling van belang.
Disseminatie van archiefstukken houdt soms een mededeling van persoonsgegevens aan buitenstaanders in. Dit is een verwerking van persoonsgegevens waarvan de betrokkene in principe op de hoogte gebracht moet worden. Voor zover een wettelijke bepaling, bijvoorbeeld de openbaarheidsregels, een recht op toegang tot archiefdocumenten verleent, is een kennisgeving niet nodig.
De verantwoordelijke voor de verwerking is van de kennisgevingsplicht vrijgesteld wanneer de kennisgeving aan de betrokkene onmogelijk blijkt of onevenredig veel moeite kost. Deze vrijstelling geldt om evidente redenen enkel wanneer de gegevens niet bij de betrokkene zelf verkregen worden[23]. Bijkomende voorwaarden werden opgelegd in het privacy-KB[24].
De wet geeft als voorbeelden de verwerking voor statistische doeleinde, voor historisch of wetenschappelijk onderzoek of voor bevolkingsonderzoek met het oog op de bescherming en de bevordering van de volksgezondheid.
De archivaris kan zich onder bepaalde omstandigheden op deze uitzondering beroepen, bijvoorbeeld bij de terbeschikkingstelling van archiefstukken aan buitenstaanders. In elk concreet geval moet worden onderzocht of kennisgeving in werkelijkheid onmogelijk is of onevenredig veel moeite kost.
De privacywet geeft iedereen het recht controle uit te oefenen over het gebruik van zijn persoonsgegevens.
Eerst en vooral mag elke betrokkene vragen of er al dan niet gegevens over hem verwerkt worden. Is dit het geval, dan moet de verantwoordelijke ook informatie verstrekken over de doeleinden van deze verwerkingen, van de categorieën gegevens in kwestie en van de categorieën ontvangers aan wie de gegevens worden verstrekt[25].
Bovendien mag de betrokkene vragen dat de verwerkte gegevens in een begrijpelijke vorm aan hem worden verstrekt. Alle beschikbare informatie over de oorsprong van die gegevens moet hieraan worden toegevoegd[26].
Deze bepaling stelt de archiefdiensten voor een loodzware opgave. Het begrip persoonsgegevens wordt erg breed opgevat zodat erg veel mensen deze bepaling kunnen inroepen. Een voorbeeld kan dit illustreren. Een personeelsdossier bevat in eerste instantie persoonsgegevens over de werknemer of ambtenaar in kwestie. Het dossier kan eventueel ook gegevens over zijn gezinsleden, evaluties afkomstig van zijn overste, gegevens over de dossierbeheerder en correspondentie met allerlei instanties van de sociale zekerheid bevatten. Eén personeelsdossier kan dus persoonsgegevens bevatten over allerlei verschillende mensen.
Idealiter zouden de metadata van elk archiefstuk een lijstje bevatten van betrokken personen. De archiefvormer is het best geplaatst om deze informatie toe te voegen bij de creatie van het stuk. Dit is in zijn eigen belang, aangezien de archiefvormer in principe zelf onderworpen is aan de mededelingsplicht.
Wat het verstrekken van de verwerkte gegevens betreft, pleit men in de rechtsleer voor een pragmatische aanpak. Indien het onevenredig veel moeite kost om van alle gegevens een kopie te maken, zou een overzicht moeten volstaan[27].
De procedure wordt omschreven in artikel 10 van de privacywet en artikel 32 privacy-KB.
Op het recht op mededeling bestaan erg weinig uitzonderingen[28]. In sommige gevallen bestaat er geen rechtstreeks recht op mededeling, maar moet de betrokkene zich wenden tot de Commissie voor de Bescherming van de Persoonlijke Levenssfeer[29].
Iedereen heeft het recht alle onjuiste persoonsgegevens die op hem/haar betrekking hebben kosteloos te doen verbeteren. Naast het verbeteren van onjuiste gegevens, mag de betrokkene ook gegevens aanvullen. Wanneer gegevens in strijd met de wet worden verwerkt, mag hij eisen dat ze worden geschrapt of minstens niet verder worden gebruikt[30].
Subjectieve beoordelingen kan de betrokkene niet zomaar vervangen door zijn/haar eigen visie, maar de verantwoordelijke voor de verwerking moet eventueel wel vermelden dat er betwisting bestaat[31]. Ook in andere gevallen kan het verantwoord zijn om verbeteringen en aanvullingen niet in het originele stuk maar in bijlage aan te brengen.
De procedure wordt omschreven in artikel 12 van de privacywet en artikel 32-33 privacy-KB.
Op het recht op verbetering bestaan slechts enkele uitzonderingen[32]. In sommige gevallen moet het recht onrechtstreeks uitgeoefend worden via de Commissie voor de Bescherming van de Persoonlijke Levenssfeer[33].
Elke betrokkene mag zich verzetten tegen de verwerking van zijn gegevens indien hij zwaarwegende en gerechtvaardigde redenen heeft[34].
Dit recht van verzet bestaat niet wanneer de verwerking noodzakelijk is:
In de metadata kan de archiefvormer de wettelijke grondslag voor de verwerking van persoonsgegevens vermelden. Op die manier kan men nadien eenvoudig vaststellen of er een recht van verzet bestaat of niet.
De procedure wordt omschreven in artikel 12 van de privacywet en artikel 32-35 privacy-KB.
Naast de reeds genoemde beperkingen, bestaan nog enkele andere uitzonderingen voor sommige instanties[36]. Soms wordt een onrechtstreeks recht op verzet via de Commissie voor de Bescherming van de Persoonlijke Levenssfeer voorzien[37].
De privacywet geeft de betrokkene twee bijzondere remedies tegen schendingen van de privacy. De betrokkene kan naar de voorzitter van de rechtbank van eerste aanleg stappen of een klacht neerleggen bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer[38]. Daarnaast kan de betrokkene uiteraard ook de normale juridische remedies gebruiken, zoals een klacht bij het parket neerleggen, zicht burgerlijke partij stellen bij de onderzoeksrechter of bij de burgerlijke rechtbank een schadevergoeding eisen.
DIRK DE BOT, Verwerking van persoonsgegevens, Antwerpen, Kluwer, 2001, 240-243, 339-341 en 352-361.
Bovenop de reeds besproken regels, geldt een strenger regime voor enkele bijzondere categoriën persoonsgegevens[39]. Dergelijke gegevens verwerken is in principe volledig verboden, behalve in de gevallen die de wet omschrijft. Hierna worden enkel de grote lijnen toegelicht.
Persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook persoonsgegevens die het seksuele leven betreffen, vallen in de categorie 'gevoelige gegevens'[40].
Deze categorie omvat alle gegevens die de gezondheid betreffen[41]. De wet legt dit begrip niet verder uit, maar het gaat om ``alle persoonsgegevens die de vroegere, huidige of toekomstige fysieke of psychische gezondheidstoestand van de betrokkene betreffen''[42].
Persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve gerechten, inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven, of inzake administratieve sancties of veiligheidsmaatregelen zijn gerechtelijke gegevens[43].
In principe is het verboden om deze bijzondere categoriën persoonsgegevens te verwerken. Omdat een absoluut verbod in de praktijk niet haalbaar is, stelt de wet voor elke categorië enkele uitzonderingsgronden in.
In eerste instantie moet de archiefvormer kunnen steunen op een wettelijke grondslag voor de verwerking van bijzondere gegevens. Wat de overheid betreft, verleent de wet verschillende specifieke mogelijkheden[44]. Daarnaast kan de overheid zich beroepen op een open grondslag: met name wanneer de verwerking in een wet, decreet of ordonnantie wordt toegelaten. De precieze modaliteiten verschillen per categorie bijzondere gegevens:
Toegang verlenen tot de archiefstukken aan buitenstaanders is een ander paar mouwen. Opnieuw moet er voor deze mededeling een wettelijke grondslag voorhanden zijn. De privacywet zelf biedt een grondslag voor wetenschappelijk onderzoek, zij het enkel onder de voorwaarden bepaald door de koning.[48]
DIRK DE BOT, Verwerking van persoonsgegevens, Antwerpen, Kluwer, 2001, 403 p.
De verantwoordelijke voor de verwerking moet aangifte doen bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer vooraleer hij begint met de verwerking van persoonsgegevens[49]. Op deze regel bestaan een hele reeks uitzonderingen, om de toevloed van aangiften enigzins te beperken[50]. Vrijgesteld zijn onder meer verwerkingen in het kader van de loonadministratie, personeelsadministratie, boekhouding, klanten- en leveranciersbeheer, gemeentelijke registers en verwerkingen door administratieve overheden[51]. Telkens worden bijzondere voorwaarden opgelegd in het privacy-KB.
Administratieve overheden zijn slechts vrijgesteld indien de verwerking al is onderworpen aan specifieke regels waarin de raadpleging, het gebruik en de verkrijging van de verwerkte gegevens worden geregeld[52]. Het rijksarchief moet hoogst waarschijnlijk beschouwd worden als een administratieve overheid[53]. De archiefwet en het archief-KB regelen de verkrijging, het gebruik en de raadpleging van archiefstukken slechts erg summier. Zo zijn er geen duidelijke regels met betrekking tot de toegang tot archiefstukken jonger dan 100 jaar. Het rijksarchief doet daarom best aangifte bij de commissie.
Sinds 2003 kunnen bij wet sectorale comités binnen de commissie opgericht worden. Deze sectorale comités zijn bevoegd om binnen het toepassingsgebied van bijzondere wetgeving alle aanvragen met betrekking tot de verwerking of de mededeling van gegevens te onderzoeken en er uitspraak over te doen[54]. Een bestaand voorbeeld is het sectoraal comité van de sociale zekerheid[55].
In de privacywet zelf wordt een sectoraal comité voor de federale overheid opgericht. Dit comité is bevoegd voor alle federale overheidsdiensten of openbare instellingen met rechtspersoonlijkheid die onder de federale overheid ressorteren, tenzij een ander sectorieel comité al bevoegd is. Elke mededeling van persoonsgegevens vereist een principiële machtiging van het federale sectoraal comité, dat nagaat of de mededeling wel in overeenstemming is met de wettelijke en reglementaire bepalingen. De leidende ambtenaar van de dienst of instelling in kwestie mag advies uitbrengen aan het federale sectoraal comité.
Het rijksarchief is een federale wetenschappelijke instelling die onder de bevoegdheid valt van het federale sectoraal comité, bij gebrek aan een specifiek sectoraal comité. Vooraleer men toegang verleent tot de digitale collectie aan andere overheden of aan particulieren, moet het rijksarchief een principiële machtiging vragen aan het federale sectoraal comité[56]. Tot op heden (31 december 2003) is het federale sectoraal comité nog niet werkzaam.
Archiefvormers die een federale overheidsdienst of federale openbare instelling zijn, zullen eveneens een machtiging moeten vragen vooraleer ze hun digitale collectie kunnen overdragen aan het rijksarchief.
DIRK DE BOT, ``De Commissie voor de Bescherming van de Persoonlijke Levenssfeer: 'Tussen droom en daad staan er niet alleen wetten in de weg, maar vooral praktische problemen''', T.B.B.R., 2003, afl. 6, 384-402.
De privacywet regelt verschillende andere aspecten van de verwerking van persoonsgegevens. Deze bepalingen worden hierna aangehaald voor de volledigheid. Alleen aspecten die specifiek van belang zijn voor de digitale archivering in de overheidssector worden belicht. Voor een algemene bespreking wordt verwezen naar de beschikbare rechtslitteratuur.
Artikel 16 §4 luidt als volgt:
``Om de veiligheid van de persoonsgegevens te waarborgen, moeten de verantwoordelijke van de verwerking, en in voorkomend geval zijn vertegenwoordiger in België alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de pesoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.
Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's.
Op advies van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer kan de koning voor alle of voor een bepaalde categorie van verwerkingen aangepaste normen inzake informaticaveiligheid uitvaardigen''
De verantwoordelijke voor de verwerking moet met andere woorden de vertrouwelijkheid en de integriteit van de gegevens kunnen garanderen.
Concreet moet de verantwoordelijke voor de verwerking of, in voorkomend geval, zijn/haar vertegenwoordiger in België:
Doorgifte van gegevens naar derde landen wordt door de wet strenger gereglementeerd dan de uitwisseling van gegevens met EU-landen. De bescherming van persoonsgegevens laat in veel landen immers te wensen over[59].
Artikel 37-43 privacywet bestraft allerlei overtredingen van de wet met een geldboete.
Naast de veroordeling tot een geldboete kan de rechter de verbeurdverklaring uitspreken van de dragers van persoonsgegevens waarop het misdrijf betrekking heeft, zoals manuele bestanden, magneetschijven of magneetbanden, met uitzondering van de computers of enige andere apparatuur, of bevelen de gegevens uit te wissen. De verbeurdverklaring of de uitwissing kunnen bevolen worden, zelfs wanneer de dragers van persoonsgegevens niet aan de veroordeelde toebehoren[60].
De archiefvormer moet rekening houden met de bescherming van persoonsgegevens vanaf de creatie van de archiefstukken. De verwerking van persoonsgegevens moet in eerste instantie een wettige grondslag hebben en een gerechtvaardigd doel nastreven. Bovendien moet elke verwerking in een redelijke verhouding staan tot het nagestreerde doel. De archiefvormer moet elke betrokkene in beginsel informeren over het feit dat over hem gegevens verwerkt worden. Elke betrokkene heeft een recht op toegang en verbetering van zijn gegevens, soms mag hij zich zelfs tegen de verwerking er van verzetten. Persoonsgegevens moeten vertrouwelijk behandeld worden en voldoende beveiligd tegen onrechtmatige manipulaties.
De archiefvormer moet zich zo organiseren dat hij persoonsgegevens verwerkt conform de privacywet. Tegelijk moet hij ervoor zorgen dat degene aan wie hij de gegevens meedeelt ook in staat is de wetsbepalingen na te leven. Hieraan kan de archiefvormer voldoen door bepaalde metadata toe te voegen bij de archiefstukken: bijvoorbeeld een lijst van betrokken personen, de aard van de gegevens, welke kennisgeving er gebeurd is, ...
De overdracht van persoonsgegevens aan derden, bijvoorbeeld een zelfstandige archiefdienst, is een verwerking in de zin van de wet. De voorwaarden van de wet moeten dus vervuld zijn. Sinds 2003 is hier een nieuwe vereiste aan toegevoegd voor federale diensten en instellingen: aan elke elektronische mededeling moet een principiële machtiging van het federale sectoraal comité voorafgaan.
De privacyregels naleven in de praktijk is een complexe aangelegenheid.
Een goed doordacht privacybeleid uitstippelen is onontbeerlijk. Gegevens
die in strijd met de wet verwerkt worden moeten in principe vernietigd
worden.
.
.