Q&A tijdelijke instructie archivering chatberichten voor bewindspersonen

De tijdelijke instructie en de daaruit volgende maatregelen gelden vooralsnog alleen voor bewindspersonen. Het staat organisaties daarnaast vrij om ook alvast andere sleutelfuncties vast te stellen, vooruitlopend op de (model-)selectielijst en het aangepaste, uitgeschreven beleid.

Op dit moment is het alleen technisch mogelijk om semi-geautomatiseerd WhatsApp-berichten veilig te stellen. Tot op heden hebben rijksoverheidsorganisaties nog niet de mogelijkheid om chatberichten en -conversaties geautomatiseerd uit de applicatie Signal veilig te stellen via bulkexport. Het project Archivering chatberichten van Open Overheid onderzoekt de mogelijkheid om software in te zetten waarmee deze berichten alsnog in bulk kunnen worden gearchiveerd.

Verwijdering van zakelijke chatberichten uit commerciële applicaties mag pas na archivering van deze berichten in een door de organisatie beheerd systeem en/of omgeving. Vernietiging van dezelfde informatie uit het door de organisatie beheerde systeem/omgeving mag pas worden uitgevoerd als het chatgesprek zo gewaardeerd is in een vastgestelde selectielijst en de daarin opgenomen bewaartermijn is verstreken.

De conceptversie van de beleidslijn is opgezet, in het laatste kwartaal van 2023 interdepartementaal afgestemd en eind 2023 gereed. Het definitief maken van de beleidslijn is afhankelijk van de opzet van randvoorwaardelijke, rijksbrede producten die in de maak zijn, waaronder:

• het rijksbrede Data Protection Impact Assessment
• de modelselectielijst voor chats
• de aanpassing van het handboek bewindspersonen
• de aanpassing van de gedragsregeling van de digitale werkomgeving
• rijksbrede en departementale OR-adviezen en besluiten (GOR en/of DOR)
• de CISO Rijk-risicoanalyse en het informatiebeveiligingsadvies
• het besluit van het CISO-beraad
• een beeld van de technische uitvoerbaarheid via de pilot Chatberichtenarchivering
• de aanbesteding en inrichting van een archiveringsfaciliteit

Hierdoor is de verwachting dat de nieuwe beleidslijn zeker niet voor medio 2024 kan worden vastgesteld en de voorzieningen later volgen.

Vanuit de Archiefwet geredeneerd moet je overheidsinformatie zo spoedig mogelijk archiveren. Dus liefst op het moment van verzenden of ontvangen. Dit is op dit moment nog niet uitvoerbaar en is dan ook de reden dat er een termijn moet worden afgesproken. Hoe langer de termijn tussen de archiveringsmomenten, hoe groter het risico dat chatconversaties verloren gaan. Een goede risicoinschatting en maatregelen om het risico te verkleinen zijn dan ook van belang. Dit moet worden afgewogen met de beheerlast.

Vanuit het Nationaal Archief en CIO Rijk wordt de geadviseerde 4-wekentermijn beschouwd als redelijk, gebaseerd op een afweging tussen beheerlast en het beperken van het risico op tussentijds informatieverlies. Eveneens streeft CIO Rijk naar harmonisatie in de uitvoering. Vanuit Doc-Direkt wordt tevens het advies gegeven om elke 4 weken de nieuwe chatconversaties uit te lezen. Dit om altijd op tijd te kunnen voldoen aan informatieverzoeken als Woo-verzoeken en bij parlementaire enquêtes.

Ja, veiligstellen van chatberichten en -conversaties mag van de AVG bij zakelijke chatberichten. Er is een zwaarwegend belang aanwezig voor het veiligstellen van zakelijke chatberichten van rijksorganisaties, in het bijzonder van individuele bewindslieden. Dit veiligstellen moet wel gebeuren binnen de kaders van overige wet- en regelgeving, zoals de Archiefwet en de Baseline Informatiebeveiliging Overheid. De aard van het chatbericht bepaalt of deze onder de archiefplicht valt of niet. Dit is het geval als het chatbericht is ontstaan uit en/of tijdens een overheidstaak (oftewel overheidsinformatie bevat). Het type account (persoonlijk of corporate) speelt daarbij een ondergeschikte rol. Zakelijke chatberichten van alle typen accounts dienen daarom te worden veiliggesteld.

Rijksorganisaties moeten voldoen aan de eisen van de informatieplicht en rechten van betrokkenen. Bij het veiligstellen moeten daarnaast aanvullende maatregelen worden doorgevoerd om aan de AVG te voldoen (waaronder dataminimalisatie en schoning).

Er wordt een rijksbrede Data Protection Impact Assessment op de verwerking uitgevoerd om vooraf de privacy-risico’s van de gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Ja, dit mag en moet zelfs wanneer de chatberichten overheidsinformatie betreffen c.q. zijn ontstaan uit en/of tijdens de uitvoering van een overheidstaak. Het is daarbij niet relevant of deze informatie via een zakelijk of een privé-middel is verwerkt. Deze zakelijke informatie is van de organisatie en niet van jouzelf als privé-persoon.

In principe is de AVG helder op dit punt: deze verplicht tot dataminimalisatie. In de kern komt het er daarbij op neer dat enkel die persoonsgegevens verwerkt worden die noodzakelijk zijn voor het bestuursorgaan om ‘hun werk uit te kunnen voeren’. Daarbij moet je er dus als bestuursorgaan alles aan doen om ervoor te zorgen dat je zo min mogelijk persoonsgegevens verwerkt. Bij de onderhavige lijsten gaat het dus om de vraag of het absoluut noodzakelijk is dat deze lijsten met privé-gegevens worden opgesteld en bijgehouden of dat er ook andere manieren zijn die minder ingrijpend zijn en die tot hetzelfde resultaat leiden. Als het standpunt is dat het in de praktijk nagenoeg onmogelijk is om die privé- en zakelijke contacten van elkaar te scheiden, dan kan dit gelden als een grondslag voor de verwerking van de persoonsgegevens – lees: het opstellen van een lijst met privécontacten. Echter, dan moet je wel als bestuursorgaan ervoor zorgen dat je er vervolgens alles aan hebt gedaan om zorgvuldig met die privécontactenlijsten om te gaan door additionele informatiebeveiligingsmaatregelen te nemen die het lekken van deze gegeven voorkomen.

Nee, toestemming is niet vereist wanneer de chatberichten overheidsinformatie betreffen c.q. zijn ontstaan uit en/of tijdens de uitvoering van een overheidstaak; oftewel de zakelijke chatberichten.

Wanneer de gegevensverwerking is toegestaan en er voldoende waarborgen aanwezig zijn dan wel maatregelen zijn genomen om risico’s van ongeautoriseerde toegang, datalekken en -verlies tot een acceptabel niveau te hebben teruggebracht, is de opslag niet in strijd met de AVG. Het is de verantwoordelijkheid van het departement als verwerkingsverantwoordelijke om een risicoanalyse uit te voeren en te bepalen of er voldoende waarborgen aanwezig zijn voor het opslaan van de volledige set van chatconversaties inclusief persoonsgegevens in een DMS zodat dit in overeenstemming is met de AVG.

Het is aan het departement als verwerkingsverantwoordelijke om te bepalen of het uitlezen van de hele chatgeschiedenis, inclusief berichten van vóór de functieperiode, in overeenstemming is met de geldende wet- en regelgeving. Wanneer er geen mogelijkheid is om met de uitleesmethode het uitlezen te beperken tot een vastgestelde periode, is het noodzakelijk om voordat tot bewaring wordt overgegaan, de chatberichten van vóór de functieperiode handmatig te verwijderen.

Wanneer de betreffende bewindspersoon voor de huidige functieperiode op het huidige departement eerder ook een functie als bewindspersoon op een ander departement heeft vervuld, dan controleert het huidige departement of de zakelijke chatconversaties uit de vorige functieperiode gearchiveerd zijn bij het andere departement. Mocht dit niet het geval zijn dan kan met het andere departement overeen gekomen worden dat de dataset met chatconversaties van de vorige functieperiode aan het betreffende departement wordt overgebracht.

Wanneer we gebruik gaan maken van de sleutelfunctiemethode dan geldt: de zakelijke chatconversaties van ambtenaren die geen sleutelfunctie hebben, worden niet gearchiveerd in een door de organisatie beheerd systeem en/of omgeving.

Uitzonderingen zijn als sleutelfuncties zakelijk converseren met niet-sleutelfuncties, als chatconversaties van niet-sleutelfuncties onder een gebeurtenis vallen die vastgesteld is als Hotspot en als de ambtenaar een formeel zakelijk proces uitvoert dat via chatapplicaties verloopt. Denk aan het informeren van burgers via een WhatsApp-kanaal dat via de website van een overheidsorgaan beschikbaar wordt gesteld. In die gevallen worden berichten van niet-sleutelfuncties ook opgeslagen. Dit is in de regel een handmatig proces.

In de AVG kennen we het begrip eigendom niet. Er wordt alleen gesproken over verwerkingsverantwoordelijke. Het begrip eigendom is daarom ook niet van toepassing in relatie tot persoonsgegevens. De verwerkingsverantwoordelijke is in dit geval de overheidsinstantie die het doel van het vastleggen van de gegevens vaststelt.

De departementale Chief Information Security Officer kan (eventueel in samenwerking met de Beveiligingsambtenaar en Privacy officer), mits gewenst, op basis van een eigen risicoanalyse een uitspraak doen of en op welk niveau van beveiliging voor het archief onder het eigen zorgdragerschap noodzakelijk is, waarbij het uitgangspunt is dat het gehanteerde departementale beveiligingsniveau niet lager is dan het rijksbreed vastgestelde beveiligingsniveau. Het hanteren van een hoger beveiligingsniveau voor (een deel van) een organisatie is altijd mogelijk. Het vastgestelde beveiligingsniveau geeft de noodzaak en mate van screening aan.

De departementale CISO zal (eventueel in samenwerking met de BVA en privacy officer) op basis van een risicoanalyse een uitspraak doen over op welke locatie de chatconversaties en metadata worden opgeslagen en wie hier wanneer toegang toe mag krijgen. Dit laatste wordt vastgelegd in een zoekprotocol.

Vanuit de Archiefwet moeten chatberichten die overheidsinformatie bevatten c.q. zijn ontstaan uit en/of tijdens de uitvoering van een overheidstaak in een door de organisatie beheerd systeem en/of omgeving worden gearchiveerd. Dus alle zakelijke chatberichten en -conversaties van bewindspersonen. Privé- en partijpolitieke berichten en conversaties vallen niet onder de reikwijdte van de Archiefwet en hoeven dus niet te worden gearchiveerd.

Dit is opgenomen in een conceptafwegingskader voor privé-, partijpolitieke en zakelijke informatie, dat als hulpmiddel dient om te bepalen welk type informatie het betreft.

CIO Rijk/programma Open Overheid gaat in overleg met het Nationaal Archief om na te gaan of we hier een eenmalige procesbeschrijving voor kunnen maken, waarin de gehanteerde kwaliteitscriteria voor dit proces expliciet opgenomen zijn. Dit aangezien het niet-uitvoerbaar is om voor elke keer dat er archivering van deze berichten in een door de organisatie beheerd systeem en/of omgeving plaatsvindt een apart overzicht te genereren. In feite is hier zelfs sprake van vervanging; dit maakt het nog belangrijker om hier een goede verklaring voor op te stellen en een algemeen besluit voor een zorgdrager te nemen.

Organisaties maken afspraken over ondersteuning en toegang tot informatie na vertrek. Veelal is dat een continuering van de afspraken die in het departementale zoekprotocol zijn vastgelegd.

De conceptmodelselectielijst voor chat op basis van de sleutelfunctiemethodiek wordt begin 2024 opgeleverd door het Nationaal Archief. Op basis van een vervolgonderzoek waarbij de waarde van de informatie van de sleutelfuncties wordt onderzocht en getoetst aan de waardering in de concept model selectielijst wordt deze waar nodig aangescherpt en daarna vastgesteld. Hierna kunnen organisaties aan de slag om de selectielijst voor de eigen organisatie in te vullen.

We voorzien een studie naar de diverse opties in het uitwerkingsplan na de pilot. De studie zal uiteindelijk uitmonden in een beleidskeuze en een voorstel voor een gemeenschappelijke of zelf generieke dienst.

Je doorzoekt per gebruiker één opslaglocatie. Aanbevolen wordt om als de zakelijke chatberichten onder beheer van de organisatie zijn gebracht en gefilterd zijn, deze te gebruiken bij het doorzoeken. Dit om zo min mogelijk risico te lopen om in aanraking te komen met privé- en partijpolitieke informatie. Voor het doorzoeken van chats van gebruikers waarvan de chatconversaties (nog) niet lokaal opgeslagen zijn, spreek je binnen de organisatie één werkwijze af. 

Het toevoegen van additionele metadata en doorzoeken van chatconversaties nemen we mee in een latere fase van de pilot. We pakken het stap voor stap aan, eerst onderzoeken we het geautomatiseerd archiveren van chatberichten en -conversaties en vervolgens gaan we aan de slag met metadata en zoekfunctionaliteiten.