Elektronisch verwerken van gegevens

In dit document wordt aandacht besteed aan de (juridische) gevolgen van het elektronisch verwerken van gegevens. Het verwerkingsbegrip omvat alle handelingen die ten aanzien van gegevens kunnen worden verricht. Gedacht kan worden aan het opslaan, kopiŽren, wijzigen of openbaar maken van gegevens.
Tegenwoordig wordt de verwerking van gegevens steeds vaker elektronisch ofwel digitaal uitgevoerd. In dit document worden in vogelvlucht de belangrijkste vraagstukken die hieruit voortvloeien behandeld. In dit artikel wordt in de eerste plaats aandacht besteed aan de manieren waarop de digitalisering van het verwerkingsproces plaats kan vinden. Vervolgens wordt gekeken naar de mogelijke risico's hiervan. Ten slotte wordt beknopt ingegaan op de maatregelen die kunnen worden getroffen om deze risico's in te perken. Hierbij wordt tevens gekeken naar de mogelijke rol die de notaris hierbij kan spelen.
Digitalisering van gegevens
In de huidige informatiemaatschappij worden steeds meer processen geautomatiseerd. Dit vindt allereerst plaats in het bedrijfsleven. Zo handelen zij elektronisch, gebruiken zij een digitaal systeem voor hun voorraadbeheer en voeren zij een elektronische administratie. Bovendien kunnen zij tevens digitale producten en diensten aanbieden. Overheidsinstanties communiceren daarnaast steeds vaker digitaal met hun burgers. Diezelfde burgers ten slotte worden ook steeds meer bekwaam in het uitvoeren van digitale handelingen. Denk hierbij aan het via internet afsluiten overeenkomsten of het doen van een belastingaangifte.
Het belangrijkste gevolg van automatisering is gegevens die eerst op analoog (bijvoorbeeld op papier) waren vastgelegd steeds meer gedigitaliseerd opgeslagen en verwerkt. Net als analoge data kunnen ook digitale gegevens een bepaalde waarde vertegenwoordigen. Deze waarde kan zich op verschillende manieren uiten. Digitale gegevens kunnen allereerst een product vormen. Dit kan een website zijn, maar ook een digitaal opgemaakt document met de tekst van een advies of een boek. Het gaat dan om het digitaal opslaan of digitaal creŽren van toegevoegde waarde.
Digitale gegevens kunnen daarnaast van Ďwaarde' zijn voor het voldoen aan (wettelijke) plichten. Zo moet ook de elektronische administratie van een organisatie worden bewaard op grond van de fiscale bewaarplicht. Ten slotte kan de waarde van gegevens ook worden gevonden in het feit dat zij informatie over a. een organisatie of b. een persoon bevatten die niet voor een ieder bestemd is. In het eerste geval kan gedacht worden aan bijvoorbeeld interne stukken waarin bedrijfsstrategieŽn zijn neergelegd. In het tweede geval kan het gaan om privacygevoelige data, zoals gegevens over de gezondheid van een persoon.
Risico's digitalisering van gegevens
Het grote voordeel van automatisering is met name dat processen en handelingen efficiŽnter kunnen worden doorlopen, respectievelijk uitgevoerd. Aan de hiermee gepaard gaande digitalisering van gegevens zijn echter risico's verbonden. Deze vloeien voornamelijk voort uit de specifieke eigenschappen die digitale data bevatten. Digitale gegevens zijn in de eerste plaats eenvoudig te kopiŽren en zij kunnen daarmee ook elders worden opgeslagen, gebruikt of zelfs worden gepubliceerd.
Deze handelingen, die zoals gezegd allen kunnen worden geschaard onder de verwerking van digitale gegevens, komen vaak in beginsel slechts toe aan degene die de gegevens als eerste digitaal heeft gecreŽerd of beschikbaar heeft gemaakt. Dit kan bijvoorbeeld de maker zijn van een digitaal product als een website of een databank. Daarnaast kan het ook zo zijn dat deze handelingen in beginsel slechts zijn voorbehouden aan degene op wie de gegevens betrekking hebben. Dat is met name het geval wanneer het om privacygevoelige gegevens gaat.
Vanwege het feit dat handelingen met digitale gegevens in beginsel eenvoudig zijn te verrichten, is het goed mogelijk dat deze plaatsvinden zonder de toestemming of zelfs zonder medeweten van de rechthebbende. Een digitaal opgeslagen bedrijfsstrategie kan bijvoorbeeld worden gekopieerd naar een USB-stick door een werknemer. Een auteursrechtelijk beschermd digitaal werk kan door een derde eenvoudig worden gekopieerd en voor zijn profijt worden gedistribueerd. Een hacker kan ongemerkt binnendringen in een databank met privacygevoelige gegevens. Het feit dat aan de verwerking van digitale gegevens dergelijke risico's zijn verbonden heeft de wetgever doen besluiten om aan verwerking van bepaalde categorieŽn gegevens regels te verbinden. Een voorbeeld hiervan is de Wet bescherming persoonsgegevens (Wbp), waarin ten aanzien van de verwerking van privacygevoelige persoonsgegevens regels worden gesteld.
 
Het tweede risico dat aan de digitalisering van gegevens kleeft is het feit dat digitale gegevens niet lang houdbaar zijn. Het verwerken van de gegevens is namelijk slechts mogelijk wanneer er gebruik wordt gemaakt van de hiervoor benodigde hard- en software. Zo zal het openen van een document dat is opgemaakt in een oude versie van WordPerfect en dat is opgeslagen op een floppydisk tegenwoordig niet altijd eenvoudig zijn.
De beperkte houdbaarheid van digitale gegevens kan onder andere betekenen dat het voldoen aan wettelijke bewaarplichten als de fiscale bewaarplicht een complexe aangelegenheid wordt. Deze kunnen immers eisen dat de gegevens gedurende de bewaarplicht te allen tijde uitgelezen kunnen worden. Wanneer er op enig moment besloten wordt gebruik te maken van een nieuw softwarepakket voor bijvoorbeeld het uitvoeren van de administratie, kan dat betekenen dat de data die is opgeslagen met de oude software niet meer inzichtelijk kan worden gemaakt. Het omzetten van de gegevens naar een bestandsformaat waarmee de nieuwe software kan werken (converteren) is bovendien niet onder alle omstandigheden toegestaan. Dit kan betekenen dat het voldoen aan bewaarplichten een uitdaging kan zijn wanneer digitale data moeten worden bewaard.
Inperken van risico's
De hierboven beschreven risico's eisen dat er zorgvuldig met digitale gegevens wordt omgegaan. Hiermee wordt recht gedaan aan de waarde die digitale gegevens kunnen vertegenwoordigen. Belangrijk is allereerst dat waardevolle gegevens niet in handen komen van onbevoegden. Uiteraard kunnen deze onbevoegden van buitenaf komen. Het is echter ook goed mogelijk dat binnen een organisatie onbevoegden toegang hebben tot digitale gegevens. Daarbij hoeft het niet per se zo te zijn dat zij zich die toegang moedwillig verschaffen. Het kan bijvoorbeeld voorkomen dat de gegevens niet voor hen zijn afgeschermd. Mismanagement op het gebied van het beheren van digitale gegevens is dan de oorzaak van een kritieke situatie.
 
Het is dus belangrijk dat organisaties een beleid voeren ten aanzien van het verwerken van digitale gegevens. Bij het opstellen van dit beleid zal aan onder andere de volgende zaken aandacht moeten worden besteed. Het is allereerst belangrijk om een inventarisatie te maken van de digitale gegevens die binnen de organisatie worden verwerkt. Er moet daarbij worden bekeken wie bevoegd is tot het verwerken van die gegevens en wie niet.
Hieruit volgt dat de toegang tot de gegevens afdoende voor zowel externe als interne onbevoegden moet worden afgeschermd door beveiligingsmaatregelen. Hiervan kunnen niet alleen het opzetten van een firewall en het versleutelen van gegevens onderdeel zijn, maar bijvoorbeeld ook het instellen van toegangsniveaus voor verschillende categorieŽn data. Voor het beveiligen van gegevens zijn (internationale) standaarden ontwikkeld. Een voorbeeld hiervan is de NEN-ISO Code voor Informatiebeveiliging.
 
Een tweede onderdeel van het beleid ten aanzien van het verantwoord verwerken van elektronische gegevens wordt gevormd door het verzorgen van een verwerkingsproces dat in overeenstemming is met de geldende regelgeving. Hiervoor is nodig dat in kaart wordt gebracht op welke manieren gegevens worden verwerkt. Vervolgens wordt een complianceonderzoek uitgevoerd waarmee bekeken wordt of verwerkingsmethoden inderdaad conform de regelgeving zijn en waar dit vereist wordt veranderingen worden doorgevoerd.
 
Een derde belangrijk aspect van een verantwoord gegevensbeleid is het rekening houden met bewaarplichten. Vastgesteld moet onder andere worden welke gegevens bewaard moeten blijven. Daarnaast moeten de maatregelen worden getroffen waarmee het bewaren van de gegevens aan de normen gaat voldoen. Hieronder kan vallen het systematisch opslaan van gegevens en het beschermen van de gegevens tegen vervalsing.
De problemen die ontstaan door de beperkte houdbaarheidsdatum van digitale gegevens kunnen onder andere worden opgelost door het gebruik van open standaarden (bijvoorbeeld het pdf- formaat) en op een zorgvuldige wijze converteren van oude data. Ook voor het bewaren van gegevens zijn standaarden ontwikkeld. Een voorbeeld hiervan is de NEN-ISO norm voor Informatie- en Archiefmanagement.
Rol IT-notaris
De IT-notaris kan bij het construeren, uitvoeren en onderhouden van een zorgvuldig beleid ten aanzien van het verwerken van gegevens een belangrijke rol spelen. Allereerst kan de onafhankelijke positie van de notaris worden gebruikt bij het kwalificeren van (gevoelige) data. Als blijkt dat aan de verwerking van bepaalde data regels zijn verbonden, kan hij daarnaast beoordelen of het beleid conform wetgeving en jurisprudentie is en geen inbreuk wordt gemaakt op rechten van derden (compliance). Hierbij kan bijvoorbeeld worden gedacht aan het uitvoeren van privacy-audits. Dit omdat zijn kennis niet alleen een stevige juridisch-wetenschappelijke basis bevat, maar hij technische kennis in huis heeft of zich die verschaft door samen te werken met technisch specialisten. Die combinatie is belangrijk omdat het vaak gaat om de vraag of met technische maatregelen voldoende wordt beantwoord aan juridische normen.
 
Er is uiterste zorg besteed aan het zo actueel, correct en compleet mogelijk maken en houden van de inhoud van dit artikel. Het is echter mogelijk dat de inhoud van de documenten verouderd, incompleet en/of incorrect is door wijzigingen in wet- en regelgeving, ontwikkelingen in hard- en software en/of voortschrijdend inzicht. Aan de inhoud van dit document kunnen dan ook geen rechten worden ontleend. De auteurs kunnen niet aansprakelijk worden gehouden voor de gevolgen van het gebruik, op welke wijze dan ook, van de in dit artikel aangeboden informatie.