November Cursusmaand | AVG in de praktijk van erfgoedinstellingen | 07-11-2025

De Algemene verordening gegevensbescherming (AVG) is van toepassing in de hele Europese Unie. De AVG is o.a. gebaseerd op het Europees Verdrag voor de Rechten van de Mens, waarin het recht op privacy in is opgenomen. Het recht op privacy is echter geen absoluut recht, zoals het recht om niet gemarteld te worden, en moet dus evenredig worden afgewogen tegen andere grondrechten. Bijvoorbeeld, het recht op privacy en het recht op vrijheid van meningsuiting kunnen haaks op elkaar staan en in dat geval zal de instelling, of zelfs de rechter, een afweging tussen deze twee rechten moeten maken.

Wat zijn persoonsgegevens?

Door persoonsgegevens te beschermen, beschermt de AVG dus het recht op privacy. Maar wat zijn persoonsgegevens eigenlijk? Alle informatie waarmee je een levend persoon kunt identificeren valt onder persoonsgegevens. Dit is dus niet beperkt tot een naam en een adres, het kan hier ook om een combinatie van gegevens gaan die alleen maar tot jou herleidbaar zijn. Bijvoorbeeld, het kenteken van jouw auto of de beschrijving “een vrouwelijke blonde dierenarts op Vlieland” zal tot één persoon herleid kunnen worden. Maar ook een foto van een persoon kan met behulp van Google soms tot één iemand herleidbaar zijn.

Voor overleden personen geldt de AVG niet. Let daarbij wel goed op, want gegevens van overledene personen kunnen wel herleidbaar zijn tot levende personen, zoals bij de medische gegevens over een erfelijke ziekte.

Door persoonsgegevens te beschermen, beschermt de AVG dus het recht op privacy.

Welke grondslag heb jij voor het verwerken van persoonsgegevens?

Een van de belangrijkste principes van de AVG is dat je niet zomaar persoonsgegevens mag verwerken. Je dient altijd aan minimaal één van deze zes grondslagen te voldoen:

1. Je hebt toestemming van degene van wie je de persoonsgegevens verwerkt. Let op: deze toestemming kan ook weer worden ingetrokken, en dat maakt dit een wankele grondslag om beleid op te maken.
2. Je hebt een overeenkomst. Bijvoorbeeld: als je iets koopt in een webwinkel, dan ga je een overeenkomst aan en mag de webwinkel jouw naam en adres hiertoe verwerken.
3. Je hebt een wettelijke verplichting. (Dit geldt met name voor de overheid).
4. Er is een vitaal belang voor de betrokkene. Bijvoorbeeld: als je in coma raakt, mogen medici bijvoorbeeld jouw noodzakelijke medische gegevens verwerken.
5. Je hebt een taak van algemeen belang of openbaar gezag. (Dit geldt met name voor de overheid).
6. Je hebt een gerechtvaardigd belang. Bijvoorbeeld: mijn erfgoedinstelling bestaat om de geschiedenis van Brabant inzichtelijk te maken, en daarom is er een gerechtvaardigd belang om persoonsgegevens te verwerken. Maar dit is dus geen absoluut recht. Mocht het ooit tot een rechtszaak leiden, dan zal de rechter en afweging maken tussen het gerechtvaardigd belang en het recht op privacy.

Voor erfgoedinstellingen is de zesde grondslag (het gerechtvaardigd belang) het meest relevant. Daarnaast mag je archivering in het algemeen belang als grondslag gebruiken voor verdere en langdurige verwerking van persoonsgegevens. Echter dit is geen grondslag op zich, je moet wel eerst aan één van bovenstaande grondslagen voldoen.

Op deze zes grondslagen geldt als uitzondering dat je persoonsgegevens zonder grondslag mag verwerken voor huishoudelijk gebruik, bijvoorbeeld thuis op je eigen laptop t.b.v. de kledingcommissie van jouw sportclub, mits je deze gegevens niet publiceert.

De Algemene verordening gegevensbescherming (AVG) is van toepassing in de hele Europese Unie

Wat is verwerken en waar moet je rekening mee houden?

Onder verwerken wordt in de AVG bedoeld: (bijna) alle activiteiten die je met persoonsgegevens kunt uitvoeren. Zoals: verzamelen, vastleggen, opslaan, opvragen, raadplegen, verspreiden, wissen etc. De AVG is daarbij van toepassing op alle gestructureerde (digitale) bestanden. Dus zowel online collecties, als registers die alleen voor intern gebruik zijn.

Bij het verwerken van persoonsgegevens zijn er drie belangrijke principes uit de AVG om rekening mee te houden:

1. Je mag gegevens alleen verwerken voor de tijd die nodig is om dat doel te behalen. Bijvoorbeeld: de webwinkel mag jouw gegevens niet langer bewaren dan nodig is om de koop af te ronden en jouw gegevens mogen niet gebruikt worden voor een ander doel (bijvoorbeeld het maken van reclame). Uitzondering hierop vormt de archivering in algemeen belang. Dus je mag als collectiebeherende instelling deze gegevens wel bewaren in je collectie.
2. Je mag niet meer persoonsgegevens verzamelen en verwerken dan nodig is voor dat doel. Bijvoorbeeld: bij de aanschaf van een concertkaartje mag niet naar je opleidingsniveau gevraagd worden.
3. Privacy by design. Bij het ontwerpen van systemen en aanmaken van documenten dien je privacy in te bouwen. Bijvoorbeeld: het afschermen van velden, zoals de notitievelden en velden met verwervingsgegevens, in Memorix Maior ten behoeve van publicatie.

Je dient bij het verwerken van persoonsgegevens dus in de gaten te houden dat dit evenredig is aan het doel en dat je passende en specifieke maatregelen neemt om de gegevens te beschermen. Als maatregelen kun je denken aan: het niet laten indexeren van deze informatie door zoekmachines, het plaatsen van een waarschuwing op je website dat deze gegevens niet door de bezoeker gebruikt mogen worden, het downloaden van deze informatie blokkeren, het pseudonimiseren van de informatie (persoonsgegevens in documenten vervagen, maar niet verwijderen), een risicoanalyse als grondlegger voor je beleid hanteren en het opzetten van een procedure t.b.v. klachtenverwerking.

Voor erfgoedinstellingen is de zesde grondslag (het gerechtvaardigd belang) het meest relevant.

Welke soorten persoonsgegevens zijn er?

Naast ‘gewone’ persoonsgegevens, zoals je naam en adres, zijn er ook bijzondere persoonsgegevens: informatie over etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond, genetische en biometrische gegevens, gezondheid, seksueel gedrag of seksueel gerichtheid. Deze gegevens zijn extra beschermd en het is in principe verboden om deze te verwerken. Op dit verbod gelden vijf uitzonderingen:

1. Je hebt uitdrukkelijke toestemming van de betrokkene.
2. Er is een vitaal belang van de betrokkene.
3. Kerken, vakbonden, andere organisaties zonder winstoogmerk, mogen intern bijzondere persoonsgegevens verwerken, maar deze niet publiceren tenzij ze daar toestemming voor hebben.
4. Er is een geneeskundig doel of het is in het belang van de volksgezondheid.
5. Het is ter archivering in het algemeen belang, zoals wetenschappelijk of historisch onderzoek. Hier kun je je als erfgoedinstelling echter alleen op beroepen als de bijzondere gegevens al op basis van de uitzonderingen 1 t/m 4 zijn verwerkt.

Als derde zijn er nog de gevoelige persoonsgegevens. Dit is geen juridisch begrip, maar bij deze ‘gewone’ persoonsgegevens draait het om ethische afwegingen. Het zijn gegevens waarvan het, afhankelijk van de context, inbreuk maakt op iemands persoonlijke levenssfeer als deze gepubliceerd worden. Denk hierbij aan: foto’s, paspoorten, schulden, vechtscheidingen, geboortedatum (niet geboortejaar!), BSN-nummer. Verwerking en publicatie van deze gegevens vraagt dus om een extra zorgvuldige afweging.

Let op: de AVG schrijft ook voor dat burgers het recht hebben op inzage van de eigen AVG-gegevens en het recht hebben op rectificatie en vergetelheid van deze gegevens.

Er zijn drie soorten persoonsgegevens: gewone, bijzondere en gevoelige persoonsgegevens.

Wat mag je nog wel publiceren en wat zijn de risico’s bij het publiceren van collecties?

Wil je geen enkel risico nemen, dan kun je alleen collectie-items publiceren die betrekking hebben op overleden personen. Toch kan het voorkomen dat je bijvoorbeeld een klassenfoto wil publiceren waar nog levende personen op staan, omdat dit vaak door de oud-leerlingen gewaardeerd wordt. Dan is het wel belangrijk om de verschillende belangen af te wegen. Welke gegevens zijn er op de foto te zien? Is het nodig om beschermende maatregelen te nemen, zoals de foto alleen op naam van de klas vindbaar maken i.p.v. namen van de leerlingen en de foto niet-downloadbaar maken?

Enkele andere voorbeelden:

• Een foto van een doop (religie = bijzonder persoonsgegeven) mag je publiceren als alle mensen op de foto overleden zijn.
• Stamboomgegevens mag je publiceren, behalve de gegevens van de nog levende generatie. Ook het verstrekken van deze gegevens in de bezoekruimte van je erfgoedinstelling moet je afwegen. Aan familieleden kun je de gegevens van levende personen waarschijnlijk wel toestaan, maar niet aan vreemden of een verzekeringsmaatschappij die informatie wil over erfelijke aandoeningen.
• Klassenfoto’s van religieuze scholen geldt niet als een bijzonder persoonsgegevens, omdat leerlingen op religieuze scholen niet per definitie gelovig waren.
• Bidprentjes mag je publiceren, tenzij er (bijzondere) persoonsgegevens van nog levende familieleden opstaan. In dat geval kun je deze informatie pseudonimiseren.

Het grootste risico bij het publiceren van dergelijke collectie-items is dat je als instelling een klacht krijgt. Dan moeten maatschappelijke en ethische belangen en het recht op privacy worden afgewogen. Geldt het recht op privacy het zwaarst, dan is het doorgaans voldoende om het item offline te halen of te verwijderen. In het uiterste geval kan het leiden tot een klacht bij de Autoriteit Persoonsgegevens of zelfs een rechtszaak. Kortom, bij collectie-items die persoonsgegevens bevatten moet je dus elke keer opnieuw de afweging tussen de verschillende belangen maken.

Handige links en documenten

• Het Factsheet Eerste Hulp bij Persoonsgegevens in je collectie of archief van Erfgoedhuis Zuid-Holland
• De Handreiking ‘De oorlog online’ is een handige hulpmiddel voor hoe om te gaan met bijzondere en gevoelige persoonsgegevens en is ook bruikbaar voor archieven die niet gerelateerd zijn aan de Tweede Wereldoorlog.
• Het kennisdocument Online beschikbaar stellen audiovisueel archief.
• Het webinar over auteursrecht door specialist Maarten Zeinstra op brabantcloud.nl.
• De helppagina AVG en Auteursrecht op brabantcloud.nl.
  De AVG-pagina van KVAN, de beroeps- en branchevereniging van archivarissen, biedt veel handreikingen die je ook als niet-archivaris kunt gebruiken.
• De Auteursrechten-pagina van KVAN.