Q&A tijdelijke instructie archivering chatberichten voor bewindspersonen | Rijksprogramma voor Duurzaam Digitale Informatiehuishouding

Het kernteam RDDI Chatarchivering organiseert wekelijks een stand-up met stakeholders en belangstellenden, met als resultaat een betrokken, rijksbrede community. Tijdens de stand-up worden vragen voorgelegd en beantwoord over lopende ontwikkelingen bij chatberichtarchivering. De vragen en antwoorden worden gebundeld en periodiek geüpdatet in een Q&A, ter vastlegging van alle uitgewisselde kennis en ervaring.

Algemene vragen

Op dit moment is het alleen technisch mogelijk om semi-geautomatiseerd WhatsApp-berichten veilig te stellen. Tot op heden hebben rijksoverheidsorganisaties nog niet de mogelijkheid om chatberichten en -conversaties geautomatiseerd uit de applicatie Signal veilig te stellen via bulkexport. Het project Archivering chatberichten van Open Overheid onderzoekt de mogelijkheid om software in te zetten waarmee deze berichten alsnog in bulk kunnen worden gearchiveerd.

Verwijdering van zakelijke chatberichten uit commerciële applicaties mag pas na archivering van deze berichten in een door de organisatie beheerd systeem en/of omgeving. Vernietiging van dezelfde informatie uit het door de organisatie beheerde systeem/omgeving mag pas worden uitgevoerd als het chatgesprek zo gewaardeerd is in een vastgestelde selectielijst en de daarin opgenomen bewaartermijn is verstreken.

De conceptversie van de beleidslijn is opgezet, in het laatste kwartaal van 2023 interdepartementaal afgestemd en eind 2023 gereed. Het definitief maken van de beleidslijn is afhankelijk van de opzet van randvoorwaardelijke, rijksbrede producten die in de maak zijn, waaronder:

het rijksbrede Data Protection Impact Assessment
de modelselectielijst voor chats
de aanpassing van het handboek bewindspersonen
de aanpassing van de gedragsregeling van de digitale werkomgeving
rijksbrede en departementale OR-adviezen en besluiten (GOR en/of DOR)
de CISO Rijk-risicoanalyse en het informatiebeveiligingsadvies
het besluit van het CISO-beraad
een beeld van de technische uitvoerbaarheid via de pilot Chatberichtenarchivering
de aanbesteding en inrichting van een archiveringsfaciliteit

Hierdoor is de verwachting dat de nieuwe beleidslijn zeker niet voor medio 2024 kan worden vastgesteld en de voorzieningen later volgen.

Vanuit de Archiefwet geredeneerd moet je overheidsinformatie zo spoedig mogelijk archiveren. Dus liefst op het moment van verzenden of ontvangen. Dit is op dit moment nog niet uitvoerbaar en is dan ook de reden dat er een termijn moet worden afgesproken. Hoe langer de termijn tussen de archiveringsmomenten, hoe groter het risico dat chatconversaties verloren gaan. Een goede risicoinschatting en maatregelen om het risico te verkleinen zijn dan ook van belang. Dit moet worden afgewogen met de beheerlast.

Vanuit het Nationaal Archief en CIO Rijk wordt de geadviseerde 4-wekentermijn beschouwd als redelijk, gebaseerd op een afweging tussen beheerlast en het beperken van het risico op tussentijds informatieverlies. Eveneens streeft CIO Rijk naar harmonisatie in de uitvoering. Vanuit Doc-Direkt wordt tevens het advies gegeven om elke 4 weken de nieuwe chatconversaties uit te lezen. Dit om altijd op tijd te kunnen voldoen aan informatieverzoeken als Woo-verzoeken en bij parlementaire enquêtes.

Vragen over tijdelijke instructie & privacy

Ja, veiligstellen van chatberichten en -conversaties mag van de AVG bij zakelijke chatberichten. Er is een zwaarwegend belang aanwezig voor het veiligstellen van zakelijke chatberichten van rijksorganisaties, in het bijzonder van individuele bewindslieden. Dit veiligstellen moet wel gebeuren binnen de kaders van overige wet- en regelgeving, zoals de Archiefwet en de Baseline Informatiebeveiliging Overheid. De aard van het chatbericht bepaalt of deze onder de archiefplicht valt of niet. Dit is het geval als het chatbericht is ontstaan uit en/of tijdens een overheidstaak (oftewel overheidsinformatie bevat). Het type account (persoonlijk of corporate) speelt daarbij een ondergeschikte rol. Zakelijke chatberichten van alle typen accounts dienen daarom te worden veiliggesteld.

Rijksorganisaties moeten voldoen aan de eisen van de informatieplicht en rechten van betrokkenen. Bij het veiligstellen moeten daarnaast aanvullende maatregelen worden doorgevoerd om aan de AVG te voldoen (waaronder dataminimalisatie en schoning).

Er wordt een rijksbrede Data Protection Impact Assessment op de verwerking uitgevoerd om vooraf de privacy-risico’s van de gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

In principe is de AVG helder op dit punt: deze verplicht tot dataminimalisatie. In de kern komt het er daarbij op neer dat enkel die persoonsgegevens verwerkt worden die noodzakelijk zijn voor het bestuursorgaan om ‘hun werk uit te kunnen voeren’. Daarbij moet je er dus als bestuursorgaan alles aan doen om ervoor te zorgen dat je zo min mogelijk persoonsgegevens verwerkt. Bij de onderhavige lijsten gaat het dus om de vraag of het absoluut noodzakelijk is dat deze lijsten met privé-gegevens worden opgesteld en bijgehouden of dat er ook andere manieren zijn die minder ingrijpend zijn en die tot hetzelfde resultaat leiden. Als het standpunt is dat het in de praktijk nagenoeg onmogelijk is om die privé- en zakelijke contacten van elkaar te scheiden, dan kan dit gelden als een grondslag voor de verwerking van de persoonsgegevens – lees: het opstellen van een lijst met privécontacten. Echter, dan moet je wel als bestuursorgaan ervoor zorgen dat je er vervolgens alles aan hebt gedaan om zorgvuldig met die privécontactenlijsten om te gaan door additionele informatiebeveiligingsmaatregelen te nemen die het lekken van deze gegeven voorkomen.

Wanneer de gegevensverwerking is toegestaan en er voldoende waarborgen aanwezig zijn dan wel maatregelen zijn genomen om risico’s van ongeautoriseerde toegang, datalekken en -verlies tot een acceptabel niveau te hebben teruggebracht, is de opslag niet in strijd met de AVG. Het is de verantwoordelijkheid van het departement als verwerkingsverantwoordelijke om een risicoanalyse uit te voeren en te bepalen of er voldoende waarborgen aanwezig zijn voor het opslaan van de volledige set van chatconversaties inclusief persoonsgegevens in een DMS zodat dit in overeenstemming is met de AVG.

Het is aan het departement als verwerkingsverantwoordelijke om te bepalen of het uitlezen van de hele chatgeschiedenis, inclusief berichten van vóór de functieperiode, in overeenstemming is met de geldende wet- en regelgeving. Wanneer er geen mogelijkheid is om met de uitleesmethode het uitlezen te beperken tot een vastgestelde periode, is het noodzakelijk om voordat tot bewaring wordt overgegaan, de chatberichten van vóór de functieperiode handmatig te verwijderen.

Wanneer de betreffende bewindspersoon voor de huidige functieperiode op het huidige departement eerder ook een functie als bewindspersoon op een ander departement heeft vervuld, dan controleert het huidige departement of de zakelijke chatconversaties uit de vorige functieperiode gearchiveerd zijn bij het andere departement. Mocht dit niet het geval zijn dan kan met het andere departement overeen gekomen worden dat de dataset met chatconversaties van de vorige functieperiode aan het betreffende departement wordt overgebracht.

Wanneer we gebruik gaan maken van de sleutelfunctiemethode dan geldt: de zakelijke chatconversaties van ambtenaren die geen sleutelfunctie hebben, worden niet gearchiveerd in een door de organisatie beheerd systeem en/of omgeving.

Uitzonderingen zijn als sleutelfuncties zakelijk converseren met niet-sleutelfuncties, als chatconversaties van niet-sleutelfuncties onder een gebeurtenis vallen die vastgesteld is als Hotspot en als de ambtenaar een formeel zakelijk proces uitvoert dat via chatapplicaties verloopt. Denk aan het informeren van burgers via een WhatsApp-kanaal dat via de website van een overheidsorgaan beschikbaar wordt gesteld. In die gevallen worden berichten van niet-sleutelfuncties ook opgeslagen. Dit is in de regel een handmatig proces.

Vragen over tijdelijke instructie & informatiebeveiliging

De departementale Chief Information Security Officer kan (eventueel in samenwerking met de Beveiligingsambtenaar en Privacy officer), mits gewenst, op basis van een eigen risicoanalyse een uitspraak doen of en op welk niveau van beveiliging voor het archief onder het eigen zorgdragerschap noodzakelijk is, waarbij het uitgangspunt is dat het gehanteerde departementale beveiligingsniveau niet lager is dan het rijksbreed vastgestelde beveiligingsniveau. Het hanteren van een hoger beveiligingsniveau voor (een deel van) een organisatie is altijd mogelijk. Het vastgestelde beveiligingsniveau geeft de noodzaak en mate van screening aan.

Vragen over tijdelijke instructie & Archiefwet

Vanuit de Archiefwet moeten chatberichten die overheidsinformatie bevatten c.q. zijn ontstaan uit en/of tijdens de uitvoering van een overheidstaak in een door de organisatie beheerd systeem en/of omgeving worden gearchiveerd. Dus alle zakelijke chatberichten en -conversaties van bewindspersonen. Privé- en partijpolitieke berichten en conversaties vallen niet onder de reikwijdte van de Archiefwet en hoeven dus niet te worden gearchiveerd.

CIO Rijk/programma Open Overheid gaat in overleg met het Nationaal Archief om na te gaan of we hier een eenmalige procesbeschrijving voor kunnen maken, waarin de gehanteerde kwaliteitscriteria voor dit proces expliciet opgenomen zijn. Dit aangezien het niet-uitvoerbaar is om voor elke keer dat er archivering van deze berichten in een door de organisatie beheerd systeem en/of omgeving plaatsvindt een apart overzicht te genereren. In feite is hier zelfs sprake van vervanging; dit maakt het nog belangrijker om hier een goede verklaring voor op te stellen en een algemeen besluit voor een zorgdrager te nemen.

De conceptmodelselectielijst voor chat op basis van de sleutelfunctiemethodiek wordt begin 2024 opgeleverd door het Nationaal Archief. Op basis van een vervolgonderzoek waarbij de waarde van de informatie van de sleutelfuncties wordt onderzocht en getoetst aan de waardering in de concept model selectielijst wordt deze waar nodig aangescherpt en daarna vastgesteld. Hierna kunnen organisaties aan de slag om de selectielijst voor de eigen organisatie in te vullen.

Vragen over tijdelijke instructie & openbaarmaking

Je doorzoekt per gebruiker één opslaglocatie. Aanbevolen wordt om als de zakelijke chatberichten onder beheer van de organisatie zijn gebracht en gefilterd zijn, deze te gebruiken bij het doorzoeken. Dit om zo min mogelijk risico te lopen om in aanraking te komen met privé- en partijpolitieke informatie. Voor het doorzoeken van chats van gebruikers waarvan de chatconversaties (nog) niet lokaal opgeslagen zijn, spreek je binnen de organisatie één werkwijze af.

Algemene vragen

Wat is de scope van de tijdelijke instructie voor bewindspersonen? Betreft dit alleen bewindspersonen of ook (plaatsvervangend) Secretarissen-Generaal en Directeuren-Generaal?

De tijdelijke instructie en werkzaamheden hebben betrekking op de applicatie WhatsApp, maar hoe zit het met de archivering van berichten uit de applicatie Signal?

Wanneer mogen zakelijke chatberichten worden verwijderd?

Kan aangegeven worden wat de huidige planning is voor de inwerkingtreding van de nieuwe beleidslijn voor chatarchivering die de tijdelijke instructie voor de bewindspersonen gaat vervangen?

Welke frequentie van veiligstelling moet worden gehanteerd voor het veiligstellen van chatberichten en -conversaties?

Hoe bindend is de geadviseerde frequentie van het 4-wekelijks uitlezen van de telefoons?

Vragen over tijdelijke instructie & privacy

Mag veiligstellen van chatberichten en -conversaties wel geredeneerd vanuit de Algemene Verordening Gegevensbescherming (AVG)?

Mag veiligstellen van zakelijke chats wel, het zijn toch mijn berichten?

Mogen privé- en partijpolitieke contacten bij worden gehouden in lijsten (die niet worden veiliggesteld) die bedoeld zijn voor de selectie van zakelijke chatconversaties?

Is toestemming van de eigenaar van de zakelijke telefoon vereist voor de veiligstelling van zakelijke chatconversaties?

Mag het opslaan van de volledige set van chatconversaties inclusief persoonsgegevens in een documentmanagementsysteem (DMS) wel van de AVG?

Met de huidige uitleesmethode wordt de hele chatgeschiedenis uitgelezen. Dus ook chatberichten van voordat bewindspersonen hun functie hadden. Mag dat wel?

Wat gebeurt er met de chats van niet-sleutelfuncties en wat is de impact op hun privacy?

Hoe gaan we om met het begrip 'eigendom' in relatie tot persoonsgegevens in chatberichten en -conversaties? (Zie Kamerstuk 2021-2022, 32 761, nr. 222 Verwerking en bescherming persoonsgegevens.)

Vragen over tijdelijke instructie & informatiebeveiliging

Mag iemand anders dan de gegevenseigenaar de berichten wel zien om te schonen en zo ja wat zijn dan de eisen daaraan (screening e.d. en wat voor screening dan precies)?

Waar mogen chatberichten en -conversaties worden opgeslagen?

Vragen over tijdelijke instructie & Archiefwet

Welke chatberichten en -conversaties komen volgen de Archiefwet in aanmerking voor archivering en welke niet?

Wat wordt precies verstaan onder privé- en partijpolitieke informatie?

Moet er een migratieverklaring of rapportage worden opgeleverd bij elke archiveringsactie?

Moet er nog iets worden geregeld voor de toegang tot de gearchiveerde chatconversaties als de berichteneigenaar niet meer werkzaam is bij de organisatie?

Wanneer wordt de modelselectielijst opgeleverd?

Vragen over tijdelijke instructie & openbaarmaking

Waar gaan de gearchiveerde chatberichten en -conversaties bewaard en beheerd worden, centraal bij een shared service of lokaal bij de ICT-leverancier van het betreffende departement?

Straks heeft de beheerorganisatie op 3 plekken chatberichten en -conversaties beschikbaar. Op de smartphone, in de iCloud en in een door de organisatie beheerd systeem en/of omgeving. Wat doen we als er een Woo-verzoek wordt gedaan? Gaan we dan alles doorzoeken?