Juridische kwesties: privacy by design in bibliotheken

Esther Valent, senior informatiemedewerker bij Bibliotheek Kennemerwaard stelt De vraag: In openbare bibliotheken gebeurt het steeds meer dat bezoekers persoonlijke gegevens inzien en printen. Collega’s helpen groepjes via Digisterker met het aanmaken van een DigiD en het opzoeken van overheidsinformatie voor hun persoonlijke situatie. Bezoekers vragen daarbij om hulp bij het opzoeken en printen van bijvoorbeeld bankgegevens en gegevens uit ‘Mijn UWV’. Stel dat er iets fout gaat bij het verwerken van gegevens, al dan niet buiten de schuld van de individuele bibliotheekmedewerker? Wat zijn dan de consequenties voor medewerker en bibliotheek? En aan welke eisen moet de ict-omgeving (beveiliging) van de bibliotheek in dit geval voldoen?

Raymond Snijders antwoordt: In het regeerakkoord van het kabinet Rutte II is afgesproken dat uiterlijk in 2017 burgers en bedrijven hun zaken met de overheid digitaal kunnen afhandelen. Er zijn echter grote groepen in de samenleving die moeite hebben met het omgaan met de e-overheid – het aantal functioneel digibeten wordt op meer dan een miljoen geschat – en het Digisterker-programma is een van de initiatieven die deze groepen moet ondersteunen. In veel gemeenten zijn het de openbare bibliotheken die Digisterker-cursussen aanbieden aan burgers.

Op 18 februari kondigden de Koninklijke Bibliotheek, de Belastingdienst en de openbare bibliotheken een samenwerking aan om deze ondersteuning bij alle 800 vestigingen van de openbare bibliotheken in Nederland te gaan bieden. Overal zal gratis toegang komen tot computers met internet en printfaciliteiten en zullen cursussen georganiseerd worden om mensen te leren hoe ze digitaal zaken kunnen doen met de overheid.

Dit vraagt het een en ander van zowel bibliotheken als medewerkers. Behalve de vereiste kennis om burgers te kunnen adviseren gaat het vooral om het waarborgen van de privacy van cursisten. Je hebt immers te maken met gevoelige informatie en persoonsgegevens van mensen die de vaardigheden missen om zichzelf te beschermen tegen inbreuken.

Je zou verwachten dat bibliotheken en medewerkers aan allerlei wettelijke eisen zouden moeten voldoen, maar dat is niet per se het geval. De relevante wet hier is degene die specifiek over (het verwerken van) persoonsgegevens gaat: de Wet Bescherming Persoonsgegevens (Wbp). Hoewel de Wbp strenge criteria stelt aan het verzamelen en verder gebruiken (‘verwerken’) van persoonsgegevens, is de wet niet van toepassing bij het helpen van mensen tijdens het raadplegen en uitprinten van hun eigen persoonsgegevens.

De definitie van verwerken in de Wbp is weliswaar een heel brede, maar de wet is gericht op organisaties die deze gegevens geautomatiseerd verwerken in hun eigen systemen voor eigen doeleinden. In de bibliotheken vragen de cursisten zelf hun gegevens op en hebben volledig zeggenschap over wat er met hun persoonsgegevens gebeurt.

Bibliotheken zullen echter wel maatregelen moeten nemen om de privacy van cursisten te waarborgen door bij het ontwikkelen van de cursussen ervoor te zorgen dat persoonsgegevens worden beschermd.* Dit heet privacy by design. Hierbij kun je denken aan een afgeschermde cursusruimte met een eigen veilig(er) en virusvrij netwerk, inclusief printfaciliteiten die niet voor andere bezoekers en medewerkers toegankelijk zijn. Maar ook aan een gedragsprotocol voor bibliotheekmedewerkers, waarin duidelijke afspraken staan over hoe om te gaan met de privacy van cursisten. Hierbij ligt het voor de hand om dat middels zelfregulering centraal af te spreken, zodat dit bij alle vestigingen op een gelijke manier toegepast kan worden.

*Over digitale privacy schreef Frank Huysmans in IP 7 (2015), terwijl Marcus Bergsma in IP 6 (2015) een artikel publiceerde over veilig internetgebruik.

Raymond Snijders is senior informatiebemiddelaar bij Hogeschool Windesheim.

Deze bijdrage komt uit IP nr. 2 / 2016. Het gehele nummer kun je hier lezen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *