In Nederland treedt de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 in werking en vervangt dan de huidige Wet bescherming persoonsgegevens (Wbp). Wat betekent dit voor bibliotheken, archieven en erfgoedinstellingen? Hoe kunnen ze zich voorbereiden op de AVG?
Door: Raymond Snijders
De General Data Protection Regulation1 (GDPR) is op het gebied van privacywetgeving de grootste verandering in de Europese privacywetgeving in ruim twintig jaar. De Europese Unie wil burgers meer zeggenschap geven over hun eigen persoonlijke data en stelde daarom een nieuwe, strengere richtlijn op die vanaf volgend jaar in alle Europese lidstaten van kracht wordt.
In Nederland treedt de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 in werking en vervangt dan de huidige Wet bescherming persoonsgegevens (Wbp). Enerzijds versterkt de AVG de positie van personen wiens gegevens worden verwerkt met nieuwe privacyrechten en anderzijds krijgen organisaties die persoonsgegevens verwerken meer verplichtingen. De nadruk ligt, veel meer dan nu, op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.
De Autoriteit Persoonsgegevens ziet in ons land toe op de naleving van de privacywetgeving. Hoewel de AVG pas volgend jaar van toepassing is, begint de Autoriteit Persoonsgegevens nu al met de voorlichting.2 Ook bibliotheken, archieven en erfgoedinstellingen zullen op tijd moeten beginnen met controleren en aanpassen van hun systemen en werkwijzen.
Toestemming vragen
De toestemming van gebruikers wordt belangrijker in de AVG. Er moet expliciet toestemming gegeven worden voor bijvoorbeeld het opnemen van gegevens in de ledenadministraties. Hierbij moet ook uitgelegd worden wat toestemming precies betekent zodat een gebruiker weet wat er met zijn of haar gegevens gedaan wordt. Bibliotheken en alle andere organisaties moeten kunnen bewijzen dat ze geldige toestemming hebben gekregen. Vanzelfsprekend moet de eerder gegeven toestemming ook weer eenvoudig ingetrokken kunnen worden.
Privacy by default en by design
Welke gegevens mag je als bibliotheek of archief van een gebruiker vragen? Dat betreft alleen die gegevens die nodig zijn om gebruik te kunnen maken van je diensten. Daarnaast moet de gebruiker weten welke gegevens verzameld worden, waarvoor dat nodig is en of er ook diensten afgenomen kunnen worden als bepaalde gegevens niet verstrekt worden. Kortom, elke bibliotheek en elke organisatie zal moeten aantonen dat ze het absolute minimum aan persoonsgegevens verzamelen voor specifieke doeleinden (privacy by default). Later bedenken dat die gegevens ook handig zijn voor een nieuw doel, zoals een mailinglijst bijvoorbeeld, mag dus niet. Bij het ontwerpen van producten en diensten moet daarom de bescherming van persoonsgegevens ‘ingebouwd’ worden (privacy by design) zodat dit ook geborgd is.
Recht op inzage, wijziging of verwijdering
Gebruikers hebben ook onder de Wbp al recht op inzage in hun persoonsgegevens (en om die te kunnen aanpassen en verwijderen) maar in de AVG worden deze rechten versterkt. Organisaties moeten gebruikers faciliteren in het kunnen inzien, corrigeren of verwijderen van (delen van) hun persoonsgegevens. Daarnaast moeten ze inzicht geven in de wijze waarop er omgegaan wordt met deze gegevens.
Dit betekent dat gebruikers moeten kunnen vragen met welke gegevens ze in de systemen van bibliotheken staan, wat er allemaal nog meer bewaard wordt in combinatie met die gegevens (de leengeschiedenis?) en dat desgewenst gegevens aangepast of verwijderd worden. Dit moet eenvoudig en kosteloos geregeld worden door bibliotheken en alle andere organisaties.
Veilig bewaren en gebruiken
Persoonsgegevens mogen niet langer dan strikt noodzakelijk worden bewaard. Dat klinkt logisch maar in de praktijk worden gegevens vaak langer opgeslagen dan nodig is omdat iemand ze handmatig moet verwijderen. Of nog erger, omdat die gegevens later gebruikt worden om bijvoorbeeld oud-leden aan te schrijven voor een reclamecampagne.
Het gaat ook niet alleen om gegevens in de lenersadministratie. Ook ogenschijnlijke ‘triviale’ verwerkingen zoals die voor de personeelsadministratie, het interne smoelenboek of een nieuwsbrief moeten gedocumenteerd en weer tijdig verwijderd worden als het niet meer van toepassing is.
De gegevens moeten daarnaast veilig worden opgeslagen. Niet elke medewerker kan en mag inzage hebben in alle gegevens van een lener en er moet gekeken worden om dit zo anoniem mogelijk te maken in de systemen. Een voorbeeld kan zijn om te werken met een lenersnummer zodat niet de persoonsgegevens zelf op de bonnetjes van uitleenautomaten te zien zijn.
Bewerkersovereenkomsten
Nu worden lang niet alle persoonsgegevens van gebruikers in eigen systemen verwerkt en opgeslagen. Bibliotheken, archieven en andere instellingen hebben vaak te maken met leveranciers van administratieve systemen. Er moeten goede afspraken gemaakt worden met die leveranciers aangezien uiteindelijk de instellingen zelf aansprakelijk zijn als leveranciers niet correct omgaan met persoonsgegevens. Deze afspraken moeten vastgelegd worden in een bewerkersovereenkomst waarbij dus de leverancier moet aantonen dat hij voldoet aan de eisen die in de AVG genoemd worden.
Overigens geldt dit niet alleen voor administratieve systemen maar is het ook van toepassing op een deel van de digitale informatiebronnen die door de bibliotheken aangeboden worden. Als deze een (profiel)functionaliteit hebben voor bijvoorbeeld gepersonaliseerd zoeken, dan is de kans groot dat ze onder de regels van de AVG vallen en zullen bibliotheken ook met deze leveranciers bewerkersovereenkomsten moeten afsluiten.
Wat als het fout gaat?
Als het onverhoopt toch fout gaat en gevoelige gegevens uitlekken, dan hangt het van de ernst van het geval af wat er moet gebeuren. Sowieso moeten alle incidenten geregistreerd worden, maar liggen de gevoelige persoonsgegevens van gebruikers echt op straat? Dan moet dat gemeld worden aan de Autoriteit Persoonsgegevens. Als de instelling niet kan aantonen dat het de zaken op orde heeft, ligt een potentiële boete van maximaal 20 miljoen euro in het vooruitzicht.
Zo heet zal die soep niet gegeten worden, vermoed ik. De AVG benadrukt het informeren en faciliteren van gebruikers over hun rechten (informatieplicht). Zolang een bibliotheek, archief of brancheorganisatie kan aantonen serieus bezig te zijn met de privacy van haar gebruikers, zal het met de boetes wel meevallen.
Een van de manieren om aan te tonen dat dit onderwerp serieus genomen wordt, is het vrijwillig aanstellen van een functionaris voor de gegevensbescherming (FG). Het wordt wettelijk verplicht door de AVG voor organisaties die op grote schaal persoonsgegevens verwerken maar het is ook een prima manier om kritisch naar je huidige processen te kijken en vast te stellen hoe er aan de AVG voldaan kan worden.
Noten
1 EUR-Lex (2016, september). Verordening (EU) 2016/679 van het Europees Parlement en de Raad. Geraadpleegd op 5 augustus 2017, van goo.gl/WGzL6i.
2 Autoriteit Persoonsgegevens (2017, april). Voorbereiding op de AVG. Geraadpleegd op 5 augustus 2017, van goo.gl/AJUiNo.
Raymond Snijders is senior informatiebemiddelaar bij Hogeschool Windesheim.
Het recht van de gebruiker
Hoe zullen gebruikers met hun nieuwe privacyrechten omgaan? Dat gaan we volgend jaar pas echt merken, maar eerder dit jaar vroeg een gebruiker al om zijn geboortedatum te verwijderen uit het bibliotheeksysteem waar hij ingeschreven stond. Om gebruik te maken van de dienstverlening hoeft de bibliotheek immers alleen maar te weten of hij ouder danwel jonger is dan achttien jaar. Bibliotheken en archieven zullen volgend jaar met een duidelijk antwoord moeten komen op deze vraag.
Deze bijdrage komt uit IP nr. 6 / 2017. Het gehele nummer kun je hier lezen.