In Nederland treedt op 25 mei a.s. de Algemene Verordening Gegevensbescherming (AVG) in werking en vervangt dan de huidige Wet bescherming persoonsgegevens (Wbp). IP is benieuwd hoe bibliotheken, archieven en erfgoedinstellingen zich hierop hebben voorbereid en maakte een rondgang langs betrokkenen.
Door: Raymond Snijders
De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse uitwerking van de Europese richtlijn – de General Data Protection Regulation (GDPR) – die burgers meer zeggenschap geeft over hun eigen persoonlijke data. Dat doet de huidige Wet bescherming persoonsgegevens ook al, maar de AVG versterkt de positie van personen wiens gegevens worden verwerkt aanzienlijk.
Dit betekent vooral dat organisaties die persoonsgegevens verwerken (veel) meer verplichtingen krijgen. De nadruk ligt, veel meer dan nu in de Wbp, op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. In essentie komt het erop neer dat iedereen die persoonsgegevens verwerkt dit inzichtelijk moet maken, daar afspraken over moet maken met alle betrokken partijen en dit duidelijk moet communiceren (en faciliteren) naar hun gebruikers toe.
Vragenrondje
Ook in bibliotheken, archieven en erfgoedinstellingen worden er volop persoonsgegevens verwerkt en dat roept dan ook meteen verschillende vragen op. Zijn ze zich wel voldoende bewust van de noodzaak om met de AVG aan de slag te gaan? Wat is er allemaal gebeurd de afgelopen maanden ter voorbereiding op 25 mei? Kunnen gebruikers of leden straks ook hun recht op inzage, wijziging en verwijdering van hun gegevens uitoefenen? Wat gaan mensen überhaupt merken van de nieuwe privacyregels?
IP stelde die vragen aan een aantal hogeschoolbibliotheken, universiteitsbibliotheken en openbare bibliotheken, maar ook aan diverse branche- en vakverenigingen voor de bibliotheek- en archiefsector. Uit de antwoorden blijkt dat, op zijn zachtst gezegd, de bibliotheken en archieven nog lang niet allemaal klaar zijn voor de nieuwe privacywet.
Bewustwordingsfase
Het is al twee jaar bekend dat de nieuwe privacyregels eraan komen. Het Europese Parlement stemde op 14 april 2016 in met de GDPR en benoemde 25 mei 2018 als de datum waarop de nieuwe wetgeving in alle lidstaten in werking zou gaan treden. De verstrekkende gevolgen voor bibliotheken, archieven en erfgoedinstellingen werden in 2016 echter nog niet onderkend.
Pas in 2017 begonnen de branche- en vakverenigingen met de eerste voorlichtingsbijeenkomsten, waarin duidelijk werd dat ook de bibliotheken aan zet waren. Met behulp van landelijke bijeenkomsten en cursussen, zoals de GO-cursus Bibliotheek en privacy, konden bibliotheken aan de slag met de eisen die er vanuit de nieuwe wetgeving aan ze gesteld zouden gaan worden.
Uit de rondgang blijkt evenwel dat een (groot) aantal bibliotheken en archieven één maand voordat de AVG in werking treedt nog steeds in deze bewustwordingsfase verkeert. De instellingen zijn nu pas aan het inventariseren in welke processen ze allemaal persoonsgegevens verwerken. Dit geldt voor diverse openbare bibliotheken, universiteits- en hogeschoolbibliotheken, maar ook voor de archieven.
De Koninklijke Vereniging van Archivarissen in Nederland (KVAN) en de Branchevereniging Archiefinstellingen Nederland (BRAIN) constateren dat er geen kant-en-klare antwoorden bestaan in de afwegingen tussen een maximale openbaarheid van hun collecties en het zorgvuldig omgaan met de vele persoonsgegevens. KVAN/BRAIN en het Nationaal Archief hebben daarom een leergang Privacy en Archieven geïnitieerd, die vooral draait om casussen uit de praktijk van instellingen. Door die casuïstiek te presenteren, publiceren en bespreken kunnen archiefprofessionals de komende jaren leren hoe zij Archiefwet en AVG kunnen combineren.
Onbekend is of erfgoedinstellingen het op een vergelijkbare manier aanpakken. Er reageerde geen organisatie uit de erfgoedsector op de oproep, maar er is wel een handleiding Succesvol beheer van privacy-en informatievoorschriften in kleine musea beschikbaar. Deze handleiding, gepubliceerd door Erfgoedhuis Zuid-Holland, is specifiek bedoeld om de AVG in erfgoedinstellingen toe te kunnen passen.
Wie gaat ermee aan de slag?
Het blijkt wel verschil te maken of je als bibliotheek onderdeel bent van een grotere organisatie of dat je zélf verantwoordelijk bent voor het naleven van de wet- en regelgeving. Meerdere hogeschool- en universiteitsbibliotheken geven aan dat de onderwijs- en onderzoeksinstellingen waartoe ze behoren weliswaar privacy-officers en functionarissen voor de gegevensbescherming hebben, maar dat de processen van de bibliotheken nauwelijks of niet in beeld zijn binnen de organisatie. De focus ligt – begrijpelijk ook – op studenten- en personeelsadministraties, leeromgevingen en andere bedrijfskritische processen en systemen. De processen van de bibliotheken moeten kennelijk worden doorgelicht door de medewerkers zelf.
‘Er is te laat begonnen met de voorbereidingen. Het is wel aangekaart bij de security manager, maar wat de AVG voor de bibliotheek moet betekenen is niet duidelijk en de instelling geeft prioriteit aan de impact op de grote systemen.’ (Universiteitsbibliotheek Universiteit Utrecht)
Bij de bibliotheken die als zelfstandige organisatie zelf de verantwoordelijk dragen, ligt de focus vooral op de ‘hoofdlijnen’: het aanleggen van het in de AVG verplichte verwerkingsregister – waarin organisaties alle verwerkingen van persoonsgegevens dienen te registreren – en het benoemen van privacy- en security officers en Functionarissen voor de Gegevensbescherming naar wie verwezen kan worden. De Vereniging van Openbare Bibliotheken (VOB) constateert in een handreiking Algemene Verordening Gegevensbescherming dat bibliotheken en Provinciale Ondersteuningsinstellingen (POI’s) geen Functionaris voor de Gegevensbescherming nodig hebben, maar adviseert wel om de taken ervan te beleggen binnen de eigen organisatie. Voor inhoudelijke ondersteuning verwijst de VOB naar de POI’s, die overigens ook weer onderling sterk verschillen in wat ze aan ondersteuning bieden.
Of dit ook betekent dat alle openbare bibliotheken met de AVG aan de slag zijn gegaan, is twijfelachtig. Gelukkig zijn er ook al positieve berichten te melden.
‘Er wordt gewerkt aan bewustwording bij de medewerkers, het opstellen van een verwerkingsregister en het opstellen van verwerkersovereenkomsten met derden. Ook wordt het wachtwoordenbeleid aangescherpt en worden autorisaties om gegevens in te zien onder de loep genomen. Er worden aanpassingen gerealiseerd in onze IT-omgeving die “AVG-bestendig” zouden moeten zijn.’ (Bibliotheek Noordwest Veluwe)
Verwerkersovereenkomsten
Over één ding is iedereen het eens: er zijn verwerkersovereenkomsten nodig. Heel veel verwerkersovereenkomsten. Bibliotheken, archieven en erfgoedinstellingen hebben namelijk zonder uitzondering te maken met leveranciers van administratieve systemen en databanken waarin ook persoonsgegevens verwerkt worden.
Er moeten duidelijke afspraken gemaakt worden met al die leveranciers, aangezien de bibliotheken zelf aansprakelijk zijn als hun leveranciers niet correct omgaan met persoonsgegevens. In een verwerkersovereenkomst wordt dus vastgelegd dat de leverancier voldoet aan de eisen die in de AVG genoemd worden voor onder meer de opslag en verwijdering van persoonsgegevens. Bij een eventuele datalek is de leverancier dan ook mede-verantwoordelijk en aansprakelijk.
Maar het afsluiten van verwerkersovereenkomsten is nieuw voor zowel bibliotheken als juristen. Het blijkt nog helemaal niet zo eenvoudig te zijn om vast te stellen wanneer zo’n overeenkomst verplicht is. Laat staan welke afdeling binnen een organisatie die overeenkomsten met de leveranciers gaat afsluiten.
‘Er is geïnventariseerd bij welke contracten/licenties er een verwerkersovereenkomst afgesloten moet gaan worden. Wie dit uiteindelijk gaat doen is onduidelijk. De afdeling Inkoop?’ (Bibliotheek Avans Hogeschool)
Bij de ene bibliotheek wordt alleen gekeken naar de leverancier van het eigen bibliotheeksysteem, terwijl bij andere bibliotheken alle leveranciers van databanken ook op de lijst staan voor het afsluiten van een verwerkersovereenkomst. Welke criteria bepalend zijn, daar verschillen juristen en brancheverenigingen (sterk) van mening over. Het lijkt een veilige conclusie dat per 25 mei niet alle verwerkersovereenkomsten correct zullen zijn afgesloten.
Recht op inzage, wijziging of verwijdering
Iedereen heeft onder de Wbp recht op inzage in de eigen persoonsgegevens (en om die te kunnen aanpassen en verwijderen), maar in de AVG worden deze rechten versterkt. Het moet nu ook expliciet gefaciliteerd worden, zodat het een vanzelfsprekendheid wordt dat dit kan gebeuren in plaats van het als een uitzonderingssituatie te behandelen.
Voor bibliotheken, archieven en erfgoedinstellingen blijkt ook dit nog een hele kluif te zijn. De meeste instellingen komen niet verder dan een eenvoudige procedure op te stellen, waarbij gebruikers of leden een aanvraag kunnen indienen om hun gegevens in te zien of aan te passen. Met het voornemen erbij om deze procedure onder de aandacht te gaan brengen.
‘Betrokkenen mogen een verzoek doen tot inzage, wijziging of verwijdering van hun gegevens. Dit verzoek zal binnen 30 dagen en zonder kosten worden afgehandeld.’ (Bibliotheek Noordwest Veluwe)
Natuurlijk is een verzoek mogen doen iets anders dan het uitoefenen van je recht. Een enkele bibliotheek heeft in kaart gebracht welke persoonsgegevens minimaal vereist zijn voor de eigen werkprocessen, blijkt uit de rondgang. Maar niemand lijkt ervoor klaar te zijn dat een klant daadwerkelijk zijn persoonsgegevens kan wijzigen of verwijderen. Met het simpelweg afwijzen van zo’n verzoek kan in elk geval niet volstaan worden.
De klant centraal?
De reden dat de AVG ingevoerd wordt, is om burgers meer zeggenschap, meer transparantie te bieden als het gaat om hun eigen persoonsgegevens. Desondanks blijkt uit de rondgang van IP dat de voorbereidingen, daar waar ze al hebben plaatsgevonden, zich vooral toespitsen op de eigen bedrijfsprocessen en medewerkers. De gebruikers zijn nauwelijks in beeld.
‘Voor de biebgebruikers zal er niet zoveel verschil te merken zijn.’ (Arq-bibliotheek)
Slechts één bibliotheek – de Koninklijke Bibliotheek – belooft om via privacyverklaringen op de website vooraf duidelijk te maken aan gebruikers hoe ze als bibliotheek omgaat met de persoonsgegevens. En waar gebruikers terecht kunnen voor hun vragen en wensen over privacy en hun eigen gegevens.
Het begin is er
Voldoen aan zowel de letter als de geest van de nieuwe privacywet is geen sinecure. Er moet gekeken worden waar en hoe je als organisatie persoonsgegevens in je processen en dienstverlening gebruikt. Alle overtollige gegevens moeten vervolgens verwijderd worden uit de systemen. Alle verwerkingen die wel nodig zijn dienen geregistreerd te worden in een verwerkingsregister. Met alle andere partijen die de gegevens van jouw gebruikers verwerken moeten verwerkersovereenkomsten afgesloten worden. En dat dient tenslotte ook nog allemaal zichtbaar gemaakt en gecommuniceerd te worden met je gebruikers zodat ze weten hoe het met hun privacy is gesteld.
De deadline van 25 mei is in zicht. Hoewel er zeker veel stappen in de goede richting zijn gezet, maakt de rondgang duidelijk dat het echte werk om aan de AVG te voldoen nu pas begint. Het wachten is op de eerste kritische vragen van gebruikers en de mogelijkheid om ervaringen uit de praktijk met elkaar te delen. Het kon nog wel eens jaren gaan duren voordat de AVG onderdeel uitmaakt van het DNA van bibliotheken, archieven en erfgoedinstellingen.
Raymond Snijders is senior informatiebemiddelaar bij Hogeschool Windesheim.
Deze bijdrage komt uit IP nr. 4 / 2018. Het gehele nummer kun je hier lezen.