één jaar AVG privacy

Is er meer aandacht voor privacy na één jaar AVG?

Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. IP maakte toen een rondgang langs bibliotheken, archieven en erfgoedinstellingen om te zien hoe deze zich hierop hadden voorbereid. Nu, een jaar later, blijken er nog steeds heel veel vragen te zijn over de verwerking en bescherming van persoonsgegevens.

Voor wie het alweer vergeten was: de Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse uitwerking van de Europese richtlijn – de General Data Protection Regulation (GDPR) – die burgers meer zeggenschap geeft over hun eigen persoonlijke data.

Deze ‘Europese wet’ (wettekst in PDF formaat) is op 25 mei 2018 in werking getreden, samen met de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG – wettekst in PDF formaat) die specifiek voor de Nederlandse situatie een gedetailleerde invulling geeft aan de AVG. Hierbij moet je denken aan het formeel intrekken van de (vorige) Wet bescherming persoonsgegevens, het instellen van de Autoriteit Persoonsgegevens als toezichthouder maar ook het benoemen van Nederlandse uitzonderingen op het niet mogen verwerken van bijzondere persoonsgegevens.

Belangrijkste bepalingen van (U)AVG

Met 99 artikelen in de AVG en 54 artikelen in de UAVG kun je gerust spreken van een uitgebreide en complexe privacywetgeving waarin veel details geregeld zijn. Je kunt echter op hoofdlijnen wel de belangrijkste bepalingen redelijk eenvoudig samenvatten:

  • Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor degene van wie de persoonsgegevens verwerkt worden moet het transparant zijn hoe en waarom de persoonsgegevens verwerkt worden. Deze persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel dat vooraf uitdrukkelijk moet zijn omschreven.
  • Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking.
  • Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij als uitgangspunt hanteren dat er niet meer gegevens verzameld en verwerkt worden dan strikt noodzakelijk is om het doel te bereiken waarvoor ze verwerkt worden. De verwerkende organisatie of persoon moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd.
  • De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

Eén jaar AVG

Tijdens de behandeling van het voorstel voor de UAVG beloofde Sander Dekker, minister voor Rechtsbescherming, vorig jaar de ervaringen met betrekking tot de nieuwe privacywetgeving te gaan inventariseren. Begin april 2019 verstuurde hij een brief naar de Tweede Kamer met het resultaat van deze inventarisatie. Volgens Dekker leven er nog steeds veel vragen over hoe de AVG en UAVG uitgelegd moeten worden en is er daarom een blijvende behoefte aan goede voorlichting en ondersteuning. In die behoefte wordt volgens de minister al grotendeels voorzien door de voorlichting die de Autoriteit Persoonsgegevens verstrekt, door koepel-, branche- en vakorganisaties maar ook door voorzieningen als een AVG helpdesk Zorg, Welzijn & Sport zoals het ministerie van VWS heeft ingericht.

Desondanks blijkt uit de inventarisatie dat er zorgen zijn over de ruimte die nog gegeven wordt om persoonsgegevens te mogen verwerken, zoals het plaatsen van foto’s op de websites van sportclubs. Dekker stelt dat er vaak meer ruimte is om dit te doen dan aangenomen wordt en dat het eveneens een kwestie van voorlichting is om niet alleen de beperkingen maar ook de mogelijkheden van de wetgeving duidelijk te maken.

Een ander punt dat naar voren komt is dat organisaties behoefte hebben aan meer duidelijkheid of men in specifieke gevallen de (U)AVG goed naleeft en of de eigen interpretatie dus wel de juiste is. Hiervoor verwijst de minister naar de mogelijkheid om (als sector of branche) een gedragscode op te stellen en deze te laten goedkeuren door de Autoriteit Persoonsgegevens.

Rondje langs de velden

Maar hoe zit het dan met de voorlichting die door de branche- of vakorganisaties gegeven wordt aan bibliotheken, archieven en erfgoedinstellingen? Wat is er bij deze informatie-instellingen gebeurd op het gebied van de implementatie van de nieuwe privacyregels? Zijn er knelpunten en onbeantwoorde vragen?

IP stelde die vragen aan een aantal bibliotheken, maar ook aan diverse branche- en vakverenigingen voor de bibliotheek- en archiefsector. Uit de antwoorden blijkt dat er, ook bij bibliotheken en archieven, nog veel vragen zijn over hoe er in de praktijk met de privacyregels omgegaan dient te worden.

De Koninklijke Vereniging van Archivarissen in Nederland (KVAN) en de Branchevereniging Archiefinstellingen Nederland (BRAIN) constateren dat er een grijs gebied is tussen de Archiefwet en de AVG. De Archiefwet levert een verplichting op om te bewaren maar aangezien er geen archieven zijn zonder persoonsgegevens botst dat met de AVG. In de AVG wordt weliswaar (in artikel 89) een uitzondering gemaakt voor ‘archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden’ maar is de verwerking onderworpen aan ‘passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene’. En over wat die passende waarborgen zijn wordt nog steeds veel gediscussieerd.

Beide verenigingen hebben samen een werkgroep AVG in het leven geroepen om dit soort vraagstukken te adresseren. De werkgroep houdt zich thans bezig met het maken van een een model privacy impact analyse (PIA) op de gezinskaarten van het bevolkingsregister 1920-1939. Deze zijn de afgelopen twintig jaar op grote schaal online gezet als veelgevraagde bron voor familie- en andere geschiedvorsers. Maar ze bevatten ook een bijzonder persoonsgegeven, de religie, van soms nog levende personen. Er wordt uitgezocht welke maatregelen er genomen moeten en kunnen worden om aan de AVG te voldoen. Het model moet een hulpmiddel voor archiefinstellingen worden, ook voor andere archieven met persoonsgegevens. Er is ook regelmatig overleg met de Autoriteit Persoonsgegevens.

Ook ontwikkelt de werkgroep AVG een richtlijn voor het zowel AVG- als Archiefwet-proof inrichten van je informatiehuishouding, zodat alle archiefbestanden vanaf hun ontstaan aan allebei voldoen. Alle casussen en vragen worden ook nog eens actief gedeeld via de website van het (openbare) Kennisnetwerk Informatie en Archief.

De Vereniging van Openbare Bibliotheken (VOB) verwijst naar de Provinciale Ondersteuningsinstellingen (POI’s) voor inhoudelijke ondersteuning op privacygebied. Door de negen POI’s is een werkgroep samengesteld die ervaringen deelt en kwesties uit de praktijk in gezamenlijkheid oppakt. De individuele POI’s hebben elk eigen vormen van ondersteuning van de bibliotheken in hun werkgebied, uiteenlopend van een privacyservicedesk tot het organiseren van bijeenkomsten over privacygerelateerde onderwerpen.

In een handreiking op de eigen website verwijst de VOB overigens wel naar de ‘Bibliotheek en privacy’-handreiking van de FOBID uit 2007. Deze zou geactualiseerd gaan worden naar aanleiding van de inwerkingtreding van de AVG, maar dit lijkt vooralsnog niet gebeurd te zijn.

De Koninklijke Bibliotheek heeft het afgelopen jaar de eigen processen en procedures nagelopen en aangepast. Er is een ‘AVG in 10 stappen’-project uitgevoerd, een Functionaris gegevensbescherming (FG) is benoemd en er zijn modellen voor verwerkersovereenkomsten en PIA’s opgesteld. Op de website van de KB staat uitgebreid vermeld hoe er met persoonsgegevens omgegaan wordt en gebruikers kunnen eenvoudig verzoeken indienen om hun persoonsgegevens in te zien, te wijzigen of te verwijderen.

Er zijn het afgelopen jaar ook een beperkt aantal verzoeken tot het verwijderen van persoonsgegevens binnengekomen met betrekking tot de vermelding ervan in Delpher en de Digitale Bibliotheek voor de Nederlandse Letteren (DBNL), aldus de FG van de KB. Aangezien er echter een uitzondering in de (U)AVG is opgenomen voor journalistieke doeleinden, waarbij de KB expliciet in de Memorie van Toelichting van de UAVG als voorbeeld wordt genoemd, is het recht tot verwijdering niet van toepassing. Daarom neemt de KB deze verzoeken niet in behandeling.

Veel aandacht is uitgegaan naar bewustwording binnen de eigen organisatie met een loket waar vragen gesteld kunnen worden, spreekuren om dieper op bepaalde vragen in te kunnen gaan en een elearningmodule om de basiskennis over privacy te verhogen. De Koninklijke Bibliotheek legt daarmee de nadruk op permanente voorlichting zodat in processen en systemen steeds vooraf nagedacht wordt over de verwerking van persoonsgegevens.

Hoewel hogescholen en universiteiten (en daarmee de hogeschool- en universiteitsbibliotheken) elk een eigen beleid voeren, heeft SURF – als organisatie waarin hoger onderwijsinstellingen met elkaar samenwerken – het afgelopen jaar ‘AVG-ondersteuning’ geboden aan de instellingen. Er zijn onder andere modellen voor verwerkersovereenkomsten en impactassessment ontwikkeld, een model privacybeleid en een stappenplan meldplicht datalekken. Alles wordt hierbij beschikbaar gemaakt via de SURF-website.

Daarnaast ziet SURF ook het belang in van het delen van kennis en ervaringen. Er is een wiki gemaakt met informatie over de verschillende aspecten van de AVG, er worden regelmatig kennissessies georganiseerd en er is een trainingsmodule Privacy ontwikkeld. Informatiebeveiligers en privacy officers in het hoger onderwijs werken samen, en delen ervaringen uit, in een werkgroep SCIPR (SURF Community voor Informatiebeveiliging en PRivacy).

Een van de onderwerpen die binnen hogescholen en universiteiten nu speelt is het voorlichten van onderzoekers over de gevolgen van de AVG voor hun onderzoek. Van het maken van duidelijke afspraken vooraf over het verzamelen van persoonsgegevens en het maken van een impact assessment tot het veilig opslaan, archiveren en verwijderen van persoonsgegevens na afloop van het onderzoek. Eén jaar na de invoering van de AVG begint nu pas een beetje duidelijk te worden wat er allemaal geregeld en gefaciliteerd moet worden om ervoor te zorgen dat aan de wetgeving voldaan wordt.

Voorbeeld van een gespecialiseerde bibliotheek: Dedicon

Dedicon is producent en distributeur voor de landelijke dienst van aangepast lezen. Aangepast lezen is een van de stelseltaken die KB uitvoert en behelst het ontwikkelen en in stand houden van een bibliotheekdienst voor mensen met een leesbeperking. Bibliotheekklanten met een leesbeperking doen hun bestellingen bij het landelijke servicepunt van BPL (Bibliotheekservice Passend Lezen) waar zij zich identificeren en inschrijven. Bestellingen uit de catalogus worden doorgegeven aan Dedicon met inbegrip van de NAW gegevens van de klant. Daarnaast is Dedicon ook producent, distributeur en direct verantwoordelijke voor studie en vakmaterialen in aangepast leesvormen.

In termen van de AVG is Dedicon dus zowel gegevensverwerker (voor BPL) als gegevensverantwoordelijke voor de educatieve (school-)boeken. Uiteraard is er een gegevensbewerkers overeenkomst tussen BPL en Dedicon opgesteld en is ook besloten dat het bibliotheeksysteem (ILS) dat voorheen bij Dedicon draaide, aan BPL wordt overgedragen.  Op deze manier zijn de persoonsgegevens waaronder het speciale gegeven van handicap exclusief in handen bij de verantwoordelijk BPL.

Dedicon heeft van KB ook de specifieke opdracht de producten en diensten van aangepast lezen te innoveren. Daarvoor is klantgericht onderzoek nodig. Het wel of niet mogen benaderen van de klanten van BPL die de producten van Dedicon ontvangen, levert hoofdbrekens op waarvoor ook juridisch advies is ingeroepen. De huidige inzichten rond de toepassing van de AVG in deze specifieke “keten“-situatie leiden er toe dat per klantonderzoek of verzoek tot aanmelding voor een testpanel een expliciete toestemming van de klant nodig is.

Dedicon doet jaarlijks al gauw meer dan tien projecten of onderzoeken waarbij de mening van de BPL-klant onontbeerlijk is. Overvragen van de klant, – de klantengroep is relatief klein,-  ook op het gebied van privacy-toestemming ligt op de loer. Het uitzoeken van een AVG conforme werkwijze heeft  aantoonbaar geleid tot vertraging in het uitvoeren van de onderzoeken. Een oplossing lijkt nu gevonden te worden door in de toekomst de klant in de gelegenheid te stellen een vinkje te zetten in de mijnbieb-omgeving van de BPL website voor het wel of niet benaderd te mogen worden door Dedicon voor onderzoeksdoeleinden. Ook wordt nagedacht over toegang voor Dedicon tot een geanonimiseerde databank van uitleengegevens waarop analyses kunnen worden gedaan omtrent uitleen-aantallen en populariteit van titels.

De AVG is nu bijna een jaar oud en sommige werkwijzen tussen BPL en Dedicon moeten in de praktijk nog worden uitgewerkt, maar een heldere verdeling tussen verantwoordelijke (BPL) en verwerker (Dedicon) is binnen handbereik. (tekst: Koen Krikhaar, Dedicon)

Nog lang niet klaar

De komst van de AVG en UAVG heeft het afgelopen jaar overduidelijk tot veel aandacht voor de bescherming van persoonsgegevens geleid. Het is een van de conclusies van minister Dekker naar aanleiding van de inventarisatie en het is ook duidelijk af te leiden uit het rondje langs de branche- en vakorganisaties.

De (U)AVG is geen wetgeving die precies dicteert wat er in welke specifieke situatie geregeld moet gaan worden, maar is een algemene verplichting voor iedereen die persoonsgegevens verwerkt om zorgvuldig om te gaan met de belangen van betrokkenen.

Dat kan alleen door kennis en ervaringen uit te wisselen en gezamenlijk antwoorden te zoeken op soms lastige kwesties uit de praktijk. Het is niet voor niets dat de branche- en vakorganisaties allemaal met spreekuren, communities, werkgroepen, vraagbakens of servicedesks aan de slag zijn gegaan.

De behoefte aan uitwisseling van kennis, voorlichting en uitleg zal voorlopig wel blijven bestaan want één ding is zeker na één jaar AVG: bibliotheken, archieven en erfgoedinstellingen zijn nog lang niet klaar met het onderwerp privacy.

Dit artikel is ook gepubliceerd in IP 4 (2019). Afbeelding uit header via Pixabay en gebruikt onder een Pixabay licentie.

#

Raymond Snijders

Sinds 1995 houdt Raymond zich bezig met de combinatie van ICT, bibliotheken en onderwijs vanuit het perspectief van (vooral) de bibliotheek en informatievoorziening. Thans is hij werkzaam bij de Hogeschool Windesheim als senior informatiebemiddelaar en houdt hij zich bezig met de digitale bibliotheek, contentlicenties, ebooks en auteursrecht. Over deze onderwerpen en de impact die ze (kunnen) hebben op het onderwijs en bibliotheken blogt hij sinds 2006 op zijn Vakblog. In 2013 won hij de Victorine van Schaickprijs voor zijn blog.

Comments (3) Write a comment

Leave a Reply

Required fields are marked *.


This site uses Akismet to reduce spam. Learn how your comment data is processed.

  • © 2006- 2019 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top