Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. IP maakte toen een rondgang langs bibliotheken, archieven en erfgoedinstellingen om te zien hoe deze zich hierop hadden voorbereid. Nu, een jaar later, blijken er nog steeds heel veel vragen te zijn over de verwerking en bescherming van persoonsgegevens.
Voor wie het alweer vergeten was: de Algemene
Verordening Gegevensbescherming (AVG) is de Nederlandse uitwerking van de
Europese richtlijn – de General Data Protection Regulation (GDPR) – die burgers
meer zeggenschap geeft over hun eigen persoonlijke data.
Deze ‘Europese wet’ (wettekst in PDF formaat) is op 25 mei 2018 in werking getreden, samen met de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG – wettekst in PDF formaat) die specifiek voor de Nederlandse situatie een gedetailleerde invulling geeft aan de AVG. Hierbij moet je denken aan het formeel intrekken van de (vorige) Wet bescherming persoonsgegevens, het instellen van de Autoriteit Persoonsgegevens als toezichthouder maar ook het benoemen van Nederlandse uitzonderingen op het niet mogen verwerken van bijzondere persoonsgegevens.
Belangrijkste bepalingen van (U)AVG
Met 99 artikelen in de AVG en 54 artikelen in de UAVG kun je gerust
spreken van een uitgebreide en complexe privacywetgeving waarin veel details
geregeld zijn. Je kunt echter op hoofdlijnen wel de belangrijkste bepalingen
redelijk eenvoudig samenvatten:
- Persoonsgegevens mogen alleen worden
verwerkt in overeenstemming met de wet. Voor degene van wie de persoonsgegevens
verwerkt worden moet het transparant zijn hoe en waarom de persoonsgegevens
verwerkt worden. Deze persoonsgegevens mogen alleen verzameld worden met een
gerechtvaardigd doel dat vooraf uitdrukkelijk moet zijn omschreven.
- Verwerkt een organisatie of persoon
persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden
verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie
of persoon die deze persoonsgegevens verwerkt (de zogeheten
verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking.
- Als organisaties persoonsgegevens
verwerken, dan moeten ze daarbij als uitgangspunt hanteren dat er niet meer
gegevens verzameld en verwerkt worden dan strikt noodzakelijk is om het doel te
bereiken waarvoor ze verwerkt worden. De verwerkende organisatie of persoon
moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden
geactualiseerd.
- De gegevensverwerking moet op een
passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras,
gezondheid en geloofsovertuiging, gelden extra strenge regels.
Eén jaar AVG
Tijdens de behandeling van het voorstel voor de UAVG beloofde Sander Dekker, minister voor Rechtsbescherming, vorig jaar de ervaringen met betrekking tot de nieuwe privacywetgeving te gaan inventariseren. Begin april 2019 verstuurde hij een brief naar de Tweede Kamer met het resultaat van deze inventarisatie. Volgens Dekker leven er nog steeds veel vragen over hoe de AVG en UAVG uitgelegd moeten worden en is er daarom een blijvende behoefte aan goede voorlichting en ondersteuning. In die behoefte wordt volgens de minister al grotendeels voorzien door de voorlichting die de Autoriteit Persoonsgegevens verstrekt, door koepel-, branche- en vakorganisaties maar ook door voorzieningen als een AVG helpdesk Zorg, Welzijn & Sport zoals het ministerie van VWS heeft ingericht.
Desondanks blijkt uit de inventarisatie dat er zorgen zijn over de
ruimte die nog gegeven wordt om persoonsgegevens te mogen verwerken, zoals het
plaatsen van foto’s op de websites van sportclubs. Dekker stelt dat er vaak
meer ruimte is om dit te doen dan aangenomen wordt en dat het eveneens een
kwestie van voorlichting is om niet alleen de beperkingen maar ook de
mogelijkheden van de wetgeving duidelijk te maken.
Een ander punt dat naar voren komt is dat organisaties behoefte hebben
aan meer duidelijkheid of men in specifieke gevallen de (U)AVG goed naleeft en of
de eigen interpretatie dus wel de juiste is. Hiervoor verwijst de minister naar
de mogelijkheid om (als sector of branche) een gedragscode op te stellen en
deze te laten goedkeuren door de Autoriteit Persoonsgegevens.
Rondje langs de velden
Maar hoe zit het dan met de voorlichting die door de branche- of
vakorganisaties gegeven wordt aan bibliotheken, archieven en
erfgoedinstellingen? Wat is er bij deze informatie-instellingen gebeurd op het
gebied van de implementatie van de nieuwe privacyregels? Zijn er knelpunten en
onbeantwoorde vragen?
IP stelde die vragen aan een aantal bibliotheken, maar ook aan diverse
branche- en vakverenigingen voor de bibliotheek- en archiefsector. Uit de
antwoorden blijkt dat er, ook bij bibliotheken en archieven, nog veel vragen
zijn over hoe er in de praktijk met de privacyregels omgegaan dient te worden.
De Koninklijke Vereniging van Archivarissen in Nederland (KVAN) en de Branchevereniging Archiefinstellingen Nederland (BRAIN) constateren dat er een grijs gebied is tussen de Archiefwet en de AVG. De Archiefwet levert een verplichting op om te bewaren maar aangezien er geen archieven zijn zonder persoonsgegevens botst dat met de AVG. In de AVG wordt weliswaar (in artikel 89) een uitzondering gemaakt voor ‘archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden’ maar is de verwerking onderworpen aan ‘passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene’. En over wat die passende waarborgen zijn wordt nog steeds veel gediscussieerd.
Beide verenigingen hebben samen een werkgroep AVG in het leven geroepen
om dit soort vraagstukken te adresseren. De werkgroep houdt zich thans bezig
met het maken van een een
model privacy impact analyse (PIA) op de gezinskaarten van het
bevolkingsregister 1920-1939. Deze zijn de afgelopen twintig jaar op grote
schaal online gezet als veelgevraagde bron voor familie- en andere
geschiedvorsers. Maar ze bevatten ook een bijzonder persoonsgegeven, de religie,
van soms nog levende personen. Er wordt uitgezocht welke maatregelen er genomen
moeten en kunnen worden om aan de AVG te voldoen. Het model moet een hulpmiddel
voor archiefinstellingen worden, ook voor andere archieven met
persoonsgegevens. Er is ook regelmatig overleg met de Autoriteit
Persoonsgegevens.
Ook ontwikkelt de werkgroep AVG een richtlijn voor het zowel AVG- als Archiefwet-proof inrichten van je informatiehuishouding, zodat alle archiefbestanden vanaf hun ontstaan aan allebei voldoen. Alle casussen en vragen worden ook nog eens actief gedeeld via de website van het (openbare) Kennisnetwerk Informatie en Archief.
De Vereniging van Openbare
Bibliotheken (VOB) verwijst naar de Provinciale Ondersteuningsinstellingen
(POI’s) voor inhoudelijke ondersteuning op privacygebied. Door de negen POI’s
is een werkgroep samengesteld die ervaringen deelt en kwesties uit de praktijk
in gezamenlijkheid oppakt. De individuele POI’s hebben elk eigen vormen van
ondersteuning van de bibliotheken in hun werkgebied, uiteenlopend van een
privacyservicedesk tot het organiseren van bijeenkomsten over
privacygerelateerde onderwerpen.
In een handreiking op de eigen website verwijst de VOB overigens wel naar de ‘Bibliotheek en privacy’-handreiking van de FOBID uit 2007. Deze zou geactualiseerd gaan worden naar aanleiding van de inwerkingtreding van de AVG, maar dit lijkt vooralsnog niet gebeurd te zijn.
De Koninklijke Bibliotheek heeft het afgelopen jaar de eigen processen en procedures nagelopen en
aangepast. Er is een ‘AVG in 10 stappen’-project uitgevoerd, een Functionaris
gegevensbescherming (FG) is benoemd en er zijn modellen voor
verwerkersovereenkomsten en PIA’s opgesteld. Op de website van de KB staat
uitgebreid vermeld hoe er met persoonsgegevens omgegaan wordt en gebruikers
kunnen eenvoudig verzoeken indienen om hun persoonsgegevens in te zien, te
wijzigen of te verwijderen.
Er zijn het afgelopen jaar ook een beperkt aantal verzoeken tot het
verwijderen van persoonsgegevens binnengekomen met betrekking tot de vermelding
ervan in Delpher en de Digitale
Bibliotheek voor de Nederlandse Letteren (DBNL), aldus de FG van de KB.
Aangezien er echter een uitzondering in de (U)AVG is opgenomen voor
journalistieke doeleinden, waarbij de KB expliciet in de Memorie van Toelichting
van de UAVG als voorbeeld wordt genoemd, is het recht tot verwijdering niet van
toepassing. Daarom neemt de KB deze verzoeken niet in behandeling.
Veel aandacht is uitgegaan naar bewustwording binnen de eigen
organisatie met een loket waar vragen gesteld kunnen worden, spreekuren om
dieper op bepaalde vragen in te kunnen gaan en een elearningmodule om de
basiskennis over privacy te verhogen. De Koninklijke Bibliotheek legt daarmee
de nadruk op permanente voorlichting zodat in processen en systemen steeds
vooraf nagedacht wordt over de verwerking van persoonsgegevens.
Hoewel hogescholen en universiteiten (en daarmee de hogeschool- en universiteitsbibliotheken) elk een eigen beleid voeren, heeft SURF – als organisatie waarin hoger onderwijsinstellingen met elkaar samenwerken – het afgelopen jaar ‘AVG-ondersteuning’ geboden aan de instellingen. Er zijn onder andere modellen voor verwerkersovereenkomsten en impactassessment ontwikkeld, een model privacybeleid en een stappenplan meldplicht datalekken. Alles wordt hierbij beschikbaar gemaakt via de SURF-website.
Daarnaast ziet SURF ook het belang in van het delen van kennis en
ervaringen. Er is een wiki gemaakt met informatie over de verschillende
aspecten van de AVG, er worden regelmatig kennissessies georganiseerd en er is
een trainingsmodule Privacy ontwikkeld. Informatiebeveiligers en privacy
officers in het hoger onderwijs werken samen, en delen ervaringen uit, in een
werkgroep SCIPR (SURF Community voor Informatiebeveiliging en PRivacy).
Een van de onderwerpen die binnen hogescholen en universiteiten nu speelt is het voorlichten van onderzoekers over de gevolgen van de AVG voor hun onderzoek. Van het maken van duidelijke afspraken vooraf over het verzamelen van persoonsgegevens en het maken van een impact assessment tot het veilig opslaan, archiveren en verwijderen van persoonsgegevens na afloop van het onderzoek. Eén jaar na de invoering van de AVG begint nu pas een beetje duidelijk te worden wat er allemaal geregeld en gefaciliteerd moet worden om ervoor te zorgen dat aan de wetgeving voldaan wordt.
Voorbeeld van een gespecialiseerde bibliotheek: Dedicon
Dedicon is producent en distributeur voor de landelijke dienst van aangepast lezen. Aangepast lezen is een van de stelseltaken die KB uitvoert en behelst het ontwikkelen en in stand houden van een bibliotheekdienst voor mensen met een leesbeperking. Bibliotheekklanten met een leesbeperking doen hun bestellingen bij het landelijke servicepunt van BPL (Bibliotheekservice Passend Lezen) waar zij zich identificeren en inschrijven. Bestellingen uit de catalogus worden doorgegeven aan Dedicon met inbegrip van de NAW gegevens van de klant. Daarnaast is Dedicon ook producent, distributeur en direct verantwoordelijke voor studie en vakmaterialen in aangepast leesvormen.
In termen van de AVG is Dedicon dus zowel gegevensverwerker (voor BPL) als gegevensverantwoordelijke voor de educatieve (school-)boeken. Uiteraard is er een gegevensbewerkers overeenkomst tussen BPL en Dedicon opgesteld en is ook besloten dat het bibliotheeksysteem (ILS) dat voorheen bij Dedicon draaide, aan BPL wordt overgedragen. Op deze manier zijn de persoonsgegevens waaronder het speciale gegeven van handicap exclusief in handen bij de verantwoordelijk BPL.
Dedicon heeft van KB ook de specifieke opdracht de producten en diensten van aangepast lezen te innoveren. Daarvoor is klantgericht onderzoek nodig. Het wel of niet mogen benaderen van de klanten van BPL die de producten van Dedicon ontvangen, levert hoofdbrekens op waarvoor ook juridisch advies is ingeroepen. De huidige inzichten rond de toepassing van de AVG in deze specifieke “keten“-situatie leiden er toe dat per klantonderzoek of verzoek tot aanmelding voor een testpanel een expliciete toestemming van de klant nodig is.
Dedicon doet jaarlijks al gauw meer dan tien projecten of onderzoeken waarbij de mening van de BPL-klant onontbeerlijk is. Overvragen van de klant, – de klantengroep is relatief klein,- ook op het gebied van privacy-toestemming ligt op de loer. Het uitzoeken van een AVG conforme werkwijze heeft aantoonbaar geleid tot vertraging in het uitvoeren van de onderzoeken. Een oplossing lijkt nu gevonden te worden door in de toekomst de klant in de gelegenheid te stellen een vinkje te zetten in de mijnbieb-omgeving van de BPL website voor het wel of niet benaderd te mogen worden door Dedicon voor onderzoeksdoeleinden. Ook wordt nagedacht over toegang voor Dedicon tot een geanonimiseerde databank van uitleengegevens waarop analyses kunnen worden gedaan omtrent uitleen-aantallen en populariteit van titels.
De AVG is nu bijna een jaar oud en sommige werkwijzen tussen BPL en Dedicon moeten in de praktijk nog worden uitgewerkt, maar een heldere verdeling tussen verantwoordelijke (BPL) en verwerker (Dedicon) is binnen handbereik. (tekst: Koen Krikhaar, Dedicon)
Nog lang niet klaar
De komst van de AVG en UAVG heeft het afgelopen jaar overduidelijk tot
veel aandacht voor de bescherming van persoonsgegevens geleid. Het is een van
de conclusies van minister Dekker naar aanleiding van de inventarisatie en het
is ook duidelijk af te leiden uit het rondje langs de branche- en
vakorganisaties.
De (U)AVG is geen wetgeving die precies dicteert wat er in welke
specifieke situatie geregeld moet gaan worden,
maar is een algemene verplichting voor iedereen die persoonsgegevens verwerkt
om zorgvuldig om te gaan met de belangen van betrokkenen.
Dat kan alleen door kennis en ervaringen uit te wisselen en gezamenlijk
antwoorden te zoeken op soms lastige kwesties uit de praktijk. Het is niet voor
niets dat de branche- en vakorganisaties allemaal met spreekuren, communities,
werkgroepen, vraagbakens of servicedesks aan de slag zijn gegaan.
De behoefte aan uitwisseling van kennis, voorlichting en uitleg zal voorlopig wel blijven bestaan want één ding is zeker na één jaar AVG: bibliotheken, archieven en erfgoedinstellingen zijn nog lang niet klaar met het onderwerp privacy.
Dit artikel is ook gepubliceerd in IP 4 (2019). Afbeelding uit header via Pixabay en gebruikt onder een Pixabay licentie.
#