Privacy Archives

Gastcollege auteursrecht en privacywetgeving voor marketingcommunicatie

Vanochtend gaf ik een gastcollege aan een groep 4e jaars studenten Commerciële Economie in het kader van een reeks workshops die ingaan op de actualiteit. Aangezien auteursrecht altijd actueel is en met de AVG (plus de komende ePrivacy verordening) ook privacywetgeving flinke aandacht krijgt, kwamen deze thema’s natuurlijk terug in mijn verhaal.

Hoewel het geven van gastcolleges niet meer nieuw voor me is – ik gaf afgelopen maandag voor het vijfde achtereenvolgende jaar een gastcollege over IE- en consumentenrecht bij Windesheim Flevoland – moest ik wel even goed nadenken toen ik gevraagd werd om één van de workshops te verzorgen in Zwolle voor 4e jaars studenten CE over auteursrecht en privacywetgeving. Twee grote onderwerpen die bij voorkeur dan beknopt voorbij zouden moeten komen en waar studenten vervolgens ook nog zelf mee aan de slag mee zouden moeten middels een opdracht.

Daar kwam ik voor mezelf ook niet goed uit en ik besloot het dan ook op mijn eigen manier te doen. Niet beknopt en met veel voorbeelden uit de actualiteit van rechtszaken rondom auteursrechtkwesties en meldingen/incidenten over privacyschendingen.

Dat bleek achteraf ook de goede keuze te zijn want ik bleek in een collegezaal te zitten met plek voor 30 studenten die ook helemaal gevuld was. Zonder plek om een opdracht uit te voeren zeg maar.

Met een verhaal over auteursrecht in het eerste uur en privacywetgeving in het tweede uur – en met deze keer een pauze ingebouwd om op adem te komen – heb ik hopelijk de studenten kunnen bijbrengen dat ze bij de meeste online activiteiten onvermijdelijk tegen zowel auteursrecht als privacyzaken gaan aanlopen. Waar op te letten bij andermans auteursrecht op tekst en beeld en vooral om nooit zo maar andermans materiaal te gaan photoshoppen en aan te passen :)

De AVG, de cookiewet en de komende e-Privacy verordening moest ik in hoog tempo behandelen maar dat bleek ook echt nog wel onbekende materie te zijn. Nu de Autoriteit Persoonsgegevens heeft aangegeven de komende maanden te gaan beginnen met het handhaven (en opleggen van boetes) zal het echter een stuk concreter worden wat het betekent als je je niet aan de eisen van de AVG houdt.

Het wordt iedere keer als ik een gastcollege geef gemakkelijker om te focussen op het vertellen van een verhaal in plaats van de slides als leidraad te gebruiken. Dat maakt het wel wat nuttelozer voor anderen om de Powerpoint hierboven als vervanging van mijn verhaal te gebruiken want de voorbeelden werk ik daar niet uit. Ik denk echter wel dat het leuker maakt om naar mijn verhaal te luisteren dan simpelweg de Powerpoint terug te lezen.

Ik zag er best wel een beetje tegenop vanmorgen maar wat ben ik weer blij dat ik het gedaan heb. En dat het weer goed ging ;-)

Rondvraag: goed voorbereid op weg naar de AVG?

In Nederland treedt op 25 mei a.s. de Algemene Verordening Gegevensbescherming (AVG) in werking en vervangt dan de huidige Wet bescherming persoonsgegevens (Wbp). IP is benieuwd hoe bibliotheken, archieven en erfgoedinstellingen zich hierop hebben voorbereid en maakte een rondgang langs betrokkenen.

De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse uitwerking van de Europese richtlijn – de General Data Protection Regulation (GDPR) – die burgers meer zeggenschap geeft over hun eigen persoonlijke data. Dat doet de huidige Wet bescherming persoonsgegevens ook al, maar de AVG versterkt de positie van personen wiens gegevens worden verwerkt aanzienlijk.

Dit betekent vooral dat organisaties die persoonsgegevens verwerken (veel) meer verplichtingen krijgen. De nadruk ligt, veel meer dan nu in de Wbp, op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. In essentie komt het erop neer dat iedereen die persoonsgegevens verwerkt dit inzichtelijk moet maken, daar afspraken over moet maken met alle betrokken partijen en dit duidelijk moet communiceren (en faciliteren) naar hun gebruikers toe.

Vragenrondje

Ook in bibliotheken, archieven en erfgoedinstellingen worden er volop persoonsgegevens verwerkt en dat roept dan ook meteen verschillende vragen op. Zijn ze zich wel voldoende bewust van de noodzaak om met de AVG aan de slag te gaan? Wat is er allemaal gebeurd de afgelopen maanden ter voorbereiding op 25 mei? Kunnen gebruikers of leden straks ook hun recht op inzage, wijziging en verwijdering van hun gegevens uitoefenen? Wat gaan mensen überhaupt merken van de nieuwe privacyregels?

IP stelde die vragen aan een aantal hogeschoolbibliotheken, universiteitsbibliotheken en openbare bibliotheken, maar ook aan diverse branche- en vakverenigingen voor de bibliotheek- en archiefsector. Uit de antwoorden blijkt dat, op zijn zachtst gezegd, de bibliotheken en archieven nog lang niet allemaal klaar zijn voor de nieuwe privacywet.

Bewustwordingsfase

Het is al twee jaar bekend dat de nieuwe privacyregels eraan komen. Het Europese Parlement stemde op 14 april 2016 in met de GDPR en benoemde 25 mei 2018 als de datum waarop de nieuwe wetgeving in alle lidstaten in werking zou gaan treden. De verstrekkende gevolgen voor bibliotheken, archieven en erfgoedinstellingen werden in 2016 echter nog niet onderkend.

Pas in 2017 begonnen de branche- en vakverenigingen met de eerste voorlichtingsbijeenkomsten, waarin duidelijk werd dat ook de bibliotheken aan zet waren. Met behulp van landelijke bijeenkomsten en cursussen, zoals de GO-cursus Bibliotheek en privacy, konden bibliotheken aan de slag met de eisen die er vanuit de nieuwe wetgeving aan ze gesteld zouden gaan worden.

Uit de rondgang blijkt evenwel dat een (groot) aantal bibliotheken en archieven één maand voordat de AVG in werking treedt nog steeds in deze bewustwordingsfase verkeert. De instellingen zijn nu pas aan het inventariseren in welke processen ze allemaal persoonsgegevens verwerken. Dit geldt voor diverse openbare bibliotheken, universiteits- en hogeschoolbibliotheken, maar ook voor de archieven.

De Koninklijke Vereniging van Archivarissen in Nederland (KVAN) en de Branchevereniging Archiefinstellingen Nederland (BRAIN) constateren dat er geen kant-en-klare antwoorden bestaan in de afwegingen tussen een maximale openbaarheid van hun collecties en het zorgvuldig omgaan met de vele persoonsgegevens. KVAN/BRAIN en het Nationaal Archief hebben daarom een leergang Privacy en Archieven geïnitieerd, die vooral draait om casussen uit de praktijk van instellingen. Door die casuïstiek te presenteren, publiceren en bespreken kunnen archiefprofessionals de komende jaren leren hoe zij Archiefwet en AVG kunnen combineren.

Onbekend is of erfgoedinstellingen het op een vergelijkbare manier denken aan te pakken. Er reageerde geen organisatie uit de erfgoedsector op de oproep, maar er is wel een handleiding Succesvol beheer van privacy-en informatievoorschriften in kleine musea verschenen. Deze handleiding, gepubliceerd door Erfgoedhuis Zuid-Holland, is specifiek bedoeld om de AVG in erfgoedinstellingen toe te kunnen passen.

Wie gaat ermee aan de slag?

Het blijkt wel verschil te maken of je als bibliotheek onderdeel bent van een grotere organisatie of dat je zélf verantwoordelijk bent voor het naleven van de wet- en regelgeving. Meerdere hogeschool- en universiteitsbibliotheken geven aan dat de onderwijs- en onderzoeksinstellingen waartoe ze behoren weliswaar privacyofficers en functionarissen voor de gegevensbescherming hebben, maar dat de processen van de bibliotheken nauwelijks of niet in beeld zijn binnen de organisatie. De focus ligt – begrijpelijk ook – op studenten- en personeelsadministraties, leeromgevingen en andere bedrijfskritische processen en systemen. De processen van de bibliotheken moeten kennelijk worden doorgelicht door de medewerkers zelf.

Er is te laat begonnen met de voorbereidingen. Het is wel aangekaart bij de security manager, maar wat de AVG voor de bibliotheek moet betekenen is niet duidelijk en de instelling geeft prioriteit aan de impact op de grote systemen. (Universiteitsbibliotheek Universiteit Utrecht)

Bij de bibliotheken die als zelfstandige organisatie zelf de verantwoordelijk dragen, ligt de focus vooral op de ‘hoofdlijnen’: het aanleggen van het in de AVG verplichte verwerkingsregister – waarin organisaties alle verwerkingen van persoonsgegevens dienen te registreren – en het benoemen van privacy- en security officers en Functionarissen voor de Gegevensbescherming naar wie verwezen kan worden. De Vereniging van Openbare Bibliotheken (VOB) constateert in een handreiking Algemene Verordening Gegevensbescherming dat bibliotheken en Provinciale Ondersteuningsinstellingen (POI’s) geen Functionaris voor de Gegevensbescherming nodig hebben, maar adviseert wel om de taken ervan te beleggen binnen de eigen organisatie. Voor inhoudelijke ondersteuning verwijst de VOB naar de POI’s, die overigens ook weer onderling sterk verschillen in wat ze als ondersteuning bieden.

Of dit ook betekent dat alle openbare bibliotheken met de AVG aan de slag zijn gegaan, is twijfelachtig. Gelukkig zijn er wel positieve berichten te melden.

Er wordt gewerkt aan bewustwording bij de medewerkers, het opstellen van een verwerkingsregister en het opstellen van verwerkersovereenkomsten met derden. Ook wordt het wachtwoordenbeleid aangescherpt en worden autorisaties om gegevens in te zien onder de loep genomen. Er worden aanpassingen gerealiseerd in onze IT-omgeving die “AVG-bestendig” zouden moeten zijn. (Bibliotheek Noordwest Veluwe)

Verwerkersovereenkomsten

Over één ding is iedereen het eens: er zijn verwerkersovereenkomsten nodig. Heel veel verwerkersovereenkomsten. Bibliotheken, archieven en erfgoedinstellingen hebben namelijk zonder uitzondering te maken met leveranciers van administratieve systemen en databanken waarin ook persoonsgegevens verwerkt worden.

Er moeten duidelijke afspraken gemaakt worden met al die leveranciers, aangezien de bibliotheken zelf aansprakelijk zijn als hun leveranciers niet correct omgaan met persoonsgegevens. In een verwerkersovereenkomst wordt dus vastgelegd dat de leverancier voldoet aan de eisen die in de AVG genoemd worden voor onder meer de opslag en verwijdering van persoonsgegevens. Bij een eventuele datalek is de leverancier dan ook mede-verantwoordelijk en aansprakelijk.

Maar het afsluiten van verwerkersovereenkomsten is nieuw voor zowel bibliotheken als juristen. Het blijkt nog helemaal niet zo eenvoudig te zijn om vast te stellen wanneer zo’n overeenkomst verplicht is. Laat staan welke afdeling binnen een organisatie die overeenkomsten met de leveranciers gaat afsluiten.

Er is geïnventariseerd bij welke contracten/licenties er een verwerkersovereenkomst afgesloten moet gaan worden. Wie dit uiteindelijk gaat doen is onduidelijk. De afdeling Inkoop? (Bibliotheek Avans Hogeschool)

Bij de ene bibliotheek wordt alleen gekeken naar de leverancier van het eigen bibliotheeksysteem, terwijl bij andere bibliotheken alle leveranciers van databanken ook op de lijst staan voor het afsluiten van een verwerkersovereenkomst. Welke criteria bepalend zijn, daar verschillen juristen en brancheverenigingen (sterk) van mening over. Het lijkt een veilige conclusie dat per 25 mei niet alle verwerkersovereenkomsten correct zullen zijn afgesloten.

Recht op inzage, wijziging of verwijdering

Iedereen heeft onder de Wbp recht op inzage in de eigen persoonsgegevens (en om die te kunnen aanpassen en verwijderen), maar in de AVG worden deze rechten versterkt. Het moet nu ook expliciet gefaciliteerd worden, zodat het een vanzelfsprekendheid wordt dat dit kan gebeuren in plaats van het als een uitzonderingssituatie te behandelen.

Voor bibliotheken, archieven en erfgoedinstellingen blijkt ook dit nog een hele kluif te zijn. De meeste instellingen komen niet verder dan een eenvoudige procedure op te stellen, waarbij gebruikers of leden een aanvraag kunnen indienen om hun gegevens in te zien of aan te passen. Met het voornemen erbij om deze procedure onder de aandacht te gaan brengen.

Betrokkenen mogen een verzoek doen tot inzage, wijziging of verwijdering van hun gegevens. Dit verzoek zal binnen 30 dagen en zonder kosten worden afgehandeld. (Bibliotheek Noordwest Veluwe)

Natuurlijk is een verzoek mogen doen iets anders dan het uitoefenen van je recht. Een enkele bibliotheek heeft in kaart gebracht welke persoonsgegevens minimaal vereist zijn voor de eigen werkprocessen, blijkt uit de rondgang. Maar niemand lijkt ervoor klaar te zijn dat een klant daadwerkelijk zijn persoonsgegevens kan wijzigen of verwijderen. Met het simpelweg afwijzen van zo’n verzoek kan in elk geval niet volstaan worden.

De klant centraal?

De reden dat de AVG ingevoerd wordt, is om burgers meer zeggenschap, meer transparantie te bieden als het gaat om hun eigen persoonsgegevens. Desondanks blijkt uit de rondgang van IP dat de voorbereidingen, daar waar ze al hebben plaatsgevonden, zich vooral toespitsen op de eigen bedrijfsprocessen en medewerkers. De gebruikers zijn nauwelijks in beeld.

Voor de biebgebruikers zal er niet zoveel verschil te merken zijn. (Arq-bibliotheek)

Slechts één bibliotheek – de Koninklijke Bibliotheek – belooft om via privacyverklaringen op de website vooraf duidelijk te maken aan gebruikers hoe ze als bibliotheek omgaat met de persoonsgegevens. En waar gebruikers terecht kunnen voor hun vragen en wensen over privacy en hun eigen gegevens.

Het begin is er

Voldoen aan zowel de letter als de geest van de nieuwe privacywet is geen sinecure. Er moet gekeken worden waar en hoe je als organisatie persoonsgegevens in je processen en dienstverlening gebruikt. Alle overtollige gegevens moeten vervolgens verwijderd worden uit de systemen. Alle verwerkingen die wel nodig zijn dienen geregistreerd te worden in een verwerkingsregister. Met alle andere partijen die de gegevens van jouw gebruikers verwerken moeten verwerkersovereenkomsten afgesloten worden. En dat dient tenslotte ook nog allemaal zichtbaar gemaakt en gecommuniceerd te worden met je gebruikers zodat ze weten hoe het met hun privacy is gesteld.

De deadline van 25 mei is in zicht. Hoewel er zeker veel stappen in de goede richting zijn gezet, maakt de rondgang duidelijk dat het echte werk om aan de AVG te voldoen nu pas begint. Het wachten is op de eerste kritische vragen van gebruikers en de mogelijkheid om ervaringen uit de praktijk met elkaar te delen. Het kon nog wel eens jaren gaan duren voordat de AVG onderdeel uitmaakt van het DNA van bibliotheken, archieven en erfgoedinstellingen.

Dit artikel is ook gepubliceerd in IP 4 (2018).

@headerafbeelding via Pixabay met CC0-verklaring

Check je privacyinstellingen op Facebook (of verwijder je Facebook-account)

Facebook heeft een behoorlijke deuk in hun toch al niet geweldige reputatie opgelopen door het hele gedoe met het lekken van gegevens van tientallen miljoenen gebruikers. Desondanks verwijderden ‘slechts’ zo’n tienduizend Nederlanders (van de 9,7 miljoen gebruikers) hun Facebook-account na de oproep van Arjan Lubach afgelopen week. Het blijft hoe dan ook een goed idee om de privacyinstellingen eens door te lopen en te checken welke apps er allemaal gebruik maken van je Facebook profielgegevens.

De oproep van Arjan Lubach tijdens Zondag met Lubach om je account te verwijderen leverde in elk geval veel discussie op. Op Facebook en Twitter kondigden velen aan ‘genoeg te hebben’ van Facebook en hun account te gaan verwijderen. Uiteindelijk wiste maar een hele kleine groep daadwerkelijk hun profiel – mijn eigen vriendenkring op Facebook ging van 124 naar 123 – en besloot de overgrote meerderheid dat in contact blijven met familie en vrienden en de handige verjaardagskalender toch wat nuttiger was dan een statement te maken over hoe slecht grote techbedrijven met privacy omgaan.

Hoe ga je zelf met je privacy(instellingen) om?

Je kunt natuurlijk wel alle schuld en verantwoordelijkheid bij Facebook neerleggen maar je hebt zelf ook invloed op wat er met je gegevens gebeurt. Zij hebben weliswaar hun beleid aangepast nadat een app verantwoordelijk bleek voor het gigantische lek maar wat voor regels ze ook bedenken, als jij alle mogelijke apps toegang geeft tot je profielgegevens, dan liggen die gegevens nog steeds gemakkelijk op straat.

Stap 1 is dus het controleren van alle apps die jij ooit zelf toegang hebt gegeven omdat het zo handig was om met je Facebook account in te loggen of om dingen vanuit die apps te delen op je tijdlijn. Een uitgebreide uitleg over hoe je dat doet schreef ik vorige week al.

Maar daarmee ben je er nog niet want er is nog een hele categorie privacyinstellingen te vinden in je account die ook de moeite waard is om door te lopen.

Ga naar de Instellingen in je profiel en daar vind je links in het menu vervolgens het kopje Privacy:

Hier kun je de groep afbakenen die jouw berichten kunnen zien (zelfs met terugwerkende kracht) en kun je restricties aanbrengen aan wie contact met je kan opnemen. Standaard staat alles op ‘Iedereen’ maar je kunt de meeste opties terugbrengen tot alleen ‘Vrienden’ of ‘Vrienden van vrienden’.

Berichten en gegevens downloaden en/of verwijderen

Afhankelijk van hoe lang je op Facebook zit heb je misschien wel honderden of duizenden berichten en foto’s geplaatst. Wil je nog wel dat die allemaal gevonden en gebruikt kunnen worden door anderen? Je kunt je profielpagina helemaal gaan doorscrollen maar het is handiger om een archiefbestand te downloaden met al je gegevens er in. Ga naar Instellingen en op de beginpagina zie je meteen onderaan de optie Een kopie downloaden van je Facebook-gegevens.

In dat archief komt alles terecht wat je ooit gedeeld hebt op Facebook. Zowel je profielgegevens, berichten en chats als de updates, video’s en foto’s. In een eerder artikel heb ik beschreven wat je met dit archief kunt doen.

Je hebt hoe dan ook nu een backup van alles wat er op Facebook te vinden is van/over jou en je kunt die oude berichten en foto’s dus met een gerust hart gaan wissen.

Je Facebook-account verwijderen

Heb je toch geen reden kunnen vinden om je account aan te houden? Geen familie of vrienden die je daar gaat missen? Dan is dat een reden – een betere dan achter anderen aan te lopen – om gewoon je account te verwijderen.

Dat maakt Facebook niet heel gemakkelijk want bij de instellingen vind je die optie expres niet terug. De pagina waar je dat kunt doen zit onder de Help sectie ‘verstopt’ maar wijst zich dan ook vanzelf:

Met het klikken op de knop Mijn account verwijderen ben je echter nog niet meteen volledig en definitief van Facebook af. Als je namelijk binnen 14 dagen inlogt met je profiel – en dat gaat heel gemakkelijk automatisch als je je account op bepaalde sites en in apps gekoppeld hebt aan je profiel – dan krijg je weer de optie om je account te activeren. Dat is niet alleen een bedenktijd maar ook aanleiding om goed te controleren dat je met het verliezen van je account niet de toegang kwijt raakt tot andere sites of apps (zoals Spotify).

Als je je account verwijdert kunnen andere mensen het niet meer zien op Facebook. Het kan echter nog tot maximaal 90 dagen duren voordat alle gegevens, updates en foto’s zijn verwijderd. Hou er ook rekening mee dat niet alles wat je op Facebook doet gekoppeld is aan je account. Vrienden houden bijvoorbeeld de berichten die jij hebt gestuurd in hun eigen account. Die worden niet verwijderd op het moment dat jij je account wist.