Nog 255 dagen… is jouw bibliotheek voorbereid?

Nog 225 dagen en dan wordt de Algemene verordening gegevensbescherming (AVG) van kracht. Privacyspecialisten waarschuwen dat het (ook voor openbare bibliotheken) belangrijk is om tijdig maatregelen te treffen. In praktijk blijken de verschillen nog groot: de ene bibliotheek verwacht dat het niet zo’n vaart zal lopen, terwijl andere bibliotheken al flinke stappen zetten omtrent privacy en veiligheid. Birgit Jacobs (medewerker informatievoorziening bij Nieuwe Veste, Breda) en Nathan Speekenbrink (productmanager Digitale Bibliotheek en Functionaris Gegevensbescherming (FG) bij Bibliotheek Midden-Brabant) delen hun ervaringen, vragen en tips.

Wat is er ook alweer aan de hand?

Op 25 mei 2018 wordt de nieuwe AVG van kracht. Deze Europese privacywet volgt de huidige Wbp op. De AVG richt zich meer op transparantie. Informeren van de personen waarvan je gegevens opslaat en het documenteren van de keuzes die je maakt worden belangrijk. Op het niet (correct) naleven van de AVG staan forse boetes. Naar verwachting van experts zal de toezichthouder zich in beginsel voornamelijk focussen op de publieke sector. Immers, waarom commerciële organisaties beboeten voor overtredingen als de publieke sector daarin niet ‘het goede voorbeeld’ geeft? Alle reden dus om werk te maken van privacy en veiligheid. Of niet? “Het is onbegrijpelijk dat sommige bibliotheken veronderstellen dat het niet zo’n vaart zal lopen”, vindt Birgit Jacobs (Nieuwe Veste, Breda). “We móeten aan de slag met privacy.” Nathan Speekenbrink signaleert nog een passieve groep: “Er zijn bibliotheken die zich gelukkig wèl bewust zijn van het belang, maar niet weten hoe te starten.”

birgit.jpg

Birgit Jacobs (Nieuwe Veste, Breda)

‘Bewustwording is belangrijkste’

Birgit en Nathan zijn ieder binnen hun bibliotheekorganisaties al bezig om de nodige maatregelen te treffen. Nathan is sinds een kleine twee maanden aangesteld als Functionaris Gegevensbescherming (FG). Hoe deze functie precies vorm en inhoud moet krijgen wordt nog uitgewerkt, maar volgens Nathan is Bibliotheek Midden-Brabant behoorlijk goed op weg. “We zijn voor 80% op orde”, stelt hij. “Onze procedure omtrent datalekken is op orde, er is een FG aangesteld… we moeten eigenlijk alleen nog een aansprakelijkheidsverzekering afsluiten, maar dat wordt landelijk geregeld. Bibliotheek Midden-Brabant is klaar voor de AVG. Bewustwording is in onze organisatie nu het allerbelangrijkste”, aldus Nathan. “Collega’s moeten zich bewust zijn van hun handelen, om datalekken te voorkomen. Let op wanneer je een e-mail verstuurt; staan er bijvoorbeeld geen mensen in cc of bcc die de mail niet horen te ontvangen? Let je erop dat je je computerscherm uitschakelt wanneer je even wegloopt van je werkplek? Ik trof onlangs een klant die op één van onze computers bezig was. Waarschijnlijk in de veronderstelling dat hij in de catalogus kon zoeken, maar dit mag natuurlijk niet gebeuren. Het is belangrijk dat iedereen binnen de organisatie beseft dat een datalek heel makkelijk ontstaat. Probleem is dat bibliotheekmedewerkers de klant ontzettend graag willen helpen. ‘Nee’ zeggen is voor veel collega’s geen optie. Zo kon het gebeuren dat een collega een complete belastingaangifte invoerde voor een klant. Zoiets kan niet.” Birgit: “Dit past ook in de tendens in onze maatschappij: ‘je mag alles van me weten’.” Ander probleem is dat collega’s een datalek niet durven te melden, aldus Nathan. “De angst om te worden bestraft, is vermoedelijk te groot.”

"Een datalek ontstaat heel makkelijk, dat moet iedereen zich beseffen"

Hoe omgaan met zzp’ers?

Dat juist de medewerkers de beheersbaarheid zo kwetsbaar maken, realiseert ook Birgit zich maar al te goed. “Binnen de Nieuwe Veste werken meerdere disciplines samen. Naast de vaste medewerkers zijn er veel zzp’ers en andere tijdelijke krachten. Hoe ga je daarmee om? Zo hebben docenten van de afdelingen muziek, beeldende vorming, theater, dans et cetera ieder hun eigen leerlingen, die ze vaak zelf benaderen. Laptops rouleren geregeld en moeten steeds weer beveiligd worden. Het is een behoorlijk complex vraagstuk.” Ook hier lijkt bewustwording een belangrijke ‘troef’. Birgit: “We willen onze medewerkers een nieuwe privacyverklaring laten ondertekenen. Dat draagt weer bij aan bewustwording. Je gedrag is belangrijk. Je moet bijvoorbeeld zorgvuldig omgaan met de smartphone of tablet van je werk; die kun je niet zomaar uit handen geven aan je kinderen. Veiligheid en privacy is een gedeelde zorg.”

Verwerkersovereenkomst

Om goed voorbereid te zijn op de nieuwe AVG, start Birgit samen met collega’s een project op. Er is nog geen FG benoemd binnen de Nieuwe Veste. “Ik vind het belangrijk om eerst te inventariseren wat we opslaan, waar en hoe we dat doen, hoe lang we gegevens bewaren en wie er toegang toe heeft”, aldus Birgit. “Want dat we veel eindeloos bewaren, staat voor mij eigenlijk al wel vast. Het is belangrijk om intern de bewijslast op orde te hebben, zodat het paraat is als het wordt opgevraagd.” Eén van de onderwerpen die eveneens Birgit’s aandacht heeft, betreft de bewerkersovereenkomsten. “Zo’n 8.600 leerlingen van 10 middelbare scholen in Breda hebben een schoolpas die ook als biebpas fungeert. Dat is uniek!”, vertelt ze met gepaste trots. “We hebben echter geen bewerkersovereenkomst gesloten met de scholen. Scholen moeten daar zèlf om vragen en er is maar één school die dat heeft gedaab. Daarnaast werken we samen met ruim 35 basisscholen, die hun ParnasSys-gegevens met ons uitwisselen. Wij vragen niet om adresgegevens van leerlingen, maar ontvangen ze vaak wel. Scholen vinden het kennelijk teveel werk om dit te filteren…” Om de uitwisseling en het beheer van persoonsgegevens in eigen hand te houden, is Nieuwe Veste voornemens om alle scholen een verwerkersovereenkomst te gaan voorleggen. “Anders krijgen we te zijner tijd tig verschillende overeenkomsten voorgelegd”, lacht Birgit. En ze voegt toe: “Wat zou het fijn zijn als we de beschikking zouden krijgen over een basisovereenkomst.”

"Met heel veel data doen we feitelijk niets,terwijl het je wel kwetsbaar maakt"

Draagvlak bij management

De grootste urgentie voor veel bibliotheken is het creëren van draagvlak bij het management, stelt Nathan. “Het management moet als eerste mee, draagvlak is nodig om beslissingen te kunnen nemen. Privacy moet op de agenda komen.” Met welke argumenten kunnen we overtuigen van het belang?
“Boetes!”, reageren Birgit en Nathan tegelijk. “Bij het niet naleven van de AVG kunnen hoge boetes worden opgelegd. De directie is bovendien hoofdelijk aansprakelijk.” Nathan vult aan: “We hebben als bibliotheken een goede naam te bewaken. We worden gezien als betrouwbaar en zorgvuldig. Je wilt als bibliotheek niet met een datalek in het nieuws komen.” In beginsel levert de nieuwe AVG niets op, aldus Nathan. “Het levert ons heus geen nieuwe leden op.” Birgit: “Klopt, maar er is wel een afbreukrisico. Als wij onze zaken goed op orde hebben, maakt ons dat een betrouwbare partner voor maatschappelijke organisaties.”

Dataportabiliteit

Al pratend komen nog tal van praktische vragen en issues aan de orde. Zoals dataportabiliteit. Birgit hierover: “Als een klant zijn leengegevens wil meenemen naar een andere bibliotheek, dan kan dat. Je kunt ze eenvoudig in bijvoorbeeld Excel meenemen. Maar… hoe krijgen wij die leengegevens in ons systeem? En hoe exporteren (en eventueel importeren) we ook al die andere gegevens/transacties die we van klanten bewaren? Als we naar één landelijk bibliotheeksysteem gaan, wordt dit praktische punt opgelost. Ik vind echter dat één systeem ons erg kwetsbaar maakt als het gaat om privacy.”

Welke maatregelen moeten bibliotheken treffen in aanloop naar 25 mei 2018?
Deze vraag is niet te beantwoorden met een eenvoudig ’10-stappen-plan’. In grote lijnen kunnen we enkele praktische zaken benoemen:

  • Organisaties met een publieke taak zijn verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. Dit geldt dus ook voor openbare bibliotheken.
  • De verwerkingsverantwoordelijke (voorheen verantwoordelijke) en de verwerker (voorheen bewerker) worden verplicht om een verwerkersovereenkomst afsluiten. Deze overeenkomst legt vast hoe de verantwoordelijke omgaat met persoonsgegevens. Dat moest onder de Wbp ook al, maar nieuw is dat er een aantal verplichte onderwerpen in de AVG zijn bijgekomen die we in de verwerkersovereenkomst moeten vastleggen.

Birgit (B) en Nathan (N) delen tevens een aantal tips:

  • “Inventariseer waar je staat: wat, hoe, hoeveel en hoelang wordt er bewaard?” (B)
  • “Vraag je af waaróm we data verzamelen. Met heel veel data doen we feitelijk niets, terwijl het hebben van die data je organisatie wel kwetsbaar maakt.” (N)
  • “Ontwikkel beleid rond de vraag hoe lang je iets bewaart.” (B)
  • “Bewustwording bij collega’s is het allerbelangrijkste!” (N)
  • “Sommige dingen zijn eenvoudig op te lossen. Zorg bijvoorbeeld dat niemand kan meekijken op je computerscherm. Gebruik een privacyfilter en sluit af als je even van je plek loopt.” (N)
  • “Over enkele maanden is het al zover. Zorg dat je zo snel mogelijk begint en zoveel mogelijk voorbereidingen treft.” (B)
  • “Kijk goed om je heen. Wat doen andere bibliotheken om zich voor te bereiden? Schakel hulp in als je vragen hebt!” (N)
Naar overzicht Actueel en Blogs >>