Inleiding

AVG awareness - Item van de maand

Uit de diverse intervisie bijeenkomsten blijkt het van belang te zijn dat regelmatig met elkaar in gesprek wordt gegaan over privacy in het kader van de AVG. Op die manier blijft iedereen zich ervan bewust en vindt er een gesprek plaats hoe je hiermee kunt omgaan. Hieronder vind je het item van de maand, deze kun je met elkaar (voorbeeld tijdens een werkoverleg) bespreken.

Toestemming betrokkenen als rechtsgrond; handig of toch niet?  

Het is duidelijk dat de functie van bibliotheken niet alleen meer het bevorderen van geletterdheid door het uitlenen van boeken is. Allerlei nieuwe initiatieven, ook op het gebied van digitale geletterdheid, worden getest en toegepast en steeds is er sprake van verwerking van persoonsgegevens en dus is de AVG van toepassing. Theo Kusters, Functionaris Gegevensbescherming van de Limburgse bibliotheken, merkt dat heel vaak gekozen wordt voor toestemming van de betrokkene(n) als rechtsgrond voor de verwerking. Dat lijkt “handig” en dan ben je “er van af” maar is dat wel zo? Aan toestemming als rechtsgrond kleven in de praktijk een aantal bezwaren. Hij noemt de belangrijkste: 

• Op de eerste plaats moet de organisatie kunnen waarborgen dat de betrokkene begrepen heeft waar hij of zij toestemming voor geeft en wat de consequenties kunnen zijn. De informatie over het doel en andere relevante aspecten moet concreet en op een voor de betrokkenen begrijpelijke wijze verwoord worden. Dat is vaak nog niet zo eenvoudig, zeker niet omdat je niet in hele lappen tekst wil verzanden.
• Op de tweede plaats moet de betrokkene de toestemming “vrij” kunnen geven. Dit betekent dat de betrokkene en een keuze moet hebben en geen nadelige gevolgen mag ondervinden van het niet verlenen of intrekken van diens toestemming. Is die vrije keuze er wel altijd? 
• Ten derde moet de organisatie altijd kunnen aantonen dat toestemming daadwerkelijk verleend is. Hoewel vormvrij in de AVG betekent het toch vaak een hele administratie die je erop na moet houden, zeker ook omdat de betrokkene te allen tijde het recht heeft om die toestemming in te trekken en je aan dat recht moet kunnen voldoen. 

In veel gevallen is het daarom verstandiger om te kiezen voor een andere rechtsgrond dan toestemming en voor een flink aantal verwerkingen is “overeenkomst” toepasselijk. De AVG spreekt over “de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarvan de betrokkene partij is”. Als het noodzakelijk is om de betreffende persoonsgegevens te verwerken om die overeenkomst goed na te kunnen komen, is de verwerking van persoonsgegevens onder deze rechtsgrond legitiem. En van een overeenkomst is bij veel (nieuwe) verwerkingen sprake omdat twee of meer partijen een verbintenis aangaan en er sprake is van een aanbod door de ene partij en aanvaarding door de andere. Een toestemmingsverklaring o.i.d. is dan niet nodig; de overeenkomst volstaat al moet die natuurlijk ook correct, concreet en begrijpelijk zijn verwoord. 

Wellicht goed om bij toekomstige activiteiten waarbij je persoonsgegevens verwerkt de mogelijkheid om overeenkomst i.p.v. toestemming te gebruiken. Raadpleeg waar nodig je privacy-officer of Functionaris Gegevensbescherming.

Verwerkingen; wel of niet DPIA verplicht? 

Om de risico’s  van een bepaalde verwerking van persoonsgegevens te beoordelen en maatregelen te nemen om deze risico’s te beperken, stelt de AVG een zgn. “gegevensbeschermingseffectbeoordeling” ook wel DPIA (data protection impact assessment) genoemd, voor een aantal verwerkingen verplicht. Om dit wat begrijpelijker en concreter te maken, heeft de Autoriteit Persoonsgegevens (AP) een lijst opgesteld van activiteiten waarvoor een DPIA vereist is. Eén van de activiteiten die in deze lijst genoemd wordt is “profilering”, oftewel de systematische en uitgebreide beoordeling van persoonlijke aspecten van personen gebaseerd op geautomatiseerde verwerking. Als één van de voorbeelden noemt de AP de beoordeling van persoonlijke voorkeuren of interesses.

Bibliotheken kunnen met algoritmes uit het leengedrag gemakkelijk profielen van leden opstellen en daarmee bijvoorbeeld gerichte “advertenties” naar individuen sturen. Er kleeft natuurlijk eerst en vooral  een ethisch aspect aan profileren door een bibliotheek en daar zal een standpunt over ingenomen moeten worden. Zou je echter besluiten om profileren in te zetten om je dienstverlening uit te breiden, weet dan dat een DPIA nodig is. Het voert te ver om hier op de details van een DPIA in te gaan, maar neem maar aan dat het nogal complex is en vaak behoorlijk wat tijd vergt. Betrek hier altijd je Functionaris Gegevensbescherming (FG) bij omdat een DPIA zoals gezegd niet iets is dat je “er even bij doet”. Er bestaan verschillende bruikbare modellen en je FG kan je hierbij adviseren en ondersteunen. 

Vakantietips

Lezen:  
DURF! Magazine – editie Privacy!
Huib Modderkolk – Het is oorlog maar niemand die het ziet  
Brittany Kaiser – De datadictatuur 

Kijken:  
Tegenlicht meet-up - 'De grote dataroof'
The Great Hack
The Cleaners

Actueel: thuiswerken op een veilige manier

Het zou best eens kunnen zijn dat het Corona virus ervoor zorgt dat we straks veel meer van huis uit gaan werken dan nu. Natuurlijk verschilt de wenselijkheid daarvan per sector of branche, maar veel voordelen blijken nu evident. Denk maar aan efficiënter vergaderen, minder kantoorruimte huren, minder files en geen overvolle treinen in de spits, et cetera. Tools om dat te realiseren zijn in ruime mate voorhanden, maar hoe weet je nou zeker dat je veilig online werkt? Een paar tips:

• Zorg dat alle updates onmiddellijk geïnstalleerd worden. Dit geldt zowel voor het systeem op kantoor als op je PC thuis. Een houding van “dat doe ik straks wel even” was altijd al uit den boze maar bij digitaal netwerken al helemaal. Je mag dat best in je organisatie afdwingen.
• Check of de app of tool die je gebruikt AVG-proof is. Gratis bestaat in deze niet; je betaalt dan immers met toestemming voor het gebruik van je data en meestal worden die gegevens ook met derden gedeeld. Bijna altijd is een via een licentie betaalde tool beter beveiligd.
• Kies een tool die een unieke ID genereert die maar voor één persoon te gebruiken is.
• Kies voor vertrouwelijke gegevens een app waarbij end-to-end encryptie ingeschakeld is en let erop dat een HTTPS-verbinding gebruikt wordt.
• Maak waar mogelijk gebruik van VPN (Virtual Private Network). Er zijn diverse aanbieders die tegen een relatief geringe vergoeding een beveiligde verbinding tot stand brengen. VPN betekent dat “indringers” de berichten niet kunnen onderscheppen.
• Zorg voor bewustzijn bij je medewerkers als het gaat om phishing en social media. Dat kan via e-learning, regelmatige aandacht op de werkvloer of training on the job. Maak in ieder geval, ook als in jouw organisatie thuiswerken (nog) niet aan de orde is, een awareness jaarprogramma.
• Schrijf een gedragscode waarin de “spelregels” en de controle hierop worden toegelicht. Dit om systeem- en netwerkbeveiliging te optimaliseren, misbruik zoveel mogelijk uit te sluiten en ervoor te zorgen dat men zorgvuldig met persoonsgegevens omgaat

Cybercrime tijdens de Corona crisis

Er is de laatste tijd al veel over geschreven maar er zijn helaas criminele elementen die de huidige trieste situatie misbruiken en je kunt hier niet waakzaam genoeg voor zijn. Het aantal aanvallen is volgens Bitdefender bijna vervijfvoudigd in maart 2020. Het blijkt dat mensen in angstige tijden minder argwanend zijn, terwijl achterdocht juist nu op zijn plaats is; criminelen maken immers graag misbruik van ongebruikelijke situaties. Ik noem hier enkele concrete voorbeelden waar de alarmbellen bij u moeten gaan rinkelen:

Een medewerker van de financiële administratie krijgt de dringende vraag van de directeur om direct een geldbedrag over te maken naar een bepaalde rekening. De afzendergegevens van de “directeur” lijken sprekend op die van de echte directeur maar wijken op bijna niet zichtbare details af. U kunt dit voorkomen door met je medewerker af te spreken dat altijd eerst telefonisch (dus in ieder geval niet per reply-mail) contact met de directie moeten worden opgenomen om dergelijke opdrachten te verifiëren.

Min of meer vergelijkbaar hiermee zijn mailtjes die van collega’s afkomstig lijken te zijn en waar een linkje in zit. Tip: open in principe geen berichten via een link in een email en check eerst of de afzender werkelijk degene is waar deze zich voor uit geeft. Ook hier weer: niet via een reply-mail.

Ben voorzichtig met afbeeldingen over de verspreiding van het Corona virus in de wereld; in die afbeeldingen kunnen criminelen malware verstoppen om hiermee wachtwoorden te stelen.

Het landelijke meldpunt internetoplichting maakt melding van een stijging van het aantal nep webshops. Deze bieden mondkapjes en andere beschermingsmiddelen tegen Corona aan. Je herkent deze “nepshops” vaak aan het feit dat ze geen gebruik maken van de reguliere betaalmiddelen als iDeal, maar hiervoor een linkje in de tekst hebben opgenomen. Klik zo’n linkje nooit aan!

Mimecast waarschuwt voor mails die afkomstig lijken te zijn van de WHO (wereld gezondheid organisatie). In de mail staat een link die verwijst naar informatie over maatregelen die mensen kunnen nemen tegen het Corona virus. Wie op de link klikt, komt op een nagemaakte site van WHO waarin gevraagd wordt om adres- en telefoongegevens in te vullen om zo een download van dei maatregelen te kunnen krijgen. Die gegevens kunnen voor allerlei schadelijke acties gebruikt worden.

Informeer je medewerkers dus over de toename van o.a. phishing e-mails en vraag ze waakzaam te zijn. Veel incidenten zijn nog steeds het gevolg van menselijke onoplettendheid. Wees juist nu op je hoede!

Mag je gegevens over Corona-virus bij medewerkers verwerken?

De AVG is hier heel stellig over en gaat uit van een verbod op het verwerken van medische gegevens van personeelsleden door een werkgever. Natuurlijk zijn daar ook uitzonderingen op van toepassing en die worden in artikel 9 van de AVG genoemd. Bij de huidige crisis om het Corona virus vormt “algemeen belang op het gebied van de volksgezondheid” (art. 9.2(i) AVG alsmede art. 30 UAVG) een interessante uitzondering. De Autoriteit Persoonsgegevens in de persoon van haar voorzitter Aleid Wolfsen schrijft hierover: “Bedrijven zijn bezig te overleven en te zorgen dat zij banen kunnen behouden voor al hun mensen. Daar gaan wij niet bij staan met onze vinger omhoog en de privacywetgeving onder de arm.” Het lijkt erop dat de Autoriteit de organisaties meer ruimte wil geven en publiceerde de volgende Q&A’s:

Mag de werkgever werknemers controleren op corona?
Alleen werkgevers in de zorg mogen werknemers tijdens de coronacrisis controleren op corona. De Autoriteit Persoonsgegevens lijkt daarmee deels terug te komen op haar eerdere strikte benadering. Op andere plekken mogen werkgevers werknemers nog steeds niet controleren op corona. Van alle werkgevers geldt dat zij de richtlijnen van het RIVM dienen op te volgen.

Mag de werkgever werknemers vragen om hun gezondheid te checken?
Van de toezichthouder mogen werkgevers van werknemers verlangen dat zijn hun gezondheid scherp in de gaten houden. Dit geldt vooral als de werknemer niet thuis aan het werk is. De werknemer zou dit dan onder werktijd zelf kunnen controleren, bijvoorbeeld door zelf zijn of haar temperatuur te meten.

Mag de werkgever een zieke werknemer naar huis sturen?
De Autoriteit Persoonsgegevens benadrukt ten eerste dat een werkgever een werknemer niet mag vragen naar zijn gezondheid of een test mag afnemen ter controle. Maar de Autoriteit Persoonsgegevens vindt dat werkgevers in deze uitzonderlijke tijd van medewerkers mag verlangen dat deze meewerken. Werkgevers mogen medewerkers daarom naar huis sturen als deze verkoudheids- of griepverschijnselen vertonen.

Mag de werkgever een werknemer vragen om contact op te nemen met een arts?
Werkgevers mogen hun werknemers altijd vragen om contact op te nemen met de bedrijfsarts, arbodienst of huisarts voor controle, aldus de toezichthouder. Wanneer de arts vermoedt dat de werknemer het coronavirus heeft, zal deze contact opnemen met de GGD. De GGD overlegt dan met de werkgever over eventuele maatregelen op de werkvloer.

De autorisatiematrix; fundament onder je digitale veiligheid

Met een goede autorisatiematrix regel je de digitale toegangsrechten van medewerkers op functieniveau in je organisatie. Dat is een onmisbaar onderdeel van de verplichting die uit de AVG voortkomt om aantoonbaar te maken dat je de beveiliging van persoonsgegevens serieus neemt. Daarmee help je de organisatie ook te behoeden voor datalekken en de bijbehorende (reputatie-)schade. De AVG verplicht elke organisatie om niet alleen aan te kunnen geven hoe ze de gegevens van betrokkenen (klanten, medewerkers) verwerkt, maar ook hoe je die beveiligt. Vastleggen welke rechten functionarissen op onderdelen van je programmatuur hebben, is daarbij noodzakelijk. Het is gebruikelijk om daarbij voor de toegang tot bepaalde onderdelen uit te gaan van het “need-to-know” principe. Dat wil zeggen dat een functionaris alleen toegang krijgt tot die delen van het systeem die nodig zijn om zijn of haar functie naar behoren te kunnen uitoefenen. Zo hoeft een HR medewerker geen toegang te hebben tot bijvoorbeeld de boekhouding of de ledenadministratie en zo hoeft een baliemedewerker geen toegang te hebben tot de salarisadministratie. Bovendien leg je vast welke rechten een functionaris heeft in die onderdelen waar hij/zij toegang tot heeft. Zo kan alleen lezen van toepassing zijn, maar ook wijzigen, aanvullen of verwijderen.

Hoe maak je nu zo’n matrix? Wel dat is heel eenvoudig. Begin met op te schrijven welke functies er in jouw organisatie zijn, bijvoorbeeld directie, marketing, manager van de vrijwilligers, et cetera. Dus geen namen van mensen, want dan zou je steeds bij personeelswijzigingen moeten aanpassen. Vervolgens benoem je de delen van je programmatuur die je van elkaar wilt kunnen separeren, bijvoorbeeld boekhouding, salarisadministratie, ledenadministratie, enz. Open Excel of een andere spreadsheet en zet de functies op de X-as en de systeemdelen op de Y-as. Je krijgt dan een matrix van cellen waarin je met een code de rechten die een functionaris heeft invult voor dat deel van het systeem. Bijvoorbeeld baliemedewerker in ledenadministratie mag lezen, wijzigen en aanvullen maar niet verwijderen. Als je googelt op “afbeeldingen autorisatiematrix” vind je legio voorbeelden hiervan.

Eenmaal vastgelegd moet je het natuurlijk ook uit (laten) voeren in je systeem, communiceren naar je mensen en iemand benoemen die controle uitoefent en waar nodig voorstellen voor aanpassing van de matrix kan doen. Op die manier heb je inzicht, overzicht en is dus een belangrijke voorwaarde vervuld om te kunnen managen.

Rechten van klanten en medewerkers

De AVG wijdt een heel hoofdstuk aan de rechten van mensen waarvan organisaties persoonsgegevens verwerken. Dat is ook wel een belangrijk doel van privacywetgeving in zijn algemeenheid, namelijk burgers zelf de beschikking geven over hun persoonsgegevens. We bespreken hieronder een aantal (niet uitputtend) relevante rechten voor bibliotheken. Raadpleeg waar nodig je privacy-officer of functionaris voor de gegevensbescherming voor gedetailleerde informatie.

• Recht op informatie. Hieraan voldoen we o.a. door de privacyverklaring op de website en meestal ook in het personeelshandboek. We geven een duidelijke en concrete omschrijving van de manier waarop de organisatie omgaat met persoonsgegevens. Het is een goede zaak om elk jaar te controleren of de tekst nog wel voldoet aan de huidige situatie.
• Recht van inzage en correctie. Een burger heeft recht op uitleg over welke gegevens van hem of haar verwerkt worden en hoe dat gebeurt, alsook op een (gratis) kopie van die gegevens. Let op dat dit inzage in alle gegevens over de betrokkene betreft, dus ook van bijvoorbeeld persoonlijke notities in een personeelsdossier. Een burger heeft ook het recht om te verlangen dat feitelijke onjuistheden gecorrigeerd worden.
• Recht op gegevenswissing. Dit geldt natuurlijk niet als er een wettelijke bewaarplicht op rust of als de gegevens gebruikt kunnen worden bij een rechtsvordering. Als de gegevens gebruikt worden voor Direct Marketing doeleinden kan altijd bezwaar worden gemaakt waarna de verwerking ook daadwerkelijk moet worden gestaakt.
• Recht van bezwaar. Wanneer een organisatie persoonsgegevens verwerkt met “taak van algemeen belang” of “gerechtvaardigd belang” als rechtsgrond dan heeft de betrokkene het recht om bezwaar te maken tegen deze verwerking. De organisatie dient dan een belangenafweging te maken en heeft dientengevolge een onderzoekplicht. Als het belang van de organisatie niet zwaarder weegt dan de mogelijke schending van de privacy van de betrokkene, dient de organisatie de verwerking te staken en de betrokkene daarvan op de hoogte te stellen. Leg in ieder geval de overwegingen per casus vast.

Screening van sollicitanten en de AVG

Omdat screening een grote impact kan hebben op de privacy van een sollicitant is deze gebonden aan een aantal wettelijke voorwaarden. Zoals voor elke verwerking van persoonsgegevens is ook hier een geldige rechtsgrond noodzakelijk. In de meeste gevallen zal dat het “gerechtvaardigd belang” van de organisatie zijn en dat is ook terecht omdat keuze van geschikte medewerkers van grote invloed is op het functioneren van de organisatie. Gerechtvaardigd belang is echter pas toepasbaar als je in deze zorgvuldig handelt en dus een belangenafweging hebt gemaakt, deze vastlegt en ook vooraf aan de sollicitant communiceert. In deze afweging spelen, naast een goede beveiliging van de persoonsgegevens, twee zaken een rol, namelijk proportionaliteit en subsidiariteit. In gewoon Nederlands betekent dit dat u 1) moet nagaan of de screening wel in verhouding staat tot de mogelijk schending van de privacy van de sollicitant en 2) of u niet met minder ingrijpende middelen hetzelfde doel kunt bereiken. Eerst dan is de screening noodzakelijk en legitiem.

Er zijn meerdere vormen van screening denkbaar. Een bijzondere vorm die wat extra aandacht verdient, is via social media. Het is een wijdverbreid misverstand om te denken dat u de gegevens die iemand van zichzelf op social media heeft gezet zomaar mag gebruiken bij de selectie van een kandidaat. Ook hiervoor is een belangafweging als hiervoor genoemd vereist. De kans dat er “gedoe” van komt is klein, maar een rancuneuze afgewezen kandidaat die kan aantonen dat je voor de beoordeling onterecht gebruik hebt gemaakt van social media, kan je zomaar in de problemen brengen. Een connectieverzoek naar een kandidaat sturen is eveneens ongewenst omdat deze zich dan verplicht zou kunnen voelen om de uitnodiging te accepteren. Als de kandidaat zelf een connectieverzoek aan je stuurt, is dit natuurlijk anders.

Gegevens van een sollicitant mag je overigens tot een maand na sluiting van de procedure bewaren zonder diens toestemming. Daarna is toestemming vereist voor een bepaalde (meestal een jaar) periode. De resultaten van de screening mag je alleen voor dat ene doel gebruiken.

Tips

Ook dit jaar worden er weer stamtafels digitale veiligheid georganiseerd. Kijk in de agenda en meld je aan!

In 10 stappen naar een privacy-proof Taalhuis. Het Taalhuis van de bibliotheek verwerkt gegevens van deelnemers en vrijwilligers en moet dus voldoen aan de privacywetgeving (AVG). ProBiblio heeft een stappenplan opgesteld om de privacy van taalleerders en taalvrijwilligers beter te beschermen.

Tools voor leesconsulenten ten behoeve van het informeren over geaccrediteerde schoolbibliotheeksystemen en privacy in het kader van de AVG. Met de stappenplannen kan de school alle noodzakelijke leerlinggegevens uit de schooladministratie exporteren voor de ledenadministratie van de bibliotheek.

Heb je tips en tops op het gebied van privacy en AVG in de bibliotheek? Heb je een mooie casus behandeld tijdens een werkoverleg die je graag wilt delen? Laat die dan achter in de Biebtobieb groep Informatiebeveiliging en Privacy - Brabant en Limburg