De Algemene Verordening Gegevensbescherming (AVG) is de opvolger van de Wet bescherming persoonsgegevens (Wbp) en geldt sinds mei 2018. Deze Europese wet schrijft voor dat alle instanties die werken met persoonsgegevens moeten voldoen aan strenge eisen. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR) (bron). Het onderwerp privacy is in de bibliotheek dus niet nieuw, maar roept nog steeds veel vragen op. Ook wordt steeds duidelijker dat elke bibliotheek er anders mee omgaat of dat het zelfs voelt als ver van hun bed-show.

Wat houdt de functie Functionaris Gegevensbescherming (FG) in?

“Ik ben een onafhankelijke interne privacytoezichthouder. Het is mijn taak om erop toe te zien dat binnen onze organisatie alles volgens de regels verloopt. Ik ben een vraagbaak voor collega’s en een soort verlengstuk van de Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond. Ik mag wettelijk gezien geen hand en spandiensten uitvoeren. Ik mag slechts adviseren en meedenken. Ik werk nauw samen met onze ICT-manager, die verantwoordelijk is voor informatiebeveiliging. Informatiebeveiliging wordt steeds belangrijker: hoe meer spannende dingen je doet vanuit je bibliotheek, hoe meer je zeker moet weten dat je systemen ook echt veilig zijn en niemand er zomaar bij kan.”

“Veel bibliotheken zullen geen FG hebben, maar wel een Privacy officer (PO). De rol van PO kan verschillend worden ingevuld, waarbij de eindverantwoordelijkheid voor het voldoen aan de AVG altijd ligt bij de directeur/bestuurder. In onze bibliotheek wordt van de managers van betreffende afdelingen verwacht dat ze van alle privacy-aspecten die een rol spelen binnen hun team en de organisatie wat af weten. Wij hebben dus niet één PO.”

Waarom hebben jullie niet één PO aangesteld?

“Het gevaar bestaat dat als je het bij één iemand neerlegt het al snel wordt gezien als het dingetje van diegene. Als die dan nergens over piept, zal het wel goed zijn. Dat moet je zien te voorkomen. Ook wil je dat het constant de aandacht houdt en er altijd over na wordt gedacht, door iedereen. Niet alleen door de PO. Het begint allemaal bij de directie, die de noodzaak inziet en dat het daarna wordt gedragen door iedereen in de organisatie en zeker ook de mensen die op de vloer staan. Ook zij moeten weten hoe te handelen in geval van een incident.”

“Het geeft de managers ook de mogelijkheid om zelf naar antwoorden te zoeken. Soms lijkt het alsof iets niet kan, maar dan moeten we er gewoon wat beter over nadenken. Bijvoorbeeld bij marketingacties, waar je in het verleden onnadenkend van alles over iedereen uit kon storten. Of een uitnodiging waarvoor men allerlei informatie moest invullen om zich te kunnen aanmelden. Als ik uitleg dat je sommige dingen niet zomaar mag doen, maar er over na moet denken, dat zien ze in dat het eigenlijk wel meevalt.”

Wat drijft jou in dit werkgebied?

“Ik vind dat privacy één van de rechten is die we als burger hebben waar we voorzichtig mee om moeten gaan en dat we er te weinig op letten. Ga maar na hoe makkelijk wij overal onze gegevens achterlaten. Als we korting kunnen krijgen dan vullen we zonder blikken of blozen van alles in. Die gegevens kunnen bij de verkeerde mensen terecht komen en daar kun je veel last van krijgen. Ik vind het belangrijk, zeker voor een organisatie als bibliotheken, dat we bewust omgaan met gegevens van klanten, bezoekers, partners en medewerkers. Het is goed dat er steeds beter wordt nagedacht over waar gegevens worden opgeslagen. Zo weten we dat het niet slim is om servers in Amerika of Rusland te gebruiken, omdat ze daar anders omgaan met data en overheden makkelijker toegang hebben.”

Hoe reëel is zo’n dreiging voor een bibliotheek in Nederland?

“Het gevaar zit hem vooral in dat we bij een incident, bijvoorbeeld een datalek, te laat reageren. Vanuit de wet ben je verplicht heel snel te handelen, je hebt maar een paar dagen en dan moet je echt wel iets gedaan hebben anders riskeer je een boete. Die kan hoog oplopen.”

“In onze branche hebben we het nooit echt over die geldelijke boete: het moet wel heel gek lopen wil je een miljoenenboete krijgen. Maar als een journalist lucht krijgt van zoiets omdat een klant ze heeft ingelicht en de gemeente komt er achter, dan heb je zo je wethouder achter je aan hollen. Voordat je het weet heb je slechte publiciteit. Daar zijn we nog het meeste bang voor, dat mensen denken ‘zo veilig is die bibliotheek toch eigenlijk niet’.”

Wat moet een bibliotheek ten minste op orde hebben wil het voldoen aan de wetgeving?

“Toen wij startten met het beleid, wisten we meteen dat we nooit voor 100% konden voldoen. De wet is zó omvangrijk. Wat wij hebben gedaan, is goed nadenken waar wij als organisatie voor staan. Dat is vrij makkelijk om te bepalen, want elke bibliotheek heeft iets van een meerjarenplan waarin je nadenkt over de toekomst en wie je bent. Jouw privacybeleid moet hiervan een doorvertaling zijn. Als wij een neutrale plek in de maatschappij willen zijn en als iedereen veilig bij ons wil komen werken en leren, dan moeten we ervoor zorgen dat vanuit de AVG de mensen ook echt veilig zijn.”

Hoe pakt een bibliotheek die nog weinig weet dit aan?

1. Breng in kaart wat je allemaal doet en welke persoonsgegevens je daarvoor gebruikt.
2. Ga na welke systemen je gebruikt om je werk te doen. Digitaal én analoog.
3. Ga ook na waar je gegevens opslaat; is dat een server bij jou op locatie of doe je alles in de cloud? En hoe gaan de systemen die je gebruikt, bijvoorbeeld Bicat Wise of Survey Monkey, om met gegevens? Bepaal of het nodig is om een verwerkersovereenkomst af te sluiten, dan leg je afspraken over en weer vast over hoe persoonsgegevens zijn beveiligd, en in geval van een calamiteit is duidelijk wie waarvoor verantwoordelijk is.
4. Kijk welke persoonsgegevens je verzamelt door de dag heen. Herhaal dit na een tijd, want vaak vergeet je toch nog elementen of opeens ga je een andere manier van werken hanteren. Zorg ervoor dat als jij zegt bepaalde gegevens voor een bepaalde tijd te bewaren, dat je je dan ook aan die bewaarperiode houdt. Bekijk of je het verzamelen van gegevens kunt minimaliseren: bepaal wat je écht nodig hebt om het doel te bereiken.
5. Als je alles op papier hebt, kun je het gaan verankeren in de organisatie door verwerkingsregisters aan te leggen en te weten wat je moet doen bij datalekken.

Voor welke uitdaging staan bibliotheken nu?

“Je moet er tijd voor vrijmaken. Als je al veel andere dingen hebt te doen in je functie, dan is dit toch iets dat snel ondersneeuwt. Het is ook niet het meest sexy onderwerp, kan me ook voorstellen dat je het even weglegt en voor je het weet ben je weer een jaar verder.”

“Wat ik belangrijker vind is dat collega’s niet zomaar uit zichzelf in de hulp modus schieten. Dat zien we vooral in de IDO’s, waar mensen met vragen komen die betrekking hebben op hun overheidszaken. Het is soms verleidelijk om even voor iemand iets in te typen, maar dat is juridisch een grijs gebied. We moeten erg uitkijken dat we met helpen onszelf niet in de vingers snijden. Daar ligt imagoschade ook weer op de loer.”

Wat wil jij aan bibliotheken meegeven?

“Zie het niet als een last. Zie het als een heel mooie service naar je leden en bezoekers toe. In de zin van: wij zijn neutraal en veilig. Wees ook niet bang voor, want als je er eens goed voor gaat zitten dan zijn er altijd wel weer mogelijkheden om wat je wil, wat niet lijkt te kunnen vanwege de regelgeving, toch te kunnen doen. Zeg nooit ‘mag niet, kan niet’, ga gewoon op zoek naar een manier waardoor het wel kan.”

Zelf aan de slag?
zMaak gebruik van Rinke’s tips om vandaag al met privacy en informatiebeveiliging in jouw bibliotheek aan de slag te gaan.
Volg ook Probiblio’s e-learnings op dit gebied:

• De basis van privacy
• Maken en gebruiken van foto’s en videobeelden

Maak gebruik van dit stroomschema in het geval van een incident.

Meer informatie

Heb jij een vraag over privacy? Neem contact op met Probiblio’s Privacy servicedesk: privacy@probiblio.nl.
Heb je een vraag over informatiebeveiliging? Mail naar informatiebeveiliging@probiblio.nl.

Foto boven artikel: Rene Castelijn.