‘Landelijke werkgroep Privacy en informatiebeveiliging: onmisbaar voor bibliotheken’

Hoe relevant aandacht voor privacy en informatiebeveiliging is, bewees de recente hack bij Bibliotheek Rotterdam. Toch krijgt het vaak onvoldoende aandacht. In de landelijke netwerkgroep Privacy & Informatiebeveiliging zijn POI’s, KB, VOB en vooroplopende bibliotheken vertegenwoordigd. De groep signaleert risico’s, vormt adviezen en wisselt ervaringen uit over de gevolgen van AVG voor bibliotheken. In dit interview lichten 3 leden toe waarom de groep onmisbaar is en wat hun ambities zijn. 

De groep specialisten komt gemiddeld 6 keer per jaar samen, gefaciliteerd door de VOB. Daarnaast vinden er allerlei overleggen plaats in wisselende samenstelling.

Aan het woord zijn Toon Kets (VOB), voorzitter Nathan Speekenbrink (Privacy consultant in de bibliotheeksector) en Koen Baaij (Functionaris Gegevensbescherming bij de KB). Verder bestaat de groep uit privacy officers, adviseurs, functionarissen gegevensbescherming en andere verantwoordelijken vanuit bibliotheken, POI’s, KB en VOB.

Wat was de aanleiding voor het ontstaan van de werkgroep?

Koen: ‘Met de komst van de Algemene Verordening Gegevensbescherming (AVG) in 2018 was nog onduidelijk wat dit voor bibliotheken zou betekenen. De samenwerkende POI’s zijn in eerste instantie in actie gekomen om de koppen bij elkaar te steken, en om de branche hier gezamenlijk op voor te bereiden. De aandacht die AVG nu heeft is toen begonnen. Bibliotheken zijn in actie gekomen en vooroplopende bibliotheken zijn nu ook aangesloten bij de werkgroep. Informatiebeveiliging is inmiddels ook een belangrijk onderdeel van de scope geworden. Die twee zijn onlosmakelijk met elkaar verbonden.’

Wat doet de werkgroep precies?

Koen: ‘We signaleren wat er speelt, binnen én buiten de sector. Risico’s en ontwikkelingen merken we vroeg op, delen we met elkaar en soms ondernemen we ook actie naar betrokken partijen. Er is dus ook buiten de groep veel contact, we bespreken bijvoorbeeld kwesties rond verwerkersovereenkomsten en beveiligingslekken. Gezamenlijk proberen we risico’s te verkleinen en mogelijke impact te beperken, al is het nooit helemaal waterdicht.’

Lees ook:  'Je hackt toch geen bibliotheek?'

Wat zijn onderwerpen die zoal jullie aandacht krijgen?

Toon: ‘De Informatiepunten Digitale Overheid (IDO’s) zijn vaak onderwerp van gesprek. Daarbij schuilt het gevaar dat risicovolle en kwetsbare informatie wordt gewisseld met bibliotheekmedewerkers en goedbedoelde maar vanuit de AVG ongewenste handelingen worden gedaan. Wij koppelen onze waarnemingen terug naar de landelijke IDO-werkgroep die dat in hun trainingen verwerkt. Maar we spreken bijvoorbeeld ook over de Bibliotheek op school, voorleeswedstrijden, datalekken, gegevensuitwisseling met de KB, bewaartermijnen, geheimhouding, en cyberverzekeringen.’

Koen: ‘We hebben soms ook een politieke functie. Zo signaleerden we dat in communicatie over de IDO’s werd verkondigd dat het IDO dé oplossing is voor alle vragen rondom de digitale overheid. Maar dat is het niet, het gaat vooral over informeren en doorverwijzen. Die boodschap was niet helder. Door het doorgeven van dat soort signalen, kunnen we ook een verschil maken.’

Nathan: ‘Een heel mooi resultaat zijn twee e-learnings (‘De basis van privacy’ en ‘Maken en gebruiken van foto’s en videobeelden’) die nu voor elke bibliotheek te vinden zijn op de Bibliotheekcampus. Dat zou standaard kost moeten zijn bij elk onboardingprogramma in de bibliotheek, voor vrijwilligers én betaalde krachten.’

Koen: ‘Een ander voorbeeld is de Leergang Informatiebeveiliging. Die organiseert Probiblio dit jaar voor de tweede keer en is een groot succes.’

Wat is de meerwaarde van de werkgroep?

Koen: ‘Door ervaring en kennis met elkaar te delen en samen te werken waar het kan, versterken we onszelf en elkaar. Ons doel is om bibliotheken te ondersteunen naar bij compliant, efficiënte en effectieve privacy en informatiebeveiliging, door landelijk samen op te trekken. Uitdagingen rond privacy en informatiebeveiliging zijn voor veel bibliotheekorganisaties soortgelijk, dus het is logisch om zaken eenmalig goed uit te zoeken en vervolgens te delen in het landelijke netwerk.’

Zoals?

Nathan: ‘Veel verwerkersovereenkomsten zijn relevant voor meerdere partijen, deze hoeven niet telkens opnieuw beoordeeld te worden maar kunnen na eenmalige grondige analyse door allen overgenomen worden.’

Toon: ‘Een heel belangrijk onderdeel is ook dat wij proactief adviseren. We werken in de branche met veel organisaties, bijvoorbeeld Stichting Lezen en Schrijven en CPNB. Bij samenwerking komen privacykwesties kijken. Als je daar niet scherp op bent, is de kans groot dat je daarmee een risico loopt. Als de werkgroep constateert dat er ergens tekortkomingen zijn, dan kijken we hoe we daar voor de sector samen met betrokken partijen iets aan kunnen doen. Misschien moeten we een training opzetten, of kunnen we anderzijds adviseren. We vragen ons altijd af: hoe voorkomen we risico's voor bibliotheken, en dragen we bij aan een privacybestendige bibliotheek?’

Waar lopen jullie met de werkgroep vooral tegenaan?

Nathan: ‘De groep heeft geen officiële status. Veel van wat we bespreken blijft binnen de groep en dat is jammer. En ook qua financiën: de trainingen en informatievoorzieningen rondom het IDO zijn voornamelijk vanuit Probiblio gekomen, maar de groep zou zelf keuzes moeten kunnen maken. Dan kunnen we alle problemen aanpakken die op ons pad komen en nog vraaggerichter werken zodat we nog meer kunnen betekenen voor de bibliotheken en POI’s.’

Koen: ‘Dan kun je als groep ook een opdracht hebben waar je naar toe werkt. Het is heel waardevol om breed met bibliotheken mee te denken over wat er nodig is.’

Toon: ‘Het is een heel gemêleerde groep. De nodige middelen hiervoor zijn vrij beperkt, het zal gaan om wat juridisch advies hier en daar. Als een POI nu in een deelonderwerp geld stopt en het alleen beschikbaar stelt in diens werkgebied, is dat heel begrijpelijk. Maar het is veel mooier als het dan ook landelijk beschikbaar komt. Dat kan alleen als de werkgroep een formele status krijgen. Dat zal bepaald moeten worden door de VOB, KB en SPN gezamenlijk.’

Wat staat bovenaan jullie prioriteitenlijstje?

Toon: ‘Dat we als groep nadenken hoe we ervoor zorgen dat onze hele branche een hoge mate van kwaliteit van privacy en informatiebeveiliging heeft. Dat iedereen afweet van de informatiebeveiligingsstandaard en ernaar handelt. Je kunt niet alle hacks en problemen voorkomen, maar wel heel veel. Met normeringen zoals de Baseline Informatiebeveiliging Overheid (BIO) of ISO-certificering kun je veel afdwingen, maar het gaat om het effect. Hoe zorg je dat je zoveel mogelijk voorkomt? Bibliotheken behandelen elke dag personeels- en ledeninformatie, dat maakt hen kwetsbaar. Het is zaak dat elke bibliotheek daar zorgvuldig mee omgaat.’

Koen: ‘Het is wat mij betreft een risicogebaseerde aanpak: wat het hoogste risico oplevert, pakken we als eerste aan. Veel bibliotheken zijn nog niet op het juiste niveau en hebben nog serieuze stappen te zetten. We moeten beseffen dat we van grote groepen Nederlanders gegevens in onze systemen hebben. Gegevens die ons worden toevertrouwd door ouders, senioren, mensen met een migratieachtergrond, studenten, basisschoolleerlingen, taalleerders, et cetera. Daar moeten we goed mee omgaan. Onze doelgroepen verdienen het om beschermd te worden. Dat is denk ik waar het allemaal begint, ook voor de werkgroep.’

Meer weten?

Wil je meer weten over de werkgroep, privacy of informatiebeveiliging? Neem contact op met Nathan Speekenbrink of Toon Kets, of met Koen Baaij voor meer informatie over de leergangen.

Of volg direct de e-learnings:

• Aanvraag e-learning Maken en gebruiken van foto’s en videobeelden
• Aanvraag e-learning 'De basis van privacy'

Schrijf je ook in voor Probiblio’s nieuwsbrief: Privacy en Informatiebeveiliging. Je ontvangt dan elke 2 maanden het laatste nieuws van onze adviseurs.

Foto: Toon Kets, Nathan Speekenbrink en Koen Baaij