KB levert gegevens online bibliotheekgebruikers

Het is voor elke bibliotheek mogelijk om bij de KB, beheerder van de landelijke online bibliotheek, op te vragen wie van hun eigen leden gebruik maakt van het ebook-abonnement. Dit is handig, want je kunt hiermee bijvoorbeeld een campagne over de online bibliotheek heel specifiek richten op bepaalde leden. Maar hoe zit het met het de AVG; waar moet jouw bibliotheek op letten?

September 2020

De KB beheert de landelijke online bibliotheek. Alle bibliotheekleden kunnen rechtstreeks bij de KB of via hun eigen bibliotheek lid worden van de online bibliotheek. Bibliotheken hebben in hun systeem geen informatie over welke leden gebruik maken van de online bibliotheek, en dat is in bepaalde gevallen toch handige informatie – bijvoorbeeld bij een gerichte campagne over de online bibliotheek, of als je leden wil informeren over een tariefwijziging. De KB heeft aan bibliotheken op 29 juni bericht gestuurd dat deze informatie beschikbaar gesteld kan worden aan bibliotheken. Als een bibliotheek gebruik maakt van de dienst plaatst KB een bestand dat regelmatig ververst wordt op een sFTP server zodat een bibliotheek of systeemleverancier ze kan downloaden en inlezen in het bibliotheeksysteem.

Hoe zit het met de AVG?

De KB geeft in haar bericht aan dat zij deze informatie beschikbaar stelt vanuit haar wettelijke taken uit de Wsob, en beroept zich hierbij op de grondslag algemeen belang. De bibliotheken en KB zijn dus gezamenlijk verwerkingsverantwoordelijk voor verwerkingen van persoonsgegevens rond de online bibliotheek.

Wil je als bibliotheek deze data ophalen, inlezen in je bibliotheeksysteem en gaan gebruiken? Dan heb je ook een AVG-grondslag nodig. Waarschijnlijk biedt de Wsob hiertoe voor bibliotheken geen mogelijkheid, maar geven de grondslagen gerechtvaardigd belang en uitvoeren van een overeenkomst wel mogelijkheden. Of dit voor jouw bibliotheek ook zo is, hangt af van wat je bibliotheek hierover heeft opgenomen in het inschrijfformulier dat door deze groep leners is gebruikt, de algemene voorwaarden en privacyverklaring. Het is aan te raden om deze stukken te bestuderen en beoordelen of de verwerkingen onder de genoemde (of andere) grondslagen uit te voeren zijn door de bibliotheek. Vergeet niet de nieuwe verwerkingen vast te leggen in je verwerkingsregister. Het is de bedoeling dat de bibliotheek dit zelf kan rechtvaardigen, gelet op het verantwoordingsbeginsel uit art. 5 lid 2 AVG.

Daarnaast moeten de verwerkingen voldoen aan de AVG-beginselen in art. 5 AVG. Vooral transparantie behoeft hier aandacht, het is de bedoeling dat de leden die het betreft op de hoogte zijn van de uitwisseling van deze gegevens, dus neem het op in het privacyverklaring. KB leverde hiervoor in haar bericht al een modeltekst. Omdat sprake is van een nieuw verwerkingsdoel zal dit formeel ruimschoots vooraf kenbaar gemaakt moeten worden aan bibliotheekleden en moet aan leden het recht van opt-out (bezwaar) aangeboden moeten worden.

Dat is geregeld. En nu?

Nadat je hebt gezorgd dat de verwerkingen AVG-proof kunnen worden uitgevoerd, kun je KB met het formulier dat in de e-mail werd meegezonden opdracht geven de gegevens klaar te zetten. Geef vervolgens je bibliotheeksysteem-leverancier via e-mail opdracht om de data op te halen en in te lezen. Als je een verwerkersovereenkomst hebt met je leverancier dan zijn de afspraken daarin van toepassing op deze nieuwe verwerking.
Vergeet niet om de nieuwe verwerking ook te administreren in het verwerkingsregister (art. 30 AVG).

Ontstaan er onverhoopt toch problemen rond de uitwisseling? KB en bibliotheek zijn gezamenlijk verwerkingsverantwoordelijk, dus ga dan met KB (privacypunt@kb.nl) in overleg over hoe je daarmee om kunt gaan.

Meer weten?

Lees de berichtgeving hierover op MetdeKB.nl, of via je accountmanager van KB.

Meer informatie

Voor meer informatie over dit artikel of overige vragen, neem contact op met Koen Baaij (privacy@probiblio.nl, 023-5546100).

Dit artikel is bedoeld voor Privacy Coördinatoren van openbare bibliotheken in Noord- en Zuid-Holland.

De informatie verstrekt door de Privacy Servicedesk is informatief bedoeld. Hoewel ze met zorg is samengesteld, kunnen fouten niet geheel worden uitgesloten. De informatie bevat geen juridisch advies. Probiblio aanvaardt derhalve geen enkele aansprakelijkheid voor handelen door uzelf of door derden op basis van de informatie in dit bericht. Voorts zijn de Algemene Leveringsvoorwaarden van Probiblio van toepassing op de Privacy Servicedesk.