Privacy Informatiemanagementsystemen: een inventarisatie

Een van de verplichtingen van de AVG is kunnen aantonen dat je aan de AVG voldoet. Dat vraagt om het bijhouden van een administratie en het kunnen rapporteren van bevindingen. Dit kan door het inrichten van een eigen documentensysteem, maar er bestaan ook systemen waarin je de AVG-administratie kunt vastleggen. De landelijke werkgroep Privacy en Informatiebeveiliging doet hier onderzoek naar.

In het kader van de AVG houdt iedere organisatie documentatie bij: verwerkingsregister, verwerkersovereenkomsten, DPIA's etc. Veelal wordt er gewerkt met Word- en Excel-documenten. Voor bibliotheken geldt dat een groot deel van de verwerkingen voor iedere organisatie (ongeveer) gelijk is, maar dat iedereen een eigen administratie bijhoudt.

Eén systeem met een eigen omgeving per bibliotheek

Er bestaan echter systemen waarin je deze administratie centraal kunt vastleggen en daarna kunt delen met meerdere organisaties. Dat betekent bijvoorbeeld dat de verwerkingen die in een bibliotheeksysteem worden gedaan in een centraal verwerkingsregister worden opgenomen en gedeeld kunnen worden met de bibliotheken.  

Uiteraard heeft de bibliotheek een eigen verantwoordelijkheid wat betreft de AVG.  De bibliotheek zou daarom binnen het systeem een eigen omgeving hebben en kan indien nodig aanpassingen maken in wat wordt gedeeld, maar ook eigen verwerkingen toevoegen (en eventueel delen). 

Verhogen privacy-volwassenheidsniveau

Dergelijke systemen beschikken verder over de procedures voor Registratie Datalekken en Rechten Betrokkenen en kunnen DPIA's uitvoeren. Gebruik van een privacy-systeem biedt voordelen qua efficiëntie en kunnen het privacy-volwassenheidsniveau van een bibliotheek verhogen.

Een ander voordeel is dat je rapportages kunt maken. Op basis hiervan zijn bijvoorbeeld risico-inschattingen te maken. Daarnaast is het eenvoudiger om aan te tonen dat je bibliotheek aan de AVG voldoet, zoals voor de accountant en de certificering door CBCT.   

De mogelijkheden zijn voor de landelijke werkgroep Privacy en Informatiebeveiliging een reden om verder te onderzoeken wat er op de markt is, of bibliotheken hier mee geholpen zijn en wat de mogelijkheden zijn om een dergelijk systeem aan te bieden, zowel wat betreft kosten als inrichten van het beheer.  

Vragen of meer weten?

Het onderzoek is nog in volle gang. Voor meer informatie, neem contact op met Rineke Zwanenburg of meld je aan voor de Privacy Special.