Vervolgacties n.a.v. IDPO-memo jurist

In de vorige nieuwsbrief berichten wij over het door de juristen van Dirkzwager opgestelde IDO-memo over de wijze waarop persoonsgegevens verwerkt kunnen worden in het Informatiepunt Digitale Overheid (IDO). Naar aanleiding hiervan hebben wij Privacy-officer Nathan Speekenbrink gevraagd om een aantal zaken voor de bibliotheken uit te werken. Hieronder een opsomming van zaken die door hem en Probiblio/SPN gerealiseerd zijn en worden.

Lees hier het artikel over het IDO-memo van de juristen van Dirkzwager.

Onderbouwing privacybeleid

In het memo hebben de juristen geconcludeerd dat een aantal verwerkingen die binnen de bibliotheekdienstverlening plaatsvinden geschaard kunnen worden onder de grondslagen ‘Publieke taak’ en ‘Gerechtvaardigd belang’. De onderbouwing van deze keuze dient gedaan te worden in het privacybeleid. Dat is best een klus, omdat per verwerking de onderbouwing moet beschreven worden. Daarom is het goed dat daar een voorbeeldonderbouwing voor wordt geschreven die de bibliotheek kan aanpassen en opnemen in zijn eigen privacybeleid. Ook laten we deze onderbouwing door de juristen van Dirkzwager controleren.

Aanpassen toestemmingsformulieren

De grondslag ‘Toestemming’ is nog steeds een solide grondslag om het verwerken van persoonsgegevens op te baseren. De verkregen toestemming moet aangetoond worden en een mogelijke oplossing is dit vast te leggen met een toestemmingsformulier. Omdat inmiddels duidelijker is geworden welke handelingen wel en niet onder de AVG vallen, is het noodzakelijk om de bestaande toestemmingsformulieren opnieuw onder de loep te nemen. Daar waar de bibliotheek bijzondere persoonsgegevens verwerkt is uitdrukkelijke toestemming altijd noodzakelijk. De toestemmingsformulieren worden daarom aangepast voor het gebruik in twee scenario’s:

  1. De bibliotheek baseert de verwerking van persoonsgegevens op de grondslag ‘toestemming’;
  2. De bibliotheek maakt alleen gebruik van een toestemmingsformulier bij het verwerken van bijzondere persoonsgegevens.

Training Privacy in het IDO (PIDO)

Inmiddels is het merendeel van de bibliotheken getraind d.m.v. van de PIDO-training. Daar waar de inhoud van de training zich tot begin dit jaar baseerde op het gebruik van toestemming, is dit nu aangepast naar de laatste zienswijze. Er wordt meer ingegaan op de begrippen persoonsgegevens, verwerken, en toestemming vragen en er wordt duidelijker onderscheid gemaakt tussen handelingen die wel en niet onder de AVG vallen. De boodschap blijft ‘blijf weg van de inhoud’ en maak het de bezoeker goed duidelijk wat je voor hem/haar doet. Daarbij is het maken van keuzes van wat je wel en niet toestaat een constante factor. Want misschien mag de verwerking volgens de AVG wel, maar moet je je afvragen of je het als bibliotheek ook aan je medewerkers wilt toestaan. De kwaliteit een eenduidigheid van de dienstverlening valt of staat bij heldere en duidelijk afspraken vooraf en regelmatige intervisie.

Handreiking ‘hulp bieden binnen het Informatiepunt Digitale Overheid’

In 2021 (versie 1) en 2022 (versie 2) is de handreiking van de KB en SPN verschenen. De nieuwe inzichten hebben gevolgen voor de inhoud van de handreiking. Deze zullen dan ook in het stuk verwerkt worden en goedgekeurd moeten worden door de betrokken instanties.

IDO-e-learning

Om op alle plekken dezelfde informatie te kunnen bieden is inmiddels ook de IDO-e-learning van een update voorzien, waarbij de links en informatie is gecheckt en het deel over Privacy is aangepast.

E-learning ‘De basis van privacy”

Om bibliotheekmedewerkers de basisbeginselen van de AVG en privacy te leren is door Probiblio een e-learning gemaakt die via de bibliotheekcampus te volgen is. De e-learning is gericht privacy in de bibliotheekprakrijk en kost 1 á 1,5 uur om te volgen. We gaan kijken in hoeverre de nieuwe inzichten ook in deze e-learning een plek moeten krijgen.

Vraag de e-learning aan.

Realisatie

Een aantal zaken zijn al gerealiseerd zoals de aanpassing van de PIDOtraining en de IDO e-leaning. Andere zaken nemen meer tijd, omdat het op een correcte manier verwerken van de informatie en de inspraakrondes tijd kosten. Waar nodig zal er nog een juridische check plaatsvinden. We trekken er hard aan en hopen begin Q3 alle benoemde werkzaamheden afgerond te hebben. Uiteraard kan je zelf al beginnen met het aanpassen van je privacybeleid, maar met het vooruitzicht op onderbouwde voorbeeldteksten zou je ook kunnen besluiten daarop te wachten. Ondertussen is het verstandig om je eigen afspraken nog eens tegen het licht te houden en de afweging te maken hoe je het verwerken van persoonsgegevens wilt regelen.

Meer weten hierover? Maar naar Edo Postma.

Meer informatie

Het memo is voor bibliotheken beschikbaar en op te vragen bij Edo Postma. Ook voor vragen over dit onderwerp kan je contact opnemen met Edo of de Privacy helpdesk privacy@probiblio.nl.

Dit artikel is bedoeld voor Privacy Coördinatoren en IDO-Coördinatoren van openbare bibliotheken.

De informatie verstrekt door de Privacy Servicedesk is informatief bedoeld. Hoewel ze met zorg is samengesteld, kunnen fouten niet geheel worden uitgesloten. De informatie bevat geen juridisch advies. Probiblio aanvaardt derhalve geen enkele aansprakelijkheid voor handelen door uzelf of door derden op basis van de informatie in dit bericht. Voorts zijn de Algemene Leveringsvoorwaarden van Probiblio van toepassing op de Privacy Servicedesk.

April 2023