GDPR is in town

  • 22 mei 2018

Op 25 mei treedt de GDPR (de General Data Protection Regulation) in werking. En daar zijn we blij mee. Want de privacy van de leners is heel belangrijk. Ook bibliotheken en/of gemeenten zijn verantwoordelijk voor verwerkingen van persoonsgegevens van zowel hun leners als hun medewerkers. Veel van die verwerkingen vinden plaats via toepassingen die door de bibliotheken bij Cultuurconnect afgenomen worden, en waarbij Cultuurconnect vaak als verwerker kan gezien worden (samen met de leveranciers van de IT-systemen).

De nieuwe wetgeving rond databescherming geeft ons de kans om samen met jou diensten voor eindgebruikers meer GDPR-conform te maken, aangezien daar heel wat verwerkingen van persoonsgegevens bij komen kijken. We pakken dit aan samen met de net boven de doopvont gehouden Stuurgroep Gemeenschappelijke Basisinfrastructuur Digitale Bibliotheek. 

Onze GDPR-uitgangspositie in drie bullets

  • Cultuurconnect heeft vanaf 1 januari 2018 alle provinciale bibliotheeksystemen in beheer genomen. Prioriteit ging dan ook uit naar de operationele continuering van de PBS’en, met ook de integratie van heel wat provinciale medewerkers in de werking en structuur van Cultuurconnect. Nu deze horde genomen is, gaan we aan de slag met het GDPR-luik van dit verhaal.
  • Parallel werken we hard aan de ontwikkeling van het EBS, waar GDPR-compliancy ‘by design’ meegenomen wordt in het hele ontwikkel- en implementatieproces. In dat kader zetten we met de leverancier werkprocessen op die tot een uitgewerkte verwerkersovereenkomst leiden. Wij stellen ook voor de bibliotheken die aansluiten op het EBS een uniforme verwerkersovereenkomst op als onderdeel van de EBS overeenkomst. 
  • In het kader van de continuering van de bestaande PBS’en die we in beheer hebben, wonnen we advies in bij de Vlaamse Toezichtcommissie. Gezien de specifieke context van consolidatie in het EBS, geeft die aan dat enkel in dat opzicht redelijke inspanningen in het kader van GDPR-compliancy gedaan moeten worden. Investeringen in technische aanpassingen, systeem- of software-updates, … zijn volgens de Toezichtcommissie gegeven de context geen evidentie en dus ook geen noodzaak. Wel kunnen een aantal zaken in kaart gebracht worden op basis van een kosten-batenanalyse, vb. opmaak van een inventaris van wat er effectief gebeurt met de data. We bespreken de te ondernemen ‘redelijke inspanningen’ met de nieuwe Stuurgroep Gemeenschappelijke Basisinfrastructuur Digitale Bibliotheek en koppelen hierover terug via de PBS-nieuwsbrieven. 

Wat is onze aanpak en wat kan je de komende periode van ons verwachten?


Provinciale bibliotheeksystemen

Momenteel voeren wij een grondige analyse van de PBS’en om na te gaan, in overleg met de verschillende leveranciers, of bepaalde aanpassingen aan de software aangewezen zijn. Gezien de kosten-batenanalyse in deze overgangsperiode naar het EBS kunnen we geen investeringen doen om volledig nieuwe versies van de software te laten ontwikkelen. We voelen ons hierin gesteund door het advies van de Vlaamse Toezichtcommissie. Wel bekijken we of we eventueel kleinere aanpassingen op de roadmaps zetten. 

Mijn Bibliotheek

Ook voor Mijn Bibliotheek brengen we momenteel een aantal potentiële actiepunten (rond toegang, logging, toezicht, …) in kaart. Ook hier lopen gesprekken met de leverancier. 
Gezien Mijn Bibliotheek tot doel heeft de online services en de digitale collecties van bibliotheken beschikbaar te maken voor de klanten, zijn de bibliotheken (of lokale besturen) ook hier verwerkingsverantwoordelijken. Wij werken in dit kader aan geactualiseerde gebruiksvoorwaarden voor het platform, inclusief een GDPR-conforme privacyverklaring. Eens deze gefinaliseerd zijn, zullen gebruikers bij een eerstvolgende aanmelding op het platform gewezen worden op de geüpdatete privacyverklaring, en zal hun akkoord gevraagd worden, in functie van verder gebruik van het platform. 

Bibliotheekwebsites

Bibliotheekwebsites zal vanaf eind 2018 (ter vervanging van Mijn Bibliotheek) de interface vormen voor de online services van de bibliotheek en (optioneel) de nieuwsbrieftoepassing Mailchimp. Oost-Vlaamse PBS-bibliotheken zitten al op Bibliotheekwebsites voor hun website en eventueel de nieuwsbrieftoepassing Mailchimp. De website is in het beheer van Cultuurconnect. Daarnaast beheert Cultuurconnect sinds 1 januari 2018 ook een aantal (voorheen) provinciale websiteplatformen. Voor verwerkingen van persoonsgegevens in het kader van bibliotheeknieuwsbrieven is de bibliotheek dan weer de verantwoordelijke. Ook hier bekijken we of bepaalde aanpassingen in deze overgangsperiode aangewezen zijn, opnieuw op basis van een kostenbatenanalyse. Momenteel werken wij aan een geactualiseerde privacyverklaring voor Bibliotheekwebsites en voor de provinciale platformen. Eens die gefinaliseerd is, zal die in de footer geplaatst worden.

Digitale collecties

De digitale collecties (zoals Gopress en Fundels) koppelen met Mijn Bibliotheek, wat ook een continue uitwisseling van persoonsgegevens met zich meebrengt om deze diensten op een performante manier te kunnen aanbieden. Cultuurconnect zal de nodige verwerkersovereenkomsten afsluiten met de leveranciers van de digitale collecties, zodat we zeker zijn dat, ten allen tijde, op een correcte manier met persoonsgegevens zal worden omgegaan. 

Lokale privacyverklaringen en verwerkingsregisters

Momenteel werkt Cultuurconnect aan een goed onderbouwd Informatiebeveiligingsbeleid. Dit is in essentie opgevat als een dynamisch beheersinstrument, waar ook actiepunten in opgenomen (kunnen) worden. Het Informatiebeveiligingsbeleid bevat een aantal bijlagen met een GDPR-analyse van Bibliotheeksystemen en Mijn Bibliotheek. Onder meer volgende thema’s komen hierin aan bod:

  • Welke persoonsgegevens worden verwerkt en met welke doeleinden, waar worden de gegevens bewaard en wie heeft toegang tot de gegevens?
  • Technische en organisatorische maatregelen voor de beveiliging van de gegevens.

Na overleg met de Stuurgroep Gemeenschappelijke Basisinfrastructuur Digitale Bibliotheek zal Cultuurconnect een eerste versie van beide bijlagen op de Cultuurconnect-website plaatsen. Hierin kan je wellicht nuttige input terugvinden voor de eigen privacyverklaring(en) en het eigen verwerkingsregister.

Wij krijgen momenteel van verschillende bibliotheken verwerkersovereenkomsten ter vervollediging en ondertekening. We stellen voor om dit, op basis van de aanpak hierboven beschreven, op een geharmoniseerde en gefaseerde manier aan te pakken. Eens onze analyse, in overleg met de leveranciers en de stuurgroep, voltooid is en wij dus integraal zicht hebben op bestaande beveiligingsmaatregelen en eventuele actiepunten, kunnen we bekijken op welke manier we een en ander kunnen formaliseren. Dit maakt deze omvangrijke oefening efficiënter, maar ook zinvoller. 

Het eengemaakt bibliotheeksysteem

In het eengemaakt bibliotheeksysteem zullen op grote schaal persoonsgegevens van leners worden verwerkt, net als bij de provinciale bibliotheeksystemen ben je hiervoor als bibliotheek (of gemeente) de verantwoordelijke voor de verwerking. De rol van Cultuurconnect als aanbieder van het systeem is ook hier de verwerker van de persoonsgegevens, naast de leverancier van het systeem. Het EBS wordt ‘by design’ GDPR-compliant opgezet. In een latere fase zullen we informatie beschikbaar maken ter integratie in de lokale verwerkingsregisters, en een model van verwerkersovereenkomst voorleggen aan alle bibliotheken die aansluiten.

Veelgestelde vragen over GDPR

Op onze website vind je ook een webpagina waar je veelgestelde vragen uit de sector in verband met GDPR en de door ons aangeboden diensten kan terugvinden. Deze pagina wordt regelmatig bijgewerkt met nieuwe vragen en antwoorden, en met uitgebreidere antwoorden op basis van ons onderzoek. 

En als uitsmijter…

Het aantal begunstigde bibliotheken onder de algemene machtiging van Cultuurconnect om bepaalde gegevens uit het rijksregister te gebruiken, is het voorbije half jaar gestegen van 70 naar 201. Zie: https://www.privacycommission.be/nl/begunstigden-rr-28-2009. Aansluiten is nog steeds mogelijk, zie hiervoor de werkwijze uiteengezet in de ‘veelgestelde vragen over GDPR’.