Veelgestelde vragen over GDPR

Wat is de Algemene Verordening Gegevensbescherming (AVG) of Global Data Protection Regulation (GDPR)? Een bibliotheek verwerkt op grote schaal persoonsgegevens van leners in informatiesystemen. Op 25 mei 2018 werd de Algemene Verordening Persoonsgegevens (of AVG), ook wel gekend als de General Data Protection Regulation (of GDPR), van kracht. Je dient als bibliotheek (of gemeente als de bibliotheek daar onderdeel van is) hiervoor een aantal verplichtingen na te komen om aan te tonen dat je de beveiliging van persoonsgegevens goed aanpakt.

Een duidelijk overzicht van de stappen vind je hier. Het gaat bijvoorbeeld om het respecteren van een aantal belangrijke principes, de aanstelling van een functionaris gegevensbescherming (data protection officer, vroeger veiligheidsconsulent), het aanleggen van een dataverwerkingsregister, verwerkersovereenkomsten sluiten met leveranciers, enz.

GDPR en de bibliotheekwebsites

Welke persoonsgegevens worden verwerkt en voor welke doeleinden? We zetten alles op een rij in dit document:

GDPR en Mijn Bibliotheek

Welke persoonsgegevens worden verwerkt en voor welke doeleinden? We zetten alles op een rij in dit document:

GDPR en Provinciale Bibliotheeksystemen

Algemene Verordening Gegevensbescherming in het huidige (provinciale) bibliotheeksysteem

Voor de verwerking van persoonsgegevens in de huidige (provinciale) bibliotheken en Mijn Bibliotheek zijn de bepalingen van de Wet van 8 december 1992 ter bescherming van de persoonlijke levenssfeer ten opzichte van persoonsgegevens van toepassing. Cultuurconnect verwerkt op basis van de PBS-overeenkomst met de gemeente persoonsgegevens ten behoeve van de gemeente. Deze gegevens worden uitsluitend ten behoeve van het doel bepaald door de gemeente verwerkt. Vanaf 25 mei 2018 is de nieuwe Algemene Verordening Gegevensbescherming (AVG) van toepassing. In dit kader werkt Cultuurconnect als verwerker aan een nieuw Eengemaakt Bibliotheeksysteem dat volledig conform de AVG is. Ook Mijn Bibliotheek wordt volledig conform de AVG gemaakt. Daarnaast doet Cultuurconnect alle redelijke inspanningen om te bekomen dat het bestaande provinciaal bibliotheeksysteem zoveel mogelijk aan de heersende privacyregulering voldoet. We baseren ons hierbij op een ingewonnen advies bij de Vlaamse Toezichtcommissie, die aangeeft dat gezien de specifieke context van consolidatie in het EBS, enkel in dat opzicht redelijke inspanningen op vlak van de PBS’en gedaan moeten worden.

Software-aanpassingen aan de bestaande PBS’en

Momenteel voeren wij een analyse van de PBS’en in overleg met de verschillende leveranciers om na te gaan of bepaalde aanpassingen aan de software aangewezen en mogelijk zijn. We baseren ons hierbij op een ingewonnen advies bij de Vlaamse Toezichtcommissie, die aangeeft dat gezien de specifieke context van consolidatie in het EBS, enkel in dat opzicht redelijke inspanningen op vlak van de PBS’en gedaan moeten worden. Dit zal ook onderwerp van bespreking vormen met de Stuurgroep Gemeenschappelijke Basisinfrastructuur Digitale Bibliotheek. Vanzelfsprekend wordt hierover teruggekoppeld naar de PBS-bibliotheken via mail of de nieuwsbrief.

Een overzicht vragen van alle persoonsgegevens uit het bibliotheeksysteem

Een bibliotheeklid mag een overzicht vragen van alle persoonsgegevens die we van hem/haar hebben. Hoe halen we dit zo efficiënt mogelijk uit het bibliotheeksysteem? Stuur een dergelijke vraag best rechtstreeks naar servicedesk@cultuurconnect.be. Een aantal medewerkers van Cultuurconnect zijn gemachtigd om een bestand met de desbetreffende persoonsgegevens uit het bibliotheeksysteem te halen, en kunnen hierbij beroep doen op technische bijstand van de PBS-leverancier. 

Toestemming vragen aan bibliotheekgebruikers om hun persoonsgegevens te verwerken

Bibliotheken moeten als verwerkingsverantwoordelijken toestemming vragen aan bibliotheekgebruikers om hun persoonsgegevens te verwerken. Hoe kan dit in zijn werk gaan? Doorgaans gebeurt dit bij de inschrijving in de bibliotheek en op basis van een privacyverklaring die gemakshalve deel uitmaakt van het bibliotheek(gebruikers)reglement. Het is dan inderdaad aangewezen de gebruikers akkoord te laten gaan met de privacyverklaring, en de akkoordverklaringen in het kader van bewijsvoering bij te houden/te documenteren. Let wel, kinderen onder de 16 jaar kunnen conform de GDPR niet vrij toestemming geven, dus hier dient de toestemming van een ouder (of andere wettelijke vertegenwoordiger, zoals voogd) verkregen te worden.

Wat bestaande leden betreft, kan je nagaan of zij in het verleden geïnformeerde toestemming hebben gegeven voor de verwerking van hun persoonsgegevens naar aanleiding van het bibliotheeklidmaatschap. Afhankelijk hiervan kan het aangewezen zijn een herbevestiging van die toestemming te vragen, bijvoorbeeld de eerstvolgende keer dat ze aan de balie komen. Bekijk dit best met de lokale functionaris gegevensbescherming. In het kader van de ontwikkeling van het EBS bekijken we of we dergelijke toestemming elektronisch (bv. via opt-in in Mijn Bibliotheek) kunnen organiseren. Voor de PBS-en wordt onderzocht of dit mogelijk is en onder ‘redelijke inspanningen’ kan worden begrepen (zie “Worden er software-aanpassingen aan de bestaande PBS’en voorzien?”).

Hetzelfde geldt voor de vraag of je opnieuw toestemming vraagt aan de ontvangers van de nieuwsbrief van de bibliotheek (bv. via mails naar e-mailadressen van leners, via een nieuwsbrieftoepassing zoals Mailchimp, via een nieuwsbrief van de gemeente, …). Dat is een lokale afweging en kan van een een aantal factoren afhangen: de belangrijkste is dat een ontvanger die in het verleden al een geïnformeerde toestemming heeft gegeven, niet nog eens opnieuw toestemming hoeft te geven.

Hoe lang mogen bibliotheken persoonsgegevens bewaren?

Bibliotheken moeten als verwerkingsverantwoordelijken vermelden hoe lang zij de persoonsgegevens bewaren. Bestaat hierover een richtlijn? De uiteindelijk gekozen bewaartermijn moet onderbouwd zijn. Een aanknopingspunt kan het (actief) lidmaatschap zijn, waarbij de meegedeelde persoonsgegevens worden bijgehouden (om administratieve doeleinden, nasturen van boetes,…) tot een bepaalde periode na beëindiging hiervan. Eens die termijn overschreden is, dienen de desbetreffende persoonsgegevens verwijderd te worden. In het kader van de ontwikkeling van het EBS bekijken we of we dit op een gecentraliseerd niveau, en indien mogelijk geautomatiseerd kunnen aanpakken. Voor de PBS-en wordt onderzocht of dit mogelijk is en onder ‘redelijke inspanningen’ kan worden begrepen (zie “Worden er software-aanpassingen aan de bestaande PBS’en voorzien?”).

Welke persoonsgegevens en doeleinden

Welke persoonsgegevens worden verwerkt en voor welke doeleinden? We zetten alles even op een rij in dit document: 

GDPR en het Bibliotheeksysteem

Algemene Verordening Gegevensbescherming in nieuwe Bibliotheeksysteem

Welke impact heeft de Algemene Verordening Gegevensbescherming op het nieuwe eengemaakt bibliotheeksysteem? In het eengemaakt bibliotheeksysteem zullen op grote schaal persoonsgegevens van leners worden verwerkt. Voor die persoonsgegevens in het bibliotheeksysteem ben je als bibliotheek (of gemeente) de verantwoordelijke voor de verwerking. De verantwoordelijke voor de verwerking is elke natuurlijke persoon of rechtspersoon die alleen of samen met anderen het doel en de juridische en technische middelen bepaalt voor de verwerking van persoonsgegevens. Je hebt als bibliotheek (of gemeente) immers een rechtstreekse relatie met de klant. De bibliotheek (of gemeente) kan hierbij gebruik maken van partijen die hem op technisch en organisatorisch vlak bijstaan in de feitelijke verwerking. Die partijen heten verwerkers. De rol van Cultuurconnect als aanbieder van het systeem is dus verwerker van de persoonsgegevens. Je zal een verwerkersovereenkomst moeten afsluiten met Cultuurconnect. Cultuurconnect zal een correcte verwerkersovereenkomst voorstellen in de nieuwe overeenkomst voor het eengemaakt bibliotheeksysteem die gesloten wordt met de bibliotheek of gemeente. Cultuurconnect zal op zijn beurt een correcte verwerkersovereenkomst afsluiten met leverancier - en dus subverwerker - OCLC|HKA.

Persoonsgegevens uit het rijksregister in het nieuwe Bibliotheeksysteem

Cultuurconnect wil graag in het EBS voor de bibliotheken die in orde zijn met de aanvraag, intensiever gebruik gaan maken van persoonsgegevens uit het rijksregister, onder meer via een project om via een technische koppeling met het rijksregister bepaalde persoonsgegevens (bv. adresgegevens) up to date te houden. Hiervoor zal Cultuurconnect gebruik maken van het MAGDA-dienstenplatform van de Vlaamse overheid. De koppeling zal de werkprocessen in de bibliotheek om persoonsgegevens up to date te houden sterk vereenvoudigen. Bovendien zullen leners niet gevraagd worden om gegevens die elders al beschikbaar zijn opnieuw te moeten doorgeven (het ‘only once’ principe).

Mogelijkheid om onder de algemene machtiging van Bibnet een aanvraag in te dienen om bepaalde persoonsgegevens uit het rijksregister te gebruiken

De algemene machtiging, aangevraagd door Bibnet, ten behoeve van de openbare bibliotheken, blijft zijn rechtsgeldigheid behouden. Op de website van de Privacycommissie kan je onder ‘Beslissingen’ – ‘sectoraal comité van het rijksregister’ – ‘algemene machtiging’, deze machtiging terugvinden (zoek op ‘Bibnet’). Je kan de aanvraag in orde brengen via dit formulier. Beschik je nog niet over de veiligheidsconsulent die je hiervoor nodig hebt, maak daar dan als gemeente zo snel mogelijk werk van. Want met de AVG in het verschiet, wordt de veiligheidsconsulent in een nieuwe rol als ‘functionaris gegevensbescherming’ (data protection officer) sowieso verplicht!

Cultuurconnect_Hannes Cannie
Hannes Cannie
Zakelijk directeur