De bibliotheek heeft als organisatie ook verschillende verplichtingen vanuit de AVG. Aangezien een bibliotheek zeer gevoelige persoonsgegevens verwerkt, zoals rijksregisternummer, geboortedatum, adres, telefoonnummer, e-mailadres en een historiek van uitleengegevens die behoren tot de persoonlijke levenssfeer van de gebruiker, moet ze uiterst voorzichtig met deze gegevens omspringen. De beroepscode van de VVBAD formuleert daarenboven:
“De informatieprofessional komt op voor vrije toegang tot informatie en cultuur. Hij wijst censuur af en discrimineert niet. Hij handelt in overeenstemming met de relevante wetgeving zoals het auteursrecht en de privacywetgeving.” [1]
De International Federation of Library Associations and Institutions (IFLA) voegt hieraan toe:
“3. Privacy, secrecy and transparency
Librarians and other information workers respect personal privacy, and the protection of personal data, necessarily shared between individuals and institutions.
The relationship between the library and the user is one of confidentiality and librarians and other information workers will take appropriate measures to ensure that user data is not shared beyond the original transaction.Librarians and other information workers support and participate in transparency so that the workings of government, administration and business are opened to the scrutiny of the general public. They also recognise that it is in the public interest that misconduct, corruption and crime be exposed by what constitute breaches of confidentiality by so-called ‘whistleblowers’.” [2]
Vanuit ethisch standpunt vormt de wetgeving een minimumlat. Informatieprofessionals houden zich daarnaast aan een zeer hoge standaard met betrekking tot de omgang met persoonsgegevens, waarbij de relatie tussen gebruiker en bibliotheek zeer belangrijk is.
(Openbare) bibliotheken zijn vaak onderdeel van andere organisaties, zoals lokale besturen of onderwijsinstellingen. Dit zorgt ervoor dat zij zelden zelf de naleving van de AVG moeten organiseren, maar dat een ander deel van de organisatie dit op zich neemt. Hieronder vind je in het kort een overzicht van verplichtingen die organisaties hebben.
Zo zijn ze verplicht om een register van verwerkingsactiviteiten op te stellen. Dit register omvat welke persoonsgegevens een organisatie verwerkt, waar deze vandaan komen en met wie ze gedeeld worden. Welke gegevens het register juist moet bevatten hangt af van de rol die de organisatie in de verwerking van gegevens speelt: die van gegevensverwerker of die van verwerkingsverantwoordelijke.[3]
Verwerking van persoonsgegevens kan volgens de AVG slechts op basis van minstens één van deze zes rechtsgronden:
1. je hebt de toestemming van de betrokken persoon;
2. de verwerking is noodzakelijk in het kader van de uitvoering van een overeenkomst met de betrokkene;
3. het naleven van een wettelijke verplichting;
4. de bescherming van vitale belangen van de betrokken persoon;
5. het vervullen van een taak van algemeen belang of uitoefening van openbaar gezag;
6. de behartiging van een gerechtvaardigd belang.[4]
Verwerking zal in de context van bibliotheken meestal vanuit de eerste grondslag plaatsvinden, namelijk de toestemming van de persoon.
De AVG voorziet ook de functie van een data protection officer (DPO) of functionaris voor gegevensbescherming. De DPO is binnen een organisatie verantwoordelijk voor de naleving van de AVG-richtlijnen. Als je vragen hebt over het omgaan met persoonsgegevens, kan je steeds terecht bij de DPO van je organisatie.
De wetgever vraagt dat je communiceert over de verwerking van persoonsgegevens. Zo vraagt de AVG dat je de identiteit van de verwerker en de wijze waarop je de gegevens zal aanwenden vermeldt. Daarnaast verplicht de AVG ook dat je de wettelijke grondslag voor de verwerking meedeelt, de duurtijd dat je de gegevens bewaart, of je gegevens buiten de EU opslaat en de mogelijkheid voor een persoon om een klacht in te dienen. De AVG legt op dat je dit in een heldere taal en op een beknopte wijze communiceert. Meestal gebeurt dit via een ‘privacyverklaring’.
Toestemming is een belangrijk principe binnen de AVG. De verordening specificeert dat toestemming “vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn”. Een persoon kan niet stilzwijgend toestemming geven, maar moet een actieve handeling stellen. Toestemming tot verwerking van persoonsgegevens geeft een persoon meer rechten met betrekking tot de verwerking van persoonsgegevens (zie hoger) dan andere rechtsgronden, zoals vitaal belang of wettelijke verplichting. Je vindt een overzicht met betrekking tot de rechten die iemand kan uitoefenen en de rechtsgronden van de verwerking op de website van de Gegevensbeschermingsautoriteit: www.gegevensbeschermingsautoriteit.be/professioneel/avg/rechtsgronden.[5]
Gegevenslekken die tot schade bij de betrokkenen kunnen leiden, moeten gemeld worden aan de Gegevensbeschermingsautoriteit. Schade kan bijvoorbeeld identiteitsdiefstal zijn. Daarnaast moet je als organisatie uiteraard proactief gegevenslekken opsporen, rapporteren en onderzoeken. Meld een mogelijk gegevenslek in de bibliotheek sowieso onmiddellijk aan de DPO, zodat die gepaste actie kan ondernemen.
Met persoonsgegevens van minderjarigen moet je extra voorzichtig omspringen. Zij kunnen zelf geen toestemming geven om hun persoonsgegevens te verwerken. De AVG voorziet wel een uitzondering voor internetdiensten, waarbij kinderen vanaf 13 jaar toestemming kunnen geven voor de verwerking van hun persoonsgegevens. Hierbij moeten wel extra voorzorgsmaatregelen worden genomen om ze te beschermen.[6] Ook in bibliotheken is toestemming van een ouder noodzakelijk voor kinderen onder de leeftijd van 13 jaar.[7]
Openbare bibliotheken maken in Vlaanderen gebruik van database- en websitesystemen van Cultuurconnect. Binnen deze systemen neemt Cultuurconnect de rol van verwerker op zich en is het als organisatie verantwoordelijk voor de verwerkte persoonsgegevens.
Je kan op hun websites de privacyverklaring en gebruiksvoorwaarden van het bibliotheeksysteem en de bibliotheekwebsites raadplegen. [8]
