Lees verder

De werkgroep governance AVG bestaat uit vertegenwoordigers van bibliotheken, KB, POI’s en VOB en bespreekt sinds juni 2019 de governance met betrekking tot de AVG in onze branche.

Discussievragen

Centraal staat de ‘Regeling KB en lokale bibliotheken inzake AVG’, die op hoofdlijnen verder wordt uitgewerkt door de werkgroep. Daarbij wordt er gediscussieerd over de volgende vragen die zijn afgeleid uit de Regeling.

  • Is er behoefte aan nadere afspraken over de rolverdeling tussen de KB en lokale bibliotheken?
  • Transparantie ten aanzien van de verwerking van persoonsgegevens. Wat zijn de ervaringen aanbevelingen met het privacy-statement om te voldoen aan de informatieplicht jegens de betrokkenen (o.a. leden van bibliotheken)?
  • Waaruit dient een richtlijn/instructie te bestaan voor de afhandeling van vragen, verzoeken en klachten van betrokkenen?
  • Waaruit dient een richtlijn/instructie te bestaan voor de beveiliging van persoonsgegevens zowel op technisch als organisatorisch vlak?
  • Op welke wijze dient een beveiligingsinbreuk aangepakt te worden?
  • Wat zijn de ervaringen met het register van verwerkingsactiviteiten?
  • Monitoring en evalueren compliance. De FG van de KB houdt toezicht op de verwerkingen waarvoor partijen gezamenlijk verantwoordelijk zijn. Hoe werkt dit in de praktijk?
  • Voldoet de voorgestelde governance afspraak of is aanvulling nodig?

FG’s en bibliotheken

De komende tijd moet het nodige uitgewerkt worden rond de governance: “hoe zorg je ervoor dat je een goede landelijke besturing hebt op de regels van de AVG en in het bijzonder op de wisselwerking tussen KB en de lokale bibliotheken?”. Er zijn een aantal FG’s (Functionaris Gegevensbescherming) in onze sector, maar op landelijke niveau hebben zij geen sturende rol. Ook ontbreekt een escalatieniveau: waar en bij wie worden calamiteiten gemeld en vindt besluitvorming plaats om deze calamiteiten op te lossen? De taak van de tijdelijke werkgroep is om dit soort zaken te signaleren, bespreken en waar mogelijk te regelen. Hierbij hoort ook een plan voor communicatie met en de implementatie bij bibliotheken.

Gegevenswissing en KRS

Het afgelopen jaar heeft de KB stappen gezet voor concretisering. Bijvoorbeeld voor de procedure voor een verzoek tot gegevenswissing. Een beperkte set met persoonsgegevens komt in het klantenregistratie systeem (KRS) terecht. Als er bij één van de bibliotheken een verzoek tot gegevenswissing komt moeten de persoonsgegevens ook uit het KRS. Hiervoor is een standaard brief opgesteld die ook bij de KB terecht komt en de KB neemt vervolgens actie om de gegevens uit KRS te verwijderen.