IDO-memo van jurist biedt nieuwe privacy-inzichten
Bezoekers die de hulp van het IDO inroepen zijn vaak niet digitaalvaardig en hebben praktische systeemhulp nodig bij het regelen van hun zaken. Wij vroegen aan de juristen van Dirkzwager van welke grondslagen – anders dan toestemming – een bibliotheek gebruik kan maken bij het verwerken van persoonsgegevens bij dit soort praktische hulp. En op welke manier mensen geholpen kunnen worden bij het AVG-proof verwerken van bijzondere persoonsgegevens. Ik zet de belangrijkste bevindingen op een rij.
Alhoewel het IDO uitgaat van informeren en doorverwijzen, voeren IDO-medewerkers toch regelmatig handelingen voor de bezoeker uit. Mede ook omdat het IDO vaak wordt gecombineerd met digitale spreekuren waar deze praktische hulp ook geboden wordt. Daarbij worden ook persoonsgegevens verwerkt.
In de wet AVG staat niet beschreven hoe een organisatie aan de AVG moet voldoen, het geeft slechts richtlijnen waarbij de organisatie zelf keuzes moet maken over de invulling. Bijvoorbeeld: wanneer zijn voldoende beveiligingsmaatregelen getroffen? Er bestaat soms ruimte voor meerdere interpretaties. Uiteindelijk zal een rechter of de Autoriteit Persoonsgegevens (AP) bij een geschil beoordelen of de vertaling van de AVG naar de praktijk rechtsgeldig is.
Handelingen die niet onder de AVG vallen
De jurist oordeelt dat meekijken en coachen/begeleiden niet onder de AVG valt. De handeling ligt immers bij de bezoeker. Let wel op dat hier aansprakelijkheid een rol kan spelen indien de IDO-medewerker inhoudelijk advies gaat geven. Het invullen van formulieren in systemen van andere partijen en daarbij persoonsgegevens invoeren, ziet de jurist ook niet als verwerking onder de AVG. De gegevens worden niet in een systeem van de bibliotheek ingevoerd en de IDO-medewerker heeft geen inzicht of controle over de door hem ingevoerde gegevens. Let wel op, ook bij het invullen ligt het geven van inhoudelijk advies op de loer. Vermijd dat te allen tijde.
Het maken van aantekeningen kwalificeert ook niet als een verwerking die onder de AVG valt. Er is geen sprake van een geheel of gedeeltelijk geautomatiseerde verwerking en het is niet bedoeld om in een bestand op te nemen. Zorg wel dat de aantekeningen met persoonsgegevens niet rond blijven slingeren en na gebruik worden vernietigd, bijvoorbeeld in een papierversnipperaar. Ook het maken van een warme doorverwijzing per telefoon wordt niet als een verwerking onder de AVG gezien. Gebeurt dit via e-mail dan valt dit wel onder de AVG, de gegevens van de bezoekers worden immers opgenomen in een digitaal bestand dat onder controle is van de bibliotheek.
Grondslag toestemming
Laten we vooropstellen dat de eerdere memo’s uitgingen van de grondslag toestemming. Dat blijft een solide grondslag. De bibliotheek vraagt de bezoeker om toestemming om vóór hem zijn persoonsgegevens te verwerken. Omdat er een verantwoordingsplicht in de wet is opgenomen, moet de toestemming aangetoond kunnen worden. Een manier is om met toestemmingsformulieren te werken. Bibliotheken worstelen alleen met de administratieve rompslomp en de risico’s die het bewaren en vernietigen van toestemmingsformulieren met zich meebrengen. Daarom kunnen andere grondslagen een uitkomst bieden.
Grondslag publieke taak
Openbare bibliotheken worden niet aangemerkt als bestuursorgaan, maar als privaatrechtelijke instelling. Deze kan een publieke taak uitvoeren als dat in een wet wordt benoemd. De wettelijke taken in de Wsob gaan niet specifiek over het IDO en de invulling is afhankelijk van de lokale situatie. Uit de IDO-regeling kan opgemaakt worden dat een bibliotheek de taak kan hebben om IDO-diensten aan te bieden, het is echter niet verplicht. In de wetgeving is dus niet expliciet genoeg benoemd dat bibliotheken persoonsgegevens mogen verwerken. De jurist beargumenteert aan de hand van arresten dat het niet bij voorbaat een uitgesloten grondslag is, en dat er enige ruimte is om deze grondslag toe te passen.
Grondslag Gerechtvaardigd belang
De grondslag gerechtvaardigd belang is een ingewikkelde maar kansrijke grondslag. Hij dient goed beargumenteerd te worden. Daarbij moeten drie vragen beantwoord worden: i) is het belang van de bibliotheek gerechtvaardigd, ii) is het noodzakelijk om de persoonsgegevens te verwerken? en iii) wegen de belangen van de betrokkene niet zwaarder dan de belangen van de bibliotheek? De jurist concludeert dat de IDO-dienstverlening aan de drie voorwaarden voldoen en dat deze grondslag bruikbaar is. Wanneer deze grondslag wordt toegepast is het nodig om (1) voor elke verwerking de bovenstaande 3 afwegingen te maken, (2) dit intern vast te leggen in het privacybeleid en het verwerkingsregister, en (3) hier melding van te maken in de privacyverklaring op de website. Controleer dit regelmatig en voeg nieuwe verwerkingen toe of verwijder verwerkingen die niet meer aan de orde zijn.
Extra informatie over deze grondslag en de voorwaarden vind je hier.
Stapeling van grondslagen
Het is mogelijk om meerdere grondslagen te gebruiken bij één verwerking. Bijvoorbeeld; een warme doorverwijzing van een IDO medewerker per e-mail zou (mits onderbouwd) gebaseerd kunnen worden op de grondslagen gerechtvaardigd belang (1) en publieke taak (2). Wat daarbij wel van belang is dat, wanneer je naast andere grondslagen ook met toestemming gaat werken, de bezoeker het recht heeft om te weigeren. Deze weigering moet de IDO-medewerker respecteren en niet verder gaan met de dienstverlening omdat hij een andere grondslag kan gebruiken.
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn extra gevoelige persoonsgegevens. Deze mogen per definitie niet verwerkt worden. Het zijn gegevens die iets zeggen over iemands godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van vakvereniging en biometrische gegevens. In de wet staat een aantal uitzonderingen benoemd waardoor verwerking mogelijk is.
De uitzondering waar bibliotheken gebruik van kunnen maken is ‘toestemming’. Een bezoeker geeft uitdrukkelijk toestemming voor het verwerken van de bijzondere persoonsgegevens en de bibliotheek moet dit kunnen verantwoorden. Een toestemmingsformulier zou hiervoor gebruikt kunnen worden. Zorg wel dat de medewerkers goed snappen wanneer iets een bijzonder persoonsgegeven is, want dat is al het geval als men doorgeeft dat mevrouw J. ziek is. Ook als de IDO-medewerker een vaccinatie-afspraak maakt worden medische gegevens verwerkt. Meekijken en coachen/begeleiden schaart de jurist ook hier niet onder de AVG, dus daarvoor is toestemming niet noodzakelijk.
En nu?
Het nieuwe memo biedt de bibliotheek meer keuzes hoe zij hun dienstverlening privacyproof kunnen inrichten. Deze keuze dient vooraf gemaakt te zijn en vastgelegd te worden in de privacy-administratie. Belangrijk blijft de introductie bij het personeel, het maken van goede afspraken en het duidelijk stellen van grenzen. Het stoppen met gebruiken van een toestemmingsformulier omdat er een andere grondslag gebruikt wordt, maakt de grenzen vager en kan onterecht leiden tot het idee dat dan ‘van alles mag en kan’. Ook met een andere grondslag is het bijvoorbeeld niet toegestaan een BSN te verwerken en een DigiD voor een ander aan te vragen. Juist een toestemmingsformulier kan een extra bewustwordingsmoment geven bij medewerker en bezoeker en geeft aanleiding tot een gesprek over het belang van privacy en veilig omgaan met gegevens.
De inhoud blijft altijd de rode grens als het gaat om helpen. Bepaal welke kennis een IDO-medewerker nodig heeft en ga daarbij uit van de rol van de bibliotheek. Dat iemand een andere en wellicht relevante achtergrond heeft, betekent nog niet dat hij of zij daarmee in en namens de bibliotheek verregaande inhoudelijke hulp kan bieden.
Neem ook niet te snel de muis en toetsenbord van de bezoeker over. Zelfredzaamheid dient voorop te staan. Laat de bezoeker zelf ervaren en leren en wijs hem op het cursusaanbod van de bibliotheek. Besteed aandacht aan het gesprek met de bezoeker. Leg uit wat je doet, vraag om toestemming als je meekijkt of handelingen uitvoert en controleer of de bezoeker begrijpt wat je hebt gedaan. Een IDO-medewerker gaf als tip dat ze altijd de stappen opschrijft voor de bezoeker en deze meegeeft, zodat hij of een familielid nog eens na kan lezen wat er gedaan is.
Maar boven alles, zorg dat de veiligheid van de bezoeker voorop staat!
Meer informatie
Het memo is voor bibliotheken beschikbaar en op te vragen bij Edo Postma.