Florimond van Duyse (1576)

Privacy is al sinds jaar en dag een issue waar openbare bibliotheken veel aandacht voor hebben: mogen gegevens van leners worden opgeslagen en bewaard en zo ja, wat mag er dan mee worden gedaan?

Ten gevolge van de steeds verdergaande digitalisering is nieuwe, strengere wetgeving in de maak: in Nederland de Meldplicht datalekken en in Europa de nieuwe Europese Privacy verordening.

In basis stelt de Wet Bescherming Persoonsgegevens (Wbp) dat degene die gegevens van personen verzamelt en verwerkt, verantwoordelijk is voor het beveiligen van die persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking (artikel 13). Verder wordt in dat artikel gesteld dat deze maatregelen een bij de risico’s passend beveiligingsniveau moeten garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Bovendien moet degene van wie de gegevens worden verzameld daarvoor toestemming hebben gegeven. Nieuwe ontwikkelingen in wetgeving (o.a. de toekomstige Europese Privacy Verordening) stellen vergaande eisen aan het proces van toestemming verlenen. Zo moet in begrijpelijke taal worden uitgelegd welke gegevens worden verzameld, wat er mee wordt gedaan en aan wie ze nog verder worden verstrekt voor welk doel.

Het goed organiseren van privacy omvat een breed gebied, van het opstellen van beleid en richtlijnen, tot het creëren van bewustzijn bij medewerkers en het doorvoeren van technische maatregelen (ICT). Het gaat dan niet meer alleen om privacy (vertrouwelijkheid), maar ook of informatie op het juiste moment verkrijgbaar is (beschikbaarheid) en of de verkregen informatie dan ook klopt (integriteit). Zoals voor heel veel zaken, hoeft ook hier “het wiel niet opnieuw te worden uitgevonden”.

Internationaal is er de ISO 27000 norm die handvatten biedt in de vorm van 135 te nemen maatregelen om de informatieveiligheid in de organisatie te borgen. De gezondheidszorg en dan met name de ziekenhuiswereld is hierin de bibliotheekbranche een aantal jaren vooruit. Zij hebben specifiek voor de branche een afgeleide van de ISO 27000 opgesteld als toetsingskader voor de zorgsector: de NEN 7510. Inmiddels wordt hier gewerkt aan deelnormen voor de wijze waarop (patiënt) gegevens mogen worden uitgewisseld.

Met de strenger wordende wetgeving en de verdergaande digitalisering is informatieveiligheid een onderwerp dat in de bibliotheekbranche meer structurele aandacht zou moeten krijgen. Ook al omdat door de verdergaande schaalvergroting in de branche de omvang van de bestanden toeneemt, waardoor deze een steeds aantrekkelijker doelwit vormen voor hackers.

Hoe zit het met verantwoordelijkheden als de verwerking van gegevens wordt uitbesteed aan een derde partij (“in the cloud”, “WaaS”)? Wat gebeurt er als er door hackers lenergegevens, inclusief NAW, bankrekening en emailadres, worden bemachtigd? Feit is dat de bibliotheek eerstverantwoordelijke is en blijft. Bij uitbesteding van diensten zal daarom van de aanbieder moeten worden geëist dat deze afdoende maatregelen heeft getroffen om de informatie te beschermen. Maatregelen op gebied van ICT maar (vooral) ook op gebied van organisatie en personeel. Bovendien zal periodiek moeten worden aangetoond dat deze maatregelen afdoende zijn en goed worden nageleefd, op basis van een onderzoek door een erkende auditpartij.

Moet elke bibliotheek op zich dit dan regelen met zijn leveranciers? Het antwoord is eenvoudig: ja. Maar het is ook duidelijk dat een goede rolverdeling tussen bibliotheken en de brancheorganisaties tot een efficiëntere aanpak kan leiden. Discussiepunten kunnen zijn: een “eigen” toetsingskader opstellen of niet, landelijke leveranciers landelijk toetsen namens de branche,  voorbeelddocumenten vervaardigen  etc.

Maar hoe dan ook zal elke bibliotheek de informatieveiligheid in de eigen organisatie moeten realiseren. Voor een deel is dat door de dagelijkse gang van zaken aantoonbaar te maken (“op papier te zetten”) en voor een ander deel is dat door goed na te denken en nieuw beleid en richtlijnen op te stellen en bewustzijn bij de medewerkers te realiseren. Bovendien zal er een systeem moeten worden geïntroduceerd om de naleving van het beleid te toetsen en te borgen.

Het onderwerp wordt des te actueler naarmate de omvang en inhoud van de bestanden toeneemt door de verdergaande samenwerking en schaalvergroting in de branche. Daardoor vormen deze bestanden een steeds aantrekkelijker doelwit voor hackers.