Verwerkersovereenkomsten van OCLC
Wat u moet weten
De Algemene verordening gegevensbescherming (AVG) van de EU is sinds 25 mei 2018 van kracht. Uw instelling is wettelijk verplicht om haar regeling voor de verwerking van persoonsgegevens met OCLC te formaliseren. OCLC ondersteunt de krachtige principes voor gegevensprivacy en -beveiliging, zoals die zijn vastgesteld in de AVG. Wij stellen alles in het werk om te zorgen dat onze klanten als verwerkingsverantwoordelijken aan hun AVG-verplichtingen kunnen voldoen met onze relevante serviceaanbiedingen.
Zoals vereist in de AVG, dient OCLC gegevensverwerkingsovereenkomsten te hebben met klanten voor:
1) services waarin persoonsgegevens worden verwerkt en die tevens worden gehost in datacenters, en
2) services waarmee het mogelijk is om persoonsgegevens op afstand te verwerken ten behoeve van ondersteuning en onderhoud.
Een dergelijke overeenkomst bevat nieuwe bepalingen inzake gegevensverwerking die in de AVG zijn vastgesteld. Het geeft ook garanties over de bescherming van persoonlijke gegevens van uw gebruikers, personeel en anderen, en verschaft duidelijkheid met betrekking tot de respectieve rollen en verantwoordelijkheden die we hebben ten aanzien van de persoonlijke gegevens die worden verwerkt.
Waarom dit overeenkomstsjabloon van OCLC?
Om te zorgen dat beide partijen aan de AVG-vereisten voldoen, heeft OCLC een vooraf ondertekende overeenkomst opgesteld. Deze is specifiek gemaakt op basis van de AVG en het type verwerkingsactiviteit dat plaatsvindt bij het gebruik van de producten en services van OCLC. Als de persoonsgegevens van uw instelling onder de AVG vallen, bent u verplicht een verwerkersovereenkomst met ons aan te gaan.
Geeft OCLC gegevens door aan landen buiten de Europese Unie?
- Ja. Wanneer er persoonsgegevens vanuit de EU worden overgedragen aan OCLC in de Verenigde Staten (VS), dan worden deze doorgegeven op basis van de modelcontractbepalingen die in de verwerkersovereenkomst zijn opgenomen. Deze modelcontractbepalingen staan in een modeldocument, dat is opgesteld en goedgekeurd door de Europese Commissie. Dit bevat gedetailleerde verplichtingen ten aanzien van de bescherming van persoonsgegevens die buiten de EU worden doorgegeven.
- Binnen de AVG is het wettelijk toegestaan om gegevens buiten de EU door te geven, op voorwaarde dat de verwerkers voldoen aan de noodzakelijke voorschriften voor gegevensbescherming. Wanneer er persoonsgegevens vanuit de EU worden overgedragen aan OCLC in de VS, dan gebeurt dit conform de modelcontractbepalingen, waarmee wordt voldaan aan de wet- en regelgeving.
- OCLC is niet gehouden aan het EU-VS-privacyschild; het komt hier niet voor in aanmerking omdat OCLC een entiteit zonder winstoogmerk is. In plaats daarvan vertrouwt OCLC op de modelcontractbepalingen voor de doorgifte van persoonsgegevens van de EU naar de VS.
Op welke producten is de verwerkersovereenkomst van toepassing?
De overeenkomst is van toepassing op alle gehoste en niet-gehoste producten en services die OCLC in de EU aanbiedt.
Wie is de klant in de verwerkersovereenkomst?
De instelling is de klant en tevens verantwoordelijk voor de verwerking van de persoonsgegevens die worden verwerkt. OCLC is de verwerker. De klant kan persoonsgegevens verzenden naar/via de producten van OCLC (die "relevante services" worden genoemd in de verwerkersovereenkomst) en kan individuele gebruikers van de relevante services (of "betrokkenen") vragen om persoonsgegevens te verzenden naar de relevante services. Hierbij kan de klant bepalen in hoeverre die daarin meegaat.
Waarom is er toch een verwerkersovereenkomst nodig als de service wordt gehost door de instelling?
Het kan gebeuren dat klanten een beroep doen op de expertise of beschikbaarheid van OCLC-medewerkers voor het bieden van ondersteuning of onderhoud op afstand. De omvang van deze services op afstand is afhankelijk van het systeem en de door de klant gevraagde ondersteuning. Deze services vallen onder de modelcontractbepalingen van OCLC.
Welke persoonsgegevens worden er verwerkt?
- De persoonsgegevens die worden verwerkt door OCLC kunnen betrekking hebben op de volgende categorieën betrokkenen:
- Geautoriseerde eindgebruikers van de bibliotheekservices van de klant
- Medewerkers van de klant die zijn geautoriseerd om de relevante services te gebruiken
- Door klanten aangetrokken leveranciers van bibliotheekbronnen
- Voor klanten die lesmateriaal gebruiken, instructeurs van wie de cursussen zijn opgenomen in lesmateriaal
- Persoonsgegevens die door de klant worden verzonden, kunnen van het volgende type zijn:
- Namen
- Functietitels (voor medewerkers)
- Contactgegevens (zoals postadressen, telefoonnummers, faxnummers en e-mailadressen)
- Unieke ID's, ongeacht of deze zijn toegewezen door de klant of de verwerker (bijvoorbeeld ID's en barcodes van gebruikers, ID's van medewerkers)
- Gebruikersnamen en wachtwoorden
- Kenmerken van eindgebruikers (bijv. geboortedatum, geslacht, afdeling, type gebruiker)
- Foto's (via URL)
Wat is het beleid van OCLC voor respons bij incidenten?
- Onder de AVG zijn verwerkers verplicht om een verwerkingsverantwoordelijke "zonder onnodige vertraging" te melden zodra er een inbreuk in verband met persoonsgegevens is vastgesteld. Daarom staat er in de verwerkersovereenkomst van OCLC dat wij dit doen.
- "Zonder onnodige vertraging" is een vaak onbegrepen term binnen de AVG. Een specifiekere tijdlijn die zou vereisen dat de verwerker een inbreuk moet melden aan de verwerkingsverantwoordelijke, brengt feitelijk risico's met zich mee voor de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke heeft namelijk volgens de AVG slechts 72 uur de tijd tussen het vaststellen van de inbreuk en het melden van de inbreuk aan de relevante autoriteiten.
Wat is het auditbeleid van OCLC?
- Onder de AVG hebben verwerkingsverantwoordelijken het recht een audit uit te voeren op verwerkers om naleving te garanderen. In de verwerkersovereenkomst van OCLC staat om die reden dat de klant het recht heeft om op eigen kosten een externe auditor in te schakelen om het beleid en de gegevens van OCLC te inspecteren op naleving. OCLC verzoekt om één maand schriftelijke kennisgeving van een audit. De gekozen auditor is verplicht een geheimhoudingsovereenkomst te ondertekenen. Om naleving aan te tonen, verstrekt OCLC ook op verzoek relevante certificeringen van derden, zoals ISO-certificeringen.