AVG: Samenwerking met klanten

OCLC stelt zich ten doel dat onze partners en klanten onze producten en services kunnen blijven gebruiken terwijl ze aan de Algemene verordening gegevensbescherming (AVG) voldoen. Om te voldoen aan de AVG dient OCLC in partnerschap samen te werken met onze partners en klanten bij hun gebruik van de OCLC-services waarvoor dit geldt. Deze samenwerking bestaat uit het doorlopend onderzoeken van mogelijkheden binnen ons relevante serviceaanbod om onze klanten te helpen voldoen aan hun AVG-verplichtingen als verantwoordelijken voor de verwerking van persoonsgegevens.  

Hieronder hebben we enkele van de meest belangrijke vragen van onze partners en klanten beantwoord over het aanbod van OCLC-services en de AVG.

Op welke manier waarborgt OCLC naleving van de AVG?

OCLC is van mening dat de AVG een belangrijke mijlpaal is in het landschap van gegevensprivacy. We zijn blij met de krachtige grondbeginselen van gegevensprivacy en beveiliging die in de AVG worden onderstreept.

  • Beoordeling en governance: OCLC bewaakt nauwlettend waar en hoe onze relevante services persoonsgegevens verzamelen, gebruiken, opslaan en verwijderen. In het kader van ons wereldwijde privacy- en datagovernanceprogramma hebben wij procedures, beleidsregels, standaarden, bestuursstructuur en documentatie opgesteld en deze worden continu verbeterd.
  • Producten: We hebben nieuwe functies ontwikkeld voor onze producten om onze klanten te helpen voldoen aan enkele van de verplichtingen die zij hebben ten aanzien van AVG-naleving, zoals het weergeven van privacyverklaringen. In de Informatie over releases van producten, voor zover beschikbaar, staan de productwijzigingen die mogelijk nuttig zijn met betrekking tot de AVG.
  • Grensoverschrijdende doorgifte van persoonsgegevens van EU-burgers: met betrekking tot de producten en services van OCLC kan de grensoverschrijdende doorgifte van persoonsgegevens per OCLC-product uiteenlopen. Voor sommige producten bevinden de persoonsgegevens zich binnen de Europese Economische Ruimte. Voor andere producten vindt doorgifte van persoonsgegevens buiten de Europese Economische Ruimte plaats. OCLC heeft modelcontractbepalingen opgesteld voor gegevensoverdracht vanaf de EER. OCLC stemt deze modelcontractbepalingen rechtstreeks af met haar klanten die gegevens overdragen aan OCLC, buiten de EER.
  • Training en bewustwording van medewerkers: alle medewerkers van OCLC dienen training op het gebied van gegevensbeveiliging af te ronden. Naast deze trainingsvereisten voert OCLC ook doorlopende bewustmakingsinitiatieven uit voor verschillende onderwerpen, waaronder gegevensbescherming, ‑beveiliging en ‑privacy.
  • Contractuele verplichtingen: in nauwe samenwerking met haar klanten en leveranciers implementeert OCLC waar nodig gegevensverwerkingsovereenkomsten die volledig zijn afgestemd op de vereisten van de AVG.

Welke beveiligingsmaatregelen heeft OCLC getroffen ter bescherming van de persoonsgegevens die de organisatie verwerkt?

OCLC heeft krachtige technische en organisatorische maatregelen getroffen die voldoen aan de internationale auditstandaarden, om een beveiligingsniveau te waarborgen dat geschikt is voor de verzamelde persoonsgegevens. We testen, beoordelen en evalueren regelmatig de effectiviteit van onze technische en organisatorische maatregelen. OCLC heeft administratieve en technologische controles ingevoerd om het gebruik van persoonsgegevens te beperken tot de doeleinden waarvoor deze zijn verzameld en processen ingevoerd om inbreuk op de beveiliging op te sporen en te verhelpen.

Wat is het verschil tussen een verwerkingsverantwoordelijke (controller) en een verwerker (processor)?

Met betrekking tot de verschillende producten en services die OCLC voor onze klanten host, fungeren onze klanten doorgaans als verwerkingsverantwoordelijken en OCLC als verwerker. In het kader van de verwerking van persoonsgegevens is een verwerkingsverantwoordelijke de organisatie die de doeleinden en middelen voor het verwerken van die persoonsgegevens bepaalt. Een verwerker is de organisatie die de gegevens namens de verwerkingsverantwoordelijke verwerkt.

Welke persoonsgegevens verwerkt OCLC?

Veel producten van OCLC zijn bibliotheekbeheersystemen die onze klanten helpen de uitleen- en discovery-aanvragen van hun gebruikers te verwerken. Deze producten verzamelen ook minimale persoonsgegevens van bibliotheekmedewerkers ten behoeve van het beheer van de bibliotheekactiviteiten. Ofschoon sommige persoonsgegevens, zoals de namen van gebruikers, door alle bibliotheken worden verzameld en gebruikt, gebruikt ieder van onze klanten weer andere gegevens. Klanten bepalen als verwerkingsverantwoordelijken ook de specifieke persoonsgegevens die zij van betrokkenen verzamelen en ter verwerking aan OCLC aanbieden. OCLC moedigt haar klanten aan om de persoonsgegevens die zij verwerken, te onderzoeken en te bepalen welke verplichtingen zij conform de AVG hebben.

Helpt OCLC klanten bij het beantwoorden van vragen van betrokkenen met betrekking tot hun uitgebreide individuele rechten onder de AVG?

De AVG biedt individuele personen meer controle over de manier waarop bedrijven hun persoonsgegevens verwerken. OCLC heeft processen ontwikkeld voor de evaluatie van aanvragen door betrokkenen. In de privacyverklaring van OCLC wordt uiteengezet wat de rechten van betrokkenen zijn en hoe zij een aanvraag kunnen indienen. In veel gevallen dienen aanvragen van betrokken rechtstreeks af te worden gehandeld door onze klanten, de verwerkingsverantwoordelijken. OCLC handelt slechts in opdracht van de klant. Klanten die zich niet in staat voelen om via het gebruik van onze producten aan een dergelijke aanvraag te voldoen, kunnen OCLC om assistentie vragen.

Welke maatregelen neemt OCLC om ervoor te zorgen dat haar klanten rechtmatig persoonsgegevens buiten de Europese Unie kunnen overdragen?

Wanneer er persoonsgegevens vanuit de EU worden overgedragen aan OCLC, Inc. in de Verenigde Staten, worden deze doorgegeven op basis van de modelcontractbepalingen die door de Europese Commissie zijn afgegeven. Voor het beveiligen van overgedragen persoonsgegevens hanteert OCLC wereldwijd adequate gegevensbeveiligingsmechanismen.