AVG: Samenwerking met klanten

Sinds mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) van de EU de EU-gegevensbeschermingsrichtlijn van 1995 (Europese Richtlijn 95/46/EG). De AVG is van grote invloed op de manier waarop persoonsgegevens van EU-burgers worden verwerkt door bedrijven, zo ook OCLC en haar klanten.

OCLC stelt zich ten doel dat onze partners en klanten onze producten en services kunnen blijven gebruiken terwijl ze aan de AVG voldoen. Om te voldoen aan de AVG dient OCLC in partnerschap samen te werken met onze partners en klanten bij hun gebruik van de OCLC-services waarvoor dit geldt. Deze samenwerking bestaat uit het doorlopend onderzoeken van mogelijkheden binnen ons relevante serviceaanbod om onze klanten te helpen ook in de toekomst te helpen voldoen aan hun AVG-verplichtingen als verantwoordelijken voor de verwerking van persoonsgegevens. Tevens stimuleert OCLC haar klanten om ook zelfstandig vertrouwd te raken met de AVG en nu te starten met eigen inspanningen op het gebied van naleving, voor zover dit niet al het geval is.

Hieronder hebben we enkele van de meest belangrijke vragen van onze partners en klanten beantwoord over wat de AVG voor hen betekent.

Wat vereist de AVG?

In de AVG is onder andere vastgelegd op welke manier organisaties de persoonsgegevens van EU-burgers mogen verwerken. Hoewel de meeste van deze regels al bestonden onder de vorige EU-wetgeving, zijn een aantal regels nu aangescherpt. De regels reiken verder dan de fysieke grenzen van de EU en zijn van toepassing op elke organisatie, ongeacht of deze fysiek aanwezig is in de EU, of deze goederen of diensten aanbiedt aan mensen in de EU, of het gedrag van die mensen volgt.

Wat heeft OCLC gedaan ter voorbereiding op de AVG?

OCLC is van mening dat de AVG een belangrijke mijlpaal is in het landschap van gegevensprivacy. We zijn blij met de krachtige grondbeginselen van gegevensprivacy en beveiliging die in de AVG worden onderstreept.

OCLC begon al ruim vóór 25 mei 2018 met haar voorbereidingen op de AVG. Een groot deel van deze voorbereidingen vond achter de schermen plaats, maar een aantal initiatieven zijn wel merkbaar voor onze leden en andere gebruikers van onze producten en services. Hieronder staan enkele van de genomen maatregelen:

  • Beoordeling: OCLC heeft zorgvuldig onderzocht waar en hoe onze relevante services persoonsgegevens verzamelen, gebruiken, opslaan en verwijderen. Waar nodig hebben wij onze procedures, beleidsregels, standaarden, bestuursstructuur en documentatie bijgewerkt.
  • Producten: We hebben geëvalueerd welke nieuwe functies aan onze producten konden worden toegevoegd om onze klanten te helpen voldoen aan enkele verplichtingen ten aanzien van AVG-naleving, zoals kennisgeving en toestemming. In de release notes van producten, voor zover beschikbaar, staan de productwijzigingen die mogelijk nuttig zijn met betrekking tot de AVG.
  • Contractuele verplichtingen: in nauwe samenwerking met haar klanten en leveranciers heeft OCLC haar contractuele voorwaarden bijgewerkt door gegevensverwerkingsovereenkomsten te implementeren die volledig zijn afgestemd op de vereisten van de AVG.
  • Grensoverschrijdende doorgifte van persoonsgegevens van EU-burgers: met betrekking tot de producten en services van OCLC kan de grensoverschrijdende doorgifte van persoonsgegevens per OCLC-product uiteenlopen. Voor sommige producten bevinden de persoonsgegevens zich binnen de Europese Economische Ruimte. Voor andere producten vindt doorgifte van persoonsgegevens buiten de Europese Economische Ruimte plaats. OCLC heeft modelcontractbepalingen opgesteld voor gegevensoverdracht vanaf de EER. OCLC stemt deze modelcontractbepalingen rechtstreeks af met haar klanten die gegevens overdragen aan OCLC, buiten de EER.
  • Training en bewustwording van medewerkers: alle medewerkers van OCLC dienen training op het gebied van gegevensbeveiliging af te ronden. Naast deze trainingsvereisten voert OCLC ook doorlopende bewustmakingsinitiatieven uit voor verschillende onderwerpen, waaronder gegevensbescherming, ‑beveiliging en ‑privacy.

Welke beveiligingsmaatregelen heeft OCLC getroffen ter bescherming van de persoonsgegevens die de organisatie verwerkt?

OCLC heeft krachtige technische en organisatorische maatregelen getroffen om een beveiligingsniveau te waarborgen dat geschikt is voor de verzamelde persoonsgegevens. We testen, beoordelen en evalueren regelmatig de effectiviteit van onze technische en organisatorische maatregelen. OCLC heeft administratieve en technologische controles ingevoerd om het gebruik van persoonsgegevens te beperken tot de doeleinden waarvoor deze zijn verzameld en processen ingevoerd om inbreuk op de beveiliging op te sporen en te verhelpen.

Wat is het verschil tussen een verwerkingsverantwoordelijke (controller) en een verwerker (processor)?

Met betrekking tot de verschillende producten en services die OCLC voor onze klanten host, fungeren onze klanten doorgaans als verwerkingsverantwoordelijken en OCLC als verwerker. In het kader van de verwerking van persoonsgegevens is een verwerkingsverantwoordelijke de organisatie die de doeleinden en middelen voor het verwerken van die persoonsgegevens bepaalt. Een verwerker is de organisatie die de gegevens namens de verwerkingsverantwoordelijke verwerkt.

De AVG heeft de basisdefinities van verwerkingsverantwoordelijke en verwerker niet gewijzigd, maar heeft de verantwoordelijkheden van elke partij wel uitgebreid. Verwerkingsverantwoordelijken blijven primair verantwoordelijk voor gegevensbescherming, maar de AVG legt ook enkele directe verantwoordelijkheden neer bij de verwerker.

Welke persoonsgegevens verwerkt OCLC?

Veel producten van OCLC zijn bibliotheekbeheersystemen die onze klanten helpen de uitleen- en discovery-aanvragen van hun gebruikers te verwerken. Deze producten verzamelen ook minimale persoonsgegevens van bibliotheekmedewerkers ten behoeve van het beheer van de bibliotheekactiviteiten. Ofschoon sommige persoonsgegevens, zoals de namen van gebruikers, door alle bibliotheken worden verzameld en gebruikt, gebruikt ieder van onze klanten weer andere gegevens. Klanten bepalen als verwerkingsverantwoordelijken ook de specifieke persoonsgegevens die zij van betrokkenen verzamelen en ter verwerking aan OCLC aanbieden. OCLC moedigt haar klanten aan om de persoonsgegevens die zij verwerken, te onderzoeken en te bepalen welke verplichtingen zij conform de AVG hebben.

Helpt OCLC klanten bij het beantwoorden van vragen van betrokkenen met betrekking tot hun uitgebreide individuele rechten onder de AVG?

De AVG biedt individuele personen meer controle over de manier waarop bedrijven hun persoonsgegevens verwerken. OCLC heeft processen ontwikkeld voor de evaluatie van aanvragen door betrokkenen. In de privacyverklaring van OCLC wordt uiteengezet wat de rechten van betrokkenen zijn en hoe zij een aanvraag kunnen indienen. In veel gevallen dienen aanvragen van betrokken rechtstreeks af te worden gehandeld door onze klanten, de verwerkingsverantwoordelijken. OCLC handelt slechts in opdracht van de klant. Klanten die zich niet in staat voelen om via het gebruik van onze producten aan een dergelijke aanvraag te voldoen, kunnen OCLC om assistentie vragen.

Voorkomt de AVG dat een bedrijf gegevens buiten de EU opslaat?

Niets in de AVG voorkomt dat bedrijven persoonsgegevens buiten de EU mogen opslaan, op voorwaarde dat hun verwerkers voldoen aan de noodzakelijke voorschriften voor gegevensbescherming. Bij de export van gegevens uit de EU moeten er mogelijk passende veiligheidsmaatregelen worden getroffen voor de gegevensoverdracht.

Welke maatregelen neemt OCLC om ervoor te zorgen dat haar klanten rechtmatig persoonsgegevens buiten de Europese Unie kunnen overdragen?

Wanneer er persoonsgegevens vanuit de EU worden overgedragen aan OCLC, Inc. in de Verenigde Staten, worden deze doorgegeven op basis van modelcontractbepalingen die door de Europese Commissie zijn afgegeven. De Europese Commissie heeft twee sets contractbepalingen afgegeven voor gegevensoverdracht tussen verwerkingsverantwoordelijken en voor gegevensoverdracht tussen verwerkingsverantwoordelijken en verwerkers.