In welke gevallen mag de bibliotheek persoonsgegevens uit het bibliotheeksysteem aan derden doorgeven?
Algemeen
De Basisinfrastructuur Digitale Bibliotheek is zo opgezet dat (bevoegde medewerkers van) de Abonnees toegang (kunnen en mogen) hebben tot persoonsgegevens van eindgebruikers en acties op persoonsgegevens van eindgebruikers kunnen uitvoeren in het kader van:
- bediening en beheer in het bibliotheeksysteem (bv. een klant inschrijven, een klant opzoeken om een exemplaar aan uit te lenen, een klant die twee keer voorkomt in het systeem ontdubbelen, …);
- interface en content management in het kader van de bibliotheekwebsite;
- gebruikersbeheer van Mijn Bibliotheek-profielen.
Voor bepaalde lokale toepassingen blijkt het nodig/handig om persoonsgegevens uit het bibliotheeksysteem door te geven. Voorbeelden daarvan zijn (koppeling met) de lokale zelfbedieningsautomaten via SIP2, het bezorgen van gegevens van debiteuren aan de financiële dienst (‘deurwaarderprocedure’), persoonsgegevens uit het bibliotheeksysteem bezorgen aan een andere stadsdienst ifv monitoring en statistische analyse, koppelingen die de bibliotheek zelf laat bouwen op de Cultuurconnect API’s, …
Dergelijke acties gebeuren op vraag van / initiatief van de Abonnee en vallen onder het toepassingsgebied van Deel 3 van de Datagebruikersovereenkomst (Bijlage 1 bij de Overeenkomst Basisinfrastructuur Digitale Bibliotheek).
Indien de gebruiker persoonsgegevens van de eigen eindgebruikers uit de Basisinfrastructuur Digitale Bibliotheek wenst te registreren in andere systemen, of een koppeling met andere systemen wenst te maken met impact op die persoonsgegevens, dan gebeurt dit op volle verantwoordelijkheid van de gebruiker zelf (inclusief het respecteren van de geldende wetgeving terzake; aanmaak, beheer en betalen van de beheeraccount van de eigen medewerkers, inclusief de verwerkingen van persoonsgegevens in dat kader). De gebruiker engageert zich te allen tijde enkel tot aanvullende, eigen verwerking van persoonsgegevens over te gaan mits wettige grondslag daartoe en hierbij alle waarborgen van de privacyreglementering en de Algemene Verordening Gegevensbescherming (AVG) in het bijzonder toe te passen.
Dat betekent dat de Abonnee hiervoor verwerkingsverantwoordelijke is en dient te zorgen voor de aanwezigheid van een wettige grondslag voor deze aanvullende verwerking buiten de basisinfrastructuur. Overleg best met je juridische dienst / DPO wat een dergelijke grondslag kan zijn (toestemming, uitvoering van de overeenkomst (biblidmaatschap), …) en hoe die vorm gegeven kan en moet worden. Ongeacht de gehanteerde rechtsgrond dien je transparant te zijn naar de gebruiker over dergelijke aanvullende verwerkingen (bijv. via het bibliotheekreglement). In geval een beroep wordt gedaan op toestemming als rechtsgrond dien je die best expliciet te verkrijgen en te bewaren.
Enkele concrete toepassingen
Deurwaarderprocedure
De “Deurwaarderprocedure” is een lokale procedure waarbij bibliotheekschulden worden ingevorderd door de financiële dienst van de gemeente. Bibliotheken dienen in dat kader een aantal persoonsgegevens te bezorgen aan de financiële dienst van de stad/gemeente. Bibliotheekmedewerkers (die bevoegd zijn om persoonsgegevens te raadplegen in het bibliotheeksysteem) exporteren hiertoe een lijst gegevens uit het bibliotheeksysteem. Indien aan de bibliotheek wordt meegedeeld dat de schuld vereffend is, dan wordt dit door de bibliotheek aangeduid in het bibliotheeksysteem.
Het gaat om volgende persoonsgegevens:
- basispersoonsgegevens verbonden aan de lener-id (identificatiegegevens, contactgegevens, bibliotheekpasnummer, …)
- titels van de laattijdig ingediende of beschadigde werken + bedrag van de schuld
Technisch is het mogelijk om deze lijst persoonsgegevens (van eigen leners) uit het bibliotheeksysteem te halen (pdf/xml). De Abonnee zorgt er als verwerkingsverantwoordelijke voor deze toepassing voor dat zij de waarborgen van de Algemene Verordening Gegevensbescherming (AVG), waaronder het voorhanden zijn van een toepasselijke rechtsgrond (zie boven, Algemeen), respecteert. Bespreek best met je DPO / juridische dienst of en hoe dat lokaal vormgegeven kan worden, zodat de eigen financiële dienst op basis van de gegevens uit het bibliotheeksysteem aan de slag kan in het kader van het debiteurenbeheer.
Sommige Abonnees wensen aanvullend ook het rijksregisternummer uit het bibliotheeksysteem te bezorgen aan de financiële dienst, teneinde snel en zonder foutenmarge tot unieke identificatie van de debiteur te kunnen overgaan.
Op zich:
- Valt het organiseren van een bibliotheek onder intern beheer van de stad/gemeente
- en kan de financiële dienst met het rijksregisternummer aan de slag op basis van machtiging 13/2013
Toch vragen we om specifiek hierover (uitbreiding lijst met rijksregisternummer) advies in te winnen van je juridische dienst / DPO. Na diens goedkeuring kan je het rijksregisternummer zelf aan de deurwaarderslijst toevoegen. Een wijzigingsverzoek om het rijksregisternummer op vraag van een bib automatisch aan de deurwaarderslijst toe te voegen ligt voor ter prioritering bij de werkgroep Bibliotheeksysteem.
Monitoring en statistische analyse
Een aantal Abonnees vraagt om een lijst van transactiegevens uit het bibliotheeksysteem te kunnen bezorgen aan een andere dienst van de stad/gemeente ikv systematische monitoring en statistische analyse.
Technisch is het mogelijk om een lijst persoonsgegevens (van eigen leners) uit het bibliotheeksysteem te halen. De Abonnee zorgt er als verwerkingsverantwoordelijke voor deze toepassing voor dat zij de waarborgen van de Algemene Verordening Gegevensbescherming (AVG), waaronder het voorhanden zijn van een toepasselijke rechtsgrond (zie boven, Algemeen), respecteert. Bespreek best met je DPO / juridische dienst of en hoe dat lokaal vormgegeven kan worden, zodat de eigen stads- of gemeentelijke dienst op basis van de gegevens uit het bibliotheeksysteem aan de slag kan in het kader van monitoring en statistische analyse.
Koppelingen/toepassingen die de Abonnee zelf bouwt op de Mijn Bibliotheek (MB) API
Cultuurconnect biedt Abonnees de mogelijkheid om via het gebruik van de Mijn Bibliotheek API (hierna: “MB API”) zijn gebruikers op een eenvoudige wijze te laten inloggen op een externe applicatie.
De Abonnee zorgt er als verwerkingsverantwoordelijke voor deze toepassing voor dat zij de waarborgen van de Algemene Verordening Gegevensbescherming (AVG), waaronder het voorhanden zijn van een toepasselijke rechtsgrond (zie boven, Algemeen), respecteert. Bespreek best met je DPO / juridische dienst of en hoe dat lokaal vormgegeven kan worden.
Dit gebruik van de MB API is slechts toegestaan indien de Abonnee instemt met de Gebruiksafspraken die dienaangaande worden opgelegd. Die Gebruiksafspraken vind je hier: https://www.cultuurconnect.be/diensten/bibliotheekwebsites/api
Zie ook art. 6.4 van de Overeenkomst Basisinfrastructuur Digitale Bibliotheek:
Cultuurconnect spant zich in om mogelijkheden te voorzien om data en functionaliteiten van de systeemomgeving en de software gebruikt voor de basisinfrastructuur digitale bibliotheek via API’s op een gestructureerde manier beschikbaar te stellen aan de Stad/Gemeente. Indien de Stad/Gemeente via API’s gebruik wil maken van data dan dient ze hiervoor een aparte overeenkomst te sluiten met Cultuurconnect (zie de informatie hierover op de website van Cultuurconnect).