Personvern er en viktig del av arbeidet med meråpne bibliotek. Dersom du ikke har jobbet systematisk med personvern tidligere, kan det virke som en uoverkommelig oppgave. Hvordan spiser du en elefant? Én bit av gangen, det samme gjelder personvern. GDPR kan oppleves som en omstendelig byråkratisk øvelse, men egentlig handler det om åpenhet, forutsigbarhet, tillit og medbestemmelse.
Personvern handler om retten til privatliv og retten til å bestemme over egne personopplysninger.
Alle som er registrert i ett eller flere av bibliotekets systemer har krav på innsyn i hva biblioteket har registrert om dem, og krav på å bli slettet fra bibliotekets systemer hvis de ønsker det. Denne retten gjelder både for digitale systemer og for utskrifter, gule lapper, papirarkiver og andre måter å oppbevare personopplysninger på. For å sikre at denne retten ivaretas for bibliotekets brukere, må vi ha full oversikt over hvilke personopplysninger vi samler inn og hvordan disse opplysningene oppbevares, deles og brukes.
Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Formålet med GDPR er å gi innbyggere innsikt i hvilke personopplysninger som samles inn og hva de brukes til.
Som biblioteksjef er du vanligvis behandlingsansvarlig for persondata som samles inn av biblioteket. Det er dermed ditt ansvar at personvernkonsekvenser knyttet til bibliotekets virksomhet kartlegges. Det betyr ikke at du skal gjennomføre dette alene. Personvernombud finnes i alle kommuner, og kan gi råd om hvordan du som behandlingsansvarlig kan ivareta personverninteresser. IKT er en annen relevant samarbeidspartner – de er vant til å vurdere personvernkonsekvenser av ulike datasystemer, og vet hva dere skal se etter.
All behandling av personopplysninger må ha et rettslig grunnlag for å være lov. Biblioteket må, sammen med personvernombudet, vurdere hvilket behandlingsgrunnlag som er relevant for alle de ulike typene data dere samler inn. Å vurdere hva som er rett behandlingsgrunnlag for å samle inn persondata er en tung øvelse når du ikke har gjort det før, men etter hvert som du får det under huden, gir det god mening.
I Personopplysningslovens kapittel II, artikkel 6 finner du en oversikt over alle behandlingsgrunnlagene
Eksempler:
I prosessen med å kartlegge personvernskonsekvenser vil dere jobbe med en rekke ulike dokumenter.
En detaljert dokumentasjon som sier hvilke personopplysninger dere samler inn, hvorfor dere samler dem inn og hvordan dere bruker dem. Et viktig element i behandlingsprotokollen er behandlingsgrunnlaget.
En grundigere vurdering av konsekvensene ved å samle inn eller ikke samle inn persondata. Påbudt hvis du har kameraoverovervåkning, hvis ikke er det ikke sikkert du trenger dette.
I kravspesifikasjonen stiller dere blant annet krav om at løsningen skal ivareta informasjonssikkerheten og brukerens personvern fra start til slutt (innebygd personvern), og at leverandøren skal føre egen behandlingsprotokoll.
Avtale med leverandør om hvordan persondata skal behandles. Be om at denne legges ved når de leverer tilbud, slik at dere kan vurdere om den er god nok.
Informasjon til brukere om hvilke data som samles inn om dem. For meråpent kan et oppslag i biblioteket eller en brukeravtale være effektiv måter å formidle denne informasjonen på)
Personvern er et kontinuerlig arbeid, og det er viktig at kunnskapen om hvilke rutiner som skal følges, og hvilke grunnlag man har for behandling av personopplysninger, er med inn i den daglige driften av biblioteket.
I løpet av høsten 2022 vil kurset GDPR – personvern i folkebiblioteka lanseres på bibliotekutvikling.no. Leksjonen om meråpent er tilgjengelig allerede nå, fra lenken nedenfor. Veilederen skal sette deg i stand til å gjennomføre de påkrevde stegene for å vurdere personvernkonsekvensene av meråpent, og redusere risikoen for at noe går galt.