Mer enn 70 påmeldte på seminar om meråpne bibliotek og personvernkonsekvenser viser at dette er problemstillinger som er aktuelle for mange bibliotek, og at personvern spiller en rolle for både sikkerhet og kvalitet på tjenester som meråpent.

Seminaret gikk av stabelen 26. oktober og ble arrangert av fylkesbibliotekene i Vestfold og Telemark, Vestland og Viken. Tilbakemeldinger fra deltakerne på seminaret viser at det er de praktiske erfaringene rundt gjennomføring av personvernkonsekvensutredning og oppstart av meråpne bibliotek som er særlig interessante. Mange kommuner og bibliotek ønsker veiledning og praktiske råd når de åpner meråpent i sine lokalsamfunn.

 

Hurdalsplattformen utrykker en ambisjon om å jobbe for flere meråpne bibliotek. Fylkesbibliotekene har allerede startet et prosjekt for å utvikle en startpakke for meråpne bibliotek. Formålet med startpakka er å gjøre det enklere for bibliotek og kommuner å komme i gang. Innhold i startpakken vil bli blant annet:

  • Argumenter for meråpne bibliotek
  • Gode brukerhistorier
  • Hvordan gjør du biblioteket ditt meråpent?
  • Personvern og sikkerhet

Rogaland fylkesbibliotek leder prosjektet, som vil skje i samarbeid med de andre fylkesbibliotekene og Nasjonalbiblioteket. Startpakken vil følge opp både et uttalt behov i bibliotekene i Norge og Hurdalsplattformen og vil bli publisert på bibliotekutvikling.no.

Innkomne spørsmål og svar fra seminaret: 

Kan vi stole på at leverandørene gir riktig veiledning?

Svar: Nei, det kan man ikke. Som behandleransvarlig har man ansvar for å undersøke om personvernet er i varetatt i systemene. Kan kreve dokumentasjon fra leverandør.

Innebærer meråpent i tradisjonell forstand en særlig høy risiko, slik at DPIA må gjennomføres?

Svar: Ja – En risikovurdering bør gjennomføres for å avklare dette.

Hva er definisjonen av ordet behandling i sammenheng med DPIA og ROS-analyse?

Svar: Alt du gjør med en personopplysning, enhver operasjon for eksempel innsamling, organisering, videreformidling, bruk osv. En behandling kan være automatisert eller manuell. Anbefaler Datatilsynets sider: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/vurderepersonvernkonsekvenser/

Vedr aksept av risiko i ROS-analyser – kan vi akseptere risiko for å ikke etterleve regelverk?

Svar: Nei, vi skal etterleve lover og regelverk. Aksept av risiko handler om at man i risikostyring står overfor flere beslutningsstrategier når man skal håndtere risiko, og det er ikke alt man kan forebygge.

Personer som ikke har meråpent-kontrakt og dermed ikke har samtykket til bl.a. kameraovervåkning, kan komme seg inn i følge med andre – er det en risiko som vurderes til at er greit med tanke på lovverket? Også med tanke på mindreårige, ikke alle har 18-årsgrense på meråpent.

Svar: Det må gjøres en vurdering om det er en risiko som tolereres, og eventuelt se på andre sikkerhetstiltak som kan bøte på den risikoen. 

Anbefales det å beskrive usikkerhet i ROS-analyser per hendelse eller overordnet i sluttrapport til ledelsen?

Svar: Beskriv gjerne usikkerheten per hendelse. I sluttrapport der man ser at usikkerhet går igjen i mange hendelser, beskriv det gjerne mer samla.

Asker biblioteks erfaringer med meråpent:

Var kamera kun på i tidspunkt der bibliotek var stengt, men meråpent tilgjengelig?

Svar: Nå er kamera på kun når det er meråpent og ansatte har gått hjem.

Hvordan gjennomførte dere brukermedvirkning med innbyggerrepresentanter?

Svar: Kontaktet et lokalt leseselskap for å kunne få brukerrepresentanter

Kan man ved mistanke om svinn se gjennom kameraopptak uten at politiet er til stede?

Svar: I Asker er det kun to som kan logge inn og se på, og det kan kun ses sammen med politiet.

Har dere noen kjennskap til meråpent bibliotek uten kamera?

Svar: Nei, de fleste har kamera i det minste ved adgang om ikke i lokalet.

Har artikkel 12,13 og 14 (i lov om behandling av personopplysninger) mye med DPIA å gjøre eller er det mer om informasjon og copyright?

Svar: DPIA-hjulet har fire deler, to første delene er om behandlingen, de to andre om lovligheten. Det er viktig å vite hvordan vi overholder forpliktelsene, innsyn og retten til retting og vi må ha en oversikt over dette før det gjennomføres en DPIA.

Hvordan håndterer vi avvik på personvernforordningen og når melder vi det til Datatilsynet?

Svar: Gå gjennom hendelser og ta en runde med personvernombud og sikkerhetsansvarlig. Datatilsynet skal kunne bistå ved alvorlige brudd. Avvik vil skje, det viktigste er at man dokumenterer hva som har skjedd.

Dersom biblioteket krever en kontrakt med alle som skal benytte meråpent bibliotek, kan det tas inn i avtalen at de aksepterer at biblioteket er kameraovervåket?

Svar: Kontrakt er ganske nærme samtykke. Er frivillig å inngå, men er også en egen rettslig ramme. Informasjon i kontrakten om kameraovervåkning er ikke det samme som et samtykke fra brukeren. Det kan brukes et rettslig grunnlag i form av interesseavveining og det er kommunens ansvar å avveie.

Kan Datatilsynet vurdere avtale/kontrakt?

Svar: Datatilsynet gjør ikke det. Det må gjøres en konkret vurdering – det er en del tolkningsmomenter ift den registrerte. Datatilsynet har etterfølgende kontroll.

Hvordan skriver lånere i Asker under på kontrakt?

Svar: Tidligere hadde vi muntlig gjennomgåelse med hver enkelt låner (tidskrevende), nå har vi digital kontraktskriving (via BankID) – men vi merka jo fort at folk ikke leser dette, de bare skummer gjennom.

Kan det gi komplikasjoner for bruk av kamera at leverandøren av Meråpent-løsningen også har tilgang til opptak?


Svar: Kommer an på. Enhver behandling er ikke ulovlig, selv om inngripe kan være mer omfattende. Men det er viktig å stille spørsmål om hvor mange som trenger tilgang til opptakene.

Translate »
X