Datatilsynet har siden 2005 undtagelsesvist givet dispensation til, at bl.a. bibliotekerne har kunnet sende reserveringsmeddelelser om bøger ved brug af ikke-krypterede e-mails. Denne dispensation bortfaldt med ikrafttrædelsen af databeskyttelsesforordningen den 25. maj 2018, hvor persondataloven med tilhørende bekendtgørelser, herunder sikkerhedsbekendtgørelsen og Datatilsynets vejledning til sikkerhedsbekendtgørelsen, bortfaldt. Derfor har Datatilsynet taget fornyet stilling til, om der skal ske kryptering af fremsendelser af elektroniske reserveringsmeddelelser, som indeholder titel og forfatter på det materiale, som en låner har reserveret.
Det er fastsat i biblioteksloven, at folkebibliotekerne udvælger materiale med henblik på at opfylde folkebibliotekernes formål gennem kvalitet, alsidighed og aktualitet. Folkebibliotekerne vil derfor ikke have kompromitterende og odiøst materiale som propagandistisk politisk litteratur eller manualer til eksempelvis selvmord og fremstilling af bomber. Herudover er de danske biblioteker generelt kendt for en meget høj etisk standard.
Det er Datatilsynets opfattelse, at en eventuel adgang for uvedkommende til oplysninger om, hvilken bog borgere reserverer på biblioteket som udgangspunkt indebærer en beskeden risiko for bibliotekslånernes rettigheder.
Efter at Datatilsynet har afholdt møde med Danskernes Digitale Bibliotek, og at sagen har været forelagt Datarådet, finder Datatilsynet, at de pågældende reserveringsmeddelelser har en sådan karakter, at der ikke skal stilles krav om kryptering ved fremsendeles over net, som den dataansvarlige ikke har kontrol over.
Det bemærkes, at den dataansvarlige ved behandling af personoplysninger altid skal foretage en kortlægning over relevante risici for de registreredes rettigheder og fortage en afvejning af disse risici med henblik på at iværksætte foranstaltninger for at beskytte disse rettigheder.
Vil du vide mere?
Læs Datatilsynets brev til Slots- og Kulturstyrelsen om dette emne.
Læs vejledning om behandlingssikkerhed.
Læs mere om persondatasikkerhed.