Posted by on 21 december 2017

De vastgoedbranche digitaliseert in toenemende mate en dat maakt veel dingen een stuk eenvoudiger. Maar dat geldt ook voor het uitwisselen van vertrouwelijke gegevens en eventueel misbruik daarvan. De wetgever vraagt daarom van elke vastgoed organisatie om gebruikte persoonsgegevens in kaart te brengen en afdoende te beschermen. Daarvoor komt er een op 25 mei 2018 een nieuwe Europese wet: de AVG – Algemene Verordening Gegevensbescherming.

“Uitgangspunt in de AVG is dat elke gedigitaliseerde verwerking van persoonsgegevens een inbreuk vormt op de persoonlijke levenssfeer van de betrokkenen”

“De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Alle organisaties in de EU dienen 25 mei 2018 te voldoen aan deze nieuwe wetgeving.”

“De AVG is de opvolger van de Wbp en stelt privacyregels aan het gebruik van persoonsgegevens van alle burgers in Europa. De AVG gaat hierin verder dan de WBP.”

De wijzigingen die gepaard gaan met de overgang naar de AVG hebben een behoorlijke impact op organisaties, maar bieden ook een kans om de informatiehuishouding en beveiliging op orde te krijgen.

Wanneer hebben we het over persoonsgegevens?

Dit zijn natuurlijk NAW gegevens, maar ook bankrekeningnummer, cookies, IP adressen etc. En bijzondere persoonsgegevens als gezondheidskenmerken biomedisch, genetisch, religie, geslacht, etc. wanneer deze in combinatie met een naam of een ander gegeven herleidbaar zijn tot een persoon.

Binnen de Wbp en de AVG wordt er onderscheidt gemaakt tussen de betrokkene, de verantwoordelijke en de verwerker (in de WPB de bewerker):

De betrokkene is persoon van wie gegevens vastgelegd/verwerkt worden en is vanzelfsprekend eigenaar van deze gegevens. De verantwoordelijke is de organisatie die persoonsgegevens in beheer heeft. De verwerkerbewerker is de persoon/organisatie die de persoonsgegevens verwerkt met betrekking tot het doel.

Wanneer is de AVG van toepassing?

Voorbeeld
Je organiseert een event inclusief lunch waarbij je de deelnemers vraagt of er speciale dieetwensen zijn. Dit laatste gegeven valt in de bijzondere persoonsgegevens en dus zijn er aanvullende maatregelen voor de bescherming van de persoonsgegevens nodig naast de algemeen geldende privacy eisen. Als je bijvoorbeeld de contactgegevens van de deelnemers ook later nog wilt gebruiken voor nieuwsbrieven e.d. dien je dit bij registratie voor het event duidelijk te melden en toestemming te vragen van de deelnemers!

of

Als organisatie geef je informatie over medewerkers aan een reisbureau voor het boeken van een zakenreis, met toestemming van de medewerker. Het reisbureau mag hierbij aangemerkt worden als verantwoordelijke voor het beheren en verwerken van de verstrekte gegevens. Alleen de informatie noodzakelijk voor het boeken van de reis worden verstrekt en gebruikt.

Waarom is de AVG van evident belang?

  • Een adequate informatiebeveiliging is van essentieel belang voor de middellange termijn van elke organisatie;
  • Informatiebeveiliging wordt een standaard eis van klanten / gebruikers en zal in toenemende mate wettelijk afgedwongen worden;
  • Privacybescherming voor alle organisaties een wettelijke verplichting is;
  • Alle gegevens opslaan in een grote database levert een risico voor aanvallen op;
  • Voor online systemen is het vereist dat ze altijd werken;
  • Identiteitsgegevens moeten altijd toegankelijk zijn voor de juiste personen en instanties.

Wat is het verschil met de WBP – Wet Bescherming Persoonsgegevens

Onder de WPB zijn er vrijstellingen voor de melding van verwerkingen waarmee de meeste organisaties gevrijwaard waren van de meldplicht voor verwerkingen. Onder de AVG zijn deze vrijstellingen niet langer van toepassing en is de meldplicht vervangen door een documentatieplicht. Daarbij geldt dat alle organisaties, ook een klein bedrijf of een ZZP-er, een overzicht dienen op te stellen van verwerkingen van persoonsgegevens.

Veel organisaties hebben moeite om de kennis en middelen aan te trekken om de informatiebeveiliging te begrijpen en vorm te geven.

Hoe kan ik de AVG implementeren?

Hoe pak je de implementatie van de AVG aan? Om de AVG binnen uw organisatie te implementeren kan het volgende stappenplan worden doorlopen.

  1. Benoem rollen en verantwoordelijkheden;
  2. Identificeer en registreer verwerkingen;
  3. Sluit verwerkersovereenkomsten af (waar nodig);
  4. Realiseer voorzieningen voor de rechten van betrokkenen;
  5. Neem maatregelen voor een adequate beveiliging;

Ad 1. Benoem rollen en verantwoordelijkheden

De AVG stelt het hebben van een functionaris gegevensbescherming (FG) verplicht voor organisaties groter dan 250 personen. Maar ook voor organisaties met grootschalige (of intensieve) verwerking van persoonsgegevens.

Als organisatie bent u volgens de AVG verplicht een FG te benoemen als u op grote schaal individuen volgt of bijzondere persoonsgegevens van individuen verwerkt. Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn (bron). Denk hierbij aan:

  • Het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
  • De hoeveelheid gegevens die u verwerkt;
  • De duur van de gegevensverwerking;
  • De geografische reikwijdte van de verwerking.

Een FG kan intern benoemd worden maar kan ook extern belegd worden. Verder kunt u de FG ook als een team inrichten. Voor grotere organisaties is het aan te bevelen om taken van de FG te delegeren naar de verschillende organisatieonderdelen middels zogeheten coördinatoren.

De verantwoordelijkheid van de FG is om als toezichthouder de naleving van de AVG te waarborgen. Taken die hierbij uitgevoerd worden zijn uitvoering/bijwonen van PIA’s (zie stap 2), beoordeling en melding van datalekken (zie stap 4), en de controle op naleving door audit en rapportage.

Verder dient u te bepalen wie uw toezichthouder is. Voor organisaties in Nederland zal dit vrijwel altijd de Autoriteit Persoonsgegevens (AP) zijn, maar als u internationaal actief bent in verschillende landen dan kan dit verschillen. Denk hierbij aan de vestigingslocatie van het hoofdkantoor of de plek waar grootschalige verwerking van persoonsgegevens plaatsvindt.

Binnen uw organisatie zal u verder verantwoordelijken willen benoemen voor de datasets waarin persoonsgegevens opgeslagen / verwerkt worden. Deze ‘systeemhouders’ worden in stap 2 geïdentificeerd.

En natuurlijk heeft het management van de organisatie een verantwoordelijkheid in het aansturen en bevorderen van alle activiteiten benodigd om te kunnen voldoen aan de AVG.

Voorbeelden van organisaties met een intensieve of omvangrijke bewerking van persoonsgegevens zijn:

  • Onderzoeksbureau die in opdracht enquêtes verstuurd en verwerkt met betrekking tot voedingspatronen en gezondheid;
  • Een reisbureau dat internationale reizen boekt;
  • Ziekenhuizen, onderwijsinstellingen, gemeenten etc.

Tip
Om uw informatiehuishouding (en in het verlengde daarvan de beveiliging) op orde te krijgen is een inventarisatie van alle informatiesystemen sterk aan te bevelen.

Tip
Weet u niet waar te beginnen? Maak dan gebruik van reeds beschikbare informatie:

  • Bestaand beleid;
  • Lijst van systeemhouders;
  • Opdrachten / klantcontracten;
  • Overzichten van informatiestromen / informatiearchitectuur;
  • Auditrapportages.

Voorbeelden van typische verwerkingen in organisaties:

  • HR: personeelsadministratie inclusief gegevens van sollicitanten;
  • CRM: contactinformatie van klanten / leads (bijvoorbeeld afkomstig van webformulieren;
  • Support / helpdesk: contactinformatie van gebruikers/klantcontacten;
  • Inkoop/administratie: persoonsinformatie van leveranciers, opdrachtgevers en andere dienstverleners (makelaars, verzekeraars etc.);
  • Saas/cloud applicaties: gebruikersgegevens (ten behoeve van identity management).

Ad 2. Identificeer en registreer verwerkingen

Vervolgens is het zaak om de opslag/verwerking van persoonsgegevens door uw organisatie te identificeren. Dit kunt u doen aan de hand van gebruikte informatiesystemen of aan de hand van verwerkingsactiviteiten (processen). De keuze wordt hierbij vooral bepaald door het aantal gebruikte informatiesystemen en de aard en omvang /complexiteit van de organisatie.

Kiest u voor de aanpak via informatiesystemen dan dient u daarbij ook de verwerkingen in kaart te brengen.

Voor elk van de verwerkingen dient u de verantwoordelijke, het doel, de betrokkenen, de gebruikte persoonsgegevens en de verwerkers in kaart te brengen en de termijn waarop de gegevens vernietigd worden. Bedenk hierbij dat de gebruikte gegevens proportioneel moeten zijn t.a.v. het doel van de verwerking.

Tot slot dient u zichzelf de vraag te stellen of voor de betreffende verwerking een PIA uitgevoerd moet worden. Dit is altijd het geval tenzij dit

  • Waarschijnlijk geen hoog privacyrisico oplevert;
  • Sterk lijkt op een andere gegevensverwerking waarvoor al een PIA is uitgevoerd;
  • Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een PIA is uitgevoerd (tenzij de privacytoezichthouder oordeelt dat er toch een PIA nodig is);
  • Op een lijst staat van verwerkingen waarvoor een PIA niet verplicht is. De AVG geeft de privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht.
  • Indien u een PIA dient uit te voeren dan kunt u daarvoor het formulier gebruiken van NOREA.

Ad 3.  Afsluiten verwerkersovereenkomsten

Worden de gegevens doorgegeven aan derden (verwerkers) dan dient u met deze partijen een overeenkomst af te sluiten waarbij de privacyregels gewaarborgd blijven. Dit kan – en bij voorkeur – op basis van een verwerkersovereenkomst. Een verwerkersovereenkosmt legt vast met welk doel de gegevens verwerkt mogen worden en welke verantwoordelijkheden de verwerker hierbij heeft. De overeenkomst legt ook een mogelijke boete op indien de verwerker in gebreke blijft.

Een dergelijke boete (mogelijk oplopend tot miljoenen als gevolg van de AVG) kan disproportioneel zijn voor de verwerker. Afhankelijk van de omvang en type verwerking kan daarom ook gedacht worden aan een privacystatement van de verwerker, indien dit statement voldoende invulling geeft aan de vereiste privacyregels. De verwerker wordt daarbij natuurlijk geacht adequaat invulling te geven aan dit statement.

Een alternatief is ook om de verwerker dezelfde eisen aan privacy en beveiliging op te leggen als die u als verantwoordelijke hanteert voor de verwerking van persoonsgegevens. U krijgt dan echter ook de plicht om de naleving hierop te controleren door middel van audits en / of rapportages. En u zult periodiek de afspraken moeten evalueren.

Ad 4. Maatregelen voor rechten van betrokkenen

Om de rechten van betrokkenen te waarborgen zult u een aantal maatregelen moeten treffen. Het gaat hierbij met name om:

  • Toestemming en transparante informatie en communicatie:
  • Opstellen privacystatement voor op de website waarbij doel en gebruik van persoonsgegevens benoemt worden;
  • Vastlegging van toestemming voor gebruik persoonsgegevens;
  • In contracten eenduidig doel en verwerking opnemen van gebruikte persoonsgegevens;
  • Inzage in doel en verwerkingen van gegevens  plus beperking van gebruik van de gegevens tot het doel van de verwerking:
  • Mogelijkheid bieden tot inzage in doel en verwerking van gegevens van betrokkene. Dit kan op basis van het verwerkingsregister waarbij u de betrokkene kunt informeren over de verwerkingen die met/voor de betreffende doelgroep uitgevoerd worden;
  • Correctie en/of verwijdering van gegevens en kennisgeving van verwijdering:
  • Mogelijkheid bieden voor betrokkene om correctie of verwijdering van persoonsgegevens te realiseren. Denk aan mailingsystemen met een persoonlijk profiel en een unsubscribe optie;
  • Hanteren van bewaartermijnen. Zo is bijvoorbeeld de maximale bewaartermijn voor gegevens van sollicitanten één maand na afloop van de sollicitatieprocedure ;
  • Beperking van overdracht van gegevens aan anderen, anders dan noodzakelijk voor het doel van de verwerking;
  • Mogelijkheid tot bezwaar en  optie tot geen automatische verwerking:
  • Minimaal contactgegevens op de website;
  • Cookie consent instellen (mogelijkheid om geen cookies te bewaren bij gebruik van de website) etc.

Ad 5. Maatregelen voor informatiebeveiliging

Tot slot dient u de informatiebeveiliging van de systemen waarop persoonsgegevens opgeslagen/verwerkt worden op orde te hebben of te brengen. Om dit te doen kunt u zich de volgende vragen stellen:

  • Is er beleid m.b.t. informatiebeveiliging?
  • Voeren we regelmatig  risico analyses uit om onze beveiliging op orde te houden? En nemen we maatregelen om de risico’s te mitigeren?
  • Controleren we de effectiviteit van de maatregelen en stellen we zo nodig bij?
  • Voeren we een risicoanalyse en/of een PIA uit bij nieuwe projecten/veranderingen?
  • Zijn onze medewerkers bewust van de risico’s die gepaard gaan met de informatiebeveiliging/ privacybescherming? En zijn zij op de hoogte van de maatregelen/regels die hierbij van toepassing zijn?
  • Hebben we een procedure voor het melden van datalekken?

Is dit allemaal in orde?

Gefeliciteerd: u bent klaar voor de AVG!

 

ACTUEEL

16 november 2017 – Vastgoedactueel

MAKELAAR MAG ALLEEN CONTACTGEGEVENS OPVRAGEN VOOR BEZICHTING

Het AD laat weten dat verscheidene makelaars de wet overtreden door al voor de bezichtigingen van huurhuizen een overzicht met privacygevoelige informatie te eisen van geïnteresseerden. Het gaat om loonstroken, bankafschriften, werkgeversverklaringen, uittreksels bevolkingsregister en pensioenoverzichten.

Volgens de Autoriteit Persoonsgegevens mogen makelaars en bemiddelaars die informatie simpelweg niet eisen van mensen die zich aanmelden voor het bekijken van huurhuizen. ‘’In de fase van het bezichtigen van een woning mag de makelaar alleen naar contactgegevens vragen. Deze gegevens kan de makelaar nodig hebben om een afspraak voor een bezichtiging te maken of te wijzigen’’, stelt woordvoerder Inger Sanders.

‘’De makelaar mag niet vragen naar vermogen, schulden, nationaliteit, ras of burgerservicenummer’’, vervolgt ze. ‘’In de fase waarin je waarschijnlijk een huurovereenkomst gaat tekenen, kan de makelaar vragen om aanvullende gegevens.’’

Klik hier voor de officiële guidelines

Posted in: Realisatie