De Algemene Verordening Gegevensbescherming (AVG) treedt vanaf 25 mei 2018 in werking. De huidige privacywetgeving wordt daarmee aangescherpt. Wat zijn de belangrijkste veranderingen voor NEPROM-leden?
Heel kort samengevat: betrokkenen krijgen meer rechten; het recht op inzage wordt bijvoorbeeld uitgebreid. Bovendien moet straks door het invoeren van beleid en het inbouwen van waarborgen aangetoond worden dat aan privacywetgeving is voldaan. Boetes worden verhoogd. En door alle aandacht die het onderwerp krijgt, wordt het risico op reputatieschade groter.
Op weg naar de AVG
In dit artikel worden praktische handvatten geboden ter voorbereiding op een adequate implementatie van de AVG, zo veel mogelijk gerelateerd aan de vastgoed-praktijk.
Welk pad bewandel je richting de deadline? De onderstaande aspecten zouden minimaal bekend moeten zijn bij NEPROM-leden. Voor het gemak zijn zij onderverdeeld in drie fasen: voorbereiding, implementatie en toezicht.
1. Voorbereiding
Creëer awareness
Zorg dat men binnen jouw organisatie kennis heeft van de belangrijkste wijzigingen. En dat men zich bewust is van het belang van het onderwerp.
Inventariseer
Welke persoonsgegevens worden verwerkt in jouw bedrijf? Denk daarbij niet alleen aan de persoonsgegevens van bijvoorbeeld kopers en huurders, maar ook die van je medewerkers. Bijzondere persoonsgegevens (bijvoorbeeld die van kinderen) vergen extra aandacht.
Doelen en grondslagen
Met welk doel en op basis van welke grondslag worden persoonsgegevens verwerkt?
| Art. 6 AVG: 1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen; ,
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
|
Bij een hoog risico kun je verplicht zijn een
data-protection impact assessment uit te voeren. Daarvan kan bijvoorbeeld sprake zijn als op grote schaal (bijzondere) persoonsgegevens verwerkt worden (gezondheid, strafbare feiten), personen op grote schaal en systematisch gemonitord worden in openbaar toegankelijk gebied (denk aan cameratoezicht) of als nieuwe technologieën worden gebruikt.
2. Implementatie
Stel op basis van je bevindingen privacybeleid op met stakeholders (zoals de ondernemingsraad),
implementeer dat en
informeer betrokkenen erover in een algemene privacyverklaring of brief. Tip: zorg voor helder taalgebruik en maak verklaringen niet te algemeen, zoals: "wij werken privacyproof".
Scherp je procedure voor de documentatie en melding van datalekken aan en communiceer deze intern. Aan de registratie worden strengere eisen gesteld op grond van de AVG. Alle datalekken moet gedocumenteerd worden, op controleerbare wijze. De concept guidelines van Europese Toezichthouders over datalekken zijn hier na te lezen.
Sluit verwerkersovereenkomsten af, of pas bestaande bewerkersovereenkomsten aan. Op de site van de Autoriteit Persoonsgegevens vind je waar de overeenkomst aan moet voldoen.
Afhankelijk van wie in de keten het voortouw neemt (en hoe) kan iemand juridisch als (mede)verantwoordelijke of verwerker aangemerkt worden.
Neem daadwerkelijk beveiligingsmaatregelen. Houd daarbij rekening met de in de AVG opgenomen uitgangspunten van privacy by design en privacy by default. Het eerste punt heeft betrekking op het ontwerpen van ICT-systemen (voor je producenten en diensten). In die fase moet al worden nagedacht over privacy. Worden er niet meer gegevens verzameld dan nodig? Worden de gegevens niet langer bewaard dan nodig? Het tweede principe slaat op standaardinstellingen. Die moeten zo privacy-vriendelijk als mogelijk zijn. Dat betekent: niet standaard alle blokjes/keuzes aanvinken of automatisch gegevens openbaar maken.
3. Toezicht
Het aanstellen van een privacy officer is in een (overzichtelijk) aantal gevallen verplicht. Dit is het geval bij overheidsinstanties- en organen, als de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere en strafrechtelijke persoonsgegevens en als de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen (recherchebureaus of analytics bijvoorbeeld).
In de praktijk zal blijken hoe overheden en bedrijven precies en onafhankelijk invulling geven aan deze taak. Ook als er geen privacy officer aangesteld moet worden, is het wenselijk dat intern een afspraak wordt gemaakt over taken en verantwoordelijkheden die binnen de organisatie bij dit onderwerp komen kijken.
Valkuilen bij de implementatie van de AVG
Met het doorlopen van deze stappen ben je er nog niet. Noemenswaardige valkuil bij het implementatietraject is ten eerste de verantwoordingsplicht. Die is vrij algemeen gesteld. Wanneer heb je genoeg gedaan aan privacybescherming en hoe maak je dat aantoonbaar? Dat is nu nog onduidelijk en veel zal afhangen van het standpunt van de toezichthouder hierover.
Ten tweede: de afspraken met de verwerker. De AVG geeft niet al te letterlijk aan hoe die eruit moeten zien. Hoe zorg je bijvoorbeeld dat de verwerker voldoende doet om een datalek te voorkomen en op tijd de juiste gegevens verstrekt ten behoeve van een registratie/melding?
Nicolette Zandvliet,
Jurist NEPROM
