Privacy

De regelgeving over de bescherming van persoonsgegevens is in beweging. Dat is een belangrijk gegeven voor alle partijen die persoonsgegevens verwerken. Ook in de vastgoedsector worden volop gegevens verwerkt: gegevens van huurders, gegevens van personeel, gegevens van derden. Kent u de precieze juridische consequenties?

AVG en UAVG

Sinds 25 mei 2018 geldt de Algemenen Verordening Gegevensbescherming (AVG), ook wel bekend als General Data Protection Regulation (GDPR), als wettelijk kader voor het verwerken van persoonsgegevens. Deze Europese verordening werkt rechtstreeks in alle landen van de EU, maar is in Nederland op enkele punten nader uitgewerkt in de Uitvoeringswet AVG (UAVG).

Beginselen van gegevensverwerking

Aangezien de definities van zowel ‘persoonsgegevens’ als ‘verwerking’ erg breed zijn, is de AVG al snel van toepassing op handelingen met persoonsgegevens. In dat geval dient de verantwoordelijke voor de verwerking de beginselen van gegevensverwerking in acht te nemen. De verantwoordelijke moet kunnen aantonen dat hij aan deze beginselen voldoet. 

Deze verantwoordingsplicht maakt dat een verantwoordelijke zich niet alleen netjes aan alle regels moet houden, maar ook moet vestleggen dat hij dat doet. Een helder privacybeleid helpt hierbij. Hierin zal ook aandacht moeten worden besteed aan de rechten van betrokkenen, zoals bijvoorbeeld het recht op inzage en het recht op bezwaar.

Documenten

De voor verweking verantwoordelijke vastgoedpartijen zullen naast een privacybeleid ook de nodige andere documenten voorhanden moeten hebben. Zo is een privacystatement noodzakelijk waarin betrokkenen geïnformeerd worden over de uit te voeren verwerkingen. Als daar door de verantwoordelijke ook andere partijen bij betrokken worden, moeten met die partijen ook schriftelijke afspraken gemaakt worden. Indien een verwerker wordt ingeschakeld is een verwerkersovereenkomst verplicht, indien er sprake is van medeverantwoordelijkheid zal een onderlinge regeling opgesteld moeten worden. Het is verstandig om gegevensuitwisseling met derden in convenanten te borgen; hierbij zal aandacht moeten worden besteed aan de grondslag voor uitwisseling en de, eerder genoemde, beginselen voor verwerking.

Bijzondere verplichtingen

De AVG heeft ook enkele nieuwe verplichtingen voor verantwoordelijken met zich meegebracht. Zo zijn verantwoordelijken onder omstandigheden verplicht om een register van verwerkingsactiviteiten bij te houden. Deze verplichting is woningcorporaties vrijwel steeds aan de orde, maar ook voor grotere commerciële verhuurders zal dit vaak verplicht zijn. Ook bepaalt de AVG dat verantwoordelijken soms verplicht zijn om een privacyfunctionaris (FG) aan te stellen. Tenslotte bepaalt de AVG dat voorafgaand aan bepaalde verwerkingen een onderzoek naar de privacygevolgen daarvan dient plaats te vinden, een zogeheten data protection impact assessment (DPIA).

at-privacy-shutterstock-212647441.jpg

Toezicht

Het toezicht op de naleving van de verplichtingen die de AVG en de UAVG opleggen berust bij de Autoriteit Persoonsgegevens (AP). Die kan ambtshalve of naar aanleiding van klachten van betrokkenen onderzoek instellen. Dit kan in het uiterste geval leiden tot hoge boetes (€ 20 miljoen of 4% van de wereldwijze omzet).  

VBTM adviseert en staat u bij

De specialisten van VBTM kunnen uw vragen over de rechten en plichten ten aanzien van verwerking en opslag van persoonsgegevens beantwoorden. VBTM heeft vele vastgoedpartijen geadviseerd over de implementatie van de AVG en het opstellen van de benodigde documenten. Waar nodig staat VBTM u ook in rechte bij; recent hebben advocaten van VBTM met succes brancheorganisatie Aedes en woningcorporatie De Key bijgestaan in de procedure die de Woonbond aangespannen heeft met betrekking tot de verwerking van inkomensgegevens voor inkomensafhankelijke huurverhogingen. 

Neem contact op met onze advocaten.

Deel dit artikel op LinkedIn:
Pagina printen:Printen
Relevante nieuwsberichten