De nieuwe privacywet (AVG) in vijf stappen

Geplaatst op 7 juli 2017 door Elcke Oninckx

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum één privacywet geldt in de volledige Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Als de AVG van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability). Overtreedt een organisatie straks de AVG? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes. Onder de Wet bescherming persoonsgegevens bedroeg deze boete maximaal € 900.000.

Implementatie AVG
Woningcorporaties bezitten en verwerken in de dagelijkse praktijk veel persoonsgegevens. Denk hierbij aan inkomensgegevens, het burgerservicenummer of medische gegevens die nodig zijn voor passende huisvesting. Maar handelen zij daarbij conform de geldende privacywetgeving? Zijn de (interne) werkprocessen aangepast, bijvoorbeeld?

Verschillende woningcorporaties hebben al acties ondernomen met betrekking tot privacywetgeving, waaronder het sluiten van bewerkersovereenkomsten met leveranciers die persoonsgegevens verwerken en het gebruiken van de BIC. Voor veel woningcorporaties is echter niet geheel helder wat er verder nog moet gebeuren met betrekking tot de implementatie van de AVG. In hoeverre zijn we compliant? Welke veranderingen brengt de nieuwe verordening met zich mee in de dagelijkse werkzaamheden? Een gevolg van het onjuist handelen conform de nieuwe verordening bij de verwerking van persoonsgegevens kan leiden tot een zogeheten ‘datalek’. Er kan een stevige bestuurlijke boete door de Autoriteit Persoonsgegevens (AP) opgelegd worden indien de onjuiste dataverwerking niet (tijdig) gemeld wordt.

Stappenplan
Matchability ondersteunt woningcorporaties bij de implementatie van de AVG. We delen graag onze aanpak met u.

  1. Wat is al grofweg geregeld op het gebied van privacy? In deze stap wordt beoordeeld bij welke (werk)processen gegevens van huurders of medewerkers worden vastgelegd. Voorbeelden van deze processen zijn: het inschrijven van de woningzoekende, het verhuurmutatieproces, het huurincassoproces, onderhoud, sociaal beheer, klachtenmanagement en het bewaar-, back-up- en vernietigingsproces van documenten. Met behulp van interviews met de proceseigenaren, aangevuld met bijvoorbeeld procesbeschrijvingen, wordt zo de huidige situatie in kaart gebracht.
  2. De huidige situatie wordt getoetst aan de wettelijke kaders van de AVG. In deze stap worden ook de (beleids)documenten getoetst die gerelateerd zijn aan de privacywetgeving (denk bijvoorbeeld aan een protocol datalekken, de algemene huurvoorwaarden, het informatiebeveiligingsbeleid en de algemene inkoopvoorwaarden).
  3. We benoemen de aanbevelingen / acties, inclusief de wettelijke grondslag / een korte toelichting, en koppelen er een actiehouder, een deadline en een status aan.
  4. De bovenstaande matrix wordt, vergezeld van een heldere oplegnotitie, gepresenteerd aan het MT, zodat het MT er een mening over kan vormen. Daarnaast dient deze presentatie om het bewustzijn en de kennis ten aanzien van privacy te vergroten. Wanneer het MT het belang niet erkent om aan informatiebeveiliging en privacy te werken, gebeurt er immers weinig. Het onderwerp privacybescherming komt vervolgens periodiek terug op de agenda van het MT.
  5. Ook wanneer het MT informatiebeveiliging en privacy hoog op de agenda heeft staan, kan het mis gaan wanneer medewerkers niets of weinig afweten over het beveiligen van gevoelige informatie. Daarom is het belangrijk dat iedere medewerker weet wat de risico’s zijn, en wat hij of zij kan doen om de corporatie zo goed mogelijk te beschermen tegen datalekken en aanvallen. In een personeelsbijeenkomst wordt hier aandacht aan besteed en in afdelingsoverleggen staat het onderwerp privacybescherming periodiek op de agenda.

Samenvattend: inzicht in acties voor implementatie privacywetgeving
Vanaf 25 mei 2018 is de AVG van toepassing. Er is gekozen voor een termijn van twee jaar tussen het vaststellen en het van toepassing verklaren van de AVG, zodat organisaties de tijd hebben om de nieuwe wetgeving door te voeren. Die termijn is overigens ook hard nodig. Elisabeth Thole, partner privacyrecht bij Van Doorne en hoofd van het Van Doorne Privacy Team, zegt dat zij nog geen enkel bedrijf kent dat nu al volledig aan de privacyregels voldoet. Niet zo verwonderlijk: de privacywetgeving werkt door in verschillende processen en daarbij is bewustwording van belang. Het is voor nu belangrijk om inzichtelijk te maken welke acties er nog moeten worden genomen om te voldoen aan de nieuwe regelgeving voor de verschillende afdelingen en processen. Matchability ondersteunt u daar graag bij door de acties te inventariseren en aansluitend hierop een kort, pragmatisch en krachtig plan van aanpak op te stellen. Interesse? Neem dan contact op met Anne-José Haaksema (06 489 373 92 of a.haaksema@matchability.nl) of Pepijn van Peppen (06 518 889 02 of p.vanpeppen@matchability.nl).