Pas op: AVG-day 25 mei 2018 nadert met rasse schreden!

Met haast D-day-achtige proporties wordt 25 mei 2018, de dag waarop de nieuwe privacyregels van kracht worden, geschetst. Op zich opmerkelijk, omdat veel zaken uit deze wet feitelijk al lang op ons allen van toepassing zijn. De verplichting om datalekken te voorkomen en te melden bijvoorbeeld, is al enige tijd een wettelijke plicht. De meest indringende wijziging is misschien wel de extreme maximale boete die gesteld wordt op overtreding van de nieuwe wet. Verder is opvallend dat in veel publicaties wordt gerept over rechten voor consumenten. Dat gaat er geheel aan voorbij dat gegevens die een bedrijf opslaat of bewerkt over de contactpersoon van een ander bedrijf net zo goed persoonsgegevens zijn en dus onder de AVG vallen. Dat plaatst het opslaan van een kopie identiteitsbewijs van de directeur toch in een ander daglicht. Zeker als je je realiseert dat een kopie paspoort (voorzien van pasfoto en BSN) wordt aangemerkt als een bijzonder persoonsgegeven en daarom aan de strengste eisen van de AVG moet voldoen. Op zich is alle ophef over de AVG en de invoering per 25 mei aanstaande een prima “eyeopener”. We zullen ons in alle processen – ongeacht of het nu B2B of B2C betreft – bewust moeten worden van de manier waarop we omgaan met persoonsgegevens en met de AVG strijdige processen moeten aanpassen.

De AVG in de vastgoedbranche

Het zal u niet verbazen dat ook in de vastgoedbranche de nodige persoonsgegevens worden bewerkt en opgeslagen. Handelingen – of beter gezegd processen - die zonder uitzondering vanaf 25 mei 2018 moeten voldoen aan de AVG. Dat maakt dat aandacht voor de AVG - en een duidelijk plan over hoe de organisatie in overeenstemming met de AVG te krijgen - de komende maanden de nodige aandacht behoeft.

Rechten met betrekking tot persoonsgegevens

Kort gezegd komt het erop neer dat vanaf 25 mei 2018 personen van wie persoonsgegevens worden bewerkt of opgeslagen rechten krijgen met betrekking tot die persoonsgegevens. Zo hebben ze het recht op het inzien, corrigeren, verwijderen en overdragen van hun persoonsgegevens. Dat klinkt eenvoudig, maar veel van de gebruikte bedrijfsinformatiesystemen zijn daar helemaal niet op ingericht. Daarnaast zal in sommige gevallen een functionaris aangesteld moeten worden die toezicht houdt op toepassing en naleving van de AVG.

Sectorbrede bewustwording van informatiebeveiliging

Een recent onderzoek van BDO - met de weinig aan de verbeelding overlatende titel “Code Oranje Corporaties, maak werk van informatiebeveiliging” - maakt duidelijk dat bij woningcorporaties nog het nodige werk aan de winkel is. Mijn inschatting is dat het beeld dat in dit onderzoek wordt geschetst voor nagenoeg de gehele vastgoedsector geldt. We zullen ons sectorbreed bewuster moeten worden van informatiebeveiliging en persoonsgegevens in het algemeen.

Waarom slaan we persoonsgegevens op?

Wellicht nog wel de meest belangrijke vraag daarbij is: waarom slaan we de persoonsgegevens op? Is daar een noodzaak toe? Of slaan we ze op omdat het kan en wellicht wel een keer handig zou kunnen zijn? Neem bijvoorbeeld het identiteitsbewijs waar ik het eerder over had. Het opslaan ervan maakt dat je aan de strengste eisen van de AVG moet voldoen. Dat komt doordat de pasfoto en BSN als bijzondere persoonsgegevens worden geclassificeerd. Als je nu bijvoorbeeld helemaal geen kopie opslaat maar simpelweg registreert wanneer en door wie de identiteit gecontroleerd is op basis van welk legitimatiebewijs, heb je al die complicaties niet. Kortom: geen reden tot hysterie, maar wel tijd om te handelen en de bedrijfsprocessen tegen het licht te houden! Fotocredits: Matyas Rehak / Fotolia