De Europese Privacywetgeving, in Nederland officieel bekend als de Algemene Verordening Gegevensbescherming (AVG), is op 14 april goedgekeurd door het Europees Parlement. Maar wat betekent het precies voor Nederlandse woningcorporaties? CorporatieGids.nl ging in gesprek met Rani Honcoop, Juriste en Business Consultant bij Audittrail, over wat corporaties moeten doen om te voldoen aan deze wet. “Wanneer corporaties tot dusver weinig aandacht hebben geschonken aan de bescherming van persoonsgegevens, staat hen een flinke klus te wachten.”

“Tot 13 april was de Europese richtlijn uit 1995 nog van kracht,” begint Rani. “Die is in 2001 omgezet naar de Wet bescherming persoonsgegevens (Wbp). Maar deze richtlijn was toe aan vervanging, vanwege bijvoorbeeld snelle technologische veranderingen, het bevorderen van uniforme gegevensbeschermingsregels binnen de EU en het versterken van rechten van individuen. Dat moet gebeuren met de Algemene Verordening Gegevensbescherming, ook wel de General Data Protection Regulation (GDPR) in het Engels.” 
 

Twee jaar

Rani geeft aan dat de wet in de lente van 2016 in werking zal treden, twintig dagen na publicatie in het Staatsblad (datum publicatie nog onbekend). Corporaties hebben vervolgens twee jaar om de regels te implementeren. “Dat klinkt lang, maar wanneer corporaties nog niet veel tijd aan de bescherming van persoonsgegevens hebben besteed, kan dat erg veel werk zijn. De Algemene Verordening Gegevensbescherming komt op veel punten overeen met de aangepaste Wet bescherming persoonsgegevens die op 1 januari 2016 in werking trad. Maar dat betekent niet dat een corporatie stil kan zitten. Nieuwe regels gaan bijvoorbeeld over hoe bedrijfsprocessen worden ingericht, hoe deze processen omgaan met persoonsgegevens en wat de rechten van betrokkenen zijn.”

“In de praktijk betekent dat onder andere de documentatie over de verwerking van persoonsgegevens verplicht is. Ook moeten corporaties privacyaspecten meenemen bij de ontwikkeling van nieuwe diensten, processen of systemen, krijgen betrokkenen de mogelijkheid een digitale kopie van hun persoonsgegevens aan te vragen en wordt de onafhankelijkheid van nationale toezichthouders vergroot. De aanstelling van een Data Protection Officer (de Engelse benaming voor de Functionaris voor de Gegevensbescherming) is voor corporaties geen verplichting. Desalniettemin raad ik corporaties wel sterk aan om een Privacy Officer aan te stellen vanwege de maatschappelijke en wettelijke veranderingen van dit onderwerp: privacy wordt nu eenmaal belangrijker gevonden dan voorheen.”
 

Meer inzicht en controle

Door de nieuwe wetgeving moeten corporaties meer inzicht en controle krijgen over de persoonsgegevens binnen hun organisatie. “Het aanstellen van een Privacy Officer levert een bijdrage aan het overkoepelende toezicht van de privacyaspecten en het privacybeleid. Hiermee zal privacy een onderdeel worden van de organisatiecultuur.”
 

Hoge boetes

Wanneer corporaties de eerdergenoemde regels niet op de juiste manier naleven, kan hen grote boetes worden opgelegd. De boetes van de Algemene Verordening Gegevensbescherming kunnen oplopen tot twintig miljoen euro, of vier procent van de wereldwijde jaaromzet. Hoger dan de 8,2 miljoen euro boete bij het niet naleven van de Wet bescherming persoonsgegevens. “Toch zal in geval van overtreding vaak eerst een bindende aanwijzing worden gegeven, voordat er wordt overgegaan tot het opleggen van een boete. De overtreder krijgt dan de mogelijkheid om binnen een gestelde termijn hieraan te voldoen.”
 

Grote inhaalslag

Het niet naleven van de nieuwe Europese Privacywet is volgens Rani vooral iets dat onbewust gebeurt. “Bewerkersovereenkomsten en recht op inzage zijn voorbeelden van regels die al sinds 2001 geïmplementeerd hadden moeten worden. We krijgen vaak de vraag van klanten of dit iets nieuws is. Het is niet een kwestie van niet willen, maar een kwestie van niet weten. Omdat er nu veel aandacht is voor privacy gaan er bij corporaties belletjes rinkelen. Maar omdat dit al in 2001 had gemoeten, hebben corporaties een grote inhaalslag in een korte periode voor de boeg. Daarnaast zijn financiële middelen beperkt, en met de eerdergenoemde boetes in het achterhoofd is dit voor corporaties het omslagpunt om te investeren in privacy.”

Autoriteit Persoonsgegevens (AP), toezichthouder van zowel de Wbp als de AVG, heeft daarnaast met haar agenda voor 2016 bekendgemaakt extra te letten op de beveiliging van persoonsgegevens. Volgens Rani betekent dit dat ernstige datalekken aanleiding kunnen zijn voor een extra controle. “Hierdoor kan een corporatie in een negatief daglicht komen te staan. Aan de andere kant; een incident betekent niet altijd dat een corporatie fout heeft gehandeld of nalatig is geweest. Er moet sprake zijn van een adequate beveiliging, en vanwege die open definitie is de inrichting een lastige opgave. Wat heeft mijn organisatie op dit moment nodig, en welke maatregelen dienen wij te implementeren?”
 

Ondersteuning

Rani vertelt dat Audittrail corporaties helpt om zich voor te bereiden op de nieuwe wet. “Bijvoorbeeld met een nulmeting op de organisatie. Deze toont de stand van zaken met betrekking tot privacy, en laat zien hoe een corporatie zichzelf kan verbeteren. Indien de eerste stappen al zijn gezet, kunnen wij door middel van ons Privacy Update Pakket bepaalde privacyonderwerpen adviseren. Denk hierbij aan het opstellen van een doelbestemmingenlijst en het trainen of ondersteunen van de Privacy Officer. Zo kan een corporatie zich optimaal voorbereiden op de nabije komst van de AVG.”

In samenwerking met Mavim heeft Audittrail het ISMS framework ontwikkeld. Lees hier meer over de voordelen van het ISMS framework of download de factsheet.