Ondanks het prille bestaan, heeft de Algemene verordening gegevensbescherming (AVG) de afgelopen drie jaar veel stof doen opwaaien. Hoewel er – sinds de invoering in mei 2018 – slechts veertien boetes zijn uitgedeeld door de Autoriteit Persoonsgegevens (AP), heeft de verscherping van de privacywetgeving het privacy-bewustzijn onder burgers behoorlijk doen toenemen.
‘’We zien dat de versterking van de rechten van datasubjecten ook op woningcorporaties een groot effect heeft gehad,’’ vertelt Debby Meijer-van der Leest, legal consultant bij Charco & Dique. ‘’Ook zij hebben te maken met mondige burgers die willen weten wat er met hun gegevens gebeurt. Aan de andere kant is het ook zo dat medewerkers die persoonsgegevens verwerken nu niet altijd meer even bewust met privacy bezig zijn dan net na de inwerkingtreding van de AVG. De AVG zou weer hoger op het lijstje mogen staan, ook bij woningcorporaties.’’
Verwerkingsregister als basis
Het verwerkingsregister blijft een punt van aandacht voor alle instellingen die persoonsgegevens verwerken. En dan met name het actueel houden van het register. Ook bij veel woningcorporaties is dit nog een ondergeschoven kindje.
Een goed en actueel verwerkingsregister geeft een compleet beeld van de naleving van de AVG op hoofdlijnen. Het register biedt inzicht in de persoonsgegevens die de corporatie verwerkt, de grondslag van die verwerking en de beveiliging daarvan. Ook staat erin met wie de persoonsgegevens gedeeld worden en welke verwerkersovereenkomsten er gesloten zijn. Meijer-van der Leest: ‘’Woningcorporaties hebben dit netjes gedaan met de inwerkingtreding van de AVG. Maar ook bij wijzigingen in de processen en in de verwerking van de persoonsgegevens moet het register bijgewerkt worden.’’
Het verwerkingsregister is vaak nog een ondergeschoven kindje
Het delen van gegevens
Een van de meest ‘tricky’ onderdelen van de AVG, zijn de regels met betrekking tot het delen van persoonsgegevens. Stel je voor: een loodgieter die een lekkage in een appartementencomplex moet repareren, vraagt of hij een uitdraai van de klantgegevens mag hebben om de bewoners hierover te benaderen. Mag je die dan geven?
Dit hangt ervan af of de ontvanger van de gegevens een verwerker is of een medeverwerkingsverantwoordelijke. Voordat je persoonsgegevens verstrekt aan een verwerker moet er een verwerkersovereenkomst afgesloten worden. Er is sprake van een verwerker als de ontvanger de persoonsgegevens gaat verwerken ten behoeve van de woningcorporatie. De woningcorporatie blijft zelf verantwoordelijk voor de verwerking. Dit is bijvoorbeeld het geval als een softwareleverancier persoonsgegevens van huurders verwerkt in een systeem.
Er is sprake van een (mede)verwerkingsverantwoordelijke als de ontvanger van de gegevens zelf verantwoordelijk is voor het doel en de middelen van de verwerking. Dit is het geval bij de loodgieter die wordt ingeschakeld om een lekkage te repareren. Om persoonsgegevens te mogen verstrekken aan een medeverantwoordelijke, moet er een grondslag zijn om deze te mogen delen.
Gerechtvaardigd belang?
Er zijn verschillende grondslagen voor de verwerking van persoonsgegevens. Denk aan de wet of een overeenkomst, maar ook vanuit een ‘gerechtvaardigd belang voor de verwerkingsverantwoordelijke’. ‘’In de praktijk zie je vaak dat dat persoonsgegevens verwerkt wordt onder de grondslag van gerechtvaardigd belang,’’ vertelt Meijer-van der Leest. ‘’Maar als er sprake is van een gerechtvaardigd belang, moet je alsnog aantoonbaar de afweging maken van het belang van de woningcorporatie versus het belang van het datasubject. Wordt het belang van de persoon in kwestie niet onevenredig geschaad?’’
Van de zes grondslagen uit de AVG, is de grondslag van gerechtvaardigd belang de enige waarbij je die specifieke belangenafweging moet maken én vastleggen. Dit wordt nog weleens vergeten, weet Meijer-van der Leest. ‘’Mocht de AP bijvoorbeeld een onderzoek instellen naar aanleiding van een klacht van het datasubject, dan moet je kunnen laten zien dat je een bewuste afweging gemaakt hebt.’’
De verwerking moet in verhouding staan tot de inbreuk op de privacy die je ermee maakt
Doelbinding en proportionaliteit
Als je een grondslag hebt om persoonsgegevens te verwerken, betekent dit dan dat je alles mag vragen wat je maar wil? Zo simpel is het niet. De informatie die je vraagt, moet noodzakelijk zijn voor het doel waarvoor je de informatie nodig hebt.
Daarnaast moet de verwerking van persoonsgegevens proportioneel zijn. Dit houdt in dat de verwerking in verhouding moet staan tot de inbreuk op de privacy die je daarmee maakt. Hier gaat het erom dat je niet meer gegevens vraagt dan dat je nodig hebt of dat je werkt met persoonsgegevens die minder inbreuk maken op de privacy. Een goede belangenafweging is hierbij noodzakelijk. Klinkt simpel, niet?
Inkomensverklaring voor toewijzing?
Toch gaat het wel eens fout. Eind 2018 bleek uit onderzoek van BNNVARA dat zeker 39 woningcorporaties woningzoekenden vroegen om een inkomensverklaring al voordat zij een woning toegewezen kregen. Dit is in in beginsel strijd met de AVG. Meijer-van der Leest: ‘’Dit mag pas op het moment dat iemand de woning toegewezen krijgt. Pas dan heb je de contractuele grondslag om te vragen naar bewijs van het inkomen (tenzij je de hiervoor genoemde informatie vraagt met expliciete en uitdrukkelijke toestemming van de persoon). Wat wel mag, is woningzoekenden vragen om een inkomensindicatie op te geven. Dit is immers nodig om een passende woning toe te kunnen wijzen.’’
Naast het vragen om inkomensgegevens, is ook extra voorzichtigheid geboden bij het delen ervan. Voor het uitwisselen van inkomensgegevens worden op grond van de Woningwet strengere eisen gesteld dan vanuit de AVG. Wil je inkomensgegevens delen met een (mede)verantwoordelijke? Dan geldt op grond van artikel 55 van de Woningwet een geheimhoudingsplicht. Er zijn hierop slechts twee uitzonderingen:
1. Er is een wettelijk voorschrift dat stelt dat de woningcorporatie tot mededeling verplicht is; of
2. De noodzaak tot mededeling vloeit voort uit haar taak.
Gezondheidsgegevens
Ook aan de verwerking van gezondheidsgegevens worden bijzondere eisen gesteld. Volgens de AVG gaat het hierbij om alle persoonsgegevens die verband houden met de fysieke of mentale gezondheid van betrokkenen; dus ook of iemand in een rolstoel zit of slecht ter been is.
De verwerking van gezondheidsgegevens is niet toegestaan tenzij dit is voorgeschreven in de wet, bijvoorbeeld ten behoeve van de zorgverlening. Toch kan dit belangrijke informatie zijn om als woningcorporatie vast te leggen. In het geval van een evacuatie is het bijvoorbeeld van (levens)belang om te weten of er personen in het gebouw aanwezig zijn die niet zelfstandig buiten kunnen komen. Mag je deze gegevens desondanks niet vastleggen?
Gelukkig mag dit wel. ‘’Bijvoorbeeld wanneer het noodzakelijk is voor de waarborging van de openbare veiligheid. Dit belang weegt dan zwaarder dan de inbreuk op de privacy van de betrokkene,’’ legt Meijer-van der Leest uit. ‘’Wel moet je hierbij altijd de regels van de AVG in acht nemen. Je mag dus niet meer over de gezondheidstoestand vastleggen dan strikt noodzakelijk voor het doel waarvoor de informatie wordt verwerkt. In een ontruimingsplan mag je dus alleen opnemen dat een bewoner in een rolstoel zit of slecht ter been is, maar niet de aanleiding daarvan beschrijven.’’
AVG Awareness voor woningcorporaties
Hoewel de grootste onduidelijkheden rondom de implementatie van de AVG inmiddels wel uitgekristalliseerd zijn, blijkt de continue naleving en het scherp houden van de kennis in de praktijk toch nog altijd een uitdaging. Ook wordt er periodiek nog guidance gegeven vanuit de AP en European Data Protection Board (de Europese organisatie). Daarom ontwikkelde Meijer-van der Leest, samen met de learning specialisten van The Ministry of Compliance, een AVG Awareness e-learning toegespitst op woningcorporaties. De e-learning helpt je jouw kennis van de privacywetgeving op te frissen en direct toe te passen in de praktijk.