Stappenplan AVG voor de woningmakelaardij

Als woningmakelaar heeft u tot 25 mei 2018 de tijd om te voldoen aan de nieuwe privacywet. Dus voorkom een boete en bereid u voor op de AVG (Algemene Verordening Gegevensbescherming). 

Wat blijkt uit onze poll, waar wordt gevraagd of uw woningmakelaardij al AVG-proof is, blijkt dat nog niet veel makelaars van de AVG hebben gehoord. Wanneer u er wel van heeft gehoord, bent u dan al bezig geweest met de voorbereidingen? Sommige woningmakelaars beseffen ook niet dat deze privacyregels hen geld kan gaan kosten. De maximale boete is zelfs 20 miljoen euro of 4 procent van uw jaarlijkse omzet.

De wet trad al in mei 2016 in werking; als woningmakelaar wordt van u verwacht dat u sinds die tijd al bezig bent geweest om uw bedrijfsvoering met de AVG in overeenstemming te brengen. Na 25 mei mag iedereen elk willekeurig bedrijf op de naleving van de AVG aanspreken.

De plank misslaan

"U slaat de plank volledig mis als u denkt dat alleen grote bedrijven zoals Facebook kunnen worden aangesproken", zegt jurist Gwenny Titulaer van HBO Juristen. "Ook (kleine) webshops, de financiële dienstverleners en gewoonweg iedereen die met klantendata werkt, krijgt zonder enige twijfel te maken met deze wetgeving."

Maar veel van die ondernemers beseffen nog amper wat de impact van de nieuwe privacyregels is op hun processen en diensten. Titulaer: "Voorkom onnodige, torenhoge boetes en zorg ervoor dat technisch, administratief en organisatorisch alles klopt zodat u zich aan de nieuwe privacywet houdt."

Stappenplan AVG

- Zorg voor bewustwording binnen uw makelaardij

Zorg ervoor dat de relevante mensen binnen uw makelaardij op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen en diensten en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee. De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen om de AVG na te leven, zoals guidelines die zijn opgesteld samen met de andere privacytoezichthouders in Europa. 

- Breng de verwerking van uw privacygegevens volledig in kaart

Dit houdt in de persoonsgegevens die u verzamelt en verwerkt en ook het beoogde doel hiervan. Het is belangrijk om te registreren waar u deze gegevens vandaan haalt en met wie u ze allemaal deelt. U moet deze registratie overzichtelijk kunnen aantonen wanneer een controlerende instantie daarom vraagt.  

- Draag zorg voor de privacyrechten van uw betrokkenen

De mensen van wie u persoonsgegevens verwerkt, krijgen straks meer en verbeterde privacy-rechten door deze nieuwe wet. Ze moeten hun gegevens gemakkelijk kunnen inzien, laten corrigeren en op verzoek laten verwijderen of ze kunnen doorgeven aan een andere organisatie. 

- Voer een privacy impact assessment (PIA) uit

Hiermee wordt een middel bedoeld om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, waarna u maatregelen kunt nemen om de risico’s te verkleinen. De werkgroep van Europese privacytoezichthouders heeft criteria opgesteld om zo’n risico te bepalen. De Autoriteit Persoonsgegevens (AP) zal verder ook op korte termijn een lijst van verwerkingen publiceren waarvoor een PIA verplicht is.

- Verwerk de 'privacy by default' in uw bedrijfsvoering

Dit betekent dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u standaard alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken met uw makelaardij.

U kunt hierbij bijvoorbeeld denken aan het vakje op uw website ‘Ja, ik wil de nieuwsbrief ontvangen’: dat mag u niet vooraf aanvinken. Lees bijvoorbeeld hier de gegevens die u mag opvragen van een bezichtiger. 

- Verwerk de 'privacy by design' in uw bedrijfsvoering

Zorg ervoor dat de persoonsgegevens goed worden beschermd. Zorg ervoor dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. Bewaar de gegevens ook niet langer dan nodig. 

- Controleer de privacyverklaring van uw bedrijf

Deze verklaring moet door de nieuwe wetgeving meer gedetailleerde informatie bevatten en in begrijpelijke taal zijn geschreven.

- Ga na of uw makelaardij verplicht is een functionaris voor de gegevensverwerking aan te stellen

Sommige organisaties zijn verplicht om een functionaris voor de gegevensverwerking (FG) aan te stellen. U moet hier zeker niet te lang mee wachten. Uiteraard mag uw makelaardij ook vrijwillig een FG aanstellen.                                      

- Documenteer alle datalekken en zorg voor een duidelijke procedure

Dit blijft grotendeels hetzelfde, maar er zijn wel strengere eisen aan gesteld. Er worden strengere eisen gesteld aan uw eigen registratie van de datalekken. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht geeft voldaan. U doet er goed aan een duidelijk en uniform stappenplan te lanceren bij vermoeden of kennisname van een datalek.

- Ga na bij een bewerkersovereenkomst of u aan de vereisten uit de nieuwe wetgeving voldoet

Zo niet, pas de overeenkomst dan tijdig aan waar nodig.               

- Evalueer de wijze waarop u toestemming vraagt, krijgt en registreert 

De nieuwe wet verplicht u aan te tonen dat u geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. Ook moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Bron: Sprout en Autoriteit Persoonsgegevens