Vastgoed actueel - privacywetgeving

Wat verandert de nieuwe privacywet voor woningmakelaars?

De bescherming van persoonsgegevens is ook in de woningmakelaardij een heet hangijzer. De intrede van nieuwe Europese privacywetgeving omtrent dit thema, de Algemene Verordening Gegevensbescherming (AVG), zorgt voor veel opschudding. Want vanaf 25 mei 2018 moeten alle bedrijven die gegevens verwerken voldoen aan de nieuwe regels. Maar wat zijn de nieuwe verplichtingen? Wat betekent het voor woningmakelaardij? OSRE legt het uit! 

Nieuwe privacywetgeving

De huidige privacywetgeving, de Wet bescherming persoonsgegevens (Wbp), werd in mei 2016 vervangen door een nieuwe privacywetgeving op Europees niveau: de AVG, ook wel bekend als de General Data Protection Regulation (GDPR). De wet wordt pas vanaf 25 mei 2018 gehandhaafd. Dit geeft bedrijven de mogelijkheid om zich aan te passen. Ook voor woningmakelaars brengt dit nieuwe verplichtingen met zich mee. 

Belangrijkste veranderen AVG

De privacywet is aangescherpt en dat is zoals altijd met wetgeving, niet eenvoudig uit te leggen. Dit zijn in het kort de belangrijkste veranderingen: Organisaties moeten vanaf 25 mei 2018 voldoen aan de eisen van de AVG.

  • Een privacybeleid moet proactief worden toegepast op relevante businessprocessen.
  • Consumenten hebben meer zeggenschap over hun eigen data en hebben recht op:
    – Het inzien van eigen persoonsgegevens
    – Het verwijderen van eigen persoonsgegevens   
    – Het corrigeren van hun persoonsgegevens 
    – Het overdragen van hun persoonsgegevens
  • Er moet in sommige gevallen een functionaris gegevensbescherming worden aangesteld die onder andere toezicht houdt op de toepassing en naleving van de AVG.

Wat de nieuwe privacywetgeving concreet betekent, is vrij gecompliceerd. Hieronder zijn een aantal belangrijke punten uitgelegd. 

Verschillende verplichtingen

In de nieuwe privacywet wordt er onderscheid gemaakt tussen twee rollen met verschillende verplichtingen: de verantwoordelijke en de verwerker van persoonsgegevens.

Verantwoordelijke: Als verantwoordelijke voor de verwerking van gegevens bepaalt u het doel en de manier van gegevensverwerking. Bijvoorbeeld welke gegevens u verwerkt en met welke software, op welke manier en hoe lang u die bewaart. Veel woningmakelaardijen verwerken gegevens niet alleen voor verkoop of verhuur, maar ook voor profilering van consumenten en statistische doeleinden. Dat brengt extra verantwoordelijkheid met zich mee.

Verwerker: de verwerker is de partij die in opdracht van de verantwoordelijke gegevens verwerkt, bijvoorbeeld de leverancier van de gebruikte software.

Aansprakelijkheid

Wat betekent die opnieuw gedefinieerde rolverdeling precies? Onder de huidige Wbp is de verantwoordelijke als enige direct aansprakelijk, tenzij contractueel anders vastgelegd. Dan zou de verwerker eventueel indirect aansprakelijk zijn. Dat verandert onder de AVG. De verantwoordelijkheid voor de persoonsgegevens ligt weliswaar in eerste instantie bij de woningmakelaardij, maar de verwerker is nu ook direct aansprakelijk voor het niet-nakomen van zijn wettelijke verplichtingen. Om het nog ingewikkelder te maken: in sommige gevallen kan een organisatie zowel verantwoordelijke als verwerker zijn.

AVG-proof verwerkers

Als verantwoordelijke van de verwerking van persoonsgegevens is het niet toegestaan met verwerkers in zee te gaan die niet aan de wet voldoen. Het is dus raadzaam om lopende samenwerkingen met verwerkers onder de loep te nemen. Voldoet de verwerker niet aan de eisen? Dan mag de verantwoordelijke zijn relatie verzoeken om zijn verwerkingsactiviteiten AVG-proof te maken. Als de verwerker niet tegemoet komt, mag de overeenkomst herzien worden.

Register verwerkingsactiviteiten

Onder de nieuwe privacywet moet iedere organisatie die persoonsgegevens verwerkt verantwoording (accountability-principe) kunnen afleggen en laten zien op welke manier hij persoonsgegevens verwerkt volgens de AVG. Dat wil zeggen dat u documentatieplicht hebt: het bijhouden van een register van alle verwerkingsactiviteiten.

Wat betekent dat? Als verantwoordelijke moet u een register bijhouden van de verwerkingsactiviteiten die onder uw verantwoordelijkheid plaatsvinden. Op zijn beurt moet de verwerker alle verwerkingen documenteren die hij voor de verantwoordelijke verricht. 

AVG-proof

Onder datzelfde accountability-principe valt ook dat zowel verantwoordelijke als verwerker de gegevens beschermt door ontwerp en standaardinstellingen, ofwel privacy-by-design en privacy-by-default. Dat houdt in dat er bij de ontwikkeling van business processen, producten en diensten aandacht is voor de gevoeligheid van gegevens. U moet volledig privacy-proof kunnen werken. In andere woorden: uw systeem (of dat van uw verwerker) moet op orde zijn.

Een belangrijk onderdeel van privacy-by-design is data-minimalisatie: niet méér persoonsgegevens verwerken dan strikt noodzakelijk is voor het vastgestelde doel. Een ander belangrijk punt is dat de standaardinstellingen van het systeem privacy-vriendelijk zijn. Persoonsgegevens mogen nooit standaard openbaar zijn en mensen moeten actief kiezen voor het breder laten delen van hun gegevens. Dit afschermen van persoonsgegevens geldt voor alle ICT-toepassingen: van browserinstellingen tot bedrijfssoftware zoals het WoningDossier.

Bron: OSRE