De AVG in de vastgoedbranche

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Met deze nieuwe Europese verordening die de bescherming van persoonsgegevens regelt, is de Wet Bescherming Persoonsgegevens vervangen. Ook binnen de vastgoedbranche worden persoonsgegevens verzameld en opgeslagen, maar gebeurt dit wel volgens de vereisten van de AVG? Hierna zal aandacht worden besteed aan de vereisten van de AVG en de werking hiervan binnen de vastgoedbranche.

Rollen binnen de AVG
Binnen de vastgoedbranche worden veel persoonsgegevens verwerkt. Zo verzamelt een makelaar bijvoorbeeld de persoonsgegevens van de koper en de verkoper. Hiertoe is hij verplicht aangezien hij de identiteit van de betrokkenen moet vaststellen onder de Wet ter  voorkomen van witwassen en financiering van terrorisme (WWFT). Om deze gegevens te kunnen verwerken maakt een makelaar doorgaans gebruik van een softwarepakket. Binnen de AVG heeft iedere persoon of organisatie zijn of haar eigen rol. Zo is de Betrokkene de persoon waarvan de persoonsgegevens worden verwerkt. De Verantwoordelijke is degene die bepaalt wat met er de persoonsgegevens van de betrokkene gebeurt. De Verwerker handelt naar instructie van de Verantwoordelijke bij het verwerken van de verstrekte gegevens. Ook kan er sprake zijn van een sub-Verwerker, deze handelt weer naar instructie van de Verwerker. In het voorbeeld zoals hierboven beschreven zijn de koper en verkoper allebei Betrokkenen, is de makelaar de Verantwoordelijke en is de leverancier het softwarepakket de Verwerker.

Benadering van klanten
Met name verhuurders en makelaars sturen regelmatig reclame naar (potentiële) klanten. Met de komst van de AVG kan dit niet zomaar, maar zullen (potentiële) klanten hier eerst toestemming voor moeten geven. Wanneer een betrokkene zich aanmeldt voor een bezichtiging van een huis of een brochure van de website downloadt, mag nog niet automatisch reclame naar deze betrokkene worden gestuurd. Zij zullen hier eerst actief toestemming voor moeten geven. Dit kan bijvoorbeeld door een hokje ‘ik wil reclame ontvangen’ aan te kruisen, met expliciete vermelding van het doel waarvoor de persoonsgegevens worden verstrekt.

Een verwerkingsregister
Doordat binnen de vastgoedbranche verschillende persoonsgegevens (denk aan scheiding, financiële situatie, faillissement, identiteit etc.) worden verzameld en opgeslagen, is het van belang om te inventariseren welke persoonsgegevens worden verwerkt, met welk doel, hoe wordt verwerkt en welke risico’s hieraan verbonden zijn. Dit doet u aan de hand van een verwerkingsregister. In dit register wordt minimaal opgenomen of u verantwoordelijke bent of verwerkt namens een ander en van wie welke gegevens verwerkt worden met welk doel. Waar komen deze gegevens vandaan en op basis van welke (wettelijke) grondslag worden deze gegevensverwerkt? Wat zijn de technische en organisatorische beveiligingsmaatregelen en welke bewaartermijn geldt voor deze gegevens? De juristen van Wesselman Accountants I Adviseurs kunnen u hierbij verder helpen.

Bewaartermijn
Hoe lang mag een makelaar nu eigenlijk de gegevens van zijn klanten bewaren? Op basis van de AVG mogen bedrijven privacygevoelige gegevens niet langer bewaren dan noodzakelijk. Tevens biedt de AVG klanten het recht om te vragen welke gegevens zijn verwerkt én hebben klanten het recht om te eisen dat hun gegevens worden verwijderd. Dit betekent echter niet dat alle gegevens per direct verwijderd kunnen/ mogen worden. Er zijn namelijk wettelijke bepalingen die voorschrijven dat bepaalde gegevens een minimale periode bewaard moeten blijven. Zo moet een makelaar op basis van de wetgeving een opdrachtbevestiging en facturen minimaal zeven jaar bewaren.

Functionaris voor de Gegevensbescherming (FG)
Een FG is onder andere verplicht bij overheden en publieke organisaties. Binnen de vastgoedbranche vallen woningcorporaties vooralsnog buiten deze verplichting. Voor organisaties die hiertoe niet verplicht zijn, kan het toch verstandig zijn om een functionaris vergelijkbaar met de rol van een FG aan te stellen. Let hierbij op dat u deze persoon geen FG noemt en ook niet volledig hetzelfde functieprofiel geeft als een FG. Voor een FG gelden namelijk veel extra wettelijke verplichtingen. U zou deze persoon bijvoorbeeld ‘Privacy Officer’ kunnen noemen.

Data Protection Impact Assessment (DPIA)
Wanneer gegevensverwerking een hoog privacyrisico oplevert is een DPIA verplicht. DPIA is een instrument om vooraf de privacy risico’s van de gegevensverwerking in kaart te brengen. Hier valt te denken aan de verplichting van een DPIA bij een woningcorporatie die huurders selecteert op basis van ras, gezondheid, seksuele geaardheid en godsdienst. Dit komt doordat de woningcorporatie in dit voorbeeld op grote schaal bijzondere persoonsgegevens verwerkt. Overigens zou deze woningcorporatie zichzelf de vraag moeten stellen of deze wijze van selecteren überhaupt is toegestaan. Ook voor een DPIA geldt dat het verstandig is om dit altijd te doen, ondanks dat u hiertoe niet wettelijk verplicht bent. Dit geeft u namelijk direct een overzicht van de persoonsgegevens met de daaraan verbonden risico’s, die u toch al in kaart moet brengen voor het verwerkingsregister.

Datalekkenregister
Ook in de vastgoedbranche kunnen datalekken voorkomen. Denk hier bijvoorbeeld aan een ransomware-aanval op een verhuurder. Bij een dergelijke aanval kunnen persoonsgegevens in handen komen van derden. Het verplicht opstellen van een datalekkenregister is nieuw binnen de AVG. In dit register moeten alle (mogelijke) datalekken worden opgenomen met daarbij de afweging of dit datalek wel of niet gemeld zou moeten worden bij de Autoriteit Persoonsgegevens. Het is verstandig om hierbij ook een protocol op te stellen voor het melden van datalekken zodat de medewerkers precies weten hoe ze moeten handelen in geval van een datalek.

Verwerkersovereenkomst
Een nieuwe verplichting onder de AVG is het sluiten van een verwerkersovereenkomst tussen de verantwoordelijke en de Verwerker. In deze overeenkomst moeten de afspraken omtrent het Verwerken van de persoonsgegevens worden opgenomen. In het eerder besproken voorbeeld moet dus een verwerkersovereenkomst gesloten worden tussen de makelaar en de aanbieder van het softwarepakket.

25 mei 2018
Zoals bovenstaand beschreven heeft de inwerkingtreding van de AVG op 25 mei jl. ook gevolgen voor de vastgoedbranche. Naast de bovengenoemde aandachtspunten is het tevens van belang om de relevante personen binnen uw organisatie op de hoogte te stellen van de nieuwe privacyregels, zodat binnen uw bedrijf bewust wordt omgegaan met persoonsgegevens. Een intern handboek kan hiervoor een goed handvat bieden. Hierin beschrijft u de processen binnen uw organisatie die betrekking hebben op de verwerking van persoonsgegevens. Omdat er veel zaken vastgelegd moeten worden, kost het AVG-proof maken van uw organisatie veel tijd. Wij kunnen ons voorstellen dat u naar aanleiding van dit artikel nog vragen heeft. U kunt daarvoor contact opnemen met onze collega’s Mariëlle Scheepens of Igor Suselbeek. Daarnaast kunnen onze juristen u verder helpen bij het opstellen van de benodigde documenten. Zo beschikken wij over een draaiboek met een uitgebreid stappenplan. Daarnaast kunnen wij u voorzien van een voorbeeld verwerkersovereenkomst, datalekken protocol, privacyverklaring en een sjabloon van een verwerkingsregister waarin voorbeelden zijn opgenomen, zodat u houvast heeft bij het invullen van het register. Ook hiervoor kunt u contact opnemen met Mariëlle Scheepens (mariëlle.scheepens@wesselman-info.nl).


Meer weten over de AVG?

Mariëlle Scheepens - van den Boom

Mariëlle Scheepens - van den Boom vertelt u graag alles hierover!

Wilt u altijd op de hoogte zijn van het laatste nieuws voor ondernemers?

Meld u aan voor onze nieuwsbrief! Wij delen onze kennis graag met u.