• Home
• Nieuws

'Corporaties moeten inhaalslag maken om aan Europese privacywet te voldoen'

Geplaatst door CorporatieMedia op Tuesday 15 August 2017

In mei 2016 werd de Europese privacywet aangenomen. Corporaties kregen toen twee jaar de tijd om aan deze nieuwe wet te voldoen. Wat is minder dan één jaar voor de live-gang van de wet de stand van zaken in de corporatiesector? CorporatieGids.nl ging in gesprek met Joyce de Jong van Audittrail, en sprak met haar over de gevolgen van de wet en hoe corporaties aan de nieuwe wetgeving kunnen voldoen.

"De kern van de nieuwe Europese wetgeving is dat Europese burgers weer controle krijgen over de eigen persoonsgegevens," begint Joyce. "Burgers hebben het recht om te weten wat er met hun gegevens wordt gedaan. Organisaties worden gedwongen dat in kaart te brengen, er transparant over te zijn en de burger te faciliteren in het uitoefenen van haar rechten. En dat vergt nogal wat van organisaties."

Inhaalslag
De wetgeving is niet geheel nieuw. Een deel van de regels stond ook al beschreven in de Wet bescherming persoonsgegevens uit 2001. "Door het gebrek aan toezicht werd deze wet echter slecht nageleefd. Daardoor moeten organisaties een inhaalslag maken. En dat kost tijd. Wij zien nog geen corporatie die nu helemaal aan de Wbp en AVG voldoet, al zijn er verschillende heel goed op weg. Daarbij is er natuurlijk geen sprake van een eenmalige exercitie. De Privacy Officer zal blijvend moeten toezien dat de wettelijke regels gevolgd worden."

De Europese privacywet treedt op 25 mei 2018 in werking. Wanneer corporaties dan niet aan de regels voldoen, kunnen hoge boetes worden uitgedeeld. "Er zijn nog geen boetes uitgedeeld, maar die gaan er uiteindelijk zeker komen. De extreem hoge boetes van 20 miljoen euro of vier procent van de wereldwijde jaaromzet zijn vooral bedoeld om giganten als Facebook en Google af te schrikken, maar ook bij corporaties kunnen de boetes pijn doen. Daarnaast kunnen corporaties bij fouten ook door huurders aansprakelijk worden gesteld."

Documentatieplicht
Eén van de lastige punten van de nieuwe wet, is volgens Joyce dat corporaties in kaart moeten brengen hoe er met persoonsgegevens wordt omgegaan. "Dat is een omvangrijke documentatieplicht. Het verwerkingsregister, waarin alle processen waar persoonsgegevens worden gebruikt staan vastgelegd, is daar onderdeel van. Het vullen van zo´n register kan veel tijd kosten, maar resulteert wel in een goed overzicht van je risico's en compliance. Zo kun je in één overzicht zien met welke partijen je gegevens uitwisselt en toetsen of die uitwisseling aan de wet voldoet."

"Verder is privacybewustzijn bij de medewerkers enorm belangrijk. Anders blijven datalekken onopgemerkt en blijft de kans bestaan dat er toch gegevens uitgewisseld worden, zonder dat aan de juiste voorwaarden voldaan wordt."

Bestuur
Een beter bewustzijn rondom privacy begint bij het bestuur, legt Joyce uit. "Die moet tijd en middelen beschikbaar stellen om de inhaalslag mogelijk te maken. Daarnaast adviseren wij altijd om de rol van Privacy Officer binnen een corporatie te beleggen. Die is zowel intern als extern het eerste aanspreekpunt voor privacy, heeft de coördinatie bij datalekken en zorgt ervoor dat de documentatie up-to-date is en de organisatie compliant blijft."

Persoonlijk stappenplan
Om corporaties te begeleiden de uitdagingen rondom de nieuwe wet aan te gaan, biedt Audittrail een persoonlijk stappenplan aan. "Veel corporaties gaan bewust met persoonsgegevens om, maar doen dit op basis van gezond verstand alleen. Helaas voldoe je daarmee niet aan de wetgeving, je moet dit immers aantonen. Uit onze nulmetingen volgt daarom een plan van aanpak, waarbij de documentatie eerst op orde wordt gebracht en de grootste risico's beperkt. Daarna kijken we of de werkwijze van de corporatie in overeenstemming is met de wetgeving, en waar nodig maatregelen getroffen moeten worden. We houden daarbij een logische volgorde aan die zoveel mogelijk synchroon loopt met de bijbehorende informatiebeveiligingsmaatregelen. We kijken bijvoorbeeld niet alleen naar welke informatie uitgewisseld wordt, maar ook of dat op een veilige manier gebeurt."

Tijdig voldoen
Joyce sluit het gesprek af door te stellen dat er de afgelopen jaren erg veel is veranderd op het gebied van persoonsgegevens. "Door middel van het uitwisselen van gegevens, dataverrijking en profileren wordt geprobeerd een steeds completer plaatje van de huurder te verkrijgen. Vaak met goede intenties, maar wel met grote gevolgen voor privacy. De wetgeving - en vooral het toezicht - liep lange tijd daarop achter, iets wat nu niet meer het geval is. Daarnaast worden bedreigingen van buitenaf ook steeds groter, denk bijvoorbeeld aan ransomware-aanvallen. Hoe langer corporaties wachten met het op orde brengen van de privacy, hoe lastiger het wordt die inhaalslag te maken en hoe groter het risico wordt. Daarom willen we corporaties op het hart drukken om tijdig aan de nieuwe wetgeving te voldoen, om hoge kosten of boetes te voorkomen én om de gegevens van de huurders, corporatie en eigen medewerkers te beschermen."

Bron: Johan van den Beld | CorporatieMedia - 14 augustus 2017