De AVG, Algemene Verordening Gegevensbescherming, treedt volgend jaar in werking. De Wet Bescherming Persoonsgegevens (WPB) geldt dan niet meer. Wat betekent de nieuwe EU-privacywetging voor uw woningcorporatie? En bent u tegen die tijd (technisch) voorbereid op de aangescherpte verantwoordelijkheden?
U heeft nog ruim 5 maanden voorbereidingstijd voordat de Algemene Verordening Gegevenswerking van kracht is. De nieuwe Europese wetgeving vergt meer van uw organisatie dan de WPB. Daarin ligt de nadruk op uw verantwoordelijkheid om aan te tonen dat u zich aan de wet houdt, meer dan nu het geval is. Dat heeft gevolgen voor uw processen, ICT en voor uw medewerkers.
Verschil WBP en AVG
Vanaf 25 mei 2018 geldt dezelfde privacywetging in de gehele EU. Wat zijn de belangrijkste verschillen tussen de WBP en de AVG?
Het begrip persoonsgegevens is uitgebreid met online indicators die te herleiden zijn naar natuurlijke personen.
Er geldt een registratieplicht voor alle verwerkingen van persoonsgegevens. Bij elke verwerking is actieve toestemming van de betrokkenen verplicht.
Er zijn rechten toegevoegd, zoals het recht op vergetelheid (wissen van gegevens op verzoek) en op dataportabiliteit (geregistreerde gegevens ontvangen). En het recht om de verwerkingen te beperken, en om bezwaar te maken tegen verwerkingen.
U moet kunnen aantonen dat u zich aan alle regels houdt. Daardoor moet u meer handelingen, communicatie en mutaties in systemen registreren.
Externe verwerkers zijn medeaansprakelijk.
In sommige gevallen is een Privacy Impact Assessment verplicht.
Het aanstellen van een Functionaris Gegevensverwerking is gewenst. Voor overheden en publieke organisaties is het verplicht.
Training van medewerkers is niet verplicht, maar bewustwording en training zijn onontbeerlijk om compliancy te waarborgen.
Boetes bij overtredingen worden veel hoger.
Korte checklist AVG-implementatie
Hoe ver bent u met uw voorbereidingen? Eigenlijk is de nieuwe Europese wetgeving al op 25 mei 2016 in werking getreden. Alleen hebben de EU en de Autoriteit Persoonsgegevens ons twee jaar de tijd gegeven om zich aan te passen. Op 25 mei aanstaande moet dat dus afgerond zijn.
Techxx Bright Answers heeft zijn dienstverlening en producten al volledig op de nieuwe privacywetgeving aangepast. Business manager Wonen Henk Rakké neemt u aan de hand met behulp van een heel eenvoudige checklist. Op basis van 4 vragen en tips kunt u bepalen in hoeverre uw corporatie klaar is voor de AVG.
Stap 1. Voldoet uw digitale archief?
“De technische inrichting van het digitale archief zegt veel over het privacy-bewustzijn van een organisatie”, aldus Rakké. Hoe is uw archief ingericht? Hoe slaat u documenten op nadat uw nieuwe huurders een huurcontract hebben getekend? Nog steeds als één bestand met verschillende documenten?
Rakké: “Hoewel bewaartermijnen van persoonsgegevens niet zijn gewijzigd, kunnen betrokkenen wel een beroep doen op hun recht van vergetelheid. Gegevens laten verwijderen dus; bijvoorbeeld een kopie van een identiteitsbewijs. De vraag of het maken van kopieën van legitimatiebewijzen wel mag, wordt door de AVG ook relevant. Huurders moeten zich kunnen identificeren maar mogen kopiëren van paspoort of rijbewijs weigeren. Na de invoering van de AVG hebben ze nog meer rechten om te weigeren en om opgeslagen kopieën te laten verwijderen.”
Rakké vervolgt: “Sla je wel identiteitsbewijzen op, dan is het belangrijk om het archief doorzoekbaar en veilig te houden. BSN-nummers op kopieën moet je afschermen en mogen alleen voor bevoegden toegankelijk zijn. Je moet op verzoek kopieën identiteitsbewijzen, en andere persoonsgegevens snel kunnen verwijderen. Daarnaast moet het eenvoudig zijn om een vernietingslijst op basis van vastgestelde bewaartermijnen te kunnen opvragen, waarna documenten op deze lijst kunnen worden verwijderd.
AVG-toolkit
Techxx Bright Answers heeft een AVG-toolkit ontwikkeld, waarmee u uw archief “door een digitale wasstraat” kunt halen. “Documenten kunnen vervolgens op basis van aanwezige inhoud doorzocht worden”, vertelt Rakké. “Ook voor niet-OCR gescande documenten wordt gekeken of dit alsnog kan gebeuren. Het zoekmechanisme zit ingenieus in elkaar. Je kunt gevoelige informatie zoeken en vervolgens met speciale tooling wijzigen of verwijderen.”
Volgens Rakké kan de AVG ook aanleiding zijn om een volledig nieuw digitaal archief in te richten. “Onze archiefoplossingen voldoen aan de CORA/VERA-standaarden. We richten het digitale archief zo in dat documenten automatisch de juiste bewaartermijnen op basis van documenttype krijgen teogekend.
Stap 2. Zijn uw autorisatieprocedure en -beheer waterdicht?
De aangescherpte privacyregels maken het nog belangrijker dat privacygevoelige informatie alleen voor directe behandelaars toegankelijk is. Rakké: “Denk bijvoorbeeld aan huurincassoprocedures, overlastdossiers, en identiteitsbewijzen die gebruikt worden bij het aangaan van nieuwe huurcontracten. Je moet door middel van autorisatiestructuur kunnen aantonen wie toegang tot welke dossiers heeft.”
Hij vervolgt: “Wij kunnen op basis van KlantVenster zaak- en dossiergericht werken mogelijk maken. Bij de inrichting zorgen we voor de noodzakelijke autorisatieniveaus en definiëren we dossier- en documenttypes. Per type kun je autorisatieniveaus toewijzen. En omdat iedere medewerker een autorisatieniveau heeft, vervalt de noodzaak om autorisaties per document te regelen. Dat is veiliger en efficiënter”, aldus de business manager Wonen.
Stap 3. Is een veilige en controleerbare workflow gewaarborgd?
Uw organisatie communiceert mondeling, digitaal en via brieven met uw (kandidaat-)huurders. Kunt u bij elke stap van de communicatie en workflow waarborgen dat geautoriseerde medewerkers die stap uitvoeren? En kunt u elke stap en handeling in de workflow terugvinden? Zo niet, dan kunt u geen volledige audittrail laten zien. En kunt u dus niet aantonen dat u compliant bent met de AVG.
Rakké beschrijft een oplossing van Techxx Bright Answers: “Onze dienstverlening en producten draaien om het kloppende hart: KlantVenster. Via dit framework kunnen medewerkers brieven aanmaken en versturen, maar ook de workflow van diverse klantprocessen volgen en sturen.”
“KlantVenster koppelt op een slimme manier zelfserviceportalen, het DMS en andere bronsystemen met behulp van workflows aan elkaar. Alle handelingen worden gelogd in een audittrail. Wij richten alles dusdanig in dat onze klanten compliant zijn met de AVG. Bestaande klanten adviseren we proactief over eventuele aanpassingen.”
Toestemming verwerking persoonsgegevens
Verder moet u uw huurders voortaan om toestemming vragen om persoonsgegevens te mogen opslaan. U bent verplicht om dat voor elke verwerking (elk systeem) te doen. Daarnaast moet u ze erop wijzen dat ze om verwijdering mogen vragen en dat ze de persoonsgegevens mogen opvragen. Heeft u uw systemen daarvoor al aangepast?
Rakké vertelt over KlantVenster en klantportalen: “Zelfservice portalen worden steeds belangrijker. Woningzoekenden schrijven zich online in, reageren online op woningen, en huurders kunnen hun gegevens steeds vaker online wijzigen. Maar ook reparatieverzoeken indienen, overlast melden, etc. Bij al die interacties worden persoonsgegevens geregistreerd. Toestemming vragen voor registratie mag ook online. Via onze klantportalen en KlantVenster is dat heel eenvoudig te regelen.”
Stap 4. Zijn uw medewerkers er ook klaar voor?
U kunt technisch alles tot in de puntjes hebben geregeld, maar er blijven altijd loketfuncties en menselijke interacties tussen huurders en medewerkers bestaan. En medewerkers verwerken gevoelige persoonsgegevens in uw processystemen. Zijn uw medewerkers goed voorbereid op de AVG? Weten ze wat wel en niet mag?
Volgens Rakké is voor deze ingrijpende privacywetgeving bij veel organisaties een cultuuromslag nodig. “Dat is meestal complexer en tijdrovender dan aanpassing van de techniek. Ingesleten gewoonten en gedrag zijn moeilijk te veranderen. De inspanningsverplichting en verantwoordelijkheid van organisaties wordt veel groter t.o.v. de WBP. Burgers krijgen ook meer rechten die organisaties op hun verzoek moeten respecteren.”
Nog niet klaar voor AVG-wetgeving?
Als u op minimaal één van de vorige vragen nee moet antwoorden, heeft u nog 5 maanden tijd om de privacy van uw (kandidaat-)huurders te waarborgen.
Vanaf januari zijn is onze AVG-toolkit beschikbaar om uw archief op te schonen. Neem contact met ons op en wij helpen u graag om tijdig klaar te zijn.
Aedes biedt u een handig hulpmiddel. De AVG Routeplanner is een overzichtelijke leidraad voor uw voorbereiding en maatregelen.
Voor bouw, renovatie en onderhoud van woningen heeft Aedes een handreiking persoonsgegevens opgesteld. Deze is gericht op de regels voor uitwisseling van persoonsgegevens tussen twee partijen.
Techxx Bright Answers voor technische AVG-oplossingen
Wij zijn gespecialiseerd in procesautomatisering en online communicatie voor woningcorporaties. Rakké en zijn collega’s kennen de corporatieorganisatie als geen ander. Zij zijn bovendien al met de AVG bezig sinds de contouren van deze privacywetgeving bekend werden.
Bron: Techxx Bright Answers
Klik hier om de bedrijfsprofielpagina van Techxx Bright Answers te bekijken
Wat is het toch ieder jaar een voorrecht om CorporatiePlein te mogen organiseren. En wat was deze 13e editie - afgelopen…
www.corporatieplein.nl
CorporatieGids Magazine Maart 2024 - Huurderstevredenheid Inhoud Cécile Engelsma (WormerWonen): Huurderstevredenheid draagt bij aan ons bestaansrecht…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
