Wat betekent de nieuwe AVG voor corporaties?

De nieuwe privacywetgeving dwingt woningcorporaties vanaf 25 mei tot data-minimalisatie: persoonsgegevens mogen alleen worden opgeslagen als er een noodzaak is. “Dat heeft ook voordelen”, stelt Klarie Offringa van Thús Wonen. “Het kan bijvoorbeeld werk besparen. Het belangrijkste is nu in elk geval dat elke medewerker bekend is met en zich bewust is van de nieuwe regels.”

Thús Wonen, die binnen haar onderhoudsprojecten regelmatig samenwerkt met Fooq, organiseerde begin april al diverse korte avondcursussen. In een kort en helder verhaal kregen haar medewerkers de nieuwe wetgeving voorgeschoteld. Wat houdt het in? Wat betekent dit voor de eigen werkzaamheden? Wat mag en wat mag niet meer?

Geen BSN-nummers

“De AVG (Algemene Verordening Gegevensbescherming– red.) stelt vooral dat er een grondslag moet zijn dat je persoonsgegevens verzamelt. Dat kan een wettelijke verplichting zijn of een vitaal belang. Is daar sprake van?”, zet Offringa uiteen. “In het verleden registreerden we het BSN-nummer, omdat we huurders hielpen met het aanvragen van huursubsidie. Maar dat doen wij niet meer en daarmee is ook de wettelijke grondslag verdwenen. In principe mogen wij dus géén BSN-nummers meer vastleggen. Zelfs als de huurder toestemming zou geven, moeten wij volgens de AVG nog kunnen aantonen dat wat wij daarmee willen bereiken, niet op een andere manier kan worden gerealiseerd.”

PIA verplicht

Om een goed beeld te krijgen van mogelijke onnodige persoonsgegevens in ieders systeem, zijn corporaties verplicht een Privacy Impact Assessment (PIA)uit te voeren, vertelt Offringa. “Dat is een toets waarbij je alle processen binnen je organisatie doorlicht om te kijken of de privacy van personen goed wordt beschermd. Daarbij geef je voor elk persoonsgegeven aan op welke grondslag je dit vastlegt. Is er kortom een overeenkomst, wettelijke verplichting of gerechtvaardigd belang?”

Praktische vuistregels

De gegevens die een woningcorporatie verzamelt en opslaat moet volgens Offringa aan een aantal vuistregels voldoen.

  • Het doel moet duidelijk zijn en de gegevens worden alleen voor dat doel gebruikt (doel en doelbinding)
  • Er moet een duidelijke grondslag zijn – wettelijke verplichting, vitaal belang of in het kader van een overeenkomst
  • Er wordt niet meer vastgelegd dan nodig is (data-minimalisatie)
  • Het is voor de huurder ook duidelijk waarom het wordt verzameld en wie het kan inzien (transparantie)
  • Technisch moet het goed beveiligd zijn, ook bij toeleveranciers (data-integriteit)

Wie ziet wat?

“Zo moet over elk gegeven worden nagedacht. Inkomensgegevens mogen alleen worden verzameld om te bepalen of iemand voor een woning in aanmerking komt. En alleen die mensen die dat moeten beoordelen mogen het kunnen zien. En het mailadres dat gebruikt wordt voor huurders-gerelateerde zaken, mogen niet voor commerciële doeleinden (kunnen) worden ingezet. En waarom zou degene die de loonadministratie doet ook de gegevens van huurders mogen inzien? Niet doen, zegt de AVG.

Investeer in bewustwording

“Het betekent soms ook dat je MINDER gaat noteren. Wellicht dat je nu bij overlast nog een uitgebreid rapport opslaat in je systeem, terwijl de AVG alleen voor feitelijke informatie ruimte biedt”, schetst Offringa.

“De AVG vraagt nu dus even tijd en energie. Je hoeft 25 mei weliswaar nog niet alles klaar te hebben, maar er moet wel een stappenplan liggen.” Een tip wil Offringa nog wel geven: “Steek je tijd en geld nu niet in het opschonen van je archieven. Dat vraagt de wet niet. Wel dat je investeert in de kennis en bewustwording van je personeel. Zij moeten weten wat mag en niet meer mag…”

 

Gerelateerde artikelen

Thús Wonen voert inhaalslag uit met fors D&B-programma
Wet natuurbescherming biedt provincie ruimte voor eigen beleid
Wat is de meerwaarde van drones in de bouw?

 

 

Deel dit artikel op:

Reacties