Update
Naar overzichtAandacht gevraagd bij privacygevoelige gegevensuitwisseling binnen de vastgoedketen
Het uitwisselen van gegevens tussen beleggers en taxateurs, corporaties die persoonsgegevens gebruiken voor het opstellen van huurcontracten en de uitwisseling van debiteurengegevens tussen eigenaren en vastgoedbeheerders. Dit zijn zomaar enkele voorbeelden binnen de vastgoedketen waarbij persoonsgegevens worden uitgewisseld. De wijze waarop deze partijen met elkaar samenwerken en hoe processen zijn ingericht zal volgend jaar extra aandacht moeten krijgen.
Op 25 mei 2018 treedt namelijk de Europese wet- en regelgeving voor bescherming van persoonsgegevens in werking. De General Data Protection Regulation (hierna: Algemene Verordening Gegevensbescherming of AVG) vervangt de Nederlandse Wet Bescherming Persoonsgegevens (WBP) en bevat nieuwe richtlijnen die worden geïntroduceerd om de beveiliging en het beheer van persoonsgegevens beter te beschermen.
De basisprincipes van de AVG hebben in elk geval betrekking op:
• De verwerking van persoonsgegevens, te denken valt aan namen en bankrekeningen;
• De toestemming van personen voor het beheer en/of verwijderen van data;
• Het doeleinde van de verzameling en opslag van persoonlijke data;
• Het waarborgen van protectie van deze persoonsgegevens;
• Noodzakelijkheid van het opslaan en verwijderen van persoonlijke data;
• Transparantie rondom analyse, gebruik en verzameling van persoonlijke data.
Deze, in de basis, simpele omgangsnormen vormen een extra complexiteit bij de informatie uitwisseling tussen systemen van opdrachtnemer en -gever en zullen bij initiatieven als REDEX een plek moeten krijgen. Portals tussen twee partijen zijn vaak niet bedacht op de complexiteit van privacy gevoelige onderdelen. Deze extra complexiteit van de AVG zorgt er tegelijkertijd wel voor dat ontwikkelingen zoals Blockchain meer op de voorgrond verschijnen. Blockchain maakt gebruik van datastructuren waarin rekening wordt gehouden met meerdere partijen en beperkingen van (schrijf & lees) rechten juist om privacy redenen.
Om de effecten van het verwerken van privacy gevoelige informatie in kaart te brengen, kunnen organisaties onder andere gebruik maken van een Privacy Impact Assessments (PIA). Dit instrument wordt veelal bij corporaties gebruikt om vooraf de risico’s te beoordelen van het verwerken van persoonsgegevens. Daarbij wordt stapsgewijs onderzocht welk effect gegevensverwerking heeft op de privacy van betrokkenen. De uitkomst van de PIA bevat een conclusie of de gegevensverwerking toelaatbaar is. Meer informatie over gegevensbescherming bij corporaties en het toepassen van een PIA is te lezen via de handreiking van Aedes op onze kennisbank.
Bereid u voor op de AVG, u heeft tot 25 mei 2018