Per 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG). Dit is een Europese privacywet met als doel te zorgen voor veilige verwerking en uitwisseling van persoonsgegevens binnen de EU. Met de komst van de AVG worden niet alleen de privacyregels flink aangescherpt, maar ook de boetes kunnen vanaf dan oplopen tot 20 miljoen of 4 % van de jaaromzet. Momenteel zijn vele woningcorporaties bezig met het implementeren van maatregelen om te voldoen aan de wet. Het is goed om te zien dat privacy bij veel corporaties de nodige aandacht krijgt. Helaas ervaren deze goedwillende organisaties in de praktijk veel problemen omdat de wet abstract is. Zowel de Wbp als de AVG bevatten veel open normen. Dat wil zeggen dat bepaalde regels nog enige interpretatie vragen.

Corporaties voeren hierdoor vele discussies over wat wel en wat niet toegestaan is en welke verplichtingen er wel en niet zijn. Een goed voorbeeld daarvan is de bewerkersovereenkomst (verwerkersovereenkomst in de AVG). Zijn aannemers en deurwaarders nu bewerkers (verwerkers) of niet? Er wordt gezocht naar zekerheid, maar er is onvoldoende informatie om deze te vinden. Het gevolg hiervan is dat het implementeren van maatregelen in een traag tempo verloopt en overal dezelfde discussies worden gevoerd waarbij het resultaat vaak te wensen over laat . Dit terwijl de wettelijke eisen met de AVG alleen maar toenemen. Dat moet toch anders kunnen?

Concretiseren van open normen

Hoewel de AVG een nieuw startpunt vormt op het gebied van privacy is deze in de basis en qua opzet (open normen) gelijk aan de Wbp. Het risico bestaat dat organisaties hiermee gelijksoortige problemen gaan ervaren als bij de Wbp. De wetgever acht zelfregulering gewenst om de open normen van de wet te concretiseren. Bij zelfregulering kan worden gedacht aan het opstellen van sector brede gedragscodes en het aanstellen van een functionaris voor de gegevensbescherming (FG). Beiden moeten eerst worden goedgekeurd door de Autoriteit Persoonsgegevens (AP), de toezichthouder op de Wbp en AVG. Momenteel is er nog geen goedgekeurde gedragscode voor de woningcorporatiesbranche en zijn er slechts een aantal corporaties die een FG hebben aangesteld. In het kort houden een gedragscode en een FG het volgende in:

  • Gedragscode – In een gedragscode worden open normen van de wet voor een bepaalde sector in meer detail worden uitgewerkt. Vanuit het zelfreguleringsprincipe van de wet mogen organisaties deze zelf opstellen en bij de AP ter goedkeuring voorleggen. Als de gedragscode voldoet aan de wettelijke eisen wordt deze goedgekeurd en vervolgens gepubliceerd op de website van de AP. Gedragscodes hoeven niet op alle gebieden bindend te zijn, maar kunnen ook slechts aanbevelingen bevatten.
  • Functionaris voor de gegevensbescherming (FG) – Een FG is een onafhankelijke persoon die binnen een organisatie toezicht houdt op naleving van de Wbp (en AVG) en adviseert over privacyvraagstukken. Heeft een organisatie een FG, dan stelt de Autoriteit Persoonsgegevens (AP) zich terughoudend op. De AP behoudt echter wel alle sanctiebevoegdheden.

Kansen voor woningcorporaties

Kans 1: het opstellen van een sector brede gedragscode

Woningcorporaties hebben op het gebied van privacy vaak te maken met dezelfde vraagstukken. Het zou dus mooi zijn als er een goedgekeurde sector brede gedragscode komt. Hiermee kunnen veel onnodige discussies worden voorkomen en kan er tevens bespaard worden op (juridische) advieskosten. De Handreiking Gegevensbescherming van brancheorganisatie Aedes vormt hiervoor mogelijk een startpunt.

In de praktijk ervaren organisaties de goedkeuringsprocedure van de AP vaak als een langdurig, tijdrovend en kostbaar proces waar tot nu toe nog weinig concrete voordelen tegenover stonden. Dit is de reden waarom er op dit moment minder dan 10 goedgekeurde gedragscodes op de site van de AP staan. Uit de jaarverslagen van de AP blijkt dat zij de afgelopen jaren maximaal 4 gedragscodes per jaar beoordeeld hebben. Vervolgens is het nog de vraag of deze gedragscodes goedgekeurd worden en geldt er voor een goedgekeurde gedragscode een maximale geldigheid van 5 jaar.

Gelukkig is er ook goed nieuws. Wegens de invoering van de AVG en het toenemende belang van privacy zal de AP naar verwachting het aantal fte met 2,5 tot 3,5 keer moeten vergroten t.o.v. het huidige aantal (momenteel 72,3 fte). Hierdoor zullen gedragscode sneller behandeld kunnen worden. Dit biedt dus mogelijkheden voor sectors die hier behoefte hebben aan. Laten we hopen dat de woningcorporatiesector hier snel van kan profiteren .

Kans 2: het (gezamenlijk) aanstellen van een functionaris voor de gegevensbescherming.

Ook de functionaris voor de gegevensbescherming biedt mogelijkheden om als corporaties de krachten te bundelen. Corporaties kunnen namelijk besluiten om (gezamenlijk) een FG aan te stellen. Een (gezamenlijke) FG biedt veel voordelen:

  • Klanten, medewerkers en andere stakeholders krijgen door het aanstellen van een FG vertrouwen in de omgang met persoonsgegevens door een organisatie.
  • Een FG kan zorgen voor bewustwording op het gebied van privacy door voorlichting te geven over het belang van privacy en te adviseren over de omgang met persoonsgegevens.
  • Door een FG te betrekken bij projecten, waar bijvoorbeeld nieuwe proces- en systeeminrichtingen aan de orde zijn, wordt er vooraf nagedacht over privacyvraagstukken (privacy by design en default). Hiermee kunnen kostbare reparaties achteraf worden voorkomen.
  • Privacy incidenten (waaronder datalekken) kunnen sneller worden afgehandeld, doordat een FG de regels goed kent.

Het gezamenlijk aanstellen is met name interessant voor kleinere corporaties, aangezien deze functie daar geen full time job zal zijn. Voor grotere corporaties is een eigen FG aan te bevelen aangezien zij in de regel op grotere schaal persoonsgegevens verwerken. Door de functie van de FG als corporaties gezamenlijk aan te stellen, kan er gebruik gemaakt worden van de kennis en ervaringen die de FG opdoet bij de verschillende corporaties. Een stap verder is het organiseren van kennisbijeenkomsten voor de FG’s in de branche.

Inmiddels zijn er 800 FG’s geregistreerd bij de AP. Vrijwel alle ministeries en een behoorlijk aantal gemeentes hebben een FG in dienst. Ook zijn er FG’s bij bijvoorbeeld ziekenhuizen, hogescholen en politiekorpsen. Op grond van de AVG zijn vanaf 2018 alle publieke instanties verplicht om een Functionaris voor de Gegevensbescherming aan te stellen. Ook voor sommige andere organisaties wordt dit een verplichting, wanneer zij bijvoorbeeld grootschalige verwerkingen van bijzondere persoonsgegevens verrichten. Woningcorporaties lijken niet te vallen onder een van deze organisaties en zijn daarom ook met ingang van de AVG niet verplicht om een FG aan te stellen. De AP kan echter vaststellen dat voor corporaties wel een FG verplicht is . Ongeacht of dit wel of niet verplicht wordt; door een (gezamenlijke) FG aan te stellen als corporatie zet je een goede stap op het gebied van privacy .

Tot slot

Kans 3 (extra): samenwerking vanuit verschillende vakgebieden

In deze blog zijn verschillende kansen toegelicht die er liggen voor de corporatiebranche om samen te werken. Ook VVA-informatisering wil de samenwerking op het gebied van informatiebeveiliging stimuleren. Aangezien privacy gaat over het snijvlak van wetgeving, organisatie en IT (auditing) valt er ook nog veel te leren door mensen van deze verschillende disciplines bij elkaar te brengen. Om die reden organiseert VVA in gezamenlijkheid met een accountants- en een advocatenkantoor een Leergang Privacy- & Gegevensbescherming. In 6 masterclasses leren deelnemers hierin op een praktische manier hoe zij hun organisaties kunnen voorbereiden op de nieuwe privacywetgeving. De leergang zal starten in het najaar van 2017. Heb je interesse? Kijk dan op onze website. Er is slechts ruimte voor 18 deelnemers en aanmelden kan tot uiterlijk 15 september 2017.