AVG in een notendop voor de vastgoedsector

in Persberichten

Vrijdag 25 mei 2018 was het zover: de dag van de Europese General Data Protection Regulation (GDPR), in Nederland ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Deze deadline kan haast niemand zijn ontgaan vanwege de hoeveelheid privacy e-mails de dagen ervoor. Haast een paradox op de herziene Europese privacywetgeving die iedereen raakt, zo ook de vastgoedsector.

Inzicht neemt mogelijke twijfel weg

Op dinsdag 22 mei organiseerde Pararius in samenwerking met Real Estate Business School het Pararius AVG-event. Een middag vol praktische tips van AVG-experts. Spreekster Cynthia Zwart is in het dagelijks leven forensisch analist maar heeft zich professioneel verdiept in de uitwerking van de AVG. Tijdens haar presentatie probeerde ze de bezorgdheid onder makelaars weg te nemen door simpel uitvoerbare aanbevelingen te geven over bijvoorbeeld het verwerkingsregister als belangrijke basis. “Het in kaart brengen van alle persoonsgegevensverwerkingen en hoe het bedrijf vervolgens met deze persoonsgegevens omgaat, brengt veel inzicht. Daarbij is het van belang dat alle  persoonsgegevens gedegen worden beschermd tegen misbruik en verlies”, zegt Zwart.

Uit het Pararius AVG-event blijkt dat de wetgeving voor de vastgoedbranche in de volgende nutshell worden samengevat: 

  • Stel een verwerkingsregister op waarin u o.a. vastlegt welke persoonsgegevens u verwerkt, op welke grondslag u deze gegevens verwerkt en welke andere partijen persoonsgegevens voor u verwerken.
  • Maak een verwerkersovereenkomst voor datgene waarvan u niet direct de verantwoordelijke bent maar puur de gegevens van verwerkt (u bent de verwerker). Denk dan bijvoorbeeld aan gegevens van potentiële huurders die u namens huiseigenaren opvraagt. Documenteer welke gegevens u verwerkt, waarom u dit doet en met wie u ze deelt.
  • Vraag verwerkersovereenkomsten op bij derde partijen die gegevens voor u verwerken zoals een extern bedrijf dat de salarisadministratie van uw kantoor verwerkt.
  • Maak een register voor datalekken waarin u een voorgevallen datalek vastlegt, met daarbij een omschrijving van de gevolgen voor betrokkenen en de ondernomen acties. Het is ook handig om meteen een stappenplan op te stellen wat er moet gebeuren om een datalek te voorkomen en in een protocol vast te leggen wat er moet gebeuren als er onverhoopt toch een datalek is.
  • Controleer uw privacyverklaring. Staat hierin vermeld wat u doet met persoonsgegevens, zoals derde partijen met wie u dit deelt? Pas aan waar nodig en plaats uw privacyverklaring op een makkelijk vindbare plek op uw website.
  • Zorg dat de beveiliging van persoonsgegevens in orde is. Dit geldt voor zowel online als voor de archiefkast in uw kantoor. Minimaliseer de kans dat persoonsgegevens lekken naar de buitenwereld.
  • Bespreek de AVG met al uw medewerkers: wat houdt de nieuwe regelgeving in en wat heeft u gedaan om hieraan te voldoen? Wat wordt hierin van uw medewerkers verwacht?

Bij sommige ondernemers heerste er lichte paniek over de naderende deadline. We zijn nu bijna twee weken verder, was deze paniek nodig? Cynthia Zwart: “Er is al een tijd geleden aangegeven dat de Autoriteit Persoonsgegevens -de toezichthouder- niet direct hoge boetes zou uitdelen aan bedrijven en organisaties die hun best doen om te voldoen aan de wet. Hoe dat nu in praktijk wordt gebracht en vanaf wanneer er wel boetes worden opgelegd is nog onduidelijk en afwachten. Wel belangrijk is dat bedrijven actie ondernemen. Als u ervoor kiest om er niets aan te doen komt u vanzelf in de problemen. U overtreedt een wet die de grondrechten van burgers beschermd.”

Om AVG-proof te worden is het belangrijk om alle aanpassingen meteen door te voeren en hier niet mee te wachten. Probeer zo weinig mogelijk data te verwerken en bewaar alleen het noodzakelijke.