AVG

Per 25 mei 2018 treedt de nieuwe wet Algemene Verordening Gegevensbescherming in werking. De nieuwe regeling geldt voor de hele EU. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen en klanten krijgen meer rechten. De nadruk ligt meer dan nu erop dat organisaties kunnen aantonen dat ze zich aan de AVG houden.

 

Wat is AVG?

AVG staat voor de wet Algemene Verordening Gegevensbescherming. Dit is een nieuwe Europese regeling rondom privacy. De AVG gaat in per 25 mei 2018. Vanaf dat moment komt de Wet Bescherming Persoonsgegevens (WbP) te vervallen. De nieuwe regeling geldt voor de hele EU. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen en klanten krijgen meer rechten. De nadruk ligt meer dan nu erop dat organisaties kunnen aantonen dat ze zich aan de AVG houden.

Wanneer is een organisatie compliant?

Een organisatie is compliant, als deze niet alleen voldoet aan de regelgeving maar dat ook keihard aan kan tonen.

Wat is een verwerking?

Bij de verwerking van persoonsgegevens valt te denken aan al het (mogelijke) gebruik van persoonsgegevens. Denk bijvoorbeeld aan het verzamelen, opslaan, wijzingen, verspreiden of een andere vorm van ter beschikking stellen van persoonsgegevens. Ook het wissen of vernietigen van persoonsgegevens is een verwerking.

Welke verwerking moet vastgelegd worden?

Het is soms lastig te bepalen of een verwerking vastgelegd moet worden in het register. In principe moet elke verwerking in het register staan, maar soms is het wel mogelijk om meerdere verwerkingen onder één noemer te scharen. Dit is alleen mogelijk indien het doel en de categorieën van persoonsgegevens die verwerkt worden voor de verschillende verwerkingen gelijk zijn.

Wat is een verwerkingsovereenkomst?

In een verwerkingsovereenkomst is een overeenkomst met een organisatie en een derde partij. Hierin staat dat de derde partij zorgvuldig omspringt met persoonsgegevens. En dat die zich netjes houdt aan de afspraken die de organisatie met de betrokkenen heeft gemaakt. Wij hebben bijvoorbeeld verwerkingsovereenkomsten met aannemers die werk voor onze huurwoningen uitvoeren.

Hoe lang mag Accolade klantgegevens bewaren?

In de AVG staan geen concrete bewaartermijnen genoemd. Het uitgangspunt is, dat wij persoonsgegevens niet langer mogen bewaren, dan noodzakelijk is voor het doel van de verwerking. Hoe lang wij gegevens mogen bewaren, verschilt dus per geval. Is er wetgeving van toepassing die bepaalde bewaartermijnen voorschrijft? Dan hanteren we deze termijnen. De belastingwetgeving zegt bijvoorbeeld dat bepaalde gegevens zeven jaar bewaard moeten blijven.

Heeft Accolade ook een functionaris gegevensbescherming (FG)?

Ja, dit is Hilko Batterink. Hij werkt ook bij Lefier als FG. Hij is bereikbaar via fg@accolade.nl.

Wat doet een FG?

Een Functionaris gegevensbescherming (kortweg FG) is iemand die intern toezicht houdt op het naleven van de privacywet. De FG gaat:

  • informatie verzamelen over gegevensverwerkingen;
  • deze verwerkingen analyseren en beoordelen of ze aan de wet voldoen;
  • informatie, adviezen en aanbevelingen daarover geven.

De FG is niet persoonlijk aansprakelijk mocht er sprake zijn van een overtreding van de AVG. De naleving van de AVG is en blijft een verantwoordelijkheid van de directie. De FG is onafhankelijk en heeft daarom bewust geen functie waarin hij het doel en middelen van gegevensverwerking bepaalt.

Van een FG wordt verwacht dat hij of zij bovengemiddelde vakkennis heeft van de privacyregelgeving en van de praktijk van gegevensbescherming. De vereiste expertise en vaardigheden omvatten in ieder geval:

  • kennis van nationale en Europese wet- en regelgeving over gegevensbescherming;
  • begrip van de gegevensverwerkingen die de organisatie uitvoert;
  • begrip van IT en informatiebeveiliging;
  • kennis van de organisatie en de sector waarin die actief is; 
  • vaardigheden om binnen de organisatie een cultuur van gegevensbescherming te helpen ontwikkelen.

Wat zijn persoonsgegevens?

Volgens de wet zijn persoonsgegevens, alle gegevens die betrekking hebben op een geïdentificeerd of identificeerbaar persoon. Dus de combinatie van naam en geboortedatum, contactgegevens, een

pasfoto zijn allemaal persoonsgegevens. Daarnaast kent de wet bijzondere persoonsgegevens; dit zijn gegevens die extra gevoelig zijn en extra beschermd moeten worden. Het gaat dan om bijvoorbeeld het Burger Service Nummer (BSN), gezondheids- of medische gegevens. En de gegevens van kinderen. Ook een pasfoto is een bijzonder persoonsgegeven.

Wat verstaat AVG onder bijzondere persoonsgegevens?

Persoonsgegevens die door hun aard bijzonder gevoelig zijn, krijgen ook onder de Algemene verordening gegevensbescherming (AVG) extra bescherming. Nieuw onder de AVG is dat ook genetische gegevens en biometrische gegevens hieronder vallen als deze herleidbaar zijn tot een persoon.

 

De volgende persoonsgegevens ziet de AVG als bijzondere persoonsgegevens:

  • Persoonsgegevens waaruit ras of etnische afkomst blijkt;
  • Persoonsgegevens waaruit politieke opvattingen blijken;
  • Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
  • Persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
  • Gegevens over gezondheid;
  • Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;
  • Genetische gegevens;
  • Biometrische gegevens met het oog op de unieke identificatie van een persoon. 

Ik ga een woning huren van Accolade, welke persoonsgegevens hebben jullie van mij nodig?

  • uw naam, huidige adres, (straat, huisnummer, postcode en woonplaats), telefoonnummer en e-mailadres;
  • uw betalingsgegevens (bankrekeningnummer);
  • gegevens voor het berekenen en vastleggen van de inkomsten, zoals loonstroken en jaaropgave;
  • een verhuurdersverklaring van uw huidige verhuurder;
  • een uittreksel uit de Basisregistratie Personen (BRP) van de gemeente waar u nu woont waarop uw woonhistorie vermeld is;
  • gegevens die noodzakelijk zijn om uw identiteit vast te stellen, zoals uw paspoort of rijbewijs (wij maken daar géén kopie van maar
  • noteren dat wij uw identiteit hebben vastgesteld);
  • gegevens van uw medehuurders of medebewoners/familieleden;
  • eventueel gegevens voor aanpassingen, het onderhoud en de reparatie van de te huren woning.

Waarvoor gebruiken wij uw persoonsgegevens?

  • verhuren, beheren en onderhouden van verhuurbare eenheden, waaronder woon- en bedrijfsruimten, wooncomplexen, kamers en parkeergarages en – plaatsen;
  • uitvoeren van de woonruimteverdeling;
  • uitvoeren van de wettelijke inkomenstoets bij nieuwe verhuringen;
  • afsluiten van een huur- of koopovereenkomst;
  • innen van de huur en overige betalingen, inclusief het uit handen geven van deze vorderingen aan de deurwaarder en het
  • voorkomen van uit huiszettingen;
  • onderhoud en reparaties (laten) uitvoeren;
  • zorgen voor een kwalitatief goede en leefbare woonomgeving;
  • aanpak van woonfraude en overlast;
  • meldingen aan zorg verlenende instanties;
  • verkopen van woningen, bedrijfsruimte en parkeerplekken;
  • afhandelen van geschillen en klachten;
  • communicatie met onze huurders over al deze bovenstaande punten;
  • (woning)marktonderzoek;
  • onderzoek naar de kwaliteit van onze dienstverlening;
  • intern beheer van de organisatie (bijvoorbeeld managementinformatie);
  • uitvoeren van betalingen aan derden (bv aannemers);
  • uitvoeren van terugbetalingen aan huurders (bv servicekosten);
  • berekening van inkomsten en uitgaven en het laten uitvoeren van accountantscontrole;
  • nakomen van wettelijke verplichtingen (bijv. controle inkomen);
  • de camerabeelden/ toegangsregistratie gebruiken we bij incidenten om de aard van de overtreding vast te stellen. Of om daders, betrokkenen of getuigen te kunnen identificeren.

Welke nieuwe rechten hebben onze klanten met de komst van de nieuwe wet AVG?

Onze klanten, waarvan we gegevens verwerken hadden al de volgende rechten:

  • Recht van inzage;
  • Recht op rectificatie;
  • Recht op beperking van de verwerking;
  • Recht van bezwaar tegen verwerking;
  • Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming/profileren.

Wat is het recht op vergetelheid?

Een betrokkene kan bij Accolade een verzoek indienen om ‘vergeten’ te worden, indien Accolade over persoonsgegevens beschikt die niet meer nodig zijn. Hij/zij kan Accolade vragen om de gegevens die bij ons bekend zijn te wissen.

Wanneer kan een betrokkene een verzoek tot vergetelheid indienen?

Dit kan als:

  • De persoonsgegevens niet langer noodzakelijk zijn voor het doel waarvoor de gegevens verzameld zijn en er geen andere reden is om deze persoonsgegevens te bewaren;
  • Het doel voor het verwerken van de persoonsgegevens is gebaseerd op de toestemming van betrokkene en betrokkene die toestemming intrekt;
  • Betrokkene bezwaar heeft tegen de verwerking en de woningcorporatie geen zwaarwegende gronden heeft om de gegevens te verwerken;
  • De persoonsgegevens onwettig zijn verwerkt;
  • De persoonsgegevens niet noodzakelijk zijn voor compliance met Europese of Nederlandse wetgeving.

Wanneer kan Accolade het recht op vergetelheid weigeren?

Accolade kan het verzoek weigeren in onderstaande gevallen:

  • De uitoefening van het recht vrijheid van meningsuiting;
  • De uitoefening van wettelijke taken;
  • Een juridische procedure.

Waar vind ik de privacyverklaring van Accolade?

De privacyverklaring van Accolade staat op de website. Dit is te vinden via www.accolade.nl/privacy.

Heeft Accolade een cookiebeleid?

Jazeker. Het cookiebeleid staat op onze website.

Wat is een datalek?

Een datalek is iedere inbreuk op de beveiliging waarbij persoonsgegevens verloren zijn gegaan. Of als ze ongeoorloofd zijn gewijzigd, verstrekt of ingezien. Bijvoorbeeld bij diefstal van een laptop met daarop gegevens van klanten, een hack waarbij persoonsgegevens zijn buitgemaakt. Of het verzenden van gegevens naar een verkeerd e-mailadres.

Aan wie moet Accolade een datalek melden?

De Servicedesk ICT meldt datalekken aan de Autoriteit Persoonsgegevens. Afhankelijk van de gevolgen van het datalek communiceren we dit aan alle betrokkenen. Dit doen we als betrokkenen misschien schade krijgen als we het datalek niet melden. Denk bijvoorbeeld aan identiteitsfraude door de gelekte data. Of toegang tot andere diensten met hetzelfde wachtwoord dat is gelekt.

Waarom moet een datalek geregistreerd worden?

Het doel van het registreren is dat ervan kan worden geleerd. Zo worden datalekken in de toekomst zo veel mogelijk voorkomen. Een ander doel is dat daarmee aan de Autoriteit Persoonsgegevens kan worden aangetoond dat datalekken daadwerkelijk worden gemonitord en opgevolgd.