Dit gaat er veranderen in de Wet bescherming persoonsgegevens

Corporatie / 25 januari 2016
Tanja de Groot
Tanja de Groot
Advocaat/partner, VBTM advocaten

Verhuurders verwerken een grote hoeveelheid persoonsgegevens. Het gaat dan vooral om gegevens die betrekking hebben op huurders, maar er moet ook gedacht worden aan personeelsgegevens of gegevens van derden. Bij het verwerken van persoonsgegevens moeten verhuurders, die in dit kader als verantwoordelijke kunnen worden aangemerkt, voldoen aan de regels die de Wet bescherming persoonsgegevens (Wbp) voorschrijft. De Wbp wijzigt per 1 januari 2016. Om wat voor wijzigingen gaat het precies? Rogier Goeman van VBTM zet het een en ander uiteen.

Meldplicht datalekken

De meest in het oog springende wijziging van de Wbp heeft te maken met de introductie van een meldplicht in het geval van datalekken. Van een datalek is sprake bij inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. Dit kan gebeuren door een hack, maar ook door het verlies van bijvoorbeeld een usb-stick met gegevens.

Indien een datalek leidt tot (de aanzienlijke kans op) nadelige gevolgen, moet de verantwoordelijke dit melden bij de toezichthouder, de Autoriteit persoonsgegevens (de nieuwe naam voor het College Bescherming Persoonsgegevens). Als het datalek daarnaast ook waarschijnlijk ongunstige gevolgen heeft voor betrokkenen (de huurders wiens gegeven het betreft), moet er ook melding aan die betrokkenen worden gedaan. De Autoriteit persoonsgegevens heeft op 9 december jl. beleidsregels gepubliceerd waarin uitgewerkt wordt wanneer er melding gemaakt moet worden.

Strikter toezicht en hoge boetes

Het niet-naleven van deze meldplicht kan een verantwoordelijke letterlijk duur komen te staan. De Autoriteit persoonsgegevens kan boetes opleggen die kunnen oplopen tot maar liefst € 820.000,– of 10% van de jaaromzet. Overigens zullen deze maximale boetes niet snel opgelegd worden.

Die boetebevoegdheid geldt niet alleen voor overtreding van de meldplicht in het geval van datalekken; ook op overtreding van andere verplichtingen die uit de Wbp voortvloeien kunnen boetes worden opgelegd, zoals het niet op orde hebben van de beveiliging of het verwerken van persoonsgegevens zonder toestemming.

Maar wat als anderen mijn gegevens verwerken?

Het komt niet zelden voor dat verhuurders gegevens laten verwerken door andere partijen; dat varieert van IT-dienstverleners die allerhande gegevens op hun servers hebben staan tot de aannemer die lijsten met contactgegevens van huurders krijgt in het kader van het uitvoeren van onderhoud. Deze partijen worden aangeduid met de term ‘bewerker’. De verhuurder blijft jegens de betrokkenen verantwoordelijk voor de nakoming die de Wbp op hem legt, ook als de verwerkingen feitelijk door een bewerker uitgevoerd worden. Daarom is het belangrijk dat een verhuurder met deze bewerker afspraken maakt over de verwerkingen, met name als het gaat over de beveiliging van de gegevens en het kunnen voldoen aan de meldplicht datalekken. Die afspraken kunnen worden vastgelegd in een zogenaamde bewerkersovereenkomst.

De wijzigingen die per 1 januari 2016 van kracht worden maken het goed vastleggen van de afspraken met bewerkers des te belangrijker; de mogelijk op te leggen boete komt immers bij de verantwoordelijke terecht.

En Europa dan?

In Brussel wordt al vanaf 2012 overlegd over een nieuwe Privacyverordening die de achterhaalde Privacyrichtlijn uit 1995 moet vervangen. Over de tekst van deze verordening lijkt op 15 december jl. eindelijk overeenstemming bereikt; het wachten is nu enkel nog op instemming door het Europees parlement. Dat zal vermoedelijk begin volgend jaar gebeuren. De verordening zal vervolgens twee jaar later daadwerkelijk van kracht worden.

Het gaat op deze plaats te ver om uitgebreid stil te staan bij de wijzigingen die op grond van de verordening ergens in de loop van 2018 van kracht zullen zijn. Wel kan ik er vast op wijzen dat de mogelijke boetes nog hoger zullen liggen, dat betrokken meer controle over hun gegevens krijgen, dat organisaties in bepaalde gevallen verplicht zijn om een eigen privacy-officer aan te stellen en dat het maken van heldere afspraken met bewerkers alleen maar belangrijker wordt.

Er gebeurt de komende tijd dus veel op het gebied van de bescherming van persoonsgegevens. Het is belangrijk dat verhuurders stil staan bij de vraag of zij voldoen aan de normen die de Wbp nu al voorschrijft en de verplichtingen die per 1 januari 2016 zullen gelden. Met een schuin oog kan daarbij ook al gekeken worden naar de regels die de Europese privacyverordening zal voorschrijven.