nieuws

Stappenplan VGM NL helpt datalekken te voorkomen

Geen categorie

Sinds 1 januari 2016 geldt de Wet meldplicht datalekken die valt onder de Wet bescherming persoonsgegevens (Wbp). Door deze nieuwe wet moet een datalek worden gemeld. VGM NL heeft een stappenplan opgesteld als leidraad om aan de nieuwe verplichtingen uit deze wet te kunnen voldoen.

‘De gevolgen van de nieuwe Wet meldplicht datalekken zijn verstrekkend, zowel voor vastgoedmanagementorganisaties als voor vastgoedbeleggers. Het is niet eenvoudig om aan deze nieuwe wet te voldoen. Alle afdelingen binnen een organisatie worden ermee geconfronteerd en alle medewerkers dienen hier dus van bewust te worden gemaakt, aldus Menno van der Horst, bestuurslid van VGM NL, de branchevereniging voor Vastgoed- en VvE managementorganisaties. 

‘We hebben ons afgevraagd wat het nut van deze nieuwe wet is, die in eerste instantie alleen extra administratieve lasten lijkt op te leveren en haaks staat op diverse bestaande contractuele afspraken. Onze conclusie is dat het nut van de nieuwe wet zit in de bescherming van het individu, u en ik, in een wereld waarin de digitalisering zeer snel gaat en cybercriminaliteit en identiteitsfraude hand over hand toeneemt’, zegt Van der Horst. Om haar leden bij de implementatie van deze nieuwe wet te helpen en daarmee het forse boeterisico te beperken – maximaal 820.000 euro of 10 procent van de jaaromzet – heeft VGM NL een Stappenplan Wet bescherming persoonsgegevens Wpb)/meldplicht datalekken opgesteld. NautaDutilh  (Jacqueline van Essen ten aanzien van het Wbp-stuk) heeft VGM NL bij het opstellen van het stappenplan ondersteund. 

 

Zoekgeraakte USB-stick

Een datalek is kort gezegd een inbreuk op de bij wet vereiste beveiliging van persoonsgegevens waarbij – digitale of fysieke – persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt. Hiervan kan bijvoorbeeld sprake zijn bij een zoekgeraakte USB-stick, een gestolen laptop of een inbraak door een hacker. 

De Wet meldplicht datalekken is opgenomen in de Wet bescherming persoonsgegevens. Deze wet bevat regels ten aanzien van het verwerken van persoonsgegevens. Onder ‘verwerken’ wordt elke handeling met betrekking tot persoonsgegevens verstaan zoals het verzamelen, gebruiken, opslaan, verstrekken, inzien, verwijderen en vernietigen van persoonsgegevens. Bij ‘persoonsgegevens’ moet u denken aan: NAW-gegevens, leeftijd, geslacht, foto, telefoonnummer, email adres, gezondheid, burgerlijke staat, creditcard gegevens, IP-adres en het burgerservicenummer (bsn). 

Vastgoedbeleggers verwerken, al dan niet via hun vastgoedmanager, persoonsgegevens van relaties zoals (potentiële) huurders, contactpersonen van bedrijven en werknemers. Ook kunnen bijvoorbeeld IT-leveranciers in opdracht persoonsgegevens verwerken (als bewerker in de zin van de Wet bescherming persoonsgegevens). U moet dan met die organisaties een bewerkersovereenkomst afsluiten aangezien u waarschijnlijk als ‘verantwoordelijke’ wordt aangemerkt ten aanzien van de verwerking van de betreffende persoonsgegevens. Deze externe leveranciers moeten u informeren zodra er een datalek heeft plaatsgevonden zodat u aan de meldplicht datalekken kan voldoen. Dat moet u contractueel overeenkomen.

 

Ongustige gevolgen

Een organisatie moet een datalek binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens als het datalek ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, of leidt tot een aanzienlijke kans op ernstige nadelige gevolgen. Ook de getroffen mensen moeten worden geïnformeerd als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor zijn/haar persoonlijke levenssfeer. Een organisatie moet een overzicht bijhouden van de datalekken die onder de meldplicht vallen. 

Een datalek hoeft niet te worden gemeld aan de betrokken personen als passende technische beschermingsmaatregelen zijn genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn (bijvoorbeeld door encryptie), of dit noodzakelijk is met het oog op bepaalde in de wet genoemde belangen zoals de voorkoming van strafbare feiten.

‘Door de stappen uit het VGM NL stappenplan te doorlopen krijgt een organisatie inzicht in de huidige situatie van de organisatie ten aanzien van de persoonsgegevens en naleving van de Wbp. De stappen in het stappenplan moeten allemaal doorlopen worden’, aldus Paulien Frehé, manager Vastgoedmanagement bij VGM NL. ‘Tijdens het inventariseren van de gevolgen van de nieuwe wet en het opstellen van het stappenplan werden we voortdurend geconfronteerd met specifieke situaties en uitzonderingen.’

In principe mag er geen kopie van een paspoort of ander identiteitsbewijs worden gemaakt of een bsn worden genoteerd, tenzij er een wettelijke basis is. Op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) moeten makelaars of bemiddelaars bijvoorbeeld de identificatiegegevens van een cliënt bij aan- en verkoop van onroerende zaken gedurende vijf jaar na het tijdstip waarop de zakelijke relatie is beëindigd of de betreffende transactie is uitgevoerd, bewaren. Wanneer het echter de totstandkoming van een huurovereenkomst betreft, dan gelden de verplichtingen op grond van de Wwft niet, en mag dus ook geen kopie van een identiteitsbewijs worden gemaakt. Ook een taxateur mag geen kopie paspoort maken en bewaren. Gaat het echter om het toekennen van huurtoeslag dan moet een verhuurder gegevens inzake het huurcontract, waaronder begrepen de huurprijs van de woning en een bsn, kunnen verstrekken aan de Belastingdienst. Hiervoor mag de verhuurder het bsn vragen. Dit betekent niet dat ook kopie van een paspoort mag worden gemaakt. 

 

Bewaartermijn

Een ander aandachtspunt betreft de bewaartermijnen. Voor verschillende gegevens gelden verschillende bewaartermijnen. Het is belangrijk na te gaan welke termijn wanneer van toepassing is. En als u weet hoe lang u welke persoonsgegevens moet bewaren is het van groot belang deze gegevens voldoende te beveiligen. U dient zowel technische als organisatorische beveiligingsmaatregelen te treffen. Hierbij hoort het nadenken over gegevensstromen, het vormen van een visie én het uitrollen van deze visie binnen uw organisatie om bewustwording bij alle medewerkers te creëren.

Als de personen wiens persoonsgegevens uw organisatie verwerkt weten wie uw organisatie is en voor welke doeleinden uw organisatie hun persoonsgegevens verwerkt, bevordert dat het vertrouwen in de waarborging van een behoorlijke en zorgvuldige verwerking. Deze informatie kan worden opgenomen in het privacybeleid en kunt u ook op uw website vermelden. Let wel op, voor wie op zijn website gebruik maakt van cookies of andere automatische gegevensverzamelingsprocedures gelden nog aanvullende regels als opgenomen in de Telecommunicatiewet. 

 

Incidentenprotocol

In een beveiligingsincidentenprotocol is informatie opgenomen zoals: wie is de contactpersoon binnen uw organisatie waar mensen datalekken kunnen melden? Wie maken er verder deel uit van het ‘datalekteam’? Denk aan IT, communicatie, compliance, jurist, bestuur. Ook externe IT-leveranciers die kunnen helpen bij een mogelijke hack en/of andere externe adviseurs kunnen worden opgenomen. Wie meldt datalekken waar nodig bij de Autoriteit Persoonsgegevens, bedrijven en/of betrokkenen? Wie doet waar relevant aangifte bij de politie etc.? Het is verstandig een dergelijk protocol voor uw organisatie op te stellen. Nadat deze nieuwe wetgeving is geïmplementeerd is het einde echter nog niet in zicht. Vanaf 25 mei 2018 gelden er nieuwe – Europese – regels. De huidige Wbp vervalt dan en daarvoor in de plaats moeten de regels van de EU Privacy Verordening worden nageleefd. Deze bevat deels dezelfde regels, maar ook nieuwe en uitgebreidere verplichtingen. Als uw organisatie voldoet aan de Wet bescherming persoonsgegevens zal de aanpassing aan de nieuwe regels soepeler verlopen.

 

VGM NL Stappenplan

1. Verzamel en verwerk niet meer persoonsgegevens dan noodzakelijk

2. Maak een inventarisatie

3. Bewaar persoonsgegevens niet langer dan nodig

4. Zorg voor voldoende beveiliging

5. Zorg voor bewerkersovereenkomsten met leveranciers

6. Wees transparant

7. Let op dat persoonsgegevens niet buiten de EU gaan

8. Zorg voor een beveiligingsprotocol

9. Voorbereiding voor de privacy-verordening

Een korte toelichting per stap staat op www.vgm.nl.

Dit artikel verscheen in het oktobernummer 2016 van Steengoed – Vastgoed Belang Magazine

 

 

 

Reageer op dit artikel
Lees voordat u gaat reageren de spelregels