ADVERTORIAL een register met alle verwerkingen van persoonsgegevens bij te houden. TIJS WEUSTENRAAD JURIDISCH MEDEWERKER INTELLECTUELE EIGENDOM, ICT-RECHT & PRIVACY KIENHUISHOVING ADVOCATEN & NOTARISSEN E-MAIL:TEAMPRIVACY@KIENHUISHOVING.NL Verschillende verplichtingen blijven onder de AVG ongewijzigd. Eén daarvan is het uitgangspunt dat het verwerken van persoonsgegevens alleen mag op grond van een vooraf vastgesteld gerechtvaardigd doeleinde. Ook het vereiste om te beschikken over een wettelijke verwerkingsgrondslag (bijvoorbeeld toestemming) blijft ongewijzigd. Andere verplichtingen worden onder de AVG aangescherpt of zijn nieuw. Denk bijvoorbeeld aan: • De documentatie en registerplicht. De verantwoordelijke voor de persoonsgegevens verwerking dient te allen tijde te kunnen aantonen dat de persoonsgegevens in overeenstemming met de AVG worden verwerkt. Documentatie van alle relevante informatie is daarom van belang. Bovendien is het in principe verplicht om intern • Uitgebreidere verplichtingen bij de inzet van ‘verwerkers’. Een verwerker is degene die voor en ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Denk daarbij bijvoorbeeld aan een administratiekantoor die de administratie voor de verantwoordelijke uitvoert of een hostingdienstverlener op wiens servers de woningcorporatie persoonsgegevens van huurders opslaat. Een nieuwe verplichting is onder andere dat er een ‘verwerker due diligence’ moet worden uitgevoerd. Bovendien dient de verplicht gestelde verwerkersovereenkomst onder de AVG meer onderwerpen te regelen dan nu het geval is. • Nieuwe rechten voor betrokkenen, zoals het recht om vergeten te worden, het recht op beperking van de verwerking en het recht op dataportabiliteit. De verantwoordelijke dient ervoor te zorgen dat deze rechten van de betrokkenen worden gewaarborgd. • Uitgebreidere verplichtingen tot het informeren van betrokkenen. De privacy statements waarmee de betrokkenen voorafgaand aan het verwerken van persoonsgegevens worden geïnformeerd dienen derhalve uitgebreidere informatie te bevatten. • Het – onder omstandigheden verplicht – aanwijzen van een functionaris voor de gegevensbescherming (FG). Een FG vervult de rol van een interne privacytoezichthouder en kan daarnaast onder andere de organisatie en de medewerkers adviseren, informeren en bewust maken van hun verplichtingen op grond van de AVG. • Het verplicht uitvoeren van een Privacy Impact Assessment (PIA) wanneer een bepaalde persoonsgegevensverwerking een hoog risico voor de bescherming van de persoonlijke levenssfeer voor de betrokkene inhoudt. Door het uitvoeren van een PIA worden vooraf de privacyrisico’s in kaart gebracht, waarna de verantwoordelijke maatregelen kan nemen om deze risico’s te beperken. Dit zijn allerlei nieuwe en bestaande verplichtingen waar de woningcorporatie en de aannemer die persoonsgegevens verwerken rekening mee moeten houden. Voldoet u niet aan de verplichtingen uit de AVG, dan kunnen de boetes per overtreding zomaar oplopen tot maximaal 4% van de jaaromzet of 20 miljoen euro. Om u te helpen ‘AVG-compliant’ te worden, lanceert KienhuisHoving op korte termijn een ‘PrivacyPortaal’. Op het PrivacyPortaal vindt u uitgebreide informatie, modellen en checklists, waarmee u over concrete handvatten beschikt om aan uw ‘privacyhuishouding’ te bouwen. Voor vragen over het PrivacyPortaal of over de AVG kunt u bij de privacyspecialisten van KienhuisHoving terecht. Zij helpen u graag verder. BOUWEN IN HET OOSTEN 49
52 Online Touch Home