Het Nederlandse bedrijfsleven moet vanaf 25 mei 2018 voldoen aan de General Data Protection Regulation (GDPR). Deze nieuwe wet zet privacy governance en compliance hoog op de agenda. Welke impact heeft dit op de vastgoedsector? Een must read artikel van Elsbeth Quispel, partner Cushman & Wakefield en Evert de Pender, CEO van PrivacyPerfect.

De komende maanden is er dus nog een hoop werk aan de winkel. Als uw organisatie persoonsgegevens gebruikt moet u in veel gevallen voldoen aan allerlei verplichtingen. Dit varieert van eisen die worden gesteld aan de partij die verantwoordelijk is voor de data en bijvoorbeeld de partij die de data verwerkt tot aan het meewerken aan verzoeken van toezichthouders of betrokkenen en bijvoorbeeld het melden van datalekken. Boetes voor het niet voldoen aan de wetgeving kunnen oplopen tot €20 miljoen of vier procent van de wereldwijde jaaromzet. 

Het grootste effect van de GDPR is accountability: bedrijven kunnen niet anders meer dan hun verantwoordelijkheid nemen. Transparantie is hierbij het begin. Hoe gaat uw organisatie om met persoonsgegevens? Wat wordt er verzameld en wat wordt ermee gedaan? Hoe wordt de betreffende data beveiligd en wat is de bewaartermijn? Deze nieuwe wetgeving dwingt bedrijven om overzicht te creëren in hun privacylandschap en er beleid voor op te stellen.

“Laat de bescherming van persoonsgegevens niet de innovatie smoren” - Evert de Pender, CEO PrivacyPerfect

Individuele gebruikers
In de vastgoedsector zal de nieuwe regelgeving de grootste impact gaan hebben op individuele gebruikers. Neem cameratoezicht als voorbeeld. Voordat data worden verzameld, dus voor het opnemen van de eerste beelden, moet er al doelbinding zijn: waarvoor wordt er gefilmd? Heeft het met beveiliging te maken? Of met toegangsregistratie? De informatie die opnames opleveren mag alleen worden gebruikt voor het doel waarvoor het verzameld is.

Een smart building kan een vastgoedeigenaar veel informatie opleveren door te meten en te bundelen, maar deze data mogen alleen bewaard en gebruikt worden indien van tevoren aangegeven. "Je kunt niet zomaar persoonlijke gebruiksdata verzamelen zonder van tevoren vast te stellen welk doel dit dient”, vertelt Elsbeth Quispel, Head of Strategy & Innovation bij Cushman & Wakefield, “je hebt in sommige gevallen goedkeuring nodig van de persoon in kwestie en bovendien moet je vastleggen wat je doet met de data en hoe lang je deze bewaart.”

Verwerkingsadministratie
Ook als de verwerking van uw data is uitbesteed, moet u zich afvragen: over welke verwerkers, verwerkingen en persoonsgegevens gaat het? Is de volledige verwerkingsadministratie, dus ook de verwerkersovereenkomsten, op orde?

Quispel: “Als er iets misgaat, ben je daar als bedrijf zelf verantwoordelijk voor. Het grootste risico voor corporate huurders is dat datastromen niet vastliggen en dat de toezichthouder hen daarop aanspreekt. Het is dus zaak om nu orde te scheppen, bijvoorbeeld door het uitvoeren van privacy impact assessments. De testfase van datagebruik is voorbij.”

Met behulp van speciaal ontwikkelde software kunnen bedrijven hun verwerkingsactiviteiten opvoeren, zodat ze compliant zijn met geldende wetgeving.

De Pender: “Alle relevante administratieve verplichtingen kun je afdekken, en ook het vastleggen van de juridische grondslag is dan mogelijk. Onze tool geeft een bedrijf inzicht in de processen en zijn omgang met data door een register bij te houden van alle verwerkingsactiviteiten. Je legt vast dat je een dataverwerking gaat uitvoeren en beantwoordt vragen als: welke verwerkers zijn er, wat doen die precies, wie heeft toegang tot welke gegevens? Door dit op een rijtje te zetten krijg je grip op de verwerking van persoonsgegevens.”

Zo kunnen bedrijven en organisaties het maximale uit hun data halen zonder concessies te doen aan zorgvuldigheid rondom de privacy van personen en zonder schending van privacywetgeving. Een vastgoedbeheerder kan bijvoorbeeld met een privacy statement beschrijven wat er in het register van verwerkingen komt: welke informatie wordt opgeslagen en welk doel dient het?

“De testfase van datagebruik is voorbij” – Elsbeth Quispel, partner Cushman & Wakefield

Uw privacylandschap
Veel bedrijven hebben nog onvoldoende inzicht in hun dataverwerking. U kunt zelf overzicht creëren door het nemen van deze drie stappen:

Beoordelen:
Hoe risicovol is de dataverwerking? Als de verwerking van persoonsgegevens een hoog risico op schending van de privacy oplevert voor de betrokkenen, dan moet het effect van de verwerking beoordeeld worden.

Raadplegen:
Speelt de toezichthouder een rol? Als de beoordeling aangeeft dat bij afwezigheid van maatregelen een hoog risico voor de betrokkene optreedt, moet de toezichthouder worden geraadpleegd.

Verwerken:
De verantwoordelijke voor de verwerking moet een administratie van verwerkingen bijhouden als deze meer dan 250 mensen in dienst heeft of als deze op structurele basis persoonsgegevens verwerkt.

Quispel raadt bedrijven aan om te anticiperen op de toekomst: “De testfase van datagebruik is voorbij; iedere organisatie die zichzelf serieus neemt moet nu de koe bij de horens vatten. Dit betekent vooral dat je op voorhand rekening gaat houden met mogelijke gevolgen. Data opslaan en later eens bekijken wat je daarmee wilt doen is geen optie.”

GDPR compliant worden? Lees HIER meer en bekijk dit filmpje:

Evert de Pender is CEO van PrivacyPerfect, dat als eerste ter wereld een gebruiksvriendelijke, datamapping-tool lanceerde waarmee organisaties inzicht krijgen in het gebruik van persoonsgegevens. Elsbeth Quispel is Head of Strategy & Innovation bij Cushman & Wakefield.