Bij de huisvesting van kwetsbare doelgroepen en de aanpak van overlast door verward gedrag verwerken woningcorporaties soms persoonsgegevens van huurders. Bijvoorbeeld wanneer ze overlastmeldingen registreren of wanneer ze afspraken maken in het huurcontract over begeleiding van een zorgorganisatie. Het kan ook nodig zijn om informatie over huurders met verward gedrag uit te wisselen met samenwerkingspartners. Het verwerken en delen van informatie is met de nieuwe privacywetgeving (AVG) nog steeds mogelijk als het nodig is om je taken te kunnen uitoefenen. Je moet wel vooraf bedenken én verantwoorden waarom je gegevens vastlegt, en niet meer dan nodig vastleggen of delen.
Hieronder de belangrijkste uitgangspunten van de AVG op een rij.
Persoonsgegevens mogen alleen verwerkt worden met een vooraf gesteld en gerechtvaardigd doel. En elke verwerking dient een wettelijke grondslag te hebben. De wet kent hiervoor zes grondslagen. De volgende paragraaf gaat hier uitgebreider op in.
Woningcorporaties wisselen gegevens uit met diverse partijen. Het delen van informatie met anderen is aan regels gebonden. Voor het delen van persoonsgegevens geldt hetzelfde als voor het verwerken van deze gegevens: er dient een gerechtvaardigd doel te zijn en een wettelijke grondslag. Daarnaast dienen er afspraken gemaakt te worden met partijen waarmee je de gegevens deelt. Dit moet in sommige gevallen via een verwerkersovereenkomst (zie voor meer uitleg hierover de begrippenlijst aan het einde van dit hoofdstuk). Het is daarom belangrijk dat de organisatie weet met wie welke gegevens worden gedeeld en wie daarvoor verantwoordelijk is.
De AVG legt de verantwoordelijkheid bij de organisatie om aan te tonen dat zij aan de privacyregels voldoet. Deze verantwoordingsplicht betekent onder meer dat een woningcorporatie in beeld moet hebben welke persoonsgegevens er worden verwerkt. Dit gebeurt door het opstellen van een verwerkingenregister (zie begrippenlijst). De Autoriteit Persoonsgegevens kan hierom vragen.
Organisaties mogen niet meer gegevens verzamelen dan voor het vooraf opgestelde doel noodzakelijk is. Gegevens mogen niet langer bewaard worden dan noodzakelijk. Voor veel persoonsgegevens geldt een bewaarperiode van twee jaar na beëindiging van de overeenkomst, tenzij er andere wettelijke bewaartermijnen zijn. Die vloeien vaak voort uit andere wetgevingen (bijvoorbeeld fiscale wetgeving). De bewaartermijnen moeten worden toegevoegd aan het verwerkingenregister en gemeld in het privacystatement (zie begrippenlijst).
Als organisatie moet je je kunnen verantwoorden naar je huurders, woningzoekenden of andere betrokkenen over hoe je met hun persoonsgegevens omgaat. De organisatie dient hierover actief te communiceren. Hiervoor stelt een organisatie een privacystatement (zie begrippenlijst) op. Als betrokkenen, zoals klanten of (oud-)werknemers, gebruik willen maken van hun rechten, dan moeten organisaties daaraan gehoor geven. Onder de AVG betekent transparantie ook dat betrokkenen onder meer recht hebben op inzage, correctie en verwijdering van hun persoonsgegevens (zie ‘klantrechten’ in de begrippenlijst).
Een organisatie moet ervoor zorgen dat gegevens goed beveiligd zijn en alleen toegankelijk zijn voor geautoriseerde personen. Komen gegevens in verkeerde handen, dan is er sprake van een datalek en dient dit mogelijk gemeld te worden bij de Autoriteit Persoonsgegevens.
