Velden zijn niet correct ingevuld

Wat betekent de AVG voor u als ondernemer in het vastgoed?

, door Huib Scheper , in Vastgoed en huur

Het zal u als vastgoedondernemer niet ontgaan zijn: de AVG geldt vanaf 25 mei 2018 in de hele Europese Unie. De Algemene Verordening Gegevensbescherming schrijft voor dat persoonsgegevens moeten worden verwerkt op een wijze die voor de betrokkene rechtmatig, behoorlijk en transparant is en dat de persoonsgegevens alleen verzameld mogen worden voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Ook moet u passende technische of organisatorische maatregelen treffen zodat de beveiliging van de persoonsgegevens is gewaarborgd.

Maar wat betekent dit nou concreet voor u als vastgoedondernemer? Aan de hand van een aantal praktijkvoorbeelden lichten wij dat toe.

Vastgoedondernemer is verantwoordelijk voor naleving van de AVG

Of u nu werkt in de makelaardij, als vastgoedprojectontwikkelaar of belegger in het vastgoed, u als ondernemer bent verantwoordelijk voor de naleving van de verplichtingen voortvloeiend uit de AVG. Persoonsgegevens van bijvoorbeeld uw klanten en personeel vallen onder de AVG. De personen waarvan u persoonsgegevens verwerkt worden betrokkenen genoemd. Voor alle verwerkte persoonsgegevens bent u verantwoordelijk. U moet dus zorgdragen voor naleving van de privacywetgeving.

Grondslag voor verwerking persoonsgegevens

De AVG bepaalt dat u alleen persoonsgegevens mag verwerken als daar een grondslag voor is. Een grondslag kan zijn

  • uitvoering van een overeenkomst;
  • toestemming van de betrokkene.

Onderzoek bij het verwerken van persoonsgegevens wat de grondslag van de verwerking is. Zorg ervoor dat u goed kunt onderbouwen dat u de verwerking op deze grondslag(en) mag baseren. Bestaat er geen grondslag, stop dan met de verwerking van die persoonsgegevens.

Voorbeeld van grondslag in het vastgoed

U registreert gegevens van klanten die een woning willen bezichtigen. Let op dat u alleen de informatie registreert die u nodig heeft voor dat doel. De Autoriteit Persoonsgegevens (AP) tikte makelaars hierover al eens op de vingers. Voor een bezichtiging werd gevraagd om bijvoorbeeld loonstroken en bankafschriften. Deze informatie heeft u niet nodig voor het plannen van een bezichtiging. Volsta dus met een naam en telefoonnummer en/of e-mailadres. U heeft aan deze gegevens voldoende om een bezichtiging te plannen.

Registreer verwerkingsactiviteiten

Heeft uw organisatie meer dan 250 werknemers in dienst, dan bent u verplicht een register van verwerkingsgegevens bij te houden. Heeft u minder dan 250 werknemers in dienst dan geldt deze verplichting niet, tenzij u persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is. Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die u verwerkt. U mag zelf weten hoe u het register opstelt. De AVG bepaalt wel wat daarin moet worden opgenomen.

Bedenk dat in de praktijk verwerkingen zelden incidenteel zijn. Denk bijvoorbeeld aan de persoonsgegevens van huurders of klanten (woningeigenaren) die u verwerkt. Ook als u minder dan 250 werknemers in dienst heeft, is het dus aan te raden de verwerking van persoonsgegevens te documenteren.

Plichten onder de AVG in het vastgoed

De AVG legt de verantwoordelijke een aantal verplichtingen op. Uiteraard moet u de persoonsgegevens goed beveiligen, zowel tegen onrechtmatige toegang als tegen verlies. De wijze waarop u gegevens beschermt tegen dit soort datalekken moet u schriftelijk vastleggen. De beveiliging van gegevens moet passend zijn en ga gedurende de hele looptijd van de verwerking na of de beveiliging nog passend is. Mocht u toch geconfronteerd worden met een datalek, dan moet u dat vastleggen en, afhankelijk van de ernst en de risico’s, melden aan de AP en aan uw klanten en personeelsleden.

Moet u ook een functionaris aanstellen? Onder de AVG kan het verplicht zijn om iemand binnen uw organisatie aan te wijzen die toezicht houdt op de toepassing en naleving van de AVG, de zogenaamde ‘functionaris voor gegevensverwerking’ (FG). Het zal zeker niet altijd eenvoudig zijn te beoordelen of u verplicht bent een FG aan te stellen, het is dus raadzaam u hierover te laten adviseren. Mocht u ervoor kiezen geen FG aan te stellen, dan is het belangrijk dat u goed kunt onderbouwen waarom u die keuze heeft gemaakt. Mocht u een FG aanstellen, meld deze dan aan bij de Autoriteit Persoonsgegevens (AP).

Rechten van betrokkenen

Naast de verplichtingen moet u rekening houden met de rechten van betrokken. Zo moet u betrokkenen informeren over de verwerking van persoonsgegevens. Deze informatie moet:

  • beknopt;
  • transparant;
  • begrijpelijk;
  • gemakkelijk toegankelijk zijn;
  • in duidelijke en eenvoudige taal zijn opgeschreven.

Deze informatie moet worden verstrekt op het moment dat de persoonsgegevens worden verzameld. Dat kunt u bijvoorbeeld doen in uw Privacy Verklaring.

In de Privacy Verklaring informeert u betrokkenen onder andere over:

  • het recht op inzage;
  • gegevensverwijdering;
  • correctie van persoonsgegevens;
  • het recht van vergetelheid;
  • dataportabiliteit (het recht om bijvoorbeeld persoonsgegevens over te dragen naar een andere makelaar).

Voorbeeld van privacyverklaring

In de Privacy Verklaring neemt u ook op hoe lang u de persoonsgegevens bewaart. De AVG zelf geeft geen bewaartermijnen. Voor u belangrijke termijnen komen uit de Wet ter voorkoming van witwassen financieren (Wwft) en de Algemene wet inzake rijksbelastingen (AWR). Gegevens over een cliëntonderzoek moeten 5 jaar worden bewaard. Uw administratie moet u ten minste 7 jaar bewaren.

De betrokkene heeft het recht van vergetelheid en kan u verzoeken zijn persoonsgegevens te vernietigen. Gegevens die u in het kader van de Wwft en AWR moet bewaren vallen niet onder dat recht. Daarvoor heeft u immers een gerechtvaardigd belang.

Verwerkersovereenkomst

Ook onder de AVG bent u verplicht om een verwerkersovereenkomst aan te gaan met degene aan wie u persoonsgegevens verstrekt. Denk aan leveranciers van CRM- of cloud-software waarmee de website, klantdossiers en facturen worden beheerd. U sluit dus met partijen die ten behoeve van uw organisatie persoonsgegevens verwerken een verwerkersovereenkomst. Daarin maakt u afspraken over onder andere beveiliging en medewerking bij het voldoen aan verzoeken van betrokkenen. U bepaalt het doel en stelt de middelen van de verwerking vast.

Om te voldoen aan de AVG is het dus zaak de reeds gesloten bewerkersovereenkomst nader tegen het licht te houden. Maak inzichtelijk met wie u persoonsgegevens deelt. Beoordeel of de met hen gesloten bewerkersovereenkomst voldoet aan de eisen van de AVG.

Voorbeeld

Moet u ook een verwerkersovereenkomst sluiten met de notarissen aan wie persoonsgegevens verstrekt worden? De koper van een woning schakelt de notaris in om de woning te passeren. De notaris verwerkt dus geen persoonsgegevens in opdracht van u en is daarom geen verwerker van u. U hoeft dus niet met elke notaris een verwerkersovereenkomst te sluiten.

actio-juridisch-servicecontract-banner

Flinke boetes wanneer u niet voldoet aan de wet

Bedenk dat er vergaande consequenties kunnen zijn indien u niet voldoet aan de AVG. Zo heeft de AP de bevoegdheid om flinke boetes op te leggen. Op sommige overtredingen staat een boete van maximaal 20 miljoen euro of 4 procent van de wereldwijde omzet in het vorige boekjaar. Nu is niet gezegd dat u direct een dergelijke boete opgelegd krijgt, maar het toont wel het belang om aan de AVG te voldoen.

Hulp of advies omtrent vastgoed en de AVG

Heeft u vragen over de impact van de AVG op uw onderneming in het vastgoed? Of heeft u hulp nodig bij het voldoen aan deze wet? Neem contact op met een van onze vastgoedspecialisten in Assen of Hoogeveen, of bel ons op 0592-751900.

Direct teruggebeld worden?

Naar blogverzicht