René van Eijk, Functionaris Gegevensbescherming:

“We willen de persoonsgegevens van onze huurders op een zo veilig mogelijke manier verwerken”

De digitalisering is niet altijd een zegen. Veel persoonlijke gegevens worden tegenwoordig online uitgewisseld en opgeslagen. Hoe veilig is dat en hoe voorkom je dat persoonsgegevens voor andere doeleinden worden gebruikt dan waarvoor ze in eerste instantie bestemd zijn? Maasvallei heeft een strikt beleid als het aan komt op persoonsgegevens en heeft hiervoor zelfs iemand ingehuurd die toezicht houdt op de verwerking van persoonsgegevens en de directie adviseert inzake privacy.

Twee dagen per maand is de Functionaris Gegevensbescherming (FG) René van Eijk bij Maasvallei om de woningcorporatie te ondersteunen op dit terrein. Zijn bedrijf Privacy Network is gespecialiseerd in privacywetgeving en informatiebeveiliging. Maasvallei heeft er bewust voor gekozen om een FG aan te stellen. Het is voor een woningcorporatie niet verplicht om dit te doen, maar Maasvallei vindt het een belangrijk onderwerp. “We willen de persoonsgegevens van onze huurders op een zo veilig mogelijke manier verwerken. Hoe je om moet gaan met persoonsgegevens is wettelijk vastgelegd, maar niet tot in detail. De overheid zegt bijvoorbeeld dat je ‘passende maatregelen’ moet nemen. Wat ‘passend’ is, bepaal je zelf. Sinds de nieuwe AVG (De Algemene Verordening Gegevensbescherming die geldt vanaf 25 mei 2018 in de hele Europese Unie) ligt de bewijslast echter bij de organisatie. Dat betekent dat je als organisatie moet kunnen aantonen dat je je zaken goed voor elkaar hebt”, aldus René van Eijk. Als we het hebben over ‘het verwerken van persoonsgegevens’ is dat alles wat je met persoonsgegevens kunt doen, zoals raadplegen, doorgeven, opslaan, wissen, etc. Maasvallei heeft hiervoor een aantal spelregels opgesteld.
• De verwerking is rechtmatig, dat wil zeggen dat de verwerking wordt uitgevoerd op grond van toestemming van de persoon waarover persoonsgegevens worden verwerkt, een overeenkomst met een persoon, een wettelijke taak (bijv. het voeren van een financiële administratie) of een gerechtvaardigd belang van Maasvallei.
• We informeren over verwerkingen in begrijpelijke taal (bijv. via ons privacy statement op de website en begrijpelijke informatie bij het aangaan van een huurovereenkomst).
• We leggen het doel van de verwerking vast.
• We slaan niet meer gegevens op dan nodig voor het bereiken van het doel.
• We zorgen voor de juistheid van gegevens.
• We beveiligen de gegevens.
• We faciliteren de rechten van betrokkenen (recht op inzage, recht op verwijdering, etc.).
• We werken samen met betrouwbare partners die in opdracht van ons persoonsgegevens verwerken (bijv. voor ICT systemen, website, etc.).

De FG houdt toezicht op het naleven van deze spelregels. “We hebben een kalender gemaakt van alle activiteiten waarvan we de privacy toetsen. Het resultaat wordt opgenomen in de accountantscontrole en als zodanig gepubliceerd in het jaarverslag. Als FG ben ik ook contactpersoon voor de Autoriteit Persoonsgegevens en zorg ook voor bewustwording bij medewerkers, zodat er binnen de organisatie zorgvuldig wordt omgegaan met persoonsgegevens. Daarnaast adviseer ik de directie.”

Inloggen in systemen gebeurt bij Maasvallei met een veilig wachtwoord, gegevens met derden worden veilig uitgewisseld, gegevens in systemen worden versleuteld opgeslagen en alle systemen, zoals de website, worden periodiek getoetst. Medewerkers hebben alleen toegang tot de gegevens die ze echt nodig hebben, ze hebben geheimhoudingsplicht en zorgen voor een clean desk (geen documenten op bureau achterlaten). Ondanks al deze maatregelen kun je nooit uitsluiten dat een systeem gehackt wordt, waardoor persoonsgegevens worden gelekt.
Hoewel de kans hierop klein is - de meeste datalekken worden veroorzaakt door menselijke fouten - doet Maasvallei er alles aan om niet gehackt te worden. Zo wordt er zelfs periodiek een hackerstest uitgevoerd waarbij ‘hackers’ het systeem proberen binnen te dringen. Lekken in de soft- en hardware worden onmiddellijk opgelost met nieuwe soft- en/of hardware updates. De introductie van de AVG in 2018 veroorzaakte heel wat commotie. Iedereen schoot zowat in een kramp. Niks kon meer en niks mocht. Toch is er volgens René van Eijk niet heel veel veranderd in vergelijking met de oude wetgeving. “De AVG is in essentie gelijk aan de oude wetgeving. Nu is het echter een Europese wetgeving die in ieder land hetzelfde is. De bewijslast is omgekeerd, die ligt nu bij de bedrijven, de boetes zijn hoger en de toezichthouder heeft meer mandaat. Toch blijven er hardnekkige misverstanden bestaan omtrent de AVG: ‘Je moet persoonsgegevens altijd verwijderen als iemand daarom verzoekt’. Iemand kan wel verzoeken om zijn gegevens te verwijderen, maar dat kan niet altijd. Zo is wettelijk bepaald dat administraties zeven jaar bewaard moeten worden. Dan is deze wet bovenliggend. ‘Je hebt altijd toestemming nodig voor het gebruik van persoonsgegevens’.

Ook dat is niet het geval. Mensen slaan af en toe een beetje door als het om privacy gaat. Dat is ook begrijpelijk, omdat de AVG niet in alle onderdelen even duidelijk is. De kern vande AVG is echter dat je het gebruik van persoonsgegevens kunt uitleggen en de gegevens goed beveiligt. Maasvallei doet er in ieder geval alles aan om zo zorgvuldig mogelijk met deze gegevens om te gaan.”