Facebook handelt in strijd met de Nederlandse privacywetgeving. Dit heeft de Autoriteit Persoonsgegevens geconcludeerd in haar onderzoeksrapport naar de verwerking van persoonsgegevens door Facebook. Facebook zou onder meer haar gebruikers onvolledig informeren over het gebruik van persoonsgegevens. De Autoriteit Persoonsgegevens kan Facebook nu een (voorwaardelijke) boete opleggen van enkele miljoenen. De miljoenenboete die Facebook nu te wachten staat, is echter een schijntje met wat er vanaf volgend jaar kan worden opgelegd. Het zal dan in het geval van Facebook gaan om miljarden
Vanaf 25 mei 2018 geldt de nieuwe Europese privacyverordening de ‘General Data Protection Regulation’ (GDPR), in het Nederlands vertaald: de ‘Algemene verordening gegevensbescherming’ (AVG). Deze verordening geldt vanaf die datum in de gehele Europese Unie. De huidige ‘Wet bescherming persoonsgegevens’ komt dan te vervallen. De nieuwe wetgeving heeft tot gevolg dat vastgoedorganisaties meer verantwoordelijkheden krijgen en de Autoriteit Persoonsgegevens steviger bevoegdheden, zoals de bevoegdheid tot het opleggen van boetes tot 20 miljoen euro of tot 4% van de wereldwijde jaaromzet indien dat bedrag hoger is.
Op dit moment kan de Autoriteit Persoonsgegevens nog niet direct een boete opleggen, maar slechts een last onder dwangsom. Dit houdt in dat de organisatie eerst een termijn wordt gesteld waarbinnen zij de kans krijgt de overtreding te herstellen. Alleen als de organisatie de overtreding niet (tijdig) hersteld, volgt de boete. Dit wordt vanaf volgend jaar anders, dan kan de Autoriteit Persoonsgegevens direct een boete opleggen.
“Om hoge boetes te voorkomen is het voor de vastgoedsector van belang tijdig de databescherming op orde te hebben, zodat op 25 mei 2018 aan de AVG wordt voldaan.”
De AVG geldt voor alle organisaties binnen het vastgoed die persoonsgegevens verwerken. Onder het verwerken van persoonsgegevens vallen bijvoorbeeld het verzamelen, doorzenden en bewaren van persoonlijke gegevens van huurders, telefoonnummers van contactpersonen, financiële gegevens, paspoortkopieën, etc. Het verwerken van persoonsgegevens hoeft straks niet meer aan de Autoriteit Persoonsgegevens te worden gemeld.[1] Daarvoor in de plaats krijgt een vastgoedorganisatie een documentatieplicht. Deze plicht houdt in dat met documenten moet kunnen worden aangetoond dat de juiste organisatorische en technische maatregelen zijn genomen. Bovendien kunnen vastgoedbedrijven verplicht zijn een privacy impact assessment (PIA) uit te voeren of een functionaris voor de gegevensbescherming (FG) aan te stellen.
Om hoge boetes te voorkomen is het voor vastgoedbedrijven van belang om zich nu voor te bereiden op de AVG. Neemt u gerust contact met ons op voor meer informatie over de nieuwe privacywetgeving voor de vastgoedsector.
Hanna Hoegee, hhoegee@bilt.nl
[1] Het melden van datalekken is niet hetzelfde als het melden van gegevensverwerking. De meldplicht datalekken vervalt niet en blijft ook na 25 mei 2018 van kracht.
