Samenwerken en de AVG

Een overzicht

Sinds 25 mei 2018 geldt voor de hele Europese Unie de privacywet. In Nederland aangeduid als AVG (Algemene Verordening Gegevensbescherming) en internationaal als GDPR (General Data Protection Regulation), ofwel verordening (EU) 2016/679 van het Europees parlement en de raad. Je hebt er al mee te maken door het uitsturen van een factuur of nieuwsbrief, of door het bijhouden van contactgegevens van klanten of personeelsinformatie. De wet geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen. Er is veel over gepraat, maar is alles nu duidelijk? En is alles in de regelgeving al helemaal afgetikt? Het antwoord is nee. Met name op het vlak van samenwerking is er nog steeds een ontwikkeling in de regelgeving gaande. Ook ervaren organisaties het al of niet afsluiten van een verwerkingsovereenkomst als een ware uitdaging.

Eerst een klein overzichtje van algemene AVG-regels

Een aantal regels zijn vrij algemeen en gelden voor vrijwel elk bedrijf dat persoonsgegevens vastlegt of verwerkt. De belangrijkste zijn:
  Klik hier voor een toelichting op de algemene AVG-regels

 De AVG en woningcorporaties

Woningcorporaties verwerken persoonsgegevens waarbij de verwerking niet incidenteel is; daarom zijn woningcorporaties verplicht om de verwerking van persoonsgegevens bij te houden in een register van verwerkingsactiviteiten. In het verwerkingsregister neem je op welke persoonsgegevens je gebruikt, voor welk doel, waar je ze opslaat en met wie je ze eventueel deelt. Het register kun je schriftelijk of elektronisch bijhouden en gebruik je bijvoorbeeld als betrokken personen je vragen hun gegevens te corrigeren of te verwijderen. Je moet deze verzoeken ook doorgeven aan de organisaties waarmee je de persoonsgegevens hebt gedeeld.

Ook zijn corporaties verplicht een DPIA (data protection impact analyse) uit te voeren. Gegevensverwerking door een woningcorporatie kan namelijk een hoog privacyrisico opleveren voor natuurlijke personen (de huurders). Volgens de Europese toezichthouders is er namelijk sprake van een hoog risico in geval van samenwerkingsverbanden, zwarte lijsten, fraudebestrijding, cameratoezicht of indien de persoonsverwerkingen kwetsbare groepen betreft. Ook zullen veel corporaties gegevens zo combineren, dat iemand in een bepaalde categorie of groep is in te delen en daardoor zo kan worden benaderd of beoordeeld (profilering). Dit maakt dat een DPIA verplicht is.

Het is voor woningcorporaties niet verplicht om een functionaris gegevensverwerking (FG) aan te stellen. Echter, de Autoriteit Persoonsgegevens (AP) geeft aan dat de FG niet alleen een ‘goede praktijk’, maar ook ‘vooral aan te raden’ is voor sociale verhuurders.

Omdat ook leveranciers van een corporatie vaak met persoonsgegevens van huurders werken (reparatieverzoeken, installatieonderhoud), moet de corporatie afspraken met haar leverancier maken over de privacyaspecten van die persoonsgegevens via algemene inkoopvoorwaarden. Aedes heeft hiertoe een “Model Algemene Inkoopvoorwaarden voor leveringen, diensten en werken” opgesteld. Afspraken met een leverancier over het gebruik en de beveiliging van persoonsgegevens kan de corporaties met de leverancier ook vastleggen in een verwerkersovereenkomst. Ook hiervan heeft Aedes een Modelovereenkomst opgesteld.

AVG en samenwerken van organisaties

In de huidige netwerksamenleving is het bijna onontkoombaar om als organisatie samen te werken met partners. Het is belangrijk om te weten wat je met die partners moet afspreken en vastleggen. Bepalend daarbij is om verschil te maken tussen de situaties van:
- uitbesteden,
- data doorgeven en
- samenwerken.

Uitbesteden

Bij uitbesteden heeft de leverancier volgens de privacywetgeving de rol van "verwerker". Het is wettelijk verplicht een verwerkingsovereenkomst te sluiten met dwingend voorgeschreven onderwerpen (zie hiervoor hoofdstuk 4 van de AVG). Een verwerker mag de persoonsgegevens absoluut niet voor eigen doeleinden gebruiken.

Data doorgeven

Dit in tegenstelling tot de situatie waar persoonsgegevens worden doorgegeven aan een andere instantie waarbij de ontvangende partij de gegevens verder voor eigen doeleinden verwerkt (bijvoorbeeld gegevens doorgeven aan een pensioenfonds, leasemaatschappij, bezorgservice of het doorgeven van adresgegevens aan een onderhoudsbedrijf door een woningbouwvereniging). In dit soort situaties moet aan de hand van de privacywetgeving worden getoetst of doorgifte is toegestaan. In deze situatie moet ook absoluut geen verwerkersovereenkomst worden getekend! Het is wel verstandig om afspraken op papier te zetten.

Samenwerken

In de situatie van samenwerkende organisaties verwerken twee of meer partijen samen persoonsgegevens voor dezelfde doeleinden. Dat speelt bijvoorbeeld wanneer partijen zo intensief samenwerken dat van doorgifte als hiervoor bedoeld geen sprake meer is. Er is dan veeleer sprake van een gezamenlijke administratie.
In artikel 26 AVG is bepaald dat de samenwerkende partijen een regeling moeten vaststellen. In die regeling moet de verdeling van verantwoordelijkheden duidelijk worden vastgelegd, met name in relatie tot de betrokkene. De kern van die regeling moet aan de betrokkene kenbaar worden gemaakt. Er moet dus in deze situatie een overeenkomst zijn. Naast de verdeling van verantwoordelijkheden (zie hiervoor), is het ook verstandig afspraken te maken hoe overigens samen te voldoen aan de privacywetgeving. Partijen voeren immers een gezamenlijke administratie en zij kunnen daar hoofdelijk op worden aangesproken. Verder zal er een duidelijke exit-regeling moeten zijn, waaruit volgt of (de gegevens uit) die gezamenlijke administratie ook na de samenwerking nog door partijen mogen worden gebruikt.

Dus:

Samenwerking corporaties met zorg- en veiligheidsdomein

Woningcorporaties werken vooral veel samen in het zorg- en veiligheidsdomein. Regelgeving op het gebied van gegevensuitwisseling bij samenwerking is duidelijk nog in ontwikkeling:

  • In 2017 verscheen het Handvat “Gegevensuitwisseling in het zorg- en veiligheidsdomein”.
  • In nov. 2017 bracht Aedes de AVG Routeplanner uit (laatste update nov. 2018 en een toevoeging voor bouw, renovatie en onderhoud in juni 2019).
  • In maart 2018 verscheen het handvat “Gegevensuitwisseling bij samenwerking rond casuïstiek in het zorg- en veiligheidsdomein”.
  • Het Toezicht Sociaal Domein ontwikkelde in 2018 een webtool getiteld ‘Kiezen en Delen’ waarop diverse voorbeeldcasussen staan en die een overzicht geeft met handreikingen en richtlijnen over het delen van informatie. De webtool wordt regelmatig geactualiseerd.
  • In juni 2019 is de ministerraad akkoord gegaan met de wet “Gegevensverwerking door samenwerkingsverbanden” van publieke en private organisaties voor de vervulling van een taak van algemeen belang. Die wet ligt thans bij de Raad van State.
  • Op 14 oktober 2019 is de “Wijziging wet gemeentelijke schuldhulpverlening in verband met gegevensuitwisseling” ingediend bij de Tweede Kamer. Door de wijziging wordt geregeld dat verhuurders bepaalde gegevens mogen delen over huurachterstanden in het kader van vroegsignalering. Ook moeten gemeenten laten weten aan woningcorporaties als er hulp komt.
    De beoogde data waarop de wetgeving in de Eerste Kamer wordt behandeld en feitelijk in werking zal treden zijn niet bekend.

Meer weten?

Meer weten over samenwerken met andere organisaties?

  • Voor samenwerken op het gebied van zorg en welzijn: neem contact op met Sanne van Osnabrugge
  • Voor samenwerking of fusie van woningcorporaties: neem contact op met Robert van Bendegem
  • Voor samenwerken ten behoeve van legitimatie en participatie: neem contact op met Paul Doevendans
  • Voor verbetering van werkprocessen in de samenwerking: neem contact op met Leen Willems of Hanjo Lagas