Privacy van onze huurders, ons een zorg?!

Geplaatst door CorporatieMedia op
 

Woningcorporaties beschikken over steeds meer gevoelige huurdersgegevens. Het gaat allang niet meer over simpele NAW-gegevens, maar bijvoorbeeld ook over informatie over overlastsituaties, (geestelijke) gezondheid en Burgerservicenummers. Europese regelgeving dwong corporaties al om eenmalig inkomensgegevens vast te leggen bij de toewijzing van sociale huurwoningen. Tegenwoordig krijgen corporaties bovendien ieder jaar actuele inkomensgegevens overhandigd door de Belastingdienst voor het uitvoeren van de inkomensafhankelijke huurverhoging. Het College Bescherming Persoonsgegevens (CBP) heeft zich negatief uitgelaten over de privacyschendingen die het laatste met zich mee zou brengen. Het is zaak erop voorbereid te zijn dat het CBP ook woningcorporaties kan gaan inspecteren op de uitvoer van privacywetgeving.

Privacywetgeving
Privacybeleid en de uitvoering ervan zijn bij veel organisaties een ondergeschoven kindje. Woningcorporaties vormen daarop geen uitzondering. Als er al aandacht voor is, blijft het vaak bij een goedbedoelde, maar weinig consequente uitvoering. De Wet Bescherming Persoonsgegevens (Wbp; ook wel de ‘Privacywet’ genoemd) kent vele open normen, die niet concreet zijn ingevuld door jurisprudentie. De invulling van bijvoorbeeld het veel voorkomende begrip ‘noodzakelijk’ blijft vaak onduidelijk. Op deze manier biedt de privacywetgeving ruimte voor allerlei interpretaties. Dat komt onder andere omdat de wetgever de Wbp zoveel mogelijk technologieneutraal heeft geformuleerd. Termen als floppy, cd-rom of USB-stick komen als gevolg daarvan niet voor in de wet. Zo wordt voorkomen dat de wet steeds geactualiseerd moet worden en men in feite steeds achter de feiten van de technologische vooruitgang aanholt. Het nadeel is dat de wet weinig concrete antwoorden biedt.

Proportionaliteit
De Wbp geeft iedere organisatie de verantwoordelijkheid om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen. Passend wil volgens de Memorie van Toelichting zeggen dat de maatregelen proportioneel moeten zijn. Daarbij moet rekening worden gehouden met de stand van de techniek. Het privacybeleid moet proportioneel zijn met het oog op de gevoeligheid en de hoeveelheid van de verwerkte gegevens. De grootte van woningcorporaties loopt sterk uiteen, van enkelen honderden tot circa tachtigduizend woningen. Betekent dit dat kleine corporaties minder vergaande maatregelen hoeven te nemen dan grote? Zo op het eerste gezicht wel, maar is dit rechtvaardig tegenover de huurders?

Risicomanagement
In februari 2013 publiceerde het CBP zijn nieuwe Richtsnoeren Beveiliging Persoonsgegevens.

Het College richt zich met deze richtsnoeren vooral op de beleidsmatige verankering van de beveiliging van persoonsgegevens in organisaties. Via een plan-do-check-act-cyclus moet privacy een actief beleidsonderdeel worden, ingebed worden in het bewustzijn van de organisatie en verankerd zijn in de bedrijfsprocessen. Het privacybeleid moet een belangrijk onderdeel zijn van het risicomanagement. Dit beleid en de uitvoering ervan zouden geheel gebaseerd moeten zijn op de Wbp en de richtsnoeren van het CBP. In de praktijk gaat het echter meer om de persoonlijke opvattingen binnen de organisatie van wat wel of niet mag. Er worden bijvoorbeeld bij de bouw van nieuwe ICT-systemen nauwelijks of geen eisen gesteld aan de leverancier wat betreft de bescherming van persoonsgegevens. Dat moet onmiddellijk veranderen. De Wbp en de richtsnoeren van het CBP moeten een verplicht onderdeel zijn van het programma van eisen.

Consequent beleid
De invoering van de nieuwe CBP-richtsnoeren is een uitgelezen moment om eens stil te staan bij de privacypraktijk van woningcorporaties. Mogen corporaties bijvoorbeeld kopietjes van het identiteitsbewijs van hun huurders maken en opslaan? Hoe lang mogen gevoelige persoonsgegevens van huurders bewaard blijven; wanneer moeten bestanden opgeschoond worden? Welke medewerkers en afdelingen mogen bij welke informatie van onze huurders en hoe streng moet de autorisatie zijn? Wat mag je allemaal met het BSN?

De uitvoering van de meldingsplicht aan het CBP van de verwerking van persoonsgegevens wordt niet consequent uitgevoerd. Een aantal corporaties meldt allerlei verschillende verwerkingen en sommige hebben in het geheel geen melding gedaan. Als corporaties al een privacystatement op de website hebben staan, verschillen deze in inhoud en omvang.

Sectorbrede gedragscode
Een gedegen privacybeleid opstellen heeft nog heel wat voeten in de aarde, maar vele handen maken misschien licht werk. Het is namelijk mogelijk om gezamenlijk als sector een privacygedragscode op te stellen en deze te laten goedkeuren door het CBP. De Wbp maakt het mogelijk om een gedragscode voor een hele sector vast te stellen (artikel 25). Een ‘voldoende representatieve’ organisatie kan binnen een sector een gedragscode opstellen en het CBP vragen die code te toetsen en goed te keuren. Na goedkeuring wordt de gedragscode gepubliceerd in de Staatscourant en geldt dan voor de hele sector. Aedes kan deze mogelijkheid benutten. Het is voor de sector beter om zelf het initiatief te nemen en de regie te houden, dan om af te wachten totdat het CBP constateert dat corporaties niet voldoen aan de wettelijke regels met betrekking tot de bescherming van persoonsgegevens. Dit geeft alleen maar nieuwe imagoschade. Het is een kans voor corporaties om in een divers speelveld concreet maatwerk te verkrijgen. Dit voorkomt bovendien dat elke corporatie zelf het wiel opnieuw moet uitvinden. Met een adequaat privacybeleid brengen corporaties de dienstverlening aan de klanten en de interne bedrijfsvoering op een hoger niveau.

Door: mr. Paul van Vucht, de Woningstichting