GDPR bij huisvesting: hoe borgt u de privacy van bewoners?

Bouwbedrijven spelen een steeds grotere rol in het realiseren van huisvesting. De tendens is het aanbieden van totaalconcepten voor de bewoners. In hoeverre bent u zich bij ontwikkelen en uitvoeren van die totaalconcepten bewust van uw verantwoordelijkheid voor de privacy van de betrokken personen?

De nieuwe privacywetgeving reikt verder dan u misschien in eerste instantie denkt, zoals beschreven in het eerste blog van dit drieluik over GDPR voor de bouw. Dit tweede blog is gericht op privacywetgeving voor de bouw in relatie tot de bewoners. We zoomen in op vijf belangrijke onderwerpen die tot dusver zomaar aan uw aandacht ontsnapt zouden kunnen zijn. Onderwerpen die cruciale (privacy rechtelijke) vragen oproepen.

1. Wonen ‘as a service’

Bouwers zijn in veel gevallen al lang niet meer de partij die enkel het huis bouwen. In toenemende mate leveren ze woningen volledig gebruiksklaar op, inclusief nutsvoorzieningen, waaronder een werkende internetaansluiting. De bouwer is dan geen contractpartij, maar deelt de persoonsgegevens van de bewoner met de aanbieder van nutsvoorzieningen. En daar komt de nieuwe privacywetgeving om de hoek kijken, want wie is vanaf welk moment de verwerker/verantwoordelijke voor de data? Heeft de koper hier uitdrukkelijk toestemming voor gegeven? En hoe is dit geregeld als de woning later wordt verkocht?

2. Huisdomotica

In het verlengde van wonen ‘as a service’ is daar de oprukkende technologie in huizen, gebaseerd op het principe van internet of things (IOT). Alles is met elkaar verbonden. Denk aan bewaking, verlichting, slimme meters, slimme spiegels, slimme stopcontacten en de inzet van sensoring. Uit huisdomotica kunnen derde partijen talloze persoonlijke gegevens onttrekken. Met alle privacy- en veiligheidsrisico’s van dien. Laagstroom en waterverbruik over langere periode kan duiden op afwezigheid van de bewoners. Extreem hoog en afwijkend verbruik kan weer interessant zijn voor opsporingsdiensten. Ook hier is de bouwer in veel gevallen geen contractpartij, maar wel aanbieder van deze diensten. Hoe is de privacy van bewoners geborgd? Hoe springt u op een nette manier om met hun persoonsgegevens? In geval van apps, is er sprake van doorgifte?

3. Aankopersinformatie

Kopers gaan een aantal fases door; van interesse in en inschrijven voor een woning tot de sleuteloverdracht en ingebruikname, waarbij de bewoner de inrichting van de woning moet (laten) realiseren. In alle fases verzamelt en deelt u persoonsgegevens, bijvoorbeeld met makelaars en leveranciers. Ook bieden veel bouwers de mogelijkheid via hun internetsite informatie over een bouwproject op te vragen. De spin in het web is steeds de bouwer, die speelt de gegevens door. Welke relatie heeft u dan in elke fase met die (aspirant)koper. Bent u verwerkersverantwoordelijke of niet? Het is belangrijk uzelf dat per fase af te vragen. En hoe is dan geborgd dat alle vergaarde informatie op een later moment niet oneigenlijk wordt gebruikt?

4. Onderhoud en exploitatie

Woningen zijn uitgerust met veel ‘hardware’, waarbij onderhoud komt kijken. Cv-ketels, bijvoorbeeld. In servicecontracten is meestal standaard opgenomen dat die ketel ieder jaar een onderhoudsbeurt krijgt. Maar hoe komt de uitvoerende partij, waarmee de bewoner zelf geen relatie heeft, dan aan die gegevens? En wat doen ze ermee? Wie is op welk moment verantwoordelijk voor welk deel van de informatie? Dit kan per object verschillen. Onderhoudscontracten zijn vaak meerjarig, dus vraag uzelf ook af: wat als de woning een nieuwe bewoner krijgt? Wat komt er juridisch bij kijken wanneer u met derde partijen informatie deelt, bijvoorbeeld met de netbeheerder en fabrikanten van huisdomotica?

5. Klachtenmanagement

Wanneer bouwers een klachtenprocedure hebben ingericht, leggen ze naast klachten ook gegevens vast over de klager in kwestie. Dit is nodig om te kunnen reageren. Die klachten kunnen afkomstig zijn van particulieren, bijvoorbeeld omwonenden. Hoe is hun privacy geborgd in het klachtenproces? Welke gegevens worden wel en welke niet geregistreerd? En hoe lang blijven de gegevens bewaard? Dat zijn voorbeelden van vragen die bij dit onderwerp horen en waar bouwbedrijven als gevolg van de GDPR-wetgeving opnieuw over na dienen te denken.

Extra aandachtspunt

Als gevolg van de nieuwe privacywetgeving dienen bouwbedrijven meer nog dan voorheen na te denken over de privacy rechtelijke aspecten van processen die raken aan medewerkers of particulieren. Dit betekent enerzijds door de bril van bescherming persoonsgegevens kijken naar de reeds ondernomen activiteiten. Anderzijds geldt dat u bij nieuwe initiatieven, naast de financiële en technische haalbaarheid, ook meteen kijkt naar de bescherming van persoonsgegevens. Wanneer u samenwerkt met derde partijen, is het nemen van passende organisatorische en technische maatregelen ter bescherming van de persoonsgegevens een extra aandachtspunt.

Breder perspectief

Belangrijk bij het beantwoorden van al die vragen, ook met oog op privacy voor kopers en bewoners, is de vraagstukken bezien vanuit een breder perspectief, namelijk dat van informatiebeveiliging en dataprivacy (breder dan enkel persoonsgegevens). Bouwers hebben meer gevoelige informatie dan enkel persoonsgegevens - denk aan prijsinformatie, patenten en bedrijfsgeheimen, organisatiestrategie en marktbenaderingsplannen, biedingsinformatie, interessante grondposities - die de moeite waard zijn om bij stil staan. Zeker als u nu toch bezig bent met de bescherming van persoonsgegevens.  

In het derde en afsluitende blog nemen we de bescherming van persoonsgegevens op de bouwplaats onder de loep.

Aan de slag?

Wilt u meer weten of de gevolgen van GDPR-wetgeving op uw bedrijf? Wilt u bijvoorbeeld weten of u alle mogelijke persoonsgegevens in beeld heeft? Of wilt u bijvoorbeeld extra zekerheid hebben of de reeds getroffen maatregelen afdoende zijn? Neem dan contact met ons op voor een vrijblijvend gesprek.

Meer lezen over GDPR?

Onlangs bracht BDO een magazine uit waarin privacy en de GDPR centraal staan. Met inspirerende verhalen van o.a. C-level bestuurders. Onder andere CIP, Danny Mekić, Simac, ZLM en BKR-commissaris Kees Droppert komen in het magazine aan het woord, waarbij zij hun visie op de GDPR geven. Klik op onderstaande button om het magazine te downloaden.

Download magazine