Toelichting op AVG

Artikel AVG

Norm AVG

Aanvulling afsprakenstelsel Zorgeloos Vastgoed

Toepassingsgebied AVG

Artikel 2, 3

De AVG is van toepassing op:

• verwerkingen die geheel of gedeeltelijk geautomatiseerd zijn, alsmede;
• op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Onder 'bestand' wordt elk gestructureerd geheel van persoonsgegevens begrepen die volgens bepaalde criteria toegankelijk zijn.

Verwerking van persoonsgegevens waarop de AVG van toepassing is moet plaatsvinden in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Europese Unie, ongeacht of de verwerking al dan niet plaatsvindt in de Europese Unie.

De AVG is ook van toepassing op organisaties die buiten de Europese Unie zijn gevestigd, indien zij persoonsgegevens verwerken van betrokkenen in de Europese Unie óf indien zij het gedrag van betrokkenen in de Europese Unie monitoren. 

Het afsprakenstelsel Zorgeloos Vastgoed bepaalt dat Aangeslotenen ingeschreven dienen te zijn in een handelsregister in de EU. Inschrijving in een handelsregister in de EU impliceert ofwel een vestiging in de EU, ofwel ondernemingsactiviteiten in de EU. Derhalve is de AVG van toepassing op deelnemers aan het afsprakenstelsel. 

Algemene bepalingen en definities

Artikel 4, 9

Het begrip 'persoonsgegevens' betreft alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

De AVG maakt een onderscheid tussen:

1) persoonsgegevens, en

2) bijzondere categorieën van persoonsgegevens. 

Bijzondere categorieën van persoonsgegevens, hierna bijzondere persoonsgegevens, betreffen gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Binnen het afsprakenstelsel worden geen bijzondere persoonsgegevens verwerkt.

Artikel 4

In de AVG worden twee rollen gedefinieerd:

• verwerkingsverantwoordelijke,
• verwerker.

Een verwerkingsverantwoordelijke is degene die alleen, of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Deze rol kan vervuld worden door een natuurlijk persoon, een rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan.

Een verwerker is een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van, en op instructie van, de verwerkingsverantwoordelijke persoonsgegevens verwerkt. 

Het is de feitelijke situatie waaruit afgeleid wordt welke partij welke rol vervult. Dit is contractueel niet af te spreken.

In het afsprakenstelsel Zorgeloos Vastgoed worden Dienstverleners aangemerkt als verwerkingsverantwoordelijken, die met behulp van Softwareleverancier Dienstverleners (Verwerkers) hun diensten leveren. Aan de andere kant staat de consument, die middels een Softwareleverancier Consument (verwerkingsverantwoordelijke) diensten afneemt binnen het afsprakenstelsel.

Dit hangt echter altijd af van individuele omstandigheden en zal altijd bepaald moeten worden door de individuele partijen.

Artikel 4

Verwerking van persoonsgegevens is een breed begrip. Het omvat in feite elke handeling die de gegevens betreft, waaronder eenvoudigweg het houden, ontvangen, verstrekken, verzamelen, bewerken, opslaan of verwijderen van die gegevens. 

Artikel 5

Persoonsgegevens die verwerkt worden dienen juist te zijn en zo nodig geactualiseerd te worden. Redelijke maatregelen moeten worden genomen door de verwerkingsverantwoordelijke om de persoonsgegevens die onjuist zijn, onverwijld te wissen of te wijzigen.

Ten aanzien van de juistheid en actualiteit van gegevens zijn binnen het afsprakenstelsel aanvullende afspraken gemaakt die toezien op:

• Het tonen van de gegevens aan de Consument, voordat deze worden gedeeld c.q. gebruikt voor dienstverlening.
• Het tonen van de individuele gegevens die onderdeel uitmaken van een gegevensset.

Daarnaast dienen, conform de AVG, verwerkingsverantwoordelijken altijd processen en procedures ingericht te hebben waarmee de consument zijn rechten (artikelen 15 t/m 23 AVG kan uitoefenen).

In beginsel mogen persoonsgegevens slechts voor:

• welbepaalde,
• uitdrukkelijk omschreven, en
• gerechtvaardigde doeleinden
  verwerkt worden.

Indien persoonsgegevens voor een ander, secundair, doeleinde verwerkt worden, is dit slechts mogelijk indien de betrokkene toestemming heeft gegeven voor deze verdere verwerking, of indien dit noodzakelijk is voor een specifiek wettelijk voorschrift ter waarborging van een belangrijke doelstelling van algemeen belang.

Tot slot mogen persoonsgegevens niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld en verder verwerkt.

Conform wettelijke bepalingen is in het afsprakenstelsel Zorgeloos Vastgoed vastgelegd dat er ofwel een expliciete toestemming, ofwel een wettelijke grondslag moet zijn voor de verwerking.

Behoudens in geval van wettelijke grondslag is voorgeschreven dat bij het verzoek tot delen de Consument altijd in de gelegenheid moet worden gesteld om te weigeren en/of zijn keuze uit te stellen.
Ook dient voor ieder verwerkingsdoeleinde apart toestemming gevraagd te worden, en kan de Consument nadien verleende toestemmingen per doel intrekken.

Om de consument duidelijkheid te verschaffen over verwerkingsdoeleinden schrijft het afsprakenstelsel een niet-limitatieve lijst voor. Deze doeleinden zijn vastgelegd in een taxonomie, waardoor Softwareleveranciers in staat zijn een uitleg in klare taal toe te voegen. Op termijn ontwikkelt dit zich tot een uitgebreidere set aan afspraken die ertoe bijdragen dat de consument altijd een goed geïnformeerde en vrije keuze kan maken.

Ten aanzien van bewaartermijnen schrijft het afsprakenstelsel geen aanvullende beperkingen voor. Tot slot is het vastleggen van de ‘transacties’ in het stelsel, de zogenaamde logging, verplicht gesteld voor zowel de Dienstverlener als de Softwareleverancier Consument.

Gegevensverwerkingen dienen te worden beperkt tot wat noodzakelijk is voor de verwerkingsdoeleinden. De gegevensverwerking moet derhalve vooraf getoetst worden aan de beginselen van proportionaliteit en subsidiariteit.

Proportionaliteit betekent dat moet worden beoordeeld of de inbreuk op de privacy van betrokkenen van de voorgenomen gegevensverwerking in een redelijke verhouding staat tot het doel. Daarbij zal moeten worden gekeken of de voorgenomen gegevensverwerking effectief is om het beoogde doel te bereiken en of de te verwerken persoonsgegevens relevant en toereikend zijn om het beoogde doel te bereiken.

Bij subsidiariteit wordt bekeken of de verwerkingsdoeleinden met minder ingrijpende middelen kunnen worden bereikt.

In het afsprakenstelsel Zorgeloos Vastgoed is onder andere in de Architectuur en technische specificaties rekening gehouden met het proportionaliteits- en subsidiariteitsbeginsel. Op die manier is gestreefd naar afspraken waarbij niet meer gegevens worden verwerkt dan noodzakelijk zijn het behalen van het doeleinde (gegevensbescherming door ontwerp en door standaardinstelling).

Zorgeloos Vastgoed werkt samen met de vastgoedketen aan eenduidige afspraken over een minimale gegevensset voor de diensten die met het afsprakenstelsel bediend worden. Vanwege de unieke en vaak concurrerende elementen in diensten, en de daarvoor benodigde gegevens, zal dit een groeimodel zijn.

Persoonsgegevens mogen slechts verwerkt worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen, indien de verwerking plaatsvindt op een van de grondslagen die limitatief opgesomd zijn in de AVG. Dit betreft de volgende grondslagen:

1. Toestemming van de betrokkene;
2. De gegevens zijn noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene een partij is;
3. De gegevens zijn noodzakelijk voor het volgen van een wettelijke verplichting;
4. De gegevensverwerking is noodzakelijk om vitale belangen van de betrokkene of van een ander natuurlijk persoon te beschermen;
5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag;
6. De gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van u of van een derde aan wie de gegevens worden verstrekt.

Indien persoonsgegevens worden verwerkt op basis van gegeven toestemming, gelden er nog enkele specifieke vereisten:

• Aangetoond moet kunnen worden dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
• De toestemming moet zijn gegeven door middel van een duidelijke actieve handeling.
• De toestemming moet gevraagd zijn in een begrijpelijk en gemakkelijk toegankelijke vorm.
• De toestemming moet vrijelijk gegeven kunnen worden.
• De toestemmingsvraag moet in duidelijke en eenvoudige taal gepresenteerd worden.
• De toestemming moet ten alle tijden ingetrokken kunnen worden.

Het afsprakenstelsel is gebaseerd op expliciete toestemming - voor zover er geen wettelijke grondslag is - als invulling van regie op gegevens, waarbij de voorschriften omtrent de voorwaarden van de handeling (van toestemming verlenen) als afspraken zijn opgenomen.

Deze expliciete toestemming doet geen afbreuk aan de noodzaak voor verwerkingsverantwoordelijken en verwerkers om ten alle tijden zelf de grondslag voor verwerking vast te stellen, te (kunnen) verdedigen en alle daarbij behorende randvoorwaarden te realiseren.

Expliciete toestemming wordt gerealiseerd door middel van een standaard protocol waaraan verzoeken tot delen van gegevens worden gepresenteerd aan de Consument. Hierin staan de minimale vereisten omtrent de gegevens en de metagegevens.
In de Architectuur is het proces om de toestemming te verkrijgen nader uitgewerkt.

Tenslotte verkrijgen verwerkingsverantwoordelijken en verwerkers binnen het afsprakenstelsel de additionele verantwoordelijkheid om toestemmingen op een toegankelijke en duurzame manier te registreren.

Betrokkenen waarvan persoonsgegevens verwerkt worden komen verschillende rechten toe op grond van de AVG. De verwerkingsverantwoordelijke is degene die de uitoefening van deze rechten moet faciliteren. Daarnaast is de verwerkingsverantwoordelijke verantwoordelijk om iedere ontvanger aan wie de persoonsgegevens zijn verstrekt, in kennis te stellen van ieder verzoek tot rectificatie of wissing van persoonsgegevens, of verzoek tot beperking van de verwerking. 

Recht op inzage

Betrokkenen hebben het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hen betreffende persoonsgegevens. Indien dit het geval is, heeft de betrokkene het recht om inzage te verkrijgen van die persoonsgegevens.  Bovendien dient dan informatie omtrent de verwerking van persoonsgegevens verstrekt te worden, die ook verstrekt dient te worden indien de persoonsgegevens verzameld worden bij de betrokkenen. 

Indien de betrokkene een verzoek tot inzage doet, verstrekt de verwerkingsverantwoordelijke een kopie van de persoonsgegevens die verwerkt worden aan de betrokkene. 

Recht op rectificatie

Indien persoonsgegevens onjuist zijn, heeft de betrokkene het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van deze onjuiste persoonsgegevens te verkrijgen. Indien bepaalde persoonsgegevens onvolledig worden verwerkt, gelet op de doeleinden van de verwerking, heeft de betrokkene ook het recht om deze persoonsgegevens te vervolledigen.  

Recht op gegevenswissing

Betrokkenen hebben het recht om van de verwerkingsverantwoordelijke, zonder onredelijke vertraging, wissing van hem betreffende persoonsgegevens te verkrijgen. De verwerkingsverantwoordelijke is in de volgende gevallen verplicht om de persoonsgegevens te wissen:

1. indien de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt;
2. de betrokkene trekt gegeven toestemming in, en er is geen andere rechtsgrond voor de verwerking;
3. de betrokkene maakt bezwaar tegen de verwerking, waarbij er geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking aanwezig zijn;
4. de persoonsgegevens zijn onrechtmatig verwerkt;
5. de persoonsgegevens moeten worden gewist om als verwerkingsverantwoordelijke te kunnen voldoen aan een wettelijke verplichting die op hem rust;
6. de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij aan een kind jonger dan 16 jaar. 

Een verwerkingsverantwoordelijke hoeft niet te voldoen aan een verzoek tot gegevenswissing indien de verwerking noodzakelijk is:

• voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
• voor het nakomen van een wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust;
• om redenen van algemeen belang op het gebied van volksgezondheid;
• met het oog op archivering in het algemeen belang, wetenschappelijke of historisch onderzoek of statistische doeleinden;
• voor de instelling, uitoefening of onderbouwing van een rechtsvordering. 

Recht op beperking van de verwerking

Betrokkenen hebben het recht om de verwerking van hen betreffende persoonsgegevens te beperken (de gegevens mogen in dat geval alleen door de verwerkingsverantwoordelijke worden bewaard en alleen voor beperkte doeleinden worden gebruikt) indien:

• de nauwkeurigheid van de gegevens wordt betwist (en alleen zolang als nodig is om die nauwkeurigheid te verifiëren);
• de verwerking onrechtmatig is en de betrokkene verzoekt om beperking en zich verzet tegen het wissen van de persoonsgegevens;
• de verwerkingsverantwoordelijke de gegevens niet meer nodig heeft voor het oorspronkelijke doel, maar de betrokkene de gegevens nog wel nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering; of
• de betrokkene bezwaar heeft gemaakt tegen de verwerking, en in afwachting is van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan zijn eigen rechten.

Recht op overdraagbaarheid van gegevens

Betrokkenen hebben het recht om:

• een kopie te ontvangen van hun betreffende persoonsgegevens in een gestructureerde, veelgebruikte, machine-leesbare vorm die hergebruik ondersteunt;
• hen betreffende persoonsgegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere over te dragen.

Recht van bezwaar

Betrokkenen hebben het recht om bezwaar te maken, vanwege met specifieke situatie verband houdende redenen, tegen de verwerking van persoonsgegevens indien die grondslag voor die verwerking is:

• noodzakelijkheid voor de vervulling van een taak van algemeen belang, of
• noodzakelijkheid voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

De verwerkingsverantwoordelijke moet deze verwerking staken, tenzij de verantwoordelijke:

• aan kan tonen dat hij dwingende gerechtvaardigde gronden heeft voor de verwerking die prevaleren boven de belangen, rechten en vrijheden van de betrokkene, of
• er gerechtvaardigde gronden zijn die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

Daarnaast hebben betrokkenen het recht om bezwaar te maken tegen de verwerking van persoonsgegevens met het oog op direct marketing, inclusief profilering. 

Geautomatiseerde individuele besluitvorming, waaronder profilering

Betrokkenen hebben tot slot het recht niet te worden onderworpen aan een besluit dat tot stand is gekomen door een uitsluitend geautomatiseerde verwerking of profilering.

NB Er zijn uitzonderingen mogelijk op de uitoefening van de rechten van betrokkene, op voorwaarde dat de wezenlijke inhoud van de grondrechten en fundamentele vrijheden niet wordt aangetast en dat het gaat om noodzakelijke en evenredige maatregelen ter waarborging van enkele expliciet opgesomde belangrijke doelstellingen van algemeen belang. Uitzonderingen dienen altijd een wettelijke grondslag te hebben.

Consumenten kunnen hun rechten uitoefenen jegens de Softwareleverancier Consument voor de gegevens die verwerkt worden binnen de omgeving die aan Consument ter beschikking staat. 

Verzoeken die gebaseerd zijn op een recht dat de betrokkene toekomt dienen daarom rechtstreeks aan de Softwareleverancier Consument gericht te worden indien het gaat om persoonsgegevens die verwerkt worden in deze omgeving. Specifiek voor de Softwareleverancier Consument is in de Aansluitovereenkomst nog opgenomen dat Consumenten worden geïnformeerd over hoe zij rechten in deze bij de Softwareleverancier Consument kan uitoefenen.

Consumenten kunnen daarnaast uiteraard ook hun rechten jegens de Dienstverlener uitoefenen. Echter voorziet het afsprakenstelsel Zorgeloos Vastgoed niet in een relatie tussen Consument en Dienstverlener. Het uitoefenen van deze rechten gaat daarmee dus buiten het stelsel om.

Zorgeloos Vastgoed spant zich daarnaast in om interoperabiliteit tussen de verschillende Softwareleveranciers Consumenten te bewerkstelligen, waarmee het recht op overdraagbaarheid ook een praktische toepassing vindt.

Verplichtingen verwerkingsverantwoordelijken

Op partijen die de rol van verwerkingsverantwoordelijke vervullen rusten diverse verplichtingen.

1. Allereerst is de verwerkingsverantwoordelijke verantwoordelijk voor, en moet hij in staat zijn om aan te tonen dat de gegevensbeschermingsbeginselen zoals neergelegd in de AVG worden nageleefd.

2. De verwerkingsverantwoordelijke is verantwoordelijk voor het implementeren van passende technische en organisatorische maatregelen om te garanderen, en om aan te tonen, dat zijn verwerkingsactiviteiten voldoen aan de vereisten van de AVG. Deze maatregelen kunnen het implementeren van een passend gegevensbeschermingsbeleid omvatten. Het naleven van goedgekeurde gedragscodes kan een bewijs zijn van naleving.

3. Verwerkingsverantwoordelijken moeten ervoor zorgen dat zowel in de ontwerpfase van nieuwe verwerkingsactiviteiten, als in de implementatiefase van een nieuw product of dienst, gegevensbeschermingsbeginselen en passende voorzorgsmaatregelen worden onderzocht en geïmplementeerd. Daarnaast dienen de nodige waarborgen in de verwerking ingebouwd te worden ter bescherming van de rechten van de betrokkenen. Dit wordt ook wel gegevensbescherming door ontwerp genoemd. 

Daarnaast dienen passende technische en organisatorische maatregelen getroffen te worden om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Dit wordt ook wel gegevensbescherming door standaardinstellingen genoemd. 

4. Indien twee of meer verwerkingsverantwoordelijkheden gezamenlijk de doeleinden en de middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. In dit geval dienen zij hun respectievelijke verantwoordelijkheden met betrekking tot de nakoming van de verplichtingen uit de AVG vast te stellen door middel van een onderlinge regeling. Betrokkenen kunnen in dit geval hun rechten uitoefenen jegens iedere verwerkingsverantwoordelijke afzonderlijk. 

5. Een verwerkingsverantwoordelijke die buiten de EU is gevestigd, moet een vertegenwoordiger aanwijzen in een van de lidstaten waar de verwerkingsverantwoordelijke goederen of diensten aanbiedt of EU-ingezetenen monitort, tenzij de verwerking incidenteel en kleinschalig is en geen gevoelige persoonsgegevens bevat.

6. Verwerkingsverantwoordelijken kunnen verwerkers inschakelen om persoonsgegevens te verwerken op hun instructie, zoals een hostingbedrijf. 

Slechts verwerkers die de naleving van de AVG garanderen mogen ingeschakeld worden. De verwerkingsverantwoordelijke dient een verwerkersovereenkomst af te sluiten met de verwerker. 

Indien er wordt gekozen voor een eigen verwerkersovereenkomst moet daarin informatie opgenomen te worden over:

• het onderwerp van de verwerking(en);
• de duur van de verwerking;
• de aard van het doel van de verwerking;
• het soort persoonsgegevens en de categorieën van betrokkenen;
• de rechten en verplichtingen van de verwerkingsverantwoordelijke. 

In de verwerkersovereenkomst moet bovendien opgenomen worden dat de verwerker:

1. alleen persoonsgegevens mag verwerken op basis van gedocumenteerde instructies door de verwerkingsverantwoordelijke;
2. waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen;
3. de beveiliging van de persoonsgegevens die hij verwerkt moet garanderen;
4. aan regels is gebonden indien hij een sub-verwerker in wilt schakelen;
5. maatregelen implementeert om de verwerkingsverantwoordelijke te kunnen helpen bij de naleving van de rechten van betrokkenen;
6. de verwerkingsverantwoordelijke assisteert bij het verkrijgen van goedkeuring van een toezichthouder indien nodig;
7. na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt;
8. alle informatie verstrekt aan de verwerkingsverantwoordelijke die noodzakelijk is om naleving van de AVG aan te kunnen tonen. 

7. Een verwerkingsverantwoordelijke dient een register van de verwerkingsactiviteiten, ook wel verwerkingsregister genoemd, bij te houden. Dit register dient minimaal de volgende gegevens te bevatten:

• De naam en contactgegevens van:
  • de verwerkingsverantwoordelijke
  • indien van toepassing die van de gezamenlijke verwerkingsverantwoordelijken en/of vertegenwoordiger van de verwerkingsverantwoordelijke, en van de functionaris voor gegevensbescherming;
• De verwerkingsdoeleinden;
• Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
• De categorieën van ontvangers aan wie de persoonsgegevens zijn óf zullen worden verstrekt;
• Indien van toepassing: doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of internationale organisatie en de passende waarborgen; 
• De van toepassing zijnde bewaartermijnen;
• Een omschrijving van de geïmplementeerde beveiligingsmaatregelen. 

8. Een verwerkingsverantwoordelijke is, samen met de verwerker, verplicht om desgevraagd samen te werken met de toezichthoudende autoriteit bij het vervullen van haar taken. 

9. De verwerkingsverantwoordelijke moet passende technische en organisatorische beveiligingsmaatregelen treffen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging of verlies, wijziging, ongeautoriseerde openbaarmaking of toegang. Afhankelijk van de verwerkingsactiviteiten kunnen de beveiligingsmaatregelen het volgende omvatten:

• Pseudonimisering en versleuteling van persoonsgegevens;
• Doorlopende beoordelingen van de beveiligingsmaatregelen;
• Redundantie en back-up mogelijkheden;
• Regelmatig testen, beoordelen en evalueren van de beveiligingsmaatregelen. 

Wat een passend niveau van beveiliging is, dient te worden getoetst aan de hand van de verwerkingsrisico’s die met de verwerkingsactiviteit gepaard gaan. 

10. De verwerkingsverantwoordelijke is verplicht om een inbreuk in verband met persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging en uiterlijk 72 uur nadat hij er kennis van heeft genomen te melden bij de bevoegde toezichthoudende autoriteit. (In Nederland is dit de Autoriteit Persoonsgegevens). De enige uitzondering hierop is wanneer beoordeeld is dat het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van betrokkenen. De melding moet minimaal de volgende informatie bevatten:

1. Een omschrijving van de inbreuk in verband met persoonsgegevens, met inbegrip van het aantal betrokken betrokkenen en de getroffen categorieën van persoonsgegevens;
2. De naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
3. De waarschijnlijke gevolgen van de inbreuk;
4. De maatregelen die zijn getroffen om de inbreuk aan te pakken, waaronder maatregelen die de eventuele nadelige gevolgen van de inbreuk beperken. 

De verwerkingsverantwoordelijke is bovendien verplicht om alle inbreuken in verband met persoonsgegevens te documenteren, inclusief informatie over de gevolgen daarvan en de genomen corrigerende maatregelen. 

Indien een inbreuk in verband met persoonsgegevens een hoog risico oplevert voor betrokkenen, is de verwerkingsverantwoordelijke bovendien verplicht om de betrokkenen te informeren over deze inbreuk. Deze melding dient minimaal punt 2 t/m 4 van de verplichte informatie aan de toezichthoudende autoriteit te bevatten. 

Een verwerkingsverantwoordelijke is uitgezonderd van deze meldingsplicht indien:

• Er passende technische en organisatorische beschermingsmaatregelen genomen zijn en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, zoals bijvoorbeeld versleuteling van de data. 
• Achteraf maatregelen genomen zijn om ervoor te zorgen dat de bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen.
• De mededeling onevenredige inspanningen zou vergen.

11. De verwerkingsverantwoordelijke dient in elk geval een functionaris voor gegevensbescherming aan te wijzen indien hij hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens. 

12. Indien een soort verwerking van persoonsgegevens, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen, dient de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit te voeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Een dergelijke beoordeling wordt een gegevensbeschermingseffectbeoordeling genoemd. Dit is een degelijk instrument om vooraf privacyrisico’s van de voorgenomen verwerkingsactiviteit(en) in kaart te brengen. 

Een gegevensbeschermingseffectbeoordeling is in ieder geval vereist indien het een grootschalige verwerking van bijzondere persoonsgegevens betreft. 

Een beoordeling bevat tenminste de volgende punten:

• een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
• een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
• een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen;
• beoogde maatregelen om de risico's aan te pakken.

Wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren indien geen maatregelen genomen worden om het risico te beperken, dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit te raadplegen. 

Binnen het afsprakenstelsel Zorgeloos Vastgoed zijn over het algemeen Dienstverleners verwerkingsverantwoordelijken, die met behulp van Softwareleverancier Dienstverleners (verwerkers) hun diensten leveren. Aan de andere kant staat de consument, die middels een Softwareleverancier Consument (verwerkingsverantwoordelijke) diensten afneemt binnen het afsprakenstelsel. Partijen zijn ten alle tijden zelf verantwoordelijk om te bepalen of en wanneer zij verwerker en/of verwerkingsverantwoordelijke zijn.

Onderdeel van het afsprakenstelsel is een aanvullend Normenkader Informatiebeveiliging. Aangeslotenen dienen aantoonbaar te voldoen aan dit normenkader. Deze normen gelden als zogenaamde baseline om de veiligheid en betrouwbaarheid van het stelsel te borgen. Echter, wederom zijn partijen ten alle tijden zelf verantwoordelijk om voldoende passende maatregelen te nemen.

Door de functionele en technische afspraken wordt getracht gegevensbescherming en dataminimalisatie te borgen. Het uitgangspunt is dat niet meer gegevens worden gedeeld dan strikt noodzakelijk. Daarbij is echter sprake van een groeimodel: veel informatiebronnen zijn enkel als complete set te ontsluiten. Dit krijgt de nodige aandacht in de doorontwikkeling van het afsprakenstelsel.

Ten aanzien van incidenten en datalekken is in de Aansluitovereenkomst opgenomen dat Aangeslotenen betrokkenen onverwijld informeren, naast de overige uit de AVG voortvloeiende verplichtingen. Zij zijn verantwoordelijk om na zorgvuldige afweging een impactanalyse uit te voeren op de gevolgen voor zowel de eigen dienstverlening als het stelsel als geheel, en informatie hierover te delen met betrokkenen. Communicatie hierover dient te worden afgestemd met relevante andere partijen indien dit nodig wordt geacht. Dit staat verder uitgewerkt in het Incidenten & calamiteitenproces.

Verplichtingen verwerker

Op partijen die de rol van verwerker vervullen rusten diverse verplichtingen. 

1. Een verwerker mag alleen persoonsgegevens verwerken op basis van gedocumenteerde instructies van een verwerkingsverantwoordelijke. Tussen de verwerkingsverantwoordelijke en de verwerker dient een verwerkersovereenkomst afgesloten te worden. 

2. Een verwerker moet de beveiliging van de persoonsgegevens die hij verwerkt garanderen aan de verwerkingsverantwoordelijke. 

3. De verwerker moet ervoor zorgen dat alle persoonsgegevens die hij verwerkt vertrouwelijk worden behandeld. De verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker moet van de verwerker eisen dat hij ervoor zorgt dat alle personen die gemachtigd zijn om de persoonsgegevens te verwerken, een passende geheimhoudingsplicht hebben.

4. Een verwerker mag slechts sub-verwerkers inschakelen indien de verwerkingsverantwoordelijke hier, vooraf, schriftelijk toestemming voor heeft gegeven. Wanneer de verwerkingsverantwoordelijke instemt met de aanstelling van sub-verwerkers, moeten die sub-verwerkers op dezelfde voorwaarden worden aangesteld als zijn vastgesteld in de verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker.  

5. Een verwerker dient een register van de verwerkingsactiviteiten, ook wel verwerkingsregister genoemd, bij te houden. Dit register dient minimaal de volgende gegevens te bevatten:

• De naam en contactgegevens van:
  • de verwerkingsverantwoordelijke
  • indien van toepassing, de gezamenlijke verwerkingsverantwoordelijken en/of vertegenwoordiger van de verwerkingsverantwoordelijke, en van de functionaris voor gegevensbescherming;
• De verwerkingsdoeleinden;
• Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
• De categorieën van ontvangers aan wie de persoonsgegevens zijn óf zullen worden verstrekt;
• Indien van toepassing: doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of internationale organisatie en de passende waarborgen; 
• De van toepassing zijnde bewaartermijnen;
• Een omschrijving van de geïmplementeerde beveiligingsmaatregelen. 

6. Verwerkers (en hun vertegenwoordigers, indien aanwezig) zijn verplicht om op verzoek samen te werken met toezichthoudende autoriteiten bij de uitvoering van haar taken.

7. De verwerker moet passende technische en organisatorische beveiligingsmaatregelen treffen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging of verlies, wijziging, ongeautoriseerde openbaarmaking of toegang. Afhankelijk van de verwerkingsactiviteiten kunnen de beveiligingsmaatregelen het volgende omvatten:

• pseudonimisering en versleuteling van persoonsgegevens;
• doorlopende beoordelingen van de beveiligingsmaatregelen;
• redundantie en back-up-mogelijkheden;
• regelmatig testen, beoordelen en evalueren van de beveiligingsmaatregelen. 

Wat een passend niveau van beveiliging is, dient te worden getoetst aan de hand van de verwerkingsrisico’s die met de verwerkingsactiviteit gepaard gaan. 

8. De verwerker is verplicht om een inbeuk in verband met persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging te melden aan de verwerkingsverantwoordelijke. 

9. Indien de verwerkingsverantwoordelijke waarvoor de verwerker persoonsgegevens verwerkt verplicht is om een functionaris voor de gegevensbescherming aan te stellen, werkt deze verplichting door op de verwerker. 

NB. Indien een verwerker, in strijd met de AVG, zelf doeleinden en middelen van een verwerkingsactiviteit vaststelt, wordt de verwerker met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.

In artikel 8 van de Aansluitovereenkomst zijn, aanvullend op de AVG, verantwoordelijkheden van een Aangeslotene jegens derden, waaronder (sub)verwerkers van persoonsgegevens, opgenomen. Daarmee zijn ook de verplichtingen die voortvloeien uit het Normenkader Informatiebeveiliging van toepassing op deze derden. Aangeslotene is verantwoordelijk voor de controle en naleving hiervan.