Toelichting op AVG
Binnen het Afsprakenstelsel Zorgeloos Vastgoed verwerken Softwareleveranciers Consument en Softwareleveranciers Dienstverleners persoonsgegevens. Ondanks dat dit niet om bijzondere persoonsgegevens gaat, is zorgvuldige omgang met de persoonlijke en financiële gegevens van groot belang. Met het Afsprakenstelsel werkt de vastgoedketen samen aan betrouwbaarheid en veiligheid. De verwerking van persoonsgegevens valt daar uiteraard ook onder. Omdat het van belang is voor het Afsprakenstelsel en al haar deelnemers dat de AVG correct wordt nageleefd, volgt hieronder een nadere uitwerking van de relevante AVG-normen. Wellicht ten overvloede wordt nogmaals gewezen op de rol die partijen hierin vervullen:
Dienstverleners zijn verwerkingsverantwoordelijken, die met behulp van Softwareleverancier Dienstverleners (verwerkers) hun diensten leveren. Aan de andere kant staat de Consument, die middels een Softwareleverancier Consument (verwerkingsverantwoordelijke) diensten afneemt binnen het Afsprakenstelsel.
In onderstaand overzicht worden de normen van de AVG toegelicht en staat telkens aangegeven of er aanvullende afspraken daarover zijn vastgelegd binnen het Afsprakenstelsel. Dit overzicht is slechts een hulpmiddel voor Aangeslotenen. Iedere Aangeslotene is zelf verantwoordelijk voor een correcte implementatie en naleving van de wet. Door toe te treden tot het Afsprakenstelsel verklaart de Aangeslotene te voldoen aan de wet én de aanvullende afspraken.
Toepassings-gebied AVG | Het afsprakenstelsel Zorgeloos Vastgoed bepaalt dat Aangeslotenen ingeschreven dienen te zijn in een handelsregister in de EU. Inschrijving in een handelsregister in de EU impliceert ofwel een vestiging in de EU, ofwel ondernemingsactiviteiten in de EU. Derhalve is de AVG van toepassing op deelnemers aan het afsprakenstelsel. |
Bijzondere persoonsgegevens | Binnen het afsprakenstelsel worden geen bijzondere persoonsgegevens verwerkt. |
Verwerkings-verantwoordelijke vs. verwerker | In het afsprakenstelsel Zorgeloos Vastgoed worden Dienstverleners aangemerkt als verwerkingsverantwoordelijken, die met behulp van Softwareleverancier Dienstverleners (Verwerkers) hun diensten leveren. Aan de andere kant staat de consument, die middels een Softwareleverancier Consument (verwerkingsverantwoordelijke) diensten afneemt binnen het afsprakenstelsel. Dit hangt echter altijd af van individuele omstandigheden en zal altijd bepaald moeten worden door de individuele partijen. |
Juistheid en actualiteit | Ten aanzien van de juistheid en actualiteit van gegevens zijn binnen het afsprakenstelsel aanvullende afspraken gemaakt die toezien op:
Daarnaast dienen, conform de AVG, verwerkingsverantwoordelijken altijd processen en procedures ingericht te hebben waarmee de consument zijn rechten (artikelen 15 t/m 23 AVG kan uitoefenen). |
Gegevens-verwerking: grondslag en doeleinden | Conform wettelijke bepalingen is in het afsprakenstelsel Zorgeloos Vastgoed vastgelegd dat er ofwel een expliciete toestemming, ofwel een wettelijke grondslag moet zijn voor de verwerking. Behoudens in geval van wettelijke grondslag is voorgeschreven dat bij het verzoek tot delen de Consument altijd in de gelegenheid moet worden gesteld om te weigeren en/of zijn keuze uit te stellen. Om de consument duidelijkheid te verschaffen over verwerkingsdoeleinden schrijft het afsprakenstelsel een niet-limitatieve lijst voor. Deze doeleinden zijn vastgelegd in een taxonomie, waardoor Softwareleveranciers in staat zijn een uitleg in klare taal toe te voegen. Op termijn ontwikkelt dit zich tot een uitgebreidere set aan afspraken die ertoe bijdragen dat de consument altijd een goed geïnformeerde en vrije keuze kan maken. Ten aanzien van bewaartermijnen schrijft het afsprakenstelsel geen aanvullende beperkingen voor. Tot slot is het vastleggen van de ‘transacties’ in het stelsel, de zogenaamde logging, verplicht gesteld voor zowel de Dienstverlener als de Softwareleverancier Consument. |
Proportionaliteit en subsidiariteit | In het afsprakenstelsel Zorgeloos Vastgoed is onder andere in de Architectuur en technische specificaties rekening gehouden met het proportionaliteits- en subsidiariteitsbeginsel. Op die manier is gestreefd naar afspraken waarbij niet meer gegevens worden verwerkt dan noodzakelijk zijn het behalen van het doeleinde (gegevensbescherming door ontwerp en door standaardinstelling). Zorgeloos Vastgoed werkt samen met de vastgoedketen aan eenduidige afspraken over een minimale gegevensset voor de diensten die met het afsprakenstelsel bediend worden. Vanwege de unieke en vaak concurrerende elementen in diensten, en de daarvoor benodigde gegevens, zal dit een groeimodel zijn. |
Grondslagen: toestemming | Het afsprakenstelsel is gebaseerd op expliciete toestemming - voor zover er geen wettelijke grondslag is - als invulling van regie op gegevens, waarbij de voorschriften omtrent de voorwaarden van de handeling (van toestemming verlenen) als afspraken zijn opgenomen. Deze expliciete toestemming doet geen afbreuk aan de noodzaak voor verwerkingsverantwoordelijken en verwerkers om ten alle tijden zelf de grondslag voor verwerking vast te stellen, te (kunnen) verdedigen en alle daarbij behorende randvoorwaarden te realiseren. Expliciete toestemming wordt gerealiseerd door middel van een standaard protocol waaraan verzoeken tot delen van gegevens worden gepresenteerd aan de Consument. Hierin staan de minimale vereisten omtrent de gegevens en de metagegevens. Tenslotte verkrijgen verwerkingsverantwoordelijken en verwerkers binnen het afsprakenstelsel de additionele verantwoordelijkheid om toestemmingen op een toegankelijke en duurzame manier te registreren. |
Rechten van de consument | Consumenten kunnen hun rechten uitoefenen jegens de Softwareleverancier Consument voor de gegevens die verwerkt worden binnen de omgeving die aan Consument ter beschikking staat. Verzoeken die gebaseerd zijn op een recht dat de betrokkene toekomt dienen daarom rechtstreeks aan de Softwareleverancier Consument gericht te worden indien het gaat om persoonsgegevens die verwerkt worden in deze omgeving. Specifiek voor de Softwareleverancier Consument is in de Aansluitovereenkomst nog opgenomen dat Consumenten worden geïnformeerd over hoe zij rechten in deze bij de Softwareleverancier Consument kan uitoefenen. Consumenten kunnen daarnaast uiteraard ook hun rechten jegens de Dienstverlener uitoefenen. Echter voorziet het afsprakenstelsel Zorgeloos Vastgoed niet in een relatie tussen Consument en Dienstverlener. Het uitoefenen van deze rechten gaat daarmee dus buiten het stelsel om. Zorgeloos Vastgoed spant zich daarnaast in om interoperabiliteit tussen de verschillende Softwareleveranciers Consumenten te bewerkstelligen, waarmee het recht op overdraagbaarheid ook een praktische toepassing vindt. |
Verplichtingen verwerkings-verantwoordelijke | Binnen het afsprakenstelsel Zorgeloos Vastgoed zijn over het algemeen Dienstverleners verwerkingsverantwoordelijken, die met behulp van Softwareleverancier Dienstverleners (verwerkers) hun diensten leveren. Aan de andere kant staat de consument, die middels een Softwareleverancier Consument (verwerkingsverantwoordelijke) diensten afneemt binnen het afsprakenstelsel. Partijen zijn ten alle tijden zelf verantwoordelijk om te bepalen of en wanneer zij verwerker en/of verwerkingsverantwoordelijke zijn. Onderdeel van het afsprakenstelsel is een aanvullend Normenkader Informatiebeveiliging. Aangeslotenen dienen aantoonbaar te voldoen aan dit normenkader. Deze normen gelden als zogenaamde baseline om de veiligheid en betrouwbaarheid van het stelsel te borgen. Echter, wederom zijn partijen ten alle tijden zelf verantwoordelijk om voldoende passende maatregelen te nemen. Door de functionele en technische afspraken wordt getracht gegevensbescherming en dataminimalisatie te borgen. Het uitgangspunt is dat niet meer gegevens worden gedeeld dan strikt noodzakelijk. Daarbij is echter sprake van een groeimodel: veel informatiebronnen zijn enkel als complete set te ontsluiten. Dit krijgt de nodige aandacht in de doorontwikkeling van het afsprakenstelsel. Ten aanzien van incidenten en datalekken is in de Aansluitovereenkomst opgenomen dat Aangeslotenen Zorgeloos Vastgoed onverwijld informeren, naast de overige uit de AVG voortvloeiende verplichtingen. Zorgeloos Vastgoed kan na zorgvuldige afweging een impact analyse uitvoeren op de gevolgen voor het stelsel als geheel, en dit te delen met andere partijen indien dit nodig wordt geacht. |
Verplichtingen verwerker | In artikel 8 van de Aansluitovereenkomst zijn, aanvullend op de AVG, verantwoordelijkheden van een Aangeslotene jegens derden, waaronder (sub)verwerkers van persoonsgegevens, opgenomen. Daarmee zijn ook de verplichtingen die voortvloeien uit het Normenkader Informatiebeveiliging van toepassing op deze derden. Aangeslotene is verantwoordelijk voor de controle en naleving hiervan. |