Zijn uw klantgegevens wel in veilige handen bij u?

Corporatie / 13 juni 2016
Ronald Koorn
Ronald Koorn
Partner, KPMG

Op privacygebied vinden er zowel nationaal als Europees enkele significante veranderingen plaats. Zo is er sinds 1 januari 2016 de meldplicht datalekken toegevoegd aan de Wet bescherming persoonsgegevens (Wbp) en daarbij de boetebevoegdheid van de toezichthouder Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) opgehoogd van € 4.500 naar € 820.000. Daarnaast is 14 april 2016 de nieuwe Europese privacyverordening aangenomen door het Europees parlement. Deze verordening brengt ook nieuwe verantwoordelijkheden en verplichtingen voor organisaties met zich mee. Het niet naleven daarvan kan een boete van maximaal 4% van de jaaromzet opleveren (of maximaal € 20 miljoen)!

Financiële en reputatieschade

De bovengenoemde veranderingen hebben ook een directe impact op woningcorporaties – organisaties die bij uitstek afhankelijk zijn van de verzameling, verwerking en opslag van (gevoelige) persoonsgegevens van hun (potentiële) huurders. Denk bijvoorbeeld aan huurdersgegevens, leefbaarheidsvraagstukken, inkomensgegevens van de Belastingdienst, eventuele gezinsproblematiek, et cetera. De nieuwe wetgeving brengt niet alleen extra verplichtingen en verantwoordelijkheden met zich mee. Denk aan:

  • het aanstellen van een Privacy Officer
  • gedegen en vastgelegde privacyprocedures
  • het uitvoeren van Privacy Impact Assessments
  • en dergelijke zaken die corporaties moeten implementeren en beheersen

Het brengt ook een verhoogd risico op financiële en reputatieschade. Als er een datalek optreedt, dan kunnen de reeds getroffen privacymaatregelen de boete vermijden of aanzienlijk verlagen.

Bent u voorbereid op veranderingen?

Het is van belang dat corporaties inventariseren welke impact bovenstaande veranderingen hebben op hun organisatie en in hoeverre zij voorbereid zijn op deze veranderingen. Dit betreft overigens zowel klant- als medewerkersgegevens en persoonsgegevens in digitale en in papieren vorm (dossiers).

In de praktijk zien we dat veel corporaties nog niet geheel, en soms geheel niet, klaar zijn voor deze veranderingen en daarmee een verhoogd risico lopen op het vlak van privacy en gegevensbescherming.

Advies voor de corporatie

Ervaringen in andere sectoren leert dat organisaties minimaal 1 à 2 jaar nodig hebben om een set van organisatorische, technische, contractuele en procedurele privacymaatregelen goed in te voeren en te borgen. Bij corporaties komen daarbij ook allerlei complicerende ontwikkelingen kijken, omdat veel persoonsgegevens met derde partijen worden uitgewisseld (onder meer digitalisering, ketensamenwerking, cloudtoepassing, gedetailleerde data-analyses, uitbesteding, e.d.). Ons advies aan u als corporatie is om op korte termijn een privacynulmeting (of ‘Privacy Impact Assessment’) uit te voeren en op basis daarvan een plan van aanpak met verantwoordelijke actiehouders en deadlines op te stellen. U wilt toch ook kunnen verklaren dat uw klantgegevens bij u in veilige handen zijn? Liever in control dan in de media…

Als u geïnteresseerd bent in dit onderwerp, hebben wij 2 interessante bijlagen voor u:

Dit artikel is een bijdrage van Ronald Koorn en Stephan Idema (KPMG) aan de themaweek ‘De digitale corporatie’. Zij zijn werkzaam als consultant bij KPMG Advisory N.V. en hebben de nodige kennis en ervaring in de advisering aan woningcorporaties.