Een makelaar verwerkt persoonsgegevens van onder meer opdrachtgevers. Maar realiseren ze zich dat op het moment dat gegevens als naam, adres, telefoonnummer en email worden verwerkt in een koopovereenkomst, een huurovereenkomst of in hun CRM-systeem, dit valt onder de Wet bescherming persoonsgegevens (Wbp)?
Het doel van de Wbp is om de privacybelangen van de betrokkene te dienen. Dit wordt gedaan door aan het verwerken van persoonsgegevens regels te verbinden. Onder ‘verwerken’ wordt elke handeling met betrekking tot persoonsgegevens verstaan zoals het verzamelen, gebruiken, opslaan, verstrekken, inzien, verwijderen en vernietigen van persoonsgegevens.
Meldplicht
Persoonsgegevens mogen enkel worden verwerkt wanneer en voor zover dat in overeenstemming is met de Wbp. Onder deze wet valt sinds 1 januari 2016 de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben.
Er is sprake van een datalek wanneer persoonsgegevens worden blootgesteld aan verlies of onrechtmatige verwerking. Een datalek kan ontstaan wanneer een (digitale) database niet goed is beveiligd en daarin wordt ingebroken door een hacker. Een datalek kan ook ontstaan door een kwijtgeraakt dossier, een in de trein vergeten laptop of een verloren USB-stick. Een datalek kan zelfs al ontstaan wanneer een email (met daarin persoonsgegevens verwerkt) wordt gestuurd naar de verkeerde persoon.
Aanzienlijke boetes
Wanneer een datalek ernstige nadelige gevolgen voor de bescherming van persoonsgegevens heeft of een aanzienlijke kans bestaat dat dit gebeurt, moet melding worden gemaakt van het datalek bij de Autoriteit Persoonsgegevens. De door de Autoriteit Persoonsgegevens opgestelde beleidsregels kunnen helpen om te bepalen of hiervan sprake is.
In sommige gevallen moet ook de betrokken persoon (de persoon waarvan de persoonsgegevens zijn gelekt) op de hoogte worden gesteld van het datalek. Dat moet in het geval het datalek waarschijnlijk ongunstige gevolgen heeft voor zijn of haar persoonlijke levenssfeer. Op het overtreden van de meldplicht datalekken staan aanzienlijke boetes van maximaal enkele honderdduizenden euro’s.
Voor elke makelaar is het daarom, maar ook om te kunnen borgen dat netjes met de gegevens van onder andere opdrachtgevers wordt omgegaan, aan te raden om zich te verdiepen in deze materie. Wellicht is het ook handig om een intern protocol op te stellen, zodat men organisatiebreed weet hoe te handelen in een voorkomend geval.
Bron: NVM
