Dagelijks betreden medewerkers van woningcorporaties de huizen van huurders voor reparaties. Meestal zijn de huizen netjes en is er niets aan de hand. Toch zien medewerkers van woningcorporatie ook situaties waar hulp van een overheidsinstelling bij nodig is. Voorbeelden van deze situaties zijn huurders die naar alle waarschijnlijkheid verslaafd zijn, huurders met een geestelijke stoornis of illegale praktijken in de woning. Voor dergelijke problematiek willen woningcorporaties vaak een overheidsinstelling inschakelen. Maar wanneer mag je de gegevens van huurders delen met een overheidsinstelling? Wat zijn de voorwaarden hiervoor?
In deze blog reeks belichten we privacy onderwerpen binnen woningcorporaties. De woningcorporaties krijgen praktische handvatten aangeboden om het inrichten van de privacy maatregelen te versimpelen. Dit eerste blog gaat over de gegevensdeling met overheidsinstellingen.
Persoonsgegevens binnen de woningcorporatie
Het verwerken van persoonsgegevens mag niet zomaar. De Algemene verordening gegevensbescherming (“AVG”) bepaalt bijvoorbeeld dat de verwerking van persoonsgegevens alleen mag als hier een grondslag voor is. Daar biedt de AVG zes mogelijkheden voor. Ook dient de woningcorporatie de basisprincipes van de AVG, zoals data-minimalisatie, juistheid en bewaartermijnen te volgen. Onder deze basisprincipes valt ook het principe van doelbinding. Dit houdt in dat een woningcorporatie persoonsgegevens alleen voor een vooraf vastgesteld doel mag verwerken.
Woningcorporaties zullen zwaar leunen op de grondslag ‘uitvoering van de huurovereenkomst met de huurder’. De gegevens van de huurder worden dan opgeslagen in een dossiersysteem zoals XBIS, Viewpoint of Tobias. Het doel is om de gegevens van de huurder ordelijk op te slaan en om een dossier over de huurder te kunnen opbouwen.
Aan dit dossier worden onder andere reparatieverzoeken, overlastmeldingen of zorgmeldingen toegevoegd. Een aantal van deze meldingen wordt niet alleen op basis van de grondslag van de huurovereenkomst verwerkt. De Woningwet bepaalt namelijk dat een woningcorporatie een bijdrage levert aan de leefbaarheid in de directe nabijheid van de woongelegenheden. Dit is een taak van algemeen belang voor de woningcorporatie, en dat is ook een mogelijke grondslag uit de AVG. Om deze reden vallen meldingen die over de leefbaarheid in de omgeving gaan, ook wel leefbaarheidsmeldingen, onder de grondslag ‘taak van algemeen belang’. Het doel is dan ook duidelijk: het vergroten van de leefbaarheid in de omgeving. Maar betekent dat ook dat je deze gegevens zomaar mag delen met een overheidsinstelling?
Convenanten tussen overheidsinstellingen
Leefbaarheidsmeldingen kunnen dusdanig erg zijn dat de woningcorporatie een overheidsinstelling in wil schakelen (zoals de OGGZ, Veilig Thuis, Politie of Gemeente). Het is dan handig om de gegevens van de huurder te delen, zodat de ingeschakelde overheidsinstelling meteen volledig op de hoogte is.
Zoals eerder vermeld, is er altijd een grondslag nodig voor de verwerking van persoonsgegevens. Ook voor het delen van huurdersgegevens door de woningcorporatie met een overheidsinstelling is een grondslag vereist. De ontvangende overheidsinstelling heeft ook een grondslag nodig voor het ontvangen en verder gebruik van die gegevens. Vaak biedt de taak van algemeen belang voor beide partijen een uitkomst. Zo niet, dan biedt misschien een andere grondslag uitkomst, zoals het gerechtvaardigd belang. Naast de grondslag zal natuurlijk ook voldaan moeten worden aan de basisprincipes die volgen uit de AVG.
Wanneer een grondslag aanwezig is voor het verstrekken en ontvangen van de gegevens, is het belangrijk om afspraken te maken over de uitwisseling van gegevens. Deze afspraken worden vaak opgenomen in een convenant. Wanneer het convenant alleen ziet op de data-uitwisseling, dan kan het convenant ook een data-uitwisselingsovereenkomst heten. Een convenant bij woningcorporaties bevat vaak onderwerpen als: het tegengaan van (illegale) spookbewoning, het bevorderen van de juistheid van de Basisregistratie Persoonsgegevens, het bijdragen aan de hulp- en dienstverlening aan OGGZ-cliënten of het efficiënter regelen van schuldhulpverlening. Voor dit laatste onderwerp heeft de brancheverenging van de woningcorporaties, Aedes, een standaard convenant opgesteld.
Een convenant bevat concrete afspraken over de reden voor de samenwerking, welke persoonsgegevens gedeeld gaan worden en wat de verantwoordelijkheden van beide partijen zijn. Ook worden afspraken gemaakt over hoe om te gaan met datalekken, welke beveiligingsmaatregelen worden genomen en welke partij reageert op verzoeken van betrokkenen, in dit geval de huurders.
Data Protection Impact Assessments (“DPIA’s”)
Het delen van huurdersgegevens met een overheidsinstelling kan snel een hoog risico opleveren. Hierom zal, naast een grondslag en het voldoen aan de basisprincipes van de AVG, een DPIA vaak passend zijn. De Autoriteit Persoonsgegevens geeft namelijk in haar lijst van verplichte DPIA’s aan dat voor een aantal verwerkingen met een hoog risico een DPIA uitgevoerd moet worden. Eén van die verwerkingen is fraudebestrijding.
In een DPIA wordt het gehele proces onder de loep genomen. Voor een volledige uitvoering van de DPIA is het verstandig dat alle convenantpartners hieraan meewerken. Hierin komen onder andere de (vaak meerdere) doeleinden aan bod, de persoonsgegevens die verwerkt gaan worden, de gebruikte grondslagen en de noodzakelijkheid en evenredigheid van het delen van de huurdersgegevens. Een belangrijke stap is vervolgens om de privacyrisico’s voor de betrokkenen te inventariseren. Wat kan er allemaal misgaan tijdens dit gehele proces? Denk tot slot na over maatregelen om die risico’s zo veel mogelijk weg te nemen. Op deze wijze is het risico op datalekken een stuk kleiner en zal het proces in het algemeen meer AVG-compliant zijn.
Conclusie
Woningcorporaties komen dagelijks veel tegen in en rondom de woningen van hun huurders. Wanneer de corporatie zorgen heeft over de leefbaarheid, schakelt zij graag met een overheidsinstelling om de leefbaarheid te verbeteren. Het is aan te raden om een convenant op te stellen over de gegevensdeling met de overheidsinstelling. In dit convenant maken partijen duidelijke afspraken over het delen van de persoonsgegevens tussen beide organisaties. Wanneer deze verwerking een hoog risico oplevert voor de huurders, is een DPIA passend (en verplicht). Partijen kunnen de DPIA samen opstellen, zodat het proces duidelijk is, dat de risico’s in kaart gebracht worden en dat de juiste maatregelen genomen worden. Hiermee kan de leefbaarheid van de wijk op een privacyvriendelijke manier vergroot worden.
Heb je hulp nodig bij het opstellen van een convenant? Of weet je niet goed hoe een DPIA uitgevoerd moet worden? ICTRecht helpt je graag verder! Kijk voor informatie over DPIA’s hier of neem contact met ons op om een convenant op te stellen.
