Dagelijks betreden medewerkers van woningcorporaties de huizen van huurders voor reparaties. Meestal zijn de huizen netjes en is er niets aan de hand. Toch zien medewerkers van woningcorporatie ook situaties waar hulp van een overheidsinstelling bij nodig is. Voorbeelden van deze situaties zijn huurders die naar alle waarschijnlijkheid verslaafd zijn, huurders met een geestelijke stoornis of illegale praktijken in de woning. Voor dergelijke problematiek willen woningcorporaties vaak een overheidsinstelling inschakelen. Maar wanneer mag je de gegevens van huurders delen met een overheidsinstelling? Wat zijn de voorwaarden hiervoor?
In deze blogserie belichten we privacyonderwerpen binnen woningcorporaties. De woningcorporaties krijgen praktische handvatten aangeboden om het inrichten van de privacymaatregelen te versimpelen. Deze blog gaat over de gegevensdeling met overheidsinstellingen.
Persoonsgegevens binnen de woningcorporatie
Het verwerken van persoonsgegevens mag niet zomaar. De Algemene verordening gegevensbescherming (AVG) bepaalt bijvoorbeeld dat de verwerking van persoonsgegevens alleen mag als hier een grondslag voor is. Daar biedt de AVG zes mogelijkheden voor. Ook dient de woningcorporatie de basisprincipes van de AVG, zoals data-minimalisatie, juistheid en bewaartermijnen te volgen. Onder deze basisprincipes valt ook het principe van doelbinding. Dit houdt in dat een woningcorporatie persoonsgegevens alleen voor een vooraf vastgesteld doel mag verwerken.
Woningcorporaties zullen zwaar leunen op de grondslag ‘uitvoering van de huurovereenkomst met de huurder’. De gegevens van de huurder worden dan opgeslagen in een dossiersysteem zoals XBIS, Viewpoint of Tobias. Het doel is om de gegevens van de huurder ordelijk op te slaan en om een dossier over de huurder te kunnen opbouwen.
Aan dit dossier worden onder andere reparatieverzoeken, overlastmeldingen of zorgmeldingen toegevoegd. Een aantal van deze meldingen wordt niet alleen op basis van de grondslag van de huurovereenkomst verwerkt. De Woningwet bepaalt namelijk dat een woningcorporatie een bijdrage levert aan de leefbaarheid in de directe nabijheid van de woongelegenheden. Dit is een taak van algemeen belang voor de woningcorporatie, en dat is ook een mogelijke grondslag uit de AVG. Om deze reden vallen meldingen die over de leefbaarheid in de omgeving gaan, ook wel leefbaarheidsmeldingen, onder de grondslag ‘taak van algemeen belang’. Het doel is dan ook duidelijk: het vergroten van de leefbaarheid in de omgeving. Maar betekent dat ook dat je deze gegevens zomaar mag delen met een overheidsinstelling?
Convenanten tussen overheidsinstellingen
Het komt voor dat de woningcorporatie, in het kader van leefbaarheidsmeldingen, een overheidsinstelling in wil schakelen (zoals de OGGZ, Veilig Thuis, Politie of Gemeente). Om de overheidsinstelling hierover in te lichten, is het noodzakelijk dat de gegevens van de huurder met de ingeschakelde overheidsinstelling gedeeld worden.
Zoals eerder vermeld, is er altijd een grondslag nodig voor de verwerking van persoonsgegevens. Voor het delen van huurdersgegevens door de woningcorporatie met een overheidsinstelling kunnen de huurdersgegevens op de grondslag van het originele doeleinde verwerkt worden. De gegevens van de huurder zijn origineel verzameld voor het doeleinde om de huurovereenkomst tot stand te laten komen, maar ook voor het doeleinde om de leefbaarheid te kunnen vergroten. Dit laatste doeleinde heeft als grondslag de taak van algemeen. Op deze grondslag kan het delen van de persoonsgegevens met een overheidsinstelling gebaseerd worden als een verdere verwerking. Hiervoor zal wel een verenigbaarheidstoets plaats moeten vinden zoals benoemd is in artikel 6 lid 4 van de AVG. De ontvangende overheidsinstelling heeft ook een grondslag nodig voor het ontvangen en verder gebruik van die gegevens. Vaak biedt de taak van algemeen belang voor de ontvangende overheidsinstelling een uitkomst. Naast de grondslag zal natuurlijk ook voldaan moeten worden aan de basisprincipes die volgen uit de AVG.
Wanneer een grondslag aanwezig is voor het ontvangen van de gegevens en het verstrekken van de gegevens gebaseerd kan worden op een eerdere verwerking, is het belangrijk om afspraken te maken over de uitwisseling van gegevens. Deze afspraken worden vaak opgenomen in een convenant. Wanneer het convenant alleen ziet op de data-uitwisseling, dan kan het convenant ook een data-uitwisselingsovereenkomst heten. Een convenant bij woningcorporaties bevat vaak onderwerpen als: het tegengaan van (illegale) spookbewoning, het bevorderen van de juistheid van de Basisregistratie Persoonsgegevens, het bijdragen aan de hulp- en dienstverlening aan OGGZ-cliënten of het efficiënter regelen van schuldhulpverlening. Voor dit laatste onderwerp heeft de brancheverenging van de woningcorporaties, Aedes, een standaard convenant opgesteld.
Een convenant bevat concrete afspraken over de reden voor de samenwerking, welke persoonsgegevens gedeeld gaan worden en wat de verantwoordelijkheden van beide partijen zijn. Ook worden afspraken gemaakt over hoe om te gaan met datalekken, welke beveiligingsmaatregelen worden genomen en welke partij reageert op verzoeken van betrokkenen, in dit geval de huurders.
Data Protection Impact Assessments (DPIA’s)
Het delen van huurdersgegevens met een overheidsinstelling kan snel een hoog risico opleveren. Hierom zal, naast een grondslag en het voldoen aan de basisprincipes van de AVG, een DPIA vaak passend zijn. De Autoriteit Persoonsgegevens geeft namelijk in haar lijst van verplichte DPIA’s aan dat voor een aantal verwerkingen met een hoog risico een DPIA uitgevoerd moet worden. Eén van die verwerkingen is fraudebestrijding.
In een DPIA wordt het gehele proces onder de loep genomen. Voor een volledige uitvoering van de DPIA is het verstandig dat alle convenantpartners hieraan meewerken. Hierin komen onder andere de (vaak meerdere) doeleinden aan bod, de persoonsgegevens die verwerkt gaan worden, de gebruikte grondslagen en de noodzakelijkheid en evenredigheid van het delen van de huurdersgegevens. Een belangrijke stap is vervolgens om de privacyrisico’s voor de betrokkenen te inventariseren. Wat kan er allemaal misgaan tijdens dit gehele proces? Denk tot slot na over maatregelen om die risico’s zo veel mogelijk weg te nemen. Op deze wijze is het risico op datalekken een stuk kleiner en zal het proces in het algemeen meer AVG-compliant zijn.
Conclusie
Woningcorporaties komen dagelijks veel tegen in en rondom de woningen van hun huurders. Wanneer de corporatie zorgen heeft over de leefbaarheid, schakelt zij graag met een overheidsinstelling om de leefbaarheid te verbeteren. Het is aan te raden om een convenant op te stellen over de gegevensdeling met de overheidsinstelling. In dit convenant maken partijen duidelijke afspraken over het delen van de persoonsgegevens tussen beide organisaties. Wanneer deze verwerking een hoog risico oplevert voor de huurders, is een DPIA passend (en verplicht). Partijen kunnen de DPIA samen opstellen, zodat het proces duidelijk is, dat de risico’s in kaart gebracht worden en dat de juiste maatregelen genomen worden. Hiermee kan de leefbaarheid van de wijk op een privacyvriendelijke manier vergroot worden.
Heb je hulp nodig bij het opstellen van een convenant? Of weet je niet goed hoe een DPIA uitgevoerd moet worden? ICTRecht helpt je graag verder! Kijk voor informatie over DPIA’s hier of neem contact met ons op om een convenant op te stellen.
