In dit derde deel van de blogserie over woningcorporaties en de Algemene verordening gegevensbescherming (‘AVG’), bespreken we het conceptvoorstel voor de wijziging van de Woningwet (‘de wetswijziging’). Deze wetswijziging is nu ter consultatie aangeboden. De wetswijziging zorgt ervoor dat een verruiming ontstaat voor de persoonsgegevens die verzameld worden voor onder andere het vergroten van de leefbaarheid in de wijk en het verbeteren van het welzijn van de huurder.
In deze blog bespreken we de voorgestelde wijzigingen, welke invloed de verruiming van de Woningwet heeft op het verzamelen van persoonsgegevens voor de leefbaarheid van de wijk en hoe deze wetswijziging zich verhoudt tot de AVG.
Aanleiding voor de wetswijziging
In de Memorie van Toelichting is te lezen dat woningcorporaties de afgelopen jaren steeds meer leefbaarheidsproblematiek ervaren. Dit komt doordat corporatiewoningen voor de laagste inkomens zijn gereserveerd en zorg steeds meer buiten de instellingen gegeven wordt. Door de combinatie van deze factoren en doordat het overgrote deel van het bezit van de woningcorporaties zich in kwetsbare wijken bevindt, hebben huurders van corporatiewoningen in toenemende mate hulp of ondersteuning nodig. Door deze groeiende leefbaarheidsproblematiek worden woningcorporaties vaker geconfronteerd met meldingen over overlast, zorgmeldingen en andere klachten. De woningcorporaties hebben de verplichting uit de Woningwet om de leefbaarheid binnen de wijken te vergroten. Om dit te bereiken, kan het in een aantal situaties wenselijk zijn om medische gegevens op te slaan om een passende benadering te bepalen en uit te voeren. Daarnaast streeft de woningcorporatie ernaar dat hun huurders de juiste zorg kunnen krijgen. Dit is in bepaalde situaties alleen mogelijk als de persoonsgegevens van de huurder gedeeld kunnen worden met zorgaanbieders.
Woningcorporaties mogen momenteel echter geen medische gegevens van hun huurders verzamelen. Medische gegevens zijn namelijk door de AVG aangemerkt als bijzondere persoonsgegevens. Deze bijzondere persoonsgegevens mogen alleen verwerkt worden als een uitzonderingsgrond van de AVG van toepassing is. Een dergelijke uitzonderingsgrond bestaat vaak niet voor de woningcorporaties, waardoor woningcorporaties de meldingen zo algemeen mogelijk moeten opslaan zodat er geen blijk is van een medisch gegeven. Doordat er geen grondslag aanwezig is voor het verzamelen van deze medische gegevens, mogen de medische gegevens natuurlijk ook niet gedeeld worden met zorgaanbieders.
Wijziging van de Woningwet
Om verandering te brengen in deze situatie, heeft de minister van Volkshuisvesting en Ruimtelijke Ordening de wetswijziging opgesteld. Deze wetswijziging introduceert een nieuw artikel voor in de Woningwet. Ten eerste krijgen woningcorporaties de mogelijkheid om medische gegevens te verwerken ten behoeve van het welzijn van de huurder, de leefbaarheid van de wijk, het uitoefenen van een juiste dienstverlening en het aanbrengen van aanpassingen in de woning. Ten tweede mogen woningcorporaties niet alleen medische gegevens van huidige huurders verwerken, maar ook van woningzoekenden om geschikte woningen aan te bieden.
Ten derde wordt het delen van de medische (en gewone) persoonsgegevens met zorgaanbieders mogelijk gemaakt. Deze gegevens mogen alleen gedeeld worden indien dit noodzakelijk is voor het welzijn van de huurder en de leefbaarheid van de wijk vergroot wordt. Omgekeerd krijgen zorgaanbieders ook de mogelijkheid om medische gegevens te delen met de woningcorporaties. Dit mag de zorgaanbieder alleen doen indien dit noodzakelijk is voor de goede hulpverlening of voor ondersteuning met betrekking tot de huurder.
Waarborgen in de wetswijziging
Het verzamelen en delen van deze medische persoonsgegevens mag niet zomaar en is met waarborgen omkleed. De wetswijziging geeft aan dat rekening gehouden moet worden met bewaartermijnen, een informatieplicht en autorisaties tot de medische gegevens.
Als bewaartermijn wordt voorgesteld dat de medische gegevens verwijderd dienen te worden indien een huurder niet meer woonachtig is in een woning van de woningcorporatie. Ook moeten de vergaarde medische persoonsgegevens van woningzoekenden verwijderd worden als een huurovereenkomst met de woningzoekende is aangegaan. De wetswijziging geeft echter niet aan wanneer de medische gegevens van woningzoekenden verwijderd moeten worden indien de woningzoekende zich heeft uitgeschreven. Voor beide bewaartermijnen geldt dat het aan te raden is om deze bewaartermijnen automatisch in te regelen in een ERP-systeem als Viewpoint of Tobias365.
Naast de bewaartermijnen, mogen alleen de daarvoor bevoegde medewerkersbinnen de woningcorporatie toegang krijgen tot de medische gegevens van de huurders. Het op orde hebben van de autorisatiematrix is daarom zeer aan te raden binnen de corporatie. Daarnaast zal actief gehandhaafd moeten worden op de toekenning en verwijdering van de rechten van de medewerkers.
Tot slot moeten de huurders geïnformeerd worden over het verstrekken van de persoonsgegevens aan zorgaanbieders. Deze informatieplicht is onduidelijk geformuleerd op dit moment, want hiermee wordt niet duidelijk gemaakt of een eenvoudige vermelding in de privacyverklaring voldoende is of dat de huurder bij elke verstrekking hiervan op de hoogte gebracht moet worden.
Vergelijking met de grondslagen uit de AVG
In de wetswijziging wordt veel mogelijk gemaakt voor woningcorporaties met betrekking tot het verzamelen en delen van medische persoonsgegevens. Maar hoe verhouden deze wijzigingen zich tot de AVG?
Zoals in deel 1 van deze reeks besproken, heeft iedere verwerking een grondslag nodig uit de AVG. Dat is hier niet anders. De gewone persoonsgegevens met betrekking tot het vergroten van de leefbaarheid kunnen verwerkt worden op basis van de grondslag van de taak van algemeen belang. Deze taak van algemeen belang was terug te vinden in artikel 45 lid 2 onder f van de Woningwet en wordt nu het nieuwe voorgestelde artikel in de wetswijziging. Voor het verwerken van medische gegevens moet worden aangesloten bij een uitzondering in artikel 9 lid 2 van de AVG. Hiervoor komt sub h van dit artikel het meest in aanmerking waarbij verwezen wordt naar het nieuwe voorgestelde artikel in de Woningwet.
Beginselen en verplichtingen uit de AVG
Door de duidelijk verwoorde grondslag kunnen nu medische persoonsgegevens verwerkt worden voor doeleinden met betrekking tot het vergroten van de leefbaarheid in de wijk. Hierdoor wordt het risico bij deze verwerking hoger, waarbij de impact op de huurder hoger zal zijn wanneer de medische gegevens op straat komen te liggen door een datalek. Woningcorporaties zullen de beginselen van de AVG bij de verwerkingen met betrekking tot de wetswijziging moeten herevalueren. Door het hoge risico moeten namelijk aanvullende maatregelen genomen worden. Dit kan gerealiseerd worden door een Data Protection Impact Assessment (‘DPIA’) uit te voeren. Sterker nog, het uitvoeren van een DPIA bij het verzamelen en het delen van medische persoonsgegevens kan verplicht zijn indien dit op een grote schaal plaatsvindt.
Naast het uitvoeren van een DPIA is het belangrijk om met de zorgaanbieder, met wie de (medische) persoonsgegevens gedeeld worden, een data-uitwisselingsovereenkomst of een convenant te sluiten. In deze overeenkomst worden concrete afspraken gemaakt over onder andere de uitwisseling van de persoonsgegevens, voor welke doeleinden de persoonsgegevens gedeeld worden, hoe omgegaan wordt met datalekken en wat de procedure is bij de uitvoering van rechten van betrokkenen.
Benieuwd hoe je het beste een DPIA kan opstellen op dit gebied? Of wil je meer weten over het opstellen van een data-uitwisselingsovereenkomst? Wij helpen je graag verder! Kijk voor informatie over DPIA’s hier of neem contact met ons op om een data-uitwisselingsovereenkomst op te stellen.
