Een 70%-traject genereert aanzienlijk meer persoonsgegevens dan een gemiddeld huurproces. U weet wie er woont op welk adres, hoe mensen reageren op uitnodigingen, of ze aanwezig waren bij informatieavonden, hoe ze hebben gestemd en of ze bezwaar hebben gemaakt. Al die gegevens vallen onder de AVG.
In de praktijk worden drie fouten structureel gemaakt.
Valkuil 1 — Te veel gegevens verzamelen
De meest voorkomende fout. Corporaties verzamelen gegevens omdat ze die misschien nodig hebben, of omdat ze het systeem nu eenmaal zo inrichten. Een voorbeeld: bewonersprofielen die naast naam en adres ook de gezinssituatie, de nationaliteit en eventuele taalbarrières vastleggen. Voor de kennisgeving is dat laatste relevant — taal — maar het eerste niet.
De AVG vereist dataminimalisatie: u verwerkt alleen de gegevens die strikt noodzakelijk zijn voor het doel. In een 70%-traject zijn dat: identificatie (wie is de huurder?), contact (hoe bereikt u hen?), en stem (heeft de huurder ingestemd?). Alles daarboven verdient een expliciete rechtvaardiging.
Wat u kunt doen: maak vóór het traject een gegevensoverzicht. Welke gegevens heeft u nodig voor welk doel? Leg dat vast in de DPIA.
Valkuil 2 — Gegevens staan overal
In de typische corporatiewerkwijze staan bewonersgegevens in meerdere systemen tegelijk: het primaire systeem, een projectmap op SharePoint, een Excel voor de stemregistratie, e-mails in Outlook en soms ook nog uitgeprinte lijsten. Dat is niet alleen inefficiënt — het is een AVG-risico.
Als u niet kunt aangeven waar alle kopieën van een bewonersdossier zijn opgeslagen, kunt u ook niet voldoen aan een verzoek tot inzage of verwijdering. En bij een datalek is de schade moeilijk te beperken als de data op tien plekken staat.
Wat u kunt doen: hanteer één systeem als bron van waarheid voor bewonersgegevens binnen het project. Exporteer niet tenzij noodzakelijk. Verwijder tussentijdse werkkopieën.
Valkuil 3 — Gegevens worden te lang bewaard
Na afloop van een 70%-traject bewaren corporaties de volledige bewonersgegevens soms jaren — voor het geval er nog een rechtszaak komt, of voor interne rapportage. Dat is begrijpelijk, maar juridisch kwetsbaar.
De AVG vereist dat persoonsgegevens niet langer worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Voor een afgerond renovatieproject geldt: de gegevens die nodig zijn voor bewijsdoeleinden mogen langer worden bewaard dan de gegevens die alleen voor de uitvoering nodig waren.
Wat u kunt doen: stel een retentiebeleid op voor renovatietrajecten. Leg vast welke gegevens hoe lang worden bewaard en waarom. Automatische degradatie na vijf jaar is een goede maatstaf voor operationele gegevens.
Wat u altijd moet hebben
Ongeacht de omvang van het project heeft u de volgende documenten nodig:
- Een verwerkersovereenkomst met elke partij die namens u persoonsgegevens verwerkt
- Een DPIA als de verwerking een hoog privacyrisico oplevert — wat bij een 70%-traject al snel het geval is
- Een register van verwerkingsactiviteiten dat het 70%-traject beschrijft
- Een procedure voor het afhandelen van inzage- en verwijderingsverzoeken
Samenvatting
Privacy bij renovaties is geen checkbox. Het begint bij de vraag welke gegevens u werkelijk nodig heeft, gaat via de vraag waar die gegevens staan en eindigt bij de vraag hoe lang u ze bewaart. Corporaties die dat systematisch aanpakken, hoeven nooit te zoeken als de DPO een vraag stelt.