De boete voor het niet nakomen van uw verplichtingen op basis van de Algemene Verordening Gegevensbescherming (AVG) kan oplopen tot wel miljoenen euro's! Het is belangrijk om te voldoen aan de AVG om ook het vertrouwen van uw klanten en andere belanghebbenden te behouden. 

Wij adviseren u om regelmatig uw processen en beleid te evalueren om ervoor te zorgen dat deze in lijn zijn met de AVG. Daarom delen wij enkele praktische tips met u.

Drie tips voor een adequaat privacybeleid

Tip 1: Stel een verwerkersovereenkomst op

Werkt u met een beveiligingsbedrijf dat uw bouwterrein bewaakt? Of huurt u personeel in via een uitzendbureau en deelt u de persoonsgegevens van uw uitzendkrachten met een derde partij, zoals uw accountant? Besteedt u de projectadministratie uit aan een adviesbureau? In deze voorbeelden verwerkt een andere partij namens u persoonsgegevens. Het is dan verplicht om met hen een verwerkingsovereenkomst op te stellen, waarin u de gemaakte afspraken over het beschermen van persoonsgegevens vastlegt.

Tip 2: Privacyreglement voor de Bouw & Infra sector

In de Bouw & Infra sector is een zorgvuldig opgesteld privacyreglement van groot belang. In dit reglement moet u richtlijnen opnemen voor:

• het verzamelen, verwerken en bewaren van de persoonsgegevens van o.a. uw klanten, websitebezoekers, werknemers en de werknemers van uw onderaannemers;
• de grondslag (reden) voor de verwerking van persoonsgegevens;
• de duur voor het bewaren van de persoonsgegevens; 
• de maatregelen die worden genomen om deze gegevens veilig te bewaren.

Door het reglement nauwkeurig te implementeren en strikt te handhaven, beperkt u mogelijke risico’s op datalekken, privacy-inbreuken en juridische geschillen tot een minimum. 

Tip 3: Datalek: kom snel in actie

Bij een datalek belanden persoonsgegevens in verkeerde handen. Dit kan bijvoorbeeld gebeuren door menselijke fouten, een hack of technische problemen. Een datalek kan al snel ontstaan. Denk daarbij aan het verzenden van een nieuwsbrief over uw bouwprojecten naar relaties, waarbij de ontvangers de e-mailadressen van anderen kunnen zien. 

Als u een datalek ontdekt, moet u meteen in actie komen:

• maak een risicoschatting en beoordeel of het datalek (binnen 72 uur) gemeld moet worden bij de Autoriteit Persoonsgegevens;
• informeer in bepaalde situaties de betrokkenen;
• neem maatregelen om de schade te beperken, zoals het verrichten van een onderzoek naar de oorzaak, het wijzigen van wachtwoorden en/of het updaten van uw software. 

Risico op boetes 

Zowel de verwerkingsverantwoordelijke als de verwerker kunnen worden onderzocht en beboet door de Autoriteit Persoonsgegevens als zij niet voldoen aan de vereisten van de AVG. Deze autoriteit houdt rekening met diverse factoren: 

• de ernst en duur van de inbreuk;
• het aantal betrokkenen; 
• de omvang van de schade die is toegebracht aan de betrokkenen.

Persoonsgegevens in de bouw 

De Algemene Verordening Gegevensbescherming (AVG) beschermt de privacy van personen van wie persoonsgegevens worden verwerkt. Als bouwondernemer verwerkt u dagelijks persoonsgegevens. Namen en adressen van uw werknemers, klanten, sollicitanten, maar ook van onderaannemers, zzp’ers en leveranciers. Geeft u bijvoorbeeld toegangspassen uit om de bouwplaats te betreden? Dan verzamelt u ook persoonsgegevens, zoals ID-nummers en wellicht foto’s voor identificatiedoeleinden. Hangen er camera’s op de bouwplaats? Met deze beelden kunnen personen worden geïdentificeerd, dus ook dan verwerkt u persoonsgegevens. 

Waarom persoonsgegevens verwerken?

Voor het verwerken van persoonsgegevens heeft u op basis van de AVG een grondslag nodig. Dit betekent dat u een goede reden moet hebben om deze gegevens te verwerken. Die reden moet vermeld staan in de AVG. Denk hierbij aan toestemming van de betreffende persoon, bijvoorbeeld een bezoeker op uw website die een contactformulier invult. Ook de uitvoering van een overeenkomst met een particuliere klant kan een grondslag zijn voor de verwerking van persoonsgegevens zoals namen, adressen en bankgegevens. 

Heeft u te maken met het verwerken van persoonsgegevens van de werknemers van uw onderaannemer in het kader van de Wet Ketenaansprakelijkheid? Dan is de verwerking van de persoonsgegevens noodzakelijk om aan een wettelijke verplichting te voldoen. Tot slot kan sprake zijn van een gerechtvaardigd belang voor het verwerken van persoonsgegevens, bijvoorbeeld om fraude of oplichting tegen te gaan.

Verwerkingsverantwoordelijke versus verwerker

De verwerkingsverantwoordelijke bepaalt het 'waarom' en 'hoe' van de gegevensverwerking, terwijl de verwerker handelt volgens de instructies van de verwerkingsverantwoordelijke. Beiden zijn verantwoordelijk voor het naleven van de AVG, terwijl hun specifieke verplichtingen en verantwoordelijkheden van elkaar verschillen. 

Meer weten?

ABAB Legal is graag van betekenis. Door kennis te delen, advies te geven en voor inzicht te zorgen. Wilt u meer weten over AVG of hulp bij privacy-gerelateerde vraagstukken? Neem dan contact op met Barbara Brans, jurist arbeidsrecht en privacyrecht, telefoonnummer 06-57132324 of stuur Barbara  een e-mail.