AVG in de bouw: snel voldoen aan de wetgeving

AVG in de bouw

Iedere organisatie in Nederland is verplicht om persoonsgegevens te beschermen. Dat is zo sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018. Maar hoe pak je dit nu precies aan in de bouw? In dit artikel zetten we op een rij wat de AVG-regels zijn, waarom het belangrijk is om deze na te leven en hoe het AVG-Programma daarbij kan helpen.

Het is voor veel ondernemers in de bouw een uitdaging om te voldoen aan de AVG-wetgeving. Privacyrisico’s ontstaan vaak ongemerkt. Bijvoorbeeld bij het aannemen van nieuwe medewerkers of het installeren van nieuwe software. Hoe zorg je ervoor dat dit AVG-proof gebeurt?

AVG-Programma biedt een oplossing voor de privacy uitdagingen van vandaag. Het ondersteunt de bouw op het gebied van ICT, scholing, organisatie en juridische documenten om aan de AVG wetgeving te voldoen. Met AVG-Programma bieden we je de mogelijkheid om regelmatig te controleren of de genomen maatregelen nog steeds voldoende zijn. Zo kun je erop vertrouwen dat het handelen van jouw organisatie in lijn is met de AVG. Dat is belangrijk, want zo voorkom je onder andere reputatieschade en (hoge) boetes wegens het niet naleven van de AVG.

Probeer AVG-Programma 30 dagen gratis

Wil je eenvoudig voldoen aan de AVG regels? AVG-Programma helpt je te doen wat nodig is.

  • toets je organisatie en neem noodzakelijke maatregelen
  • maak gebruik van alle juridische documenten
  • behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt

Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.

AVG-onderdelen

In de bouwsector worden persoonsgegevens verwerkt in verschillende contexten, bijvoorbeeld bij het uitvoeren van bouwprojecten, het aannemen van personeel en het onderhoud van gebouwen.

1. Uitvoeren van bouwprojecten
Tijdens de uitvoering van bouwprojecten heb je te maken met gegevens van bijvoorbeeld klanten, leveranciers, installateurs en onderaannemers.

2. Personeelsbeheer
Je hebt als bedrijf in de bouw ook toegang tot persoonlijke gegevens van werknemers, zoals contactgegevens, bankrekeningnummers, loon- en arbeidsvoorwaarden, medische informatie en prestatiegegevens.

3. Onderhoud en renovatie
Bij onderhoud en renovatie worden ook persoonlijke gegevens verzameld, bijvoorbeeld van huurders, eigenaren en andere betrokkenen. Deze gegevens kunnen bijvoorbeeld namen, adressen, contactgegevens en financiële gegevens omvatten.

Je moet ervoor zorgen dat deze gegevens veilig worden bewaard en alleen worden gebruikt voor het doel waarvoor ze zijn verzameld. Daarnaast moet je ervoor zorgen dat deze gegevens niet toegankelijk zijn voor ongeautoriseerde personen en dat ze op een veilige manier worden vernietigd als ze niet meer nodig zijn.

De 7 belangrijkste AVG-regels in het kort

Het is dus belangrijk om te voldoen aan de AVG, ook wel bekend als de GDPR. Hieronder vind je de 7 belangrijkste regels die je in de bouw moet naleven om te voldoen aan de AVG.

1.       Check of je persoonsgegevens mag verwerken
Je mag als organisatie alleen persoonsgegevens verwerken als je hier toestemming voor hebt gekregen van de betrokkene. Deze toestemming moet vrijwillig gegeven worden, specifiek zijn en op ieder moment weer ingetrokken kunnen worden.

2.       Vertel je klanten wat hun rechten zijn
Het is belangrijk dat je klanten weten wat hun rechten zijn op het gebied van privacy. Maak daarom een privacyverklaring in eenvoudige taal waarin je uitlegt wat je doet met persoonlijke gegevens. Hierbij moet je onder andere vermelden waarom het belangrijk is voor je klanten dat je hun gegevens verwerkt. Ook moet je aangeven hoelang je gegevens bewaart. 

3.       Maak een overzicht van hoe je gegevens verwerkt
Ook in de bouw ben je verplicht om een overzicht te maken van hoe je persoonsgegevens verwerkt. In dit register leg je vast welke persoonsgegevens je verwerkt en waarom je dit doet. Ook moet je vermelden waar deze gegevens vandaan komen en met wie je ze deelt. Dit register heb je bijvoorbeeld nodig als klanten je vragen hun gegevens aan te passen of te verwijderen.

4.       Onderzoek of je een Data Protection Impact Assessment (DPIA) moet maken
Verwerk je gegevens met een hoog privacyrisico? Dan moet je een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een uitgebreid onderzoek om de risico’s van gegevensverwerking in kaart te brengen. Op basis van deze DPIA kun je maatregelen nemen om de privacyrisico’s te verkleinen.

5.       Maak privacy de standaard in je producten en diensten
Als je nieuwe producten of diensten ontwerpt, moet je al in de ontwerpfase rekening houden met privacy. Dit wordt ‘privacy by design’ genoemd. Verwerk daarom niet meer persoonsgegevens dan nodig is: ‘privacy by default’. Zorg er bijvoorbeeld voor dat je geen locatie van gebruikers registreert zonder goede reden. Ook is het belangrijk om niet meer gegevens te vragen dan nodig is, bijvoorbeeld bij het abonneren op een nieuwsbrief.

6.       Documenteer en meld datalekken
Als er sprake is van een datalek, dan ben je verplicht dit te melden bij de Autoriteit Persoonsgegevens. In sommige gevallen moeten ook de betrokkenen op de hoogte worden gebracht. Een datalek kan bijvoorbeeld ontstaan door een hack of een verloren USB-stick.

7.       Maak een goede verwerkersovereenkomst
Als organisatie moet je een verwerkersovereenkomst afsluiten met alle partijen die persoonsgegevens voor jou verwerken. In deze overeenkomst leg je afspraken vast over onder andere de beveiliging van de persoonsgegevens en de verantwoordelijkheden van de verwerker.

AVG in de bouw; een praktijkvoorbeeld

In de bouw wordt veel samengewerkt, bijvoorbeeld door aannemers, woningcorporaties en bouwbedrijven. Soms moet tussen deze partijen een verwerkersovereenkomst worden afgesloten, dat is afhankelijk van de situatie. Er wordt onderscheid gemaakt tussen de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke is de partij die bepaalt waarom en hoe persoonlijke gegevens worden verwerkt. De verwerker is de partij die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Stel, een aannemer ontvangt van een woningcorporatie de opdracht om onderhoud uit te voeren aan een bepaald gebouw. Daartoe worden contact- en adresgegevens van de bewoners uitgewisseld. De aannemer neemt zelf contact op met de bewoners om het onderhoud in te plannen en uit te voeren.

In dit geval zijn zowel de aannemer als de woningcorporatie verwerkingsverantwoordelijke. Er hoeft geen verwerkersovereenkomst afgesloten te worden. Dat komt omdat in dit geval het uitwisselen van persoonsgegevens is gericht op het uitvoeren van het onderhoud en niet op het verwerken van persoonsgegevens.

Heb je hier vragen over? Check dan de website van de Autoriteit Persoonsgegevens over dit onderwerp

AVG-proof door de hele organisatie heen

Als organisatie heb je een grote verantwoordelijkheid als het gaat om de bescherming van persoonsgegevens. Menselijke fouten zijn een veelvoorkomende oorzaak van datalekken. Het is daarom belangrijk om medewerkers bewust te maken van de risico’s en hen te trainen in het nemen van de juiste voorzorgsmaatregelen.

AVG-Programma zorgt niet alleen voor een stappenplan om aan de AVG-regels te voldoen. We bieden ook praktische trainingen voor je medewerkers. Zo kan je hen bewust maken van de privacyrisico’s en hoe deze te voorkomen. Het programma is zo opgezet dat het niet veel tijd vraagt en het niveau van medewerkers getoetst kan worden. Zo kun je er zeker van zijn dat de privacy van klanten ook door je medewerkers op de juiste manier wordt beschermd.

Meestgestelde vragen over de AVG regelgeving in de bouw

Wat moet ik doen om te voldoen aan de AVG regels voor de bouw?

Dit is een veelvoorkomende vraag vanuit de bouw wanneer organisaties zoeken naar tips om te voldoen aan de AVG. Onze gratis AVG-checklist is een goed startpunt om te kijken hoe je ervoor staat.

Moet ik een Functionaris voor de Gegevensbescherming (FG) aanstellen?

Dit hangt af van verschillende factoren. Denk aan de aard en omvang van de gegevensverwerking. In sommige gevallen is het verplicht, in andere gevallen niet. Het AVG-Programma toont aan welke eisen je moet voldoen.

Moet ik alle datalekken melden?

Veel organisaties weten niet wanneer ze verplicht zijn om datalekken te melden aan de Autoriteit Persoonsgegevens en/of betrokkenen. De AVG vereist dat ernstige datalekken direct worden gemeld. Toch zijn de richtlijnen over wanneer iets als een ernstig datalek moet worden beschouwd soms vaag. De experts van AVG-Programma helpen om te zorgen voor een goede afhandeling bij een datalek.

Meer nieuws

AVG in de bouw: snel voldoen aan de wetgeving

Iedere organisatie is verplicht om persoonsgegevens te beschermen. Ook als je werkt binnen de bouw. Hoe kun je aan de regels voldoen? Lees meer