Privacy in de bouwsteigers

De boete voor het niet nakomen van je verplichtingen op basis van de Algemene Verordening Gegevensbescherming (AVG) kan oplopen tot wel miljoenen euro's! Het is belangrijk om te voldoen aan de AVG om ook het vertrouwen van je klanten en andere belanghebbenden te behouden.

We adviseren je om regelmatig je processen en beleid te evalueren om ervoor te zorgen dat deze in lijn zijn met de AVG. Daarom delen we graag een paar praktische tips met je.

Drie tips voor een adequaat privacybeleid

Tip 1: Stel een verwerkersovereenkomst op

Werk je samen met een beveiligingsbedrijf dat je bouwterrein bewaakt? Of huur je personeel in via een uitzendbureau en deel je de persoonsgegevens van je uitzendkrachten met een derde partij, zoals je accountant? Of besteed je de projectadministratie uit aan een adviesbureau? In dit soort gevallen verwerkt een andere partij namens jou persoonsgegevens. Het is dan verplicht om met hen een verwerkersovereenkomst op te stellen, waarin je afspraken maakt over de bescherming van persoonsgegevens.

Tip 2: Privacyreglement voor de Bouw & Infra sector

In de Bouw & Infra sector is een zorgvuldig opgesteld privacyreglement erg belangrijk. In dit reglement neem je richtlijnen op voor:

• het verzamelen, verwerken en bewaren van de persoonsgegevens van onder andere je klanten, websitebezoekers, werknemers en de werknemers van je onderaannemers;
• de grondslag (reden) voor de verwerking van persoonsgegevens;
• de bewaartermijn van de persoonsgegevens;
• de maatregelen die genomen worden om deze gegevens veilig te bewaren.

Door het reglement nauwkeurig te implementeren en strikt na te leven, beperk je de risico’s op datalekken, privacy-inbreuken en juridische problemen tot een minimum.

Tip 3: Datalek: kom snel in actie

Bij een datalek komen persoonsgegevens in verkeerde handen terecht. Dit kan gebeuren door menselijke fouten, een hack of technische problemen. Een datalek kan snel ontstaan. Denk bijvoorbeeld aan het versturen van een nieuwsbrief over je bouwprojecten, waarbij de ontvangers de e-mailadressen van anderen kunnen zien.

Als je een datalek ontdekt, moet je direct actie ondernemen:

• Maak een risicoschatting en beoordeel of het datalek (binnen 72 uur) gemeld moet worden bij de Autoriteit Persoonsgegevens.
• Informeer in sommige gevallen de betrokkenen.
• Neem maatregelen om de schade te beperken, zoals het onderzoeken van de oorzaak, het aanpassen van wachtwoorden en/of het updaten van je software.

Risico op boetes

Zowel de verwerkingsverantwoordelijke als de verwerker kunnen onderzocht en beboet worden door de Autoriteit Persoonsgegevens als zij niet voldoen aan de AVG-eisen. Deze autoriteit kijkt daarbij naar verschillende factoren:

• de ernst en duur van de inbreuk;
• het aantal betrokkenen;
• de omvang van de schade die is toegebracht aan de betrokkenen.

Persoonsgegevens in de bouw

De AVG beschermt de privacy van personen van wie persoonsgegevens worden verwerkt. Als bouwondernemer verwerk je dagelijks persoonsgegevens. Denk aan namen en adressen van je werknemers, klanten, sollicitanten, en ook van onderaannemers, zzp’ers en leveranciers. Geef je bijvoorbeeld toegangspassen uit voor de bouwplaats? Dan verzamel je persoonsgegevens, zoals ID-nummers en mogelijk foto’s voor identificatie. Hangen er camera’s op de bouwplaats? Met deze beelden kunnen personen worden geïdentificeerd, dus ook dan verwerk je persoonsgegevens.

Waarom persoonsgegevens verwerken?

Voor het verwerken van persoonsgegevens heb je volgens de AVG een grondslag nodig. Dit betekent dat je een goede reden moet hebben om deze gegevens te verwerken. Die reden moet in de AVG staan vermeld. Denk aan toestemming van de persoon zelf, zoals een bezoeker van je website die een contactformulier invult. Ook de uitvoering van een overeenkomst met een particuliere klant kan een grondslag zijn, bijvoorbeeld voor het verwerken van namen, adressen en bankgegevens.

Heb je te maken met de verwerking van persoonsgegevens van de werknemers van je onderaannemer in het kader van de Wet Ketenaansprakelijkheid? Dan is de verwerking van die persoonsgegevens noodzakelijk om aan een wettelijke verplichting te voldoen. Tot slot kan er sprake zijn van een gerechtvaardigd belang, bijvoorbeeld om fraude of oplichting tegen te gaan.

Verwerkingsverantwoordelijke versus verwerker

De verwerkingsverantwoordelijke bepaalt het 'waarom' en 'hoe' van de gegevensverwerking, terwijl de verwerker handelt volgens de instructies van de verwerkingsverantwoordelijke. Beiden zijn verantwoordelijk voor het naleven van de AVG, maar hun specifieke verplichtingen en verantwoordelijkheden verschillen van elkaar.

Meer weten?

aaff staat graag voor je klaar. Door kennis te delen, advies te geven en voor inzicht te zorgen. Wil je meer weten over de AVG of hulp bij privacy-gerelateerde vraagstukken? Neem dan contact op met onze juristen arbeidsrecht!