De meest gestelde vragen van de vastgoedsector over GDPR

De GDPR-regelgeving treedt in werking op 25 mei 2018 en staat bij ons bovenaan de agenda. Waarschijnlijk hoorde je de vierletterige afkorting ook al rondzingen op kantoor of bij collega-makelaars. Maar wat is het precies en waarvoor dient het? En – misschien nog veel belangrijker – wat betekent GDPR voor de vastgoedsector en je eigen kantoor? Omdat de wetgeving momenteel vatbaar is voor uiteenlopende interpretaties, is een duidelijk plan van aanpak voor veel ondernemers niet vanzelfsprekend. Daarom behandelen we in dit artikel de meest gestelde GDPR-vragen, toegespitst op jouw sector.

1. Wat is GDPR?

De afkorting GDPR staat voor General Data Protection Regulation (of in het Nederlands: Algemene Verordening Gegevensbescherming). Dit is een nieuwe Europese wetgeving die zich richt op de bescherming van persoonsgegevens.

2. Wanneer is GDPR van kracht?

Op 25 mei 2018.

3. Waarom komt GDPR er?

Sinds 1995 bestaat er al een Europese richtlijn voor de bescherming van persoonsgegevens. Maar in meer dan twintig jaar is het digitale landschap enorm veranderd. Populaire technologieën zoals Google Analytics, Google AdWords, Facebook, cloud storage en Mailchimp bestonden in 1995 nog niet. Net zoals de leverancier van je vastgoedsoftware. Bovendien maakten Europese landen vaak een eigen interpretatie op de bestaande richtlijn. Dat zorgde voor veel onduidelijkheid onder bedrijven die actief zijn in verschillende delen van Europa. Met GDPR wil de Europese Unie de huidige regels moderniseren én gelijktrekken tussen alle lidstaten.

4. Voor wie geldt GDPR?

De GDPR-regels gelden voor alle bedrijven, groot én klein, die automatisch of handmatig persoonsgegevens verwerken. Verwerken betekent in dit geval hetzelfde als: verzamelen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen en gebruiken.

Als vastgoedmakelaar of projectontwikkelaar vormen persoonsgegevens het hart van je dienstverlening. Een nieuwsbrief uitsturen naar het hele klantenbestand, een pand voorstellen aan een e-mailcontact, of een sms-update naar een lead. Zonder persoonlijke informatie is vastgoedbemiddeling (quasi) onmogelijk. We kunnen dus zonder twijfel zeggen dat GDPR van toepassing is op de vastgoedsector.

5. Wat zijn persoonsgegevens volgens GDPR?

Het gaat hier over alle informatie waarmee je een persoon kan identificeren. Denk daarbij aan persoonsgegevens van klanten en zakelijke relaties, maar ook (potentiële) werknemers.

De wetgeving werkt bovendien met terugwerkende kracht: niet alleen de persoonsgegevens die je vanaf 25 mei 2018 verzamelt maar ook je bestaande datacollectie moet voldoen aan GDPR. Onderstaand vind je een opsomming van verschillende soorten persoonsgegevens die je mogelijk beheert:

  • Namen
  • Adressen
  • Foto’s
  • Telefoonnummers
  • Persoonlijke e-mailadressen
  • Persoonlijke accounts op sociale media
  • Interne registratienummers
  • Webcookies
  • Gebruikersnamen
  • Bankgegevens
  • IP-adressen

6. Wat als ik de verwerking van persoonsgegevens (deels) uitbesteed, bijvoorbeeld aan ENTO?

De GDPR-regelgeving maakt een onderscheid tussen dataverwerkers en dataverwerkingsverantwoordelijken. Een verwerkingsverantwoordelijke is degene die gegevens zoals namen, adressen en telefoonnummers verzamelt. Terwijl een verwerker die gegevens (elektronisch) opslaat en verwerkt in opdracht van een verantwoordelijke. In dit geval is jouw vastgoedkantoor de dataverwerkingsverantwoordelijke en ENTO de verwerker. Ondanks het verschil in benaming is de regelgeving duidelijk: zowel de verantwoordelijke als verwerker moeten voldoen aan GDPR. Daarnaast moet de verwerkingsverantwoordelijke met elke derde partij een verwerkingsovereenkomst afsluiten.

Een belangrijke tip: inventariseer alle derde partijen die persoonsgegevens voor je kantoor verwerken. ENTO is er daar een van, maar zeer waarschijnlijk zijn er nog wel meer. Denk bijvoorbeeld aan je softwareleveranciers of externe HR-partner. Na de inventarisatie kan je elke partij contacteren voor het afsluiten van een verwerkingsovereenkomst.

Hulp nodig? Wij delen met jou een geschikte template voor je verwerkingsovereenkomsten.

7. Wat zijn de belangrijkste vernieuwingen op vlak van privacywetgeving voor de vastgoedsector?

Contactformulieren

De GDPR-regelgeving eist volledig transparantie van (vastgoed)bedrijven als het gaat over de bescherming van persoonsgegevens. Voor welke doelen gebruik je het e-mailadres van een potentiële koper die een online contactformulier invult? Alleen voor de afronding van een (toekomstig) verkoopdossier of wil je de persoon ook je nieuwsbrief toesturen? Wil je leads zowel via e-mail als sms een statusupdate kunnen doorsturen? Dit zijn de vragen die je in klare taal moet beantwoorden. Niet alleen in je privacyvoorwaarden, maar ook direct onder het contactformulier dat je klant invult.

Het is belangrijk dat je nadrukkelijk toestemming vraagt voor élk van je verzoeken, afzonderlijk van elkaar. Dat kan bijvoorbeeld met aparte invulvakjes onder je contactformulieren. Maak de invulvakjes standaard blanco, zodat klanten actief toestemming geven voor het verwerken van de persoonlijke data. Doe je dat niet, dan mag je de data niet gebruiken.

Gegevens updaten of wissen

Als vastgoedmakelaar verwerk je dagelijks persoonsgegevens. En met de komst van GDPR kan je dat alleen doen met toestemming van de betreffende personen. Toch blijft een gegeven toestemming niet per definitie voor onbepaalde duur geldig. Vanaf 25 mei 2018 moet elk individu zijn verstrekte persoonlijke gegevens namelijk kunnen wissen of wijzigen. Hoe je dat mogelijk maakt, ben je relatief vrij in. Zolang de procedure maar laagdrempelig is en je er duidelijk over communiceert in de disclaimer.

Wel belangrijk: gegevens die je als vastgoedmakelaar juridisch verplicht bent te bewaren, voor het uitvoeren van je vak, vallen hier niet onder. Zo heb je nu eenmaal de kopie van een identiteitskaart nodig als je wil zaken doen met een klant.

Een goede oplossing is als (potentiële) klanten via een eigen account op je website hun persoonsgegevens kunnen bewerken. Denk daarbij aan functies zoals een adreswijziging, de gekozen correspondentiemethoden aan- of uitvinken en het deleten van een account; het is wel belangrijk dat je vastgoedsoftwarepakket dat overigens technisch ondersteunt. Als alternatief kan je ook een apart e-mailadres gebruiken waar mensen hun verzoek tot uitschrijving/aanpassing kunnen doorgeven.

Heb je nog geen toestemming voor het verwerken van persoonsgegevens die je vóór 25 mei verzamelde? Stuur een e-mailverzoek uit en vraag die alsnog. Zo maak je je volledige database GDPR ready.

Hulp nodig? Wij sturen een mailing op maat uit naar je contactenlijst en verwerken de toestemmingen in je database. Daarnaast kunnen we persoonlijke accounts mogelijk maken op je website.

Privacyvoorwaarden

In je privacyvoorwaarden is het belangrijk dat je aangeeft welke gegevenstypes je online verzamelt, bijvoorbeeld via cookies of contactformulieren. Vergeet daarbij niet te vermelden waarom je die persoonlijke data genereert (bijvoorbeeld voor het garanderen van een goede website-ervaring of dienstverlening), hoe lang je die data bewaart (online of op papier in je kantoor) en welke procedures je inzet om de bescherming van de persoonsgegevens te waarborgen.

Voor het opstellen van de privacyvoorwaarden kan je advies inwinnen bij een juridisch expert. Maar let op: je teksten moeten beknopt en ondubbelzinnig zijn. Zelfs minderjarigen moeten volgens de GDPR-voorschriften begrijpen waarom, hoe en met wie je hun persoonlijke gegevens verwerkt.

Derde partijen

Veel vastgoedmakelaars maken gebruik van software die derde partijen aanbieden. De meest bekende zijn natuurlijk vastgoedsoftwarepakketten zoals Whise, Omnicasa en Max-Immo. Terwijl remarketingpixels van Facebook en Google AdWords bijna standaard voorkomen op elke vastgoedwebsite. En wat te denken van je nieuwsbrief, die je verstuurt via programma’s zoals Mailchimp of Issuu.

Met de komst van de GDPR-wetgeving is het belangrijk dat je bezoekers informeert over die derde partijen en wat hun rol is bij de verzameling van persoonsgegevens. Dat kan in je privacyvoorwaarden en, zoals eerder vermeld, bij je contactformulieren. Noem de softwarepartijen bij naam, geef de doelen waarvoor ze de data gebruiken en vraag toestemming om die met hen te delen.

Bestaande contracten

Nu we het toch over andere partijen hebben. Hoe ver staan de partners die namens jou de persoonsgegevens van leads, klanten en werknemers verwerken? Zijn ze GDPR proof en is dit opgenomen in de bestaande contracten via een verwerkingsovereenkomst? Je hostingprovider, websitebouwer, boekhouder, accountant en andere business partners moeten allemaal in orde zijn met de GDPR-regels. Is dat niet het geval, dan verschuift de verantwoordelijkheid naar jouw kantoor. Uiteindelijk blijf jij namelijk eindverantwoordelijke voor de persoonsgegevens van je relaties.

Dataregister

Tot nu toe lijkt het alsof de GDPR-regelgeving zich exclusief richt op de website van je vastgoedkantoor. Maar de nieuwe regels gaan veel verder dan dat. Dat merk je wanneer je een dataregister opstelt voor je eigen vastgoedkantoor. In dit register geef je een volledig overzicht van het soort persoonsgegevens dat je verwerkt, waar die data vandaan komen en met wie je ze deelt (binnen of buiten je vastgoedkantoor). Alle types van persoonsgegevens die je verzamelt, moet je hierin vermelden. Of dat nu virtueel is of op papier.

Bewaar je de uitgeprinte cv’s van sollicitanten in een papieren map? Staat er een Excel-bestand op Dropbox met de contactgegevens van potentiële vastgoedpartners? En hoe zit het met de koop-verkoopovereenkomsten? Al die documenten bevatten persoonlijke gegevens, zoals namen, geboortedata, telefoonnummers en (e-mail)adressen.

Breng alle datastromen van persoonsgegevens in kaart en houd je register altijd up-to-date. Want hiermee toon je aan, bijvoorbeeld bij een datalek of controle, dat je vastgoedkantoor de regels correct volgt. Het dataregister kan je opstellen in een Word-document of Excel spreadsheet. Zolang je het document maar kan afdrukken op papier wanneer nodig.

Beleid

Wat betreft de papierwinkel blijft het niet bij het aanmaken van een dataregister. De Europese Unie wil namelijk niet alleen dat je persoonlijke data in kaart brengt, je moet ook verkláren dat je alle regels respecteert. Hoe? In de vorm van een beleidsdocument. Hierin verantwoord je waarom je kantoor e-mailadressen, telefoonnummers en andere persoonsgegevens verwerkt. Bovendien vermeld je hierin de maatregelen die je neemt om alle data te beveiligen, op technisch niveau (bijvoorbeeld via je IT-afdeling) en organisatieniveau (bijvoorbeeld via interne procedures).

Groepen

Veel bedrijven in de vastgoedsector zijn georganiseerd als groep. Toch verleent de GDPR-regelgeving geen privileges aan deze bedrijfsstructuur. Bedrijven die samen onder de paraplu van een groep werken, worden in GDPR als derde partijen van elkaar beschouwd.

Maar wat betekent dat voor de uitwisseling van persoonlijke informatie? Stel dat een bedrijfsgroep uit drie entiteiten bestaat: bedrijf A, B en C. Volgens de GDPR-regels zijn A en B derde partijen van C. Het gevolg is dat C niet zonder toestemming van betrokkenen de persoonsgegevens mag delen met A en B. Zelfs niet als het gaat over werknemers die onder een gedeeld merk werken. Breng daarom in kaart, net zoals met andere derde partijen, welke persoonlijke data je tussen partnerbedrijven uitwisselt.

HTTPS-website

Maakt jouw vastgoedwebsite gebruik van een standaard HTTP-verbinding of een beveiligde HTTPS-verbinding? Mocht je het niet zeker weten, tik de URL dan eens in de zoekbalk van je browser. Als er naast het www-adres een hangslotje verschijnt, al dan niet met de tekst veilig, dan zit je goed. Gebeurt dat niet, dan adviseren we je een SSL-certificaat aan te vragen.

Met een SSL-certificaat garandeer je virtuele bezoekers dat ze persoonlijke data met je delen via een geëncrypteerde privé-verbinding. Dat betekent dat cybercriminelen niet kunnen meelezen als websitebezoekers een contactformulier op je website invullen. Een krachtig signaal waarmee je niet alleen het vertrouwen in je vastgoedwebsite verhoogt, maar ook aantoont dat je de GDPR-principes serieus neemt. Bovendien beloont Google je met een hogere ranking in de organische zoekresultaten ten opzichte van niet-beveiligde websites.

Hulp nodig? Wij vragen het SSL-certificaat aan, verzorgen de installatie en begeleiden de migratie.

8. En wat als ik niet voldoe aan GDPR tegen 25 mei 2018?

Bedrijven die de GDPR-regels overtreden, riskeren boetes die kunnen oplopen tot twintig miljoen euro of vier procent van de globale jaarlijkse omzet. Het zijn opvallend hoge boetes. Toch verwachten we niet dat de Belgische privacycommissie op 26 mei al bij je kantoor op de stoep staat. De kans is groter dat internationale merken die een grote berg aan persoonlijke data verwerken, zoals Facebook en Google, eerst aan de beurt zijn voor een controle.

Conclusie

Alle bedrijven die persoonsgegevens verwerken moeten vanaf 25 mei 2018 rekening houden met de GDPR-regelgeving. Zoals je hierboven kan lezen omvat deze nieuwe wetgeving verschillende wijzigingen ten opzichte van het oude privacybeleid: zowel online als offline. Je dataregister en beleidsdocument uitwerken, je contactformulieren en privacyvoorwaarden aanpassen, je verwerkingsovereenkomsten opstellen en uitsturen. Een ding is duidelijk: de voorbereiding van je kantoor op GDPR neemt enige tijd in beslag. Schuif de aanpassingen daarom niet voor je uit. Hoe eerder je in actie komt, hoe beter je bent voorbereid op een eventuele controle. Ontvang je graag nog extra advies of technische ondersteuning? Neem vrijblijvend contact met ons op. We staan je graag bij.

ento blog gdpr conclusie

Deel het artikel in je netwerk