Waar woningcorporaties tegenaan lopen in het kader van de AVG
Woningcorporaties hebben een bijzondere positie op grond van de wet. Zo heeft de woningcorporatie als taak om huurwoningen passend toe te wijzen en een bepaald woongenot aan bewoners te bieden. Bij de uitvoering van haar taken verkrijgt en verwerkt een woningcorporatie verschillende persoonsgegevens van haar (potentiële) huurders. In veel gevallen is er de noodzaak om persoonsgegevens over en weer met derde partijen te delen. Dit is echter niet altijd toegestaan op grond van de Algemene Verordening Gegevensbescherming (“AVG”). Hoe zit dit?
Problematiek
In de praktijk spelen meerdere thema’s waarbij woningcorporaties persoonsgegevens (willen) uitwisselen met derden. Denk aan samenwerkingen met zorg- en welzijnsorganisaties, met politie in het kader van woonoverlast of bij het inschakelen van partijen die het woonobject onderhouden. Wij noemen enige aspecten die wij in de praktijk tegen komen.
Bijvoorbeeld de vraag of het delen van persoonsgegevens toegestaan is. Dat luistert nauw, zo blijkt bijvoorbeeld uit het arrest van de Hoge Raad uit 2022. Vóór 2016 gold geen (voldoende specifieke) doorbreking van de geheimhoudingsplicht van de belastingdienst om inkomensgegevens te verstrekken aan een verhuurder als deze daarom verzocht. Voor de woningcorporatie bestond echter wel een wettelijke grondslag om de inkomensgegevens te ontvangen. De belastingdienst mocht dus de inkomensgegevens niet aan de woningcorporatie verstrekken, maar de woningcorporatie mocht deze wel ontvangen. Op 1 april 2016 werd de specifieke bevoegdheid voor de belastingdienst om de inkomensgegevens te kunnen verstrekken, opgenomen in de wet. Vanaf deze datum kon de belastingdienst dus wel rechtmatig de inkomensgegevens op verzoek van de woningcorporatie delen.[1]
Wanneer de wens bestaat om persoonsgegevens te delen (of te ontvangen) moet dus altijd worden beoordeeld of dit op grond van de wet is toegestaan.
Waar moet een woningcorporatie op letten?
Dat begint bij de vraag wat voor soort gegevens worden gedeeld. Gaat het om ‘normale’ persoonsgegevens of betreft het bijzondere of strafrechtelijke persoonsgegevens? Voor deze laatste twee categorieën geldt dat deze slechts in zeer beperkte omstandigheden verwerkt, en dus gedeeld, mogen worden. Het gerechtshof Arnhem-Leeuwarden oordeelde in 2020 dat een code die erop wijst dat de huurovereenkomst met een huurder (civielrechtelijk) is ontbonden vanwege de aanwezigheid van hennep in de woning, geen strafrechtelijk persoonsgegeven is.
Wanneer is vastgesteld welke categorie persoonsgegevens het betreft, is het relevant te bepalen wat het doel van de verwerking is en welke grondslag eventueel van toepassing kan zijn. In de voornoemde uitspraak van het gerechtshof Arnhem-Leeuwarden werd deze vraag getoetst aan de ‘reguliere’ grondslagen in artikel 6 AVG en niet aan artikel 10 AVG dat van toepassing is op strafrechtelijke persoonsgegevens.[2] Volgens het hof mag de code met andere woningcorporaties gedeeld worden op grond van een gerechtvaardigd belang (artikel 6 lid 1 sub f AVG), namelijk de publiekrechtelijke bevoegdheid van een doelmatige woonruimteverdeling.
Mogen woningcorporaties zonder meer persoonsgegevens delen als een convenant is gesloten met de betrokken partijen? Nee, luidt dit antwoord volmondig. Een convenant is slechts en alleen een middel om ervoor te zorgen dat als partijen dan een grondslag hebben voor de verwerking van persoonsgegevens, zij zich verder ook houden aan de overige vereisten uit de AVG en onderling elkaar hierop kunnen aanspreken. Hierin worden onder andere afspraken vastgelegd over welke persoonsgegevens uitgewisseld mogen worden met welke partijen, hoe rechten van betrokkenen uitgeoefend kunnen worden (inclusief de verstrekking van de juiste informatie aan de betrokkene) en hoe de uitwisseling plaatsvindt.
Deze blog is geschreven door Michael de Groot en Corine d’Hulst (Turing advocaten).
Deze blog wordt ook op Omgevingsweb gepubliceerd.