GDPR binnen het vastgoedkantoor

GDPR privacy Hand - virtueel - Slot
GDPR privacy Hand - virtueel - Slot

Het is belangrijk om te begrijpen dat GDPR niet alleen van toepassing is op uw website maar ook een impact heeft op de werkwijze binnen uw vastgoedkantoor…

Is jouw vastgoedkantoor GDPR compatibel voor 25 Mei 2018? Want op die datum treedt de Europese privacywet GDPR in werking en vervangt dus de reeds bestaande Wet Bescherming Persoonsgegevens. Deze wetgeving werd ongeveer 2 jaar geleden goedgekeurd en is verplicht voor zowel bedrijven als overheidsdiensten.

Indien je dus particuliere klantgegevens verwerkt (en dit kunnen ook contactpersonen zijn bij een zakelijke relatie), dan zal je nog meer extra inspanningen moeten doen om ervoor te zorgen dat je de digitale veiligheid en bescherming van deze volledig in orde is volgens de GDPR regels. Daarnaast kunnen de mogelijke boetes op zogenaamde datalekken hoog uitvallen. In ernstige gevallen kunnen zelfs de zaakvoerders hoofdelijk aansprakelijk worden gesteld.

Hier zetten we de eerste 10 tips uiteen om jouw vastgoedkantoor zo goed mogelijk voor te bereiden. We houden alvast de nieuwe wetgeving nauwlettend in de gaten en zal regelmatig communiceren met bijkomende tips om uw website zo goed mogelijk GDPR compatibel te maken.

Waarvoor staat GDPR?

GDPR is een afkorting en staat voor General Data Protection Regulation of de Algemene Verordening Gegevens bescherming (AVG) in het Vlaams. GDPR zijn een nieuwe set van regels om de gegevens van burgers in Europe beter te beschermen.

Wat is de impact van GDPR op mijn vastgoedkantoor?

De impact is niet te onderschatten, zo zal er extra veel aandacht besteed moeten worden aan transparantie betreft uw communicatie naar uw klanten toe hoe en op welke manier u deze persoonsgegevens gaat gebruiken, of de klant toestemming heeft gegeven voor specifiek elke van deze handelingen waarvoor u deze gaat gebruiken (zoals bijvoorbeeld om op de hoogte te blijven van nieuwe panden) en of hun gegevens beschermt zijn in het geval van een data lek. Daarnaast moet de klant ook op een heel eenvoudige manier toegang kunnen krijgen tot zijn of haar persoonsgegevens, deze kunnen aanpassen en kunnen verwijderen zonder veel tijd te verliezen.

Met dit artikel willen we u  bewust maken om de nodige stappen en voorbereidingen reeds in te plannen. U zal hoogst waarschijnlijk in samenspraak met uw webbouwer deze aanpassingen moeten bespreken en doorvoeren.

Het mag duidelijk zijn dat GDPR een set van regels is die van toepassing is voor alle vastgoedmakelaars maar dat elke website verschillend is in opmaak. Veel vastgoedmakelaars gebruiken ook vaak de via de website verworven persoonsgegevens voor marketingdoeleinden en mailings. U zal extra aandacht moeten geven of deze 3rde tools ook GDPR compliant zijn en dus de overweging moeten maken of u uw huidige werkwijze verder zal doorzetten of verplicht deze moet aanpassen.

Onderstaande tips zijn dus geen garantie dat u voldoende acties en stappen heeft ondernomen om GDPR compliant te zijn en u zal dit zelf moeten afwegen in samenspraak met uw webbouwer en juridisch adviseur.

U kan een lijst en overzicht krijgen van alle GDPR regels via deze pagina: https://gdpr-info.eu/

1. Formulieren

Veel vastgoedmakelaars maken gebruik van een contact formulier op hun website zoals voor bijkomende vragen of om op de hoogte te blijven van nieuwe panden via een zoekopdracht formulier. Het is van groot belang dat u al uw formulieren nakijkt. Deze moeten dus initieel leeg zijn en het is aan de gebruiker om deze zelf aan te vinken om toestemming te verlenen. Strikt juridisch moeten deze dus op NEE staan of blanco zijn.

Hieronder een voorbeeld van een inschrijvingsformulier waar het vakje “Hou me op de hoogte” automatisch aangevinkt is. Tegen 25 Mei 2018 is dit niet meer geldig en moet dus uitgevinkt zijn. Het is aan de gebruiker om de toestemming te verlenen door het vakje zelf aan te vinken en dus niet omgekeerd.

In het geval uw formulier geen vakjes heeft en toch van plan bent om de persoonsgegevens voor bepaalde doeleinden te gebruiken, dan zal u niet anders kunnen dan een vakje te moeten voorzien zodat u de uitdrukkelijke toestemming kan vragen van de gebruiker.

2. Aparte Opt-ins

Er moet een aparte melding worden gemaakt indien u toestemming vraagt voor het accepteren van uw algemene voorwaarden voor het gebruiken van uw website en/of het accepteren van toestemming voor andere manieren of doeleinden waarvoor u de persoonsgegevens gaat gebruiken. Het volstaat dus niet om alleen maar toestemming te vragen om akkoord te gaan met uw algemene voorwaarden wanneer u ook van plan bent om de klant op de hoogte te houden van nieuwe panden die verschijnen op de markt.

Onderstaand een voorbeeld hoe dit soort van formulier na 25 Mei 2018 er zal moeten uitzien. Indien u de persoonsgegevens ook voor andere dan hierboven omschreven doeleinden gaat gebruiken, dan zal u voor elk van deze apart toestemming moeten vragen. Hou het dus compact en alleen voor de absoluut noodzakelijke toepassingen om uw kantoor en haar dienstverlening zo efficient mogelijk te kunnen houden zonder het formulier te hoogdrempelig te maken.

3. Communicatie Opt-ins

Indien u via verschillende methodes de klant op de hoogte wenst te houden door gebruik van mailings, emails, gewone post, sms of andere technologieën, dan zal u ook hiervoor specifiek toestemming moeten vragen en individueel deze mogelijkheden moeten aanbieden. Kortom, de communicatie opt-ins van uw klanten moet duidelijk gedefinieerd worden en aangeboden worden zodat de klant hiervoor uitdrukkelijk zijn toestemming kan verlenen om via een welbepaalde communicatie methode uw berichtgeving wenst te ontvangen. Onderstaand een visueel voorbeeld hoe u dit kan inbouwen op uw website met eenvoudige aanvink opties Let ook op de bijkomende vraag voor toestemming indien u gebruik maakt van een bepaalde software.

4. Eenvoudige Opt-outs

Het moet even gemakkelijk zijn om toestemming te verwijderen als het was om toestemming te verlenen. Daarnaast moeten individuen altijd weten dat ze het recht hebben hun toestemming in te trekken.

Wat betreft uw gebruikerservaring betekent dit dat afmelden kan bestaan uit het selectief intrekken van toestemming voor specifieke communicatiestromen, de frequentie wijzigen of de communicatie volledig stoppen.

5. Betrokken partijen

Uw webformulieren moeten duidelijk aangeven aan welke partij de toestemming wordt verleend. Het is niet genoeg om specifiek gedefinieerde categorieën van externe organisaties of derde partijen te vermelden. Ze moeten specifiek worden genoemd.

In onderstaand voorbeeld kan u zien dat de vastgoedmakelaar de essentie begrijpt van de GDPR regels en de nodige toestemming vraagt voor updates van de andere betrokken partijen.

Zorg ervoor dat het een opt-in is in plaats van een opt-out. Overweeg dus goed alle betrokken partijen om te zien wie en wat u moet vermelden.

6. Gebruiksvoorwaarden en Privacy beleid

U zal uw algemene voorwaarden op uw website moeten bijwerken om te verwijzen naar de nieuwe GDPR-terminologie. U moet duidelijk maken wat u gaat doen met de informatie/persoonsgegevens zodra u deze hebt ontvangen en hoe lang u deze informatie zowel op uw website als in uw kantoor of andere locaties zult bewaren.

U moet dus duidelijk communiceren hoe en waarom u deze gegevens verzamelt. Via uw privacy beleid moet u de verschillende toepassingen beschrijven die u gaat hanteren vooral wanneer u persoonsgegevens verzamelt om de gebruikservaring van uw website te verhogen en analyseren.

Sommige vastgoedmakelaars maken gebruik van cookies om bepaalde voorkeuren zoals regio en zoekopdrachten van een bezoeker te onthouden. U verwijst best met een bijkomende notitie van deze praktijk en de reden waarom. Uw juridisch assessor kan u een kort beknopt voorbeeld geven hoe u dit best omschrijft.

7. Software van derden

Wanneer het gaat om software of applicaties van derden dan begint GDPR al iets ingewikkelder te worden.

Veel websites van vastgoedmakelaars maken gebruiken van softwareoplossingen voor marketingautomatisering of het beheer van hun zoekertjes op hun website. Denk maar aan software zoals Mailchimp voor uw automatische e-mails en beheersoftware zoals Omnicasa, Whise & Maximmo om uw panden te beheren.

Het gebruik van deze applicaties roept enkele zeer interessante vragen op met betrekking tot GDPR-compliance en sommige onderdelen zijn momenteel grijze zone te meer omdat een deel van de afhankelijkheid van de GDPR compliance ook bij deze partijen ligt. We mogen deze echter niet als uitzondering beschouwen omdat vastgoedmakelaars wel degelijk persoonsgegevens verwerken en dus niet anoniem is. Echter men gaat ervan uit dat de softwarehuizen en derde applicaties ook GDPR compliant zijn maar langs de andere kant heeft u uw gebruikers / bezoekers die op uw website een formulier invullen niet uitdrukkelijk de toestemming gevraagd om deze persoonsgegevens door te sturen naar deze derde partijen…

We moeten dus in eerste instantie er van uitgaan dat de aanbieders van deze tools ook GDPR-compatibel zullen zijn voor 28 Mei 2018. Indien dit niet het geval is dan verlegt de verantwoordelijkheid zich bij uw bedrijf aangezien u de originele ontvanger en dus beheerder bent van deze persoonsgegevens.

Het is dus van groot belang dat u de GDPR-compliance risico’s identificeert en uw risico’s als bedrijfseigenaar van uw vastgoedkantoor beperkt. Het is ten strengste aanbevolen om uw contract met uw softwareleverancier zorgvuldig herbekijkt en dat deze u schriftelijk verzekert in de overeenkomst dat u heeft gesloten (indien nodig met een bijkomende addendum) dat de software ook GDPR-compatibel is.

Uw enigste alternatief is uw bezoeker bewust maken dat zijn of haar persoonsgegevens zullen worden bewaard met de door u gekozen software (u zal deze met naam moeten vermelden) en hiervoor ook toestemming vraagt om te bewaren en beheren. Uw risico is alvast veel beperkter wanneer u kiest om beide oplossingen te implementeren/hanteren.

8. Medewerkers

Als vastgoedkantoor ben je dagelijks bezig met het verwerken en updaten van klantgegevens. Als zaakvoerder is het jouw taak om je medewerkers op de hoogte te brengen van deze nieuwe regels en dat je beleid met het omgaan van persoonsgegevens nu veel scherper zal zijn. Wanneer gegevens dus worden geëxporteerd uit je software en in Excel lijsten of andere worden verwerkt, hou rekening met het feit dat ook hier GDPR regels van toepassing zijn. Denk maar bijvoorbeeld aan de gevolgen van een datalek.

9. Bouw een dataregister

Als vastgoedkantoor ben je verplicht een dataregister te hebben. Dit is een lijst waarbij je een duidelijk overzicht hebt welke persoonsgegevens er binnen je bedrijf wordt verwerkt en waarom. Wanneer zich een datalek voordoet, dan zal je een register moeten voorleggen om te bewijzen dat je wel degelijk de GDPR regels respecteert en de nodige stappen hebt ondernomen. Je lijst bevat specifiek een overzicht van alle klantgegevens, waar deze vandaan komen (bijvoorbeeld website, beurs of email en met wie ze gedeeld worden binnen je kantoor. Dit register moet ten alle tijden actueel zijn.

10. Data protection officer

Een ‘Data Protection Officer’ is iemand die verantwoordelijk is voor het observeren en controleren van persoonsgegevens die worden verwerkt binnen je vastgoedkantoor. Hij/zij ziet er op toe dat alle regels strikt worden gevolgd en dat het dataregister accuraat blijft en zorgt voor een goede opvolging in het geval klanten een overzicht vragen van de persoonsgegevens die je hebt bewaard. Klanten hebben het recht om deze gegevens te corrigeren en of te laten verwijderen.

Dit kan een extern adviseur zijn maar het kan ook een persoon zijn binnen uw bedrijf indien u deze extra kosten wenst te minimaliseren. Hou wel rekening met het feit dat u niet zomaar iemand kan aanstellen als Data Protection Officer. De meest geschikte persoon is vermoedelijk de persoon die ook verantwoordelijk is voor al uw IT handelingen binnen uw bedrijf. Het is aangewezen dat deze persoon bewust is van GDPR compliance regelgeving en kennis zal moeten hebben van de hoe de verzamelde persoonsgegevens inclusief de locaties van opslag en meer worden verwerkt.

Conclusie

Bovenstaande tips en voorbeelden geven alvast inzicht in de vereisten en mogelijke aanpassingen dat uw kantoor zal moeten ondergaan. Het is belangrijk om te begrijpen dat GDPR niet alleen van toepassing is op uw website maar ook een impact heeft op de werkwijze binnen uw vastgoedkantoor. U zal ongetwijfeld op andere onverwachte problemen stuiten die eigen zijn aan uw kantoor en een oplossing moeten formuleren om GDPR compatibel te blijven.

Bron: immoscoop