FAQ lijst

Veelgestelde vragen

Veelgestelde vragen aan de BNA op een rij. Staat de vraag er niet bij, kijk dan of de informatie onder advies en ondersteuning te vinden is. Kom je er niet uit? BNA-leden kunnen onze adviseurs altijd per mail of telefonisch benaderen voor advies of ondersteuning.

Centraal Station Eindhoven, inzending Gebouw van het Jaar 2018

Wat is het verschil tussen de AVG en de GDPR?
AVG staat voor Algemene Verordening Gegevensbescherming en is de Nederlandse benaming voor de Europese wetgeving General Data Protection Regulation (GDPR).

Welke gegevens vallen onder de AVG en wat niet?
De AVG gaat over (persoons)gegevens. Onder persoonsgegevens wordt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon verstaan. Voor de hand liggende persoonsgegevens zijn naam, woonplaats en (e-mail)adres, maar ook foto’s op een website van bijvoorbeeld personeelsleden, vallen onder de AVG.

Gegevens van organisaties, bijvoorbeeld een zakelijk telefoonnummer, vallen niet onder de AVG.

Wat moet ik allemaal regelen in het kader van de AVG?
De AVG heeft verstrekkende gevolgen voor de manier waarop persoonsgegevens worden beheerd en onderhouden. De AVG geeft aan waar je als organisatie aan moet voldoen, maar niet hoe. De meest essentiële punten hebben we hieronder voor u op een rij zet.

LET OP, deze lijst is niet volledig! Per aandachtspunt zijn er verschillende zaken die moeten worden geregeld.

  • Inventariseer alle persoonsgegevens en beschrijf met welk doel deze worden vastgelegd (doelbinding)
  • Leg inspanningen om te voldoen aan de AVG-wet vast, zodat het gemakkelijker is de inspanningsverplichting aan te tonen
  • Voer een analyse uit om uw privacy risico’s te identificeren en te beheersen. Bepaal of een Privacy Impact Assessment (PIA) en/of een Functionaris Gegevensbescherming (FG) verplicht zijn voor de organisatie.
  • Analyseer en beschrijf privacy policy en informeer uw klanten hierover
  • Sluit verwerkingsovereenkomsten met leveranciers
  • Beschrijf de procedures voor overdraagbaarheid van persoonsgegevens, inzage in gegevens, gegevenscorrecties en de mogelijkheid vergeten te worden
  • Informeer en leid bestuurders en eventuele medewerkers op
  • Beveilig je tegen datalekken. Zo is goede beveiligingssoftware verplicht, maar ook papieren dossiers met privacy gevoelige gegevens moeten veilig worden bewaard
  • Onderdeel van de AVG is de meldplicht datalekken
  • Zorg voor verankering van privacy- en gegevensbescherming op het hoogste niveau en stel een AVG plan op

Wat wordt bedoelt met doelbinding?
Met ‘doelbinding’ wordt bedoeld dat de persoonsgegevens die je verwerkt heb gekregen voor een bepaald doel. Bijvoorbeeld een opdrachtgever geef je zijn adresgegevens voor het sturen van offerte. Het is belangrijk dat je persoonsgegevens alleen verwerkt (dus opslaat en gebruikt) voor de doeleinden waarvoor je deze hebt verkregen.

Een voorbeeld uit de praktijk:

Bij het aanvragen van een vergunning via omgevingsloket.nl is het BSN-nummer een verplicht veld om in te vullen. Dit moet je dus registreren, bijv. in de AVG-tool, in het gedeelte over de doelbinding.

Hoe lang mag ik persoonsgegevens bewaren?
Persoonsgegevens, zoals het BSN-nummer uit bovenstaand voorbeeld uit de praktijk, mogen niet langer bewaard worden dan noodzakelijk is voor de uitvoering van de overeenkomst. Met andere woorden: zodra de overeenkomst volledig is uitgevoerd (feitelijk wanneer het project is afgerond), heb je als architect geen gerechtvaardigde grond meer om sommige persoonsgegevens, zoals het BSN-nummer van de opdrachtgever, nog langer te bewaren. Alle gegevens die nodig zijn voor andere regelgeving, zoals alle financiële gegevens van opdrachtgevers voor de belastingdienst, moeten/ mogen worden bewaard zolang er een wettelijke grondslag voor is.

Waar moet ik rekening mee houden bij het indienen van bouwtekeningen bij de gemeente?
Voor het indienen van een bouwtekening bij de gemeente voor de aanvraag van de Omgevingsvergunning kan worden volstaan met de vermelding van het adres waar gebouwd wordt. Andere persoonsgegevens, zoals naam, e-mailadres, telefoonnummer zijn niet noodzakelijk om te delen. In het kader van de AVG (doelbinding) is het daarom beter de informatie niet te delen en daarom niet te vermelden op ingediende bouwtekeningen.

Mag ik foto’s van mijn werk plaatsen op de website?
Het plaatsen van foto’s is enkel in het licht van de AVG relevant als er op deze foto’s personen te zien zijn, dan staan er derhalve persoonsgegevens op (foto’s zijn bijzondere persoonsgegevens). Het publiceren van foto’s mag in principe alleen als de persoon hiervoor toestemming geeft. Mensen hebben altijd het recht om hun toestemming later in te trekken. Het advies is om bij plaatsing van foto’s van private gebouwen en/of interieur altijd om (schriftelijke) toestemming te vragen. Bij wisseling van bewoners is het raadzaam dit opnieuw te aan te vragen.

Mag ik de waarde van mijn opdrachten publiceren?
De waarde van een woning vertelt iets over het inkomen van deze persoon. Pas wanneer een bepaald gegeven te herleiden is tot een bepaald persoon is er pas sprake van een ‘persoonsgegeven’. Wanneer een bepaald huis/adres een gekoppelde (bouw) waarde krijgt op een website kan het in beginsel zo zijn dat dit te zien is als een persoonsgegeven onder de AVG als hieruit bijvoorbeeld het vermogen van de koper kan worden geëxtraheerd. Echter is dit vooralsnog afhankelijk van de omstandigheden van het geval. Het advies is voor publicatie is altijd (schriftelijk) toestemming te vragen aan de opdrachtgever/bewoner en specifieke (persoons)gegevens achterweg te laten. Toestemming mag altijd worden ingetrokken.

Mag ik foto’s van mijn medewerkers publiceren?
Foto’s van personen vallen onder de bijzondere persoonsgegevens, ze zijn extra privacygevoelig. Bijzondere persoonsgegevens mogen daarom alleen onder zeer strenge voorwaarden worden verwerkt. Het advies is om hier heel zorgvuldig mee om te gaan. Voor plaatsing van, bijvoorbeeld pasfoto’s van medewerkers, is altijd (schriftelijk) toestemming nodig.

Mag ik een BSN-nummer opslaan en bewaren?
Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld in de zorg en onderwijs. Bovendien is elke werkgever verplicht het BSN door te geven aan de belastingdienst en moet het nummer dus opslaan.

Is het hebben van een functionaris voor de gegevensbescherming (FG) verplicht voor een architectenbureau?
Het hebben van een FG is niet van toepassing voor architectenbureaus, omdat de hoofdactiviteit het grootschall

Mag ik nieuwsbrieven blijven versturen?
Ja dat mag, mits de ontvanger (actief) toestemming (opt-in) heeft gegeven voor het toesturen van de nieuwsbrief. Bij elke nieuwsbrief moet er de mogelijkheid geboden worden om deze op te zeggen.

Heeft de BNA standaardcontracten en hulpmiddelen die we kunnen gebruiken?
De BNA heeft niet zelf standaardcontracten en hulpmiddelen ontwikkeld. Wel hebben we gezocht naar een totaal pakket waar informatie, checklist en standaardovereenkomsten worden aangeboden.

Hedy Otemann