Privacybeleid in de bouw: wat als er morgen AVG-controle is?

Privacy hoort daarom een vast en herkenbaar onderdeel te zijn van de bedrijfsvoering. In de praktijk zien we dat dit niet altijd voldoende is ingericht of structureel wordt bijgehouden. Juist dat brengt risico’s met zich mee.

Privacy in de bouw is geen bijzaak

Of je nu werkt met vast personeel, zzp’ers of onderaannemers: je verwerkt elke dag persoonsgegevens. Denk aan ID’s van vakmensen, cameratoezicht bij toegangspoorten of contactgegevens van leveranciers. Ook projectdata kan privacygevoelig zijn. Privacy raakt dus veel meer dan alleen je HR- of salarisafdeling. Het zit verweven in je hele bedrijfsproces.

AVG in de bouw: risico’s, boetes en toezicht door de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens houdt ook de bouwsector in de gaten en treedt de afgelopen jaren zichtbaarder en strenger op bij overtredingen. Is je AVG-beleid of privacybeleid niet op orde? Dan loop je sinds de invoering van de AVG het risico op boetes die kunnen oplopen tot miljoenen euro’s. Daarnaast kunnen datalekken leiden tot reputatieschade en verlies van vertrouwen bij opdrachtgevers en partners. Goede beveiliging en duidelijke interne processen zijn daarom essentieel.

Het aantal datalekken door bijvoorbeeld cyberaanvallen neemt bovendien toe, ook in de bouwsector. Dat maakt het belang van goede beveiliging en duidelijke processen nog groter.

AVG‑check voor bouwbedrijven: wat moet je minimaal geregeld hebben?

Het begint met bewustwording, maar vooral met aantoonbaar maken wat je doet. Weet welke gegevens je verzamelt en verwerkt, waarom je dat doet (grondslag) en wie erbij kan. Denk aan het opslaan van camerabeelden op de bouwplaats, het verzamelen van kopieën van ID-bewijzen en papieren en digitale personeelsdossiers. 

Leg dit vast in een privacyreglement. Daarin neem je ook op hoelang je gegevens bewaart, hoe je ze beveiligt en wie verantwoordelijk is voor wat. Vergeet daarbij niet de persoonsgegevens van websitebezoekers, klanten en ingehuurde krachten. Ook leg je dit vast in bijvoorbeeld een privacybeleid en een verwerkingsregister. Zorg ervoor dat deze afspraken in de praktijk worden nageleefd. 

De AVG vraagt om aandacht voor details én om goede documentatie van je keuzes. 

Datalek in de bouw: wat moet je doen volgens de AVG?

Een datalek hoeft niet altijd groot of technisch te zijn; het kan ook in een klein moment misgaan. Het ontstaat bijvoorbeeld als je per ongeluk een e-mail verstuurt waarbij alle adressen zichtbaar zijn voor de ontvangers. Ontdek je een lek? Kom dan direct in actie. Beoordeel het risico, meld het indien noodzakelijk binnen 72 uur bij de Autoriteit Persoonsgegevens, informeer de betrokkenen en neem maatregelen om de schade te beperken.

Werk je met andere partijen? Regel een verwerkersovereenkomst

Schakel je bijvoorbeeld een payrollbedrijf, beveiligingsdienst, advieskantoor of onderaannemer in die persoonsgegevens verwerkt? Dan ben je verplicht om duidelijke afspraken te maken over de bescherming van gegevens in een verwerkersovereenkomst. 

Wie is waarvoor verantwoordelijk?

De verwerkingsverantwoordelijke bepaalt het doel en de manier van verwerken. De verwerker voert het uit. Allebei moeten ze zich aan de AVG houden, maar de verantwoordelijkheden verschillen. 

Wanneer mag je eigenlijk persoonsgegevens verwerken volgens de AVG?

Alleen als je een geldige reden hebt:

• toestemming van de betrokkene;
• een overeenkomst;
• een wettelijke verplichting (zoals bij de Wet Ketenaansprakelijkheid);
• of een gerechtvaardigd belang, zoals het voorkomen van fraude.

Privacy is een bouwsteen

Een goed privacybeleid vergroot het vertrouwen van klanten, partners en medewerkers. Je laat zien dat je zaken op orde hebt en voorkomt verrassingen bij controles, samenwerkingen of incidenten. 

Meer weten?

aaff is graag overal van betekenis. Wil je meer weten over de AVG of hulp bij privacy-gerelateerde vraagstukken? Neem dan contact op met onze juristen arbeidsrecht.