Sinds 2018 geldt de nieuwe privacywet (ook wel AVG genoemd). Deze wet beperkt en regelt de verwerking van persoonsgegevens. Overtreding van de AVG kan leiden tot schadeclaims van derden en tot serieuze boetes. Het is dan ook belangrijk om hier rekening mee te houden, ook in het kader van een WHOA-traject. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon, denk aan naam, adres, woonplaats, telefoonnummer, mailadres, etc. Nagenoeg alles wat met persoonsgegevens wordt gedaan valt onder het begrip ‘verwerking’. Zowel het verzamelen als het opslaan, ordenen, versturen, wijzigen, wissen, etc. Kortom, de kans is groot dat je binnen een WHOA-traject rekening dient te houden met de AVG.
Welke persoonsgegevens?
Eerste stap is om te kijken welke persoonsgegevens er zijn en of het écht nodig is om al die persoonsgegevens te verwerken tijdens het WHOA-traject. Je mag op basis van de AVG namelijk alleen persoonsgegevens verwerken, als dat nodig om het doel te bereiken (in dit geval het doorlopen van het WHOA-traject). Het is dan ook noodzakelijk om de verwerking te beperken tot alleen die persoonsgegevens die echt belangrijk zijn en om alle andere persoonsgegevens te verwijderen, althans deze niet te verwerken tijdens het WHOA-traject. Je mag persoonsgegevens ook zeker niet te lang (langer dan noodzakelijk) bewaren. Vergeet daarom niet om de gegevens te wissen, zodra ze niet meer nodig zijn.
De gegevens van bedrijven zijn in principe geen persoonsgegevens, maar let op, zodra de bedrijfsnaam of bijv. een mailadres te herleiden is tot een bepaalde persoon, dan is het weer wel een persoonsgegeven. Zorg ervoor dat je de Burgerservicenummers verwijdert uit de documenten, want deze mogen in principe sowieso niet worden verwerkt zonder wettelijke grondslag.
Anonimiseren
Tweede stap kan zijn om de verwerking te beperken door bepaalde persoonsgegevens te pseudonimiseren of te anonimiseren (door bijvoorbeeld alleen het klantnummer te vermelden of delen van de gegevens te wissen). Dit is echter niet altijd mogelijk.
De grondslag
Vervolgens gaat het om de vraag of je een goede reden (oftewel de vereiste grondslag) hebt om de persoonsgegevens (die zijn overgebleven) te verwerken. In het kader van een WHOA-traject zal de verwerking waarschijnlijk kunnen worden gebaseerd op de restgrondslag van het gerechtvaardigd belang. Het gaat er binnen een WHOA-traject immers om dat getracht wordt om een faillissement te voorkomen. Het standpunt dat verwerking van persoonsgegevens in het kader van een WHOA-traject gebaseerd kan worden op de grondslag dat dit noodzakelijk is om een overeenkomst uit te voeren is verdedigbaar. Een onderhands akkoord met betrekking tot schulden (die in de regel voortkomen uit overeenkomsten) ligt immers in het verlengde van die uitvoering.
Beveiliging
Tot slot is het belangrijk om ervoor te zorgen dat de persoonsgegevens die worden verwerkt steeds goed beveiligd zijn. Zorg voor goed beveiligde en up-to-date systemen en gebruik unieke wachtwoorden. Door middel van tweestapsverificatie bereik je extra beveiliging. Het kan daarnaast raadzaam zijn om de toegang tot (de inhoud van) bepaalde documenten te beperken door middel van een wachtwoord.
Conclusie
In zijn algemeen geldt dat je de personen van wie je persoonsgegevens verwerkt dient te informeren over wat je, waarom doet met hun persoonsgegevens en waarvoor je die gegevens gebruikt. Het is ook verplicht om te vermelden hoe lang je de gegevens (ongeveer) bewaart. Daarnaast dien je hen erop te wijzen dat ze het recht hebben om bezwaar te maken, om een klacht in te dienen en om een verzoek in te dienen tot inzage, correctie, verwijdering, teruggave en/of beperking van de persoonsgegevens. Vertel hen ook hoe ze dat allemaal kunnen doen. Deze informatie staat in de regel in een privacyverklaring. Zorg dus dat je een privacyverklaring hebt. Om ervoor te zorgen dat deze informatie steeds beschikbaar is, kan je de verklaring op jouw website zetten.