DUWO – Voldoen aan de AVG maakt ons werk makkelijker

CorporatieGids Magazine sprak met Jolieke Peters, Projectleider ICT bij DUWO, over het zorgen voor soepele bedrijfsvoering bij veranderende regels.

Handhaving van de AVG begin dit jaar betekende een grote verandering voor studentenhuisvester DUWO. Honderdduizenden documenten mochten volgens de nieuwe wetgeving niet langer worden bewaard, en moesten uit de systemen worden verwijderd. Wordt in tijden van big data het kind niet met het badwater weggegooid?

Als studentenhuisvester heeft DUWO te maken met een hoge mutatiegraad, legt Jolieke uit. “Studenten blijven maximaal een aantal jaar in hun woning zitten, en sommige verhuizen zelfs een paar keer per jaar naar een grotere kamer. Bovendien huisvesten we duizenden internationale shortstay-studenten. We hebben daarom een mutatiegraad van ruim 50 procent per jaar. Dit betekent dat we heel veel data ontvangen want voor ieder nieuw contract krijgen we persoonsgegevens en nieuwe bewijsstukken. Daar moeten we nu volgens de AVG-richtlijnen mee omgaan.”

Andere werkwijzen

Op de vraag wat eind 2018 anders gaat vergeleken met een jaar geleden, vertelt Jolieke: “We slaan nu bijvoorbeeld geen legitimatiebewijzen meer op. Na de controle of de tenaamstelling op het contract klopt verwijderen we het document. Daarvoor werd het opgeslagen in ons DMS. Andere benodigde bewijsstukken worden opgeslagen in verschillende mappen met bijbehorende bewaartermijn. De huurder heeft zo nog steeds de mogelijkheid het contract digitaal te tekenen.”

Honderdduizenden bewijsstukken

Maar het dichtdraaien van de kraan betekende niet dat DUWO direct aan de AVG voldeed. “Wat doen we namelijk met alle legitimatiebewijzen die we over de jaren heen hebben opgeslagen? En hoe gaan we om met de pasfoto’s die op andere documenten staan?” Het betekende een grote schoonmaak in de databases. Jolieke: “We hadden honderdduizenden bewijsstukken opgeslagen met een nummer zodat je niet kon zien of het een legitimatie- of studiebewijs is. Alle documenten één voor één bekijken om te zien welke verwijderd moesten worden zou enorm veel tijd innemen, dus hebben we gezocht op steekwoorden. Daarvoor moesten de documenten doorzoekbaar worden gemaakt. Middels optische tekenherkenningssoftware hebben we de juiste documenten kunnen filteren.”

“Om te zorgen dat we het kind niet met het badwater weggooien, hebben we bij het verwijderen van de documenten een handmatige actie toegevoegd. Nadat er automatisch een selectie werd gemaakt van de te verwijderen documenten, zijn we die handmatig langsgelopen.”

Pasfoto’s

Een andere uitdaging voor DUWO was het omgaan met pasfoto’s. “Een foto is een bijzonder persoonsgegeven omdat het iets kan zeggen over iemands ras of geloofsovertuiging. Als corporatie willen we alle persoonsgegevens die niet noodzakelijk zijn niet opvragen of opslaan. We hebben echter wel de studiebewijzen nodig omdat onze huurders moeten kunnen aantonen dat ze student zijn. Hiervoor worden vaak kopieën van een collegekaart gestuurd, met pasfoto. In samenwerking met onze softwareleveranciers worden foto’s nu automatisch herkend en vervaagd, zodat de foto onherkenbaar is.”

Nauwe samenwerking

Bij het aanpakken van de AVG-uitdagingen heeft DUWO nauw samengewerkt met haar softwareleveranciers. “Onze DMS-leverancier Van Dinther heeft met ons meegedacht hoe we legitimatiebewijzen uit ons systeem konden verwijderen. Ze zijn ook nauw betrokken geweest bij het opnieuw inrichten van hun oplossing E-Content waar nu bewaartermijnen zijn ingesteld, zodat documenten automatisch worden vernietigd na het verstrijken ervan. Daarnaast heeft Van Dinther voor ons een tool ontwikkeld die een document genereert waar de metadata van de documenten van een huurder in staan, dat we kunnen gebruiken voor het recht op inzage.”

“Met Van Dinther, onze klantportaalleverancier Zig Websoftware en ERP-leverancier Aareon hebben we regelmatig bij elkaar gezeten om de processen langs te lopen waarin we te maken hebben met persoonsgegevens. Samen hebben we een Privacy Impact Assessment gemaakt waarin we voor elk persoonsgegeven hebben gekeken of het noodzakelijk is om het op te vragen en op te slaan. Dit heeft voor ons de basis gevormd om AVG-ready te worden.”

Makkelijker werken

Volgens Jolieke heeft het voldoen aan de AVG het werk voor DUWO makkelijker gemaakt. “De data die noodzakelijk is om onze woningen goed te verhuren wordt beter gestructureerd bewaard tot het niet meer nodig is. Daarna wordt deze verwijderd. Zo is ook het zoeken naar gegevens in E-Content sneller en makkelijker geworden.”

Leren van fouten

DUWO heeft daarbij ‘geleerd van haar fouten’, legt Jolieke uit. “We slaan nu bijvoorbeeld niet langer alle bewijsstukken in één map op, maar in aparte mappen. Dit helpt ons makkelijker te voldoen aan bewaartermijnen. Studiebewijzen bewaren we bijvoorbeeld tot zeven jaar nadat de huurder vertrokken is, terwijl inkomensbewijzen twee jaar na ontvangst worden verwijderd. Omdat de documenten automatisch worden verwijderd, weten we zeker dat we aan de wetgeving voldoen.”

Continue aandacht

“Ik denk niet dat je ooit helemaal klaar zult zijn met de AVG,” sluit Jolieke het gesprek af. “Je kunt veel regelen en binnen processen verwerken, maar er moet continu aandacht voor blijven. Bijvoorbeeld voor medewerkers, maar ook bij leveranciers en andere partijen waarmee we samenwerken. Er worden met regelmaat nieuwe samenwerkingsovereenkomsten of -convenanten tussen partijen afgesloten, zoals met de gemeente, politie of hulpverlenende partijen. Daar moet je behoorlijk wat tijd en energie in steken. Momenteel zijn we bezig met de laatste opschoonacties in ons DMS en proberen meteen de verkenner en mailboxen van medewerkers mee te nemen. Voor de AVG hebben we ook een SharePoint-omgeving ingericht. Hier kunnen we op een veilige manier documenten met veel persoonsgegevens sturen naar derde partijen. Verder zijn we wijzigingen aan het aanbrengen in het versturen van bulk e-mails over algemene zaken en zijn we bezig onze testomgeving te pseudonimiseren zodat we straks alleen testen met fictieve gegevens. Op deze manier blijven we alert en zijn we steeds bezig met het beschermen van persoonsgegevens.”

Bron: CorporatieGids Magazine, december editie 2018
Foto’s: Heidi Borgart