De AVG en de VvE, wat mag wel en wat mag niet!

 

Wat is de AVG?

De AVG ofwel de Algemene Verordening Gegevensbescherming is de nieuwe europese verordening die op 25 mei 2018 ingaat en in heel Europa geldt. Internationaal is deze verordening bekend als General Data Protection Regulation (GDPR). De AVG of GDPR is in het leven geroepen om de privacyrechten te versterken en uit te breiden en legt meer verantwoordelijkheden neer bij organisaties.

De vraag is wat betekent AVG voor de Vereniging van Eigenaars? Wat mag wel en wat mag niet? Wat als u het beheer heeft uitbesteed aan een externe beheerder, heeft dit dan consequenties voor u?

Is de AVG van toepassing voor een VvE?

Ja, de AVG geldt voor iedere organisatie, groot of klein, die persoonsgegevens verwerkt en daarvoor zelf het doel en de middelen bepaalt. Voor de VvE worden persoonsgegevens verwerkt en dus is dus is de AVG ook van toepassing voor de VvE. Maar moeten we nu allemaal in de stress schieten of valt het allemaal wel mee. Belangrijk is dat u de gegevens die u voor de VvE bewaart alleen maar mag gebruiken voor het doel waarvoor u ze heeft gekregen.

 

Een voorbeeld.

Een VvE bestuurder heeft een lijst van eigenaars en bewoners met de privé e-mailadressen voor het geval van calamiteiten. Deze bestuurder wil graag mensen een uitnodiging sturen voor een evenement en kopieert de mailadressen van de lijst. Mag dat?

Nee. De lijst mag alleen gebruikt worden voor VvE aangelegenheden waarvoor toestemming is verkregen.

 

Om welke gegevens gaat het?

Laten we eerst kijken om wat voor een gegevens het gaat. De AVG bevat drie typen persoonsgegevens:

  1. persoonsgegevens
  2. bijzondere persoonsgegevens
  3. strafrechtelijke persoonsgegevens.

Voor de VvE zullen alleen gegevens van het eerste type geregistreerd worden.

Is er een noodzaak om deze gegevens te bewaren?

De noodzaak om gegevens op te slaan toetst u aan de hand van 6 gedefinieerde grondslagen. Deze zijn:

  1. toestemming
  2. noodzakelijk voor de uitvoering van een overeenkomst
  3. noodzakelijk voor het nakomen van een wettelijke verplichting
  4. noodzakelijk ter bescherming van vitale belangen
  5. noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
  6. noodzakelijk voor de behartiging van de gerechtvaardigde belangen

Voor de VvE is het van belang om persoonsgegevens van de eigenaars en de bewoners van het appartementsrecht vast te leggen. Daarnaast dient u ook vast te leggen dat u toestemming heeft om bv. een uitnodiging voor de Vergadering van Eigenaars via de mail te versturen.

Die toestemming verkrijgen is erg belangrijk en door de AVG omschreven als rechtsgeldige toestemming. U moet kunnen aantonen dat u geldige toestemming heeft verkregen. U kunt zelf toetsen of u hierover beschikt door de volgende vragen te stellen: 

  • Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven.
  • Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’.
  • Geïnformeerd: u moet mensen informeren over:
    • de identiteit van u als organisatie;
    • het doel van elke verwerking waarvoor u toestemming vraagt;
    • welke persoonsgegevens u verzamelt en gebruikt;
    • het recht dat zij hebben om de toestemming weer in te trekken. U moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.
  • Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien u als organisatie bij de verwerking meerdere doeleinden heeft, dient u de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.

Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven. Mensen hebben het recht om vergeten te worden, al gaat dat alleen op wanneer binnen de VvE geen reden meer voor is. Een eigenaar of bewoner heeft pas het recht om vergeten te worden wanneer hij die rol niet meer heeft.

Hoe werkt u de gegevens van uw VvE?

Hoe u de gegevens van een VvE verwerkt kan consequenties hebben. Om dit duidelijk te maken hebben we zes verschillende mogelijke verwerkingsvormen gedefinieerd en maken we onderscheid tussen zelfbeheer of extern beheer.

 

Papier

Computer/lokaal

Online

Zelf beheer

DPIA
Verwerkersovereenkomst

Extern beheer

Verwerkersovereenkomst Verwerkersovereenkomst DPIA
Verwerkersovereenkomst &
Sub-verwerkersovereenkomst

Bij zelfbeheer dient u natuurlijk de gegevens alleen te gebruiken voor het doel waar ze voor bedoeld is. Aandacht dient u te besteden aan hoe u de gegevens verwerkt. Wanneer u gebruik maakt van een applicatie die online staat zult u een verwerkersovereenkomst moeten hebben en kan het verstandig zijn om een kleine impact analyse uit te voeren.

Bij extern beheer besteed u aandacht aan hoe de externe beheerders de gegevens verwerkt en van welk gereedschap (software e.d.) ze gebruik maakt, waar deze zich bevind en of er verschillende brongegevens aan elkaar worden gekoppeld. Besteed aandacht aan hoe de privacy van de eigenaars/bewoners gegarandeerd is. Voor de VvE beheerder heeft Rijssenbeek een een AVG-pakket  samengesteld wat de beheerder in staat stelt zich eenvoudig te houden aan de regels van de AVG en de beheerder helpt om VvE’s een goede oplossing te bieden voor de AVG-problematiek. 

Uit gesprekken met onder andere Convect Beheer en Twinq is naar voren gekomen dat beide partijen ver gaan in hoe zij deze gegevens beschermen. Zo geeft Twinq aan de privacy van data te waarborgen in haar algemene voorwaarden en deze in de komende periode nog verder aan te scherpen. Convect Beheer geeft aan dat ze veel aandacht besteed aan ISO 27001 wat in gaat op informatiebeveiliging en de procedures die een organisatie heeft wanneer er zich calamiteiten voordoen.

Moet u een een impact analyse uitvoeren?

De impact analyse of officieel de mooie engelse term, data protection impact assessment (DPIA), die simpel vertaald bepaald dat u een analyse moet uitvoeren op de systemen die u of uw beheerder gebruikt op de impact van data bescherming. Deze vraag kan relevant zijn voor uw VvE of voor uw VvE Beheerder. Het gaat er hier om of u gebruik maakt van databases die aan elkaar gekoppeld zijn of dat u gebruik maakt van nieuwe technologieën. Met name het laatste is van belang wanneer uw beheer applicatie online staat.

De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.

Ook is een DPIA van belang wanneer u meerdere databases met elkaar gekoppeld heeft om zo verschillende gegevensbronnen met elkaar te koppelen.

Wanneer moet u een verwerkersovereenkomst opstellen?

Wanneer uw VvE met een beheerder samenwerkt of gebruik maakt van een extern bedrijf is het van belang om een verwerkersovereenkomst op te stellen om zo te waarborgen dat de privacy van de gegevens van de leden niet door andere partijen mogen worden verwerkt.

De BVVB en de VGM zijn druk bezig met het vastleggen van richtlijnen voor de externe beheerder.

U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar let op: als u de gegevensverwerking door een verwerker laat uitvoeren, dan bent u nog steeds verantwoordelijk voor de naleving van de Algemene verordening gegevensbescherming (AVG).

Wat moet er in een verwerkersovereenkomst staan?

In de overeenkomst legt u onder meer het volgende vast:

  • Het onderwerp en de duur van de gegevensverwerking.
  • De aard en het doel van de gegevensverwerking.
  • Het soort persoonsgegevens.
  • De categorieën van betrokkenen.
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke.

Dit laat zich vertalen in de volgende onderwerpen die in de overeenkomst kunnen worden opgenomen:

  1. Contractspartijen, wie zijn partij bij deze overeenkomst; 
  2. Overwegingen waarin de rollen van de verschillende partijen worden benoemd;
  3. Begrippen, zodat termen als “persoonsgegevens” en “datalek” door alle partijen op dezelfde manier worden uitgelegd;
  4. Wijze en duur verwerking, waarbij je aangeeft welke persoonsgegevens voor welke duur worden verwerkt;
  5. Datalekken, wat moet een verwerker doen wanneer er een datalek is ontdekt;
  6. Battle of forms, hiermee wordt gedoeld op bepalingen in de verwerkersovereenkomst en (bijv.) de algemene voorwaarden, welke bepaling gaat voor;
  7. Teruggave van persoonsgegevens of het vernietigen van persoonsgegevens bij beëindiging van de overeenkomst;
  8. Beveiliging, welke maatregelen neemt de verwerker bij het verwerken van de persoonsgegevens voor de verantwoordelijke;
  9. Auditen, hoe de controle van de beveiliging en naleving van de bepalingen in de overeenkomst plaatsvindt;
  10. Afspraken over de inzet van derde partijen (subverwerkers) door de verwerker;
  11. Internationale verwerking, verwerking buiten de EER en de waarborgen;
  12. Toepasselijk recht, welk recht is van toepassing indien je internationale afspraken maakt.

Een duidelijk voorbeeld van een Verwerkersovereenkomst is hier te vinden.

Tags:
0 Comments

Leave a reply

Your email address will not be published. Required fields are marked *

*

Neem contact op met VvE Centraal

U kunt dit formulier gebruiken om contact op te nemen met VvE Centraal

Sending

wit logo-01

©2018 VvE Centraal, onderdeel van Blue Orange Participaties B.V.

Log in with your credentials

or    

Forgot your details?

Create Account