Hoofddorp, 23 mei 2O18
R.J.F. Fanchamps Xxxxxxxxxx 00 K 1O58HE AMSTERDAM
Hoofddorp, 23 mei 2O18
Onderwerp: AVG informatie voor VvE Plaats Royaal
Geachte bestuursleden,
Hierbij ontvangt u ons informatiepakket inzake de AVG.
Ieder bestuurslid ontvangt de samenwerkingsovereenkomst (bladzijde 6 - 11) maar wij verzoeken u om maar 1 versie te retourneren.
Alvast onze dank voor uw medewerking. Met vriendelijke groet,
Xxxxxx Xxxxxx Xxxxxx XxX Xxxxxx
1
Beste bestuursleden,
Zoals u wellicht gelezen en/ of gehoord hebt gaat er het e.e.a. veranderen in de wetgeving m.b.t. Privacy. In Nederland wordt privacy nu beschermd door de Wet bescherming persoonsgegevens (Wbp). Op 25 mei 2018 wordt deze wet vervangen door een in heel Europa geldende verordening: een Europese wet die direct van toepassing is in alle landen van de Europese Unie.
In de basis verschilt de Wbp uit 2001 niet zoveel van de Algemene Verordening Gegevensbescherming (AVG). De AVG geeft betrokkenen meer rechten als het gaat om het verwerken van persoonsgegevens. Daarnaast wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven, transparant te zijn over de omgang met persoonsgegevens én om te kunnen aantonen dat zij zich aan de wet houden. De (belangrijkste) verschillen komt u later in dit document tegen.
Voor u als bestuur(der) heeft dit ook gevolgen. In de AVG wordt er een belangrijk onderscheid gemaakt in de “verwerkingsverantwoordelijke” en de “verwerker”.
Wat is een verwerkingsverantwoordelijke?
Een verwerkingsverantwoordelijke is volgens de AVG degene die het doel en de middelen voor de verwerking bepaalt. Met andere woorden, de verwerkingsverantwoordelijke bepaalt waarom er persoonsgegevens worden verzameld en hoe dat dan gebeurt.
Wat is een verwerker?
De verwerker is een externe, aparte partij en dus niet, bijvoorbeeld, een werknemer van de verwerkingsverantwoordelijke. De verwerker krijgt opdracht om voor het doel dat door de verwerkingsverantwoordelijke is bepaald persoonsgegevens te verwerken. De verwerker mag dus niets anders doen met de persoonsgegevens buiten de opdracht om. Met andere woorden, de verwerker verwerkt ten behoeve van de verwerkingsverantwoordelijke. Voordat een verwerkingsverantwoordelijke persoonsgegevens deelt met een verwerker moet hij een verwerkersovereenkomst sluiten. Hierin moet onder andere heel duidelijk staan wat de verwerker precies met de persoonsgegevens mag doen. In praktijk is de verwerker vaak degene die de middelen voor verwerking bepaalt (software, etc.). Meer uitleg vindt u tevens in bijlage.
Wat is verwerken van persoonsgegevens in de zin van de AVG?
Het verwerken van persoonsgegevens omvat elke handeling met betrekking tot persoonsgegevens. Voorbeelden hier van zijn het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van persoonsgegevens. De wet ziet op zowel analoge als geautomatiseerde verwerkingsprocessen.
Wat betekent dit voor de VvE (bestuur) en de beheerder?
De VvE en de beheerder zijn samen verwerkingsverantwoordelijke. Dit betekent dat wij samen verantwoordelijk zijn voor een juiste verwerking van de persoonsgegevens. Uiteraard zorgen wij als beheerder ervoor dat uw persoonsgegevens veilig zijn door met goed beveiligde software te werken. Al onze software is volledig beveiligd en zowel de software als onze IT-afdeling hebben reeds aangegeven volledig AVG-proof te zijn. Als VvE bestuurder bent u ook verantwoordelijk voor het beveiligen van de persoonsgegevens van uw mede-eigenaren. Een datalek is al snel aan de orde dus wees voorzichtig met alle correspondentie en stukken van uw VvE! Een aantal simpele voorbeelden van een datalek zijn:
- Verlies van USB-stick met VvE gegevens / ledenlijst.
- Kwijt raken fysieke map met VvE stukken.
- Ledenlijst naar verkeerd emailadres sturen.
Dit zijn simpele zaken maar wel iets om rekening mee te houden! Zorg dus dat u zorgvuldig met alle gerelateerde VvE stukken omgaat. Dit is uiteindelijk niet anders dan voor de AVG wetgeving, echter het is wel goed om er stil bij te staan en om goede maatregelen te nemen. Bijlage 3 verschaft u veel basisinformatie over
2
de AVG. Dit stuk is vanuit het oogpunt van de VvE beheerder geschreven maar bevat ook voor u een hoop relevante informatie.
Aangezien onze interpretatie van de wet is dat wij gezamenlijk verwerkingsverantwoordelijke zijn, proberen wij u als bestuurder zoveel mogelijk werk uit handen te nemen. Eén van de eisen van een verwerkingsverantwoordelijke is dat er een verwerkingsregister wordt bijgehouden. Om u grotendeels op weg te helpen hebben wij deze reeds voor u gemaakt. Deze zal per VvE wat verschillen maar ik denk dat u hier al aardig mee op weg kan. U kunt het aanpassen naar believen en ik adviseer u om 1 bestuurslid als “AVG- verantwoordelijke” aan te wijzen. Hij/ zij is dan verantwoordelijk voor het verwerkingsregister.
Het is goed dat de AVG veel onder de aandacht is gebracht maar voor de VvE’s en besturen vallen de veranderingen mee. U moet goed bewust zijn van het feit wat een datalek is en hoe snel dat kan gebeuren echter daarnaast is het ook belangrijk om te realiseren dat wij geen bijzondere gegevens (medisch, etnisch, etc.) verwerken maar dat het alleen maar om NAW-gegevens gaat. Uiteraard is het van belang om ook daar juist mee om te gaan maar de schade bij een datalak zal altijd betrekkelijk klein zijn. En dat is ook vanuit de betrokken instanties een zwaarwegend feit.
Bewaar daarom ook alleen de noodzakelijke gegevens van uw mede-eigenaren en probeer geen data te bewaren die u niet nodig hebt om uw bestuursfunctie goed uit te kunnen oefenen.
Onderstaand hebben wij een aantal praktijkvragen uitgeschreven die u misschien nog wat meer duidelijkheid geven.
Aangezien wij (beheerder en VvE) samen verantwoordelijk zijn is het van belang om een samenwerkingsovereenkomst te sluiten. Deze treft u in tevens in bijlage aan. U hebt een machtiging nodig van de vergadering om deze overeenkomst aan te gaan echter de overeenkomst is verplicht. We hebben daarom een bepaling (artikel 14) opgenomen in de overeenkomst dat op de eerst volgende vergadering de overeenkomst alsnog kan worden ontbonden.
Wij verzoeken u vriendelijk de overeenkomst door te nemen en getekend aan ons te retourneren (via één bestuurder).
Mocht u nog vragen hebben of als het e.e.a. nog onduidelijk is dan horen wij dat graag. U kunt uw vragen mailen naar xxx@xxxxxx-xxx.xx.
X. Xxxxxx
Munnik VvE Beheer
3
Verschil AVG en WBP
Het verschil tussen de AVG en WBP, is dat de AVG boven de al bestaande Wet Bescherming Persoonsgegevens zal komen te staan met strengere regels en hogere sancties. We zetten voor u kort de verschillen tussen de AVG en WBP op een rij.
Gehele EU
In tegenstelling tot de WBP zal de AVG in de gehele EU van toepassing zijn. Het begrip persoonsgegeven verandert: zo vallen gegevens gekoppeld aan IP-adressen, MAC- adressen, cookies en dergelijke ook onder de wet.
Toestemming vragen
Er moet, bij meerdere verwerkingen van persoonsgegevens, voor alle verwerkingen afzonderlijk toestemming gevraagd worden. Bedrijven mogen abonnementen niet meer stilzwijgend verlengen en alles moet in duidelijke taal omschreven worden. Als organisatie moet u mensen ook wijzen op hun rechten. Zo mogen consumenten hun dossier inzien, hun gegevens aanpassen en hun dossier laten vernietigen.
Documentatie
Alle verwerkingen omtrent persoonsgegevens moeten gedocumenteerd worden, zo ook de personeelsadministratie en de nieuwsbrieven. In de WBP bestond de meldplicht voor datalekken al. In de AVG is het nieuw dat deze datalekken ook daadwerkelijk moeten worden gedocumenteerd. Daarnaast is melding aan de verantwoordelijke, een eis.
Ook moeten alle organisaties aantonen ‘compliant’ te zijn met de AVG. Zo moeten organisaties werken volgens ‘privacy by design’. Dit houdt in dat u vanaf beginsel in het design rekening houdt met de privacy van betrokkenen. Nog een bekende term hierin is ‘privacy by default’, wat inhoudt dat de standaardinstellingen privacy-vriendelijk zijn en duidelijk is dat er niet meer persoonsgegevens verwerkt worden dan strikt noodzakelijk.
Verwerkingsovereenkomst
In de WBP werd nog gesproken over een bewerkersovereenkomst, nu heet dit een verwerkingsovereenkomst. Hierin worden specifieke afspraken gemaakt over de omgang met persoonsgegevens. Besteed u diensten uit waarin persoonsgegevens van klanten worden verwerkt, dan moet u hier nu toestemming voor vragen aan die betreffende klant.
4
Voorbeelden
Wat is verwerken van persoonsgegevens?
Onder verwerken valt o.a. verzamelen, vastleggen, ordenen, opslaan, wijzigen, raadplegen, gebruiken, vernietigen en wissen van persoonsgegevens.
Moet een kleine vereniging met slechts 15 a 20 leden ook aan de AVG voldoen?
Ja, iedere organisatie die persoonsgegevens opslaat en/ of verwerkt moet voldoen aan de AVG
Soms verstrekken wij gegevens aan derden (bijvoorbeeld voor het uitzetten van klachten bij de aannemer of loodgieter, etc.), wie moet er dan voor zorgen dat aan de AVG voldaan wordt?
Indien je persoonsgegevens verstrekt aan een derde ben jij de zogenaamde verwerkingsverantwoordelijke. Dat betekent dat je ervoor moet zorgen dat aan de derde wordt duidelijk gemaakt hoe deze derde met de verstrekte persoonsgegevens dient om te gaan.
Je moet een verwerkersovereenkomst sluiten waarin onder andere staat wat je met welke gegevens van welke soort betrokkene mag doen, voor hoelang en dat u deze moet beveiligen.
Als VvE bestuur hebben wij een (eigen) mailinglist zodat wij alle leden kunnen mailen wanneer de glazenwasser komt. Mag dit?
Ja. Allereerst moet u als bestuurder altijd uw mede-eigenaren kunnen bereiken. Dan is het hebben van zo’n lijst dus noodzakelijk om uw bestuursfunctie goed uit te kunnen voeren. Om toch aan de AVG te kunnen voldoen zou u nu het beste alle bewoners in de BCC kunnen mailen i.p.v. in de CC. Het is namelijk niet noodzakelijk dat de bewoners onderling de email-adressen van elkaar hebben (om die eventueel voor andere doeleinden te gebruiken). Overigens moet je hier ook weer stilstaan bij het feit dat het hoogstens om het ‘lekken’ van een emailadres gaat.
Hoe kan ik ledengegevens veilig beschermen tegen diefstal en verlies?
Om persoonsgegevens van de leden van jouw vereniging te beschermen tegen verlies of diefstal moet je back-ups maken. Veilige back-ups, uiteraard. Verder een paar tips:
- Zorg dat je regelmatig back-ups maakt.
- Test regelmatig of de back up werkt en beveilig het met een wachtwoord.
- Wees voorzichtig met USB-sticks. Deze kunnen makkelijk kwijt raken/ gekopieerd en/ of gestolen worden. Het gebruik van een externe harde schijf is dan veiliger die je achter ‘slot en grendel’ kan bewaren.
- Probeer zorgvuldig om te gaan met papierwerk met persoonsgegevens. Het idee is dat dit niet onder ogen van onbevoegden kan komen.
Hoe lang mag ik gegevens van oud- leden bewaren?
Onder de AVG gelden dezelfde regels omtrent de bewaartermijn als nu. Het uitgangspunt blijft dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van de verwerking, en dat persoonsgegevens zowel digitaal (bijv. in Excel) als fysiek (bijv. het aanmeldingsformulier) vernietigd moeten worden. Bij fysieke documenten geldt daarbij dat alleen verscheuren en weggooien is niet voldoende is, maar je de papieren moet versnipperen.
Met uitzondering van financiële gegevens die je zeven jaar moet bewaren, is op dit moment nog niet duidelijk hoe lang je persoonsgegevens mag of moet bewaren. De Stichting AVG volgt de ontwikkelingen op de voet en zodra er meer bekend is, informeren zij de gebruikers van de AVG-tool hierover. Het advies voor nu luidt om zelf de bewaartermijn van persoonsgegevens te bepalen en als dit niet mogelijk is, in ieder geval de criteria voor het vaststellen van de bewaartermijn vast te leggen. De vastgestelde bewaartermijnen en/of criteria neem je vervolgens op in de privacyverklaring.
Bijlage 1
1
AVG SAMENWERKINGSOVEREENKOMST
De ondergetekenden:
Bedrijf: Munnik VvE Beheer
Gevestigd: Xxxxxxxx 000, 0000 XX Xxxxxxxxx
KvK: 34065127
Rechtsgeldig vertegenwoordigd: de heren X. Xxxxxx & X. Xxxxxx hierna: “Beheerder”;
VvE:
Gevestigd te :
Rechtsgeldig vertegenwoordigd:
Hierna: “VvE”;
in overweging nemende dat:
0000 XX Plaats
X. xx Xxxxxxxxx en de VvE een overeenkomst zijn aangegaan, waarbij de Beheerder een professionele ondernemer is die diensten op het gebied van beheer aanbiedt aan de VvE en waarvoor de VvE een bepaalde vergoeding aan de Beheerder betaalt (hierna: “Beheerovereenkomst”);
X. xx Xxxxxxxxx in het kader van de Beheerovereenkomst zal handelen conform de norm van een redelijk handelend en redelijk vakbekwaam beheerder, waarbij de Beheerder tevens zo goed als mogelijk zich zal vergewissen van relevante wettelijke veranderingen;
C. in het kader van de relevante wettelijke veranderingen, de Beheerder (bij deze) de VvE wijst op het op 25 mei 2018 in werking treden van de Algemene Verordening Gegevensbescherming (hierna: “AVG”), en de Uitvoeringswet algemene verordening gegevensbescherming (hierna: “Uitvoeringswet AVG”);
X. xx Xxxxxxxxx en de VvE hun rechten en plichten die over en weer voortvloeien uit de AVG en de Uitvoeringswet AVG – voor zover mogelijk – willen vastleggen middels deze overeenkomst (hierna: “Overeenkomst”);
X. xx Xxxxxxxxx en de VvE samen het doel van en de middelen voor de verwerking van persoonsgegevens vaststellen, zodat zij gezamenlijke verwerkingsverantwoordelijken zijn;
X. xx Xxxxxxxxx en de VvE middels de Overeenkomst op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van de AVG willen vaststellen, met name met betrekking tot de uitoefening van de rechten van de betrokkenen en hun respectieve verplichtingen om de informatie te verstrekken zoals bedoeld in artikel 13 en 14 AVG, te meer nu daarover in de Uitvoeringswet AVG geen, althans onvoldoende regels zijn vastgelegd;
G. de Overeenkomst tevens regelt welke rol de Xxxxxxxxx en de VvE vervullen ten aanzien van hun gezamenlijke verwerkingsverantwoordelijkheden en wat hun respectieve verhouding met de betrokkenen is;
2
zijn het volgende overeengekomen: Artikel 1. Definities
▪ Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
▪ Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens. Denk daarbij aan verzamelen, structureren, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, afschermen, wissen en vernietigen.
▪ Beperken van de verwerking: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken.
▪ Betrokkene: degene van wie de Persoonsgegevens worden verwerkt.
▪ Profilering: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijk persoon worden geëvalueerd.
▪ Pseudonimisering: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt.
▪ Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.
▪ Verwerkingsverantwoordelijke: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
▪ Verwerker: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
▪ Ontvanger: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt.
▪ Derde: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.
▪ Toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.
▪ Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
▪ Gegevens over gezondheid: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijk persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.
▪ Onderneming: een natuurlijk persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van maatschappen en persoonsvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen.
▪ Toezichthoudende autoriteit: een door een lidstaat ingevolge artikel 51 AVG ingestelde onafhankelijke overheidsinstantie (Autoriteit Persoonsgegevens).
3
Artikel 2. Totstandkoming, duur, beëindiging en toepassing van de Overeenkomst
1.1 De Overeenkomst vloeit voort uit de Beheerovereenkomst die de Beheerder en de VvE met elkaar zijn aangegaan. De Overeenkomst is onlosmakelijk verbonden met de Beheerovereenkomst en eventuele overige voorwaarden die in de Beheerovereenkomst van toepassing zijn verklaard.
1.2 De Overeenkomst wordt aangegaan voor onbepaalde tijd en kan niet worden opgezegd.
1.3 De Overeenkomst eindigt zodra de Beheerder - na beëindiging van de Beheerovereenkomst - de Persoonsgegevens aan de VvE heeft verstrekt overeenkomstig artikel 9 van de Overeenkomst.
1.4 Zowel tijdens de looptijd als na beëindiging van de Beheerovereenkomst blijft de VvE onverminderd verplicht om op eerste verzoek van de Beheerder volledige medewerking te verlenen die nodig is om als Beheerder aan de AVG en de Uitvoeringswet AVG te kunnen (blijven) voldoen.
1.5 De Beheerder en de VvE zullen de lopende verplichtingen ten aanzien van Persoonsgegevens blijven nakomen, indien daarvan na beëindiging van de Overeenkomst nog sprake is.
1.6 De Overeenkomst is van toepassing op de verwerking van persoonsgegevens in het kader van de uitvoering van de Beheerovereenkomst.
Artikel 3. Rolverdeling/taken
3.1 De Beheerder en de VvE dragen er beide zorg voor dat Persoonsgegevens ten aanzien van de betrokkene op een rechtmatige, behoorlijke en transparante wijze worden verwerkt.
3.2 In het verwerkingsregister is bepaald welke Persoonsgegevens door de Beheerder worden verwerkt, voor welke doeleinden die Verwerking is bestemd en wie waarvoor verantwoordelijk is.
3.3 De VvE staat in directe verhouding tot de Betrokkene, aangezien de Betrokkene - in beginsel - uitsluitend eigenaars of gebruikers zijn van appartementsrechten binnen de VvE.
3.4 De Beheerder staat (via de VvE) in een indirecte verhouding tot de Betrokkene, op grond van de Beheerovereenkomst die de VvE op basis van een besluit van de vergadering van eigenaars met de Beheerder is aangegaan.
3.5 De VvE is verantwoordelijk ten aanzien van de door de Beheerder uit te voeren Verwerking(en) in opdracht van de VvE.
3.6 De Beheerder en de VvE zijn ieder afzonderlijk van elkaar gehouden de AVG, de Uitvoeringswet AVG en overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens na te leven en overeenkomstig te handelen.
3.7 Wanneer de Beheerder en/of de VvE een verzoek ontvangt van een Betrokkene aangaande het uitoefenen van zijn rechten, zullen de Beheerder en de VvE voor dat deel waarvoor zij verantwoordelijk zijn, ervoor zorgen dat de Betrokkene zijn rechten die voortvloeien uit de AVG, de Uitvoeringswet AVG en overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens effectief kan uitoefenen.
Artikel 4. Verkrijgen en gebruiken Persoonsgegevens
4.1 De Beheerder en de VvE dienen passende maatregelen te nemen zodat de Betrokkene de informatie en communicatie in verband met de Verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijk en eenvoudige taal ontvangt.
4.2 De Beheerder dient passende maatregelen te nemen zodat het VvE bestuur te allen tijde zonder tussenkomst van de beheerder kan beschikken over de persoonsgegevens van de leden.
4.3 De VvE is verantwoordelijk voor de juistheid van de Persoonsgegevens die zij aan de Beheerder verstrekt.
4.4 De Beheerder en de VvE zullen ieder voor dat deel waarvoor zij verantwoordelijk zijn, de Betrokkene waarvan de Persoonsgegevens afkomstig zijn, correct moeten informeren.
4.5 Als de Persoonsgegevens bij de Betrokkene worden verzameld, dient aan de Betrokkene bij de verkrijging van de Persoonsgegevens reeds de volgende informatie te worden verstrekt, te weten:
a. identiteit en contactgegevens van de Beheerder/de VvE;
b. het doel waarvoor de Persoonsgegevens zijn bestemd en de rechtsgrond voor de Verwerking;
c. als de rechtsgrond voor de Verwerking, de gerechtvaardigde belangen van de Beheerder, de VvE of een Derde (zoals een lid van de VvE) betreft, de onderbouwing van die gerechtvaardigde belangen;
d. indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming;
e. indien van toepassing, de ontvangers of categorieën van ontvangers van de Persoonsgegevens;
4
f. voor welke periode de Persoonsgegevens worden opgeslagen, dan wel welke criteria daarvoor worden gehanteerd;
g. dat de Betrokkene recht heeft de Beheerder of de VvE te verzoeken om inzage van, rectificatie of verwijdering van Persoonsgegevens of beperking van de Verwerking, alsmede het recht tegen de Verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
h. indien voor de Verwerking toestemming is verleend door de Betrokkene, hij het recht heeft de toestemming op elk moment in te trekken;
i. de Betrokkene het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens;
j. dat de verstrekking van Persoonsgegevens is gebaseerd op de Beheerovereenkomst, tenzij de verstrekking is gebaseerd op een wettelijke verplichting, waarbij die wettelijke verplichting alsdan moet worden vermeld;
k. of de betrokkene verplicht is de Persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn als hij dat niet doet.
4.6 Als de Persoonsgegevens niet van de Betrokkene zijn verkregen, dan dient alsnog de volgende informatie aan de Betrokkene te worden verschaft, te weten:
a. identiteit en contactgegevens van de Beheerder/de VvE;
b. het doel waarvoor de Persoonsgegevens zijn bestemd en de rechtsgrond voor de Verwerking;
c. de betrokken categorieën van Persoonsgegevens;
d. indien van toepassing, de ontvangers of categorieën van ontvangers van de Persoonsgegevens;
e. indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming;
f. voor welke periode de Persoonsgegevens worden opgeslagen, dan wel welke criteria daarvoor worden gehanteerd;
g. als de rechtsgrond voor de Verwerking, de gerechtvaardigde belangen van de Beheerder, de VvE of een Derde (zoals een lid van de VvE) betreft, de onderbouwing van die gerechtvaardigde belangen;
h. dat de Betrokkene recht heeft de Beheerder of de VvE te verzoeken om inzage van, rectificatie of wissing van Persoonsgegevens of beperking van de Verwerking, alsmede het recht tegen de Verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
i. indien voor de Verwerking toestemming is verleend door de Betrokkene, hij het recht heeft de toestemming op elk moment in te trekken;
x. xx Xxxxxxxxxx het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens;
k. de bron waar de Beheerder of de VvE de Persoonsgegevens van heeft verkregen.
4.7 Indien artikel 4.5 van toepassing is, dan dient de informatie zoals daarin beschreven, aan de betrokkene te worden verstrekt:
a. uiterlijk binnen één maand na de verkrijging van de Persoonsgegevens, of zoveel eerder als mogelijk; of
b. uiterlijk op het eerste moment van contact met de betrokkene, ingeval de Persoonsgegevens daarvoor worden gebruikt; of
c. uiterlijk op het moment waarop de Persoonsgegevens voor het eerst aan een andere ontvanger worden verstrekt, ingeval de Persoonsgegevens daarvoor worden gebruikt.
4.8 De Beheerder en de VvE behoeven niet aan de informatieverstrekking zoals bepaald in artikel 4.4 en 4.5 te voldoen, als de Betrokkene reeds over die informatie beschikt.
4.9 Indien de Beheerder of de VvE voornemens is Persoonsgegevens te gebruiken voor een ander doel dan waarvoor die zijn verkregen, dan degene die dat wenst, de Betrokkene te informeren over dat doel, met inachtneming van hetgeen in artikel 4.4 en 4.5 in de Overeenkomst is bepaald.
4.10Persoonsgegevens worden - met instemming van de VvE - opgenomen in een gegevensbestand. Deze gegevens worden alleen gebruikt voor de uitvoering van de Beheerovereenkomst.
Artikel 5. Datalekken
5.1 Indien bij de Beheerder of de VvE een datalek heeft plaatsgevonden waarbij het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een (hoog) risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dient de partij waarbij het datalek heeft plaatsgevonden dit binnen 24 uur bij de ander te melden, alsook binnen 72 uur te melden bij de Autoriteit Persoonsgegevens via haar meldloket.
5.2 Als niet duidelijk is of het datalek bij de Beheerder dan wel bij de VvE heeft plaatsgevonden, dan maakt degene onder wiens verantwoording de betreffende Persoonsgegevens vallen melding van het datalek bij de Autoriteit Persoonsgegevens.
5
5.3 De Beheerder en de VvE verlenen elkaar alle informatie en medewerking die is vereist indien sprake is van een datalek en houden elkaar volledig op de hoogte over de voortgang na de melding van het datalek.
5.4 De kosten om het Datalek op te (laten) lossen komen voor de partij waar het datalek heeft plaatsgevonden, dan wel indien daarover onduidelijkheid bestaat, voor de partij onder wiens verantwoording de betreffende Persoonsgegevens vallen (zie bijlage 1).
Artikel 6. Procedure rechten betrokkenen
6.1 Indien een Betrokkene een verzoek wil indienen aangaande de uitoefening van één of meerdere van zijn rechten op basis van de AVG, de uitvoeringswet AVG, dan wel overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, dient dit verzoek te worden gericht aan de VvE.
6.2 De VvE zendt dit verzoek binnen redelijke termijn, doch uiterlijk binnen 14 dagen door aan de Beheerder, waarna de Beheerder met de VvE in overleg treedt over de wijze waarop dat verzoek zal worden afgehandeld.
6.3 Indien de Beheerder en de VvE het niet eens zijn over de afhandeling van een verzoek, dan bepaalt degene onder wiens verantwoording de betreffende Persoonsgegevens vallen (zie bijlage 1).
Artikel 7. Kosten
7.1 De Beheerder is gerechtigd een redelijke vergoeding van de VvE te vorderen aangaande werkzaamheden die de Beheerder dient te verrichten in het kader van de Overeenkomst, terwijl die werkzaamheden geen onderdeel uitmaken van de taken waarvoor de VvE aan de Beheerder een beheervergoeding betaalt op basis van de Beheerovereenkomst. Vergoeding komt alleen in aanmerking wanneer de VvE ontzorgt wordt doordat de beheerder de VvE AVG verplichtingen op zich neemt. De beheerder moet zelf ook aan zijn wettelijke verplichting voldoen en dat komt (uiteraard) niet in aanmerking voor vergoeding.
7.2 Voor zover kosten worden gemaakt voor het oplossen van schendingen van de AVG, de uitvoeringswet AVG, dan wel overige wet- en regelgeving, dan zijn de daarmee verband houdende kosten voor de partij onder wiens verantwoording de betreffende Persoonsgegevens vallen (zie bijlage 1).
Artikel 8. Aansprakelijkheid
8.1 De Beheerder en de VvE verklaren dat zij zich bij het verrichten van werkzaamheden waarbij sprake is van Verwerking van Persoonsgegevens, althans waarop de AVG, de Uitvoeringswet AVG en overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zullen conformeren aan deze regeling.
8.2 Indien de Beheerder of de VvE in strijd met het in dit artikel bedoelde gebod handelt, zal zij de ander vrijwaren voor alle eventuele boetes en/of andere sancties die worden opgelegd door een daartoe bevoegd orgaan in verband met enige vermeende of geconstateerde overtreding van de andere partij van de AVG, de Uitvoeringswet AVG en overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, alsmede voor schade die een direct dan wel indirect gevolg hiervan is.
Artikel 9. Teruggave Persoonsgegevens na beëindiging Overeenkomst
9.1 Ingeval van beëindiging van de Beheerovereenkomst, zal de Beheerder binnen een termijn van 6 weken na het einde van de Overeenkomst de haar ter beschikking gestelde Persoonsgegevens in zodanige staat brengen dat deze eenvoudig kunnen worden overgedragen aan het bestuur van de VvE, ongeacht de reden van beëindiging.
9.2 Ingeval de Beheerder zelf is aangewezen als bestuur van de VvE, dan wel ingeval een bestuur ontbreekt, is de Beheerder gerechtigd de Persoonsgegevens onder zich te houden tot het moment dat de VvE een (nieuw) bestuur heeft benoemd, waarna de Persoonsgegevens alsnog binnen de termijn zoals beschreven in artikel 9.1 Overeenkomst aan het (nieuwe) bestuur zal worden verstrekt.
9.3 Ingeval artikel 9.2 Overeenkomst van toepassing is en de VvE niet binnen 6 maanden na beëindiging van de Beheerovereenkomst een (nieuw) bestuur heeft benoemd, is de Beheerder gerechtigd de door haar daadwerkelijk gemaakte kosten van de VvE te vorderen aangaande werkzaamheden die de Beheerder dient te verrichten voor het bewaren van de Persoonsgegevens en het blijven voldoen aan de AVG, de Uitvoeringswet AVG en overige wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
9.4 De Overeenkomst eindigt op het moment dat de Beheerder de Persoonsgegevens aan het (nieuwe) bestuur heeft verstrekt.
6
Artikel 10. Bewaartermijn en vernietiging Persoonsgegevens
10.1 De Beheerder zal de Persoonsgegevens vernietigen nadat deze zijn verstrekt aan het bestuur van de VvE, dan wel indien de wettelijke bewaartermijn is verstreken, dan wel indien de Beheerder in redelijkheid kan oordelen dat het bewaren van de gegevens geen wezenlijk doel meer rechtvaardigt.
Artikel 11. Toepasselijk recht
11.1 Op de Overeenkomst tussen de Beheerder en de VvE is Nederlands recht van toepassing.
Artikel 12. Wijzigingen en/of aanpassen Overeenkomst
12.1 De Beheerder behoudt zich het recht voor de Overeenkomst aan te vullen en te wijzigen indien nieuwe (dwingende) wet- of regelgeving noopt tot (gedeeltelijke) aanpassing; die zal na kennisgeving de VvE binden, tenzij de nieuwe overeenkomst binnen 30 dagen na toezending aan de VvE schriftelijk wordt verworpen, waarbij het recht op verwerpen niet bestaat indien de wijziging een gevolg is van een nieuwe regel of wet van overheidswege.
Artikel 13. Slotbepaling
13.1 Voor zover (een) bepaling(en) in de Overeenkomst in rechte word(t)(en) vernietigd, dan wel nietig word(t)(en) verklaard, dan wel anderszins niet als rechtsgeldig wordt beoordeeld, laat dit de overige bepalingen in de Overeenkomst onverlet en blijven de in stand gelaten bepalingen dus onverminderd gelden.
Artikel 14. Ontbindende voorwaarde
14.1 Indien ten tijde van het ondertekenen van de Overeenkomst door het bestuur van de VvE, nog geen besluit is genomen door de vergadering van eigenaars waarin het bestuur wordt gemachtigd om namens de VvE de Overeenkomst met de Beheerder aan te gaan, dan geldt dat de Overeenkomst wordt aangegaan onder de ontbindende voorwaarden dat de vergadering van eigenaars het bestuur niet (alsnog) machtigt de Overeenkomst aan te gaan met de Beheerder.
14.2 Als de vergadering van eigenaars besluit om het bestuur niet te machtigen namens de VvE de Overeenkomst aan te gaan met de Beheerder, dan kan het bestuur een beroep doen op de ontbinding van de Overeenkomst, waarbij de ontbindingsverklaring aan de Beheerder schriftelijk dient te geschieden.
Namens beheerder:
23 mei 2018
datum
Namens bestuur:
datum
Xxx. X. Xxxxxx
handtekening handtekening
Bijlage 2
Verwerkingsregister
Naam | Adres | Postcode | Plaats | Telefoon | |
Verantwoordelijke
Omschrijving verwerking | Toestemming | Overeenkomst | Wettelijke Plicht | Vitale belangen | Gerechtvaardigd | Verwerkings-doelen | Verwerkingsverantwoordelijke | Categorieën betrokkenen | Categorieën persoonsgegevens | Categorieën ontvangers | beoogde bewaartermijn | Algemene beschrijving-beveiliging | Software/ systeem |
Administratief/ financieel beheer | |||||||||||||
Persoonsgegevens bewaren/ verwerken voor het controleren/ ondersteunen van de debiteurenadministratie van de VvE. Daarbij worden betalingsgegevens van de eigenaren verwerkt en opgeslagen. | X | Verzorgen en/ of controleren van de debiteurenadministratie en het voeren van correspondentie hierover. | Munnik VvE Beheer en VvE. | Leden van de VvE, Bestuur. | NAW-gegevens, e-mailadressen en bankrekeningnummers. | Bestuur, VvE beheerder, incassobureaus, gerechtsdeurwaarders, advocaten en overheidsinstanties. | De bewaartermijn van de VvE financiële administratie bedraagt 7 jaar. Dit schrijft de wet voor (artikel 2:10 BW). De overige gegevens worden bewaard zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende bestuurder). | De database die hiervoor wordt gebruikt is reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Microsoft Office, Convect | ||||
Persoonsgegevens verwerken in het kader van overdracht van een appartementsrecht. | X | Verzorgen, controleren en/of bijhouden van accurate ledenadministratie. | Munnik VvE Beheer en VvE. | Leden van de VvE, Bestuur. | NAW-gegevens, e-mailadressen. | Bestuur, VvE beheerder, notaris, koper en/of diens adviseur(s). | Zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende bestuurder). | De database die hiervoor wordt gebruikt is reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Microsoft Office, Convect | ||||
Persoonsgegevens verwerken voor het verzorgen van de vergadering van eigenaars | X | (Deels) verzorgen van de vergadering van eigenaars. | Munnik VvE Beheer en VvE. | Leden van de VvE, Bestuur. | NAW-gegevens, e-mailadressen voor het versturen van de agenda, de notulen en de daarbij behorende onderliggende stukken. Alle persoonsgegevens die in de notulen worden opgenomen (die noodzakelijk zijn voor de uitvoering van de besluiten van de vergadering van eigenaars). | Leden van de VvE, bestuur, VvE Beheerder en notulisten. | Zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende bestuurder). | De database die hiervoor wordt gebruikt is reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Microsoft Office, Convect | ||||
Persoonsgegevens invoeren/ bijhouden voor het ledenbestand, ingeval van verhuur door eigenaren het bijhouden van register van bewoners. | X | Verzorgen, controleren en/of bijhouden van accurate ledenadministratie. | Munnik VvE Beheer en VvE. | Leden van de VvE, Bestuur. | NAW-gegevens, e-mailadressen. | Bestuur en VvE Beheerder. | Zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende bestuurder). | De database die hiervoor wordt gebruikt is reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Microsoft Office, Convect | ||||
Persoonsgegevens invoeren/ bijhouden voor het versturen van een VvE Nieuwsbrief | X | Verzorgen, controleren en/of bijhouden van accurate ledenadministratie voor het versturen van de nieuwsbrief | Munnik VvE Beheer en VvE. | Leden van de VvE, Bestuur. | NAW-gegevens, e-mailadressen. | Bestuur en VvE Beheerder. | Zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende bestuurder). | De database die hiervoor wordt gebruikt is reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Microsoft Office, Convect | ||||
(Fysieke) archivering (financiën / secretarieel) | X | Persoonsgegevens bewaren in het kader van de beoogde bewaartermijn. | Munnik VvE Beheer en VvE. | Leden van de VvE, Bestuur. | NAW-gegevens, e-mailadressen en bankrekeningnummers. | Geen. | De bewaartermijn van de VvE financiële administratie bedraagt 7 jaar. Dit schrijft de wet voor (artikel 2:10 BW). De overige gegevens worden bewaard zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende bestuurder). | Het fysieke archief is opgeborgen in een kast die alleen geopend kan worden met een sleutel. De digitale gegevens zijn reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Fysiek archief: archiefdozen en/ of mappen. Digitaal archief: Microsoft Office, Convect | ||||
Persoonsgegevens verwerken voor het beheren en/ of openen van de bankrekening(en) | X | Persoonsgegevens verstrekken voor het openen/ beheren van de bankrekening(en). | Munnik VvE Beheer en VvE. | Bestuur (penningmeester). | NAW-gegevens, e-mailadressen, (evt.) bankrekeningnummers, ID en/ of BSN. | Banken, VvE Beheerder. | Zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende bestuurder) met uitzondering van bijzondere gegevens. | De database die hiervoor wordt gebruikt is reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Microsoft Office, Convect | ||||
Persoonsgegevens verwerken i.v.m. bestuurswijzigingen. | X | Persoonsgegevens verstrekken voor het opvoeren/ aanpassen van bestuursleden bij de KvK. | Munnik VvE Beheer en VvE. | Bestuur. | NAW-gegevens, e-mailadressen, ID en/ of BSN. | Kamer van Koophandel en VvE Beheerder. | Zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende bestuurder) met uitzondering van bijzondere gegevens. | De database die hiervoor wordt gebruikt is reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Microsoft Office, Convect | ||||
Persoonsgegevens verwerken en inzichtelijk maken voor het verzorgen van de jaarstukken voor de kascommissie | X | Persoonsgegevens verstrekken/ controleren voor het verzorgen van de kascommissie. | Munnik VvE Beheer en VvE. | Kascommissie en het bestuur. | NAW-gegevens, e-mailadressen en bankrekeningnummers. | VvE Beheerder, kascommissie, bestuur. | De bewaartermijn van de VvE financiële administratie bedraagt 7 jaar. De overige gegevens worden bewaard zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende | De database die hiervoor wordt gebruikt is reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Microsoft Office, Convect | ||||
Persoonsgegevens verwerken in het kader van gerechtelijke procedures aan te spannen door leden van de VvE. | X | Persoonsgegevens verstrekken ten behoeve van gerechtelijke procedures aan te spannen door leden van de VvE. | Munnik VvE Beheer en VvE. | Leden van de VvE, Bestuur. | NAW-gegevens, e-mailadressen. | Leden van de VvE, bestuur, XxX Xxxxxxxxx, juristen, advocaten, rechtbanken. | Zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende bestuurder). | De database die hiervoor wordt gebruikt is reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Microsoft Office, Convect | ||||
Technisch beheer | |||||||||||||
Persoonsgegevens verwerken ten behoeve van het laten uitvoeren van werkzaamheden in/aan gemeenschappelijke gedeelten en/of zaken. | X | Persoonsgegevens verstrekken voor het laten uitvoeren van werkzaamheden in/aan gemeenschappelijke gedeelten en/of zaken. | Munnik VvE Beheer en VvE. | Leden van de VvE en gebruikers. | NAW-gegevens en overige gegevens (telefoonnummers) die noodzakelijk zijn voor het laten uitvoeren van de werkzaamheden. | XxX Xxxxxxxxx, opdrachtnemers en aannemers die de werkzaamheden uitvoeren. | Zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende bestuurder) en/ of totdat de gebruikers niet meer in het complex wonen. | De database die hiervoor wordt gebruikt is reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Microsoft Office, Convect | ||||
Persoonsgegevens verwerken ten behoeve van het afhandelen van schades die te verhalen zijn op de verzekering(en). | X | Persoonsgegevens verstrekken voor het laten uitvoeren van werkzaamheden in/aan gemeenschappelijke gedeelten en/of (privé) zaken. | Munnik VvE Beheer en VvE. | Leden van de VvE, alsmede het bestuur. | NAW-gegevens, e-mailadressen en bankrekeningnummers. | VvE beheerder, verzekeringsmaatschappij, opdrachtnemers en aannemers die de werkzaamheden uitvoeren. | Zolang de bestuursfunctie wordt uitgeoefend (en/ of overgedragen aan volgende bestuurder) en/ of totdat de gebruikers niet meer in het complex wonen. | De database die hiervoor wordt gebruikt is reeds beveiligd door middel van een gebruikersnaam en een wachtwoord. De gegevens kunnen enkel worden ingezien/verwerkt door de daartoe bevoegden. | Microsoft Office, Convect |
Bijlage 3
AVG- informatiepakket
Definities AVG
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens. Denk daarbij aan verzamelen, structureren, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, afschermen, wissen en vernietigen.
Beperken van de verwerking: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken.
Profilering: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijk persoon worden geëvalueerd. Pseudonimisering: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt.
Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.
Verwerkingsverantwoordelijke: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
Verwerker: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt; Ontvanger: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt.
Derde: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.
Toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.
Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Vertegenwoordiger: een in de Unie gevestigde natuurlijk persoon of rechtspersoon die schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening.
Onderneming: een natuurlijk persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van maatschappen en persoonsvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen.
Toezichthoudende autoriteit: een door een lidstaat ingevolge artikel 51 ingestelde onafhankelijke overheidsinstantie (Autoriteit Persoonsgegevens).
1. Wat regelt de AVG (en de uitvoeringswet)?
Op 25 mei 2018 zal de Europese Algemene AVG
ingaan. In Nederland zal de AVG de Wet bescherming persoonsgegevens ( Wbp ) vervangen.
De AVG stelt regels vast met betrekking tot de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de Europese Unie (hierna: de EU. Het doel van de AVG is het beschermen van de grondrechtrechten en de fundamentele vrijheden van natuurlijke personen. Om dit doel te bereiken regelt de AVG de rechtmatige en zorgvuldige omgang met persoonsgegevens binnen de EU.
1.1 Waar vloeit de AVG uit voort?
De AVG vloeit voort uit een grondrecht dat in het Handvest van de grondrechten van de Europese Unie en het Verdrag betreffende de werking van de Europese Unie is vastgelegd. Zo volgt bijvoorbeeld uit artikel 8 van Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) dat eenieder het recht heeft op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie een democratische samenleving in het belang van o.a. veiligheid, het economisch welzijn, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. Wel is daarbij vereist dat inmenging in alle gevallen proportioneel en subsidiair moet zijn. Dit betekent dat ni dan strikt noodzakelijk is voor het bereiken van het doel.
1.2 Hoe is de AVG in Nederland geregeld?
De AVG geeft een aantal keuze-opties aan de lidstaten. Voor Nederland is dit uitgewerkt in de Uitvoeringswet Algemene verordening gegevensbescherming Uitvoeringswet. De uitvoeringswet moet dan ook in samenhang met de AVG worden gelezen. Wanneer de AVG ruimte laat voor nationale regelingen, komt de Uitvoeringswet in beeld. De Uitvoeringswet regelt het toepassingsbereik van de AVG, de rol, positie en bevoegdheden van de nationale toezichthouder, regelingen rondom het gebruik van bijzondere categorieën van persoonsgegevens, regelingen over (de uitzonderingen) de rechten van de betrokkenen en regelingen voor specifieke verwerkingssituaties.
1.3 Wie is de nationale toezichthouder van de AVG in Nederland?
In Nederland is de nationale toezichthouder van de AVG de Autoriteit persoonsgegevens (AP). De AP zal toezicht houden op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. De AP heeft onder
uitvoeren van deze taken mag de AP eventueel controles verrichten en alle informatie opvragen die voor het toezicht nodig is. Daarnaast mag de AP corrigerende maatregelen treffen, waarschuwingen geven, verwerkingen (laten) stopzetten en/of boetes opleggen.
*Let op: wanneer in dit pakket wordt gesproken over het naleven van de eisen van de AVG, wordt daar tevens mee bedoeld de naleving van de Uitvoeringswet.
2. Wat is de kern van de AVG (beginselen)
De AVG geeft aantal beginselen waaraan alle verwerkingen van persoonsgegevens moeten voldoen. Deze beginselen zijn:
Doelbinding:
De persoonsgegevens mogen enkel worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dit betekent dat de verwerking noodzakelijk moet zijn voor het bereiken van specifiek in de AVG genoemde doelen. Is dit niet het geval, dan moet toestemming voor de verwerking zijn verleend door de persoon van wie u persoonsgegevens verwerkt. Verder mogen de persoonsgegevens (in beginsel) later niet voor andere doeleinden worden gebruikt, tenzij dat nieuwe doel verenigbaar is met het oorspronkelijke verzameldoel. De doeleinden zijn nader uitgelegd in hoofdstuk 4.
Dataminimalisatie en opslagbeperking:
Verzamel alleen persoonsgegevens die noodzakelijk zijn voor het bereiken van de doeleinden en bewaar de persoonsgegevens niet langer dan noodzakelijk. De AVG regelt geen termijn hiervoor. Dit betekent dat u zelf dient na te gaan hoe lang de gegevens bewaard moeten worden. Let wel: fiscale wetgeving verlangt bijvoorbeeld dat de fiscale administratie 7 jaar moet worden bewaard. Dit kunt u als grondslag voor de bewaartermijn hanteren wanneer het gaat over het bewaren van persoonsgegevens voor fiscale administratie.
Transparantie en juistheid:
De verwerking moet netjes en verantwoord gebeuren. Dit betekent dat u verplicht bent ervoor te zorgen dat persoonsgegevens niet onjuist of achterhaald zijn. Er moeten redelijke maatregelen worden genomen. Dit betekent dat wanneer de persoonsgegevens, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, u verplicht bent deze gegevens te wissen of te rectificeren. Daarnaast moet de informatie over de verwerking eenvoudig toegankelijk en begrijpelijk zijn voor een leek.
Integriteit en vertrouwelijkheid:
De persoonsgegevens moeten met passende technische en organisatorische maatregelen worden beveiligd om te voorkomen dat ongeoorloofde toegang of ongeoorloofde gebruik van persoonsgegevens mogelijk is. Wanneer een inbreuk plaatsvindt, moet dat datalek aan de AP (en eventueel aan de verwerker en de betrokkenen) worden gemeld, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Verantwoordingsbeginsel:
De verwerkingsverantwoordelijke moet (in beginsel) aan AP kunnen aantonen dat hij zich houdt aan de AVG. Dit kan door middel van een verwerkingsregister. Uit een verwerkingsregister dient te blijken op welke manier de naleving is gewaarborgd door te registreren hoe en op grond waarvan bepaalde persoonsgegevens worden verwerkt, wie toegang heeft tot deze persoonsgegevens, welke bewaartermijnen worden gehanteerd en hoe het gebruikte systeem, de website of applicatie is en wordt beveiligd.
3. Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoon is geïdentificeerd wanneer deze uniek van alle andere personen binnen een groep te onderscheiden is. Met andere woorden moeten de gegevens op een zodanige wijze iets over de persoon zeggen, dat zij daarmee unieke informatie over die persoon bevatten.
Het begrip persoonsgegevens is zeer ruim. Dit betekent dat voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode en huisnummer, woonplaats, telefoonnummers, e-mailadres, leeftijd, BSN-nummer, bankgegevens, videobeelden etc. persoonsgegeven (kunnen) zijn. Daarbij is van belang om op te merken dat de context waarin persoonsgegevens worden gebruikt moet worden betrokken bij de vraag of sprake is van persoonsgegevens.
Wanneer bijvoorbeeld enkel het geslacht en de woonplaats van een persoons is verwerkt, is dit geen persoonsgegeven. Echter, wanneer bijvoorbeeld een geboortedatum in combinatie met bijvoorbeeld straatnaam en huisnummer wordt verwerkt, dan kan die persoon wel worden geïdentificeerd. Dit betekent dat een persoon door het combineren van gegevens kan worden geïdentificeerd.
Let wel: ook gegevens die verwerkt worden waarbij de persoon op dat moment niet identificeerbaar is, maar dit zonder onevenredige inspanning wel mogelijk is, zijn persoonsgegevens. Denk hierbij aan IP-adressen en kentekens.
Niet onbelangrijk: daarnaast merken wij voor de VvE-beheerder op dat de AVG enkel van toepassing is op de verwerking van gegevens over natuurlijke personen en dus in beginsel niet over gegevens van organisaties/rechtspersonen, omdat deze geen betrekking hebben op een natuurlijk persoon. Dit betekent dat
aldus niet van toepassing is op het verwerken van dit soort gegevens. Ook overleden personen zijn volgens de AVG geen natuurlijke personen. Voor deze personen is de AVG ook niet van toepassing, tenzij de persoonsgegevens van de overledene iets zeggen over een andere persoon (nabestaanden). Denk hierbij aan verwerking van persoonsgegevens in verband met een overdracht waarbij de erven overdragen.
3.1 Wat zijn bijzondere persoonsgegevens?
Bijzondere persoonsgegevens zijn gegevens die gezien hun aard extra gevoelig zijn. Het gaat specifiek om bijvoorbeeld ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid etc. De verwerking van bijzondere persoonsgegevens is niet toegestaan, tenzij specifieke uitzonderingen van toepassing zijn of de betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking.
3.2 Niet bijzonder wel gevoelig
De gegevens die niet bijzonder zijn in de zin van de AVG, kunnen echter volgens AP wel gevoelig zijn. Hierbij dient u te denken aan bijvoorbeeld financiële gegevens of de financiële situatie van betrokkenen. Deze gegevens dienen zorgvuldiger te worden beschermd. Echter, ook het Burgerservicenummer (BSN) is een gevoelig persoonsgegeven. Het BSN mag op basis van de AVG enkel worden verwerkt voor doeleinden die de wet (de Wet algemene bepalingen burgerservernummer) bepaalt. Sterker nog, voor het verwerken van het BSN zonder rechtsgrondslag mag óók geen toestemming van de betrokkene worden gevraagd. Kortom, een dergelijke toestemming is dan ook overbodig, want het is niet rechtsgeldig.
3.3 Pseudonimisering en anonimiseren van persoonsgegevens
Pseudonimisering is het verhullen van iemands identiteit voor derden. Dit kan de VvE-beheerder doen door de namen van eigenaars in bepaalde documenten te vervangen door nummers. In dat geval kan bijvoorbeeld alleen de VvE-beheerder deze persoonsgegevens (nog) achterhalen. Daarom zijn gepseudonimiseerde gegevens nog steeds persoonsgegevens en is de AVG ook hierop van toepassing. Bij anonimiseren van persoonsgegevens zorg je ervoor dat de persoonsgegevens niet meer kunnen worden achterhaald. De AVG is dan ook niet van toepassing op geanonimiseerde persoonsgegevens.
4. Wanneer mogen persoonsgegevens worden verwerkt?
De persoonsgegevens mogen op grond van de AVG worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dit betekent dat geen persoonsgegevens mogen worden verwerkt zonder dat hiervoor een doel is bepaald. De doeleinden dienen uitdrukkelijk te worden omschreven. Dit kan worden gedaan door, alvorens persoonsgegevens te verwerken, vast te leggen waarvoor de persoonsgegevens zullen worden gebruikt. Let wel: dit doel moet gerechtvaardigd zijn en moet gebaseerd zijn op één van de (rechts)grondslagen.
4.1 Wanneer mogen persoonsgegevens voor andere doeleinden worden verwerkt?
Dit mag wanneer sprake is van een verenigbaar doel. Dit betekent dat het nieuwe doel verenigbaar is met het oorspronkelijke verzameldoel. Dit kan worden bepaald door te kijken of er verband is tussen het nieuwe en oorspronkelijke verzameldoel en de context waarin de persoonsgegevens zijn verzameld. Kijk hierbij naar de relatie tussen u en de betrokkene in kwestie en de redelijke verwachtingen die de betrokkene heeft ten aanzien van verder gebruik van zijn persoonsgegevens. Daarnaast dient u te kijken naar de aard van de persoonsgegevens en de mogelijke gevolgen die de verdere verwerking voor betrokkene heeft. Wanneer het gevoelige persoonsgegevens zijn, mogen deze niet snel voor andere doeleinden worden gebruikt. Indien vaststaat dat doelen niet te verenigen zijn, dan dient de betrokkene toestemming te verlenen voor de verdere verwerking.
Voorbeeld: wanneer de VvE-beheerder NAW-gegevens in eerste instantie heeft gekregen voor het voeren van correspondentie met de leden van de VvE over de achterstand in de betaling van de voorschotbijdragen en deze NAW-gegevens ook worden gebruikt voor het voeren van correspondentie over de overlast die de eigenaar veroorzaakt, dan is hier in beginsel een verband tussen het verzameldoel en het doel waarvoor het nu wordt gebruikt. Immers, beide verwerkingen zijn noodzakelijk voor het uitvoeren van de taken en plichten uit de beheerovereenkomst. Daarnaast is het redelijk om te verwachten dat deze NAW-gegevens van de eigenaars tevens worden gebruikt om de overige afspraken uit de overeenkomst na te komen. Kortom, in dat geval is het verzameldoel (context waarin de persoonsgegevens zijn verzameld) te verenigen met het doel waarvoor de persoonsgegevens zijn gebruikt.
4.2 Wanneer is een verwerkingsdoel gerechtvaardigd?
De verwerking van persoonsgegevens is gerechtvaardigd wanneer het doel van de verwerking kan worden gebaseerd op één van de zes grondslagen in de AVG. Deze grondslagen zijn wel limitatief, maar niet cumulatief. Dit betekent dat er geen andere rechtsgronden kunnen worden bedacht, maar dat de rechtsgronden geen hiërarchische volgorde kennen. Dit laatste betekent dat niet alle grondslagen nodig zijn om te bepalen of de verwerking gerechtvaardigd is of niet. Eén grondslag is in beginsel voldoende. Deze rechtsgrondslagen zijn:
Toestemming: De betrokkene (persoon van wie persoonsgegeven worden verwerkt) heeft voor de voorgenomen verwerking toestemming gegeven.
Uitvoering overeenkomst: De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkenen en die noodzakelijk zijn voor het sluiten van een overeenkomst.
Wettelijke verplichting: De gegevensverwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de verantwoordelijke.
Vitaal belang: De gegevensverwerking is noodzakelijk om de vitale belangen van de betrokkene of van een ander natuurlijk persoon te beschermen.
Algemeen belang: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
Gerechtvaardigd belang: de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
4.3 De verwerking is noodzakelijk voor de uitvoering van een overeenkomst
Er is een overeenkomst tussen de verwerker en de betrokkene en voor deze overeenkomst is het verwerken van een aantal persoonsgegevens noodzakelijk. De overeenkomst behoeft niet te zijn gericht op het verwerken van persoonsgegevens, maar de verwerking moet wel een noodzakelijk uitvloeisel zijn van de overeenkomst. Denk hierbij aan de beheerovereenkomst die met een VvE is afgesloten. Om de taken uit de beheerovereenkomst na te komen, dient de VvE-beheerder
bepaalde persoonsgegevens van bijvoorbeeld eigenaars en bestuursleden te verwerken. Let wel: de verwerkte of te verwerken gegevens dienen noodzakelijk te zijn voor het uitvoeren van de taken uit de beheerovereenkomst.
4.4 De verwerking is noodzakelijk om te voldoen aan een wettelijke plicht
Onder de grondslag wettelijke verplichting vallen die verwerkingen waarvoor geldt dat het niet mogelijk is een wettelijke plicht uit te voeren zonder de verwerking van persoonsgegevens. Het moet wel zo zijn dat tussen het persoonsgegeven en de wettelijke plicht een direct verband is. Denk hierbij aan het verstrekken van de ledenlijst aan een eigenaar die een gerechtelijke procedure wenst op te starten. Deze eigenaar heeft op grond van artikel 843a Wetboek van Burgerlijke Rechtsvordering het recht op inzage, afschrift en uittreksel van stukken waarbij hij een
rechtmatig belang heeft. Indien de eigenaar aannemelijk kan maken dat hij deze ledenlijst nodig heeft voor de gerechtelijke procedure, dient het bestuur en/of de beheerder de lijst te verstrekken aan deze eigenaar.
4.5 De verwerking is noodzakelijk om de vitale belangen te beschermen
De verwerking is gerechtvaardigd indien deze noodzakelijk is ter bestrijding van een ernstig gevaar voor de gezondheid van de betrokkene of een andere persoon, Deze grondslag is alleen bedoeld om de fysieke integriteit of leven van de betrokkenen te waarborgen. Denk hierbij bijvoorbeeld aan het verwerken van medische informatie over een zieke eigenaar en het verwerken van telefoonnummers van belangrijke familieleden van die persoon (die in het complex alleen woont),
zodat bij vermoeden van een ernstige situatie contact kan worden opgenomen met hulporganisaties en familieleden.
4.6 De verwerking is noodzakelijk voor een taak in het algemeen belang of voor de uitvoering van het openbaar gezag
De persoonsgegevens mogen worden verwerkt indien dit noodzakelijk is voor de vervulling van een taak in het algemeen belang of als het noodzakelijk is voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Wel moeten deze verwerkingen altijd een grondslag hebben in het recht van EU of van de betreffende lidstaat.
4.7 De verwerking is noodzakelijk voor de behartiging van het gerechtvaardigd belang
Ook mogen persoonsgegevens worden verwerkt wanneer dit noodzakelijk is voor de behartiging van het gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde, mits deze belangen, rechten en vrijheden van de betrokkene(n) niet zwaarder wegen. Daarbij moet dus een zorgvuldige beoordeling worden gemaakt om te bepalen of sprake is van een gerechtvaardigd belang, maar ook om te bepalen of de betrokkene op het moment en de context van de
verzameling van persoonsgegevens, redelijkerwijs mag verwachten dat zijn persoonsgegevens tevens voor het betreffende doel zou kunnen worden verwerkt. Denk hierbij aan het desgevraagd verstrekken van persoonsgegevens aan de politie (met goedkeuring van het bestuur van de VvE), zodat een hennepkwekerij in het complex wordt aangepakt. De belangen van de VvE en de VvE-beheerder wegen in dit geval zwaarder dan het recht op privacy van de betrokkene. Hennepteelt kan bijvoorbeeld in het ergste geval brand in het complex veroorzaken.
4.8 Verwerking op grond van toestemming van de betrokkene
De betrokken persoon geeft toestemming voor het gebruik van zijn of haar persoonsgegevens. Aan het vragen van deze toestemming zijn volgende voorwaarden verbonden:
de toestemming moet worden gevraagd voordat de persoonsgegevens worden verzameld;
de betrokkene moet vooraf worden geïnformeerd over het gebruik van de gegevens waar hij toestemming voor heeft verleend. Daarbij dient de verwerker/verwerkingsverantwoordelijke (indien nodig) identiteit van de organisatie/vereniging bekend te maken bij de betrokkene en moet
worden aangegeven voor welke specifieke doeleinden de persoonsgegevens zullen worden gebruikt; de betrokkene moet worden geïnformeerd dat de gegeven toestemming weer schriftelijk onder vermelding van redenen kan worden ingetrokken;
de betrokkene dient deze toestemming vrijelijk te geven. Dit betekent dat hij niet onder druk mag worden gezet om toestemming te verlenen.
Wanneer is de toestemming nodig voor de VvE-beheerder?
De toestemming van een eigenaar/gebruiker (betrokkene) is slechts dan nodig, wanneer een verwerking van persoonsgegevens door VvE-beheerder niet berust op één van de bovengenoemde rechtsgrondslagen.
In de regel vloeien alle verwerkingen die door de VvE-beheerder worden verrichten voort uit de beheerovereenkomst, de splitsingsreglementen en de wet resp. uit één van de voornoemde (rechts)gronden. Voor die verwerkingen is geen toestemming benodigd van de betrokkenen. Mocht een toestemming wél vereist zijn, dan is het advies om die toestemming voorafgaand aan de verwerking te verkrijgen van de betrokkenen. Voorbeeld zou kunnen zijn wanneer de beheerder persoonsgegevens aan commerciële partijen verkoopt (voor bijvoorbeeld marketingdoeleinden).
Een dergelijke toestemming kan worden gevraagd door middel van een toestemmingsformulier dat als bijlage 6 in het pakket is toegevoegd. Dit formulier kan zowel door u als door het bestuur van de VvE worden gebruikt.
5. Wat zijn de taken en bevoegdheden van de AP?
De AP r het uitvoeren
van deze taken mag de AP controles verrichten en alle informatie opvragen die voor het toezicht nodig is. Daarnaast mag de AP corrigerende maatregelen treffen, waarschuwingen geven of verwerkingen (laten) stopzetten.
Elke organisatie die persoonsgegevens verwerkt moet meewerken met de AP. Dit betekent dat als de AP tot alle persoonsgegevens en de middelen die daarvoor worden gebruikt, de verwerker/verwerkingsverantwoordelijke daaraan mee moet werken.
De AP kan besluiten om een administratieve boete op te leggen. Wanneer de AP hiertoe overgaat, moet zij borgen dat de boete doeltreffend, evenredig en afschrikwekkend is. Daarbij moet onder andere de aard (opzet of nalaten), de ernst van de overtreding en de genomen maatregelen worden meegewogen. Deze boetes kunnen dan maximaal 20 miljoen euro of 4% van de jaaromzet bedragen.
5.1 Wat kan de betrokkene doen wanneer hij van mening is dat een inbreuk is gemaakt op AVG bij het verwerken van zijn persoonsgegevens?
Iedere betrokkene heeft op grond van artikel 77 AVG het recht een klacht in te dienen bij de AP indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op de AVG. De AP dient op grond van lid 2 de klager in kennis te stellen van de voortgang en het resultaat van de klacht.
Betrokkene kan ook rechtstreek een (civiel)rechtelijke procedure instellen tegen de organisatie in kwestie, indien hij van mening is dat de verwerking van zijn persoonsgegevens niet in overeenstemming is met de geldende wet- en regelgeving.
Betrokkene mag een organisatie, orgaan of vereniging (zonder winstoogmerk) machtigen om namens hem een klacht in te dienen of de rechten uit te oefenen die hem gegeven zijn uit hoofde van de AVG. Deze organisatie, vereniging of dit orgaan moet wel als statutair doel hebben het dienen van het openbare belang of actief zijn op het gebied van bescherming van persoonsgegevens.
5.2 Hoe kan de AP worden getipt?
Via een online tipformulier van de AP xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxxx-xxx-xx-xxxxxxxxxx- persoonsgegevens/tip-ons. De AP kan naar aanleiding van deze tip besluiten een onderzoek te starten.
6. Hoe dienen persoonsgegevens te worden beveiligd?
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
a) de pseudonimisering en versleuteling van persoonsgegevens;
b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.
4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.
Dit artikel bepaalt kortgezegd dat de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen dienen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Hierbij houdt de verwerkingsverantwoordelijke rekening met de beschikbare technologie en de uitvoeringskosten en met de aard, context, omvang en doeleinden van de verwerking. Deze bepalingen waren reeds onderwerp van artikel 13 Wbp. De AVG voegt daar lid 3 aan toe, dat bepaalt dat wanneer een verwerker bij een goedgekeurde gedragscode en/of een certificeringsmechanisme is aangesloten, daarmee aangetoond kan worden, dat deze vereisten worden nageleefd. Het vierde lid bepaalt dat de verwerkingsverantwoordelijke en de verwerker maatregelen treffen om ervoor te zorgen dat eenieder die handelt onder hun gezag en toegang heeft tot persoonsgegevens, deze slechts verwerkt in opdracht van de verwerkingsverantwoordelijke, tenzij anders is voorgeschreven in de wet.
6.1 Persoonsgegevens beschermen door deze te pseudonimiseren, anonimiseren of te verwijderen. Pseudonimisering is het verhullen van iemands identiteit voor derden. Ook hiermee kunnen persoonsgegevens worden beschermd. Dit kan de VvE-beheerder doen door de namen van eigenaars in bepaalde documenten te vervangen door bijvoorbeeld nummers. In dat geval kan bijvoorbeeld alleen de VvE-beheerder deze persoonsgegevens (nog) achterhalen. Let wel: door deze mogelijkheid zijn deze gepseudonimiseerde persoonsgegevens nog steeds persoonsgegevens en is de AVG nog steeds hierop van toepassing. Bij anonimiseren van persoonsgegevens zorg je ervoor dat de persoonsgegevens niet meer kunnen worden achterhaald. De AVG is dan ook niet van toepassing op geanonimiseerde persoonsgegevens.
6.2 Persoonsgegevens beschermen door deze te versleutelen
Dit betekent dat een verbinding naar de website/applicatie met persoonsgegevens versleuteld moet worden met bijvoorbeeld een gebruikersnaam en wachtwoord, eventueel een extra autorisatie en (indien mogelijk) met een software om virussen tegen te gaan. Daarbij dient te worden gecontroleerd dat enkel bevoegden toegang tot de website/applicatie hebben. Dit zijn organisaties en personen die deze gegevens nodig hebben om bijvoorbeeld een overeenkomst uit te voeren, hun taken te kunnen uitoefenen, het reglement en de wet na te kunnen komen/handhaven. De VvE-beheerder kan bijvoorbeeld persoonsgegevens zodanig (laten) versleutelen, zodat enkel de bevoegde personen (de daartoe bevoegde beheerders/medewerkers van het beheerkantoor), het bestuur van VvE en eventueel kascommissie van de VvE de betreffende persoonsgegevens kunnen inzien die noodzakelijk zijn voor het uitvoeren van de beheerovereenkomst, het splitsingsreglement en de wet.
6.3 Privacy by default en privacy by design
Voornoemde termen betekenen kort gezegd gegevensbescherming door ontwerp en door standaardinstellingen. Het doel hiervan is dat de website/applicatie zodanig wordt aangepast dat alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het bereiken van het specifieke doel waarvoor die gegevens in eerste instantie zijn verwerkt. Dit kan worden gedaan door het systeem, de applicatie en/of website zodanig aan te (laten) passen dat enkel noodzakelijke persoonsgegevens kunnen worden ingevuld en opgeslagen.
6.4 Gedragscode en certificering (lid 3)
Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 AVG of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 AVG kan worden gebruikt als element om aan te tonen dat de vereisten worden nageleefd, zoals bepaald in artikel 32 lid 1 AVG. In een gedragscode maakt de branche of sector de algemene normen uit de AVG concreter. De gedragscodes worden vervolgens gecontroleerd en goedgekeurd door de AP. Wanneer de gedragscode voldoende passende waarborgen biedt, dan keurt de AP die goed. Zo niet, dan heeft AP een advies. Er is nog geen algemene door de AP goedgekeurde gedragscode opgesteld voor VvE- beheerders.
6.5 Melding van een inbreuk maken (meldplicht)
Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
Lid 2. De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
Lid 3. In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:
a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Lid 4. Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
Lid5. De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren
6.5.1 Wat is een datalek en wanneer moet een datalek worden gemeld aan de AP?
Er is sprake van een datalek wanneer er een inbreuk is op de beveiliging van persoonsgegevens. Deze persoonsgegevens zijn bij een datalek blootgesteld aan verlies of onrechtmatige verwerking. Denk hierbij aan een diefstal of verlies van computer, laptop, usb-stick over andere gegevensdrager waarop de VvE-beheerder persoonsgegevens van betrokkenen heeft opgeslagen, maar ook een applicaties/website waarop onbevoegden toegang hebben tot gevoelige persoonsgegevens. Denk hierbij aan eigenaars die via een applicatie/website inzage hebben in de achterstand van de betaling van bijdragen van andere eigenaren in het complex.
Ingevolge artikel 33 AVG dient de VvE-beheerder een datalek te melden bij de AP en in sommige gevallen tevens bij de betrokkene, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
6.5.2 Hoe moet een datalek worden gemeld?
Indien binnen uw beheerkantoor een datalek heeft plaatsgevonden waarbij het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een (hoog) risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dient u het datalek binnen 72 uur (nadat u daarvan kennis heeft genomen) te melden bij de AP via het meldloket van de AP. Daarbij dient u een formulier (zie onderstaande link) digitaal in te vullen en te verzenden naar de AP. xxxxx://xxxxxxxxxx.xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/xxxxxxxx?0
Let wel: meld enkel een datalek wanneer de gevolgen voor de personen (van wie persoonsgegevens nu bijvoorbeeld op straat liggen) volgens u ernstig zijn en dus waarbij de inbreuk een hoge risico inhoudt voor de fundamentele rechten van deze personen. Een inbreuk heeft een hoog risico voor de betrokkene, wanneer sprake is van verlies of onrechtmatig gebruik van persoonsgegevens van zeer gevoelige aard. Er is sprake van persoonsgegevens van gevoelige aard als verlies of
onrechtmatige verwerking van die gegevens kan leiden tot bijvoorbeeld financiële schade of tot (identiteits)fraude. Het voorgaande geldt ook bij verlies of diefstal van bijzondere gegevens (zie hoofdstuk 3). Ook in dat geval dient u na te gaan of inbreuk op deze gegevens ernstige gevolgen voor betrokkenen kunnen hebben. Vooralsnog gaan wij ervan uit dat de VvE-beheerder in beginsel geen bijzondere persoonsgegevens verwerkt.
Tip: zorg ervoor dat in ieder geval de gevoelige persoonsgegevens, zoals alle financiële gegevens van eigenaars, gebruikers etc., enkel door de daartoe bevoegden kunnen worden ingezien en bewerkt. Gebruik bijvoorbeeld gebruikersnamen en wachtwoorden en in ieder geval een systeem of applicatie waardoor de persoonsgegevens goed zijn beveiligd.
6.5.3 Wanneer moet een datalek worden gemeld aan betrokkenen en wanneer niet?
Artikel 34 AVG bevat de verplichting om inbreuken te melden aan de betrokkene zelf, wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Een inbreuk heeft een hoge risico voor de betrokkene, wanneer sprake is van verlies of onrechtmatig gebruik van persoonsgegevens van gevoelige aard. Er is sprake van persoonsgegevens van gevoelige aard niet te verwarren
als verlies of onrechtmatige verwerking van die gegevens kan leiden tot bijvoorbeeld financiële schade of tot (identiteits-)fraude. In het geval van verlies of diefstal van bijzondere gegevens (zie hoofdstuk 3) dient u uiteraard ook een melding te maken. Een melding is niet vereist wanneer:
de gegevens versleuteld zijn of op een andere wijze onbegrijpelijk zijn gemaakt voor onbevoegden;
als u of uw organisatie achteraf maatregelen heeft genomen waardoor het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
het een groot aantal betrokken gevallen betreft, waardoor de melding onevenredig veel moeite zou kosten en waarbij een openbare mededeling kan volstaan.
Terugkomend op een inbreuk moet worden opgemerkt dat u als VvE-beheerder in ieder geval ervoor zorg dient te dragen dat de overige eigenaren via applicatie of website geen inzage hebben
gegevens te (laten) versleutelen voor onbevoegden. Hiermee voorkomt u dat de overige leden binnen het complex deze persoonsgegevens misbruiken door bijvoorbeeld de betreffende eigenaar lastig te vallen en bijvoorbeeld zélf deze eigenaar daarop aan te spreken.
6.5.4 Overzicht bijhouden en sancties bij het niet naleven van de meldplicht
Wanneer datalekken worden geconstateerd, dient u een overzicht daarvan bij te houden (ongeacht of deze zijn gemeld of niet). Het overzicht per datalek moet in ieder geval de feiten en gegevens over de aard van de inbreuk bevatten. Indien en datalek tevens aan betrokkenen is gemeld, dient u de tekst van kennisgeving aan de betrokkene in het overzicht op te nemen. Daarnaast moet u opnemen welke maatregelen u heeft getroffen om tot herstel over te gaan of om ervoor te zorgen dat het niet meer gebeurt. Bij niet-naleving van de meldplicht datalekken kan de AP een boete opleggen. De boete kan - of 4% van de jaaromzet. Let wel: wanneer een datalek wordt gemeld in samenhang met veel klachtmeldingen die de AP heeft ontvangen (van bijvoorbeeld de eigenaars binnen deze VvE) waaruit volgt dat de beheerder de AVG niet naleeft, dan is de aanleiding door AP groter om een onderzoek te starten naar de naleving van de AVG.
6.6 Wanneer een DPIA (gegevensbeschermingsbeoordeling) uitvoeren?
Op grond van artikel 35 en 36 AVG zijn sommige organisaties verplicht een data protection impact assessment
leinen. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie: systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling; en/of op grote schaal bijzondere persoonsgegevens verwerkt; en/of op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). De Autoriteit Persoonsgegevens (AP) zal op grond van artikel 35 AVG (op termijn) een lijst van verwerkingen bekendmaken waarvoor een DPIA verplicht is. Het ziet er vooralsnog naar uit dat DPIA niet verplicht is voor persoonsgegevens die verwerkt worden door de VvE-Beheerder en de
7. Wanneer moet een FP worden aangesteld?
Op grond van artikel 37 AVG dient de verwerkingsverantwoordelijke en de verwerker een Functionaris voor Gegevensbescherming (FP) aan te wijzen in het geval: dat de verwerking wordt verricht door een overheidsorganisatie of overheidsorgaan; en/of een verwerkingsverantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; en/of de verwerkingsverantwoordelijke of verwerker hoofdzakelijk is belast met grootschalige verwerkingen van bijzondere categorieën van bijzondere persoonsgegevens en persoonsgegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten. De FP wordt aangewezen op grond van zijn deskundigheid op het gebied van AVG en zijn vermogen om zijn taken uit de AVG uit te voeren. De FP kan een personeelslid zijn van de verwerker of verwerkingsverantwoordelijke, of kan de taken op grond van een dienstverlening uitvoeren. Gelet op het voorgaande behoeven de VvE-beheerders geen FP aan te wijzen of in dienst te nemen.
8. Wat zijn de rechten van betrokkenen?
8.1 Recht om in te zien
Op grond van artikel 15 AVG hebben betrokkenen het recht te weten of hun betreffende persoonsgegevens worden verwerkt door de verwerkingsverantwoordelijke. De AVG bevat een opsomming van de informatie waarvoor het recht van inzage geldt. Wanneer de betrokkene om gegevens vraagt, dient de VvE-beheerder de volgende informatie te verstrekken:
betrokken categorieën van persoonsgegevens;
een omschrijving van het doel of de doeleinden van de gegevensverwerking; de categorieën van gegevens waarop uw verwerking betrekking heeft;
de eventuele ontvangers of categorieën van ontvangers;
dat de betrokkene het recht heeft klacht in te dienen bij toezichthoudende autoriteit; beschikbare informatie over de herkomst van de gegevens.
8.1.1 Hoe dienen deze gegevens te worden verstrekt?
Aansluitend bepaalt artikel 15 lid 4 AVG dat de verwerkingsverantwoordelijke in een dergelijk geval de betrokkene (desgevraagd) een kopie van de persoonsgegevens dient te verstrekken. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, dient de informatie in een gangbare elektrische vorm te worden verstrekt. Deze informatie moet in een begrijpelijke taal worden verstrekt. VvE- beheerders kunnen er voor kiezen om (al dan niet digitaal) een formulier beschikbaar te stellen voor dergelijke verzoeken, zodat de betrokkene op dit formulier kan aangeven wat hij precies wilt inzien.
8.1.2 Reikwijdte van inzagerecht
De betrokkene heeft enkel het recht op inzage in eigen gegevens, dus niet in die van anderen. Wanneer een dergelijk verzoek binnenkomt dient de VvE-beheerder te bepalen wie de verzoeker is (identificatie van verzoeker) en of het verzoek voldoende concreet is en dus niet sprake is van een te algemeen verzoek (fishing). Daarnaast mag een recht op kopie worden geweigerd wanneer afbreuk wordt gedaan aan de rechten en vrijheden van anderen.
Let wel: wanneer de VvE-beheerder bijvoorbeeld werkaantekeningen maakt voor eigen geheugensteun, dan vallen deze aantekeningen niet onder het inzagerecht. Echter, wanneer deze gegevens toch door de VvE- beheerder worden opgeslagen in een dossier, dan heeft de betrokkene ook recht op inzage in die gegevens.
8.1.3 Wanneer mag inzage worden geweigerd?
Wanneer geen persoonsgegevens van de verzoeker worden verwerkt of wanneer sprake is van een zo minimale verwerking dat ze vallen onder de uitzondering zoals hierboven genoemd; en/of
Wanneer het recht om een kopie te verkrijgen afbreuk doet aan de rechten en vrijheden van anderen; en/of
Wanneer persoonsgegevens worden opgevraagd die reeds zijn gearchiveerd in een archiefbewaarplaats. Voor overige archiefbescheiden geldt dat wanneer de verzoeken zodanig abstract zijn, dat deze mogen worden geweigerd.
Los van het voorgaande dient de VvE-beheerder binnen één maand te reageren op het verzoek (ook bij weigering). In uitzonderlijke gevallen mag u binnen drie maanden reageren op een verzoek. Bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon extreem hoog is. Maar ook dan geldt dat u wel binnen één maand moet laten weten dat u meer tijd nodig heeft om op het verzoek te reageren.
Indien de betrokkene om kopieën verzoekt, dan mag u in beginsel geen kosten in rekening brengen. Echter indien de betrokkene meerdere kopieën wil ontvangen, dan mag daarvoor op basis van administratieve kosten een redelijke vergoeding worden gevraagd. Indien een verzoek ongegrond of buitensporig is, mag dat verzoek worden geweigerd.
Voorbeeld voor de VvE-beheerder: juridische analyses en documenten waarin slechts sporadisch de naam van de persoon voorkomt behoeven niet te worden verstrekt. Daarnaast behoeven de minimale verwerkingen en ondergenoemde verwerkingen ook niet te worden ingezien.
Denk hierbij aan:
persoonlijke werkaantekeningen en notities voor intern gebruik (e-mails voor overleg), tenzij deze een onderdeel uitmaken van het dossier; en/of
documenten waarin persoonsgegevens van derden zijn opgenomen, bijvoorbeeld een klachtbrief of e-mail die een omwonende heeft toegezonden waarbij de klachten over de betrokkene zelf gaan; en/of
documenten (die persoonsgegevens over de betrokkene bevatten) die reeds eerder aan de betrokkene zijn toegezonden, zoals de notulen van de vergaderingen van eigenaars.
8.2 Recht op rectificatie
De betrokkene heeft het recht om de VvE-beheerder te verzoeken dat zijn persoonsgegevens worden gecorrigeerd of aangevuld. Wanneer de onjuiste of onvolledige persoonsgegevens aan derden zijn verstrekt, dan moeten deze ook daarvan op de hoogte te worden gesteld. Dit laatste tenzij dit onmogelijk blijkt of een onevenredige inspanning van u vergt (kosten, tijd etc.)
8.3 Recht om persoonsgegevens te laten verwijderen (en recht op vergetelheid)
In sommige gevallen mogen betrokkenen hun gegevens door de VvE-beheerder laten verwijderen. Naast het recht op verwijderen heeft de betrokkene recht om vergeten te worden. Denk daarbij aan situaties waarbij de betrokkene vraagt om persoonsgegevens die openbaar zijn gemaakt (op bijvoorbeeld de website van de VvE- beheerder) te wissen.
8.3.1 Wanneer kan de betrokkene zijn gegevens laten verwijderen? Dit kan wanneer:
de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verwerkt;
de betrokkene zijn toestemming voor het verwerken weer intrekt en dit de enige grondslag is waarop die gegevens in eerste instantie mochten worden verwerkt;
wanneer betrokkene gegrond bezwaar heeft gemaakt tegen de verwerking (zie 8.4); de persoonsgegevens onrechtmatig zijn verwerkt;
de persoonsgegevens op grond van de wet moeten worden gewist.
8.3.2 Wanneer behoeven gegevens niet te worden verwijderd?
Het recht om vergeten/verwijderd te worden is niet absoluut. Het recht moet worden gewogen tegen andere rechten en belangen. De gegevens behoeven niet te worden vergeten/verwijderd:
bij het uitoefenen van het recht op vrijheid van meningsuiting en informatie; bij het nakomen van een wettelijke verwerkingsverplichting;
wanneer deze gegevens moeten worden gearchiveerd in het algemeen belang;
wanneer verwijdering van de gegevens de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te komen;
wanneer persoonsgegevens nodig zijn voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
Let wel: wanneer de gewiste persoonsgegevens eerder gedeeld zijn met andere partijen, dan moeten deze partijen daarvan op de hoogte worden gesteld, tenzij dit onmogelijk blijkt of een onevenredige inspanning van u vergt.
Voorbeeld 1: wanneer de betrokkene een verzoek indient om zijn NAW-gegevens volledig te verwijderen, kan de VvE-beheerder dit verzoek afwijzen, indien deze gegevens noodzakelijk zijn voor de uitoefening van de bepalingen in de beheerovereenkomst die met de VvE is aangegaan. Deze bepaling in de beheerovereenkomst vloeit weer voort uit het splitsingsreglement, waarin staat dat het bestuur een register dient bij te houden van de eigenaars en gebruikers. Deze gegevens heeft het bestuur nodig voor het uitoefenen van haar taken uit het splitsingsreglement en de wet. Aangezien de VvE-beheerder een deel van de taken van het bestuur middels de beheerovereenkomst heeft overgenomen én de overeenkomst dient na te komen, kan het betreffende verzoek (van de betrokkene) door de VvE-beheerder worden afgewezen.
Voorbeeld 2: wanneer de betrokkene een verzoek indient tot verwijdering van zijn persoonsgegevens uit de notulen van de vergadering van eigenaars, dan kan de VvE-beheerder (of bestuurder) dit verzoek afwijzen, omdat deze gegevens noodzakelijk (kunnen) zijn voor de uitvoering van de besluiten en voor de uitoefening van de beheerovereenkomst die inhoudt dat de VvE-beheerder ervoor zorg draagt dat de besluiten van de vergadering van eigenaars worden uitgevoerd. Soms moeten persoonsgegevens juist in de notulen worden opgenomen, zodat duidelijk is waarvoor (destijds) een besluit is genomen en op wie dat besluit betrekking heeft etc.
8.4 Recht op verzet
De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens. In een dergelijk geval dient de verwerkingsverantwoordelijke de verwerkingen te staken. De betrokkene kan zijn recht op verzet inroepen vanwege persoonlijke omstandigheden. De betrokkene kan in dat geval bezwaar maken tegen verwerkingen die gebaseerd zijn op de volgende grondslagen:
noodzakelijk voor de uitoefening van een taak van algemeen belang of openbaar gezag; of het gerechtvaardigd belang van de verwerkingsverantwoordelijke
Daarnaast kan de betrokkene bezwaar maken tegen de verwerkingen van zijn persoonsgegevens met het oog op direct marketing. Ook hierbij dient de verwerkingsverantwoordelijke de verwerking staken.
Voorbeeld: wanneer de betrokkene bezwaar maakt tegen het verwerken van persoonsgegevens in de notulen van de vergadering van eigenaars: zoals bijvoorbeeld zijn achternaam en huisnummer, dan kan de VvE-beheerder dit verzoek afwijzen, indien deze gegevens noodzakelijk kunnen zijn voor de uitoefening van de besluiten en voor de uitoefening van de beheerovereenkomst die inhoudt dat de VvE-beheerder ervoor zorg draagt dat de besluiten van de vergadering van eigenaars worden uitgevoerd. Soms moeten persoonsgegevens juist in de notulen worden opgenomen, zodat duidelijk is waarvoor (destijds) een besluit is genomen en op wie dat besluit betrekking heeft etc.
8.5 Recht op overdraagbaarheid van gegevens
De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een VvE-beheerder heeft verstrekt, in een gestructureerde, gangbare en een leesbare vorm te verkrijgen. Daarnaast heeft de betrokkene het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de VvE-beheerder. Denk hierbij aan persoonsgegevens die met toestemming van de betrokkene zijn opgeslagen, zoals telefoonnummers en e-mailadressen. De betrokkene kan aan de VvE-beheerder verzoeken deze gegevens door te geven aan het bestuur van de VvE, nieuwe beheerder etc.
8.5.1 Welke gegevens moeten daarbij worden overgedragen?
Het recht op overdraagbaarheid geldt alleen voor verstrekte gegevens die geautomatiseerd worden verwerkt op basis van de volgende grondslagen:
de verwerking berust op zijn toestemming;
de verwerking berust op de noodzakelijkheid voor de uitoefening van de overeenkomst.
Dit recht geldt dus niet wanneer de verwerking op een andere rechtsgrond berust.
8.6 Het recht op informatie
De VvE-beheerder heeft de plicht om de betrokkenen te informeren over zijn gegevensverwerkingen. Meer specifiek hebben betrokkenen (personen van wie de VvE-beheerder persoonsgegevens verwerkt) het recht om te weten wat er met hun persoonsgegevens gebeurt en waarom, tenzij het duidelijk is voor de betrokkenen dat de gegevensverwerkingen uit de beheerovereenkomst (en splitsingsreglement) voorvloeien. Ook moeten zij bewust worden gemaakt van de manier waarop zij hun rechten met betrekking tot de verwerking van gegevens kunnen uitoefenen.
Aangezien alle gegevensverwerkingen van de VvE-beheerder gebaseerd zijn op het naleven van het splitsingsreglement, huishoudelijk reglement van de VvE en de beheerovereenkomst, heeft het op zich geen meerwaarde om de bewoners expliciet te informeren, waarom bepaalde persoonsgegevens worden opgeslagen. Veel verwerkingen zijn namelijk noodzakelijk voor het uitvoeren van de taken en plichten die voortvloeien uit de beheerovereenkomst, het splitsingsreglement en de wet.
8.6.1 Wanneer de betrokkene informeren?
De betrokkene dient in beginsel te worden geïnformeerd, wanneer:
- de gegevens bij de betrokkene zelf worden verzameld; en/of
- de gegevens buiten de betrokkene worden verkregen; en/of
- de gegevens voor andere doeleinden worden verwerkt (dan waarvoor deze in eerste instantie zijn verzameld).
8.6.2 Wanneer behoeft de betrokkene niet te worden geïnformeerd?
Wanneer de betrokkene al weet waar de informatie voor nodig is of de betrokkene redelijkerwijs dient te weten waarom die persoonsgegevens bij hem zijn verzameld. Dit is bijvoorbeeld het geval wanneer de betrokkene eerder geïnformeerd is waarom die gegevens verwerkt worden. Zoals hierboven reeds is vermeld zijn alle gegevensverwerkingen van de VvE-beheerder gebaseerd op de beheerovereenkomst. De bepalingen die in de beheerovereenkomst zijn opgenomen zijn gebaseerd op het splitsingsreglement en de wet. Het zal voor de betrokkenen (eigenaars/gebruikers, bestuurders etc.) geen verassing (mogen) zijn, dat deze gegevensverwerkingen plaatsvinden. Veel verwerkingen zijn namelijk noodzakelijk voor het uitvoeren van de taken en plichten uit de wet, beheerovereenkomst en het splitsingsreglement. Daarnaast zijn er andere uitzonderingsgronden waarbij de betrokkenen ook niet behoeven te worden geïnformeerd:
de informatieverstrekking aan de betrokkene onmogelijk blijkt te zijn of onevenredig veel inspanning (en kosten) met zich meebrengt; of
de verkrijging of verstrekking van persoonsgegevens bij wet is voorgeschreven en in die wet zijn gerechtvaardigde belangen van de betrokkene gewaarborgd.
8.6.3 Welke informatie moet aan de betrokkene worden verstrekt?
Wanneer u de gegevens bij de betrokkene zelf verzamelt, dan moet u de volgende informatie verstrekken: uw identiteit en uw contactgegevens;
de doelen waarvoor u persoonsgegevens verwerkt en de grondslag waarop de verwerking is gebaseerd; de eventuele ontvangers of categorieën ontvangers van de gegevens;
de bewaartermijn, of als dat niet mogelijk is de criteria voor het bepalen ervan; de rechten van de betrokkene;
in het geval van toestemming, dat de betrokkene die toestemming altijd weer kan intrekken.
Gelet op het voorgaande adviseren wij de VvE-beheerder om de betrokkenen in ieder geval te laten weten hoe zij hun rechten kunnen uitoefenen. Dit kunt u doen door op uw website een link te plaatsen waarin de rechten van de betrokkenen zijn uiteengezet: xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxxxxxxx/xxx-xxxxxx- europese-privacywetgeving/rechten-van-betrokkenen. Tip: daarbij kunt u vermelden dat de verzoeken hieromtrent naar het bestuur van de VvE moeten worden verzonden. Het bestuur van de VvE kan vervolgens aan de hand van het voorgaande toetsen of het nodig is om het verzoek door de beheerder te laten oppakken. In sommige gevallen kan het bestuur het verzoek namelijk zélf beantwoorden. Om het voor u VvE beheerder en en, hebben wij een formulier hiervoor opgesteld. Zie bijlage 5.
9. Wanneer is sprake van een registerplicht?
9.1 Registerplicht verwerkingsverantwoordelijke
Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden
Het doel van registerplicht is dat de verwerkingsverantwoordelijke indien nodig aan de AP kan aantonen dat hij voldoet aan de verplichtingen van de AVG. De verwerkingsverantwoordelijke dient een opsomming te maken van de belangrijkste informatie over de verwerkingen van persoonsgegevens. Per verwerking moet worden geregistreerd:
- naam verwerkingsverantwoordelijke(n);
- verwerkingsdoeleinden (en grondslagen);
- categorieën van betrokkenen, persoonsgegevens en ontvangers (aan wie persoonsgegevens zijn of worden verstrekt;
- doorgifte buiten de EU (indien van toepassing);
- bewaartermijn;
- algemene beschrijving van de beveiligingsmaatregelen.
9.2 In welke vorm moet dit register worden opgesteld?
Artikel 30 lid 3 AVG bepaalt dat dit register in een schriftelijke vorm, waaronder elektronische vorm, opgesteld moet worden. Aansluitend bepaalt lid 4 dat zowel de verwerker als de verwerkingsverantwoordelijke op verzoek van Autoriteit Persoonsgegevens het register ter beschikking moet stellen.
9.3 Wanneer is registerplicht niet van toepassing?
Artikel 30 lid 5 AVG noemt een aantal vrijstellingen waarbij het opstellen/bijhouden van het register niet nodig is. Eén van de vereisten is dat de verwerking niet structureel, maar incidenteel moet zijn. Aangezien de meeste
voor zover wij op dit
moment kunnen beoordelen - zelden sprake van een uitzondering.
De meeste verwerkingen van de VvE-beh conform de instructies van de VvE. Daarbij worden structureel persoonsgegevens verwerkt. Dit betekent dat deze vrijstelling ook niet voor de VvE-beheerder van toepassing is en aldus u als VvE-beheerder verplicht bent een register van verwerkingen bij te houden. Xxxx: stappenplan in bijlage 1.
10. Wie is verwerkersverantwoordelijke en wie is verwerker?
De juridische hoedanigheid bepaalt welke regels van de AVG van toepassing zijn. Daarom is het van belang om vast te stellen of u als VvE-beheerder een verwerkingsverantwoordelijke of een verwerker bent in de zin van de AVG.
10.1 Wanneer bent u een verwerkingsverantwoordelijke?
De verwerkingsverantwoordelijke is een natuurlijk persoon, rechtspersoon die of een bestuursorgaan dat al dan niet samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt en daar tevens formeel juridisch zeggenschap over heeft.
De verwerkingsverantwoordelijke is tevens degene die op grond van een impliciete bevoegdheid het doel en de middelen voor de verwerking vaststelt. Deze situatie doet zich voor wanneer niet een expliciete juridische bevoegdheid bestaat tot het verwerken van persoonsgegevens, maar op grond van juridische gangbare regels en de maatstaven die gelden in het maatschappelijk verkeer de verwerkingsverantwoordelijke toekomt aan een specifieke natuurlijke persoon of rechtspersoon.
De verwerkingsverantwoordelijke is echter ook degene die feitelijk gezien invloed kan uitoefenen op de verwerking van de persoonsgegevens en (daarbij aldus het doel en de middelen voor de verwerking bepaalt). Hierbij is de juridische verhouding tussen partijen van belang. Contractuele bepalingen over de verantwoordelijkheidsverdeling vormen namelijk een relevant aanknopingspunt voor het bepalen van de verantwoordelijkheid voor een verwerking, maar zijn niet van doorslaggevend. Het gaat erom wie daadwerkelijk de beslissing neemt en feitelijk bepaalt wat er met de gegevens gebeurt.
Wanneer de verantwoordelijke samen met andere doel en middelen bepaalt, dan is er sprake van een gezamenlijke verantwoordelijkheid en moeten de partijen onderling duidelijke afspraken maken over wie invulling geeft aan de rechten en plichten uit de AVG. Daarbij is het met name van belang dat de betrokkene weet naar wie hij moet gaan om zijn rechten uit te oefenen. Ongeacht de afspraken die de verwerkingsverantwoordelijken samen maken, blijven zij hoofdelijk aansprakelijk voor de naleving van de AVG.
10.2 Wanneer bent u een verwerker?
Wanneer u als VvE-beheerder ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt en deze verwerking uw primaire opdracht is, bent u in beginsel een verwerker. Dit betekent dat uw dienstverlening gericht moet zijn op het verwerken van persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke;
Wanneer de verwerking geen primaire opdracht is, maar een uitvloeisel is van een andere vorm van dienstverlening, dan bent u zelf dan wel tezamen met anderen de verwerkingsverantwoordelijke voor de betreffende verwerking.
10.3 Wanneer moet er een verwerkersovereenkomst worden gesloten?
Wanneer de verwerkingsverantwoordelijke gebruik maakt van verwerkers, dient de verwerkingsverantwoordelijke daarover schriftelijk afspraken te maken met de verwerker. Dit kan in de hoofdovereenkomst met de verwerker of bijvoorbeeld in een aparte overeenkomst die ook wel verwerkersovereenkomst wordt genoemd. In de relatie tussen de VvE-beheerder en de VvE is de verwerkingsovereenkomst niet nodig.
10.4 Wat moet in de verwerkersovereenkomst worden vastgelegd?
Voor het geval u of de VvE een verwerkingsovereenkomst krijgt aangeboden, dient u na te gaan of in ieder geval de onderstaande bepalingen daarin zijn opgenomen:
een algemene omschrijving van het onderwerp en de duur van de verwerking, de aard het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke;
instructies voor verwerkingen. Leg duidelijk vast dat de persoonsgegevens bijvoorbeeld niet voor andere doeleinden mogen worden verwerkt;
stel vast dat de verwerker de toegang tot persoonsgegevens waarborgt en de gegevens aldus enkel ingezien/verwerkt kunnen worden door de gemachtigde personen. Deze personen (in dienst van of werkzaam voor de verwerker) moeten (ook) voldoen aan de geheimhoudingsplicht;
stel vast dat de verwerker de persoonsgegevens beveiligt door het treffen van passende beveiligingsmaatregelen;
stel vast dat de verwerker alle mogelijke ondersteuning biedt bij het nakomen van uw verplichtingen met het oog op beantwoording van verzoeken van betrokkenen;
stel vast dat de verwerker u bijstaat bij de nakoming van uw verplichting op het gebied van beveiliging van persoonsgegevens en meldplicht datalekken;
stel vast dat na beëindiging van de overeenkomst tussen u en de verwerker, de in uw opdracht verwerkte persoonsgegevens wist of aan u teruggeeft, en bestaande kopieën verwijdert;
stel vast dat de verwerker u alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat de verwerker zich houdt aan de verplichtingen van de AVG door audits mogelijk te maken;
stel vast dat de verwerker afspraken met betrekking tot sub-verwerkers maakt.
10.5 Is de verwerker verplicht deze overeenkomst te ondertekenen?
De verwerker is verplicht de verwerkersovereenkomst te ondertekenen. De verwerker is op grond van artikel 28 lid 3 AVG ook verplicht om afspraken te maken met de verwerkingsverantwoordelijke over de wijze waarop hij persoonsgegevens namens de verwerkingsverantwoordelijke verwerkt. Wat wel mag is onderhandelen over de inhoud van de verwerkersovereenkomst.
11. Wat zijn de plichten van de verwerkingsverantwoordelijke?
De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn
De verwerking moet gebonden zijn aan specifieke
De persoonsgegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is
gegevens mogen niet langer worden bewaard dan
De De
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beginselen en moet ook kunnen aantonen dat een verwerking van persoonsgegevens aan deze beginselen voldoet (de verantwoordingsplicht). Concreet dient de verwerkingsverantwoordelijke hiertoe:
een register van verwerkingsactiviteiten bij te houden (de registerplicht);
onder bepaalde omstandigheden een functionaris voor gegevensbescherming aan te stellen; voorafgaand aan risicovolle verwerkingsactiviteiten een DPIA uitvoeren;
de AP onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle verwerkingsactiviteit te raadplegen (voorafgaande raadpleging);
bij het inrichten van verwerkingen rekening te houden met het principe van privacy door ontwerp en standaardinstellingen (privacy by design & default);
passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens; in het geval van een datalek melding te doen bij de AP en onder bepaalde omstandigheden ook bij de betrokkenen;
afspraken te maken met verwerkers; medewerking te verlenen aan de AP;
de rechten van de betrokkenen te respecteren en in te vullen (zie hoofdstuk 8).
12. Wat zijn de plichten van de verwerker?
De belangrijkste plichten op grond van de AVG voor de verwerker zijn:
de verwerker mag alleen handelen in opdracht van de verwerkingsverantwoordelijke;
de verwerker wordt verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die hij verwerkt in opdracht van de verwerkingsverantwoordelijke (registerplicht);
de verwerker moet passende technische en organisatorische beveiligingsmaatregelen nemen die een passend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voor betrokkenen;
de verwerker mag geen sub-verwerkers inschakelen zonder toestemming van de verwerkingsverantwoordelijke;
de verwerker moet de verwerkingsverantwoordelijke onverwijld op de hoogte stellen van een datalek; de verwerker is verplicht medewerking te verlenen bij een verzoek van AP in het kader van de uitoefening van diens taken;
de verwerker dient in bepaalde gevallen een functionaris voor gegevensbescherming aan te stellen.
13. Is de AVG van toepassing op de VvE-beheerder?
De AVG is van toepassing wanneer sprake is van geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Denk bij een geautomatiseerde gegevensverwerking aan bijvoorbeeld verwerkingen die door de VvE-beheerder worden uitgevoerd met behulp van computers, databases, servers, applicaties, tablets etc. Echter, ook is sprake van een verwerking van persoonsgegevens wanneer deze handmatig in een bestand zijn opgenomen of bestemd zijn om daarin opgenomen te worden. Denk hierbij een dossier- en archiefkast van de VvE-beheerder die (later) in een bestand worden opgenomen. Persoonlijke werkaantekeningen en notities voor intern gebruik, die geen onderdeel uitmaken van het dossier en ook niet in een bestand worden opgenomen, vormen geen bestand. Ook losse papieren op bureau met bijvoorbeeld de NAW-gegevens van personen vormen geen bestand, tenzij deze alsnog bedoeld zijn om later daarin te worden opgenomen.
13.1 Verwerkt de VvE-beheerder persoonsgegevens?
Ja, denk hierbij bijvoorbeeld aan de NAW-gegevens van de eigenaars die door de VvE-beheerder verwerkt worden voor het doel: bijhouden en administreren van de voorschotbijdragen van de VvE.
Zijn deze verwerkingen geheel of gedeeltelijk geautomatiseerd, of zijn ze opgenomen in een bestand, dan wel bestemd op opgenomen te worden in een bestand en valt deze verwerking binnen het toepassingsbereik van de AVG?
De persoonsgegevens worden door de VvE-beheerder - met behulp van computers, laptops en applicaties - in de meeste gevallen verwerkt in software die opgesteld is voor de VvE beheerder. Hieruit volgt dan ook dat de AVG van toepassing is op de VvE-beheerder.
Nu is de vraag wat de juridische hoedanigheid van de VvE-beheerder is op basis van de AVG. Het is van belang vast te stellen of de VvE-beheerder een verwerkingsverantwoordelijke of een verwerker is.
13.2 Is de VvE-beheerder een verwerkingsverantwoordelijke of een verwerker?
De verwerker is degene of een organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Wanneer de verwerking geen primaire opdracht is, maar een uitvloeisel is van een andere vorm van dienstverlening, dan is dienstverlener zélf de verwerkingsverantwoordelijke voor deze verwerking.
Op grond van artikel 5:131 BW beheert het bestuur van de VvE de middelen van de VvE en draagt het bestuur zorg voor de tenuitvoerlegging van de besluiten van de vergadering van eigenaars. Aansluitend bepalen (model)reglementen dat het bestuur is belast met het besturen van de VvE, met inachtneming van het bepaalde in het splitsingsreglement. De vergadering kan nadere regels met betrekking tot dit beheer vaststellen. Zo mag de vergadering tevens besluiten de administratie waaronder dient te worden verstaan het ontvangen en (doen) incasseren van alle betalingen en het doen van alle uitgaven, het voeren van de boekhouding in de meest uitgebreide zin en het verstrekken van de nodige specificaties en opgaven aan eigenaars, notarissen en het bestuur op te dragen aan een door haar aan te wijzen beheerder en onder de voorwaarden als door haar met die beheerder zullen worden overeengekomen. Ook kan de vergadering besluiten het technisch en/of bouwkundig beheer op te dragen aan een door haar aan te wijzen technisch en/of bouwkundig beheer en onder de voorwaarden als door haar met die beheerder zullen worden overeengekomen. Ook worden in veel gevallen taken van de voorzitter van de vergadering van eigenaars van de VvE verlicht, door deze taken op te dragen aan de VvE-beheerder.
De VvE-beheerder heeft in veel gevallen zelfstandig (rechtstreeks en zonder tussenkomst van de VvE) contact met de leden. Dit bijvoorbeeld bij constatering van een achterstand in de betaling van de voorschotbijdragen. De VvE-beheerder correspondeert daarbij in sommige gevallen op eigen briefpapier, maakt eventuele betalingsafspraken en verwerkt de (persoons)gegevens in het systeem. Daarnaast begeleidt Xxxxxx VvE Xxxxxx in veel gevallen zelfstandig de eigendomsoverdrachten van appartementsrechten namens de VvE en vraagt diverse offertes op naar aanleiding van bijvoorbeeld besluiten van de VvE en adviseert de vergadering van eigenaars daarover. Ook verwerkt de VvE-beheerder (persoons)gegevens voor directievoering, bouwtoezicht, assistentie bij de oplevering, aanbesteding en gunning en het schrijven van bestek. Kortom, de taken van de VvE- beheerder zien niet primair op het verwerken van persoonsgegevens; het gaat - gelet op het voorgaande - veel verder dan dat.
Gelet op de voornoemde taken en bevoegdheden, kan de VvE-beheerder niet worden aangemerkt als verwerker in de zin van de AVG. Immers, het (enkel) verwerken van persoonsgegevens is niet de primaire opdracht die aan de VvE-beheerder wordt gegeven, maar een bijkomende activiteit die voortvloeit uit de opgedragen taken en bevoegdheden uit de hoofdovereenkomst die met de VvE is gesloten. Dit betekent dat de opdracht van de VvE aan de VvE-beheerder veel verder gaat dan enkel het verwerken van persoonsgegevens.
Daarnaast kan worden geconcludeerd dat de VvE-beheerder op grond van een impliciete bevoegdheid de verwerking vaststelt, hetgeen erop neerkomt dat de VvE-beheerder ook daarom als verwerkingsverantwoordelijke dient te worden aangemerkt. Deze bevoegdheid volgt uit het splitsingsreglement van de VvE, waarin is bepaald dat de vergadering van de eigenaars de administratie van de VvE aan een externe VvE-beheerder kan opdragen. Wanneer een dergelijk besluit wordt genomen, weten, althans behoren alle eigenaars en gebruikers te weten dat de VvE-beheerder persoonsgegevens zal verwerken die noodzakelijk zijn voor het uitoefenen van zijn taken en plichten (die normaliter aan het bestuur toekomen) en de overige afgesproken taken die in een overeenkomst worden vastgelegd. De doelen voor de verwerking van persoonsgegevens worden door de VvE-beheerder en de VvE in een dergelijk geval samen vastgesteld in een overeenkomst. De middelen waarmee en hoe deze persoonsgegevens worden verwerkt, worden ook samen vastgesteld of worden door de VvE overgelaten aan de VvE-beheerder.
Uit het voorgaande volgt dan ook dat de VvE-beheerder een verwerkingsverantwoordelijke is op basis van de AVG.
13.3 Is de VvE een verwerkingsverantwoordelijke of een verwerker?
Aangezien de VvE op grond van de wet en het splitsingsreglement de juridische bevoegdheid heeft om het doel en de middelen voor de verwerking van persoonsgegevens vast te stellen, is de VvE een verwerkingsverantwoordelijke in de zin van de AVG. Denk hierbij aan het bestuur dat op basis van het splitsingsreglement verplicht is een register aan te leggen en bij te houden van de eigenaars en gebruikers. Het doel hiervan is om ervoor zorg te dragen dat het splitsingsreglement en het huishoudelijk reglement van de VvE door de eigenaars en gebruikers worden nageleefd. Voor het uitvoeren van haar taken verwerkt het bestuur dan ook bepaalde persoonsgegevens van deze eigenaars en gebruikers. Ingevolge de AVG is het bestuur dan ook de vertegenwoordiger van de verwerkingsverantwoordelijke (de VvE).
Nu zowel de VvE als de VvE-beheerder verwerkingsverantwoordelijke zijn in de zin van de AVG en zij samen het doel en de middelen voor de verwerking van persoonsgegevens in een overeenkomst vaststellen, adviseert de wetgever en de AP om onderling afspraken te maken over de plichten die de AVG aan de verwerkingsverantwoordelijke oplegt. Deze afspraken kunnen worden vastgelegd in een overeenkomst, zodat het voor de betrokkene (eigenaar en gebruiker) ook duidelijk is bij wie hij terecht moet voor het uitoefenen van zijn/haar rechten, zoals bijvoorbeeld het recht van inzage en rectificatie (zie hoofdstuk 8).
13.4 Hoe zit het met de VvE-beheerder die tevens bestuurder is?
Wanneer de VvE-beheerder tevens bestuurder is, is hij tevens een vertegenwoordiger van een verwerkingsverantwoordelijke (VvE). Het bestuur registreert (verwerkt) namelijk persoonsgegevens op grond van het splitsingsreglement, de wet en de besluiten van de vergadering van eigenaars. Dit betekent dat het bestuurder (naast de VvE) ook gehouden is aan de regels die voor de verwerkingsverantwoordelijken gelden. Sterker nog, de AP zal niet bij de leden aankloppen, maar bij het bestuur om na te gaan of verwerkingen conform de regels van de AVG zijn verricht. Kortom, ook de VvE-beheerder die slechts - bestuurder is van een VvE, adviseren wij om de in dit pakket genoemde verplichtingen, die voor de verwerkingsverantwoordelijke gelden, na te leven.
De plichten van de VvE- in
beginsel ook door (het bestuur van) . Doch, aangezien dit pakket bedoeld is voor de VvE-beheerder. Hebben wij het stappenplan enkel voor de VvE-beheerder opgesteld. Zie bijlage 1.