De invoering van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 heeft gevolgen gehad voor diverse sectoren, waaronder de VvE. Het beheer van persoonsgegevens binnen een Vereniging van Eigenaren (VvE) is vanwege de AVG veranderd, en daarmee ook de rol van de VvE-beheerder. Deze artikel biedt een overzicht van de AVG in relatie tot VvE-beheer, met aandacht voor de verantwoordelijkheden van zowel VvE-besturen als beheerders, de praktijk van inzageverzoeken, en de huidige stand van zaken in het veld.
Inleiding
Sinds 25 mei 2018 is de AVG van toepassing in heel Europa. De wetgeving vervangt de oude Wet bescherming persoonsgegevens en stelt nieuwe regels op inzake de bescherming van de privacy van individuen. Voor VvE’s, die vaak veel persoonsgegevens verzamelen en verwerken, zoals de gegevens van eigenaren, huurders en medewerkers, is de AVG een belangrijke juridische en operationele verandering.
Voor een VvE die haar beheer en administratie aan een beheerder heeft uitbesteed, zijn er specifieke regels. De AVG legt niet alleen juridische verplichtingen op aan de VvE, maar ook aan de beheerder, die vaak verwerkingen uitvoert op naam van de VvE. Dit artikel verduidelijkt de rol van de beheerder in het kader van de AVG, het recht op inzage, en de praktijk van het hanteren van persoonsgegevens binnen een VvE.
De AVG en de VvE: Kernbeginselen
Doel van de AVG
De AVG is opgesteld om de privacyrechten van individuen te beschermen. Het doel is om persoonsgegevens veilig en transparant te verwerken, zodat de rechten en vrijheden van natuurlijke personen worden gegarandeerd. De AVG stelt dat het verwerken van persoonsgegevens alleen toegestaan is als er een juridische grondslag is, zoals het naleven van een wettelijke verplichting of de uitvoering van een overeenkomst.
Voor een VvE betekent dit dat het verwerken van persoonsgegevens – zoals die van eigenaren, huurders en medewerkers – enkel toegestaan is als het noodzakelijk is voor het uitvoeren van de taken van de VvE, zoals het beheer van het woningcorporaat, het verzorgen van administratieve processen of het opstellen van rekeningen.
Verantwoordelijkheden van VvE en beheerder
De AVG stelt dat zowel de VvE als haar beheerder verantwoordelijk kunnen zijn voor de verwerking van persoonsgegevens. In veel gevallen is de VvE de verwerkingsverantwoordelijke, terwijl de beheerder de verwerker is. Dit betekent dat de VvE verantwoordelijk is voor het stellen van de regels, terwijl de beheerder deze regels uitvoert.
Een voorbeeld is Twinss VvE beheer BV, die samen met de VvE gezamenlijke verwerkingsverantwoordelijke is. Dit betekent dat zowel de VvE als de beheerder verantwoordelijk zijn voor de naleving van de AVG-eisen, zoals het opstellen van een verwerkingsovereenkomst en het respecteren van de rechten van de betrokkenen.
In deze context is het belangrijk dat de VvE zorgvuldig kiest voor een beheerder die ervaring heeft met de AVG en die bereid is om samen te werken om aan de wettelijke eisen te voldoen.
De praktijk van AVG-toepassing in VvE's
Inzageverzoeken en het gebruik van de AVG
Een veelvoorkomende situatie in VvE’s is het verwerpen van inzageverzoeken op grond van de AVG. Eigenaren vragen regelmatig om inzage in de administratie of andere documenten van de VvE, zoals presentielijsten van vergaderingen of machtigingen. In sommige gevallen verwerpen bestuurders of beheerders deze verzoeken, doordat ze stellen dat het verstrekken van de gevraagde informatie in strijd zou zijn met de AVG.
Echter, zoals Robert van Ewijk, advocaat gespecialiseerd in VvE-recht, benadrukt, is een dergelijk beroep op de AVG niet altijd terecht. Vaak wordt geen onderbouwing gegeven voor het beroep op de AVG. Sterker nog, soms wordt zelfs gezegd dat het verlenen van inzage verboden zou zijn, zonder dat er een verwijzing is naar een specifieke bepaling in de AVG waarop dit verbod berust.
Een dergelijke houding kan problematisch zijn, omdat de AVG niet automatisch inzageverboden oplegt. Het recht op inzage is bijvoorbeeld vastgelegd in de splitsingsakte en andere regelgeving die van toepassing is op VvE’s. De AVG kan de splitsingsakte dus niet ongedaan maken, tenzij er een duidelijke en juridisch onderbouwde reden is om dit te doen.
Rechtenstructuur en toegang tot informatie
In sommige VvE’s is er een geavanceerde rechtenstructuur opgezet, bijvoorbeeld via beheerportalen zoals VVE Beheer Portaal 2100. Deze portalen bieden gebruikers toegang tot verschillende soorten informatie, afhankelijk van hun rol binnen de VvE. Zo heeft een lid van de kascommissie bijvoorbeeld toegang tot financiële gegevens, terwijl een bestuurslid toegang heeft tot meer gedetailleerde informatie.
Deze structuur is een praktische manier om de AVG te hanteren, omdat het zorgt voor een duidelijke scheidingslijn tussen persoonlijke gegevens en administratieve gegevens. Echter, zoals in de bronnen aangegeven, is het gebruik van dergelijke portalen niet altijd gebruiksvriendelijk of duidelijk voor de gebruikers. Dit kan leiden tot verwarring of misbruik van de AVG als excuus voor het weigeren van inzage.
De rol van de beheerder in het kader van de AVG
Verantwoordelijkheid van de beheerder
De beheerder van een VvE speelt een cruciale rol bij het hanteren van persoonsgegevens. Omdat de beheerder vaak verwerkingen uitvoert op verzoek van de VvE, is het van belang dat de beheerder ervaren is in het naleven van de AVG. Dit betekent dat de beheerder dient te weten hoe persoonsgegevens veilig moeten worden opgeslagen, hoe inzageverzoeken moeten worden beantwoord, en hoe verwerkingen moeten worden onderbouwd.
In het kader van de AVG is het ook belangrijk dat de beheerder een duidelijke verwerkingsovereenkomst heeft met de VvE. Deze overeenkomst dient te bepalen wat de beheerder precies mag doen met persoonsgegevens en hoe hij of zij deze beheert. Zowel de VvE als de beheerder zijn verantwoordelijk voor het naleven van de AVG, en het is belangrijk dat ze samenwerken om eventuele risico’s te beperken.
Certificering en kwaliteit
Om ervoor te zorgen dat beheerders de AVG goed hanteren, bestaan er diverse certificeringen en labels. Bijvoorbeeld het VvE OK-label, uitgegeven door Stichting VvErtimago, aantoont dat een beheerder kennis en vaardigheden heeft op het gebied van VvE-beheer, inclusief de AVG. Voorwaarde voor het behouden van dit label is het maken van permanente opleidingen op het gebied van VvE-beheer.
Een ander voorbeeld is het AVG-OK vignet, uitgegeven door Stichting AVG. Dit vignet aantoont dat een organisatie zich inzet voor het naleven van de AVG-regels. Beheerders die dit vignet hebben, kunnen extra vertrouwen opbouwen bij VvE’s, omdat het duidelijk maakt dat zij hun best doen om aan de wettelijke eisen te voldoen.
Praktijkuitdagingen en juridische discussies
Verwerpen van inzageverzoeken
Een van de grote uitdagingen in het huidige VvE-landschap is het verwerpen van inzageverzoeken op grond van de AVG. Veel VvE’s en beheerders zien de AVG als een juridisch instrument om bepaalde informatie te beschermen, maar in de praktijk is dit niet altijd het geval. De AVG kan bijvoorbeeld geen inzageverbod opleggen als er geen juridische reden is om dat te doen.
Een voorbeeld is de discussie over het recht van inzage in de administratie van de VvE. Hoewel de AVG bepaalt dat persoonsgegevens worden beschermd, is het recht van inzage in administratie niet automatisch beperkt door de AVG. De splitsingsakte en andere wettelijke regels geven eigenaren het recht om inzage te krijgen in bepaalde documenten, zoals financiële overzichten of besluiten van algemene vergaderingen.
Een VvE die haar beheer aan een beheerder heeft uitbesteed, moet dus zorgvuldig overwegen of het verwerpen van inzageverzoeken op grond van de AVG terecht is. Het is belangrijk dat dergelijke beslissingen duidelijk worden onderbouwd en dat er een juridisch argument is voor het weigeren van inzage.
Onduidelijkheid in de praktijk
Hoewel de AVG duidelijke regels stelt, blijft het in de praktijk vaak onduidelijk hoe deze regels precies moeten worden toegepast. Dit geldt vooral voor VvE’s met een nieuw of onervaren bestuur. In zulke gevallen kan het gebruik van de AVG als excuus voor het weigeren van inzage leiden tot juridische risico’s, omdat het kan worden aangeweten dat er geen juridische grondslag is voor het beroep op de AVG.
Een voorbeeld is een VvE die een nieuw bestuur heeft dat van mening is dat het indruist tegen de AVG om iedere eigenaar toegang te geven tot privacygevoelige informatie. In zulke gevallen is het belangrijk om te verduidelijken dat de AVG niet automatisch tegenwerkt aan het recht op inzage, tenzij er een duidelijke juridische reden is om dit te doen.
Conclusie
De AVG heeft de manier waarop persoonsgegevens worden verwerkt binnen een VvE veranderd. Voor VvE’s is het belangrijk om te begrijpen dat de AVG geen automatische bescherming biedt tegen inzageverzoeken, maar dat het juridisch duidelijk moet zijn waarom bepaalde informatie niet mag worden vrijgegeven. De rol van de VvE-beheerder is hierin van groot belang, omdat hij of zij verantwoordelijk is voor het uitvoeren van verwerkingen en het naleven van de AVG.
Het is verstandig dat zowel VvE’s als beheerders investeren in kennis over de AVG en in praktische maatregelen om aan de wettelijke eisen te voldoen. Certificeringen zoals het VvE OK-label of het AVG-OK vignet kunnen helpen bij het opbouwen van vertrouwen en het voorkomen van juridische risico’s.
Ten slotte is het belangrijk om te erkennen dat de AVG niet automatisch een obstakel is voor transparantie binnen een VvE. Inzake administratie en andere documenten kan het recht van inzage gelden, ook als persoonsgegevens betrokken zijn. Het is de taak van VvE’s en beheerders om deze regels te begrijpen en correct toe te passen.