Inleiding
Voor eigenarenverenigingen (VvE’s) is de verwerking van persoonsgegevens een essentieel onderdeel van hun dagelijkse activiteiten. In het kader van hun verplichte administratie, communicatie en beheeractiviteiten worden persoonsgegevens van bewoners en leden vastgelegd, verwerkt en opgeslagen. Deze gegevensverwerking moet in overeenstemming zijn met de Algemene Verordening Gegevensbescherming (AVG), die sinds 25 mei 2018 van kracht is.
Deze privacyverklaringen, zoals die van VVE Verzekeringscollectief, VvE Advies, VvE Arnolduspark, VvE Bergsingel en andere VvE’s, bieden een overzicht van welke persoonsgegevens worden verwerkt, welk doel de verwerking heeft en hoe de gegevens worden beveiligd. In dit artikel wordt een overzicht gegeven van de meest voorkomende elementen in privacyverklaringen van VvE’s, met aandacht voor verwerking, beveiliging, opslag en rechten van betrokkenen.
Verwerking van Persoonsgegevens
De verwerking van persoonsgegevens door een VvE is meestal gericht op het effectief functioneren van de vereniging. De meest voorkomende doelen van verwerking zijn:
- Administratieve doeleinden: het bijhouden van een bewonersadministratie met relevante contactgegevens zoals naam, adres, telefoonnummer en e-mailadres. Deze administratie is vaak verplicht op grond van wettelijke verplichtingen, zoals die in het Model Reglement voor appartementen zijn opgenomen.
- Communicatie: het mogelijk maken van correspondentie met bewoners, zoals het verzenden van nieuwsbrieven, oproepen tot vergaderingen of het verstrekken van administratieve informatie.
- Betalingen en administratie: het verwerken van betaalgegevens en het afhandelen van betalingen tussen VvE en bewoners.
- Fraudevoorzieningen: het voorkomen van fraude, zoals witwassen of identiteitsfraude.
- Wettelijke verplichtingen: het voldoen aan wettelijke eisen, zoals het opstellen van een actuele ledenlijst volgens de regels van het Model Reglement.
De verwerking van persoonsgegevens door VvE’s is meestal gegrond in de toestemming van de betrokkene of in de wettelijke verplichting om administratieve of communicatieve activiteiten uit te voeren.
Soorten Verwerkte Persoonsgegevens
De meeste VvE’s verwerken een bepaalde categorie persoonsgegevens. Hieronder een overzicht van de meest voorkomende:
- Persoonlijke identiteitsgegevens: naam, voorletters, adres, telefoonnummer, e-mailadres.
- Financiële gegevens: bankrekeningnummers, betaalgegevens, eventueel informatie over verschuldigde bedragen.
- Commissie- of bestuursfuncties: informatie over wie lid is van de commissie of het bestuur.
- Technische gegevens: IP-adres bij gebruik van digitale contactformulieren.
- Social media en openbaar register: eventueel verkregen gegevens via het handelsregister, Kadaster of social media profielen.
Het is belangrijk dat VvE’s alleen de gegevens verwerken die nodig zijn voor het doel. Gegevens die niet relevant zijn voor de doeleinden mogen niet worden opgeslagen of verwerkt.
Beveiliging van Persoonsgegevens
Om de privacy van bewoners te waarborgen, nemen VvE’s technische en organisatorische maatregelen om gegevens te beveiligen. De meeste privacyverklaringen van VvE’s vermelden:
- Toegangsbeheer: alleen geautoriseerd personeel heeft toegang tot persoonsgegevens.
- Geheimhouding: personeel is verplicht tot geheimhouding van gegevens.
- Beveiligingstechnologie: passende technische maatregelen zijn genomen om verlies, inbreuk of ongeoorloofde toegang tegen te gaan.
- Cookiebeleid: bij gebruik van digitale contactformulieren of websites, worden alleen analytische of tracking cookies gebruikt na acceptatie van de gebruiker.
De beveiliging moet voldoen aan het wettelijk vereiste beveiligingsniveau. Hierbij is het niveau van beveiliging afhankelijk van de risico’s die zijn geassocieerd met de verwerking van gevoelige of bijzondere persoonsgegevens.
Opslag en Verwijdering van Persoonsgegevens
De opslagtermijn van persoonsgegevens is afhankelijk van het doel van de verwerking en eventuele wettelijke verplichtingen. Hieronder een overzicht van de meest voorkomende opslagtermijnen:
- Persoonlijke gegevens: onbeperkt gedurende het lidmaatschap van de VvE, en gedurende 3 jaar na het einde van het lidmaatschap.
- Betaalgegevens: opslag beperkt tot het boekjaar.
- Statistische doeleinden: eventueel gedepersonaliseerde gegevens kunnen langer worden bewaard.
Als het doel van de verwerking niet langer geldt en er geen wettelijke verplichting is om de gegevens te bewaren, moeten VvE’s de gegevens verwijderen. Het is verplicht om gegevens te verwijderen wanneer dit niet langer nodig is en er geen rechtmatig doel meer voor is.
Rechten van Betrokkene
De AVG geeft rechten aan personen wier gegevens worden verwerkt. VvE’s moeten betrokkenen toegang geven tot hun persoonsgegevens en eventueel deze aanpassen of verwijderen. De meest voorkomende rechten zijn:
- Recht op inzage: betrokkenen kunnen vragen om inzage in hun persoonsgegevens.
- Recht op correctie: betrokkenen kunnen vragen om foutieve of onvolledige gegevens te corrigeren.
- Recht op verwijdering: betrokkenen kunnen vragen om hun gegevens te verwijderen, onder voorwaarden zoals het afwijken van het doel van de verwerking.
- Recht op beperking van verwerking: onder bepaalde voorwaarden kan de verwerking van gegevens worden beperkt.
- Recht op gegevensverplaatsbaarheid: betrokkenen kunnen hun gegevens in een meestal gebruikte en machine-leesbare vorm ontvangen.
- Recht om in te zien of te wederzaken: betrokkenen kunnen aangeven of ze niet willen dat hun gegevens worden verwerkt voor direct marketing of andere doeleinden.
VvE’s moeten deze rechten mogelijk maken en beantwoorden binnen de wettelijk vastgelegde termijn. Betrekkingen moeten ook weten hoe ze hun rechten kunnen uitoefenen, bijvoorbeeld via een contactformulier of een klachtenprocedure.
Geautomatiseerde Besluitvorming
Hoewel geautomatiseerde besluitvorming (automated decision-making) in VvE’s zeldzaam is, is het belangrijk dat bewoners op de hoogte worden gehouden als beslissingen automatisch worden genomen. Indien geautomatiseerde besluitvorming wordt toegepast, moet de VvE dit duidelijk vermelden in de privacyverklaring.
Verantwoordelijkheid van VvE’s
VvE’s zijn verantwoordelijk voor de juiste verwerking van persoonsgegevens. Veel VvE’s benoemen een functionaris voor gegevensbescherming, die als contactpersoon fungeert bij vragen of klachten. Deze functionaris is verantwoordelijk voor het naleven van de AVG en voor het beantwoorden van rechten van betrokkenen.
Het is verder verplicht om klachten te behandelen bij de Autoriteit Persoonsgegevens (AP) of bij andere relevante instanties. VvE’s moeten dit duidelijk vermelden in hun privacyverklaring, vaak met een link naar de website van de AP.
Kinderen en Privacy
De meeste VvE’s benadrukken dat ze niet bedoeld zijn om persoonsgegevens van personen jonger dan 16 jaar te verwerken, tenzij dit met toestemming van de ouder of voogd is gebeurd. Aangezien het verifiëren van leeftijd online niet altijd mogelijk is, is het aanbevolen dat ouders betrokken zijn bij de online activiteiten van hun kinderen.
Conclusie
Voor VvE’s is het opstellen en naleven van een privacyverklaring een essentieel onderdeel van hun administratieve en juridische verantwoordelijkheden. De verwerking van persoonsgegevens moet zorgvuldig worden aangepakt, zowel qua juridische correctheid als qua technische beveiliging. De privacyverklaringen van VvE’s geven over het algemeen een duidelijk beeld van welke gegevens worden verwerkt, waarom en hoe deze worden beschermd.
Het is belangrijk dat VvE’s continu hun privacyverklaringen bijwerken, rekening houdend met wettelijke veranderingen of nieuwe technologieën. Betrokkene moeten weten dat ze hun rechten kunnen uitoefenen en dat VvE’s verantwoordelijk zijn voor de juiste verwerking van persoonsgegevens. Op deze manier kan een VvE zowel haar verplichtingen nakomen als het vertrouwen van haar leden en bewoners behouden.