Inleiding
Portaal 2100 is een digitale oplossing die bedoeld is om Vaste Verenigingen van Eigendom (VvE) te ondersteunen bij het beheer van hun administratie. Het platform biedt toegang tot een uitgebreide rechtenstructuur die bepaalt wie welk type informatie mag bekijken of downloaden. De discussie over toegang tot gevoelige informatie binnen VvE’s, zoals presentielijsten en machtigingen van algemene ledenvergaderingen, is echter niet zonder complicaties. De Algemene Verordening Gegevensbescherming (AVG) en de VvE-wet spelen hierbij een belangrijke rol, aangevuld met praktijkuitvoering die soms leidt tot verwarring.
Deze artikel biedt een overzicht van de wettelijke basis van inzage- en toegangsrechten binnen een VvE, het gebruik van Portaal 2100 als beheerinstrument, en mogelijke privacyrisico’s die uit de praktijk van VvE’s kunnen voortkomen. Op basis van de gegevens uit de bronnen wordt geanalyseerd hoe deze aspecten samenwerken in de huidige situatie, en wat dat betekent voor leden, bestuurders en beheerders van VvE’s.
Portaal 2100 en de rechtenstructuur
Portaal 2100 is ontworpen om VvE-beheer te digitaliseren. Het is een platform dat een centrale plek biedt voor de administratie van VvE’s, waaronder financiële gegevens, vergaderdocumenten en communicatie met leden. Een van de centrale aspecten van Portaal 2100 is de rechtenstructuur. Deze structuur is opgebouwd om te bepalen welke gebruikers welk type informatie mogen inzien of bewerken, afhankelijk van hun rol binnen de VvE.
Zo kan bijvoorbeeld een lid van de kascommissie niet alleen persoonlijke gegevens inzien, zoals een actueel rekeningoverzicht van de te betalen bijdrage, maar ook een op de functie afgestemde set financiële gegevens. Een bestuurslid heeft op zijn beurt toegang tot meer specifieke informatie dan de gewone leden, omdat zijn rol dit vereist.
Hoewel de rechtenstructuur technisch gesproken geavanceerd is, zijn er kritische stemmen over de gebruiksvriendelijkheid en duidelijkheid van het platform. De taal en structuur van Portaal 2100 worden door sommigen als onduidelijk en onoverzichtelijk ervaren, wat het gebruik voor VvE-leden en beheerders minder efficiënt kan maken.
Een belangrijk juridisch kader hierbij is artikel 41 lid 6 van de VvE-wet, die bepaalt dat VvE-leden een recht op inzage hebben in de administratie. Dit recht is echter niet absoluut, aangezien het moet worden geëvalueerd tegen het licht van de AVG, die richtlijnen bevat over het omgaan met persoonsgegevens. Dit heeft geleid tot discussies over de vraag of ieder lid recht heeft op inzage in gevoelige informatie, zoals presentielijsten en machtigingen van ALV-vergaderingen.
Inzage in presentielijsten en machtigingen
Het recht op inzage in de administratie is een fundamenteel aspect van VvE-beheer. Dit recht is geregeld in de Algemene Verordening Gegevensbescherming (AVG) en de VvE-wet. In de praktijk is het echter niet altijd duidelijk hoe dit recht moet worden toegepast, vooral bij gevoelige gegevens zoals presentielijsten en machtigingen van ALV-vergaderingen.
In het Portaal 2100 zijn deze gegevens sinds kort afgeschermd. Een gebruiker heeft gemeld dat hij deze informatie vroeger wel kon inzien en downloaden, maar dat dit nu niet langer mogelijk is. Dit heeft geleid tot discussie over de vraag of het bestuur of de beheerder van de VvE in eigen beheer mag beslissen over het afwenden van toegang tot zulke gegevens.
Een juridisch standpunt hierop is dat het wettelijk recht op inzage geregeld is in de Algemene Verordening Gegevensbescherming of in het reglement van de VvE. Het is echter ook van belang dat de praktijkuitvoering van inzage wordt afgesproken tijdens de Algemene Ledenvergadering (ALV), waarbij dergelijke beslissingen moeten worden genomen en gecommuniceerd.
De AVG is in dit kader een relevante maatregel. De AVG is bedoeld om de privacy van individuen te beschermen, maar het is ook een instrument dat niet zonder meer alles omvat. Zoals er wordt opgemerkt in de discussie op Portaal 2100, is er verwarring ontstaan in de praktijk over de toepassing van de AVG in VvE-land. Sommige betogen dat hetgeen al geregeld is in de VvE-wet automatisch een wettelijke basis biedt voor het delen van persoonsgegevens binnen de VvE. Andere meningen stellen echter dat de AVG prioriteit heeft boven de splitsingsakte of andere VvE-voorschriften.
Een belangrijk juridisch aanknopingspunt is artikel 41 lid 6 van de VvE-wet. Dit artikel bepaalt dat VvE-leden recht hebben op inzage in de administratie. In een artikel op de website van het AVVR is aangegeven dat dit recht niet absoluut is. Het moet worden geëvalueerd in de context van de AVG, die bepaalt hoe persoonsgegevens behandeld mogen worden. Dit betekent dat er een evenwicht moet worden gescoord tussen het recht van leden op inzage en de privacy van anderen.
De AVG en het beheer van persoonsgegevens in VvE’s
De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die regelt hoe persoonsgegevens behandeld mogen worden. De AVG is van toepassing op alle organisaties die gegevens van individuen verwerken, inclusief VvE’s. De AVG stelt eisen aan de verwerking van persoonsgegevens, zoals de vereisten van wettelijk basis, doelgerichtheid, opslagduur en veiligheid.
In de context van VvE’s kan de AVG worden toegepast op gegevens zoals namen, adressen, BSN-nummers, en andere persoonlijke informatie die nodig zijn voor het beheer van de vereniging. Het is belangrijk om te begrijpen dat de AVG niet automatisch iedere VvE beperkt in haar beheeractiviteiten, maar dat het wel een kader biedt binnen het wel moet worden gewerkt.
Een van de centrale principes van de AVG is dat de verwerking van persoonsgegevens alleen toegestaan is als er een wettelijke grondslag voor is. In het geval van VvE’s is de splitsingsakte (de akte waarin het eigendom van de woning wordt verdeeld) meestal de wettelijke basis voor de verwerking van gegevens. De splitsingsakte bevat regels voor het beheer van de VvE, waaronder het omgaan met administratie en communicatie. Aangezien de VvE een rechtspersoon is die verantwoordelijk is voor het beheer van de gemeenschappelijke ruimtes en infrastructuur, is het verwerken van persoonsgegevens in het kader van dat beheer meestal toegestaan.
Hoewel de AVG een wettelijk kader biedt, is het belangrijk om rekening te houden met de praktijkuitvoering. In het geval van Portaal 2100 is er bijvoorbeeld een discussie ontstaan over de toegang tot presentielijsten en machtigingen. Deze discussie draait erop of deze gegevens onder de AVG vallen en of het recht van leden op inzage hierdoor beperkt wordt.
Het AVVR heeft in een artikel aangegeven dat het recht op inzage in de administratie van een VvE niet absoluut is. Het moet worden geëvalueerd in de context van de AVG. Dit betekent dat VvE’s aandacht moeten besteden aan hoe ze persoonsgegevens verwerken, maar dat het niet betekent dat elke toegang tot informatie automatisch tegen de AVG indruist. Het is echter wel zo dat VvE’s zich aan de AVG moeten houden en dat ze dus niet zomaar gevoelige informatie mogen delen zonder een wettelijke basis.
Privacyrisico’s en beveiliging in VvE’s
Hoewel VvE’s zich binnen het kader van de AVG en de VvE-wet moeten bewegen, is het ook belangrijk om aandacht te besteden aan beveiliging. Er zijn verschillende voorbeelden uit de praktijk die laten zien dat datalekken en andere privacyrisico’s zich ook in de VvE-sector voordoen.
Een voorbeeld is een datalek bij GGD IJsselland. Hierbij had een voormalige medewerker wekenlang toegang tot gegevens van mensen die zich op corona hadden laten testen. Dit gebeurde ondanks het feit dat de medewerker zijn opleiding niet had voortgezet en zijn Verklaring Omtrent Gedrag (VOG) was nog niet ingediend. Dit incident toont aan dat zelfs in overheidsinstanties beveiligingsproblemen voor kunnen komen, en dat gevoelige informatie dus ook in VvE’s kan worden blootgesteld.
Een ander voorbeeld is het UWV, dat door de Autoriteit Persoonsgegevens (AP) onder dwangsom is geplaatst vanwege onvoldoende beveiliging van het werkgeversportaal. De AP constateerde dat het UWV geen adequate beveiliging had geïmplementeerd, zoals meerfactorauthenticatie. Dit leidde tot een dwangsom van 150.000 euro per maand, tot een maximum van 900.000 euro. Het UWV moest daardoor de beveiliging van het portaal verbeteren voor een bepaalde datum.
Deze gevallen laten zien dat beveiliging in digitale systemen van uitzonderlijk belang is. In de context van VvE’s, die vaak gebruik maken van digitale platforms zoals Portaal 2100, is het dus belangrijk om zorgvuldig te omgaan met persoonsgegevens. VvE’s moeten er bijvoorbeeld voor zorgen dat alleen de juiste personen toegang hebben tot gevoelige informatie, en dat beveiligingsmaatregelen zoals wachtwoorden en meerfactorauthenticatie worden toegepast.
Een ander voorbeeld is een datalek bij Sitedeals.nl, waarbij onbevoegde toegang is verkregen tot gegevens van gebruikers. Hoewel de exacte methode van toegang onbekend is, is het duidelijk dat gevoelige informatie zoals echte namen, geboortedata en BSN-nummers zijn blootgesteld. Dit benadrukt het belang van beveiliging in digitale systemen, ook in VvE’s.
Conclusie
Het gebruik van Portaal 2100 als digitale beheerinstrument voor VvE’s is een belangrijk aspect van het moderne beheer van Vaste Verenigingen van Eigendom. Het platform biedt een geavanceerde rechtenstructuur die bepaalt wie welk type informatie mag bekijken of bewerken. De wettelijke basis voor inzage in de administratie is geregeld in de Algemene Verordening Gegevensbescherming (AVG) en de VvE-wet. Echter, het recht van leden op inzage is niet absoluut, en moet worden geëvalueerd in de context van de AVG.
In de praktijk ontstaat er soms verwarring over de toepassing van de AVG in VvE-land. Er is bijvoorbeeld discussie over de vraag of ieder lid recht heeft op inzage in gevoelige informatie zoals presentielijsten en machtigingen. In dit kader is het belangrijk om te onthouden dat de AVG niet automatisch alles verbiedt, maar dat het wel een kader biedt binnen het wel moet worden gewerkt.
Daarnaast is beveiliging van uitzonderlijk belang in de digitale wereld. Er zijn verschillende voorbeelden uit de praktijk waarin datalekken en andere privacyrisico’s zich voordoen. In de context van VvE’s is het daarom belangrijk om zorgvuldig om te gaan met persoonsgegevens, en beveiligingsmaatregelen zoals wachtwoorden en meerfactorauthenticatie te gebruiken.
VvE’s moeten zich bewust worden van hun verantwoordelijkheid op het gebied van gegevensbescherming en beveiliging. Het gebruik van digitale platforms zoals Portaal 2100 biedt veel voordelen, maar vereist ook een verantwoordelijke aanpak van privacy en beveiliging.
Bronnen
- AVVR: VVE-recht op inzage administratie niet absoluut
- RTV Oost: Datalek bij GGD-callcenter
- Security.nl: UWV onder druk gezet door Autoriteit Persoonsgegevens
- Tweakers.net: Datalek bij Sitedeals.nl
- Cybercrimeinfo.nl: Menken Orlando getroffen door ransomware aanval
- AD: Cyberaanval treft persoonsgegevens via belastingdienstleverancier