Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht in Nederland. Deze regelgeving, bekend als de General Data Protection Regulation (GDPR) binnen de EU, heeft een grote impact op de manier waarop persoonsgegevens worden verwerkt. Voor de Vereniging van Eigenaren (VvE) – een vereniging die verantwoordelijk is voor de administratie en beheer van appartementencomplexen – brengt de AVG een aantal nieuwe verplichtingen en uitdagingen met zich mee. Het is van groot belang dat VvE-besturen deze wisseling van normen goed begrijpen en hierop adequaat reageren, zowel juridisch als operationeel.
De AVG heeft als doel de privacy van individuen te beschermen en hun rechten op het gebied van gegevensbescherming te versterken. In de praktijk betekent dit dat VvE’s persoonsgegevens – zoals namen, adressen, contactgegevens, betalingsachterstanden en andere administratieve data – met grotere zorg en transparantie moeten omgaan. Bovendien zijn er juridische rechten voor de leden van een VvE, zoals het recht op inzage in de administratie, die in sommige gevallen in tegenspraak kunnen komen met de AVG. Het is daarom belangrijk dat VvE-besturen niet alleen de AVG kennen, maar ook weten hoe ze deze in de dagelijkse praktijk moeten toepassen.
In dit artikel bespreken we de juridische en praktische aspecten van de AVG in relatie tot VvE’s, de verwerking van persoonsgegevens binnen een VvE, de rechten van VvE-leden, en de maatregelen die nodig zijn om de AVG te respecteren.
Wat is de AVG en wat betekent het voor de VvE?
De AVG is een Europese wetgeving die het verwerken van persoonsgegevens regelt. Ze vervangt de oude wet Bescherming Persoonsgegevens en is van kracht sinds 25 mei 2018. De AVG geeft regels voor het verzamelen, opslaan, verwerken en verstrekken van persoonsgegevens. Deze gegevens kunnen zowel algemene informatie zijn, zoals namen en adressen, als meer gevoelige data, zoals medische gegevens of financiële gegevens.
Voor de VvE betekent de AVG dat het verwerken van persoonsgegevens niet langer automatisch toegestaan is. Het verwerken van gegevens moet gegrond zijn op een juridische basis, zoals toestemming van de betrokkene of de uitvoering van een overeenkomst. Bovendien moet de VvE zorg dragen voor de beveiliging van deze gegevens en kunnen de leden hun rechten uitoefenen, zoals het recht op inzage, correctie of het verzoek tot gegevensverwijdering.
In de context van een VvE kunnen persoonsgegevens bijvoorbeeld bestaan uit de namen en contactgegevens van eigenaren, huurders, parkeergaragegebruikers, of medische gegevens voor toegang tot een scootmobiel. Deze gegevens zijn vaak essentieel voor het functioneren van de VvE, maar ze vallen onder de AVG en moeten daarom met zorg worden behandeld.
Verwerking van persoonsgegevens door VvE’s
VvE’s houden meestal persoonsgegevens bij om de administratie van het appartementencomplex te beheren. Dit kan bijvoorbeeld het geval zijn bij het afhandelen van betalingen, het beheren van parkeergarages, of het registreren van klachten en onderhoudsverzoeken. De AVG stelt duidelijke eisen aan hoe deze gegevens worden verzameld, gebruikt en bewaard.
Een van de belangrijkste verplichtingen voor VvE’s is de zogenaamde documentatieplicht. Dit betekent dat de VvE moet kunnen aantonen hoe ze met persoonsgegevens omgaat, waarom deze gegevens worden verwerkt en welke maatregelen genomen zijn om de gegevens te beschermen. Deze documentatie is belangrijk voor het tonen van naleving van de AVG en kan bijvoorbeeld de vorm van een AVG-klaring of een stappenplan AVG aannemen.
Daarnaast moet de VvE passende technische en organisatorische maatregelen nemen om de gegevens te beveiligen en het risico op lekken of misbruik te beperken. Dit kan bijvoorbeeld het gebruik van beveiligde databases, beperkte toegang tot gevoelige informatie, en regelmatige audits betreffen.
Rechten van VvE-leden in het kader van de AVG
De AVG geeft natuurlijke personen een aantal rechten met betrekking tot hun persoonsgegevens. Deze rechten zijn ook van toepassing op leden van een VvE. De belangrijkste rechten zijn:
Recht op inzage: Een lid van een VvE kan vragen om inzage in de gegevens die de VvE over hen heeft. Dit recht is vaak ingebed in de regels van de VvE zelf, zoals in het reglement voor het beheren van administratie. Het recht op inzage is ook bekrachtigd door jurisprudentie, zoals de uitspraak van de rechtbank Amsterdam in 2015.
Recht op correctie: Als een lid merkt dat de VvE foutieve gegevens over hen heeft, kan hij of zij deze correctie verzoeken.
Recht op gegevensverwijdering: In bepaalde gevallen kan een lid vragen dat zijn of haar persoonsgegevens worden verwijderd. Dit is echter niet altijd mogelijk, bijvoorbeeld wanneer de gegevens nodig zijn voor het beheren van de administratie.
Recht op beperking van verwerking: In sommige gevallen kan een lid vragen dat de verwerking van zijn of haar gegevens tijdelijk wordt beperkt.
Recht op toestemming en intrekken ervan: Als de verwerking van persoonsgegevens gebaseerd is op toestemming, kan het lid deze toestemming intrekken.
Recht op klacht bij de Autoriteit Persoonsgegevens (AP): Als een lid de indruk heeft dat de VvE niet goed omgaat met persoonsgegevens, kan hij of zij een klacht indienen bij de AP.
De verwerking van persoonsgegevens binnen een VvE moet daarom altijd gebeuren in overeenstemming met deze rechten. Het is belangrijk dat VvE-besturen duidelijk communiceren over hoe gegevens worden gebruikt en welke rechten de leden hebben.
De rol van de beheerder in het kader van de AVG
In veel gevallen is de beheerder verantwoordelijk voor het dagelijks beheer van het appartementencomplex en de administratie. Ook de beheerder valt onder de AVG en moet dus voldoen aan de eisen van de wetgeving. Dit betreft zowel de verwerking van gegevens die de beheerder zelf verzamelt, als gegevens die hij of zij van de VvE ontvangt.
Een belangrijk juridisch vraagstuk is of de beheerder gerechtigd is om persoonsgegevens te verstrekken aan derden of aan leden van de VvE. In een rechtszaak uit 2021 oordeelde de rechtbank Rotterdam dat het recht op inzage in de administratie van de VvE niet opzij kan worden geschoven door het aantreffen van de AVG. Het recht op inzage is namelijk ingebed in het reglement van de VvE, en de AVG kan niet gebruikt worden als rechtvaardiging om dit recht te beperken.
Anderzijds is het belangrijk dat de beheerder ervoor zorgt dat de verwerking van gegevens juridisch goed is. Dit kan bijvoorbeeld het geval zijn wanneer de beheerder toestemming verwerkt, wanneer hij of zij een overeenkomst uitvoert of wanneer hij of zij wettelijke verplichtingen nakomt.
AVG en administratie: tegenspraak of samenhang?
De administratie van een VvE bevat vaak gevoelige informatie, zoals betalingsachterstanden, contactgegevens en medische gegevens. Deze informatie vormt de basis voor het functioneren van de VvE, maar valt onder de AVG en moet daarom met extra zorg worden behandeld.
Een belangrijk juridisch vraagstuk is of de AVG in tegenspraak komt met het reglement van de VvE. In veel reglementen staat dat leden inzage mogen eisen in de administratie. Deze inzage kan echter in tegenspraak komen met de AVG, omdat sommige gegevens privacygevoelig zijn.
Volgens een uitspraak van de rechtbank Amsterdam (2015) is het recht op inzage in de administratie van een VvE wel toegestaan, zelfs als deze administratie privacygevoelige informatie bevat. De rechtbank oordeelde dat dit recht gegrond is in de feit dat leden mede-eigenaar zijn van het appartementencomplex en daarom het recht hebben om op de hoogte te worden gehouden van informatie die van belang is voor de beheer en financiële situatie van het complex.
In andere gevallen kan het gebruik van de AVG als rechtvaardiging voor het weigeren van inzage worden aangevoerd, maar dit is volgens juridische experts minder sterk gesteund. Het is daarom belangrijk dat VvE-besturen en beheerders duidelijk weten hoe ze met dergelijke situaties om moeten gaan en of het recht op inzage in de administratie toegestaan is binnen de AVG.
Praktische stappen voor VvE’s om de AVG te implementeren
Voor VvE’s is het van groot belang om de AVG correct en volledig te implementeren. Dit betekent dat het bestuur en eventuele beheerders actief moeten zijn bij het beheren van persoonsgegevens. Hieronder volgen enkele praktische stappen die VvE’s kunnen ondernemen:
Een AVG-klaring maken: Een AVG-klaring is een document dat aantoont hoe de VvE voldoet aan de AVG. Het bevat onder meer informatie over welke gegevens worden verwerkt, waarom deze gegevens worden verwerkt, en welke maatregelen genomen zijn om de gegevens te beveiligen.
Een stappenplan AVG volgen: Veel VvE’s volgen een stappenplan AVG, dat hen begeleidt bij het aanpassen van hun administratie en procesbehandeling aan de eisen van de AVG. Dit plan helpt bijvoorbeeld bij het opstellen van beleidsregels, het documenteren van gegevensverwerking en het implementeren van beveiligingsmaatregelen.
Transparantie in gegevensverwerking: VvE’s moeten duidelijk communiceren over hoe ze persoonsgegevens verwerken. Dit kan bijvoorbeeld gebeuren via een privacyverklaring of via het reglement van de VvE.
Beveiliging van gegevens: Het is belangrijk dat persoonsgegevens veilig worden opgeslagen. Dit kan gedaan worden via beveiligde databases, beperkte toegang tot gegevens en regelmatige audits.
Opleiding van bestuursleden en beheerders: Niet alle bestuursleden en beheerders weten precies hoe de AVG werkt en wat hun verantwoordelijkheden zijn. Het is daarom aan te raden om opleidingen aan te bieden over de AVG en gegevensbescherming.
Jaarlijkse updates van de AVG-verklaring: Als er geen grote wijzigingen zijn in de verwerking van persoonsgegevens, is het aan te raden om jaarlijks de AVG-verklaring bij te werken en te documenteren dat alles nog steeds up-to-date is.
AVG en digitale diensten
Veel VvE’s en beheerders werken tegenwoordig met digitale diensten, zoals digitale portalen voor eigenaren, apps en online administratie. Deze diensten verwerken vaak persoonsgegevens, zoals e-mailadressen, telefoonnummers en betalingsgegevens. Ook in dit geval moet de AVG worden nageleefd.
Een voorbeeld hiervan is de Alliantie VvE-diensten, die een privacyreglement heeft opgesteld. Dit reglement legt uit welke persoonsgegevens worden verwerkt, waarvoor en hoe deze gegevens worden beveiligd. Het reglement benadrukt ook dat de beveiliging van persoonsgegevens een belangrijke taak is en dat passende maatregelen genomen moeten worden om lekken of misbruik te voorkomen.
Het gebruik van digitale diensten betekent ook dat VvE’s en beheerders ervoor moeten zorgen dat de derde partijen die zij gebruiken – zoals softwareontwikkelaars of administratiebedrijven – ook voldoen aan de AVG. Dit kan geregeld worden via bewerkingsovereenkomsten, waarin de verantwoordelijkheden van beide partijen zijn vastgelegd.
Conclusie
De Algemene Verordening Gegevensbescherming (AVG) heeft een grote impact op de manier waarop persoonsgegevens worden verwerkt. Voor de Vereniging van Eigenaren (VvE) betekent dit dat het verwerken van gegevens niet langer automatisch toegestaan is, maar dat er juridische grondslagen en beveiligingsmaatregelen aanwezig moeten zijn. VvE’s moeten zich bewust zijn van de rechten van hun leden, zoals het recht op inzage en correctie van persoonsgegevens, en deze rechten adequaat omzetten in praktijk.
Het is belangrijk dat VvE-besturen en beheerders de AVG goed begrijpen en passende maatregelen nemen om hierop te reageren. Dit omvat het maken van een AVG-klaring of het volgen van een stappenplan AVG, het implementeren van beveiligingsmaatregelen, en het communiceren over hoe persoonsgegevens worden verwerkt. Bovendien is het van belang om de rechtsvraagstukken rondom het recht op inzage in de administratie van een VvE en de AVG goed te begrijpen, zodat VvE’s en beheerders deze rechten en verplichtingen adequaat kunnen toepassen.
In een tijd waarin digitale diensten en online administratie steeds belangrijker worden, is het ook essentieel om ervoor te zorgen dat deze systemen voldoen aan de AVG. Dit betreft niet alleen de VvE zelf, maar ook de externe partijen die deze diensten aanbieden.
De AVG is geen hinderpaal voor de VvE, maar een katalysator voor transparantie en betrouwbaarheid. Met de juiste maatregelen kan een VvE zowel juridisch als praktisch goed functioneren binnen de regels van de AVG, wat uiteindelijk leidt tot vertrouwen bij de leden en een efficiënter beheer van het appartementencomplex.