Juridische Kaders voor VvE’s: De Toepassing van de AVG op Persoonsgegevens en Cameratoezicht

Sinds mei 2018 heeft de Europese Algemene Verordening Gegevensbescherming (AVG) fundamenteel de regels voor het verwerken van persoonsgegevens veranderd. Deze verordening, internationaal bekend als de General Data Protection Regulation (GDPR), stelt strikte eisen aan elke organisatie die met persoonsgegevens omgaat, waaronder Verenigingen van Eigenaren (VvE). Voor een VvE betekent dit dat het bestuur niet alleen de administratie moet beheren, maar ook actief dient te bewaken dat de privacy van de individuele eigenaren wordt beschermd. De wetgeving geldt voor de hele Europese Unie en garandeert dat alle burgers in de lidstaten dezelfde rechten en bescherming genieten. Omdat een VvE per definitie persoonsgegevens verwerkt, valt deze organisatie direct onder de scope van de AVG. Het is cruciaal om te begrijpen welke gegevens onder de wet vallen, welke juridische grondslagen er bestaan voor verwerking, en hoe een VvE concreet kan voldoen aan de documentatieplicht.

De kern van de AVG draait om de bescherming van persoonsgegevens van natuurlijke personen. Dit betekent dat de wet uitsluitend van toepassing is op individuele eigenaren. Alleen als een appartementsrecht in eigendom is van een bedrijf en niet van een natuurlijke persoon, is de AVG op die specifieke eigenaar niet van toepassing. In de praktijk verwerkt een VvE echter veel gegevens die terug te leiden zijn naar een bepaald persoon. Denk hierbij niet alleen aan namen en adressen, maar ook aan telefoonnummers, e-mailadressen, bankrekeningnummers voor de incasso van de maandelijks bijdragen, en bij een gemeenschappelijke parkeergarage zelfs aan kentekengegevens van voertuigen. Ook camerabeelden van beveiligingscamera's vallen onder deze definitie, evenals opnamen gemaakt door deurbelcamera's. Hoewel de verantwoordelijkheid voor deurbelcamera's ligt bij de eigenaar van de camera en niet bij de VvE, zijn de opnamen toch persoonsgegevens die streng gereguleerd zijn.

Een VvE moet aan de wettelijke vereisten en verplichtingen voldoen. De Autoriteit Persoonsgegevens (AP) ziet erop toe dat organisaties de regels naleven. Een overtreding van de regels kan leiden tot boetes. Om dit te voorkomen, is het essentieel dat het bestuur van de VvE een proactieve aanpak kiest voor de implementatie van de AVG. Er bestaat een specifieke AVG-richtlijn voor VvE's, die gratis te downloaden is van de website van VvEbelang. Deze richtlijn biedt een concreet stappenplan waarmee het bestuur kan voldoen aan de wet. Daarnaast is er sprake van een documentatieplicht die vereist dat de VvE aantoonbaar kan maken hoe er met persoonsgegevens wordt omgegaan en waarom. Als er niets verandert in de registratie van persoonsgegevens in het kader van de AVG, is een jaarlijkse update van de AVG-verklaring voldoende. Dit betekent dat het bestuur elk jaar het dossier doorneemt en schriftelijk vastlegt dat alles nog up-to-date is.

Juridische Grondslagen voor het Verwerken van Gegevens

Om te beoordelen of het verwerken van persoonsgegevens gerechtvaardigd is, moet worden gekeken naar de zes rechtsgrondslagen die in de AVG zijn opgenomen. Persoonsgegevens mogen uitsluitend worden verwerkt als dit gebeurt op basis van één van deze grondslagen. Is geen van deze situaties van toepassing, dan mogen persoonsgegevens niet worden bewaard of verwerkt. Dit is een fundamenteel beginsel: er moet een wettelijke basis zijn voor elke vorm van verwerking.

De zes grondslagen zijn als volgt:

  1. Toestemming van de betrokken persoon.
  2. Noodzakelijk voor de uitvoering van een overeenkomst.
  3. Noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. Noodzakelijk ter bescherming van de vitale belangen.
  5. Noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. Noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

In de praktijk is het voor een VvE vaak noodzakelijk om toestemming te verkrijgen van de eigenaren. Het is aan de VvE om aan te tonen dat zij deze toestemming hebben gekregen. Het is daarom verstandig om eigenaren en gebruikers een verklaring te laten tekenen waarin staat dat de VvE toestemming heeft om de persoonsgegevens te verwerken. Voor een geldige toestemming is het van belang dat de gegevens vrijelijk zijn gegeven. Het principe dat 'wie zwijgt stemt toe' is niet van toepassing; de toestemming moet ondubbelzinnig zijn gegeven.

Daarnaast moet de VvE nadenken over de specifieke context van het verwerken. Bijvoorbeeld bij het versturen van uitnodigingen voor vergaderingen of het ontvangen van gegevens voor de maandelijkse incasso van de VvE-bijdrage. Hierbij is vaak de grondslag 'uitvoering van een overeenkomst' van toepassing, omdat de ledenlijst nodig is voor het uitvoeren van de statuten en de overeenkomst tussen de VvE en de eigenaar.

Een specifiek geval betreft het opnemen van een ledenlijst. Bij VvE's komt het voor dat een eigenaar, of de gemachtigde van een eigenaar, de ledenlijst opvraagt omdat hij een gerechtelijke procedure wil opstarten. Het bestuur vraagt zich dan af of deze lijst wel kan worden verstrekt zonder daarmee de AVG te overtreden. In de wet staat dat wanneer de VvE betrokken is bij een gerechtelijke procedure, de verzoeker, alle andere stemgerechtigden en de VvE bij naam (moeten) worden opgeroepen. Het bestuur van de VvE moet de ledenlijst dan ook verstrekken, omdat hier een wettelijke grondslag voor is. Dit valt onder de grondslag van 'nakomen van een wettelijke verplichting'.

Beveiliging en Opslag van Persoonsgegevens

De AVG legt meer verantwoordelijkheid bij organisaties om aan te tonen dat wordt voldaan aan de regels rondom privacy. De regels dwingen de VvE om na te denken over de verwerking van persoonsgegevens. Dit omvat vragen als: welke gegevens verwerkt de VvE, met welk doel worden die gegevens verwerkt, hoe worden de gegevens opgeslagen en beveiligd, wie heeft toegang tot de gegevens, en weten alle leden op welke manier persoonsgegevens worden verwerkt.

De documentatieplicht vereist dat de VvE documentatie levert over alles wat zij doet en gedaan heeft in het kader van de AVG. U geeft daarmee aan hoe u met persoonsgegevens omgaat – en waarom. Hebt u het 'stappenplan AVG' gevolgd en afgerond met een AVG-verklaring vanuit het stappenplan? Dan voldoet u aan deze documentatieplicht. Als er niets verandert in de registratie van persoonsgegevens in het kader van de AVG, is een verlenging van de licentie in principe niet nodig. Dan volstaat een jaarlijkse update van de AVG-verklaring. Dat doet u door elk jaar het dossier door te nemen en schriftelijk vast te leggen dat alles nog up-to-date is.

VvE's doen er verstandig aan om dergelijke gegevens niet te bewaren en na verwerking direct te vernietigen. Dit geldt voor alle soorten persoonsgegevens, waaronder medische gegevens (bijvoorbeeld voor het gebruik van een scootmobiel), kentekens en bankrekeningnummers. Het is cruciaal dat de VvE een duidelijke strategie heeft voor de retentie en vernietiging van gegevens die niet langer noodzakelijk zijn.

Ook is het belangrijk om na te denken over de rechten van de betrokken persoon. In de AVG wordt er ingebouwd dat eigenaren bepaalde rechten hebben. Denk bijvoorbeeld aan het recht op inzage en het recht op correctie van de gegevens. Het recht op vergetelheid geldt bij een VVE alleen als de eigenaar geen lid meer is (ofwel zijn appartementsrecht heeft verkocht).

Cameratoezicht en Privacy in de Gemeenschappelijke Ruimte

Een andere vraag die regelmatig aan het bestuur wordt voorgelegd is of de VvE camera's mag plaatsen en hoe het gebruik van de camera's moet worden vastgelegd. Een woningcorporatie of de vereniging van eigenaren (VvE) mag, onder bepaalde voorwaarden en als dat noodzakelijk is, een bewakingscamera ophangen in het gebouw om de eigendommen en bewoners te beschermen. Maar de inbreuk op de privacy moet zo klein mogelijk zijn.

Door te filmen met een bewakingscamera, verwerkt de woningcorporatie of VvE persoonsgegevens van bewoners en bezoekers van het gebouw. Persoonsgegevens verwerken mag alleen als daarvoor een goede reden is. Een woningcorporatie of VvE kan geen beroep doen op de zogenoemde huishoudelijke exceptie, omdat deze organisaties geen natuurlijke persoon zijn. Zij gebruiken de camerabeelden dus niet uitsluitend voor persoonlijke doeleinden, maar voor een organisatorisch doel.

In de privacywet staan de zes redenen genoemd voor het verwerken van gegevens. De juridische naam voor die redenen is grondslagen. De woningcorporatie of VvE heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken met cameratoezicht. Voor het cameratoezicht kan de VvE mogelijk de grondslag 'noodzakelijk voor de behartiging van een gerechtvaardigd belang' gebruiken. Maar dan moet de VvE wel aan alle voorwaarden voor gerechtvaardigd belang voldoen. Dit is een juridische controle op basis van de AVG.

De voorwaarden voor het gebruik van de grondslag 'gerechtvaardigd belang' zijn: - De VvE heeft daadwerkelijk een gerechtvaardigd belang. - De maatregel is nodig om dat belang te realiseren. - De maatregel is evenredig met het doel (de inbreuk op privacy moet minimaal zijn).

Rijssenbeek Advocaten heeft speciaal voor VvE's een cameraprotocol opgesteld om deze eisen te faciliteren. Dit protocol helpt bij het vastleggen van hoe camera's moeten worden gebruikt. Een VvE mag camera's plaatsen als er sprake is van een concreet veiligheidsrisico. Echter, de VvE moet de locatie van de camera's beperken tot de gemeenschappelijke ruimten waar noodzakelijk is. Camera's mogen niet gericht zijn op privégezichten van individuele eenheden, maar op openbare gemeenschappelijke ruimten zoals gangen, hal of parkeergarages.

Ook is er een specifiek geval bij deurbelcamera's. Hoewel de VvE niet verantwoordelijk is voor de camera's van individuele eigenaren, kan er sprake zijn van een overlap. De eigenaar van de camera is verantwoordelijk voor de privacy van de opnamen. De VvE moet wel zorgdragen dat de installatie van camera's door de VvE zelf voldoet aan de eisen van de AVG.

Rechten van Eigenaren en Inzage in Gegevens

De AVG versterkt de privacy van gebruikers of klanten. Dit betekent dat eigenaren meer mogelijkheden hebben om voor zichzelf op te komen wat betreft hun persoonsgegevens. Zo moeten zij bijvoorbeeld hun gegevens bij de VvE kunnen opvragen als ze deze willen inzien. Ook kunnen zij de VvE vragen om verleende toestemming in te trekken. Wanneer de VvE zich niet aan de regels van de AVG houdt, kan er een boete volgen van de Autoriteit Persoonsgegevens.

Het recht op inzage betekent dat een eigenaar kan verzoeken om te zien welke gegevens de VvE over hen bewaart. Het recht op correctie zorgt ervoor dat foutieve gegevens kunnen worden aangepast. Het recht op vergetelheid is echter beperkt bij een VvE. Dit recht geldt alleen als de eigenaar geen lid meer is, bijvoorbeeld door het verkopen van het appartementsrecht. Als een eigenaar nog steeds lid is, mag de VvE de gegevens bewaren zolang dat noodzakelijk is voor de uitvoering van de overeenkomst of het nakomen van wettelijke verplichtingen (zoals het bijhouden van de ledenlijst voor vergaderingen).

In de AVG-richtlijn voor VvE's staat een overzicht van de informatie die in ieder geval in de privacyverklaring moet zijn opgenomen. Deze verklaring moet duidelijk maken welke gegevens worden verwerkt, met welk doel, hoe ze worden opgeslagen en beveiligd, en wie toegang heeft. Alle leden moeten op de hoogte zijn van de manier waarop persoonsgegevens worden verwerkt. Transparantie is sleutelwoord.

Praktische Implementatie en Documentatie

De implementatie van de AVG vereist dat de VvE een proactieve houding aannemt. Dit begint met het analyseren van de huidige situatie en het opstellen van een stappenplan. Het is cruciaal om te weten welke gegevens er worden verwerkt en waarom. Een VvE moet kunnen aantonen dat de verwerking gebaseerd is op een van de zes grondslagen.

Voor het verwerken van persoonsgegevens in de praktijk zijn er verschillende scenario's:

Tabel: Soorten Gegevens en Toepassing van de AVG in een VvE

Type Gegevens Doel Verwerking Grondslag Opmerking
Naam en Adres Lidmaatschap en communicatie Uitvoering overeenkomst / Wettelijke verplichting Nodig voor ledenlijst en uitnodigingen
Bankrekeningnummer Incasso bijdragen Uitvoering overeenkomst Nodig voor automatische afdracht
Kenteken Parkeerbeheer Gerechtvaardigd belang Alleen als noodzakelijk voor beheer van parkeergarage
Medische gegevens Aangepaste voorzieningen (scootmobiel) Toestemming / Gerechtvaardigd belang Heel gevoelige gegevens, vereist expliciete toestemming
Camerabeelden Veiligheid en eigendom Gerechtvaardigd belang Moet evenredig zijn en gericht op gemeenschappelijke ruimten
Ledenlijst Gerechtelijke procedures Wettelijke verplichting Moet worden verstrekt bij procedures

Het is essentieel dat de VvE een documentatieplicht nakomt. Dit betekent dat er een logboek moet zijn waaruit blijkt wat er wordt gedaan met de gegevens. Als er niets verandert in de registratie van persoonsgegevens in het kader van de AVG, is een jaarlijkse update van de AVG-verklaring voldoende. Het bestuur moet elk jaar het dossier doornemen en schriftelijk vastleggen dat alles nog up-to-date is. Dit is een continue cyclus van naleving.

Ook is het belangrijk om te beseffen dat de 'huishoudelijke exceptie' niet van toepassing is op een VvE. Omdat een VvE een juridische entiteit is en geen natuurlijke persoon, kunnen ze niet beroep doen op deze uitzondering. Dit betekent dat elk gebruik van persoonsgegevens, inclusief cameratoezicht, onderhevig is aan de volledige strengheid van de AVG.

Toekomstperspectief en Rol van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft de taak om toe te zien op de naleving van de AVG. De AP biedt op hun site meer algemene informatie over de AVG. Het is voor het bestuur van de VvE belangrijk om de richtlijnen van de AP te volgen en zich te houden aan de wetgeving. Als de VvE niet voldoet, kunnen er hoge boetes worden opgelegd. De AP benadrukt dat organisaties verantwoordelijk zijn voor de verwerking van persoonsgegevens en moeten kunnen aantonen dat ze de regels naleven.

Een VvE moet dus niet alleen reageren op verzoeken van eigenaren, maar proactief zorgen dat de organisatie voldoet aan de eisen. Dit betekent dat er een duidelijke structuur moet zijn voor het beheer van persoonsgegevens. De VvE moet weten welke gegevens er worden bewaard en waarom. Dit geldt ook voor de verwerking van medische gegevens of kentekeninformatie.

In de praktijk is het vaak nodig dat de VvE toestemming van eigenaren vraagt voor het verwerken van gevoelige gegevens. Dit kan worden vastgelegd door een ondertekende verklaring. Het is essentieel dat de toestemming vrijelijk en ondubbelzinnig wordt gegeven. Het principe van 'stille instemming' werkt niet meer.

Conclusie

De invoering van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 heeft een nieuwe dynamiek geschapen voor het beheer van persoonsgegevens binnen Verenigingen van Eigenaren. Voor een VvE betekent dit dat het bestuur niet alleen de financiële en bestuurlijke aspecten moet regelen, maar ook actief de privacy van de eigenaren moet beschermen. De wet legt een duidelijke verantwoordelijkheid bij de organisatie. Het is niet voldoende om simpelweg gegevens te verzamelen; er moet een duidelijke juridische grondslag zijn voor elke vorm van verwerking.

De zes grondslagen vormen het fundament voor elke verwerking. Of het nu gaat om het versturen van uitnodigingen voor vergaderingen, het innen van bijdragen, het beheren van een parkeergarage of het plaatsen van bewakingscamera's, elke actie moet onderbouwd zijn met een van deze rechtvaardigingen. Bij het gebruik van camera's is de grondslag van 'gerechtvaardigd belang' vaak de meest toepasselijke, mits de VvE kan aantonen dat de inbreuk op privacy minimaal is en evenredig met het doel van de beveiliging.

De documentatieplicht is een cruciaal onderdeel van de naleving. Het bestuur moet kunnen aantonen hoe en waarom er met persoonsgegevens wordt omgegaan. Een jaarlijkse update van de AVG-verklaring is voldoende zolang er geen wijzigingen zijn in de registratie. Transparantie richting de leden is essentieel. Eigenaren hebben het recht op inzage, correctie en, onder bepaalde voorwaarden, het recht op vergetelheid.

Voor het bestuur is het van belang om zich te bewust te zijn dat de VvE geen beroep kan doen op de huishoudelijke exceptie. Elke verwerking valt onder de strengheid van de AVG. De Autoriteit Persoonsgegevens houdt toezicht op deze naleving en kan bij overtreding hoge boetes opleggen. Door een proactieve aanpak, het opstellen van een duidelijk cameraprotocol en het zorgvuldig vastleggen van toestemmingen, kan de VvE voldoen aan de wetgeving en de privacy van de eigenaren waarborgen.

Bronnen

  1. Privacywet VvE: AVG en VvE
  2. VvE en AVG: Waar moet je aan denken
  3. De AVG en de VvE
  4. Juridische VvE Kennisbank - AVG
  5. Camerabewaking door woningcorporatie of VvE

Related Posts