In de huidige digitale wereld speelt privacy een centrale rol, ook in de woningbouwsector. Voor Verenigingen van Eigenaren (VvE’s) is het verwerken van persoonsgegevens onderdeel van hun dagelijkse praktijk, van het beheren van appartementsrechten tot het organiseren van gemeenschapsactiviteiten. Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 zijn er duidelijke regels komen om te zetten voor hoe persoonsgegevens mogen worden gebruikt. Deze regels zijn van toepassing op alle VvE’s, ongeacht hun grootte of locatie in Nederland.
In dit artikel worden de belangrijkste aspecten van de AVG in relatie tot VvE’s besproken, inclusief welke gegevens mogen worden verzameld, op welke grondslag de verwerking gebeurt, en hoe gegevens mogen worden gedeeld. De focus ligt op de verplichtingen van VvE’s en mogelijke praktijkvragen, zoals de rol van de VvE als verwerkende partij, de verwerking van gegevens van bewoners en medewerkers, en de regels rond doorgifte van gegevens buiten de Europese Unie.
De informatie is gebaseerd op meerdere beschikbare privacyreglementen van VvE-diensten, waaronder Stichting Duurzaamheidsfonds VvE’s Den Haag, Alliantie VvE-diensten, VP&A Vastgoedmanagement en NH Vastgoed. Deze bronnen zijn betrouwbaar en worden gebruikt als basis voor de feitelijke uitleg in dit artikel.
Wat is de AVG en waarom is deze van toepassing op VvE’s?
De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die op 25 mei 2018 in werking trad en sindsdien van toepassing is op alle lidstaten van de Europese Unie, waaronder Nederland. De AVG beschermde de rechten van natuurlijke personen op privacy en geeft richtlijnen voor het verwerken van persoonsgegevens. Voor VvE’s betekent dit dat zij als verwerkende partijen verantwoordelijk zijn voor de correcte en wettelijke behandeling van persoonsgegevens van hun leden, bewoners en eventuele medewerkers.
Volgens de AVG wordt een persoon beschouwd als een natuurlijk persoon die geïdentificeerd of identificeerbaar is. In de praktijk betekent dit dat alle leden van een VvE, inclusief eigenaren van appartementen en huurders, onder de AVG vallen. Uitzondering op deze regel is wanneer het appartementsrecht in eigendom is van een bedrijf: in dat geval is de AVG niet van toepassing op de bedrijfseigenaar, omdat het niet om een natuurlijke persoon gaat.
De AVG stelt dus duidelijke eisen aan VvE’s, omdat zij persoonsgegevens verwerken in het kader van hun beheeractiviteiten. Deze gegevens kunnen bijvoorbeeld omvatten namen, adresgegevens, telefoonnummers, emailadressen, geboortedata en betaalgegevens. Het verwerken van deze informatie moet op een transparante, wettelijke en veilige manier gebeuren.
Welke persoonsgegevens mogen VvE’s verzamelen en verwerken?
VvE’s mogen persoonsgegevens verzamelen en verwerken in het kader van hun beheeractiviteiten. Dit geldt zowel voor leden van de VvE (de eigenaren van appartementen) als voor huurders en eventuele medewerkers. De AVG stelt geen limiet op het type of aantal persoonsgegevens dat verzameld mag worden, maar benadrukt wel dat de verwerking dient te geschieden op een transparante en wettelijke basis.
Uit de beschikbare bronnen blijkt dat VvE’s meestal gegevens verzamelen zoals:
- Naam
- Geslacht
- Adresgegevens
- Woonplaats
- Telefoonnummer
- Emailadres
- Geboortedatum
- Documentnummer van een paspoort of identiteitsbewijs
- Betaalgegevens
- Andere relevante gegevens in het kader van hun diensten
Deze gegevens worden vaak gebruikt voor administratieve doeleinden, zoals het opstellen van jaarverslagen, het beheren van de gemeenschap en het organiseren van vergaderingen. In het kader van digitale diensten, zoals digitale portalen of apps voor VvE-leden, kunnen ook gegevens als loginnaam, IP-adres of gebruikshistorie worden verzameld.
Op welke grondslag mag de verwerking plaatsvinden?
De AVG stelt dat persoonsgegevens alleen mogen worden verwerkt op basis van een van de volgende grondslagen:
- Toestemming van de betrokkene – De persoon heeft expliciet toestemming gegeven voor de verwerking van hun gegevens.
- Contractuele verplichting – De verwerking is nodig voor het uitvoeren van een overeenkomst met de betrokkene.
- Juridische verplichting – De verwerking is nodig om wettelijke verplichtingen na te komen.
- Bescherming van belanghebben – De verwerking is nodig om de rechten, vrijheden of belangen van een natuurlijk persoon te beschermen.
- Openbare belangen – De verwerking is nodig om belangrijke openbare doelen te dienen.
- Legitieme belangen – De verwerking is nodig om de legitieme belangen van de verwerkende partij of van derden te behartigen.
Voor VvE’s is de meest relevante grondslag meestal de contractuele verplichting of de juridische verplichting. De verwerking van gegevens is immers nodig om de wettelijke taken van de VvE na te komen, zoals het beheren van de gemeenschap en het uitvoeren van financiële administratie. In sommige gevallen kunnen ook legitieme belangen gelden, bijvoorbeeld als het om beveiliging of het organiseren van gemeenschapsactiviteiten gaat.
Mogen VvE’s persoonsgegevens delen met derden?
VvE’s mogen persoonsgegevens delen met derden, maar alleen onder bepaalde voorwaarden. De AVG stelt dat een dergelijke doorgifte alleen mag plaatsvinden als het nodig is voor één van de genoemde verwerkingsdoelen. Dit betekent dat de doorgifte niet willekeurig mag plaatsvinden, maar dient een specifiek doel dat verband houdt met de taken van de VvE.
In de praktijk kan dit bijvoorbeeld betreffen:
- Het delen van gegevens met verenigingen van eigenaren of vastgoedeigenaren
- Het uitwisselen van informatie met handelsinformatiebureaus bij het aangaan van huurovereenkomsten
- Het doorgeven van gegevens aan opdrachtnemers zoals onderhoudsbedrijven, ICT-dienstverleners of deurwaarders
Wanneer VvE’s gegevens doorgeven aan derden, is het verplicht om schriftelijke verwerkersovereenkomsten te sluiten. Deze overeenkomsten stellen dat de derde partij zich aan de AVG moet houden. Dit geldt in het bijzonder als de derde partij gegevens verwerkt buiten de Europese Unie.
Wat zijn de regels rond doorgifte van gegevens buiten de EU?
Als VvE’s persoonsgegevens doorgeven aan een ontvanger buiten de Europese Economische Ruimte (EER), moeten ze passende maatregelen nemen om ervoor te zorgen dat de doorgifte voldoet aan de AVG. Dit betekent dat de doorgifte alleen mag plaatsvinden als:
- De ontvanger zich aan de AVG houdt
- Er een schriftelijke verwerkersovereenkomst is gesloten
- De gegevens op een veilige manier worden verwerkt
De AVG stelt dat dergelijke doorgiften niet willekeurig mogen plaatsvinden. Het is noodzakelijk om passende maatregelen te treffen, zoals het sluiten van verwerkersovereenkomsten of het kiezen van een ontvanger die is toegelaten in het kader van een adequaat beschermingsbesluit van de Europese Commissie.
Wat is de rol van de VvE als verwerkende partij?
In de AVG zijn er duidelijke definities voor de rollen van verwerkende partijen en verantwoordelijke partijen. Voor VvE’s is het belangrijk te begrijpen waar ze in deze structuur staan.
Een verantwoordelijke partij is degene die de verwerking van persoonsgegevens bepaalt en beheerst. In de meeste gevallen is de VvE zelf de verantwoordelijke partij, omdat zij besluiten nemen over het beheren van gegevens van hun leden en bewoners.
Een verwerkende partij is degene die gegevens verwerkt op verzoek van de verantwoordelijke partij. In de praktijk betekent dit dat een VvE eventueel een externe dienstverlener kan inhuren om gegevens te beheren, zoals een administratiekantoor of een ICT-bedrijf.
Wanneer een VvE gegevens aan een externe partij doorgeeft, is het verplicht om een schriftelijke verwerkersovereenkomst te sluiten. Deze overeenkomst moet minimaal de onderwerpen uit artikel 28 van de AVG behandelen, zoals de beperking van de verwerking tot de opdracht van de verantwoordelijke partij, de beveiliging van gegevens en de rechten van de betrokkene.
Welke verplichtingen heeft een VvE bij de opslag en beveiliging van gegevens?
VvE’s zijn verplicht om persoonsgegevens veilig op te slaan en te beveiligen tegen verlies, corruptie of ongeoorloofde toegang. De AVG stelt dat de verwerking van gegevens moet geschieden op een manier die de rechten en vrijheden van de betrokkene voldoende beschermt. Dit betekent dat VvE’s technische en organisatorische maatregelen moeten nemen om gegevens te beveiligen.
Bijvoorbeeld:
- Het gebruik van versleuteling voor digitale gegevens
- Het opslaan van fysieke gegevens in gecertificeerde archieven
- Het beperken van toegang tot gegevens tot alleen diegene die het nodig hebben
- Het opstellen van interne beleidsregels rond gegevensbescherming
Een VvE dient ook een gegevensbeschermingsanalyse uit te voeren wanneer de verwerking van gegevens een hoge risico’s inhoudt voor de rechten en vrijheden van betrokkenen. Dit is bijvoorbeeld het geval bij het gebruik van geavanceerde digitale diensten of bij het verwerken van gevoelige persoonsgegevens.
Wat zijn de rechten van betrokkenen onder de AVG?
De AVG biedt een reeks rechten aan betrokkenen, waaronder de VvE-leden en bewoners. Deze rechten zijn van toepassing zolang de AVG van kracht is en de persoon in kwestie geïdentificeerd of identificeerbaar is. De belangrijkste rechten zijn:
- Toegang tot gegevens – De betrokkene heeft het recht om te weten welke persoonsgegevens worden verwerkt.
- Rectificatie van gegevens – De betrokkene kan verzoek doen om foutieve of onvolledige gegevens aan te passen.
- Verwijdering van gegevens – De betrokkene kan verzoek doen om gegevens te verwijderen, zolang de verwerking niet op juridische of andere wettelijke grondslagen is gebaseerd.
- Beperking van verwerking – De betrokkene kan verzoek doen om de verwerking van gegevens tijdelijk te beperken.
- Gegevensnabootsing (data portability) – De betrokkene kan verzoek doen om gegevens in een machineleesbaar formaat te ontvangen of over te dragen naar een andere verantwoordelijke partij.
- Informatie over doorgifte – De betrokkene heeft het recht om te weten aan welke derden gegevens zijn doorgegeven.
VvE’s zijn verplicht om deze rechten serieus te nemen en binnen een redelijke termijn te reageren. In de praktijk betekent dit dat VvE’s procedures moeten hebben opgesteld voor het beantwoorden van verzoeken van betrokkenen, zoals via een klachtenprocedure of een contactpersoon voor gegevensbescherming.
Wat is de rol van de Autoriteit Persoonsgegevens?
De Autoriteit Persoonsgegevens (AP) is de toezichthouder op AVG-compliance in Nederland. VvE’s zijn verplicht om zich aan de AVG te houden, en eventuele overtredingen kunnen leiden tot maatregelen van de AP. De AP heeft het recht om onderzoek in te stellen naar mogelijke AVG-verbrekeningen en kan boetes opleggen bij ernstige overtredingen.
In de praktijk betekent dit dat VvE’s zich goed moeten richten op de AVG-regels en eventuele vragen of zorgen van betrokkenen serieus moeten nemen. Indien VvE-leden of bewoners vragen hebben over de AVG of verzoeken indienen, dient de VvE deze aan te kaarten en eventueel contact op te nemen met de AP.
Wat is het verschil tussen persoonsgegevens en niet-persoonsgegevens?
De AVG maakt een duidelijk onderscheid tussen persoonsgegevens en niet-persoonsgegevens. Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat gegevens als naam, adres, telefoonnummer en geboortedatum onder de AVG vallen.
Niet-persoonsgegevens, zoals statistieken of geaggregeerde data, vallen niet onder de AVG. In sommige gevallen verwerken VvE’s dergelijke gegevens voor doeleinden zoals het opstellen van managementinformatie of het analyseren van trends in de gemeenschap. Deze geaggregeerde gegevens zijn dan niet meer toegewezen aan individuele personen en zijn dus niet onderworpen aan de AVG.
Hoe moet een VvE omgaan met digitale diensten en apps?
In de huidige tijd gebruiken VvE’s steeds vaker digitale diensten en apps om de communicatie met leden en bewoners te vergemakkelijken. Deze diensten kunnen bijvoorbeeld omvatten digitale portalen voor het beheren van gemeenschapsactiviteiten, het indienen van klachten of het ontvangen van nieuwsbrieven.
In het kader van digitale diensten zijn er specifieke regels voor de verwerking van persoonsgegevens. Zo moet een VvE ervoor zorgen dat de digitale dienst veilig is en dat toegang tot gegevens beperkt is tot alleen degenen die het nodig hebben. Daarnaast dient een VvE ervoor te zorgen dat de digitale dienst is geregistreerd en dat de betrokkenen duidelijk worden geïnformeerd over hoe hun gegevens worden verwerkt.
Voorbeelden van digitale diensten die vaak worden gebruikt door VvE’s zijn:
- Digitale portalen zoals 'Mijn omgeving'
- Apps voor VvE-leden
- Websites voor het beheren van gemeenschapsactiviteiten
In alle gevallen is het verplicht om een duidelijke privacyverklaring op te stellen en deze beschikbaar te maken voor de betrokkenen. Deze privacyverklaring moet uitleggen welke gegevens worden verzameld, waarvoor ze worden gebruikt, hoe lang ze worden opgeslagen en wie de verantwoordelijke partij is.
Wat is de rol van medewerkers binnen een VvE?
Het verwerken van persoonsgegevens binnen een VvE omvat niet alleen gegevens van leden en bewoners, maar ook gegevens van medewerkers. De AVG is ook van toepassing op gegevens van medewerkers, zoals naam, adres, telefoonnummer, emailadres, geboortedatum en arbeidsvoorwaarden.
Het verwerken van gegevens van medewerkers dient te geschieden op basis van een wettelijke grondslag, zoals de contractuele verplichting of de juridische verplichting. In de praktijk betekent dit dat VvE’s een apart privacyreglement moeten opstellen voor medewerkers, dat duidelijk maakt welke gegevens worden verzameld, waarvoor ze worden gebruikt en hoe ze worden beveiligd.
Wat zijn de maatregelen bij het sluiten van verwerkersovereenkomsten?
Wanneer VvE’s externe partijen inhuren om gegevens te verwerken, is het verplicht om een verwerkersovereenkomst te sluiten. Deze overeenkomst moet minimaal de volgende onderwerpen behandelen:
- De beperking van de verwerking tot de opdracht van de verantwoordelijke partij
- De beveiliging van gegevens
- De rechten van de betrokkene
- De verantwoordelijkheid van de verwerkende partij
- De verantwoordelijkheid van de verantwoordelijke partij
De AVG stelt dat verwerkersovereenkomsten schriftelijk moeten zijn en dat de verwerkende partij zich aan de AVG moet houden. In de praktijk betekent dit dat VvE’s een duidelijke en goed getekende overeenkomst moeten hebben met externe dienstverleners, voordat gegevens worden doorgegeven.
Wat zijn de maatregelen bij het opstellen van een privacyverklaring?
Een privacyverklaring is een essentieel onderdeel van de AVG-compliance. In deze verklaring dient een VvE duidelijk te maken welke gegevens worden verzameld, waarvoor ze worden gebruikt, hoe lang ze worden opgeslagen en wie de verantwoordelijke partij is.
Een privacyverklaring moet minimaal de volgende onderwerpen behandelen:
- De identiteit en contactgegevens van de verantwoordelijke partij
- De doelen van de verwerking
- De categorieën persoonsgegevens die worden verwerkt
- De juridische grondslag voor de verwerking
- De eventuele doorgifte van gegevens aan derden
- De beveiligingsmaatregelen die worden genomen
- De rechten van de betrokkene
- De procedure voor klachten
In de praktijk betekent dit dat VvE’s een duidelijke en begrijpelijke privacyverklaring moeten opstellen en deze beschikbaar moeten maken voor alle betrokkenen. In sommige gevallen is het ook verplicht om de privacyverklaring te laten goedkeuren door een externe expert of door de Autoriteit Persoonsgegevens.
Wat zijn de maatregelen bij het opstellen van een klachtenprocedure?
VvE’s zijn verplicht om een klachtenprocedure op te stellen om eventuele klachten van betrokkenen serieus te nemen. Deze klachtenprocedure moet duidelijk maken hoe een klacht kan worden ingediend, wie de klacht behandelt en hoe lang het duurt voordat een antwoord wordt gegeven.
In de praktijk betekent dit dat VvE’s een klachtenprocedure moeten opstellen die is ingedeeld in duidelijke stappen, zoals:
- Invoering van de klacht – De betrokkene kan een klacht indienen via e-mail, post of telefonisch.
- Beoordeling van de klacht – De klacht wordt beoordeeld en ingevoerd in een klachtenregister.
- Behandeling van de klacht – De klacht wordt onderzocht en beantwoord binnen een redelijke termijn.
- Antwoord aan de betrokkene – De betrokkene krijgt een duidelijk antwoord op de klacht.
VvE’s dient ook ervoor te zorgen dat de klachtenprocedure is beschikbaar op de website of via digitale diensten, zodat alle betrokkenen er gemakkelijk toegang tot hebben.
Wat zijn de maatregelen bij het opstellen van een procedure voor AVG-incidenten?
Een AVG-incident is een gebeurtenis waarbij persoonsgegevens verloren gaan, beschadigd raken of ongeoorloofd worden toegankelijk gemaakt. In dergelijke gevallen is het verplicht om een procedure op te stellen om het incident te onderzoeken, te rapporteren en eventueel te corrigeren.
De AVG stelt dat VvE’s binnen 72 uur moeten rapporteren over een AVG-incident aan de Autoriteit Persoonsgegevens. Bovendien dient de betrokkene op de hoogte te worden gesteld als het incident een risico voor hun rechten en vrijheden inhoudt.
In de praktijk betekent dit dat VvE’s een AVG-incidentprocedure moeten opstellen, die minimaal de volgende onderwerpen behandelt:
- Het identificeren van het incident
- Het onderzoeken van het incident
- Het rapporteren van het incident aan de AP
- Het informeren van de betrokkene
- De correctie van het incident
- De voorkoming van toekomstige incidenten
Conclusie
De AVG is van toepassing op alle VvE’s in Nederland en legt duidelijke eisen op voor het verwerken van persoonsgegevens. VvE’s zijn verplicht om zich aan deze regels te houden en ervoor te zorgen dat de verwerking van gegevens transparant, wettelijk en veilig is. Dit betekent dat VvE’s duidelijke procedures moeten opstellen voor de verzameling, verwerking, opslag en doorgifte van persoonsgegevens, evenals voor het beantwoorden van rechten van betrokkenen.
Hoewel de AVG een uitdaging kan vormen voor kleine VvE’s, is het essentieel om zich hierop te richten om AVG-compliance te waarborgen. VvE’s dient ook ervoor te zorgen dat alle betrokkenen, inclusief leden, bewoners en medewerkers, zijn geïnformeerd over hun rechten en verantwoordelijkheden onder de AVG. Met de juiste procedures en maatregelen kan een VvE ervoor zorgen dat het beheren van persoonsgegevens veilig en wettelijk is, en dat het vertrouwen van betrokkenen in de VvE wordt behouden.