Privacy (AVG) en de VvE

De AVG draait om bescherming van persoonsgegevens. Ook een VvE verwerkt persoonsgegevens, denk maar eens aan naam, adres, telefoonnummer en het emailadres van de eigenaren. Bankrekeningnummers worden in de praktijk ook vaak bewaard. Maar ook kentekengegevens van voertuigen bij een gemeenschappelijk parkeergarage of camerabeelden van beveiligingscamera's. Allemaal gegevens die te herleiden zijn naar een bepaald persoon. Juist met die persoonsgegevens moet je extra voorzichtig zijn.

Deurbelcamera’s

Dat geldt ook voor opnamen gemaakt door deurbelcamera’s. Niet de VvE, maar de eigenaar van de camera is verantwoordelijk voor de privacy. Zomaar zonder toestemming een (deurbel)camera ophangen in gemeenschappelijke ruimtes van de VvE mag niet. Want dat gaat ten koste van de privacy van de andere eigenaren die door de camera gefilmd kunnen worden. Vraag dus altijd eerst schriftelijk toestemming aan de VvE en houd rekening met de privacyregels. Voor meer informatie zie het stappenplan van de Autoriteit Persoonsgegevens.

Verschillende soorten persoonsgegevens

De AVG maakt onderscheid tussen drie soorten persoonsgegevens: gewone persoonsgegevens, bijzondere persoonsgegevens en strafrechtelijke persoonsgegevens. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over de gezondheid of het BSN. Hiervoor gelden strengere regels. In de praktijk kunnen medische gegevens worden verwerkt in de VvE, bijvoorbeeld als een eigenaar een aanvraag doet voor een oplaadpunt voor zijn scootmobiel of een oprijplaat voor een rolstoel. Een VvE doet er verstandig aan om dergelijke gegevens niet te bewaren en na verwerking direct te vernietigen.

VvE’s mogen nog steeds gegevens verwerken. Door de AVG worden bedrijven, organisaties, verenigingen, etc. verplicht om na te denken over de persoonsgegevens die zij bewaren en verwerken. De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens. Is geen van deze situaties van toepassing, dan mogen persoonsgegevens niet worden bewaard of verwerkt. De 6 grondslagen zijn:

• Toestemming van de betrokken persoon;
• Noodzakelijk voor de uitvoering van een overeenkomst;
• Noodzakelijk voor het nakomen van een wettelijke verplichting;
• Noodzakelijk ter bescherming van de vitale belangen;
• Noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag, of;
• Noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Meer informatie over de grondslagen vind je op de site van de Autoriteit Persoonsgegevens.

In de praktijk heeft de VvE vaak toestemming nodig voor de verwerking van persoonsgegevens. Het is aan de VvE om aan te tonen dat zij toestemming heeft gekregen. Het is daarom verstandig om eigenaren en gebruikers een verklaring te laten tekenen waarin staat dat de VvE toestemming heeft om de persoonsgegevens te verwerken.

Voor een geldige toestemming is het van belang dat de gegevens vrijelijk zijn gegeven. Het ‘wie zwijgt stemt toe’-principe is niet van toepassing. De toestemming moet ondubbelzinnig zijn gegeven. Belangrijk om te weten is dat de persoonsgegevens alleen gebruikt mogen worden met het doel waarvoor de toestemming is gegeven. Is het emailadres gegeven om de uitnodiging voor de vergadering naar te sturen, dan mag het emailadres niet zondermeer doorgegeven worden aan een aannemer om een afspraak te maken voor de uitvoering van werkzaamheden.

Is het beheer in de VvE uit handen gegeven aan een beheerder? Dan is het verplicht om een verwerkingsovereenkomst op te (laten) stellen. Een andere partij (de beheerder) verwerkt namens de VvE de persoonsgegevens. Met een verwerkingsovereenkomst sluit de VvE uit dat de beheerder de persoonsgegevens voor andere doeleinden gebruikt. De VvE blijft namelijk zelf verantwoordelijk voor de naleving van de AVG.

De VvE heeft een informatieplicht. Dit betekent dat de VvE verplicht is om leden te informeren over wat de VvE met de persoonsgegevens doet. Dit kan via een privacyverklaring. De privacyverklaring is op te vragen bij het bestuur of te vinden in het portaal van de beheerder en wordt aangeboden aan nieuwe eigenaren.

In de privacyverklaring staan de rechten van de eigenaren met betrekking tot de persoonsgegevens. Denk bijvoorbeeld aan het recht op inzage en het recht op correctie van de gegevens. Het recht op vergetelheid geldt bij een VVE alleen als de eigenaar geen lid meer is (cq zijn appartementsrecht heeft verkocht).

In de AVG-richtlijn voor VvE’s van VvEbelang staat een overzicht van de informatie die in ieder geval in de privacyverklaring moet zijn opgenomen.

De AVG legt meer verantwoordelijkheid bij organisaties om aan te tonen dat wordt voldaan aan de regels rondom privacy. De regels dwingen de VvE om na te denken over de verwerking van persoonsgegevens. Met andere woorden:

• welke gegevens verwerkt de VvE?
• met welk doel worden die gegevens verwerkt?
• hoe worden de gegevens opgeslagen en beveiligd?
• wie heeft toegang tot de gegevens?
• weten alle leden op welke manier persoonsgegevens worden verwerkt?