De AVG en VvE's
Op 25 mei 2018 is de Europese Algemene Verordening Gegevensbescherming (AVG) in heel Europa ingegaan.
De AVG heeft in Nederland de Wet bescherming persoonsgegevens vervangen.
Kort samengevat, stelt de AVG regels vast met betrekking tot bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de EU. In Nederland zal de Autoriteit Persoonsgegevens (AP) toezicht houden op de naleving van de AVG.
Het voornaamste doel van de AVG is dat organisaties, zo ook de VvE, ervoor moeten zorgen dat persoonsgegevens gewaarborgd zijn en invulling wordt gegeven aan de rechten van de natuurlijke personen (betrokkenen). Aangezien de VvE op grond van de wet en het splitsingsreglement de bevoegdheid heeft het doel en de middelen voor de verwerking van persoonsgegevens vast te stellen, is de VvE een verwerkingsverantwoordelijke in de zin van de AVG. Dit betekent dat de VvE gehouden is aan de verplichtingen uit de AVG die voor een ‘verwerkingsverantwoordelijke’ gelden. Na het doorlopen van de onderstaande stappen, zal de VvE voldoen aan de belangrijke verplichtingen uit de AVG.
1. Bewustwording bestuur
Zorg ervoor dat alle bestuursleden als vertegenwoordiger van de VvE bekend zijn met de belangrijkste regels uit de AVG.
2. Bewustwording bewoners
Zorg ervoor dat de betrokkenen (eigenaars en gebruikers van het complex) weten welke persoonsgegevens worden verwerkt en welke rechten zij op grond van de AVG hebben. Dit kan onder meer door het opstellen van een privacybeleid en een verwerkingsregister die op de website van de VvE kunnen worden geplaatst of als bijlage aan het huishoudelijk reglement kunnen worden toegevoegd. In dit beleid kan het volgende worden opgenomen:
- dat op grond van de reglementen van de VvE persoonsgegevens van betrokkenen
worden verwerkt;
- welke persoonsgegevens worden verwerkt, zoals: voor- en achternaam, geslacht, geboortedatum, adresgegevens etc.;
- wat de verwerkingsdoelen zijn (de doelen zullen in veel gevallen zijn: nakomen van verplichtingen uit de splitsingsakte, het huishoudelijk reglement en de besluiten van de vergadering van eigenaars;
- hoe lang deze persoonsgegevens worden bewaard. Hierbij kan worden vermeld dat persoonsgegevens niet langer worden bewaard dan strikt noodzakelijk is om de doelen te realiseren waarvoor deze persoonsgegevens in eerste instantie zijn verzameld;
- vermelden dat de persoonsgegevens alleen aan derden worden verstrekt als dit noodzakelijk is voor het naleven/handhaven van de wet, de reglementen van de VvE en de besluiten van de vergadering van eigenaars;
- vermelden welke rechten betrokkenen hebben en hoe zij deze rechten kunnen uitoefenen en bij wie zij hiervoor terecht kunnen;
- geef aan welke beveiligingsmaatregelen worden getroffen om persoonsgegevens te beveiligen.
3. Stel een verwerkingsregister op
In dit register dient per verwerking te worden geregistreerd:
- omschrijving van de verwerking;
- welke (rechts)grond van toepassing is voor deze verwerking;
- wat het doel is van deze verwerking (verwerkingsdoelen);
- categorieën van betrokkenen, zoals: eigenaren, gebruikers, bestuurders etc.;
- welke persoonsgegevens worden verwerkt (categorieën van persoonsgegevens), zoals: naam, adres en woonplaats etc.;
- wie deze persoonsgegevens ontvangt (categorieën van ontvangers);
- hoelang deze persoonsgegevens worden bewaard (beoogde bewaartermijn);
- welke beveiligingsmaatregelen u heeft getroffen om deze persoonsgegevens te beschermen.
Dit register kan in het privacybeleid worden opgenomen.
4. Tref beveiligingsmaatregelen
Zorg ervoor dat de persoonsgegevens die in een bestand zijn opgeslagen goed beveiligd zijn en te verwerken zijn door de daartoe bevoegden.
5. Datalekken melden bij de AP
Meld een datalek, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van betrokkenen.
6. Datalekken melden aan de betrokkenen
Meld een datalek, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van betrokkenen en de persoonsgegevens (achteraf) versleuteld en/of geanonimiseerd zijn voor onbevoegden.
7.Schriftelijk afspraken met organisaties die namens/ten behoeve van de VvE persoonsgegevens verwerken
In het geval de VvE persoonsgegevens door een organisatie laat verwerken, moet de VvE ervoor zorgen dat met betrekking tot deze verwerkingen afspraken worden gemaakt.
8. Zorg ervoor dat elke verwerking berust op een (rechts)grondslag
Deze zijn:
1. Overeenkomst: de verwerking is noodzakelijk om een overeenkomst uit te voeren.
2. Wettelijke verplichting: de verwerking is noodzakelijk voor de uitvoering van een wettelijke verplichting.
3. Vitaal belang: de verwerking is noodzakleijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen
4. Gerechtvaardigd belang: er is een gerechtvaardigd belang aanwezig voor een verwerking
5. Toestemming: verwerking berust op een toestemming van de betrokkene.
9. Zorg ervoor dat geen onnodige gegevens worden verwerkt, zodat geen toestemming van de betrokkene daarvoor behoeft te worden ontvangen.
Wanneer een verwerking niet op een grondslag berust, dient de VvE in beginsel voor deze verwerking toestemming te vragen aan de betrokkene. Zorg ervoor dat deze toestemming niet nodig is. Dit kan door ervoor te zorgen dat onnodige persoonsgegevens worden verwijderd, geanonimiseerd en of enkel toegankelijk worden gemaakt voor de daartoe bevoegden. Mocht de VvE deze gegevens toch verwerken, dan dient de VvE daarvoor toestemming te vragen aan de betrokkenen.
10. Medewerking verlenen aan de AP
Mocht het voorkomen dat de AP een onderzoek wenst te starten naar de gang van zaken binnen de VvE, moet een VvE op grond van de AVG daaraan mee te werken. De AP mag op grond van de AVG onder meer informatie opvragen, controles verrichten, corrigerende maatregelen treffen, waarschuwingen geven, verwerkingen (laten) stopzetten en/of boetes opleggen.
Heeft u vragen over de AVG en de praktische invulling daarvan? Neem dan contact op met mevrouw Arzu Ilbay of Sanne Siebes.
Om een reactie te kunnen plaatsen heeft u een profiel nodig.
Inloggen