AVG voor de VvE

Sinds mei 2018 geldt de nieuwe privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). Verenigingen van Eigenaars (VvE) hebben hier ook mee te maken; een VvE verwerkt tenslotte persoonsgegevens van haar leden, bijvoorbeeld voor het uitsturen van uitnodigingen voor vergaderingen, voor de maandelijkse incasso van de VvE-bijdrage of bij gebruik van kentekenregistratie. 

Goed voorbereid op de AVG

De Autoriteit Persoonsgegevens heeft een AVG-10-stappenplan ontwikkeld waarmee organisaties zich kunnen voorbereiden op de invoering van de AVG. Lees hieronder 4 belangrijke aandachtspunten voor VvE's

1. Houd een register van verwerkingsactiviteiten bij

Een VvE heeft een verantwoordingsplicht. Dit houdt in dat een VvE moet kunnen aantonen dat zij in overeenstemming met de AVG handelt. Hiervoor moet je een register van verwerkingsactiviteiten bijhouden. In het register staat informatie over de persoonsgegevens die de VvE verwerkt. Hoe dat register eruitziet (digitaal, op papier, een Excel-bestand of een Word-document) is niet aan regels gebonden.  

Een VvE moet in het register het volgende vastleggen:

  • Welke persoonsgegevens de VvE verwerkt?
  • Met welk doel zij dit doet?
  • Waar de persoonsgegevens vandaan komen?
  • Met wie de VvE de persoonsgegevens deelt?

2. Vraag expliciet toestemming aan VvE-leden

Een VvE moet toestemming van haar leden hebben om persoonsgegevens te verwerken. Op welke manier een VvE dit regelt, schrijft de AVG niet voor. Wel is het aan de VvE om aan te tonen dat ze toestemming heeft gekregen. 

Een geldige toestemming is: 

  • vrijelijk gegeven. Als VvE mag je een lid niet onder druk zetten om toestemming te geven.
  • ondubbelzinnig. Het moet duidelijk zijn dat er toestemming verleend is. Bijvoorbeeld door een mondelinge of schriftelijke verklaring. Je mag dus niet uitgaan van het ‘wie zwijgt stemt toe-principe’.
  • specifiek. Een gegeven toestemming geldt steeds voor een specifieke verwerking en een specifiek doel. Zo mag de lijst van e-mailadressen van de VvE-leden voor de vergadering niet gebruikt worden voor de uitnodiging van een buurtbarbecue. 
  • geïnformeerd gegeven. De VvE moet haar leden informeren over:
    • de identiteit van de VvE als organisatie.
    • het doel van elke verwerking waarvoor de VvE toestemming vraagt.
    • welke persoonsgegevens de VvE verzamelt en gebruikt.
    • het recht dat leden van de VvE hebben om de toestemming weer in te trekken. 

3. Stel een privacyverklaring op

Onder de AVG heeft een VvE een informatieplicht. Dit betekent dat een VvE verplicht is om leden duidelijk te informeren over wat de VvE met persoonsgegevens doet. Dit kan met een privacyverklaring. Bedrijven zetten zo’n privacyverklaring vaak op hun website. Een VvE heeft meestal geen eigen website. Zorg er dan voor dat de VvE-leden bijvoorbeeld een papieren versie van de privacyverklaring krijgen. 

In een privacyverklaring staan de rechten van de VvE-leden. Denk hierbij bijvoorbeeld aan het recht op inzage en het recht op correctie van gegevens, maar ook het recht op overdraagbaarheid van gegevens en recht van bezwaar. Het recht om vergeten te worden geldt bij een VvE alleen wanneer het VvE-lid geen eigenaar meer is. Lees meer over de privacyverklaring >  

4. Meld een datalek altijd

Is er sprake van een datalek (bijvoorbeeld omdat de laptop van de voorzitter is gestolen met daarop de persoonsgegevens van VvE-leden), waardoor persoonsgegevens van leden potentieel gevaar lopen? Dan moet je dit datalek als VvE vastleggen en hiervan melding maken bij de Autoriteit Persoonsgegevens. Ook meld je een datalek bij de leden van de VvE. 

Tip: Verstuur een e-mail altijd met e-mailadressen in de BCC.

Meer informatie

Lees meer over de AVG op de website van de Autoriteit Persoonsgegevens

Sta ook sterker met ruim 760.000 leden.