AVG voor de VvE

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De Vereniging van Eigenaars (VvE) krijgt hier ook mee te maken. De VvE verwerkt tenslotte persoonsgegevens van haar leden, bijvoorbeeld voor het uitsturen van uitnodigingen voor vergaderingen, de maandelijkse incasso van de VvE-bijdrage of als er gebruik gemaakt wordt van kentekenregistratie. 

In 10 stappen goed voorbereid

De Autoriteit Persoonsgegevens heeft een 10-stappenplan ontwikkeld voor organisatie om zich voor te bereiden op de invoering van de AVG. Hieronder lichten we toe welke stappen belangrijk zijn voor een VvE. 

Houd een register van verwerkingsactiviteiten bij

Een VvE heeft een verantwoordingsplicht. Dit houdt in, dat de VvE moet kunnen aantonen, dat zij in overeenstemming met de AVG handelt. Hiervoor moet je een register van verwerkingsactiviteiten (register) bijhouden. In het register staat informatie over de persoonsgegevens die de VvE verwerkt. Hoe dat register eruit ziet (digitaal, op papier, een Excel-bestand of een Word-document) is niet aan regels gebonden.  

Als VvE moet je in dit register het volgende vastleggen:

• welke persoonsgegevens de VvE verwerkt;
• met welk doel zij dit doet;
• waar deze gegevens vandaan komen;
• met wie de VvE de gegevens deelt.

Vraag expliciet toestemming aan de leden

De VvE moet van haar leden toestemming hebben om persoonsgegevens te verwerken. Op welke manier dat moet, schrijft de AVG niet voor. Wel is het aan de VvE om aan te tonen dat ze een geldige toestemming heeft verkregen. 

Een geldige toestemming is: 

• Vrijelijk gegeven. Als VvE mag je een lid niet onder druk zetten om toestemming te geven.
• Ondubbelzinnig. Het moet duidelijk zijn dat er toestemming verleend is. Bijvoorbeeld door een mondelinge of schriftelijke verklaring. Je mag dus niet uitgaan van het ‘wie zwijgt stemt toe-principe’.
• Specifiek. Een gegeven toestemming geldt steeds voor een specifieke verwerking en een specifiek doel. Zo mag de lijst van e-mailadressen van de VvE-leden voor de vergadering niet gebruikt worden voor de uitnodiging van een buurtbarbecue. 
• Geïnformeerd gegeven. De VvE moet haar leden informeren over:
  • de identiteit van de VvE als organisatie;
  • het doel van elke verwerking waarvoor de VvE toestemming vraagt;
  • welke persoonsgegevens de VvE verzamelt en gebruikt;
  • het recht dat leden van de VvE hebben om de toestemming weer in te trekken. 
    

Privacyverklaring

De VvE heeft onder de AVG een informatieplicht. Dit betekent dat de VvE verplicht is om de leden duidelijk te informeren over wat de VvE met de persoonsgegevens doet. Dit doe je met een privacyverklaring. Bedrijven zetten zo’n privacyverklaring vaak op hun website. Een VvE heeft meestal geen eigen website. Zorg er dan voor dat je de VvE-leden bijvoorbeeld een papieren versie van de privacyverklaring geeft. 

Wat moet er in zo’n privacyverklaring staan?

In zo’n privacyverklaring moeten de rechten van de VvE-leden staan. Denk hierbij bijvoorbeeld aan het recht op inzage en het recht op correctie van gegevens, maar ook het recht op overdraagbaarheid van gegevens en recht van bezwaar. Het recht om vergeten te worden, geldt bij de VvE, alleen wanneer het VvE-lid geen eigenaar meer is. Meer informatie over de privacyverklaring vind je hier.  

Meld een datalek altijd

Is er sprake van een datalek (bijvoorbeeld omdat de laptop van de voorzitter is gestolen met daarop de persoonsgegevens van de VvE-leden), waardoor persoonsgegevens van leden potentieel gevaar lopen? Dan moet je als VvE dat datalek vastleggen en hiervan melding doen bij de Autoriteit Persoonsgegevens. Ook meld je een datalek bij de leden van de VvE. 

Tip: Verstuur een mail altijd met de mailadressen in de BCC.

Meer informatie:

www.autoriteitpersoonsgegevens.nl