Anne Vermeulen-Jonkers, 25 mei 2018

AVG voor VvE’s

Op 25 mei 2018 zal de Europese Algemene Verordening Gegevensbescherming (AVG) in heel Europa ingaan. Naar aanleiding van de komst van de AVG en de vele vragen die van VvE’s werden ontvangen, heeft Rijssenbeek Advocaten besloten VvE’s te voorzien van een artikel waarin de AVG is samengevat en een stappenplan uiteen is gezet.

Let wel: dit artikel is bedoeld voor VvE’s die niet het volledige beheer van de VvE en de administratie van de VvE door middel van een beheerovereenkomst hebben opgedragen aan de VvE-beheerder.

Alvorens de inleiding te lezen en de AVG te begrijpen, is het van belang om de onderstaande definities door te nemen.

Definities AVG

  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
  • Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens. Denk daarbij aan verzamelen, structureren, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, afschermen, wissen en vernietigen.
  • Bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.
  • Verwerkingsverantwoordelijke: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
  • Verwerker: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
  • Ontvanger: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt.
  • Derde: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.
  • Toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.
  • Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
  • Vertegenwoordiger: een natuurlijk persoon of rechtspersoon die schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening.
  • Toezichthoudende autoriteit: een door een lidstaat ingevolge artikel 51 ingestelde onafhankelijke overheidsinstantie (Autoriteit Persoonsgegevens).

Inleiding AVG

De AVG zal de Wet bescherming persoonsgegevens vervangen. De AVG stelt regels vast met betrekking tot bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de EU. Het doel van de AVG is het beschermen van de grondrechten en de fundamentele vrijheden van natuurlijke personen. Om dit doel te bereiken regelt de AVG de rechtmatige en zorgvuldige omgang met persoonsgegevens binnen de EU.

In Nederland is de Autoriteit Persoonsgegevens (AP) de nationale toezichthouder van de AVG. De AP zal toezicht houden op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. Voor het uitvoeren van deze taken mag de AP informatie opvragen, controles verrichten, corrigerende maatregelen treffen, waarschuwingen geven, verwerkingen (laten) stopzetten en/of boetes opleggen. De boetes kunnen maximaal 20 miljoen euro of bij bedrijven 4% van de jaaromzet bedragen.

I. Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijk persoon. Een persoon is geïdentificeerd wanneer deze uniek van alle andere personen binnen een groep te onderscheiden is. Kortom, de gegevens dienen op een zodanige wijze iets over de persoon te zeggen, dat zij daarmee unieke informatie over die persoon bevatten.

Het begrip persoonsgegevens is zeer ruim. Dit betekent dat voornaam, achternaam, geslacht, geboortedatum, geboorteplaats, straatnaam, postcode en huisnummer, woonplaats, telefoonnummers, e-mailadres, leeftijd, BSN-nummer, bankgegevens, videobeelden etc. persoonsgegeven (kunnen) zijn. Wel is het daarbij van belang dat de context waarin persoonsgegevens worden gebruikt, moet worden betrokken bij de vraag of überhaupt sprake is van persoonsgegevens.

Wanneer bijvoorbeeld enkel het geslacht en de woonplaats van een persoon is verwerkt, is dit geen persoonsgegeven. Echter, wanneer bijvoorbeeld een geboortedatum in combinatie met bijvoorbeeld straatnaam en huisnummer wordt verwerkt, dan kan die persoon wel worden geïdentificeerd. Dit betekent dat een persoon door het combineren van gegevens kan worden geïdentificeerd.

Let wel: ook gegevens die verwerkt worden waarbij de persoon op dat moment niet identificeerbaar is, maar dit zonder onevenredige inspanning wel mogelijk is, zijn persoonsgegevens. Denk hierbij aan IP-adressen en kentekengegevens.

II. Wat zijn bijzondere persoonsgegevens?
Bijzondere persoonsgegevens zijn gegevens die gezien hun aard extra gevoelig zijn. Het gaat specifiek om bijvoorbeeld ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid etc. De verwerking van bijzondere persoonsgegevens is niet toegestaan, tenzij specifieke uitzonderingen van toepassing zijn of de betrokkene toestemming heeft gegeven voor de verwerking.

III. Juridische hoedanigheid van de VvE op grond van de AVG
Aangezien de VvE op grond van de wet en het splitsingsreglement de bevoegdheid heeft het doel en de middelen voor de verwerking van persoonsgegevens vast te stellen, is de VvE een verwerkingsverantwoordelijke in de zin van de AVG. Dit betekent dat de VvE in beginsel gehouden is aan alle verplichtingen uit de AVG die voor een verwerkingsverantwoordelijke gelden.

IV. Wie verwerkt persoonsgegevens binnen een VvE?
Binnen een VvE beheert het bestuur van de VvE de middelen en draagt het bestuur van de VvE zorg voor de tenuitvoerlegging van de besluiten van de vergadering van eigenaars, met inachtneming van de bepalingen uit het splitsingsreglement. Op basis van dit reglement is het bestuur verplicht een register van eigenaars en gebruikers aan te leggen. Dit register bevat persoonsgegevens van de eigenaars en gebruikers. Deze persoonsgegevens heeft het bestuur nodig om haar taken te kunnen uitvoeren en verplichtingen te kunnen nakomen op grond van de wet, de reglementen van de VvE en de besluiten van de vergadering van eigenaars. Dit brengt dan ook met zich mee dat het bestuur op grond van de AVG ‘de vertegenwoordiger’ is van de verwerkingsverantwoordelijke, namelijk de VvE.

V. Wanneer is sprake van ‘verwerken van persoonsgegevens’ in de zin van de AVG?
Wanneer het bestuur van de VvE persoonsgegevens in een bestand opslaat en bewaart, is sprake van het verwerken van persoonsgegevens en dient het bestuur zich met betrekking tot die gegevens te houden aan de regels van de AVG die voor een verwerkingsverantwoordelijke gelden. Denk bij het begrip ‘bestand’ aan bijvoorbeeld een computer, laptop, tablet, telefoon, usb-stick, database, website etc.

 VI.  Wanneer mogen persoonsgegevens worden verwerkt?
De persoonsgegevens mogen op grond van de AVG worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dit betekent dat geen persoonsgegevens mogen worden verwerkt zonder dat hiervoor een doel is bepaald. Deze doeleinden dienen uitdrukkelijk te worden omschreven. Dit kan worden gedaan door vast te leggen waarvoor de persoonsgegevens zullen worden gebruikt. Let wel: dit doel moet gerechtvaardigd zijn en moet gebaseerd zijn op één van de zes (rechts)grondslagen uit de AVG. Daarbij merken wij op dat één grondslag in beginsel voldoende is. Deze rechtsgrondslagen zijn:

  • uitvoering overeenkomst: de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkenen en die noodzakelijk zijn voor het sluiten van een overeenkomst.Voorbeeld: er is een overeenkomst tussen de verwerker en de betrokkene en voor deze overeenkomst is het verwerken van persoonsgegevens noodzakelijk. De overeenkomst              behoeft  niet te zijn gericht op het verwerken van persoonsgegevens, maar de verwerking moet wel een noodzakelijk uitvloeisel zijn van de overeenkomst. Denk hierbij bijvoorbeeld aan de beheerovereenkomst die de VvE met de VvE-beheerder is aangegaan. Om de taken uit de beheerovereenkomst na te komen, dient de VvE-beheerder bepaalde persoonsgegevens van de eigenaars en gebruikers te verwerken.
  • Wettelijke verplichting: de gegevensverwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de verantwoordelijke.Voorbeeld: hierbij kan worden gedacht aan de verplichting die de wet en de reglementen van de VvE aan het bestuur opleggen, zoals het aanleggen van een register van eigenaars en gebruikers. Dit register bevat persoonsgegevens van de eigenaars en gebruikers. Deze persoonsgegevens heeft het bestuur nodig om haar taken te kunnen uitvoeren en verplichtingen te kunnen nakomen op grond van de wet, de reglementen van de VvE en de besluiten van de vergadering van eigenaars.
  • Vitaal belang: de gegevensverwerking is noodzakelijk om de vitale belangen van de betrokkene of van een ander natuurlijk persoon te beschermen.Voorbeeld: hierbij kan worden gedacht aan het verwerken van eventuele medische informatie over bijvoorbeeld een zieke bewoner en het verwerken van telefoonnummers van familieleden van die persoon, zodat bij vermoeden van calamiteiten en ernstige situatie contact kan worden opgenomen met familieleden en hulporganisaties.
  • Algemeen belang: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
  • Gerechtvaardigd belang: de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Daarbij moet wel een zorgvuldige beoordeling worden gemaakt om te kunnen bepalen of sprake is van een gerechtvaardigd belang.Voorbeeld: hierbij kan worden gedacht aan bijvoorbeeld het desgevraagd verstrekken van persoonsgegevens aan de politie, zodat een hennepkwekerij in het complex wordt aangepakt. De belangen van de VvE wegen in een dergelijk geval zwaarder dan het recht op privacy van de betrokkenen. Hennepteelt kan namelijk (in het ergste geval) brand in het complex veroorzaken.
  • Toestemming: de betrokkene (persoon van wie persoonsgegevens worden verwerkt) heeft voor de voorgenomen verwerking toestemming gegeven. Deze toestemming is enkel benodigd, wanneer een verwerking van persoonsgegevens niet berust op één van de bovengenoemde grondslagen. In de regel vloeien alle verwerkingen die door het bestuur van een VvE worden verricht voort uit de wet, de reglementen van de VvE en de besluiten van de vergadering van eigenaars. Voor die verwerkingen is (dus) geen toestemming benodigd van de betrokkenen. Mocht een toestemming wél vereist zijn, dan is het advies om die toestemming voorafgaand aan de verwerking te verkrijgen van de betrokkenen.Voorbeeld: zou kunnen zijn wanneer een bestuurder van de VvE persoonsgegevens gebruikt voor het promoten van zijn eigen familiebedrijf.Mocht een dergelijke toestemming benodigd zijn, dan kan dat schriftelijk worden gevraagd en daarbij moet worden opgenomen:
    – het doel van de verwerking
    – welke persoonsgegevens zullen worden verwerkt
    – dat deze toestemming op elk moment door de betrokkene kan worden ingetrokken dan wel gewijzigd.

VII. Persoonsgegevens beveiligen
In het geval het bestuur persoonsgegevens in een bestand opslaat, dient het bestuur op grond van de AVG passende technische maatregelen te treffen om deze persoonsgegevens te beveiligen. Denk hierbij bijvoorbeeld aan het versleutelen van deze persoonsgegevens voor onbevoegden door een gebruikersnaam en wachtwoord in te stellen en het installeren van een virusscan- en verwijder programma. Daarnaast kan worden gedacht aan organisatorische maatregelen die getroffen worden om persoonsgegevens te beschermen. Denk hierbij aan bijvoorbeeld de usb-sticks/dossiers die in een gesloten kast worden bewaard, zodat onbevoegden deze niet kunnen inzien/gebruiken.

VIII. Meldplicht datalekken
Er is sprake van een datalek wanneer er een inbreuk is op de beveiliging van persoonsgegevens. Deze persoonsgegevens zijn bij een datalek blootgesteld aan onrechtmatige verwerking of verlies. Denk hierbij bijvoorbeeld aan een diefstal of verlies van een computer, laptop, usb-stick waarop het bestuur van de VvE persoonsgegevens heeft opgeslagen, maar ook een applicatie of website waarop onbevoegden toegang hebben tot bijvoorbeeld ‘gevoelige’ persoonsgegevens.

Een datalek moet worden gemeld, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden natuurlijke personen. Een inbreuk heeft een hoog risico voor de betrokkene, wanneer sprake is van verlies of onrechtmatig gebruik van persoonsgegevens van gevoelige aard. Er is sprake van persoonsgegevens van gevoelige aard – niet te verwarren met bijzondere persoonsgegevens – als verlies of onrechtmatige verwerking kan leiden tot bijvoorbeeld financiële schade of tot (identiteits)fraude. Indien dit het geval is, dient een datalek (nadat ervan kennis is genomen) binnen 72 uur worden gemeld bij de AP. Dit kan via het meldloket van de AP https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0. Rijssenbeek Advocaten kan de VvE daarbij helpen.

Let wel: ook de betrokkenen dienen in dat geval hiervan op de hoogte te worden gesteld, tenzij de persoonsgegevens (achteraf) alsnog versleuteld zijn of op een andere wijze onbegrijpelijk zijn gemaakt voor onbevoegden en/of in ieder geval maatregelen zijn getroffen waardoor het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet zal voordoen.

IX. Wat zijn de rechten van betrokkenen
Hiervoor verwijzen wij de VvE door naar de website van de Autoriteit Persoonsgegevens https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen. Op deze website zijn de rechten van betrokkenen duidelijk uitgelegd. Zorg ervoor dat de betrokkenen (eigenaars en gebruikers van het complex) ook weten welke rechten zij hebben.

Let wel: op basis van de wet, de reglementen van de VvE en eventueel overeenkomsten die de VvE met de verwerker/een gezamenlijk verwerkingsverantwoordelijke is aangegaan, kunnen aan deze rechten voorwaarden zijn verbonden. Denk hierbij bijvoorbeeld aan het niet kunnen voldoen aan het verzoek van een betrokkene tot verwijderen van zijn NAW-gegevens uit het register van het bestuur, omdat deze persoonsgegevens juist noodzakelijk zijn voor het uitvoeren van de taken en plichten van het bestuur. Denk hierbij tevens aan het niet kunnen voldoen aan het verzoek tot verwijdering van persoonsgegevens die in de notulen van de vergadering van eigenaars zijn verwerkt, omdat deze gegevens juist noodzakelijk zijn voor de uitvoering van de besluiten van de vergadering van eigenaars en/of nodig zijn om achteraf te weten waar en op wie dat besluit betrekking had en waarom dat besluit destijds is genomen.

X. Registerplicht
Artikel 30 lid 1 AVG bepaalt: “Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden (…)”

Het doel van registerplicht is dat de verwerkingsverantwoordelijke aan de AP kan aantonen dat hij voldoet aan de verplichtingen van de AVG. Het bestuur van de VvE dient dit register (in een schriftelijke vorm) op te maken en bij te houden voor de VvE. In dit register dient u een opsomming te maken van de belangrijkste informatie over de verwerkingen van persoonsgegevens. Per verwerking moet het volgende worden geregistreerd:

  • omschrijving van de verwerking;
  • welke (rechts)grond van toepassing is voor deze verwerking;
  • wat het doel is van deze verwerking (verwerkingsdoelen);
  • categorieën van betrokkenen, zoals: eigenaren, gebruikers, bestuurders etc.;
  • welke persoonsgegevens worden verwerkt (categorieën van persoonsgegevens), zoals: naam, adres en woonplaats etc.;
  • wie deze persoonsgegevens ontvangt (categorieën van ontvangers);
  • hoelang deze persoonsgegevens worden bewaard (beoogde bewaartermijn);
  • welke beveiligingsmaatregelen u heeft getroffen om deze persoonsgegevens te beschermen.

XI. Schriftelijk afspraken maken met de externe organisaties die primair de opdracht hebben om persoonsgegevens te verwerken
Wanneer de VvE een opdracht aan een organisatie geeft waarbij de werkzaamheden primair bestaan uit het verwerken van persoonsgegevens namens/ ten behoeve van de VvE, dan is deze opdrachtnemer in beginsel een verwerker in de zin van de AVG. Denk hierbij bijvoorbeeld aan een organisatie die hoofdzakelijk belast is met het verwerken van persoonsgegevens voor het vaststellen en opmeten van het warmteverbruik van de bewoners. Indien de VvE gebruik maakt van een verwerker, dient zij op grond van de AVG daarover schriftelijke afspraken te maken met de verwerker. Daarbij is het van belang dat de onderstaande bepalingen/onderwerpen daarin worden opgenomen:

  • een algemene omschrijving van het onderwerp en de duur van de verwerking, de aard het doel van de verwerking, categorieën persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen als verwerkingsverantwoordelijke;
  • instructies voor verwerkingen. Daarbij kan worden vastgelegd dat persoonsgegevens niet voor andere doeleinden mogen worden verwerkt;
  • stel vast dat de verwerker de toegang tot persoonsgegevens waarborgt en de gegevens aldus enkel ingezien/verwerkt kunnen worden door de daartoe bevoegden/gemachtigden;
  • stel vast dat de verwerker de persoonsgegevens goed beveiligt door het treffen van passende beveiligingsmaatregelen;
  • stel vast dat de verwerker ondersteuning biedt bij het nakomen van de verplichtingen met het oog op beantwoording van verzoeken van betrokkenen die hun rechten wensen uit te oefenen;
  • stel vast dat de verwerker de VvE bijstaat bij de nakoming van verplichtingen op het gebied van beveiliging van persoonsgegevens en meldplicht datalekken;
  • stel vast dat na beëindiging van de overeenkomst de verwerker de persoonsgegevens wist of teruggeeft, en bestaande kopieën verwijdert;
  • stel vast dat de verwerker alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat de verwerker zich houdt aan de verplichtingen van de AVG door controle (audits) mogelijk te maken;
  • stel vast dat de verwerker afspraken met betrekking tot sub-verwerkers maakt.

Let wel: in veel gevallen verstuurt de verwerker zelf een concept van deze verwerkersovereenkomst.

Welke stappen dient (het bestuur van) de VvE op grond van het voorgaande te doorlopen om AVG-proof te worden?

1. Bewustwording bestuur
Zorg ervoor dat alle bestuursleden bekend zijn met de belangrijkste regels uit de AVG. Wanneer allebestuursleden zich bewust zijn van de verantwoordelijkheid op het gebied van privacy, draagt dit bij aan verbetering van bescherming van persoonsgegevens.

2. Bewustwording bewoners
Zorg ervoor dat de betrokkenen (eigenaars en gebruikers van het complex) weten welke persoonsgegevens worden verwerkt en welke rechten zij op grond van de AVG hebben. Dit kan door middel van het opstellen van een privacyverklaring die op de website van de VvE kan worden geplaatst of als bijlage aan het huishoudelijk reglement kan worden toegevoegd. In dit beleid kan het volgende worden opgenomen:

    • dat op grond van de reglementen van de VvE persoonsgegevens van betrokkenen worden verwerkt;
    • welke persoonsgegevens worden verwerkt, zoals: voor- en achternaam, geslacht, geboortedatum, adresgegevens etc.;
    • wat de verwerkingsdoelen zijn (de doelen zullen in veel gevallen zijn: nakomen van verplichtingen uit de splitsingsakte, het huishoudelijk reglement en de besluiten van de vergadering van eigenaars;
    • hoelang deze persoonsgegevens worden bewaard. Hierbij kan worden vermeld dat persoonsgegevens niet langer worden bewaard dan strikt noodzakelijk is om de doelen te realiseren waarvoor deze persoonsgegevens in eerste instantie zijn verzameld;
    • vermelden dat de persoonsgegevens alleen aan derden worden verstrekt als dit noodzakelijk is voor het naleven/handhaven van de wet, de reglementen van de VvE en de besluiten van de vergadering van eigenaars;
    • vermelden welke rechten betrokkenen hebben en hoe zij deze rechten kunnen uitoefenen en bij wie zij hiervoor terecht kunnen. Uiteraard zullen de verzoeken bij het bestuur terecht komen. Daarbij kan worden vermeld dat de betrokkene in beginsel het recht heeft zijn persoonsgegevens in te zien, aan te vullen, te corrigeren of te verwijderen. Dit laatste uiteraard tenzij op grond van de wet, de reglementen van de VvE en de besluiten van de vergadering van eigenaars de inzage niet kan/mag worden verschaft en of persoonsgegevens niet kunnen/mogen worden verwijderend. Let wel: wanneer een dergelijk verzoek middels e-mail wordt gedaan, moet worden nagegaan of de betreffende betrokkene wel diegene is die dat verzoek in heeft gediend. Dit kan worden gedaan door tevens te vragen om een kopie van identiteitsbewijs mee te sturen, waarbij de pasfoto en Burgerservicenummer (BSN) door betrokkene is geanonimiseerd (dit kan de betrokkene doen door deze af te plakken of door te strepen). Indien dit niet is gedaan, dient de VvE in ieder geval na het vaststellen van de identiteit van de betrokkene, de kopie van zijn identiteitsbewijs te vernietigen/verwijderen en/of de pasfoto en BSN op identiteitsbewijs te anonimiseren;
    • geef aan welke beveiligingsmaatregelen worden getroffen om persoonsgegevens te beveiligen.

3. Stel een verwerkingsregister op (zie hoofdstuk X)
Dit register kan tevens in de privacyverklaring/privacybeleid worden opgenomen of op de website/portaal van de VvE worden geplaatst, zodat betrokkenen onder meer weten welke persoonsgegevens voor welke doeleinden worden gebruikt.

4. Tref beveiligingsmaatregelen (zie hoofdstuk VII)
Zorg ervoor dat de persoonsgegevens die in een bestand zijn opgeslagen goed beveiligd zijn en enkel te zien dan wel te verwerken zijn door de daartoe bevoegden.

5. Datalekken melden (zie hoofdstuk VIII)
Meld een datalek, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van betrokkenen.

 6. Schriftelijk afspraken met organisaties die namens/ten behoeve van de VvE persoonsgegevens verwerken (zie hoofdstuk XI)
In het geval de VvE persoonsgegevens door een organisatie laat verwerken, moet de VvE ervoor zorgen dat met betrekking tot deze verwerkingen afspraken worden gemaakt. Zie hoofdstuk XI en XII.

7. Zorg ervoor dat geen onnodige gegevens worden opgeslagen, zodat geen toestemming van de betrokkene daarvoor behoeft te ontvangen.
Wanneer een verwerking niet op een grondslag berust, dient de VvE in beginsel voor deze verwerking toestemming te vragen aan de betrokkene. Zorg ervoor dat deze toestemming niet benodigd is. Dit kan door ervoor te zorgen dat onnodige persoonsgegevens worden verwijderd, geanonimiseerd en of enkel toegankelijk worden gemaakt voor de daartoe bevoegden (bijvoorbeeld het bestuur) en de betrokkenen zelf. Mocht de VvE deze gegevens toch verwerken, dan dient de VvE daarvoor toestemming te vragen aan de betrokkenen. In hoofdstuk VI is uitgelegd welke voorwaarden daaraan zijn verbonden.

8. Medewerking verlenen aan de AP
Mocht het voorkomen dat de AP een onderzoek wenst te starten naar de gang van zaken binnen de VvE, moet een VvE op grond van de AVG daaraan mee te werken. De AP mag op grond van de AVG onder meer informatie opvragen, controles verrichten, corrigerende maatregelen treffen, waarschuwingen geven, verwerkingen (laten) stopzetten en/of boetes opleggen.

Met het voorgaande gaan wij ervan uit dat de VvE de basiskennis heeft om te kunnen voldoen aan de belangrijkste regels van de AVG. Mocht de VvE vragen en/of opmerkingen hebben over dit onderwerp of artikel, dan kunt u een bericht toezenden naar avg@rijssenbeek.nl

Lees ook

Kostenverdeelsleutel versus woonoppervlakte

In lijn met de eerdere jurisprudentie zijn recent twee uitspraken gepubliceerd waarin is bevestigd dat de akte van splitsing leidend is voor de kostenverdeling bin...

Lees volledig bericht