A V G
- Dit onderwerp bevat 124 reacties, 14 deelnemers, en is laatst geüpdatet op september 6, 20232:10 pm door .
-
Berichten
-
@Rob en @DikOz
Rob schreef: “Wat dacht je van deze verwerkersovereenkomst van beheerder VvE Metea”
Ik heb dit register even bekeken. Heel mooi en uitgebreid be- en omschreven. Ik begrijp echter niet dat er in de kolom rechtsgronden kruisjes staan onder wettelijke plicht etc. Tenzij de beheerder hier ook bestuurder is en als zodanig ingeschreven bij de KvK, is er maar één rechtsgrond voor een beheerder en dat is de overeenkomst (met de VvE). Alleen de VvE, de primaire organisatie, heeft een wettelijke plicht om iets te doen.
Wat mij betreft oppassen dus om dit voorbeeld blindelings te volgen.Ik begrijp echter niet dat er in de kolom rechtsgronden kruisjes staan onder wettelijke plicht etc. Tenzij de beheerder hier ook bestuurder is en als zodanig ingeschreven bij de KvK, is er maar één rechtsgrond voor een beheerder en dat is de overeenkomst (met de VvE).
Hoi KV66,
En daarmee zijn we weer terug op de helft van deze discussie 😉
Dat komt dus omdat deze beheerder er óók vanuit gaat dat zij samen met de VvE op basis van de beheerovereenkomst en de reglementen (de mogelijkheid om de administratie aan een andere partij op te dragen) ‘gezamenlijk verantwoordelijke’ zijn !
Waar jij volgens mij nog niet aan wil 😉 🙂
Citaat website VvE metea: “De wetgever en de AP adviseren om onderling afspraken te maken over de plichten die de AVG aan de verwerkingsverantwoordelijke oplegt. Deze afspraken hebben wij vastgelegd in de samenwerkingsovereenkomst, zodat het o.a. voor de betrokkenen duidelijk is bij wie zij terecht kunnen voor het uitoefenen van zijn of haar rechten, zoals bijvoorbeeld het recht van inzage en rectificatie.”
Het getoonde verwerkingsregister is dan onderdeel van die samenwerkingsovereenkomst.
@dikoz Ik wil je met plezier onze privacyverklaring etc doen toekomen. Weet alleen niet hoe je op dit forum een e-mailadres kan uitwisselen. Misschien kan de forum moderator (desnoods bij uitzondering) hier iets betekenen; DikOz mag mijn emailadres hebben.
Graag en dank je, ik ben zeer geïnteresseerd. [verwijzing naar email adres verwijderd ] M.b.t. de kruisjes heeft Rijssenbeek advocaten mogelijk nog een reden gepubliceerd, zij vinden “dat een VvE-beheerder en een VvE in veel [lees alle volgens hun AVG les middag] gevallen gezamenlijke verwerkingsverantwoordelijken zijn”
@Rob
Ja, toen ik het verwerkingsregister van onze beheerder onder ogen kreeg snapte ik er niet veel van. Alle handelingen hadden als rechtsgrond “overeenkomst”. Het geheel, overeenkomst en register, is door Rijssenbeek opgesteld. Dat zijn niet de minste in VvE wereld, dus waarom zouden ze dat doen.
Na een poosje daarop gekauwd te hebben, viel het kwartje. Natuurlijk, het is de VvE die als verantwoordelijke de gegevens aan de beheerder verstrekt. Dat het in de praktijk, misschien ingesleten praktijk, anders gaat en de beheerder rechtstreeks gegevens van de leden opvraagt/ontvangt is denk ik niet van belang.
Maar misschien snap ik het nog steeds niet en heeft Rob volledig gelijk en steekt het kwartje als een graat in mijn keel.Hoi KV66,
Het “opmerkelijke” is misschien nog wel dat Rijssenbeek óók degene is die samengewerkt heeft bij het totstandkomen van eerder genoemde samenwerkingsovereenkomst/verwerkersovereenkomst.
Ik wilde je eerst gaan vragen, of het wellicht een idee is om Rijssenbeek te vragen waarom zij nu kennelijk een andere mening zijn toegedaan, maar…….. het antwoord kwam vandaag toevallig net voorbij bij mij, en wel via dit bericht.
Citaat uit artikel : “… Uit een recente uitspraak van het (Europese) Hof van Justitie volgt dat een partij reeds als verwerkingsverantwoordelijke wordt aangemerkt als invloed wordt uitgeoefend op de verwerking van persoonsgegevens. Bij gezamenlijke verantwoordelijkheid hoeft geen sprake te zijn van een gelijkwaardige verantwoordelijkheid ten aanzien van de verwerking van persoonsgegevens. Dit is onder meer de reden waarom wij van oordeel waren en zijn dat een VvE-beheerder en een VvE in veel gevallen gezamenlijke verwerkingsverantwoordelijken zijn.”
Wel weer erg jammer dat zij in dat artikel dan weer niet aangeven wanneer er dan géén sprake is van gezamenlijke verwerkingsverantwoordelijken 😉
Een andere interessante gedeelte uit het bericht vind ik :
“… Allereerst is het goed te beseffen dat de regels in de (Europese) AVG, niet zoveel verschillen met de regels destijds in de (nationale) Wet bescherming persoonsgegevens (Wbp). Het doel van de AVG is onder meer om binnen de Europese Unie dezelfde regels te laten gelden ten aanzien van de bescherming van persoonsgegevens, zodat niet elke lidstaat zijn eigen wet heeft op dat gebied. Daar waar diverse partijen soms behoorlijk krampachtig omgaan met het verstrekken van persoonsgegevens, lijkt dat het doel van de AVG voorbij te schieten.”
Naar mijn mening is hetgeen omschreven in die laatste zin mede, of misschien wel juist voorál, veroorzaakt door de grote angst campagne voorafgaand aan het inwerking treden van de AVG met de dreiging van torenhoge boetes.@rob Ja, toen ik het verwerkingsregister van onze beheerder onder ogen kreeg snapte ik er niet veel van. Alle handelingen hadden als rechtsgrond “overeenkomst”. Het geheel, overeenkomst en register, is door Rijssenbeek opgesteld. Dat zijn niet de minste in VvE wereld, dus waarom zouden ze dat doen. Na een poosje daarop gekauwd te hebben, viel het kwartje. Natuurlijk, het is de VvE die als verantwoordelijke de gegevens aan de beheerder verstrekt. Dat het in de praktijk, misschien ingesleten praktijk, anders gaat en de beheerder rechtstreeks gegevens van de leden opvraagt/ontvangt is denk ik niet van belang. Maar misschien snap ik het nog steeds niet en heeft Rob volledig gelijk en steekt het kwartje als een graat in mijn keel.
Hier staat (onderaan) ook zo’n verwerkingsregister van een beheerder met allemaal rechtsgrond ‘overeenkomst’. Ik snap dat ook na jouw uitleg niet: “b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;‘ Voorbeelden daarvan die ik tegenkom zijn een webwinkel waar ik iets koop: een overeenkomst waarbij ik een betrokken partij ben. Maar geld ik als VvE lid als een betrokken partij?
In het verlengde van jouw redenering zou ik veel eerder denken aan rechtsgrond “f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde ….“. Gelukkig nog steeds geen toestemming vragen door de beheerder aan de leden.Maar geld ik als VvE lid als een betrokken partij?
Uiteraard ben jij als VvE lid ook een betrokken partij, de overeenkomst met de beheerder wordt toch gesloten met de VvE.
Ik vind het logisch dat de grondslag van de beheerder alleen “overeenkomst” is. Onze beheerder heeft geen privacyverklaring, althans niet voor de VvE’s die zijn aangesloten. Op mijn vraag waarom niet kwam het antwoord (Rijssenbeek) dat dat niet nodig was. Het past m.i. wel in de logische lijn van verantwoordelijkheden.
De AVG gaat over persoonsgegevens die een individu aan een organisatie afgeeft. De organisatie aan wie de gegevens worden afgestaan moet dan iets gaan doen.
Aan wie geeft een VvE lid die gegevens. Dat is toch echt aan de VvE.
Die heeft de wettelijke plicht tot iets, die heeft gerechtvaardigde belangen, die kan toestemming vragen/krijgen en kan op die grondslagen de gegevens verzamelen.
De VvE is de eerstverantwoordelijke om iets te gaan doen. Die stelt een privacyverklaring op met daarin welke gegevens er verzameld worden etc. en kan ook in die verklaring opnemen dat de verwerking door iemand anders gedaan wordt. Daarvoor wordt een overeenkomst gesloten met die ander, in het algemeen een beheerder. Als de VvE zelf die gegevens niet verwerkt, is voor de VvE ook geen register nodig. De VvE verstrekt de gegevens, c.f. de VvE privacyverklaring/overeenkomst, aan de beheerder.
De beheerder gaat de gegevens gebruiken/verwerken en moet daarvoor een register opstellen. En in deze lijn kan m.i. de grondslag voor de beheerder alleen maar “overeenkomst” zijn.
Dat het in de praktijk allemaal door elkaar loopt (de beheerder vraagt rechtstreeks gegevens op, de VvE krijgt van leden gegevens etc, etc) doet er m.i. niets aan af dat de VvE de organisatie is die de gegevens verzameld, beheerd en ook verantwoordelijk is wat er met die gegevens gebeurd.
In die zin begrijp ik dus de voorbeelden van VvEMetea (wat een verwarrende naam, Metea is dus geen VvE) en PandGarant dus niet. In alle bescheidenheid neig ik naar de mening dat deze VvE beheerders het niet bij het juiste eind hebben.In alle bescheidenheid neig ik naar de mening dat deze VvE beheerders het niet bij het juiste eind hebben.
En dus ook dat Rijssenbeek het niet bij het juiste eind heeft 😉
Persoonlijk zie ik nog geen enkel probleem t.a.v. de AVG in het feit dat veel beheerders er vanuit gaan dat zij samen met de VvE ‘gezamenlijk verwerkingsverantwoordelijke’ zijn en juich dat persoonlijk ook eigenlijk toe.
Ik vind dat een beheerder, zeker in de grotere VvE’s , vrij zelfstandig te werk moet kunnen gaan.
In alle bescheidenheid neig ik naar de mening dat deze VvE beheerders het niet bij het juiste eind hebben.
En dus ook dat Rijssenbeek het niet bij het juiste eind heeft : – ( ……
Misschien iets een off-topic, maar bijvoorbeeld VVE belang en VEH aan een kant, en bijvoorbeeld Rijssenbeek en Dirkzwager aan de andere kant, verschillen van mening over de noodzaak tot het vragen van toestemming in een VvE omgeving. Iemand moet ongelijk hebben en dat kan je dat best onderbouwd opmerken.
Voor mij is er nog een reden dat ook bekende partijen er best naast kunnen zitten. Bij de AVG is juridische, IT en informatie beveiliging en eigenlijk ook uitbesteding kennis nodig. Ik betwijfel of die partijen dat allemaal in huis hebben. (Zelf heb ik geen professionele juridische kennis.) Daarnaast zijn advocaten niet zo gewend aan discussies op Internet, ze doen dat in de rechtszaal en daar heeft de rechter altijd gelijk en stellen ze hun interpretatie van de wet zo nodig bij. Wat mij wel opvalt is dat advocatuur gespecialiseerd in Internet en IT- wel discussieert op Internet.Eigenlijk denk ik dat het m.b.t. de verwerkersovereenkomst/samenwerkingsovereenkomst mogelijk is om meerdere wegen te bewandelen.
Als je uitgaat van de werkwijze van KV66 is dat natuurlijk ook prima en als je kiest voor de aanpak van ‘gezamenlijke verwerkingsverantwoordelijke’ is dat ook prima.
Ik denk dat beide opties wat betreft de AVG mogelijk zijn.
Doel van de AVG is onder andere dat organisaties zorgvuldig en bewust omgaan met persoonsgegevens en ik denk niet dat daar maar één specifieke manier voor is.
Ik zie op beide wijzen niet dat de AVG regels op enige wijze niet zouden worden nageleefd.Misschien iets een off-topic, maar bijvoorbeeld VVE belang en VEH aan een kant, en bijvoorbeeld Rijssenbeek en Dirkzwager aan de andere kant, verschillen van mening over de noodzaak tot het vragen van toestemming in een VvE omgeving. Iemand moet ongelijk hebben en dat kan je dat best onderbouwd opmerken.
@DikOz Volgens mij was jij degene die ons er juist op attent maakte dat ze bij VEH er binnen de kennisbank een andere stelling op nahouden.
Een stelling die weer overeenkomt met hetgeen Rijssenbeek ook uitdraagt en waar ik me graag bij aansluit. 😉
Dat ze weigeren de informatie op de website aan te passen, tja …… 🙁
@Rob: Mee eens en inderdaad: intern voor leden staat iets anders bij de VEH, maar is dat ook goed?
“Vraag expliciet toestemming aan de leden wanneer er geen wettelijke grondslag is.
De VvE moet van haar leden toestemming hebben om persoonsgegevens te verwerken als dit niet berust op de splitsingsakte en/of wet. Op welke manier dat moet, schrijft de AVG niet voor. Wel is het aan de VvE om aan te tonen dat ze een geldige toestemming heeft verkregen.”
Bij Rijssenbeek heb ik op een leermiddag vernomen dat er verschil is tussen wettelijk (bijvoorbeeld BW 5) en afgeleid van een wet (onze reglementen). Bij die laatste zou geen beroep gedaan kunnen worden op een wettelijke grondslag.
Eerder schreef Rob:
“Persoonlijk zie ik nog geen enkel probleem t.a.v. de AVG in het feit dat veel beheerders er vanuit gaan dat zij samen met de VvE ‘gezamenlijk verwerkingsverantwoordelijke’ zijn en juich dat persoonlijk ook eigenlijk toe.
Ik vind dat een beheerder, zeker in de grotere VvE’s , vrij zelfstandig te werk moet kunnen gaan.”
Hierbij een illustratie waarop dat kan uitlopen. Ik moet er niet aandenken zo’n overeenkomst te krijgen. Helaas heb ik die van onze VvE nog niet gekregen.
Een paar artikelen uit de uit de Pandgarant overeenkomst:
2.1 De Overeenkomst wordt aangegaan voor onbepaalde tijd en kan niet worden opgezegd. (misschien juridisch te verdedigen?)
3.2 In het als bijlage 1 bijgevoegde verwerkingsregister is bepaald welke Persoonsgegevens door de Beheerder worden verwerkt, voor welke doeleinden die Verwerking is bestemd en wie waarvoor verantwoordelijk is. (wie? Het gaat om de beheerder, hoe kan de VvE verantwoordelijk zijn?)
3.5 De VvE is verantwoordelijk ten aanzien van de door de Beheerder uit te voeren Verwerking(en) in opdracht van de VvE. (ja,ja ….)
3.8 Het is de Beheerder en de VvE niet toegestaan zonder instemming van de ander, een persoon of een Onderneming opdracht te verstrekken voor het verwerken van Persoonsgegevens. (beheerder de baas over de VvE?)
12.1 De Beheerder behoudt zich het recht voor de Overeenkomst aan te vullen en te wijzigen; die zal na kennisgeving de VvE binden, tenzij de nieuwe Overeenkomst binnen 30 dagen na toezending aan de VvE schriftelijk wordt verworpen, waarbij het recht op verwerpen niet bestaat indien de wijziging een gevolg is van een nieuwe regel of wet van overheidswege. (eenzijdig veranderen? en de VvE dan?)
Verder heb ik het niet goed gelezen. Dit ljkt op een AVG variant van Wie is eigenlijk de klant: de VvE of de beheerder?“… @rob: Mee eens en inderdaad: intern voor leden staat iets anders bij de VEH, maar is dat ook goed?”
Ja, daar twijfel ik geen seconde aan.
De AVG is nooit bedoeld om het verwerken van persoonsgegevens onmogelijk te maken.
Zonder de ‘verplichte’ verwerking van bepaalde persoonsgegevens kan een VvE simpelweg niet functioneren.
“… Bij Rijssenbeek heb ik op een leermiddag vernomen dat er verschil is tussen wettelijk (bijvoorbeeld BW 5) en afgeleid van een wet (onze reglementen). Bij die laatste zou geen beroep gedaan kunnen worden op een wettelijke grondslag.”
Ik ben er niet bij geweest maar ik kan me niet voorstellen dat dat op deze wijze uitgelegd is. Dat zou ook niet overeenkomen met hetgeen op hun eigen website te lezen is.
Citaat Rijssenbeek : “In de regel vloeien alle verwerkingen die door het bestuur van een VvE worden verricht voort uit de wet, de reglementen van de VvE en de besluiten van de vergadering van eigenaars. Voor die verwerkingen is (dus) geen toestemming benodigd van de betrokkenen”
“… 2.1 De Overeenkomst wordt aangegaan voor onbepaalde tijd en kan niet worden opgezegd. (misschien juridisch te verdedigen?)”
Ik weet het niet helemaal uit mijn hoofd, maar volgens mij staat er ook ergens vermeld dat deze samenwerkingsovereenkomst onderdeel is/wordt van de beheerovereenkomst en dus loopt zolang de beheerovereenkomst voortduurt.
“… 3.2 In het als bijlage 1 bijgevoegde verwerkingsregister is bepaald welke Persoonsgegevens door de Beheerder worden verwerkt, voor welke doeleinden die Verwerking is bestemd en wie waarvoor verantwoordelijk is. (wie? Het gaat om de beheerder, hoe kan de VvE verantwoordelijk zijn?)”
Nee, het gaat in deze overeenkomst niet alleen om de beheerder.
Je gaat voorbij aan het feit dat dit een samenwerkingsovereenkomst is.
“…. 3.5 De VvE is verantwoordelijk ten aanzien van de door de Beheerder uit te voeren Verwerking(en) in opdracht van de VvE. (ja,ja ….)”
Daar ben ik het op het eerste oog ook niet geheel mee eens en is inderdaad discutabel.
“…. 3.8 Het is de Beheerder en de VvE niet toegestaan zonder instemming van de ander, een persoon of een Onderneming opdracht te verstrekken voor het verwerken van Persoonsgegevens. (beheerder de baas over de VvE?)”
Hoezo haal je hieruit dat de beheerder de baas over de VvE zou zijn?
Ik lees alleen dat de beheerder instemming van de VvE en de VvE instemming van de beheerder nodig heeft om een persoon of een onderneming opdracht te verstrekken voor het verwerken van Persoonsgegevens.
Dat heet samenwerken 😉
Als één van de partijen op eigen houtje dergelijke iniatieven zou ondernemen lijkt mij dat onwenselijk in het kader van de gedeelde verantwoordelijkheid.
@Rob Duidelijk en we zijn het duidelijk niet eens. Als voorbeeld neem ik art 3.2 en 12.1. Ik zou in een samenwerkingsovereenkomst zoiets verwachten als (zwart is toegevoegd):
“3.2 In het als bijlage 1 bijgevoegde verwerkingsregister is bepaald welke Persoonsgegevens door de VvE en welke door de Beheerder worden verwerkt, voor welke doeleinden die Verwerking is bestemd en wie waarvoor verantwoordelijk is. ”
“12.1 De VvE en de Beheerder behouden zich het recht voor de Overeenkomst aan te vullen en te wijzigen; die zal na kennisgeving de ander binden, tenzij de nieuwe Overeenkomst binnen 30 dagen na toezending aan de ander schriftelijk wordt verworpen, waarbij het recht op verwerpen niet bestaat indien de wijziging een gevolg is van een nieuwe regel of wet van overheidswege.”
En als zo’n samenwerking echt bedoeld was, zou zoiets als het bovenstaande erin gestaan hebben getuige art 1.5 “De Beheerder en de VvE zullen de lopende verplichtingen ten aanzien van Persoonsgegevens blijven nakomen, indien daarvan na beëindiging van de Overeenkomst nog sprake is”
Overigens, spijtig dat er niets in staat over toestemming vragen, ook al geldt er meestal een andere grondslag. Zou, in dit geval van gezamenlijke verwerkingsverantwoordelijke, de beheerder rechtstreeks aan de leden toestemming moeten vragen voor zijn verantwoordelijke zaak (zie 3,2) waarin toestemming vereist is?
- Je moet ingelogd zijn om een antwoord op dit onderwerp te kunnen geven.