[DikOz]

Rijssenbeek stelt “Wanneer de VvE een opdracht aan een organisatie geeft waarbij de werkzaamheden primair bestaan uit het verwerken van persoonsgegevens namens/ten behoeve van de VvE, dan is deze opdrachtnemer in beginsel een verwerker in de zin van de AVG.“, zie https://www.rijssenbeek.nl/avg-voor-vves/

Weet iemand waar dat woord primair vandaan komt? Ik kan dat niet vinden in de AVG. Als primair inderdaad geldt, scheelt dat een hoop werk voor een VvE (geen overeenkomst nodig met de loodgieter).

En mag de VvE de opdracht per email verstrekken? Onder verwerking wordt in de AVG ook verstaan ‘verstrekken door middel van doorzending‘ en ‘verspreiden‘, ik neem aan zoals bijvoorbeeld email. En ook verplicht de AVG dat de verwerking (hier dan email) beveiligd dient te zijn: art 32 AVG.
Overigens rept Rijssenbeek jammer genoeg met geen woord over verzending en email als onderdeel van verwerking (zie o.a. V)

Zou een opdracht aan een loodgieter per email met een volledig adres van een of meer leden niet kunnen omdat email niet beveiligd is? Ik acht het ondenkbaar dat de intentie van de AVG zou zijn dat zo’n email nu niet meer kan. Maar waarom zou het volgens de AVG wel mogen?

[mvanw]

Hallo DikOz
De primaire taak van een ‘beheerder’ is het administreren van allerlei zaken en gegevens van leden van een VVE, en is dus gebonden aan de AVG. Echter een loodgieter zal er ook aangebonden zijn, al zal administratie niet zijn primaire bezigheid zijn. Verkregen (persoons) informatie moet via de richtlijnen van de AVG behandeld en gebruikt moeten worden, en niet gebruikt mogen worden voor bijvoorbeeld promotie van zijn zaak of producten.
Maar waar we denk voor moeten waken, binnen VVE land, is het doorslaan met de AVG.
In meerdere forums en topics word al gesuggereerd dat we naambordjes en straat borden moeten gaan weghalen vanwege de AVG omdat leden dan herleidbaar zouden zijn.
Kan de post ook lekker zijn werk doen. De AVG geld voor iedereen, niet alleen voor VVE’s.
Als er een probleem is bij een van de leden, zeg lekkage en een loodgieter is gewenst, dan is het wel handig als deze ook weet waar hij moet zijn. Minimale adres gegevens met eventueel een naam of telefoon nummer van een contact persoon is dan wenselijk.
De gegevens zijn dan ‘gerechtvaardigd’ en dat moet geen probleem zijn via de mail, ook al zou deze niet beveiligd zijn.
mvg Marlon

[DikOz]

@ Marlon
“Echter een loodgieter zal er ook aangebonden zijn, al zal administratie niet zijn primaire bezigheid zijn.” Dan zou in de stelling van Rijssenbeek het woord ‘primair’ weggelaten moeten worden? Ik vond het juist een goed handvat om zaken ‘lichter’ te regelen en doorslaan, zoals je aangeeft, te voorkomen. Daarom zoek ik naar een aanknopingspunt in de AVG voor primair.
“De gegevens zijn dan ‘gerechtvaardigd’ en dat moet geen probleem zijn via de mail, ook al zou deze niet beveiligd zijn.” In de AVG is gerechtvaardigd een grondslag. Als verwerking mag op basis van de van toepassing zijnde grondslag, dan gelden toch vervolgens vele verplichtingen, waaronder ‘Beveiliging van de verwerking’ ?
De loodgieter een email sturen met werkadressen moet kunnen. Zou een VvE dan  voor niet beveiligd kunnen aansluiten bij AVG art 32? Dat begint met ‘Rekening houdend met [….] treffen de verwerkingsverantwoordelijke en […]  technische en organisatorische maatregelen om een ‘op het risico afgestemd beveiligingsniveau’ te waarborgen, die, waar passend, onder meer het volgende omvatten
En zou in dit loodgieter geval ‘op het risico afgestemd beveiligingsniveau’  kunnen inhouden dat niet-beveiligd voldoende is? (Er is altijd een zekere vorm van beveiliging bij email, maar niet beveiligd zou kunnen inhouden dat afluisteren niet beschermd wordt)

[Rob]

Ik ben het met Marlon eens !
Daarnaast is de statutaire doelstelling van een VvE het beheer voeren over, en de zorg dragen voor het onderhoud van, gemeenschappelijke gedeelten en gemeenschappelijke zaken.
Op grond van die verplichting mag de VvE en beheerder voor dat doel dus ook al persoonsgegevens verwerken naar mijn idee.
Misschien wel verstandig om dat ook te beschrijven in de samenwerkingsovereenkomst van de VvE en de beheerder.
De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld.
Gezien bovenstaande lijkt mij daar dus niets mis mee !
Ook  uit de info op autoriteitpersoonsgegevens.nl zie ik niets waaruit zou blijken dat één en ander niet zou mogen.
In die zin ben ik wel héél nieuwsgierig naar de onderliggende redenen van het antwoord van de juristen uit deze vraag op de site van vvebelang.

mvanw wrote:

… In meerdere forums en topics word al gesuggereerd dat we naambordjes en straat borden moeten gaan weghalen vanwege de AVG omdat leden dan herleidbaar zouden zijn.

Helaas is die AVG gekte ook in andere landen doorgeslagen.
Maar gelukkig is daar direct op gereageerd door de President van het Beierse Staatsbureau voor toezicht op gegevensbescherming.

[DikOz]

Die reactie uit Beieren is inderdaad het lezen waard, al is mijn Duits niet voldoende de kern van zijn/haar betoog te doorgronden. Het verwijderen van naamplaatjes is natuurlijk onzin.
Mijn inzet is voor onze VvE een werkbare situatie te krijgen met in inachtneming van de AVG. Ik wordt nu bijvoorbeeld geconfronteerd met  het ‘verzoek’ de VvE toestemming te geven NAW, bank#, email en tel# te gebruiken. Alleen al omdat de vereniging Eigen Huis zegt dat toestemming een vereiste is: “De Autoriteit Persoonsgegevens heeft een AVG-10-stappenplan ontwikkeld ……. Lees hieronder 4 belangrijke aandachtspunten voor VvE’s” en “2. Vraag expliciet toestemming aan VvE-leden. Een VvE moet toestemming van haar leden hebben om persoonsgegevens te verwerken. …..”
Als je dat 10 stappenplan van de AP opzoekt, staat daar wat anders:”Stap 10: Toestemming. Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming.”
Vanwege de overhead die het vragen om toestemming creëert (formulieren bewaren, weggooien etc), vanwege de gevolgen van toestemming vragen voor het functioneren van het bestuur in de toekomst en ook vanwege die strenge eisen zouden VvE’s en vooral VvE organisaties er alles aan moeten doen om te zien of andere grondslagen voldoende zijn voor verwerking dit soort simpele NAW gegevens. En dat handvat geeft Rijssenbeek.
 

[Rob]

DikOz wrote:

Vanwege de overhead die het vragen om toestemming creëert (formulieren bewaren, weggooien etc), vanwege de gevolgen van toestemming vragen voor het functioneren van het bestuur in de toekomst en ook vanwege die strenge eisen zouden VvE’s en vooral VvE organisaties er alles aan moeten doen om te zien of andere grondslagen voldoende zijn voor verwerking dit soort simpele NAW gegevens. En dat handvat geeft Rijssenbeek.

Precies !
Ik zou dan ook eerder de lezing van Rijssenbeek aanhouden dan die van VEH. 😉
(zie ook deze discussie op dit forum 😉 )
De AVG geeft alleen aan dat ‘gewone’ persoonsgegevens alleen verwerkt mogen worden  als die gegevensverwerking op minimaal 1 van de 6 AVG-grondslagen gebaseerd is.
En aangezien ik van mening ben dat vrijwel alle verwerkingen van persoonsgegevens binnen een VvE voortvloeien uit de statuten en/of wetgeving ben ik dus ook van mening dat een VvE vrijwel alle gegevensverwerkingen kan baseren op een grondslag anders dan ‘toestemming’.

[Rob]

mvanw wrote:

Als er een probleem is bij een van de leden, zeg lekkage en een loodgieter is gewenst, dan is het wel handig als deze ook weet waar hij moet zijn. Minimale adres gegevens met eventueel een naam of telefoon nummer van een contact persoon is dan wenselijk.

Gelukkig is het nieuwste modelreglement daar vrij duidelijk in.
Citaat MR2017 art. 59.1 ;
“Het Bestuur legt een register aan van Eigenaars en Gebruikers.
Teneinde het Bestuur in staat te stellen dit bij te houden, is iedere Eigenaar en Gebruiker verplicht om, zodra hij Eigenaar en/of Gebruiker is geworden, daarvan schriftelijk mededeling te doen aan het Bestuur onder opgave van zijn naam, adres en overige voor communicatie benodigde gegevens, waaronder in ieder geval een telefoonnummer en een e-mailadres.”

[Auteur]

Berichten