De General Data Protection Regulation (GDPR) en de VME. Wat mag wel en wat mag niet?

 

Wat is de GDPR?

De General Data Protection Regulation (GDPR)  is de nieuwe europese verordening die op 25 mei 2018 ingaat en in heel Europa gelijk is. In Nederland is deze verordening bekend als AVG ofwel de Algemene Verordening Gegevensbescherming. De AVG of GDPR is in het leven geroepen om de privacyrechten te versterken en uit te breiden en legt meer verantwoordelijkheden neer bij organisaties.

De vraag is wat betekent GDPR voor de Vereniging van Mede-Eigenaars? Wat mag wel en wat mag niet? Wat als u het beheer heeft uitbesteed aan een externe syndicus, heeft dit dan consequenties voor u?

Is de GDPR van toepassing voor een VME?

Ja, de GDPR geldt voor iedere organisatie, groot of klein, die persoonsgegevens verwerkt en daarvoor zelf het doel en de middelen bepaalt. Voor de VME worden persoonsgegevens verwerkt en dus is dus is de GDPR ook van toepassing voor de VME. Maar moeten we nu allemaal in de stress schieten of valt het allemaal wel mee. Belangrijk is dat u de gegevens die u voor de VME bewaart alleen maar mag gebruiken voor het doel waarvoor u ze heeft gekregen.

Een voorbeeld.

Een syndicus heeft een lijst van eigenaars en bewoners met de privé e-mailadressen voor het geval van calamiteiten. Deze syndicus wil graag mensen een uitnodiging sturen voor een evenement en kopieert de mailadressen van de lijst. Mag dat?

Nee. De lijst mag alleen gebruikt worden voor VME aangelegenheden waarvoor toestemming is verkregen.

Om welke gegevens gaat het?

Laten we eerst kijken om wat voor een gegevens het gaat. De GDPR bevat drie typen persoonsgegevens:

  1. persoonsgegevens
  2. bijzondere persoonsgegevens
  3. strafrechtelijke persoonsgegevens.

Voor de VME zullen alleen gegevens van het eerste type geregistreerd worden.

Is er een noodzaak om deze gegevens te bewaren?

De noodzaak om gegevens op te slaan toetst u aan de hand van 6 gedefinieerde grondslagen. Deze zijn:

  1. toestemming
  2. noodzakelijk voor de uitvoering van een overeenkomst
  3. noodzakelijk voor het nakomen van een wettelijke verplichting
  4. noodzakelijk ter bescherming van vitale belangen
  5. noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
  6. noodzakelijk voor de behartiging van de gerechtvaardigde belangen

Voor de VME is het van belang om persoonsgegevens van de eigenaars en de bewoners van het appartementsrecht vast te leggen.

Die toestemming verkrijgen is erg belangrijk en door de GDPR omschreven als rechtsgeldige toestemming. U moet kunnen aantonen dat u geldige toestemming heeft verkregen. U kunt zelf toetsen of u hierover beschikt door de volgende vragen te stellen:

  • Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven.
  • Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’.
  • Geïnformeerd: u moet mensen informeren over:
    • de identiteit van u als organisatie;
    • het doel van elke verwerking waarvoor u toestemming vraagt;
    • welke persoonsgegevens u verzamelt en gebruikt;
    • het recht dat zij hebben om de toestemming weer in te trekken. U moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.
  • Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien u als organisatie bij de verwerking meerdere doeleinden heeft, dient u de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.

Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven. Mensen hebben het recht om vergeten te worden, al gaat dat alleen op wanneer binnen de VME geen reden meer voor is. Een eigenaar of bewoner heeft pas het recht om vergeten te worden wanneer hij die rol niet meer heeft.

Hoe werkt u de gegevens van uw VME?

Hoe u de gegevens van een VME verwerkt kan consequenties hebben. Om dit duidelijk te maken hebben we zes verschillende mogelijke verwerkingsvormen gedefinieerd en maken we onderscheid tussen zelfbeheer of extern beheer.

 

Papier

Computer/lokaal

Online

Particulier syndicus

DPIA
Verwerkersovereenkomst

Professioneel syndicus

Verwerkersovereenkomst Verwerkersovereenkomst DPIA
Verwerkersovereenkomst &
Sub-verwerkersovereenkomst

Bij zelfbeheer dient u natuurlijk de gegevens alleen te gebruiken voor het doel waar ze voor bedoeld is. Aandacht dient u te besteden aan hoe u de gegevens verwerkt. Wanneer u gebruik maakt van een applicatie die online staat zult u een verwerkersovereenkomst moeten hebben en kan het verstandig zijn om een kleine impact analyse uit te voeren.

Bij extern beheer besteed u aandacht aan hoe de externe syndicus de gegevens verwerkt en van welk gereedschap (software e.d.) ze gebruik maakt, waar deze zich bevind en of er verschillende brongegevens aan elkaar worden gekoppeld. Besteed aandacht aan hoe de privacy van de eigenaars/bewoners gegarandeerd is.

 

Moet u een een impact analyse uitvoeren?

De impact analyse of officieel de mooie engelse term, data protection impact assessment (DPIA), die simpel vertaald bepaald dat u een analyse moet uitvoeren op de systemen die u of uw syndicus gebruikt op de impact van data bescherming. Deze vraag kan relevant zijn voor uw VME of voor uw VME syndicus. Het gaat er hier om of u gebruik maakt van databases die aan elkaar gekoppeld zijn of dat u gebruik maakt van nieuwe technologieën. Met name het laatste is van belang wanneer uw beheer applicatie online staat.

De GDPR is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.

Ook is een DPIA van belang wanneer u meerdere databases met elkaar gekoppeld heeft om zo verschillende gegevensbronnen met elkaar te koppelen.

Wanneer moet u een verwerkersovereenkomst opstellen?

Wanneer uw VME met een syndicus samenwerkt of gebruik maakt van een extern bedrijf is het van belang om een verwerkersovereenkomst op te stellen om zo te waarborgen dat de privacy van de gegevens van de leden niet door andere partijen mogen worden verwerkt.

 

U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar let op: als u de gegevensverwerking door een verwerker laat uitvoeren, dan bent u nog steeds verantwoordelijk voor de naleving van de Algemene verordening gegevensbescherming (GDPR).

Wat moet er in een verwerkersovereenkomst staan?

In de overeenkomst legt u onder meer het volgende vast:

  • Het onderwerp en de duur van de gegevensverwerking.
  • De aard en het doel van de gegevensverwerking.
  • Het soort persoonsgegevens.
  • De categorieën van betrokkenen.
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke.

 

Tags:
0 Reacties

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*

Neem contact op met Syndicus Centraal

U kunt dit formulier gebruiken om contact op te nemen met Syndicus Centraal

Wordt verstuurd

©2018 Syndicus Centraal, onderdeel van Blue Orange Participaties B.V.

Login met je gegevens

of    

Je gegevens vergeten?

Create Account