DikOz
Aangemaakte reacties
-
Berichten
-
Uit pure nieuwsgierigheid: over welke omvang van VvE’s hebben jullie het in deze discussie? …………….. tot nu toe volstond in alle gevallen het beantwoorden van een e-mail van de notaris met wat gegevens over de VvE: hoe hoog zijn de servicekosten, hoeveel is er in kas, en heeft de verkopende partij schulden bij de VvE. Daarnaast werd gevraagd om de laatste notulen. ……………..Vergeet niet dat we het over een VvE hebben. Niet over een organisatie met de omvang en privacy problematiek van bijvoorbeeld Facebook.
@Dichter Onze VvE : ca. 30 appartementen.
Wij zijn begonnen met de AVG en ik vroeg mij af of jullie al met de AVG regels werken. Die gelden voor Facebook, maar (helaas?) ook een VvE van 30 appt. Als jullie al zover zijn:- Hoe staan de die notariszaken dan in jullie register van de verwerkingsactiviteiten?
- En wat is de notaris, een verwerker, met een overeenkomst?
- Hoe worden de persoonsgegevens beveiligd als je email gebruikt?
- Hoe gaat het met de persschoonsgegevens in de notulen, verstrek je die?
Zou mooi zijn wat voorbeelden te hebben, ook van anderen. Scheelt een hoop werk.
kv66 schreef: “…… Vandaar dat wij bij het verwerkingsregister er een grendel voor gezet hebben. Ik heb niet de illusie dat met deze grendel het meteen goed gaat. Daar is de huidige praktijk te diep voor ingesleten. Heel waarschijnlijk is over niet al te lange tijd de eerste testcase in deze bij ons. ……”
Het verwerkingsregister gaat over persoonsgegevens, dat is slechts een deel van de informatie die in dit geval naar de notaris gaat. Stel dat de beheerder de rol van AVG gezamenlijke verwerkingsverantwoordelijke overeengekomen is en dat deze verstrekking in zijn register staat. Dan lijkt het mij voor de hand liggende denkfout dat de beheerder ook verantwoordelijk is voor de verstrekking als geheel, die dan in de beheersovereenkomst moet staan los van de AVG. Speelt zo’n verwarring bij jullie @kv66?
Overigens zou ik, ook van uit projectmanager/manager ervaring zoiets altijd overlaten aan de gedelegeerde, maar wel met een kopie naar de manager ter informatie. En daarna zou ik de gedelegeerde als nodig aanspreken op zijn verantwoordelijkheid de zaken goed af te handelen.Gefeliciteerd en mooi dat de verantwoordelijkheid van de VvE nu goed geregeld is. Ik lees overigens samnewerkingsovereenkomst dus er is niet gekozen voor een verwerkersovereenkomst?
In MR 1972 art 31.3 staat iets merkwaardigs. De zeggenschap van de VvdV over uitgaven ten laste van het reservefonds wordt deels teniet gedaan door het laatste deel van het artikel “<span class=”fontstyle0”>tenzij de gelden [uit het reservefonds] worden gebruikt in overeenstemming met een tevoren vastgestelde begrotingspost.” MR 1992 heeft die zin gelukkig niet.</span>
Toelichting ‘merkwaardig’:
– er staat niet wie dat dan wel over die gelden mag beschikken.
– er staat begroting, dus niets over het MJOP (als die posten niet in de begroting staan).
– het gaat in tegen een goede praktijk dat boven bepaalde bedragen anderen dan een afdelingshoofd of projectleider meetekenen (= meebeslissen!), zoals in MR 1992 en 2017Volgens mij is de enige taak van de VvdV de vergadering te leiden. Verder geen bevoegdheden. Als de ALV een externe bestuurder benoemt zal die de besluiten van de ALV uitvoeren.
Wat zou je zeggen van 1992.art 32.3 (reservefonds): “Over de in het vorige lid bedoelde gelden kan slechts door de voorzitter van de vergadering en één van de eigenaars, die daartoe door de vergadering zal worden aangewezen, en na bekomen machtiging daartoe van de vergadering, worden beschikt.”
en van 41.5:”….met dien verstande dat het voor het aangaan van verbintenissen een belang van een nader door de vergadering vast te stellen bedrag te boven gaande de machtiging nodig heeft van de voorzitter van de vergadering.”
Voor MR1992 haal je de 2 voorzitters door elkaar met de quoteMR 1992 stelt dat de Vz van het bestuur alleen ook Vz. van de vergadering kan zijn als het bestuur uit meer dan 1 persoon bestaat. (art 33.7). Overigens heeft de Vz van de vergadering meer bevoegdheden dan de Vz. van het bestuur.
Ik heb ook naar een (die?) website gekeken die een ‘AVG-proof’ traject heeft doorlopen. Voor mij valt het onder iets is beter dan niets. Over het ‘altijd toestemming vragen’ zouden een aantal juristen eens bij elkaar moeten gaan zitten. En vervolgens VVE belang, Vereniging Eigenhuis en anderen inlichten. Ik ben het met je eens: toestemming vragen is eigenlijk de slechtste grondslag en verplicht tekenen is uit den boze.
Ik ben 1 stap teruggegaan en vond dit: Autoriteit Persoonsgegevens waarschuwt voor AVG-keurmerken
Hoewel het bericht van juni 2018 is, lijkt mij dit nog steeds an toepassing.Rob: “Ik vind het niet zo slecht dat de VvE en de beheerder samen optrekken om uiteindelijk zo zorgvuldig mogelijk met de persoonsgegevens van de VvE om te gaan.”
Inderdaad, maar mij betreft kan de zin eindigen achter ‘optrekken’. Een van de problemen die ik zie is dat de AVG een andere overeenkomst eist (dus geen bewerkersovereenkomst), als de rol van beheerder “Gezamenlijke verwerkingsverantwoordelijke” (art 26) krijgt/eist. Toestemming vanuit de leden, als nodig, moet dan aan 2 partijen gegeven worden: de VvE en de Gezamenlijke verwerkingsverantwoordelijke. De VvE zegt eigenlijk daar en daar ben ik niet voor verantwoordelijk, maar geeft en betaalt de opdracht wel. Ik denk dat ik nog wel een paar redenen kan vinden.
In relatie daarmee, vorige week ben ik naar de onderwijsdag op 26 november voor o.a. VVE bestuurders geweest en heb de AVG sessie bijgewoond. Daar kwamen nogal wat meningen naar voren, zoals ‘altijd toestemming vragen’, ‘namen vermelden in de notulen’, is ‘middelen’ het kiezen voor een beheerder of het kiezen van de software’ en ook iets als het bovenstaande.
Gesteld werd namelijk dat bijna elke beheerder een ‘gezamenlijk verantwoordelijke’ is. En er werd zelfs een criterium gegeven: alleen als de beheerder ‘slaafs’ het contract kon uitvoeren, zou deze een verwerker kunnen zijn.
Ik denk dat op dit moment de meningen over de AVG in de VvE nog te verdeeld zijn en dat een ieder gezond verstand moet loslaten op de AVG en niet zonder meer geloven wat kantoor xxx aanbeveelt. Op die lesmiddag werd met enige trots vermeld dat het standpunt over toestemming vragen afwijkt van dat van VvE-belang en van de Vereniging eigen huis.
Ik denk ook dat wat @ kv66 schrijft/vraagt typerend zal zijn voor VvE’s: wat moet ik doen nu mijn beheerder niets anders kan doen dan mij een standaard pakket aan voorwaarden toe te sturen? Met als gevolg het door kv66 genoemde standaard artikel als “” De VvE is verantwoordelijk ten aanzien van de door de Beheerder uit te voeren Verwerking(en) in opdracht van de VvE”.Een beheerder is in dienst van de VvE (als de VvE een bestuur heeft uit haar leden). Dan staat de de taak van de beheerder toch in de opdracht? Dan wordt de beheerder toch een verwerker.
Ik zie die gedeelde verantwoordelijkheid niet. Wat is er dan de delen naar de beheerder toe? Het probleem dat ik zie is onduidelijkheid, terwijl verwerker zijn duidelijk is en past bij een opdrachtovereenkomst. Maar ik moet hier misschien @ bob zeggen.
Blijft voor mij de vraag waarom een beheerder zo graag verantwoordelijke wil zijn.kv66 schreef: Artikel luidt: ” De VvE is verantwoordelijk ten aanzien van de door de Beheerder uit te voeren Verwerking(en) in opdracht van de VvE”.
Als de VvE/bestuur de verwerkingsverantwoordelijke is en de beheerder de verwerker zou ik dat artikel nooit accepteren. De AVG stelt al dat de verantwoordelijke verantwoordelijk is voor de verwerking van persoonsgegevens. Dus overbodig artikel, lijkt mij. Het klikt als indekking tegen schade claims.
kv66 schreef: Het verwerkingsregister beslaat twee A4’tjes.
Kan erg verwarrend zijn dat hier het woord verwerkingsregister wordt gebruikt. Ik vermoed dat de administratief beheerder zo’n register-achtige formulering gebruikt als opdrachtomschrijving. Maar voor de VvE geldt art 30: “Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten ….”. Dus niet de beheerder, maar de VvE heeft zo’n ‘echt’ register.
Voor de beheerder geldt iets anders: art 28.3 “De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling …”. Dus gewoon een overeenkomst. Wel kan zo’n verwarrend register je helpen jullie ‘echte’ register op te zetten. Dan bepaalt de VvE echter het formaat!
Ik zie dat beheerders zich als verantwoordelijke opstellen. Dan gelden andere regels. Maar daarmede worden zij ook rechtstreeks verantwoordelijk.Het register wordt toch niet alleen aangelegd omdat het moet, het wordt toch ook aangelegd omdat het een doel dient? Bijvoorbeeld om te kunnen voldoen aam 1992: art 33.8 (verzenden agenda).
En als de ALV besluit dat eigenaars kunnen kiezen voor email verzending, dan is dat voldoende reden het email adres van de betreffende leden wel vast te leggen. Wie had er in 1992 een email adres? Er staat toch niet in de AvS dat de VvE niet met de tijd mag meegaan!
Ik zou de vraag ‘wat in het register?’ zelfs omdraaien en het register juist benutten om de AVG grondslagen ‘wettelijke verplichtingen’ en ‘gerechtvaardigde belangen’ (AVG art 6.1c/f) te kunnen gebruiken. Dan bepaalt dat mede de inhoud van het register en zorgt ervoor dat er geen onzinnige AVG toestemming aan de leden gevraagd moet worden.…….. Voor de zekerheid ????? Want….. ?
Wat mij opviel is dat de beantwoorder van de juridische VEH-afdeling discussie technieken gebruikte bij het beantwoorden van (mijn) opvolgende vragen. Zoiets als ‘ ja over elk antwoord kan wel weer iets opgemerkt worden’ en ‘de AVG is nieuw en er is nog veel onbekend’. Eigenlijk beantwoordt de VEH alleen de gestelde vraag en wordt er niet gediscussieerd over hun antwoord. Het verschil tussen de teksten van de kennisbank en de web site was overigens bij de beantwoorder niet bekend en ik werd 4-5 min in de wacht gezet voor een antwoord, na interne consultatie neem ik aan. En toen kwamen ze met het voorbeeld van de schilder …….
Voor de duidelijkheid, ik vind dat ‘voor de zekerheid’ niet kan. Het overduidelijk dat:- de AVG voorschrijft dat de toestemming specifiek moet zijn: “de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden“
- voor VVE verwerkingen die voortvloeien uit het BW of AvS alsmede (Rijssenberg) de reglementen en ALV besluiten, zo’n door de VEH bedoelde algemene, ‘voor de zekerheid’ toestemming strijdig is met de AVG: “De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken.”
Goed nieuws over het standpunt van de VEH over VVE en AVG en toetemming vragen.
Op de website van de Vereniging Eigen Huis staat: “Vraag expliciet toestemming aan VvE-leden. Een VvE moet toestemming van haar leden hebben om persoonsgegevens te verwerken.”
Maar op hun kennisbank (voor leden) staat:
“Vraag expliciet toestemming aan de leden wanneer er geen wettelijke grondslag is.
De VvE moet van haar leden toestemming hebben om persoonsgegevens te verwerken als dit niet berust op de splitsingsakte en/of wet.”
Op de vraag aan de VEH waarom er een verschil is:- De website is globaler, de kennisbank een verdieping.
- Voor de zekerheid toch maar altijd toestemming vragen dan dek je een opdracht aan de schilder ook af.
Op dit forum is al vaker gesteld dat toestemming vragen niet nodig is, in de situatie zoals in hun kennisbank staat. Ik ga dat dan ook bij onze VvE gebruiken. Betekent wel eenmalig iets meer werk om de relatie tussen persoonsgegevens i.h.a. , bestuurstaken, BW, Spitsingsakte en reglementen te helder te krijgen. Maar toestemming vragen en onderhouden kost veel meer werk. En wel toestemming vragen kan echt niet voor zaken die wettelijk geregeld zijn: er is geen sprake van vrijelijk gegeven voor een lid.
Die reactie uit Beieren is inderdaad het lezen waard, al is mijn Duits niet voldoende de kern van zijn/haar betoog te doorgronden. Het verwijderen van naamplaatjes is natuurlijk onzin.
Mijn inzet is voor onze VvE een werkbare situatie te krijgen met in inachtneming van de AVG. Ik wordt nu bijvoorbeeld geconfronteerd met het ‘verzoek’ de VvE toestemming te geven NAW, bank#, email en tel# te gebruiken. Alleen al omdat de vereniging Eigen Huis zegt dat toestemming een vereiste is: “De Autoriteit Persoonsgegevens heeft een AVG-10-stappenplan ontwikkeld ……. Lees hieronder 4 belangrijke aandachtspunten voor VvE’s” en “2. Vraag expliciet toestemming aan VvE-leden. Een VvE moet toestemming van haar leden hebben om persoonsgegevens te verwerken. …..”
Als je dat 10 stappenplan van de AP opzoekt, staat daar wat anders:”Stap 10: Toestemming. Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming.”
Vanwege de overhead die het vragen om toestemming creëert (formulieren bewaren, weggooien etc), vanwege de gevolgen van toestemming vragen voor het functioneren van het bestuur in de toekomst en ook vanwege die strenge eisen zouden VvE’s en vooral VvE organisaties er alles aan moeten doen om te zien of andere grondslagen voldoende zijn voor verwerking dit soort simpele NAW gegevens. En dat handvat geeft Rijssenbeek.
@ Marlon
“Echter een loodgieter zal er ook aangebonden zijn, al zal administratie niet zijn primaire bezigheid zijn.” Dan zou in de stelling van Rijssenbeek het woord ‘primair’ weggelaten moeten worden? Ik vond het juist een goed handvat om zaken ‘lichter’ te regelen en doorslaan, zoals je aangeeft, te voorkomen. Daarom zoek ik naar een aanknopingspunt in de AVG voor primair.
“De gegevens zijn dan ‘gerechtvaardigd’ en dat moet geen probleem zijn via de mail, ook al zou deze niet beveiligd zijn.” In de AVG is gerechtvaardigd een grondslag. Als verwerking mag op basis van de van toepassing zijnde grondslag, dan gelden toch vervolgens vele verplichtingen, waaronder ‘Beveiliging van de verwerking’ ?
De loodgieter een email sturen met werkadressen moet kunnen. Zou een VvE dan voor niet beveiligd kunnen aansluiten bij AVG art 32? Dat begint met ‘Rekening houdend met [….] treffen de verwerkingsverantwoordelijke en […] technische en organisatorische maatregelen om een ‘op het risico afgestemd beveiligingsniveau’ te waarborgen, die, waar passend, onder meer het volgende omvatten
En zou in dit loodgieter geval ‘op het risico afgestemd beveiligingsniveau’ kunnen inhouden dat niet-beveiligd voldoende is? (Er is altijd een zekere vorm van beveiliging bij email, maar niet beveiligd zou kunnen inhouden dat afluisteren niet beschermd wordt)
