[Anoniem]

Beste Forum-leden,
als nieuwe eigenaar, tevens recent benoemd bestuurder, van een VVE (9 appartementen) volg ik met belangstelling de diverse publicaties over de invoering van de AVG en de discussies op dit Forum. Mijn vraag gaat over de website van onze VVE, die gefaciliteerd wordt door “VVE-site.nl” en inhoudelijk door mij wordt gevuld met namen van leden (eigenaars of hun gemachtigde) die ieder hun eigen inloggegevens hebben. Verder met de namen van de 9 eigenaars met NAW, breukdeel en maandelijkse bijdrage, en een uitgebreid digitaal archief met jaarstukken, agenda’s, notulen, begrotingen e.d.
Met de VVE-site Nederland heb ik recent een verwerkersovereenkomst gesloten. Echter, als een van de leden onzorgvuldig is met de inloggevens kan bv een buitenstaander inzage krijgen in alle data. Hoe zou je dit kunnen voorkomen? En betekent dit risico dat je eigenlijk niet zo’n website mag optuigen? Ik worstel hier mee omdat ik graag zoveel mogelijk digitaal werk en zo min mogelijk met papier. Zijn er VVE’s die eenzelfde website constructie hebben, en hebben die hierover nagedacht? Ik hou mij aanbevolen!
Met vriendelijke groet, Frits

[RonaldL]

Frits,
als u de zaakjes goed voor elkaar heeft, kan onwettig handelen van inloggers op uw website u niet treffen.
Maar wat is dan “goed voor elkaar”? Tegenwoordig is inloggen op een site vaak een dubbele inlog: inlognaam plus wachtwoord plus MobilePass token (of iets vergelijkbaars).
Zoek maar eens naar MobilePass token, dan komt de info vanzelf naar voren. Dat is dan al een stuk moeilijker om met gestolen wachtwoorden in te loggen.
Als de website bouwer zulks een derde inlog token niet uit kan voeren, dan maar een andere website bouwer zoeken.

[kv66]

Hallo allemaal, ik heb onlangs de samenwerkingsovereenkomst gekregen van onze administratief beheerder.
De samenwerkingsovereenkomst die ik heb gekregen is een juridisch document opgesteld door het bekende advocatenkantoor in VvE land uit het perspectief van haar klant, onze administratief beheerder. Beslaat 6 pagina’s tekst en een blad om te tekenen. Het is een soort Algemene voorwaarden, maar dan toegespitst op de AVG. Het verwerkingsregister beslaat twee A4’tjes.
Ik ben een juridische leek, maar ik heb een klein A4’tje vol met opmerkingen en vragen teruggestuurd. Hier mis ik weer de helpende hand van de belangenverenigingen VEH en VvE belang.
Ik heb nog geen inhoudelijke reactie gekregen van onze beheerder, maar wel een mail dat alle vragen/opmerkingen vanuit alle aangesloten VvE’s worden verzameld en dan pas beantwoord. Kan dus even duren. Tot die tijd wordt er niet verwacht dat het bestuur de overeenkomst getekend terugstuurt, maar houdt de beheerder zich er wel aan.
Een paar artikelen wil ik hier wel delen, met mijn vraag of opmerking daarbij.
Artikel luidt: ” De VvE is verantwoordelijk ten aanzien van de door de Beheerder uit te voeren Verwerking(en) in opdracht van de VvE”.
Mijn opmerking/vraag : Op mij komt dit over dat de VvE dus altijd verantwoordelijk is voor iets of alles dat beheerder doet of niet doet met de gegevens. Is dat juist geïnterpreteerd? Indien onjuist, hoe moet ik dit artikel dan lezen.
Er zit ook keurig dit artikel in:
Indien ten tijde van het ondertekenen van de Overeenkomst door het bestuur van de VvE, nog geen besluit is genomen door de vergadering van eigenaars waarin het bestuur wordt gemachtigd om namens de VvE de Overeenkomst met de Beheerder aan te gaan, dan geldt dat de Overeenkomst wordt aangegaan onder de ontbindende voorwaarden dat de vergadering van eigenaars het bestuur niet (alsnog) machtigt de Overeenkomst aan te gaan met de Beheerder.
In het verwerkingsregister is een kolom die opsomt welke partijen de gegevens ontvangen. Dat zijn onder meer Notarissen, advocaten, incassobureaus, aannemers, opdrachtnemers.
Mijn vraag/opmerking: Geeft de VvE hiermee, omdat dit in het verwerkingsregister staat, a priori instemming/toestemming om deze gegevens te delen met de opgesomde ontvangers in die kolom?
Als ik inhoudelijk reactie krijg zal ik die, als dat kan, hier wel delen.

[VvE Boskwartier]

KV66 schreef ….. “In het verwerkingsregister is een kolom die opsomt welke partijen de gegevens ontvangen. Dat zijn onder meer Notarissen, advocaten, incassobureaus, aannemers, opdrachtnemers…..”
Ik zou alleen toestaan dat de notaris (koop/verkoop/hypotheek) de bank en de KvK (mutaties bestuur) gegevens van onze VvE kan/mag/moet ontvangen.
Incassobureaus/aannemers/advocaten/opdrachtnemers hebben niets, maar dan ook niets met de AVG te maken. De glazenwasser of de poetsdame zijn opdrachtnemers en dienen de gegevens in te kunnen zien?  Toch van de gekke….
Het komt mij voor dat “beheerder” zich met een “jantje van leiden” van alle “werk” probeert weg te blijven.
m.vr.gr.

[kv66]

VvE Boskwartier schreef: “Incassobureaus/aannemers/advocaten/opdrachtnemers hebben niets, maar dan ook niets met de AVG te maken. De glazenwasser of de poetsdame zijn opdrachtnemers en dienen de gegevens in te kunnen zien? Toch van de gekke….”.
Er staat dat deze gegevens gedeeld worden met de opgesomde ontvangers. Er staat niet dat een notaris/aannemer etc. die gegevens kunnen inzien. Ik had mijn tekst nog preciezer moeten formuleren als volgt ……kunnen worden gedeeld.
Maar in geval van een incassobureau die de achterstallige bijdrage moet gaan innen, kan het niet anders dan dat die NAW-gegevens krijgt plus de gegevens over de achterstand, plus de voorgaande correspondentie incl. gegevens die daar dan weer in staan. Ook de aannemer die op een bepaald adres zijn werk moet doen in opdracht van de beheerder (die kan nl uitvoerder zijn van een overeenkomst gesloten door de VvE) moet toch tenminste dat adres weten en dan is het wel zo netjes dat deze aannemer ook de naam van dat adres te horen krijgt. En zo kunnen we pagina’s volschrijven over de legitimiteit dat de gegevens met de opgesomde ontvangers zouden moeten worden gedeeld.
Overigens vind ik dat ook notarissen etc geen gegevens van de beheerder zouden moeten kunnen ontvangen maar alleen van het bestuur van de VvE. Tenzij de beheerder door de wet daartoe verplicht wordt. Maar misschien is wat ik vind helemaal niet werkbaar. Ik wacht de reactie van de beheerder even af, voordat ik overhaaste en misschien volledig onjuiste conclusies ga trekken.
VvE Boskwartier schreef:” Het komt mij voor dat “beheerder” zich met een “jantje van leiden” van alle “werk” probeert weg te blijven.” Ik vind dat weer zo’n conclusie/opmerking die kant noch wal raakt, niet gebaseerd is op feiten en naar het schijnt bedoeld is beheerders af te schilderen als leugenaars en luiwammesen. Waar komt die frustratie met beheerders toch vandaan. Het voegt naar mijn stellige overtuiging niets toe aan de discussie, althans niet aan deze.

[Rob]

kv66 wrote:

In het verwerkingsregister is een kolom die opsomt welke partijen de gegevens ontvangen. Dat zijn onder meer Notarissen, advocaten, incassobureaus, aannemers, opdrachtnemers.

Ik mis in dat rijtje de leden van de VvE 😉

[Rob]

kv66 wrote:

De VvE is verantwoordelijk ten aanzien van de door de Beheerder uit te voeren Verwerking(en) in opdracht van de VvE”.

Ik neem aan dat de opdracht die de beheerder van de VvE gekregen heeft duidelijk is en de benodigde verwerkingen dus ook.
Dan kan ik op zich nog wel begrijpen dat de eindverantwoordelijkheid voor die verwerkingen bij de VvE gelegd wordt.
Een andere verwerking van de gegevens, die dus niet overeenkomt met de opdracht aan de beheerder, lijkt mij persoonlijk ook met dat artikel dan weer niet vallen onder de verantwoordelijkheid van de VvE.

[DikOz]

kv66 schreef: Artikel luidt: ” De VvE is verantwoordelijk ten aanzien van de door de Beheerder uit te voeren Verwerking(en) in opdracht van de VvE”.
Als de VvE/bestuur de verwerkingsverantwoordelijke is en de beheerder de verwerker zou ik dat artikel nooit accepteren. De AVG stelt al dat de verantwoordelijke verantwoordelijk is voor de verwerking van persoonsgegevens. Dus overbodig artikel, lijkt mij. Het klikt als indekking tegen schade claims.
kv66 schreef: Het verwerkingsregister beslaat twee A4’tjes.
Kan erg verwarrend zijn dat hier het woord verwerkingsregister wordt gebruikt.  Ik vermoed dat de administratief beheerder zo’n register-achtige formulering gebruikt als opdrachtomschrijving. Maar voor de VvE geldt art 30: “Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten ….”.  Dus niet de beheerder, maar de VvE heeft zo’n ‘echt’ register.
Voor de beheerder geldt iets anders: art 28.3 “De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling …”. Dus gewoon een overeenkomst. Wel kan zo’n verwarrend register je helpen  jullie ‘echte’ register op te zetten. Dan bepaalt de VvE echter het formaat!
Ik zie dat beheerders zich als verantwoordelijke opstellen. Dan gelden andere regels. Maar daarmede worden zij ook rechtstreeks verantwoordelijk.

[Rob]

DikOz wrote:

Ik zie dat beheerders zich als verantwoordelijke opstellen. Dan gelden andere regels. Maar daarmede worden zij ook rechtstreeks verantwoordelijk.

Ik herhaal hier een citaat van Bob, eerder in deze discussie, welke ik volledig onderschrijf.
Citaat: “… De VvE (het benoemde bestuur) staat in directe verhouding tot de leden, de beheerder indirect (via bestuur) op basis van de beheersovereenkomst.
De verantwoordelijkheid is gedeeld en waarschijnlijk zal er een samenwerkingsovereenkomst (moeten) worden gesloten om over en weer (bestuur en beheerder) de verplichtingen en taakverdeling in het kader van de AVG vast te leggen.”
Dat zie je ook vaak terug in de samenwerkingsovereenkomst die veel beheerders met VvE’s afsluiten.
Citaat uit een dergelijke samenwerkingsovereenkomst: “In overweging nemende dat:
…
D. de Beheerder en de VvE hun rechten en plichten die over en weer voortvloeien uit de AVG en de Uitvoeringswet AVG ,voor zover mogelijk, willen vastleggen middels deze overeenkomst (hierna: “Overeenkomst”);
E. de Beheerder en de VvE samen het doel van en de middelen voor de verwerking van persoonsgegevens vaststellen, zodat zij gezamenlijke verwerkingsverantwoordelijken zijn;
enz.”
Ik zie daar geen probleem in !

[DikOz]

Een beheerder is in dienst van de VvE (als de VvE een bestuur heeft uit haar leden). Dan staat de de taak van de beheerder toch in de opdracht? Dan wordt de beheerder toch een verwerker.
Ik zie die gedeelde verantwoordelijkheid niet. Wat is er dan de delen naar de beheerder toe? Het probleem dat ik zie is onduidelijkheid, terwijl verwerker zijn duidelijk is en past bij een opdrachtovereenkomst.  Maar ik moet hier misschien @ bob zeggen.
Blijft voor mij de vraag waarom een beheerder zo graag verantwoordelijke wil zijn.

[Rob]

Ik begrijp op zich wel waar je heen wilt, maar vraag me af welk probleem je ziet?
Daarnaast is het vaak de beheerder die bepaalt welke middelen er ingezet worden voor de verwerking van de gegevens, de gebruikte software en de wijze van opslag.
In die zin hebben heeft hij dus al een geheel eigen verantwoordelijkheid.
Ik vind het niet zo slecht dat de VvE en de beheerder samen optrekken om uiteindelijk zo zorgvuldig mogelijk met de persoonsgegevens van de VvE om te gaan.
 

[DikOz]

Rob: “Ik vind het niet zo slecht dat de VvE en de beheerder samen optrekken om uiteindelijk zo zorgvuldig mogelijk met de persoonsgegevens van de VvE om te gaan.”
Inderdaad, maar mij betreft kan de zin eindigen achter ‘optrekken’. Een van de problemen die ik zie is dat de AVG een andere overeenkomst eist (dus geen bewerkersovereenkomst), als de rol van beheerder “Gezamenlijke verwerkingsverantwoordelijke” (art 26) krijgt/eist. Toestemming vanuit de leden, als nodig, moet dan aan 2 partijen gegeven worden: de VvE en de  Gezamenlijke verwerkingsverantwoordelijke. De VvE zegt eigenlijk daar en daar ben ik niet voor verantwoordelijk, maar geeft en betaalt de opdracht wel. Ik denk dat ik nog wel een paar redenen kan vinden.
In relatie daarmee, vorige week ben ik naar de onderwijsdag op 26 november voor o.a. VVE bestuurders geweest en heb de AVG sessie bijgewoond. Daar kwamen nogal wat meningen naar voren, zoals ‘altijd toestemming vragen’, ‘namen vermelden in de notulen’, is ‘middelen’ het kiezen voor een beheerder of het kiezen van de software’ en ook iets als het bovenstaande.
Gesteld werd namelijk dat bijna elke beheerder een ‘gezamenlijk verantwoordelijke’ is. En er werd zelfs een criterium gegeven: alleen als de beheerder ‘slaafs’ het contract kon uitvoeren, zou deze een verwerker kunnen zijn.
Ik denk dat op dit moment de meningen over de AVG in de VvE nog te verdeeld zijn en dat een ieder  gezond verstand moet loslaten op de AVG en niet zonder meer geloven wat kantoor xxx aanbeveelt. Op die lesmiddag werd met enige trots vermeld dat het standpunt over toestemming vragen afwijkt van dat van  VvE-belang en van de Vereniging eigen huis.
Ik denk ook dat wat @ kv66 schrijft/vraagt typerend zal zijn voor VvE’s: wat moet ik doen nu mijn beheerder niets anders kan doen dan mij een standaard pakket aan voorwaarden toe te sturen? Met als gevolg het door kv66 genoemde standaard artikel als “” De VvE is verantwoordelijk ten aanzien van de door de Beheerder uit te voeren Verwerking(en) in opdracht van de VvE”.

[kv66]

Inmiddels hebben wij voor onze VvE de zaak rond. We hebben nu een VvE privacyverklaring, een VvE verwerkingsregister en een samenwerkingsovereenkomst met bijbehorend verwerkingsregister met onze administratief beheerder.
De samenwerkingsovereenkomst met onze beheerder is aangepast aan onze wensen. Naast een aantal kleine aanpassingen is het aangehaalde artikel over de verantwoordelijkheid van de VvE geschrapt en het delen van gegevens met derden, zoals genoemd in de het verwerkingsregister van de beheerder, kan alleen met toestemming van of via het bestuur.
Eind goed al goed wat mij betreft en we zien wel waar in de praktijk het schip strandt.

[DikOz]

Gefeliciteerd en mooi dat de verantwoordelijkheid van de VvE nu goed geregeld is. Ik lees overigens samnewerkingsovereenkomst dus er is niet gekozen voor een verwerkersovereenkomst?

[Rob]

kv66 wrote:

…. en het delen van gegevens met derden, zoals genoemd in de het verwerkingsregister van de beheerder, kan alleen met toestemming van of via het bestuur.

Dat vind ik apart, en omslachtig 😉
Als het delen van gegevens mag/moet om aan een bepaalde verplichting te voldoen, heeft een “toestemming” van het bestuur ook weinig meerwaarde.
Als voorbeeld,  de notaris.
Ik neem aan dat de beheerder tot nu toe automatisch soms gegevens doorgaf aan de notaris zoals bijvoorbeeld de achterstanden van een verkopende eigenaar of aanwezige leningen van de VvE.
Op grond van jullie nieuwe overeenkomst moet de beheerder dus nu eerst contact opnemen met het bestuur, die vervolgens niets anders kan doen dan toestemming geven om die gegevens te verstrekken !
 

[Auteur]

Berichten