[Anoniem]

Veel privacy verklaringen van VvE’s bevatten iets als “Voor de verwerking van de persoonsgegevens maakt de VvE gebruik van diensten van derden, zogenaamde verwerkers. Met deze verwerkers hebben wij een verwerkersovereenkomst.”

Nu er langzamerhand ervaring moet ontstaan met de AVG in de praktijk, vraag ik mij af of VvE’s i.h.a. inderdaad met bijvoorbeeld elk onderhoudsbedrijf een verwerkersovereenkomst afsluiten indien het afgeven van persoonsgegevens noodzakelijk is.

[Rene]

U heeft alleen het recht om persoonsgegevens te verwerken als u zich kunt baseren op minimaal 1 van de 6 AVG-grondslagen. Eén van die grondslagen is ‘noodzakelijk voor de uitvoering van een overeenkomst’.

Ik ben persoonlijk van mening dat de AVG niet als algemeen doel heeft om als werkverschaffing te dienen. Dus een dienstverlener die niet als primair doel heeft het verwerken van je gegevens en dus alleen ter uitvoering een minimale set aan gegevens krijgt (bijv. voor het maken van een afspraak), lijkt mij een goede privacyverklaring afdoende.
Met een administratiekantoor of beheerpartij, daar stel je WEL een verwerkingsovereenkomst mee op. Want juist in die activiteiten ligt het verwerken van gegevens ten grondslag.

[Rob]

Ik ben het met Rene eens en zie ook geen reden om met ieder onderhoudsbedrijf een afzonderlijke verwerkingsovereenkomst aan te gaan.
 

[DikOz]

Gelukkig meer medestanders. Ik wil ons privacybeleid dan ook aan te passen, namelijk:
“Wij als VVE geven nooit persoonsgegevens door aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten. ”
Veranderen in:
“Wij geven nooit persoonsgegevens door aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten en de dienstverlening van die partij naar de VVE primair bestaat uit het verwerken van persoonsgegevens namens de VVE .”
Dit is dan meer in overeenstemming met de “Handleiding Algemene verordening gegevensbescherming” van  Binnenlandse zaken, op de site van de AP:
“U verwerkt ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens wanneer de verwerking van persoonsgegevens uw primaire opdracht is.  Met andere woorden, uw dienstverlening moet gericht zijn op het verwerken van persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke.” (pag 33, paragraaf  3.5.1?)
en ook met Rijssenbeek’s web pagina “AVG voor VvE’s”
Wanneer de VvE een opdracht aan een organisatie geeft waarbij de werkzaamheden primair bestaan uit het verwerken van persoonsgegevens namens/ ten behoeve van de VvE, dan is deze opdrachtnemer in beginsel een verwerker in de zin van de AVG.
 

[Bob]

DikOz wrote:

“Wij als VVE geven nooit persoonsgegevens door aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten. ”

Als dit echt in jullie privacybeleid staat hebben jullie het jezelf onnodig moeilijk gemaakt. Deze bewering/beperking gaat veel verder dan waartoe de AVG jullie verplicht.
Self inflicted damage! 😉

[DikOz]

@Bob Laat Google maar eens naar de volgende tekst zoeken (zonder aanhalingstekens): “geven nooit persoonsgegevens door aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten”
Bij ons staat dat in het huidige beleid dat waarschijnlijk van onze beheerder afkomstig is. Ik vermoed dat dit in een modeltekst voor beheerders staat, weet nog niet van wie het afkomstig is.

@Rene Het volgende is ook op Internet vinden:
“…. Beheer is geen verwerker in de zin van de Algemene Verordening
Gegevensbescherming (AVG), omdat dit niet de primaire opdracht is die door de VvE aan ons als beheerder wordt gegeven.”
En dat lijkt mij goed …..
 

[Rob]

Ik vraag me af wat feitelijk het nut is om te beschrijven wat je NIET met de persoonsgegevens gaat doen omdat je dat m.i. vrijwel nooit kan waarmaken.
Persoonlijk zie ik meer waarde in een duidelijk omschrijving van hetgeen er WEL met de verzamelde persoonsgegevens in de VvE gebeurt.
Ik las ergens o.a. dus eerst “Wij geven nooit persoonsgegevens door aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten.”
om in de tweede zin te schrijven “Indien toch aan de orde maken wij met partijen (verwerkers) uiteraard de nodige afspraken om de beveiliging van je persoonsgegevens te waarborgen.”
 

[DikOz]

Inderdaad, je komt de mooiste teksten tegen bij een beetje Googlen. Ik heb ook een VvE gevonden met “In principe delen wij uw gegevens met niemand. Alleen kunnen wij op grond van de wet … etc.”
Vermoedelijk komt het model privacybeleid met de nu al befaamde zin “Wij geven nooit persoonsgegevens door aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten” van de stichting AVG voor Verenigingen. Dat is de stichting waar VVE Belang je als VVE naar verwijst voor een licentie, wat dat ook moge zijn.
De policy van de stichting zelf , is qua opzet, inleiding, hoofdstukken en zinnen bijna identiek aan de policy van onze VvE, m.u.v. de opsomming van beveiligingsmaatregelen. En het slot is anders: geëist wordt dat VVE-leden in een bijgevoegd formulier toestemming geven voor het gebruik van vermelde persoonsgegevens voor vermelde doelen.
Blijft de vraag als die befaamde zin hier een paar mensen onzinnig lijkt, winnen onze argumenten het dan van die van VVE Belang en die stichting?

[Rob]

DikOz wrote:

En het slot is anders: geëist wordt dat VVE-leden in een bijgevoegd formulier toestemming geven voor het gebruik van vermelde persoonsgegevens voor vermelde doelen.

Eisen dat iemand toestemming geeft ……….. zucht !!!
Voor een vrijelijk gegeven toestemming geldt dat de betrokkene zijn wil in vrijheid moet kunnen uiten. Dat betekent dat de betrokkene een daadwerkelijke keuze en de controle moet hebben. Dat is NIET het geval als de betrokkene zich gedwongen voelt toestemming te verlenen of als de betrokkene nadelige gevolgen zal ondervinden van het niet verlenen van toestemming.
 

[DikOz]

In het kader AVG en praktijk vond ik deze 3 artikelen (uit het vakgebied  IT) verhelderend en bevestigend voor standpunten die ook op dit forum zijn ingenomen.
1. “Wie toestemming onder de AVG vraagt, snapt de AVG niet (of heeft een nieuwsbrief)”, zie:
https://blog.iusmentis.com/2019/09/12/wie-toestemming-onder-de-avg-vraagt-snapt-de-avg-niet-of-heeft-een-nieuwsbrief
2.  “Oh, en verwerkersovereenkomsten sluit je dus alleen met verwerkers, niet met al je partners”, zie:
https://blog.iusmentis.com/2019/09/18/oh-en-verwerkersovereenkomsten-sluit-je-dus-alleen-met-verwerkers-niet-met-al-je-partners
3. Handleiding Algemene verordening gegevensbescherming van Binnenlandse zaken, zie:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleidingalgemeneverordeninggegevensbescherming.pdf
Voor het gemak, in die handleiding staat op pag 33, paragraaf  3.5.1
“U verwerkt ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens wanneer de verwerking van persoonsgegevens uw primaire opdracht is.  Met andere woorden, uw dienstverlening moet gericht zijn op het verwerken van persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. Wanneer de verwerking van persoonsgegevens niet uw primaire opdracht is, maar het een uitvloeisel is van een andere vorm van dienstverlening, dan bent u als dienstverlener zélf de verwerkingsverantwoordelijke voor deze verwerking.”

[Auteur]

Berichten