Mag een appartementenbeheerder wel of niet mailadressen van bewoners aan de VVE geven?

Op Tweakers las ik:

Als bestuur van de VVE willen wij graag onze leden informeren. Hiervoor hebben we een Facebook pagina en diverse mededelingenborden in het complex. … Onze beheerder heeft alle emailadressen van onze leden in beheer. Allemaal via expliciet akkoord van ieder lid. So far so good. We hebben aan onze beheerder gevraagd of wij als bestuur die lijst ook kunnen gebruiken om onze leden te informeren. Beheerder says no. Want AVG.

Het doet inderdaad wat raar aan dat een beheerder -aangesteld door de VVE- beschikt over persoonsgegevens, en die dan niet zou mogen verstrekken aan de VVE zelf op grond van de privacywet. Maar ik zie zulke dingen vaak gebeuren, en er zitten meestal twee punten van onduidelijkheid in: (1) wie is ‘eigenaar’ van de gegevens en (2) wie heeft welke grondslag (en hoe ver strekt dat).

Wat eigendom betreft, dat is eigenlijk een foute term. Op data kan helemaal geen eigendom rusten. Je kunt die route dus niet gebruiken om te bepalen of iemand wel of niet iets mag doen. Werken met persoonsgegevens mag alleen als er een grondslag is, zoals toestemming of een wettelijke plicht.

Soms wordt de term ‘eigenaarschap’ gebruikt om te verwijzen naar de discussie over verantwoordelijke- en verwerkerschap. De verantwoordelijke is dan de ‘eigenaar’ van de gegevens, en de verwerker een uitvoerende partij. Door te communiceren dat die verwerker “geen eigenaar” is, onderstreep je die gezagsrelatie.

Ik zou in de meeste gevallen geneigd zijn die beheerder als verwerker aan te merken. Hij krijgt gegevens over de eigenaren/bewoners via de VVE met als doel het praktisch beheer van het appartementencomplex uit te voeren. De leden van de VVE informeren hoort daar bij, en dat dat met toestemming gebeurt is al helemaal netjes. Maar ik zie beheer van het complex als een taak van de VVE, en dus de VVE formeel als beslisser over hoe die taak wordt uitgevoerd. Daarmee is het de VVE die beslist welke persoonsgegevens nodig zijn, inclusief dus de keuze om per e-mail de leden te gaan informeren.

Vanuit dat perspectief is de beheerder dus gehouden die persoonsgegevens te verstrekken, omdat de verantwoordelijke beslist over wat er gebeurt. Dat hun softwaresysteem een export niet toestaat (zo lees ik in het topic) doet daar niet aan af. Dan is die software niet AVG-compliant.

De vervolgvraag is of het bestuur de leden mag mailen als ze die lijst te pakken hebben. Dat komt neer op welke grondslag ze daarvoor zouden hebben. Toestemming is er niet, want die is gegeven in de context van de beheersituatie – maandag komt de glazenwasser, wilt u geen fietsen in de hal zetten want de brandweer – en het bestuur wil de leden over andere kwesties informeren – 12 mei is de jaarvergadering, de servicekosten worden per 1 januari geïndexeerd, wie wil er secretaris worden. Tenzij de toestemmingsvraag daar nadrukkelijk rekening mee hield, kan het bestuur niet op die toestemming varen.

Zonder toestemming kom je bij de recente discussie over het mogen mailen van je leden. Ik denk dat dat wel mag als het duidelijk een belang heeft voor de vereniging en geen reclame is. De zaken die ik hierboven noemde, zoals de jaarvergadering of een oproep het bestuur in te gaan, lijken mij prima aan dat criterium te voldoen.

Binnen de grondslag van het legitiem eigen belang denk ik dat je als verenigingslid dergelijke mails gewoon te dulden hebt. Een afmeldmogelijkheid zou netjes zijn, maar hoeft niet. In ieder geval niet bij verenigingen van deze omvang, waar toch enige betrokkenheid bij het verenigingsleven vereist is omdat het gaat om een gezamenlijk appartementencomplex.

Arnoud

26 reacties

  1. Gevoelsmatig hangt het er voor mij wel van af wat precies de relatie is tussen de beheerder en de VvE. Als de beheerder in dienst is van de VvE, dan lijkt het me dat die e-mailadressen overduidelijk aan de VvE toebehoren. Maar het voelt voor mij anders als de VvE de diensten van een beheerbedrijf heeft ingehuurd. Dan lijkt het meer alsof Cool Blue aan PostNL mijn e-mailadres vraagt. (Okay, zonder e-mailadres zal bestellen bij Cool Blue lastig zijn, maar het kan best een ander e-mailadres zijn).

    1. Een beheerder wordt ingehuurd om een aantal taken van de VvE uit te voeren; standaard zaken zijn het maken van een onderhoudsplanning, inhuren van aannemers om het onderhoud uit te voeren en een stuk administratie, waaronder incasso van de contributies. Formeel is de beheerder dus in dienst van de VvE en (als die de administratie doet) beheert ook “in opdracht” de ledenlijst van de VvE.

      Het is voor het bestuur van de VvE het makkelijkst om aan de beheerder te vragen post te versturen naar haar leden, dan is er ook geen gedoe met verouderde ledenlijsten en zo… Maar ik denk wel dat de VvE toegang hoort te hebben tot haar administratie, inclusief de ledenlijst.

      1. Onze VvE verstuurt alles via de beheerder, dat is wel zo gemakkelijk.

        Maar wat de privacy betreft: ik doe al een jaar of 6 de kascontrole met steeds wisselend een tweede persoon. Dat is mij indertijd gevraagd omdat ik indertijd bij een accountantskantoor werkte en men dacht dat ik er dan wel verstand van zou hebben 😉

        Ik heb dan inzicht in de adresgegevens, de betalingsachterstanden, betalingsregelingen en alles wat relevant is voor de controle. Ik heb ze alleen een paar jaar geleden wel verzocht om de lijst met betalingsachterstanden die bij de jaarrekening zat samen te vatten in categorieën 1 maand, < 6 maanden, 6 maanden tot een jaar en meer dan een jaar. Daarvoor was het een lijst op huisnummer en eerlijk gezegd vind ik niet dat het hele complex hoeft te weten wie problemen heeft met het betalen van de VvE bijdrage.

        Het bestuur en de beheerder weten wie schuld heeft en ik controleer samen met het andere commissie lid of de incasso procedures gevolgd worden en de betalingen conform afspraken zijn betaald en we leggen dat in een verslag aan de vergadering vast. Als ik een manier zag om de kas controle te kunnen doen zonder deze kennis zouik het doen,

        1. Ja, als lid van de kascontrolecommissie kom je gelet op je taak in aanraking met gevoelige persoonsgegevens. Volgens mij is daar een (indirecte) wettelijke basis voor omdat een kascontrolecommissie wettelijk verplicht is.

          Het lijkt me wel dat je vertrouwelijk met deze gegevens omgaat, want de plicht van de kascommissie is slechts om “het bestuur” te controleren; niet je medebewoners.

      2. Het inhuren ligt iets complexer. 1. Het bestuur wordt bijgestaan door een ingehuurde beheerder. De beheerder lijkt me dan een verwerker. 2. Een beheerder is ingehuurd (door de rechtpersoon VvE) om o.a. bestuurder van de VvE te zijn. De beheerder lijkt me dan verwerkingsverantwoordelijke. 3. Het bestuur wordt bijgestaan door een ingehuurde beheerder, maar het bestuur wil dat de ingehuurde beheerder en het bestuur gezamenlijk verantwoordelijk zijn. Zij lijken mij dan beide gezamenlijke verwerkingsverantwoordelijke. 4. Voor mij het moeilijkste geval. Als geval 1, maar de beheerder bepaalt natuurlijk(?) zelf welke middelen incl. systeem/software hij gebruikt voor beheerstaken inclusief het systeem/software dat de leden gebruiken voor het melden van storingen. De beheerder lijkt mij toch een verwerker omdat de VvE het middel bepaalt: dat is inhuur. Het middel is dan niet het systeem/software?

  2. Ik was laatst bij een Duits hotel waar ik opeens twee kantjes moest lezen en ondertekenen in verband met de verwerking van mijn persoonsgegevens. Dit was rond een uur of tien ’s avonds, en mijn Duits is beter in de horeca dan in het juristenkantoor, dus ik heb maar gewoon getekend. Het was echter wel een tekenend voorbeeld van bedrijven die te krampachtig omgaan met het verwerken van persoonsgegevens: Ik heb een hotelkamer geboekt, dat je daarbij mijn NAW gegevens verwerkt is daarmee ook accoord. Sterker nog, vaak is dit wettelijk vereist.

    Het lijkt alsof we nu in een tegen-periode terecht zijn gekomen, waarin bedrijven de AVG veel strenger interpreteren dan dat deze bedoeld is. Waarschijnlijk is dit ook een stukje onbekendheid, want niet iedereen leest al tien jaar lang een juristen blog (Go Arnoud!) maar het is wel frappant.

  3. Het gaat voor een VvE niet alleen om de verwerking van persoonsgegevens, maar ook om zekerheid over de bereikbaarheid. Elektronische berichten hebben de onhebbelijkheid om soms niet aan te komen en het actueel houden van adressen eist de actieve betrokkenheid van de leden. Dat soort verantwoordelijkheid (-sverdeling) zit verborgen in de instemming, vandaar dat je die als VvE niet zomaar op moet willen rekken.

  4. Die beheerder beheert toch enkel en alleen omdat ze daartoe opdracht hebben gekregen van de VVE? Hoe kunnen zij dan kennelijk veronderstellen dat zij verantwoordelijke zijn?

    En aan de andere kant, hoe kan hier onduidelijkheid over bestaan? Als het goed is, is er tussen de VVE en de beheerder een verwerkersovereenkomst en is daarin bepaald wie verwerker en wie verantwoordelijke is. Het lijkt me (voor de VVE) bijzonder gewenst dat daarin vastgelegd is dat de VVE de verantwoordelijke is en de beheerder de verwerker.

  5. Ha Arnoud, Interessant artikel, wederom. Naast dit vraagstuk ben ik ook erg benieuwd naar de vraag of de mailadressen verstrekt mogen worden aan de verzekeraar, als de VvE beheerder de verzekering afsluit voor alle VvE’s. Lijkt mij dat dit opgenomen zal moeten worden in de overeenkomst tussen de VvE beheerder en de woningeigenaar, maar ik weet het niet zeker… Wat denk jij?

    1. Dat lijkt me te mogen als dat emailadres redelijkerwijs nodig is voor het afsluiten/beheren van die overeenkomsten. Ik neem aan dat het gaat om verzekeringen ten behoeve van de leden individueel, bijvoorbeeld inboedel of glas in hun eigen appartement? Voor de algemene verzekering lijkt me alleen het bestuur van de VVE een relevante partij.

  6. Waarom zou ik als VvE-lid toestemming verlenen aan een beheerder? Daar moet de VvE toch tussen zitten? Daar ben ik lid van en die mag meestal op basis van art. 6.1.b (betrokkene is partij) of 6.1.c (wettelijke verplichting) mijn gegevens gewoon gebruiken. De VvE geeft vervolgens de beheerder toestemming. Komt het toestemming geven aan een ingehuurde derde vaker voor?

    1. Helaas komt het veel te vaak voor dat allerlei partijen denken dat ze toestemming moeten vragen terwijl ze gewoon een overeenkomst hebben waar de gegevens voor nodig zijn. Als ik een euro had voor elke webshop die met een checkbox vraagt “Ja, ik geef toestemming om mijn gegevens te gebruiken voor deze bestelling” dan kon ik een dag minder werken.

      Mij lijkt de beheerder een verwerker van de VVE en dan is toestemming sowieso overbodig. Misschien als de beheerder buiten de VVE om informatiediensten aanbiedt, de nieuwsbrief met tips om uw appartement piekfijn te houden bijvoorbeeld. Dan geef je directe toestemming aan de beheerder in zijn rol van informatieverstrekker.

    2. Als de VvE een glazenwasser inhuurt, die voor het maken van de afspraken de e-mailadressen van de bewoners verzamelt, heeft de VvE dan recht op die e-mailadressen via de glazenwasser? Ik denk van niet.

      Als de VvE een glazenwasser in loondienst heeft, die de e-mailadressen van de bewoners heeft verzameld, heeft de VvE dán recht op die e-mailadressen? Ik denk het wel.

      Ergens daar tussenin zal dit geval zitten.

  7. Dat is meteen het hele ge-eikel met die flut-AVG-wet. Bedoeld De Googles en Facebooks in toom te houden en met de graai-grage handjes van onze privacy af te houden, maar intussen maakt het normale communicatie tussen particulieren en bedrijven cq verenigingen onmogelijk. Ik denk dat de AVG een grotere de-motiverende factor is voor starters dan de belastingdienst…

    1. Con, zover zou ik niet willen gaan, maar ik ben het met je eens dat het voor mij lijkt of de AVG allerlei ongewenste gevolgen heeft omdat ineens allerlei heel normale en wenselijke dingen niet meer mogen.

  8. Nog een veel voorkomend probleem met VvE’s en de AVG. Bij het indienen van een verzoekschrift bij de rechtbank, (bijv. vernietiging besluit) vraagt de rechtbank aan de verzoeker om een lijst met alle eigenaren af te geven aan de rechtbank. Dit om elke eigenaar en lid van de VvE een kopie te sturen van het verzoekschrift en hen op de hoogte te houden van eventuele zittingen. Alleen menig VvE weigert tegenwoordig deze gegevens te verstrekken. Ik werk bij een professionele juridische organisatie en wij lopen hier telkens weer tegenaan. De rechtbank eist van ons dat we een lijst aanleveren, maar de VvE weigert deze te verstrekken. Het lijkt mij dat ook hier misbruik van de AVG wordt gebruikt.

    1. Ik vind het niet meer dan normaal dat mijn VvE mijn privacy beschermt. Waarom zou die een kopie van haar volledige ledenlijst aan de eerste de beste meester in de rechten die daarom vraagt moeten afstaan? (Aan de andere kant, via het kadaster kun je de eigenaren ook achterhalen.)

      1. “… vraagt de rechtbank aan de verzoeker om een lijst met alle eigenaren af te geven aan de rechtbank….” Als voor dat verzoek art 6.1.c geldt, dan is ” de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust” . Verstrekking is dan toch geen punt?

        1. Levert een vraag van de griffie van een rechtbank een wettelijke verplichting op? Zo ja, dan moet iemand een bijpassend wetsartikel kunnen citeren. (En de rechtbank vraagt het aan een toekomstige tegenpartij in de rechtszaak, hoe maakt dat een verplichting van de VvE?)

    • Topicstarter meldt zich :+

    De beheerder heeft (inderdaad) een verwerkersovereenkomst. Daarmee is die relatie als gegevensverwerker expliciet benoemd, en zijn wij, als VVE inderdaad “eigenaar” of verantwoordelijke. Gevoelsmatig leek het mogen mailen van onze leden dan inderdaad ook een no-brainer, en uiteraard is het uitsluitend bedoeld om onze leden over belangrijke zaken te informeren, met als recentste case de beruchte Agpo Ferolli CV ketels die hoognodig (individueel) vervangen moeten worden. Om zoveel mogelijk leden ‘on board’ te krijgen willen we ze liever “persoonlijk” benaderen dan via beheerder. Bij de leden waar we al emailcontact mee hebben, wordt dat zeer gewaardeerd, en ik verwacht dit ook van de overige bewoners.

    Thanks Arnoud & anderen voor de waardevolle inzichten 🙂

    1. thedane schreef: “De beheerder heeft (inderdaad) een verwerkersovereenkomst. Daarmee is die relatie als gegevensverwerker expliciet benoemd, en zijn wij, als VVE inderdaad “eigenaar” of verantwoordelijke. …”

      Die relatie kan dan wel benoemd zijn, maar dat hoeft niet te betekenen dat dat de beheerder een verwerker is, zegt Arnoud:

      “….. Als de beheerder in de praktijk zelf beslist over het gebruik van persoonsgegevens bij zijn werk, dan is hij geen verwerker. Ongeacht wat op papier staat, dus ook ongeacht verwerkersovereenkomst. En dan kom je snel bij gezamenlijk uit ja.”

      1. Daar heb je inderdaad wel een punt, echter alle communicatie van beheerder naar leden gaat met expliciet en voorafgaand akkoord van (het bestuur van) de VVE. Het enige onderscheid wat ik dan nog zou kunnen maken is of het initiatief van de mailing bij beheerder of VVE ligt.

        Ik kan me geen situatie herinneren waarbij beheerder iets als “He bestuur, ik wil deze mailing met dit onderwerp gaan doen, akkoord?” zegt. Het is eigenlijk altijd andersom, zéker voor de incidentele mailings. Bij informeren van bewoners over aanstaande werkzaamheden hebben we ooit op een ALV besloten dat de beheerder hiervoor de mailadressen (van degenen die hun emailadres gaven) mag gebruiken. Dát is niet veranderd, maar hoe het met nieuwe bewoners zit die sinds die tijd in het complex zijn komen wonen durf ik eigenlijk niet te zeggen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.