Mag de VVE eisen dat alle bezoekers badges krijgen?

| AE 12193 | Security | 32 reacties

Een lezer vroeg me:

De VvE van het appartementencomplex waarin ik woon, maakt sinds kort gebruik van een beveiligingssysteem met toegangsbadges in plaats van sleutels. Iedere bewoner krijgt er eentje, en wie meer wil moet dat onder opgaaf van naam en adres van de beoogde verkrijger doen, plus waar de badge toegang toe moet geven (hoofddeur, parkeergarage, appartement etc). Maar kan een VvE bepalen wie ik wel of niet toegang wil verlenen tot het complex waarin ik woon?
Een VVE kan inderdaad samen afspreken hoe de beveiliging en toegangscontrole van het complex wordt geregeld. Ik snap de overstap van sleutels naar badges wel. Sleutels kunnen worden nagemaakt of raken kwijt, en dat levert gedoe op. Badges kun je intrekken.

Daarnaast kun je met badges veel fijnmaziger toegang regelen: wel de hoofdingang en de deur van appartement 3, maar verder niets. En je kunt zelfs bijhouden welke badge wanneer is gebruikt, wat handig is als er schade of andere ongeregeldheden zich hebben voorgedaan.

Daar staat tegenover dat dit middel een stuk privacy-invasiever is, precies omdat je in meer detail kunt nagaan wie (althans, welke badgehouder) waar en wanneer binnen of buiten ging. Omdat het hier gaat om elektronische registratie gekoppeld aan personen, is de AVG van toepassing. (De uitzondering voor huishoudelijk gebruik geldt niet bij een VVE die zélf dit regelt.)

De AVG eist natuurlijk een goede beveiliging: wie mag bij de gegevens, wie bepaalt wat er wordt vastgelegd, hoe wordt omgegaan met verlies, klachten en claims tot inzage. Maar minstens zo belangrijk is de noodzaak, want in gevallen als dit zul je je moeten beroepen op een legitiem belang en dat vereist een afweging van respectieve belangen.

Het voornaamste belang lijkt hier te zijn dat de VVE niet wil dat er sleutels gaan ‘rondzwerven’ (omdat bewoners kopieën uitreiken) of dat bewoners hun garage gaan verhuren aan derden door de sleutel uit te lenen. Dat belang zie ik, maar moet wel duidelijk en concreet aanwezig zijn. Als er dus problemen zijn geweest met onderverhuurde garages, dan zie ik deze stap wel. Enkel “het zou kunnen en dat willen wij niet” is niet genoeg.

Het doet wel wat raar aan dat de VVE naam en adres wil van de houders van de badges. Ik zou zeggen dat ik mijn moeder of de schoonmaker best zo’n badge moet kunnen geven, welke reden kan erop tegen zijn om deze frequente bezoekers met verdenking tegemoet te zien? En wat voegt het toe te weten waar deze mensen normaal wonen? Ik denk dat je dát niet kunt eisen als VVE.

Arnoud

Deel dit artikel

    • Nee. Dat is niet te vergelijken.

      Bij mijn VvE complex hebben we dit ook voor één van de portieken (met een grote open berging). Daar zijn ooit 10 sleutels voor besteld. En niemand heeft bedacht om op te schrijven WIE die sleutels heeft gekregen. Ja, dat had anders gemoeten

      Maar; we kunnen die sleutels niet meer intrekken. Misschien is er wel een sleutel kwijt geraakt, of gestolen. Dan moet je weer voor veel geld een nieuw slot en nieuwe sleutels regelen.

      Ja. Ik ben ook tegen het simpelweg afzetten van privacy tegen kosten. En wij gaan dit ook niet zomaar veranderen. Tags hebben ook hun eigen nadelen. En hier zijn de belangen niet groot genoeg.

      Maar ik snap de wens tot gebruik van tags wel.

      VvE’s moeten zich natuurlijk ook gewoon aan de AVG houden. Dat heb ik als bestuurslid ook doorlopen. Je kunt prima vastleggen hoe je bepaalde gegevens gaat gebruiken. Dat kun je minimaal houden, waardoor de privacy minimaal (of haast niet) beperkt wordt.

  1. Dit is zo makkelijk op te lossen dat ik er blij van wordt. Je geeft passen uit aan elke bewoner, en die moet er een label aan geven (“schoonmoeder”, “voornaam achternaam”, “kaart 1”, etc.). Als er iets is kan de VVE zien van welke bewoner de passen waren die gebruikt waren, en de bewoner kan met het label zien wie het precies geweest is. Als VVE stuur je ook jaarlijks het lijstje van passen naar elke bewoner met de vraag “is dit nog actueel?” en zo nee, trek je de toegangsrechten in. Verantwoordelijkheid gedelegeerd, privacy enigszins gewaarborgd.

    Verder maak je nog wat afspraken wie wat wanneer in kan zien. Want de VVE gaat het natuurlijk niet aan wie ’s nachts bezoek ontvangt of wie hoe vaak in de garagebox komt. Tenzij er overlast is. En je moet natuurlijk van te voren even opschrijven bij welk type overlast je in die toegangslogs mag kijken.

    Dit is bijna analoog aan mijn werk, waar we enkele zalen in een datacenter huren en ik paar jaar geleden moest afspreken welke toegangslogs we kregen. Dus rapportages met daarin informatie over welke pas op welk moment gebruikt werd om op zaal te gaan. Dat wilden we wel hebben zodat we konden controleren of de toegangsprocedures goed zijn gevolgd, statistieken maken, en controleren wie er geweest is bij incidenten (waarbij we deze 3 doelen van te voren hadden opgeschreven). Maar in de eerste logs stonden ook tijdstippen. Dat wilde ik niet. Ik had (en heb) geen enkele behoefte om te weten hoe lang onze engineers naar de WC gaan en hoe lang ze pauze nemen. Want dat kan je van de tijdstippen afleiden. Gelukkig werkte de gebouwbeheerder mee en hebben ze hun software aangepast zodat we de tijdstippen ook niet meer kregen, maar alleen de dag. Fijn, geen onnodige details! Ook krijgen we wel door dat als er andere mensen dan onze medewerkers op zaal zijn, maar niet precies wie. Enige onderscheid daarin is tussen intern personeel (die bijvoorbeeld inspectierondes doet) en extern personeel (die bijvoorbeeld onderhoud pleegt aan de energievoorziening), zonder namen en rugnummers.

    Kortom, even nadenken, regelen, klaar.

  2. Als een bewoner een toegangsbadge uit kan geven / kan uitlenen aan een andere gebruiker, dan kan je toch simpelweg de bewoner aanspreken op oneigenlijk gebruik? Dat alternatief is er al jaren (ook bij sleutels, alhoewel je daar het nadeel hebt dat je aan een fysieke sleutel niet altijd kan zien bij welke bewoner hij hoort)

    Wat mij betreft is het heel simpel: het gaat de VvE niets aan wie ik wel en niet toegang geef tot mijn woning. Dat daar aan vasthangt dat ik die persoon ook toegang moet geven aan de voordeur van de flat (om uberhaupt bij mijn voordeur te kunnen komen) doet daar niets aan af. Ik kan ze als ze aanbellen ook op afstand binnenlaten, hoe is dat anders dan wanneer ze een badge van mij gebruiken?

    Dat het bij badges eenvoudiger en handig is om te registreren exact wie hem wanneer gebruikt wil nog niet zeggen dat het ook nodig is om deze registratie te hebben. Handig en nodig zijn echt 2 totaal verschillende zaken in mijn beleving.

    Oh, en badges kunnen ook vrij eenvoudig worden nagemaakt, dus het extra veiligheids aspect t.o.v. (certificaat)sleutels zie ik ook niet zo.

    Gerelateerde vraag: valt een uittreksel van de logs mbt het gebruik van mijn badges onder het inzagerecht?

    • Ik zie wel een verschil tussen aanbellen en badge gebruiken: met die badge (of sleutel) kan ik ook naar binnen als jij er niet bent. Dat maakt de situatie anders, als jij iemand binnenlaat dan is het logisch dat jij toezicht houdt op die persoon in het complex. Als die persoon zelf naar binnen kan, dan is jouw toezicht er niet. En dan krijg je dus situaties dat de bezoeker parkeert en weer weggaat, of dat de schoonmaker met zijn broer langskomt die even gezellig rondwandelt met het oog op een inbraak later.

      Volgens mij is het zo eenvoudig nog niet om badges na te maken, je zult toch de digitale informatie erop moeten krijgen dat je naar binnen mag en bij welke sloten dan. Volgens mij is dat installatiespecifiek. Bovendien zou je in de logs dan zien dat er een nieuwe badge is, en die dan intrekken omdat er geen naam van een bewoner bij staat.

      Gerelateerd antwoord: ja.

      • Volgens mij is het zo eenvoudig nog niet om badges na te maken, je zult toch de digitale informatie erop moeten krijgen dat je naar binnen mag en bij welke sloten dan. Volgens mij is dat installatiespecifiek. Bovendien zou je in de logs dan zien dat er een nieuwe badge is, en die dan intrekken omdat er geen naam van een bewoner bij staat.

        Het zal van de gebruikte techniek afhangen maar wanneer het om NFC gaat dan zijn er varianten die ongetwijfeld te klonen zijn. Die wordt in de logs dus niet als nieuwe badge geregistreerd maar als de al bestaande badge. Omdat in het achterliggende systeem is vastgelegd waar je met deze badge wel en niet naar binnen kunt, zal datzelfde voor de gekloonde badge gelden.

        • Dat gaat op bij een slecht beveiligd of zwak pasjes-systeem, maar dat kan geen argument zijn voor de onderliggende vraag. Als het voorstel zou zijn om ergens, t.b.v beveiliging, een hek voor ze zetten, is “ik kan dat hek eenvoudig doorknippen met een tang” ook niet echt een argument, je bent dan namelijk duidelijk bezig met braak of omzeiling van beveiligingsmaatregelen. Het uitgangspunt is de vraag of die beveiliging wenselijk is, en zo ja hoe die geimplementeerd kan worden. Dat beveiliging kan worden omzeild is niet echt een factor in de vraag over wenselijkheid, het is een implementatiekwestie.

          • Het zal nagenoeg altijd NFC zijn – het alternatief – magneetstrip, is niet echt betrouwbaar. Je hebt hierbij verschillende varianten waar individueel best een verschillend prijskaartje aan kan hangen. Zware encryptie waarbij de pas zijn eigen en- en de-cryptie doet en ook de ‘lezer’ het nodige aan verwerking toepast, is kostbaar. In de meeste gevallen zal alleen een UID worden uitgelezen, some met een simpele password verificatie, en dat worden gematched met een database waar in staat welke UID geldig is, en voor welke toegangspunten.

            Het kopieren van een pas zonder extreem zware encryptie is relatief eenvoudig, ook als er een paswoord op zit, zelfs voor een leek met enige computerkennis. Je hoeft niet eens effectief een badge te bezitten om er een te kunnen clonen. Als je binnen de activatieafstand van een geldige pas kunt komen, is het maken van een kloon echt kinderspel. (tip: zorg dat je toegangspassen etc, afgeschermd wegruimt, en niet gewoon los in je portemonnee of achter je telefoon)

            Een badge is tegenwoordig net zo eenvoudig te kopieren als een sleutel – de redenering dat een badge veiliger is vanwege elektronisch en technisch etc gaat al lang niet meer op.

            Blijft over dat je met een badge relatief eenvoudig kunt zien wanneer hij gebruikt is, en omdat je weet aan wie je heb hebt uitgegeven, kun je ook vrij eenvoudig achterhalen wie dat kan zijn geweest. Dat laatste hoeft overigens niet te betekenen dat de naam van die persoon ook daadwerkelijk in de logs staat. Een goed implementatie logt alleen het badgenummer, welke lezer er gebruikt is, of de deur open is gemaakt, en het tijdstip. De link tussen badge en gebruiker moet dan extern gelegd worden. Zolang er op badges geen identificatie staat die je kunt koppelen aan een log entry kan je dus in principe volledig anoniem de toegang regelen. De huismeester heeft de lijst met badgenummers en gebruikersnamen maar heeft geen toegang tot de logfiles. Degene die de logfiles kan zien heeft geen toegang tot de ‘opzoek informatie’ – er zijn dan altijd 4 ogen nodig om de informatie te kunnen linken.

        • Het zal van de gebruikte techniek afhangen maar wanneer het om NFC gaat dan zijn er varianten die ongetwijfeld te klonen zijn.

          Ik kan je vertellen dat de pasjes waarmee je een laadpaal voor elektrische auto’s activeert triviaal te klonen zijn, die zenden alleen hun identificatienummer (leesbaar voor iedereen) over. Bij draadloos betalen met je bankpas vindt er een cryptografische verificatie plaats en die beveiliging maakt klonen vrijwel onmogelijk.

          Het is ook de vraag welk niveau van veiligheid voor een appartementengebouw genoeg is. Zelfs een simpel systeem dat alleen met pasnummers werkt is beter dan sleutels omdat verloren of anderszins ongewenste passen ingetrokken kunnen worden.

      • Bij de meeste hotelsystemen staan autorisaties op het pasje en deze worden uitgelezen door het slot. Dit omdat het slot geen vaste dataverbinding heeft met een server die autorisaties kan controleren en je wel flexibel wil zijn in het intrekken en toevoegen van pasjes. Op zo’n pasje past overigens maar heeel weinig data dus je mag zelf bedenken hoe moeilijk het voor een computer is om die ‘encryptie’ te breken 😉

        De meeste andere toegangssystemen die ik heb gezien gebruiken een taglezer die verbonden is met een centrale server. De lezer leest van de pas enkel een ID uit en de server bepaalt of dat slot open mag voor dat ID. Als je een pas kopieert dan ziet een server geen verschil tussen het origineel en de kopie. (Ik heb hier officieel ook geen twintig tags liggen om mijn appartementencomplex te betreden…) De duurdere tag-systemen gebruiken een tag met een ID dat al in de fabriek geplaatst is. In theorie bestaan er dus geen blanco passen waar je die naartoe kunt kopiëren. In de praktijk kost dat meestal een paar cent met gratis verzending uit China 🙂

        Dan heb je nog passen met echte en effectieve encryptiesystemen. Als je dit draadloos uitvoert duurt het scannen relatief lang. Dat zie je bijvoorbeeld bij draadloos betalen met je bankpas. De systemen zijn ook een stuk complexer en duurder.

  3. Ik zit vooral met een overkoepelend, niets eens AVG gerelateerd aspect.

    In hoeverre mag een VVE zich uberhaupt bemoeien met wie ik toelaat tot mijn woning en wat ik daar doe (zolang ik geen overlast geeft).

    Om het maar bot te zeggen: Het is aan de verhuurder om te zorgen dat ik toegang heb (sleutels, badges, whatever) tot mijn gehuurde delen en tot gemeenschappelijke delen heb, en zolang ik geen dingen doe die tegen het huurcontract ingaan (onderverhuren) heeft de verhuurder maar te zorgen dat ik het ongestoord genot heb van het gehuurde. En daar valt onder dat ik een sleutel geeft aan wie ik wil, zonder dat de VVE daar ook maar IETS mee te maken heeft, en dat ik en anderen naar binnen en buiten kunnen wanneer en zovaak we willen.

    De VVE kan zich bezighouden met de administratie van gas water en licht en het laten repareren van het dak, maar niet met toegangsissues, dat is tussen mij en de verhuurder.

    Ik zie hier toch wel degelijk een spanningsveld tussen de wettelijke plicht van de verhuurder om mij het ongestoord genot van het gehuurde te geven en de rechten die een VVE heeft/meent te hebben.

    Wat bijvoorbeeld als de VVE naar een badgesysteem wil, en ik wil sleutels houden omdat ik badges te storingsgevoelig vindt? En op een gegeven moment is er een storing, en de VVE heeft een storingscontract met een responsetijd van 24 uur. Dan bel ik de verhuurder: ‘Jij hebt maar te zorgen dat ik naar binnen kan, VVE of niet, contracten met storingsverhelpers of niet’

    • Ik ben helemaal voor het idee van ongestoord wonen en eigendomsrechten en zo, maar een issue hier is dat zo’n appartementencomplex gemeenschappelijke ruimtes bevat, zoals een hal, liften, het trappenhuis e.d. Ik kan me voorstellen dat het wenselijk is om te zorgen dat die gemeenschappelijke ruimtes niet openbaar toegankelijk zijn (ik weet niet wat er aan de hand is bij de oorspronkelijke vraagsteller, maar ik heb lange tijd geleden in zo’n soort complex gewoond en daar troffen we geregeld junks en daklozen aan, inclusief de bijkomende ongemakken als urine in de gangen, naalden en afval op de grond, braak in de lift etc). Een onvermijdelijke consequentie van het hebben van een gemeenschappelijke ruimte is dat er een of andere consensus bereikt moet worden over hoe je daar mee om gaat. Het bereiken daarvan is de taak van de VVE. Dat de VVE niet hoeft te weten wie er precies komt, en waar die woont etc ben ik het volledig mee eens, maar dat er een of andere vorm van controle over toegang nodig is lijkt me eenvoudig te verdedigen. Of dat met sleutels, pasjes, een portier of wat ook moet gebeuren is een andere vraag.

      • Klopt helemaal, en ik kan me de noodzaak ook goed voorstellen om de gemeenschappelijke ruimtes niet voor jan en alleman toegankelijk te maken.

        Alleen twijfel ik er sterk aan of dit een taak is voor de VVE, want die kan in zijn enthousiasme (of regelneverij) te gemakkelijk de mogelijkheden van de verhuurder beperken of wegnemen om zijn wettelijke en contractuele plichten naar de huurders na te komen.

        Zo vraag ik me sterk af, in het voorbeeld van Arnoud, – of de VVE wel mag besluiten een beveiligingssysteem met toegangsbadges in te stellen (zonder toestemming van de verhuurder) – of de VVE wel mag besluiten om welke beperking dan ook mbt het toekennen van toegangsbadges in te stellen. (dat is bijna per definitie een inperking op mijn gegarandeerde ongestoorde genot als huurder, niet in het minst omdat je bij een medehuurder/VVE-beambte langs moet gaan om een badge te vragen waar je gewoon recht op hebt, op een spreekuur zoals het hen uitkomt. Dat is een serieuze drempel.

        Ik kan me de discussie al voorstellen: ‘Heb je alweer een nieuwe vriendin die een badge moet hebben? Dat is de derde al deze maand (Ja, so what, none of your business!)’ ‘Die vorige vriendin heeft haar badge nog niet ingeleverd, je krijgt geen nieuwe totdat die is ingeleverd! (Ik wil inderdaad dat die vorige vriendin ook toegang heeft, om redenen waar jij niets mee te maken hebt)

        Aan het AVG verhaal, en aan de vraag of het onder de genoemde voorwaarden mag, kom je volgens mij niet eens toe.

  4. Had ik even moeten noemen inderdaad. De kern voor mij hieruit was dat je goed moet onderbouwen waarom er een echte noodzaak is, maar dat je ook toestemming moet vragen (die op ieder moment ingetrokken kan worden) daar heb ik moeite mee. Want het is een behoorlijke investering, die doe je voor langere termijn en dat past niet bij intrekbaarheid. Volgens mij kan dit niet op toestemming maar moet je uitvoering overeenkomst (de “lidmaatschapsovereenkomst”) of legitiem belang gebruiken. Het hielp natuurlijk niet dat de VVE überhaupt niet had nagedacht over de AVG.

    • Je kan individueel natuurlijk best je toestemming intrekken, als je dan ook je badges gelijk even inlevert en gewoon je sleutels nog kunt gebruiken. Zo is het bij ons ook geregeld, wil je geen badge, dan hoeft dat niet, je gebruikt dan gewoon de sleutel (en dat kan altijd, ook al heb je een badge).

      Over Legitiem belang: ik denk niet dat dat er ooit kan zijn – er is een alternatief – sleutels. Dat heeft altijd gewerkt, dus het kan nu ook gewoon blijven werken. Dat er wat nadelen aanzitten kan best een punt zijn, maar je kunt ook camera toezicht implementeren (wat bij veel ‘gated communities’ toch al het geval is, camera’s bij de ingangen) Dan is ‘spioneren’ ook een stuk moeilijker, tenzij je alle tapes elke dat volledig wilt afkijken. Voor een incident is dit best wel te doen, maar het is een stuk minder laagdrempelig dan ‘even snel alle logs scannen op wat buurman x heeft gedaan deze week’

      Overigens wordt er in meerdere reacties gesproken over ‘verhuurder’ In een complex met een VvE is doorgaans geen sprake van een aparte verhuurder, gemeenschappelijke ruimtes worden beheerd door de VvE die vaak een huismeester in dienst heeft voor de dagdagelijkse werkzaamheden. Je kunt dan ook niet ‘aan je verhuurder vragen of zeggen’ maar bent gewoon zelf (mede-, via je zeggenschap in de VvE) verantwoordelijk…

    • Ik heb al eerder gezegd dat een systeem met tags op nummer al functionaliteit biedt die niet door gewone sleutels geboden wordt: je kunt namelijk specifieke tags intrekken. Bij een gekloonde tag deautoriseer je alle klonen in een keer mee.

      Het systeem is risicovoller als het mogelijk is om de communicatie tussen slot en tag af te luisteren en het mogelijk is om door het afspelen van de opname van de tag het slot open te laten gaan. Je moet bij de keuze voor zo’n systeem risico’s en voordelen tegen elkaar afwegen.

  5. Kosten zijn ook een belangrijk argument.

    Ik woon in een flat met zes afzonderlijke portieken. Het gebeurt regelmatig dat mijn metalen sleutel niet meer in de voordeur past omdat dronken lui uit de andere portiek met alle geweld naar binnen willen. Slotenmaker regelmatig voor de deur en iedere zoveel tijd alle cylinders vervangen.

    Onlang in de seniorenflat van mijn vader is het hoofdslot bij de ingang van de flat vervangen door een lezer. Iedere bewoner krijgt vijf badges. Da’s Brabant, hier in Rotterdam staan veel seniorenflats gedeeltelijk leeg. Soms worden niet-verhuurbare woningen gevuld met jongeren die kampen met gedrags- en verslavingsproblemen.

    Die voordeurbadge die ik van mijn vader heb, is van plastic. Lijkt niet op een sleutel, voelt niet als een sleutel. Het heeft zeker niet dezelfde emotionele waarde als een uniek stukje metaal. Een sleutel ben je zuinig op en kost vaak veel geld om te vervangen. In onze flat zijn ze 50 euro per stuk, een handvol fiches is toch anders.

    Als de badges eenmaal zijn uitgegeven is de besparing ingeboekt, de kosten komen in de jaren daarna. Ik heb weinig vertrouwen in een grote verhuurder die zorgvuldig alle badges blokkeert op de dag dat een huurder vertrekt. 50 Euro borg per stuk werkt ook niet, komt vroeger of later voor de rechter.

  6. Begin vorig jaar las ik een soortgelijk verhaal in The New York Times. Een ouder echtpaar wil niet verplicht worden een smartphone te gebruiken om hun appartement binnen te komen.

    https://www.nytimes.com/2019/03/23/nyregion/keyless-apartment-entry-nyc.html

    Ongetwijfeld speelt in de VS op de achtergrond mee dat de eigenaar de toegang tot de woning automatisch in kan trekken, b.v. als je de huur niet betaald hebt of ze je weg willen pesten voor herontwikkeling. Mag niet, kan wel en zie dan maar eens je gelijk te halen, zeker als de eigenaar de schuld legt bij de verkoper van het systeem.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS