Mag een appartementenbeheerder wel of niet mailadressen van bewoners aan de VVE geven?

Op Tweakers las ik:

Als bestuur van de VVE willen wij graag onze leden informeren. Hiervoor hebben we een Facebook pagina en diverse mededelingenborden in het complex. … Onze beheerder heeft alle emailadressen van onze leden in beheer. Allemaal via expliciet akkoord van ieder lid. So far so good. We hebben aan onze beheerder gevraagd of wij als bestuur die lijst ook kunnen gebruiken om onze leden te informeren. Beheerder says no. Want AVG.

Het doet inderdaad wat raar aan dat een beheerder -aangesteld door de VVE- beschikt over persoonsgegevens, en die dan niet zou mogen verstrekken aan de VVE zelf op grond van de privacywet. Maar ik zie zulke dingen vaak gebeuren, en er zitten meestal twee punten van onduidelijkheid in: (1) wie is ‘eigenaar’ van de gegevens en (2) wie heeft welke grondslag (en hoe ver strekt dat).

Wat eigendom betreft, dat is eigenlijk een foute term. Op data kan helemaal geen eigendom rusten. Je kunt die route dus niet gebruiken om te bepalen of iemand wel of niet iets mag doen. Werken met persoonsgegevens mag alleen als er een grondslag is, zoals toestemming of een wettelijke plicht.

Soms wordt de term ‘eigenaarschap’ gebruikt om te verwijzen naar de discussie over verantwoordelijke- en verwerkerschap. De verantwoordelijke is dan de ‘eigenaar’ van de gegevens, en de verwerker een uitvoerende partij. Door te communiceren dat die verwerker “geen eigenaar” is, onderstreep je die gezagsrelatie.

Ik zou in de meeste gevallen geneigd zijn die beheerder als verwerker aan te merken. Hij krijgt gegevens over de eigenaren/bewoners via de VVE met als doel het praktisch beheer van het appartementencomplex uit te voeren. De leden van de VVE informeren hoort daar bij, en dat dat met toestemming gebeurt is al helemaal netjes. Maar ik zie beheer van het complex als een taak van de VVE, en dus de VVE formeel als beslisser over hoe die taak wordt uitgevoerd. Daarmee is het de VVE die beslist welke persoonsgegevens nodig zijn, inclusief dus de keuze om per e-mail de leden te gaan informeren.

Vanuit dat perspectief is de beheerder dus gehouden die persoonsgegevens te verstrekken, omdat de verantwoordelijke beslist over wat er gebeurt. Dat hun softwaresysteem een export niet toestaat (zo lees ik in het topic) doet daar niet aan af. Dan is die software niet AVG-compliant.

De vervolgvraag is of het bestuur de leden mag mailen als ze die lijst te pakken hebben. Dat komt neer op welke grondslag ze daarvoor zouden hebben. Toestemming is er niet, want die is gegeven in de context van de beheersituatie – maandag komt de glazenwasser, wilt u geen fietsen in de hal zetten want de brandweer – en het bestuur wil de leden over andere kwesties informeren – 12 mei is de jaarvergadering, de servicekosten worden per 1 januari geïndexeerd, wie wil er secretaris worden. Tenzij de toestemmingsvraag daar nadrukkelijk rekening mee hield, kan het bestuur niet op die toestemming varen.

Zonder toestemming kom je bij de recente discussie over het mogen mailen van je leden. Ik denk dat dat wel mag als het duidelijk een belang heeft voor de vereniging en geen reclame is. De zaken die ik hierboven noemde, zoals de jaarvergadering of een oproep het bestuur in te gaan, lijken mij prima aan dat criterium te voldoen.

Binnen de grondslag van het legitiem eigen belang denk ik dat je als verenigingslid dergelijke mails gewoon te dulden hebt. Een afmeldmogelijkheid zou netjes zijn, maar hoeft niet. In ieder geval niet bij verenigingen van deze omvang, waar toch enige betrokkenheid bij het verenigingsleven vereist is omdat het gaat om een gezamenlijk appartementencomplex.

Arnoud

Mag een moderator privéberichten lezen op het forum?

phpbb-private-message-pb-bericht-inbox.pngEen lezer vroeg me:

Bij een forum waar ik lid van ben, is onlangs uitgekomen dat moderatoren privéberichten lezen. Dit naar aanleiding van een forumruzie waarbij de moderator zijn gelijk wilde halen. Je begrijpt dat dat nogal wat ruzie gaf, maar hoe zit dit juridisch? Wanneer mag dit, en moet het in de privacyverklaring staan of niet dat ze dit mogen?

Het lezen van privéberichten (private messages, PM, soms ook direct messages) is op veel forums een heikel punt. Beheerders vinden regelmatig dat ze dat mogen, op diverse gronden. En gebruikers vinden dat gewoonlijk een stevige schending van hun privacy.

Er geldt geen Grondwettelijk briefgeheim voor elektronische communicatie. Hier wordt al lang over gedebatteerd maar de Grondwet wijzigen is voor de politiek even een brug te ver.

Artikel 273d Strafrecht stelt het wederrechtelijk kennisnemen van privécommunicatie van gebruikers van een telecommunicatiedienst strafbaar. Echter, een internetforum is geen ’telecommunicatiedienst’ want dat vereist kort gezegd dat je zelf signalen (ISO level 3) routeert over kabels dan wel draadloos. En weinig forums hebben hun eigen backbone naar de gebruikers.

Dat wil niet zeggen dat het dús mag. Privacy bestaat ook op internet. Men mag niet zomaar iemands privacy schenden. ‘Zomaar’, want er zijn situaties denkbaar waarin het wel mag. Stel het forum werkt niet meer goed door veel te grote (of rare codes bevattende) privéberichten, dan mag de beheerder die lezen als dat nodig is om het probleem te verhelpen.

De gewekte verwachting is daarbij van groot belang. Zo hanteert Tweakers de term “direct message” in plaats van “private message” met de expliciete bedoeling duidelijk te maken dat die berichten niet privé zijn voor het beheer. Het idee is dat als je tegen iemand zegt “dit als privé eruitziend kanaal is niet privé”, ze dan hun privacy opgeven.

Ik twijfel of de Wet bescherming persoonsgegevens geldt op dit lezen. Het openklikken van een bericht vind ik niet echt passen bij ‘verwerken’, hoewel dat een zeer breed begrip is. Maar als je de wet breed leest, dan valt het eronder. En dat betekent toestemming of een dringende noodzaak voor het beheer.

Algemene voorwaarden en een privacyverklaring zullen hier weinig bij helpen. Aangezien mensen die niet lezen, en dat ook niet hoeven, kun je die niet gebruiken om privacygerelateerde toestemming te verkrijgen van mensen. Ook bij de dringende noodzaak zal dat weinig helpen. Die noodzaak moet in je privacyverklaring toegelicht zijn, maar het moet wel een noodzaak zijn. Een regel “Wij mogen elk bericht lezen op elk moment” in de privacyverklaring is niet genoeg om alles te rechtvaardigen onder dit kopje.

Meelezende moderatoren: wanneer lezen jullie privéberichten? En meelezende forummers: wat is jullie grootste horrorstory rond privéberichten?

Arnoud