Kan ik mijn provider dwingen mijn mailadres gereserveerd te houden als ik overstap?

| AE 11829 | Ondernemingsvrijheid | 13 reacties

Een lezer vroeg me:

Ik heb een e-mailadres bij mijn internetprovider. Kan ik bij een overstap naar een nieuwe internetprovider mijn vorige provider dwingen om mijn oude e-mailadres niet vrij te geven? Dit om te voorkomen dat iemand anders mijn oude e-mailadres registreert en bijvoorbeeld zich als mij voordoet of wachtwoordresets op mijn online accounts kan uitvoeren?

Er is wettelijk geen recht op emailadresportabiliteit, zoals dat er wel is met nummerportabiliteit. Bij 06-nummers heb je immers het recht die mee te nemen als je van provider overstapt.

Met enige regelmaat zie ik deze discussie opspelen bij de politiek. Er zou een wetswijziging voor nodig zijn, en dan is standaard het argument dat dat te weinig op zou leveren tegenover het gedoe dat je nodig hebt. Immers wie dat wil kan een provideronafhankelijk mailadres nemen (al is het maar Hotmail of Gmail) en veel hoeft dat niet te kosten. Als ondernemer zou je dus wel gek zijn om dat niet te doen.

De AVG lijkt voor mensen een nieuwe grond hiervoor te bieden: als ik mijn mailadres dan niet mag meenemen, dan kan ik toch zeker wel voorkomen dat iemand anders met míjn naam gaat mailen? Dat is immers mijn persoonsgegeven.

En ja, dat is natuurlijk zo. Maar als jij Jan de Vries heet, en zes maanden na je opzegging wil een andere heer de Vries dat mailadres, kun je dan echt nog zeggen dat het nog jouw adres is? Ik zou daar toch wel de nodige moeite mee voelen.

Natuurlijk zit er een zeker securityrisico aan het ‘achterlaten’ van je mailadres. Wachtwoordresets zijn achteraf mogelijk als een aanvaller daar de moeite voor neemt. Ik kan daar alleen maar op zeggen dat je dus moet zorgen dat je mailadres afgekoppeld wordt van je accounts wanneer je overstapt van provider.

Arnoud

Mag een appartementenbeheerder wel of niet mailadressen van bewoners aan de VVE geven?

| AE 11203 | Privacy | 26 reacties

Op Tweakers las ik:

Als bestuur van de VVE willen wij graag onze leden informeren. Hiervoor hebben we een Facebook pagina en diverse mededelingenborden in het complex. … Onze beheerder heeft alle emailadressen van onze leden in beheer. Allemaal via expliciet akkoord van ieder lid. So far so good. We hebben aan onze beheerder gevraagd of wij als bestuur die lijst ook kunnen gebruiken om onze leden te informeren. Beheerder says no. Want AVG.

Het doet inderdaad wat raar aan dat een beheerder -aangesteld door de VVE- beschikt over persoonsgegevens, en die dan niet zou mogen verstrekken aan de VVE zelf op grond van de privacywet. Maar ik zie zulke dingen vaak gebeuren, en er zitten meestal twee punten van onduidelijkheid in: (1) wie is ‘eigenaar’ van de gegevens en (2) wie heeft welke grondslag (en hoe ver strekt dat).

Wat eigendom betreft, dat is eigenlijk een foute term. Op data kan helemaal geen eigendom rusten. Je kunt die route dus niet gebruiken om te bepalen of iemand wel of niet iets mag doen. Werken met persoonsgegevens mag alleen als er een grondslag is, zoals toestemming of een wettelijke plicht.

Soms wordt de term ‘eigenaarschap’ gebruikt om te verwijzen naar de discussie over verantwoordelijke- en verwerkerschap. De verantwoordelijke is dan de ‘eigenaar’ van de gegevens, en de verwerker een uitvoerende partij. Door te communiceren dat die verwerker “geen eigenaar” is, onderstreep je die gezagsrelatie.

Ik zou in de meeste gevallen geneigd zijn die beheerder als verwerker aan te merken. Hij krijgt gegevens over de eigenaren/bewoners via de VVE met als doel het praktisch beheer van het appartementencomplex uit te voeren. De leden van de VVE informeren hoort daar bij, en dat dat met toestemming gebeurt is al helemaal netjes. Maar ik zie beheer van het complex als een taak van de VVE, en dus de VVE formeel als beslisser over hoe die taak wordt uitgevoerd. Daarmee is het de VVE die beslist welke persoonsgegevens nodig zijn, inclusief dus de keuze om per e-mail de leden te gaan informeren.

Vanuit dat perspectief is de beheerder dus gehouden die persoonsgegevens te verstrekken, omdat de verantwoordelijke beslist over wat er gebeurt. Dat hun softwaresysteem een export niet toestaat (zo lees ik in het topic) doet daar niet aan af. Dan is die software niet AVG-compliant.

De vervolgvraag is of het bestuur de leden mag mailen als ze die lijst te pakken hebben. Dat komt neer op welke grondslag ze daarvoor zouden hebben. Toestemming is er niet, want die is gegeven in de context van de beheersituatie – maandag komt de glazenwasser, wilt u geen fietsen in de hal zetten want de brandweer – en het bestuur wil de leden over andere kwesties informeren – 12 mei is de jaarvergadering, de servicekosten worden per 1 januari geïndexeerd, wie wil er secretaris worden. Tenzij de toestemmingsvraag daar nadrukkelijk rekening mee hield, kan het bestuur niet op die toestemming varen.

Zonder toestemming kom je bij de recente discussie over het mogen mailen van je leden. Ik denk dat dat wel mag als het duidelijk een belang heeft voor de vereniging en geen reclame is. De zaken die ik hierboven noemde, zoals de jaarvergadering of een oproep het bestuur in te gaan, lijken mij prima aan dat criterium te voldoen.

Binnen de grondslag van het legitiem eigen belang denk ik dat je als verenigingslid dergelijke mails gewoon te dulden hebt. Een afmeldmogelijkheid zou netjes zijn, maar hoeft niet. In ieder geval niet bij verenigingen van deze omvang, waar toch enige betrokkenheid bij het verenigingsleven vereist is omdat het gaat om een gezamenlijk appartementencomplex.

Arnoud