Op Tweakers las ik:
Als bestuur van de VVE willen wij graag onze leden informeren. Hiervoor hebben we een Facebook pagina en diverse mededelingenborden in het complex. … Onze beheerder heeft alle emailadressen van onze leden in beheer. Allemaal via expliciet akkoord van ieder lid. So far so good. We hebben aan onze beheerder gevraagd of wij als bestuur die lijst ook kunnen gebruiken om onze leden te informeren. Beheerder says no. Want AVG.
Het doet inderdaad wat raar aan dat een beheerder -aangesteld door de VVE- beschikt over persoonsgegevens, en die dan niet zou mogen verstrekken aan de VVE zelf op grond van de privacywet. Maar ik zie zulke dingen vaak gebeuren, en er zitten meestal twee punten van onduidelijkheid in: (1) wie is ‘eigenaar’ van de gegevens en (2) wie heeft welke grondslag (en hoe ver strekt dat).
Wat eigendom betreft, dat is eigenlijk een foute term. Op data kan helemaal geen eigendom rusten. Je kunt die route dus niet gebruiken om te bepalen of iemand wel of niet iets mag doen. Werken met persoonsgegevens mag alleen als er een grondslag is, zoals toestemming of een wettelijke plicht.
Soms wordt de term ‘eigenaarschap’ gebruikt om te verwijzen naar de discussie over verantwoordelijke- en verwerkerschap. De verantwoordelijke is dan de ‘eigenaar’ van de gegevens, en de verwerker een uitvoerende partij. Door te communiceren dat die verwerker “geen eigenaar” is, onderstreep je die gezagsrelatie.
Ik zou in de meeste gevallen geneigd zijn die beheerder als verwerker aan te merken. Hij krijgt gegevens over de eigenaren/bewoners via de VVE met als doel het praktisch beheer van het appartementencomplex uit te voeren. De leden van de VVE informeren hoort daar bij, en dat dat met toestemming gebeurt is al helemaal netjes. Maar ik zie beheer van het complex als een taak van de VVE, en dus de VVE formeel als beslisser over hoe die taak wordt uitgevoerd. Daarmee is het de VVE die beslist welke persoonsgegevens nodig zijn, inclusief dus de keuze om per e-mail de leden te gaan informeren.
Vanuit dat perspectief is de beheerder dus gehouden die persoonsgegevens te verstrekken, omdat de verantwoordelijke beslist over wat er gebeurt. Dat hun softwaresysteem een export niet toestaat (zo lees ik in het topic) doet daar niet aan af. Dan is die software niet AVG-compliant.
De vervolgvraag is of het bestuur de leden mag mailen als ze die lijst te pakken hebben. Dat komt neer op welke grondslag ze daarvoor zouden hebben. Toestemming is er niet, want die is gegeven in de context van de beheersituatie – maandag komt de glazenwasser, wilt u geen fietsen in de hal zetten want de brandweer – en het bestuur wil de leden over andere kwesties informeren – 12 mei is de jaarvergadering, de servicekosten worden per 1 januari geïndexeerd, wie wil er secretaris worden. Tenzij de toestemmingsvraag daar nadrukkelijk rekening mee hield, kan het bestuur niet op die toestemming varen.
Zonder toestemming kom je bij de recente discussie over het mogen mailen van je leden. Ik denk dat dat wel mag als het duidelijk een belang heeft voor de vereniging en geen reclame is. De zaken die ik hierboven noemde, zoals de jaarvergadering of een oproep het bestuur in te gaan, lijken mij prima aan dat criterium te voldoen.
Binnen de grondslag van het legitiem eigen belang denk ik dat je als verenigingslid dergelijke mails gewoon te dulden hebt. Een afmeldmogelijkheid zou netjes zijn, maar hoeft niet. In ieder geval niet bij verenigingen van deze omvang, waar toch enige betrokkenheid bij het verenigingsleven vereist is omdat het gaat om een gezamenlijk appartementencomplex.
Arnoud