Het bestuur pakt zomaar mijn secretarismailbox af!

Een lezer vroeg me:

Toen ik lid van het bestuur van de VvE van mijn appartementencomplex, kreeg ik een bestuursmailadres met mijn functie. Onlangs heb ik mij terug getrokken als bestuurslid. Op de datum waarop het terugtreden officieel werd is het e-mailadres geblokkeerd. Er is mij geen gelegenheid gegeven het adres op te schonen, berichten te verwijderen, dingen te downloaden etc. Hoe kan ik afdwingen dat dit alsnog mogelijk wordt?
Ik zie niet echt mogelijkheden om dit voor elkaar te krijgen. Een mailbox die je krijgt om een bepaalde taak te vervullen, is verbonden met die taak, en ik zou het dan ook heel logisch vinden als die mailbox dan overgaat op de opvolger. Of dit nu gaat om een werknemer, een directeur of een bestuurslid van een vereniging of stichting, maakt daarbij voor mij niet uit.

Natuurlijk kunnen er privéberichten in zo’n mailbox zitten, zeker bij een vereniging kan ik me goed voorstellen dat je ook af en toe gewoon “babbelt” met leden of privézaken regelt terwijl je verenigingsdingen aan het doen bent. (Anno 2022 misschien iets minder sterk dan 2005, met iedereen toegang tot webmail of mail per smartphone, maar dat terzijde.) Maar als die er zijn, heeft de verantwoordelijke – hier het bestuur – dan de taak die te wissen op grond van de privacy. Niet om een kopie te maken voor het oude bestuurslid, werknemer et cetera.

In dit geval ging het om een functioneel mailadres, zeg even secretaris@vvenaam.nl. Dat kan natuurlijk ook een persoonsgebonden adres zijn, a.engelfriet@vvenaam.nl. Dat maakt voor mij niet uit in bovenstaande analyse. Hooguit sta je daarmee als bestuurder iets sterker in je argument dat je er privézaken mee mocht doen, het was immers “jouw” mailadres. Bij een functioneel mailadres vind ik een totaalverbod op privézaken verdedigbaar (mits expliciet gecommuniceerd, dat wel).

Primair zou bij een persoonsgebonden mailadres voortgezet gebruik niet aan de orde moeten zijn. De opvolger van secretaris Engelfriet is secretaris Van der Veen, maar die krijgt een apart mailadres natuurlijk. Dat geeft gedoe met de voortgang van het werk, maar dat is nou juist waar je functionele mailboxen voor hebt. Maar hoe dan ook, er is geen reden om de ex-secretaris nog toegang te geven tot de mailbox.

Arnoud

Mag de vereniging van eigenaren stemmen over inzet van camera’s van bewoners?

StockSnap / Pixabay

Maandag op de Rijdende Rechter:

De familie Schreurs ontdekt vlak na hun verhuizing een lekkage in hun gang. Ze willen dat de VVE onderzoek laat doen naar de oorzaak. Maar meerdere onderzoeken en twee en een half jaar verder is de oplossing nog niet gevonden. Intussen loopt de spanning op. De familie Schreurs voelt zich niet gehoord door de VVE en de VVE vindt dat ze alles hebben gedaan wat ze konden. Ze staan hierin lijnrecht tegenover elkaar. De lekkage is niet het enige pijnpunt in het complex. De overburen van de familie Schreurs hebben diverse camera’s opgehangen en ze willen dat de VVE de buren houdt aan het opgelegde verbod.
Kort en goed: een bewoner had een deurbelcamera opgehangen die de hele hal op die verdieping filmde, en kon deze vanaf zijn vakantieadres uitkijken. Daarnaast hingen er maar liefst drie camera’s in de berging, met uitzicht op de parkeerplaats van de auto van die bewoner. Dit naar aanleiding van incidenten waarbij tegen de deur geschopt zou zijn en de auto bekrast. Een begrijpelijke reactie, maar andere bewoners zitten er natuurlijk niet op te wachten om steeds gefilmd te worden.

Nou is er al enige duidelijkheid over cameratoezicht door de VvE: dat mag, mits goed gemotiveerd, goed beveiligd en goed geïnformeerd naar de leden. Ook mag alleen de openbare ruimte in het pand (hal, liften, trappenhuis, parkeerplaatsen etc) gefilmd worden. Maar hoe het zit met bewoners die zélf cameratoezicht houden, dat is lastiger.

De hoofdregel is volgens mij gewoon dezelfde als die voor huisbewoners: je mag alleen je eigen grond of pand filmen. Is de openbare weg onvermijdelijk (je voordeur kijkt uit op de stoep, je oprit grenst opzij aan de weg) dan mag je dat filmen maar zo beperkt mogelijk, dus inclusief softwarematig afschermen van de openbare ruimte waar dat kan. In een appartementencomplex een deurbel met camera ophangen kan dus, als je wilt weten wie er voor de deur staat. Maar niet zodanig dat de hele hal continu bekeken kan worden, want dan film je meer dan je eigen bezoek. (Je kunt je afvragen of het überhaupt nodig is, want bezoek moet beneden bij de voordeur aanbellen zodat je weet wie er komt. Maar als er veel passanten in het complex zijn, wellicht wel.)

De uitspraak van Mr Reid bevatte een interessante overweging: het is “voorbehouden aan de ALV om te beslissen of een dergelijk vergaande inbreuk op de privacy is toegestaan”. Het bestuur werd dus aangeraden zo snel mogelijk een ALV te organiseren waarop het punt “mogen leden camera’s op de hal/parkeerplaats richten” aan de orde zou komen. Dit is een slimme oplossing om draagvlak te creëren: als de ALV zegt dat het niet mag, dan is daarna handhaving eenvoudig mogelijk. En wil de ALV het wel, wellicht binnen zekere grenzen, dan is er kennelijk consensus en zou het dus geen problemen meer moeten geven. En omdat het gaat om camera’s die de gemeenschappelijke ruimte filmen, is de VvE bevoegd er regels over te stellen.

Het wil echter niet zeggen dat wanneer de VvE zegt “het mag”, het dus automatisch ook mag. Je moet nog steeds een grondslag hebben, een eigen rechtvaardiging waarom. Enkel “ik wil mijn auto niet bekrast hebben en het huishoudelijk reglement zegt dat camera’s niet verboden zijn” is nogal mager. Dus ik hoop dat de VvE zo verstandig is om een paar “indien noodzakelijk” of “als er geen andere opties zijn” in hun cameraclausule op te nemen.

Arnoud

 

Mag de VVE eisen dat alle bezoekers badges krijgen?

Een lezer vroeg me:

De VvE van het appartementencomplex waarin ik woon, maakt sinds kort gebruik van een beveiligingssysteem met toegangsbadges in plaats van sleutels. Iedere bewoner krijgt er eentje, en wie meer wil moet dat onder opgaaf van naam en adres van de beoogde verkrijger doen, plus waar de badge toegang toe moet geven (hoofddeur, parkeergarage, appartement etc). Maar kan een VvE bepalen wie ik wel of niet toegang wil verlenen tot het complex waarin ik woon?
Een VVE kan inderdaad samen afspreken hoe de beveiliging en toegangscontrole van het complex wordt geregeld. Ik snap de overstap van sleutels naar badges wel. Sleutels kunnen worden nagemaakt of raken kwijt, en dat levert gedoe op. Badges kun je intrekken.

Daarnaast kun je met badges veel fijnmaziger toegang regelen: wel de hoofdingang en de deur van appartement 3, maar verder niets. En je kunt zelfs bijhouden welke badge wanneer is gebruikt, wat handig is als er schade of andere ongeregeldheden zich hebben voorgedaan.

Daar staat tegenover dat dit middel een stuk privacy-invasiever is, precies omdat je in meer detail kunt nagaan wie (althans, welke badgehouder) waar en wanneer binnen of buiten ging. Omdat het hier gaat om elektronische registratie gekoppeld aan personen, is de AVG van toepassing. (De uitzondering voor huishoudelijk gebruik geldt niet bij een VVE die zélf dit regelt.)

De AVG eist natuurlijk een goede beveiliging: wie mag bij de gegevens, wie bepaalt wat er wordt vastgelegd, hoe wordt omgegaan met verlies, klachten en claims tot inzage. Maar minstens zo belangrijk is de noodzaak, want in gevallen als dit zul je je moeten beroepen op een legitiem belang en dat vereist een afweging van respectieve belangen.

Het voornaamste belang lijkt hier te zijn dat de VVE niet wil dat er sleutels gaan ‘rondzwerven’ (omdat bewoners kopieën uitreiken) of dat bewoners hun garage gaan verhuren aan derden door de sleutel uit te lenen. Dat belang zie ik, maar moet wel duidelijk en concreet aanwezig zijn. Als er dus problemen zijn geweest met onderverhuurde garages, dan zie ik deze stap wel. Enkel “het zou kunnen en dat willen wij niet” is niet genoeg.

Het doet wel wat raar aan dat de VVE naam en adres wil van de houders van de badges. Ik zou zeggen dat ik mijn moeder of de schoonmaker best zo’n badge moet kunnen geven, welke reden kan erop tegen zijn om deze frequente bezoekers met verdenking tegemoet te zien? En wat voegt het toe te weten waar deze mensen normaal wonen? Ik denk dat je dát niet kunt eisen als VVE.

Arnoud

Mag een appartementenbeheerder wel of niet mailadressen van bewoners aan de VVE geven?

Op Tweakers las ik:

Als bestuur van de VVE willen wij graag onze leden informeren. Hiervoor hebben we een Facebook pagina en diverse mededelingenborden in het complex. … Onze beheerder heeft alle emailadressen van onze leden in beheer. Allemaal via expliciet akkoord van ieder lid. So far so good. We hebben aan onze beheerder gevraagd of wij als bestuur die lijst ook kunnen gebruiken om onze leden te informeren. Beheerder says no. Want AVG.

Het doet inderdaad wat raar aan dat een beheerder -aangesteld door de VVE- beschikt over persoonsgegevens, en die dan niet zou mogen verstrekken aan de VVE zelf op grond van de privacywet. Maar ik zie zulke dingen vaak gebeuren, en er zitten meestal twee punten van onduidelijkheid in: (1) wie is ‘eigenaar’ van de gegevens en (2) wie heeft welke grondslag (en hoe ver strekt dat).

Wat eigendom betreft, dat is eigenlijk een foute term. Op data kan helemaal geen eigendom rusten. Je kunt die route dus niet gebruiken om te bepalen of iemand wel of niet iets mag doen. Werken met persoonsgegevens mag alleen als er een grondslag is, zoals toestemming of een wettelijke plicht.

Soms wordt de term ‘eigenaarschap’ gebruikt om te verwijzen naar de discussie over verantwoordelijke- en verwerkerschap. De verantwoordelijke is dan de ‘eigenaar’ van de gegevens, en de verwerker een uitvoerende partij. Door te communiceren dat die verwerker “geen eigenaar” is, onderstreep je die gezagsrelatie.

Ik zou in de meeste gevallen geneigd zijn die beheerder als verwerker aan te merken. Hij krijgt gegevens over de eigenaren/bewoners via de VVE met als doel het praktisch beheer van het appartementencomplex uit te voeren. De leden van de VVE informeren hoort daar bij, en dat dat met toestemming gebeurt is al helemaal netjes. Maar ik zie beheer van het complex als een taak van de VVE, en dus de VVE formeel als beslisser over hoe die taak wordt uitgevoerd. Daarmee is het de VVE die beslist welke persoonsgegevens nodig zijn, inclusief dus de keuze om per e-mail de leden te gaan informeren.

Vanuit dat perspectief is de beheerder dus gehouden die persoonsgegevens te verstrekken, omdat de verantwoordelijke beslist over wat er gebeurt. Dat hun softwaresysteem een export niet toestaat (zo lees ik in het topic) doet daar niet aan af. Dan is die software niet AVG-compliant.

De vervolgvraag is of het bestuur de leden mag mailen als ze die lijst te pakken hebben. Dat komt neer op welke grondslag ze daarvoor zouden hebben. Toestemming is er niet, want die is gegeven in de context van de beheersituatie – maandag komt de glazenwasser, wilt u geen fietsen in de hal zetten want de brandweer – en het bestuur wil de leden over andere kwesties informeren – 12 mei is de jaarvergadering, de servicekosten worden per 1 januari geïndexeerd, wie wil er secretaris worden. Tenzij de toestemmingsvraag daar nadrukkelijk rekening mee hield, kan het bestuur niet op die toestemming varen.

Zonder toestemming kom je bij de recente discussie over het mogen mailen van je leden. Ik denk dat dat wel mag als het duidelijk een belang heeft voor de vereniging en geen reclame is. De zaken die ik hierboven noemde, zoals de jaarvergadering of een oproep het bestuur in te gaan, lijken mij prima aan dat criterium te voldoen.

Binnen de grondslag van het legitiem eigen belang denk ik dat je als verenigingslid dergelijke mails gewoon te dulden hebt. Een afmeldmogelijkheid zou netjes zijn, maar hoeft niet. In ieder geval niet bij verenigingen van deze omvang, waar toch enige betrokkenheid bij het verenigingsleven vereist is omdat het gaat om een gezamenlijk appartementencomplex.

Arnoud