14 - 02 - 22

Resultaten AVG-onderzoek

In mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. Elke organisatie die persoonsgegevens bijhoudt en verwerkt, moet beschikken over een privacyreglement en een verwerkingsovereenkomst. Dat geldt dus ook voor de VvE. Hebt u zo’n overeenkomst nog niet? Dan riskeert u een boete van de Autoriteit Persoonsgegevens.

Negen van de tien VvE’s weten dat ze moeten voldoen aan de bepalingen in de AVG. Dat blijkt uit onderzoek dat VvE Belang heeft uitgevoerd onder meer dan 1050 VvE’s. Echter: nog niet de helft van alle VvE’s heeft een privacyreglement. Bijna driekwart heeft geen verwerkingsovereenkomst met externe partijen. Dat is wel verplicht! In de verwerkingsovereenkomst (ook wel bewerkingsovereenkomst genoemd) staat waarvoor de persoonsgegevens worden opgeslagen en welke veiligheidsmaatregelen worden getroffen om te voldoen aan de privacyregels. Dat is de zogenaamde protectieplicht.

De AVG

De AVG (ook wel bekend als GDPR) is een Europese verordening en heeft rechtstreekse werking. Dit betekent dat de regels uit deze verordening voor iedereen in Nederland gelden. Ook voor VvE’s.

De AVG geldt voor alle organisaties – dus ook voor VvE’s – die persoonsgegevens van personen verwerken. Daarbij kunt u denken aan zaken als een eigenaars- en gebruikersregister, met daarin bijvoorbeeld gegevens over naam, adres, woonplaats en e-mailadres. De Autoriteit Persoonsgegevens (AP) houdt in Nederland toezicht op het gebruik van persoonsgegevens.

De AVG zorgt met name voor:

  • een versterking en uitbreiding van privacyrechten van personen
  • meer verplichtingen voor organisaties
  • dezelfde bevoegdheden voor alle Europese privacytoezichthouders.
Privacyrechten van personen

Mensen hebben dankzij de AVG meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. De privacyrechten zijn versterkt en uitgebreid.

De volgende rechten van personen zijn in de AVG opgenomen: het recht op informatie, het recht op inzage, het recht op correctie, het recht op gegevenswissing (recht op vergetelheid), het recht op beperking van de verwerking van persoonsgegevens en het recht om niet te worden onderworpen aan volledig geautomatiseerde besluiten (waaronder profilering).

Nieuwe rechten

Het recht op dataportabiliteit (overdraagbaarheid) betekent dat een persoon de gegevens die een organisatie van hem of haar heeft, gemakkelijk moeten kunnen opvragen. Deze organisatie moet deze gegevens ook kunnen doorgeven aan een andere organisatie als deze persoon dat wil.

Hebt u een klacht over de wijze waarop met uw gegevens wordt omgegaan? Meld die bij de AP.

  • Verplichtingen voor organisties

    Organisaties die persoonsgegevens verwerken, hebben op grond van de AVG meer verplichtingen. Er wordt meer nadruk gelegd op de verantwoordelijkheid die u als organisatie zelf hebt. U hebt dus een verantwoordingsplicht. Daarnaast hebt u een protectieplicht. Die houdt in dat u zorgvuldig met persoonsgegevens dient om te gaan.

  • Boete?

    Als een organisatie een van de beginselen of grondslagen van de AVG overtreedt of in strijd handelt met een van de privacyrechten van personen van wie de organisatie gegevens verwerkt, dan kan de AP een boete opleggen. Meestal zal eerst een waarschuwing worden gegeven.

  • Documentatieplicht

    U moet een administratie gaan bijhouden van al uw verwerkingsactiviteiten. Die administratie moet u op verzoek kunnen overhandigen aan de toezichthouder (de Autoriteit Persoonsgegevens). U moet onder andere registreren welke gegevens u verwerkt, met welk doel u dit doet, hoe lang u de gegevens bewaart en welke beveiligingsmaatregelen u hebt genomen. Zo kunt u aantonen dat u de juiste maatregelen hebt genomen om u aan de wet te houden.

  • Afspraken met de verwerker van persoonsgegevens

    Laat u de persoonsgegevens door een derde verwerken (de verwerker; bijvoorbeeld de beheerder) dan bent u verplicht om een verwerkersovereenkomst met deze derde af te sluiten. Een verwerkersovereenkomst wordt ook wel een bewerkersovereenkomst genoemd. In deze overeenkomst wordt onder andere vastgelegd waarvoor de persoonsgegevens mogen worden verwerkt. Maar ook staat erin welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen.

Meldplicht datalek

Een datalek moet u zo snel mogelijk (binnen 72 uur) melden aan de Autoriteit Persoonsgegevens. Het gaat om elk datalek dat resulteert in een aanzienlijke kans op aantasting van de bescherming van persoonsgegevens. Of dat ernstige nadelige gevolgen heeft voor die persoonsgegevens. Als het waarschijnlijk is dat het datalek ook resulteert in ongunstige gevolgen voor de privacy van de betrokkene, dan moet deze ook op de hoogte worden gesteld. De verwerkingsverantwoordelijke moet een overzicht bijhouden van datalekken die al eerder zijn voorgevallen.

Hulp nodig icon

Hulp nodig?

Heeft u hulp nodig? Ga dan voor meer informatie naar onze helpdesk pagina. Onze helpdesk is er voor al uw vraagstukken m.b.t. Juridische, Bouwkundige en Energie vragen.

Naar de helpdesk

Ontvang elke maand de nieuwste artikelen in je mailbox