, 20 februari 2019

AVG voor afrekenbedrijven in relatie met VvE’s en VvE-beheerders

AVG voor afrekenbedrijven in relatie met VvE’s en VvE-beheerders

Sinds de invoering van de AVG ontvangen afrekenbedrijven verschillende verwerkingsovereenkomsten van VvE-beheerders en VvE’s, waardoor verwarring is ontstaan. Welke overeenkomst is nu goed? Zo worden afrekenbedrijven in de verwerkingsovereenkomst verwerker of juist sub-verwerker genoemd. Dit heeft voornamelijk te maken met de juridische hoedanigheid van de VvE-beheerder op grond van de AVG. Zo ziet een aantal VvE-beheerders zichzelf als een verwerkingsverantwoordelijke in de zin van de AVG, met als gevolg dat afrekenbedrijven ‘verwerker’ worden genoemd in de verwerkingsovereenkomst.  Anderen zien zichzelf juist als een ‘verwerker’ in de zin van de AVG, met het gevolg dat afrekenbedrijven sub-verwerker worden genoemd in de verwerkingsovereenkomst. Ook komt het voor dat een VvE geen gebruik maakt van een externe VvE-beheerder, waarbij de VvE rechtstreeks een verwerkingsovereenkomst aan een afrekenbedrijf toezendt. In deze overeenkomst ziet de VvE zichzelf als verwerkingsverantwoordelijke en het afrekenbedrijf als verwerker.

Om  verwarring en onduidelijkheid over de te sluiten verwerkingsovereenkomst weg te nemen, hebben wij in dit artikel uiteengezet waar partijen in elk geval rekening mee dienen te houden en welke verwerkingsovereenkomsten conform de AVG met de afrekenbedrijven moeten worden gesloten.

Wie is de verwerkingsverantwoordelijke en wie is de (sub)verwerker in de zin van de AVG?

Verwerkingsverantwoordelijke

Een verwerkingsverantwoordelijke stelt zelf of samen met anderen het doel en de middelen voor een verwerking vast. Onder het begrip ‘middelen’ vallen zowel technische als organisatorische middelen. Technische middelen gaan bijvoorbeeld over de soft- en hardware die gebruikt worden om persoonsgegevens op te slaan en de organisatorische middelen over de beveiligingsmaatregelen en bedrijfsprocessen. Los hiervan is een organisatie tevens een verwerkingsverantwoordelijke indien uit de praktijk blijkt dat zij enige feitelijke invloed heeft op de vaststelling van het doel en de middelen.

Individueel verantwoordelijk of gezamenlijk verantwoordelijk

Wanneer sprake is van twee of meer verwerkingsverantwoordelijken, waarbij de doelen en middelen voor de verwerkingen samen worden vastgesteld, dan spreekt de AVG over een gezamenlijke verantwoordelijkheid. Daarbij is het van belang dat de gezamenlijke verwerkingsverantwoordelijken met het verwerken van persoonsgegevens een gezamenlijk doel nastreven door gebruikmaking van gezamenlijk vastgestelde middelen. In een dergelijk geval dienen de gezamenlijke verantwoordelijken op grond van artikel 26 AVG op een transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van de AVG vast te leggen, met name met betrekking tot de uitoefening van de rechten van de betrokkenen. Daarbij dient de rolverdeling duidelijk te zijn met betrekking tot bijvoorbeeld wie de datalekken zal melden bij de Autoriteit Persoonsgegevens en bij wie betrokkenen terecht kunnen voor het uitoefenen van hun rechten. Dit kan in een vorm van een overeenkomst, maar ook kan worden gekozen om de bepalingen hieromtrent in de algemene voorwaarden op te nemen.

Verwerker
De verwerker bepaalt niet zelf het doel voor de verwerking, maar bepaalt in veel gevallen wél zelf de middelen. Het verwerken van persoonsgegevens valt onder de hoofdwerkzaamheden van de verwerker. Dit betekent dat het verwerken van persoonsgegevens een primaire opdracht is en dus niet voortvloeit uit de dienst die een organisatie levert. Verder mag een verwerker geen eigen doel nastreven door het verwerken van persoonsgegevens: denk hierbij bijvoorbeeld aan het versturen van nieuwsbrieven of verwerkingen doen met betrekking tot de marketing van de organisatie. Indien dit wel gebeurt, dan is uw organisatie voor dat deel in ieder geval verwerkingsverantwoordelijke en aldus geen verwerker.

Wanneer een verwerkingsverantwoordelijke een verwerker inschakelt om persoonsgegevens namens de verwerkingsverantwoordelijke te verwerken, dient hij op grond van artikel 28 lid 3 AVG de regels inzake de eventuele verwerkingen vast te stellen in een overeenkomst of andere rechtshandeling (die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt). Dit betekent dat partijen niet verplicht zijn een verwerkersovereenkomst aan te gaan. De vereiste bepalingen en onderwerpen kunnen bijvoorbeeld tevens in de algemene voorwaarden van partijen worden opgenomen.

Sub-verwerker
Een sub-verwerker wordt – met voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke – ingeschakeld door een verwerker. Deze sub-verwerker verwerkt persoonsgegevens in opdracht van de verwerker. De verwerker legt aan een sub-verwerker, in een sub-verwerkersovereenkomst, dezelfde verplichtingen op als die de verwerker richting verwerkingsverantwoordelijke heeft. Komt een sub-verwerker bijvoorbeeld zijn verplichtingen niet na, dan blijft de verwerker volledig aansprakelijk richting de verwerkingsverantwoordelijke voor het nakomen van de verplichtingen van de sub-verwerker (artikel 28 lid 4 AVG).

Welke juridische hoedanigheid hebben afrekenbedrijven in de zin van de AVG?

De hoofddiensten van afrekenbedrijven bestaan uit het uitlezen van meters in woningen, het houden van controle op het meetsysteem en het maken van (eind)afrekeningen voor energiekosten per bewoner. De opdrachtgever en bewoners kunnen in het portal inloggen om meterstanden en afrekeningen in te zien. De gegevens die voor deze werkzaamheden worden verwerkt, zijn in de meeste gevallen te herleiden naar een natuurlijk persoon, wat betekent dat deze gegevens persoonsgegevens betreffen.

Bij al deze werkzaamheden behoort het verwerken van persoonsgegevens tot de hoofdwerkzaamheden. Dit betekent dat ‘het verwerken van persoonsgegevens’ geen bijkomstigheid is bij de dienstverlening. Deze persoonsgegevens worden verwerkt ten behoeve van de VvE’s. Het doel voor de verwerking wordt bepaald door de opdrachtgever (VvE’s of VvE-beheerders) uit hoofde van de Warmtewet, de splitsingsakte en/of de beheerovereenkomst van de VvE. De middelen worden echter samen bepaald, omdat de opdrachtgever een keuze kan maken voor de te gebruiken technische middelen, zoals het soort meters en wat de eindafrekening in hoofdlijnen dient te bevatten. De beschikbare software waarmee persoonsgegevens worden verwerkt, worden doorgaans door de afrekenbedrijven zelf bepaald.

Nu de doelen door de opdrachtgever (VvE-beheerder of de VvE) zelf worden bepaald en de middelen door afrekenbedrijven en door de VvE’s worden bepaald, dienen afrekenbedrijven voor de voornoemde werkzaamheden te worden gezien als een verwerker in de zin van de AVG.

Dit geldt tevens wanneer gebruik wordt gemaakt van een extra service, zoals het cash management. Ook daarbij worden namelijk hoofdzakelijk persoonsgegevens verwerkt. Voor wat betreft het vaststellen van het doel en de middelen daarvan, is van belang om te weten dat de verwerkingsverantwoordelijke, de opdrachtgever, het doel zelf en de middelen (technisch en organisatorisch) samen met het afrekenbedrijf vaststelt. Het doel voor het incasseren van stookkosten volgt namelijk uit de splitsingsakte van de VvE en/of de beheerovereenkomst die de beheerder met de VvE is aangegaan alsmede de Warmtewet. De middelen worden samen bepaald. De technische middelen worden doorgaans door de afrekenbedrijven bepaald. Denk daarbij aan de software die voor het verwerken van persoonsgegevens wordt gebruikt. De organisatorische middelen worden hier samen bepaald. Hierbij kan worden gedacht aan welke persoonsgegevens in elk geval moeten worden verwerkt en op welke wijze incasso/cash management dient te geschieden op grond van de splitsingsakte van de VvE. De opdrachtgever (VvE of VvE-beheerder) geeft aan hoe en dus op welke wijze de stookkosten (bijvoorbeeld op grond van de splitsingsakte) dienen te worden geïnd.

Welke overeenkomst dient te worden aangegaan?

Voorbeeld 1: VvE is verantwoordelijk en de VvE beheerder is verwerker. De VvE beheerder geeft ten behoeve van de VvE een afrekenbedrijf opdracht tot energie afrekening en (eventueel de opdracht tot het incasseren van de achterstanden)

Wanneer een verwerking ten behoeve van een VvE wordt verricht, dienen daarvoor afspraken te worden gemaakt met de verwerker. Dit kan in een hoofdovereenkomst, algemene voorwaarden van partijen of in een aparte overeenkomst die ook wel verwerkersovereenkomst wordt genoemd. In dit voorbeeld is de VvE-beheerder op grond van de verwerkersovereenkomst die met de VvE is aangegaan, een verwerker in de zin van de AVG. Wanneer de VvE-beheerder de afrekening van stookkosten – vanwege gebrek aan middelen – door een afrekenbedrijf laat oppakken, waarbij uiteraard persoonsgegevens door het afrekenbedrijf moeten worden verwerkt, dan wordt het afrekenbedrijf gezien als ‘sub-verwerker’ en wordt een sub-verwerkersovereenkomst ondertekend. Komt een afrekenbedrijf zijn verplichtingen uit deze overeenkomst niet na, dan blijft de VvE-beheerder volledig aansprakelijk richting de verwerkingsverantwoordelijke voor het nakomen van de verplichtingen van het afrekenbedrijf.

Voorbeeld 2: VvE en de VvE beheerder zijn samen verwerkingsverantwoordelijke en geven in die hoedanigheid een afrekenbedrijf opdracht tot energie afrekening en (eventueel de opdracht tot het incasseren van de achterstanden)

Wanneer de VvE-beheerder op grond van de beheerovereenkomst die met de VvE is aangegaan, de afrekening van stookkosten door een afrekenbedrijf laat verrichten, waarbij uiteraard persoonsgegevens worden verwerkt, dan wordt het afrekenbedrijf gezien als ‘verwerker’ en wordt er een verwerkersovereenkomst ondertekend.

Voorbeeld 3: VvE is verantwoordelijke en geeft een afrekenbedrijf opdracht tot energie afrekening en (eventueel de opdracht tot het incasseren van de achterstanden)

Wanneer de VvE de afrekening van stookkosten – vanwege gebrek aan middelen – door een afrekenbedrijf laat oppakken, waarbij uiteraard persoonsgegevens van bewoners worden verwerkt, dan wordt het afrekenbedrijf gezien als ‘verwerker’ en wordt er een verwerkersovereenkomst ondertekend.

zonnepanelen
Lees ook

Hoe besluit uw VvE tot verduurzaming?

Veel VvE’s houden zich bezig met verduurzaming van het appartementengebouw. Denk bijvoorbeeld aan zonnepanelen, isolatiemaatregelen en/of een warmtepomp. Naast all...

Lees volledig bericht