Inmiddels is ruim een half jaar verstreken na het inwerking treden van de AVG (Algemene Verordening Gegevensbescherming). Wij merken in de praktijk dat over een aantal aspecten nog onduidelijkheid heerst bij VvE’s en VvE-beheerders.
Allereerst is het goed te beseffen dat de regels in de (Europese) AVG, niet zoveel verschillen met de regels destijds in de (nationale) Wet bescherming persoonsgegevens (Wbp). Het doel van de AVG is onder meer om binnen de Europese Unie dezelfde regels te laten gelden ten aanzien van de bescherming van persoonsgegevens, zodat niet elke lidstaat zijn eigen wet heeft op dat gebied. Daar waar diverse partijen soms behoorlijk krampachtig omgaan met het verstrekken van persoonsgegevens, lijkt dat het doel van de AVG voorbij te schieten.
Het eerste onderwerp waarover veel discussie lijkt te bestaan is het verschil tussen verwerker en verwerkingsverantwoordelijke. Uit een recente uitspraak van het (Europese) Hof van Justitie volgt dat een partij reeds als verwerkingsverantwoordelijke wordt aangemerkt als invloed wordt uitgeoefend op de verwerking van persoonsgegevens. Bij gezamenlijke verantwoordelijkheid hoeft geen sprake te zijn van een gelijkwaardige verantwoordelijkheid ten aanzien van de verwerking van persoonsgegevens. Dit is onder meer de reden waarom wij van oordeel waren en zijn dat een VvE-beheerder en een VvE in veel gevallen gezamenlijke verwerkingsverantwoordelijken zijn.
Het tweede onderwerp waarover niet zozeer veel discussie bestaat, maar wel onduidelijkheid, is in welk geval een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens (AP). Een inbreuk in verband met persoonsgegevens moet gemeld worden binnen 72 uur nadat de verwerkingsverantwoordelijke daarvan kennis heeft genomen, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De vraag wanneer een risico niet waarschijnlijk is, laat zich niet zonder meer beantwoorden. Recent heeft de AP een boete van € 600.000,- opgelegd aan taxidienst Uber vanwege het niet melden van een datalek. Onbevoegden hadden via uitgelekte gebruikersnamen en wachtwoorden, toegang tot onder meer nummers van rijbewijzen, bankgegevens, locatiegegevens van inschrijving, mobiele nummers en e-mailadressen. Een wezenlijk datalek zoals in dit geval, dient dus gemeld te worden bij de AP.
Rijssenbeek Advocaten verzorgt met enige regelmaat AVG-cursussen voor VvE’s en VvE-beheerders. Als u interesse heeft, neem dan contact op met ons.