Joris DeeneWanneer een syndicus persoonsgegevens van mede-eigenaars deelt, rijst vaak de vraag wie de eindverantwoordelijkheid draagt onder de Algemene Verordening Gegevensbescherming (AVG/GDPR). Het antwoord is verrassend eenduidig: in de meeste gevallen treedt de syndicus louter op als verwerker, terwijl de vereniging van mede-eigenaars (VME) als verwerkingsverantwoordelijke fungeert. Dit betekent dat klachten over schendingen van het gegevensbeschermingsrecht bij het uitvoeren van beslissingen van de algemene vergadering zich in de eerste plaats tegen de VME moeten richten, en niet tegen de syndicus persoonlijk.
De feiten
In een recente zaak voor de Gegevensbeschermingsautoriteit (GBA) had een syndicus een e-mail verstuurd naar alle bewoners van een residentie. Als bijlage bij deze e-mail zat een ontwerp tot wijziging van de basisakte van het gebouw.
Dit document bevatte echter zeer gedetailleerde persoonsgegevens van een van de mede-eigenaars, waaronder de volledige naam, geboortedatum, geboorteplaats, het rijksregisternummer, adres, burgerlijke staat en de datum, locatie en het stelsel van het huwelijk. De eigenares diende hierop een klacht in tegen de syndicus wegens inbreuken op diverse bepalingen van de AVG, waaronder de beginselen van minimale gegevensverwerking, integriteit en vertrouwelijkheid.
De beslissing en de regelgeving
De Geschillenkamer van de GBA diende in een beslissing van 4 maart 2026 (nr. 43/2026) te oordelen of de syndicus in deze context de “verwerkingsverantwoordelijke” was in de zin van artikel 4.7 van de AVG.
De GBA oordeelde van niet en besloot de klacht te seponeren op grond van artikel 100, § 1, 1° van de Wet tot oprichting van de Gegevensbeschermingsautoriteit. Volgens de toezichthouder bepaalt de syndicus niet het doel van en de middelen voor de verwerking van de gegevens, maar is hij slechts een uitvoerend orgaan van de vereniging van mede-eigenaars. Omdat de algemene vergadering had beslist dat het nieuwe ontwerp van de basisakte ter goedkeuring aan de eigenaars moest worden voorgelegd, lag de beslissingsbevoegdheid volledig bij de VME. De verplichtingen uit de AVG die de klaagster inriep (onder meer de artikelen 5, 6, 24, 25, 33 en 34), gelden uitsluitend voor de verwerkingsverantwoordelijke en zijn dus niet tegenstelbaar aan de syndicus.
Juridische analyse en duiding
Deze beslissing bevestigt een raakvlak tussen het goederenrecht en het gegevensbeschermingsrecht. Overeenkomstig artikel 3.89, § 5, 1° van het Burgerlijk Wetboek behoort het tot de dwingende wettelijke opdracht van de syndicus om de beslissingen van de algemene vergadering uit te voeren en te laten uitvoeren. Dit wettelijk mandaat zorgt ervoor dat de syndicus de facto slechts een uitvoerende macht heeft ten aanzien van de algemene vergadering, hetgeen hem in de terminologie van de AVG reduceert tot een verwerker.
De Geschillenkamer baseert zich hiervoor expliciet op de richtsnoeren van de European Data Protection Board (EDPB) en op een historisch advies (nr. 22/2008) van de voormalige Commissie voor de bescherming van de persoonlijke levenssfeer. Zolang een verwerker niet buiten of in strijd met de rechtmatige instructies van de verantwoordelijke handelt, kan hij niet worden aangesproken voor inbreuken op algemene AVG-verplichtingen die specifiek en exclusief aan de verantwoordelijke zijn gericht. De uitspraak vrijwaart de syndicus van een objectieve aansprakelijkheid voor gegevensverwerkingen waarvan de finaliteit op het niveau van de VME is vastgelegd.
Wat dit concreet betekent
- Voor de vereniging van mede-eigenaars (VME): De VME draagt de beslissingsbevoegdheid over de doeleinden en middelen van de verwerking en is dus de eindverantwoordelijke voor de bescherming van persoonsgegevens binnen het beheer van het gebouw. Zij moet erop toezien dat beslissingen (zoals het rondsturen van een basisakte) in overeenstemming zijn met de gegevensbeschermingswetgeving, inclusief de verplichting tot dataminimalisatie.
- Voor de syndicus: Als syndicus geniet u bescherming tegen rechtstreekse AVG-klachten over algemene verplichtingen, zolang u handelt conform de overeenkomst met de VME en uitsluitend de instructies van de algemene vergadering uitvoert. U treedt op als verwerker, wat betekent dat het opzetten van een correcte verwerkersovereenkomst en het geven van proactief advies aan de VME sterk aanbevolen is.
- Voor de mede-eigenaar: Wie meent het slachtoffer te zijn van een onrechtmatige verwerking van persoonsgegevens door toedoen van de vereniging, moet in de regel de VME in gebreke stellen, en niet de syndicus. Een klacht tegen de syndicus kan enkel slagen als aangetoond wordt dat hij buiten zijn mandaat of in strijd met de rechtmatige instructies heeft gehandeld.
Veelgestelde vragen (FAQ)
Wie is de verwerkingsverantwoordelijke in een appartementsgebouw?
In het beheer van een appartementsgebouw wordt de vereniging van mede-eigenaars (VME) beschouwd als de verwerkingsverantwoordelijke, omdat zij de bevoegdheid heeft om het doel van en de middelen voor de verwerking van persoonsgegevens vast te stellen.
Kan ik als eigenaar de syndicus aanklagen voor schending van het gegevensbeschermingsrecht?
U kunt de syndicus meestal niet rechtstreeks aanspreken voor inbreuken op de algemene AVG-verplichtingen. De syndicus is veelal een uitvoerend orgaan (een verwerker). Bepaalde AVG-bepalingen (zoals dataminimalisatie en meldplicht bij datalekken) gelden ten aanzien van de verwerkingsverantwoordelijke en zijn niet tegenstelbaar aan de verwerker.
Wanneer is een syndicus wel persoonlijk aansprakelijk onder de AVG?
Een syndicus is slechts aansprakelijk voor schade door verwerking wanneer hij zich niet houdt aan de verplichtingen die de AVG specifiek aan verwerkers oplegt, of wanneer hij handelt buiten of in strijd met de rechtmatige instructies van de VME.
Conclusie
De strikte scheidingslijn tussen de verantwoordelijkheden van de syndicus als uitvoerder en de VME als beslissingsorgaan is fundamenteel voor een correcte toepassing van de AVG binnen het appartementsrecht. Een foutieve identificatie van de verwerkingsverantwoordelijke leidt tot het seponeren van de klacht.
Dutch 
English