Vragen en antwoorden webinar AVG

0

Op 15 mei gaven  Karin Smit (privacy consultant bij DPO Network) en Tony Stam (directeur Huismerk) tijdens de Hypotheek Businessclub Break alvast een goede voorbereiding rondom de nieuwe privacywetgeving AVG welke op 25 mei van kracht gaat. Naar aanleiding van dit webinar kwamen vele aanvullende vragen binnen van kijkers. Een aantal van die vragen, én de antwoorden, willen we u niet onthouden.

Tijdens het webinar gaven Smit en Stam praktische tips voor advieskantoren. Zij behandelen thema’s als het verwerkingsregister, de datalek procedure en de verwerkersovereenkomst.

Klik hier om het webinar (terug) te bekijken

Vraag 1

In het kader van de AVG is het verboden voor hypotheekadviseurs om BSN-nummers op te slaan/te verwerken. Nu hebben banken het BSN-nummer van onze klanten wel nodig om een hypotheek te kunnen verstrekken. Hoe krijgen we deze situatie werkbaar?

Antwoord

Dat is inderdaad een lastige voor dit moment. BSN-nummers hebben in de AVG een status aparte en mogen alleen gebruikt worden door overheden en daarnaast nog een aantal instanties die bij wet uitzondering hebben gekregen. Financieel adviseurs vallen hier niet onder. Financiële instellingen zoals banken en verzekeraars hebben dit BSN wél nodig omdat zij jaarlijks gegevens moeten doorgeven aan de Belastingdienst.

Omdat hier voor veel partijen toch onduidelijkheid over is, heeft DPO Network met een aantal business partners vragen gesteld aan het Ministerie van Financiën.

De AVG zegt in de basis:  zorg ervoor dat je alleen gegevens opslaat die je daadwerkelijk nodig hebt. Concreet betekent dit dat je het BSN-nummer alleen gebruikt in de documentatie naar de geldverstrekker. Daarna heb je het niet meer nodig en is het dus het overwegen waard om het nummer verder niet op te slaan.

Heb je verdere vragen met betrekking tot het AVG-volwassen maken van jouw advieskantoor? Onze partner DPO Network gaat hierover graag met je in gesprek. Stuur een mail naar info@dponetwork.nl of bel Karin Smit van DPO Network via 020 – 758 21 15.

Vraag 2

Moeten we per klant het verwerkingsregister gaan invullen?

Antwoord

Je vult een verwerkingsregister niet per klant, maar per verwerking in. Bijvoorbeeld het inwinnen en invoeren in adviessoftware. Met het omschrijven van je verwerkingen kun je aansluiten bij de activiteiten of doelen die je met verschillende persoonsgegevens hebt, of bijvoorbeeld bij de softwaretools die je gebruikt. Deze vul je dan per verwerking in. Uiteindelijk heb je één register met verwerkingen waarin alle activiteiten en/of tools staan waarin jouw advieskantoor persoonsgegevens verwerkt.

Deelnemers aan de AVG-workshops of de kantoren die gebruik maken van de consultancy van DPO Network krijgen het verwerkingsregister kosteloos toegestuurd.

Vraag 3

Een BSN nummer mogen we als er om gevraagd wordt wel doorgeven, maar daarna niet meer bewaren. Betekent dit dat we ook de BSN nummers op bijvoorbeeld salarisstroken moeten wegstrepen?

Antwoord

Dat klopt. Ook een salarisstrook valt onder persoonsgegevens en kan door een datalek naar buiten komen. Het BSN-nummer staat op diverse documenten, zoals op de salarisstrook en het paspoort.

Omdat er nog veel onduidelijkheid over het opslaan van het BSN-nummer is, heeft DPO Network samen met een aantal business partners vragen gesteld aan het Ministerie van Financiën.

De AVG zegt in de basis: zorg ervoor dat je alleen gegevens opslaat die je daadwerkelijk nodig hebt. Concreet betekent dit dat je het BSN-nummer alleen gebruikt in de documentatie naar de geldverstrekker. Wellicht een goede overweging om in ieder geval te zorgen dat het in alle documentatie daarna is doorgehaald. Hierdoor sla je het zelf verder niet meer op.

Vraag 4

Mbt datalek: hoe zit het als een provider de data lekt, of mijn netwerkbeheerder die de back-up verzorgd van systemen en bij hem gestald zijn?

Antwoord

Als een, in dit geval ‘verwerker’ de data lekt, dan dient hij jou als verantwoordelijke zo snel mogelijk hiervan op de hoogte te brengen. Een redelijke termijn hiervoor is 24 uur. Jij moet dit lek vervolgens binnen 72 uur melden aan de Autoriteit Persoonsgegevens.

Je hoeft de melding overigens alleen te doen, wanneer dit noodzakelijk is. Hiervoor kun je het stroomschema uit het webinar als leidraad gebruiken. Jij bent en blijft verantwoordelijk voor de gegevens die je opslaat. In een verwerkersovereenkomst maak je afspraken over de beveiliging. Gaat die beveiliging mis en ligt de oorzaak mogelijk bij de verwerker? Bekijk dan welke afspraken je met de verwerker hebt gemaakt hierover. Mijn advies is goed te kijken hoe jouw provider de beveiliging van de data-opslag heeft geregeld.

Vraag 5

Hoe kunnen wij gebruik maken van het getoonde verwerkingsregister van DPO?

Antwoord

Bedankt voor je aanvraag van het verwerkingsregister. Je kunt het verwerkingsregister tegen betaling aanvragen bij DPO Network via deze link: https://www.dponetwork.nl/bestel-uw-modeldocumenten. Via deze link vind je ook andere documenten zoals de verwerkersovereenkomst.

Deelnemers aan de AVG-workshops of de kantoren die gebruik maken van de consultancy van DPO Network krijgen het verwerkingsregister kosteloos toegestuurd.

Vraag 6

Is het nodig om in iedere mail naar een klant een privacyverklaring mee te sturen ?

Antwoord

Een privacy statement en privacy kaart is bedoeld voor op de website en niet voor ieder gesprek. Het privacy statement geeft prospects en klanten inzicht in wat voor soort gegevens jouw kantoor verwerkt, hoe je hiermee om gaat, welke grondslag je hiervoor hebt en bijvoorbeeld wat je doet met bewaartermijnen.

De klant kan voor hij/zij een overeenkomst met je aangaat, inzichtelijk krijgen of je zorgvuldig omgaat met gegevens. Het is belangrijk dat het statement in eenvoudig en duidelijk taalgebruik is opgesteld.

Het is aan te raden om in de documentatie die je aan de klant geeft, zoals de Opdracht tot dienstverlening en je bedrijfsbrochure, te verwijzen naar het privacy statement.

Vraag 7

DPO network is label van de Hypotheekbond en wij worden gemaand snel tot actie over te gaan, maar de verwerkingsovereenkomst van juist de Hypotheekbond is er nog niet?

Antwoord

Het klopt dat DPO Network partner is van de Hypotheekbond. DPO Network ondersteunt de bond ook in het AVG-compliant maken van de organisatie.

De verwerkersverantwoordelijke, de financieel adviseur, is volgens de AVG eindverantwoordelijk voor het sluiten van de overeenkomst. De adviseur is namelijk verantwoordelijk voor alle persoonsgegevens die van zijn of haar klanten worden opgeslagen.

Dit ontslaat de verwerker echter niet van zijn plicht. Partijen, zoals De Nationale Hypotheekbond, nemen deze plicht serieus en komen op korte termijn met een verwerkersovereenkomst. De overeenkomsten moeten uiteraard zo volledig mogelijk en juridisch juist zijn. DPO Network is daarom in overleg met Adfiz om de verwerkersovereenkomst die zij aanbieden, inhoudelijk en juridisch volledig kloppend te krijgen. Hierover hebben zij afgelopen vrijdag een (laatste) overleg gehad. De Nationale Hypotheekbond hoopt en rekent erop deze week met een overeenkomst richting haar klanten te komen.

Vraag 8

Hoe zit het met gegevens die al gescand zijn? We hebben van 30 jaar dossiers gescand en daarin zijn ook persoonsgegevens bewaard. Vanwege de bewaarplicht kunnen veel dingen (nog) niet weg. In hoeverre moeten die dossiers dan nog onder handen genomen worden?

Antwoord

In de AVG zijn duidelijke regels opgenomen voor bewaartermijnen. Overigens waren die er al in de Wet bescherming persoonsgegevens, maar ook in de Wft. De Wft is als lokale wet leidend ten opzichte van de AVG.

Dus daar waar de AVG zegt ‘zorg dat je de data minimaliseert en ook

zo kort mogelijk bewaart, zegt de Wft hier iets anders over. De Wft eist bijvoorbeeld dat je je adviesdossiers minimaal 5 jaar na het advies bewaart voor controledoeleinden. Advies is dus om kritisch te kijken naar de dossiers die je al 30 jaar bewaart. Niet voor alle documenten staat namelijk een bewaartermijn van 30 jaar. Het is goed om je de vraag te stellen: is de data die hierin staat nog wel actueel of zou ik, als de klant iets wil, een nieuw document opmaken?

Ook is het goed om jezelf af te vragen of alle data nog nodig is. Is de data niet meer nodig? Dan kun je deze vernietigen en verklein je de kans op een datalek.

Als je goed onderbouwd kunt uitleggen waarom alle documentatie toch bewaard moet blijven, kun je dit opnemen in je verwerkingsregister en/of in je procedure bewaartermijnen. De AVG is niet in beton gegoten, maar vereist wel dat je nadenkt over wat je doet en waarom je het doet.

Vraag 9

Krijgen wij het model van die ovk?

Antwoord

Je kunt dit model tegen betaling aanvragen via DPONetwork.nl.

Deze overeenkomst wordt overigens via verschillende kanalen aangeboden, waarbij ik je het advies wil geven te kijken of hij voldoende is toegespitst op de financiële dienstverlening.

Daarnaast organiseert HUISMERK in samenwerking met DPO Network praktische workshops. Als onderdeel van deze workshops ontvang je de documentatie die voor die betreffende workshop geldt. Workshop 1 staat bijvoorbeeld in het teken van de overeenkomst en het verwerkingsregister.

Vraag 10

Wat moet er gebeuren met de klantgegevens van klanten die in het verleden bijv een hypotheek via ons hebben gesloten? Moet hier met terugwerkende kracht nog toestemming voor gegeven worden door de klanten?

Antwoord

Je klantgegevens zijn ingewonnen op basis van een dienstverleningsovereenkomst met jou. Je hebt hiervoor een wettelijke grondslag, dus je hoeft niet alsnog toestemming te vragen voor het opslaan ervan.

Advies is wel om kritisch te kijken naar de (oude) klantgegevens die je bewaart. Het is goed om jezelf af te vragen of alle data nog nodig is. Is de data niet meer nodig? Dan kun je deze vernietigen en verklein je de kans op een datalek.

Als je goed onderbouwd kunt uitleggen waarom alle documentatie toch bewaard moet blijven, kun je dit opnemen in je verwerkingsregister en/of in je procedure bewaartermijnen. De AVG is niet in beton gegoten, maar vereist wel dat je nadenkt over wat je doet en waarom je het doet.

Vraag 11

Goedemiddag. Hoe zit het met bedrijven als Funda en tussenkanalen die zorgen dat info op Funda komt te staan? En ons interne CRM systeem waar klantgegevens in staan? Wie moet in dit geval de verwerkingsovereenkomst opstellen en verzorgen?

Antwoord

De belangrijkste vraag is: wie bepaalt het doel en de middelen voor het verwerken van persoonsgegevens. Ik vermoed dat jij dit zelf bent, als adviseur. In dat geval ben je in de basis verantwoordelijk voor het sluiten van de overeenkomst. Dit ontslaat de verwerker niet van zijn/haar verplichting maar de basis ligt bij jou.

Advies is dan ook om met alle verwerkers een overeenkomst te sluiten. Hierbij gaat het alleen om partijen die persoonsgegevens verwerken die herleidbaar zijn naar een persoon.

Voor meer informatie voor alle bovengenoemde vragen en antwoorden kunt u terecht DPO Network. Stuur een mail naar info@dponetwork.nl of bel Karin Smit van DPO Network via 020 – 758 21 15.

 

Deel dit artikel

Over de auteur

Redactie InFinance

De redactie is verantwoordelijk voor de dagelijkse nieuwsupdates op de website InFinance.nl en nieuwsbrief InFinance Daily.

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies om u de beste surfervaring te geven. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op 'Accepteren' hieronder, dan bent u akkoord met deze instellingen.

Lees onze cookie verklaring en de Privacy verklaring

Sluiten