Findesk en de AVG
In dit artikel leggen we uit hoe Findesk aan de vereisten van de Algemene Verorderening Gegevensbescherming voldoet. Deze wetgeving is op 25 mei 2018 ingegaan.
In dit artikel komen de belangrijkste punten van de AVG aan bod. Meer informatie over de AVG is bij de Autoriteit Persoonsgegevens in te zien.
Definities
In dit artikel hanteren we de volgende definities:
- Betrokkene: de natuurlijke persoon van wie persoonsgegevens worden verzameld en verwerkt.
- Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
- Gegevensverwerker: een natuurlijke persoon of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt in het kader van het verstrekken en beheren van hypotheken.
- Gebruiker: de eigenaar van een account waarmee in Findesk kan worden ingelogd.
- Klanten: De natuurlijke personen of rechtspersonen die een contractuele relatie hebben met de Gebruiker en wiens (Persoons)Gegevens worden Verwerkt in het kader van het gebruik van de dienst.
- Findesk: Het bedrijf Topicus.Finance BV welke het product Findesk maakt en exploiteert.
Onderscheid in Findesk als Verwerker en Verwerkingsverantwoordelijke
De AVG maakt onderscheid tussen verwerkingsverantwoordelijken en verwerkers. Verwerkingsverantwoordelijken zijn de organisaties die persoonsgegevens verzamelen en gebruiken bij het uitvoeren van hun organisatorische werkzaamheden. Ze zijn er zelf direct eindverantwoordelijk voor dat de organisatie de AVG naleeft en worden actief direct gemonitord door de toezichthouder. Verwerkers zijn organisaties die in opdracht van verwerkingsverantwoordelijken de opslag, verwerking en het gebruik van persoonsgegevens faciliteren middels softwaresystemen, databases, et cetera.
Standpunt Findesk
Voor Findesk geldt dat wij voor zowel verwerkingsverantwoordelijke als verwerker zijn:
- Findesk is verwerkingsverantwoordelijke voor alle gegevens die bij de gebruiker horen. Hieronder vallen de gegevens die je in je Profiel hebt opgegeven, alsmede gegevens over machtigingen.
- Findesk is verwerker voor alle gegevens die in dossiers zijn opgeslagen. Het gaat hier om klantgegevens. De eigenaar van het Findesk account is hiervoor verwerkingsverantwoordelijke.
Grondslagen voor verwerking van Persoonsgegevens
Om Persoonsgegevens te verwerken moet er sprake zijn van een wettelijke grondslag. Er zijn meerdere wettelijke grondslagen. Deze zijn hier te vinden.
Een verwerkingsverantwoordelijke dient zorg te dragen dat er voldoende grondslag / doelbinding is voor het vergaren, opslaan en verwerken van gegevens. Verwerkers en verwerkingsverantwoordelijken dienen ervoor te zorgen dat zij als (sub-)gegevensverwerker voldoet aan de eisen met betrekking tot het toepassen van passende technische en organisatorische maatregelen ten behoeve van de bescherming van gegevens en daarmee de rechten van de betrokkenen. Ook dient er in geval van inschakelen van derden (subverwerkers) voor de verwerking van gegevens ervoor gezorgd te worden dat met elk van deze partijen een zogenoemde verwerkersovereenkomst is afgesloten. Deze verwerkersovereenkomst dient te voldoen aan de door de wetgever opgestelde eisen. In deze verwerkersovereenkomst dient te zijn opgenomen met welke ketenpartijen de verwerkingsverantwoordelijke een overeenkomst heeft, en dat een verwerker als (sub-)gegevensverwerker toestemming heeft om gegevens te verwerken die met deze partijen wordt uitgewisseld.
Standpunt Findesk
- Findesk hanteert in de rol als verwerkingverantwoordelijke als grondslag de Uitvoering van de overeenkomst. Findesk vraagt alleen gegevens op om een de overeenkomst zoals deze in de Gebruikersvoorwaarden staat uitgelegd uit te voeren. Voorbeeld hiervan is dat Findesk machtiginggegevens nodig heeft om een abonnement te incasseren.
- In de rol als verwerker is Findesk niet verantwoordelijk voor het voldoen van een grondslag. De Findesk gebruiker moet deze grondslag kunnen bepalen. Wanneer een gebruiker twijfelt over de grondslag voor verwerking van gegevens is de gebruiker vrij om deze gegevens niet in Findesk te verwerken. Er zijn geen verplichtingen in Findesk om gegevens te verwerken. Wel kan functionaliteit hierdoor beperkt worden. Een voorbeeld hiervan is dat er bijvoorbeeld geen aanvraag voor een product gedaan kan worden als er geen financiële gegevens verwerkt mogen worden.
Alle grondslagen, behalve de toestemming van de gebruiker (betrokkene), zijn organisatorisch van aard en vergen op zichzelf geen verdere automatisering. Bij de toestemming van de betrokkene is dat mogelijk wel het geval, deze behandelen we daarom expliciet.
Toestemming van de betrokkene
In de AVG is een van de toegestane grondslagen toestemming van de betrokkene. Indien van deze grondslag gebruik wordt gemaakt moet toestemming: Vrijelijk gegeven worden, Ondubbelzinning zijn, Geinformeerd worden gegeven, Specifiek per doeleinde worden gegeven en weer in te trekken zijn. Tevens moet dit worden vastgelegd en aantoonbaar zijn. Uitleg voor deze voorwaarden is hier te vinden.
Standpunt Findesk
- In de rol als verwerkingverantwoordelijke is geen toestemming nodig omdat alle verwerking plaatsvindt onder de grondslag Uitvoering van de overeenkomst.
- In de rol als verwerker gaat Findesk er van uit dat de grondslag Toestemming van betrokkene niet zal worden gebruikt door de gebruiker van Findesk. Bij normaal gebruik van Findesk gaan we ervanuit dat een adviseur recht heeft om de klantgegevens te verwerken op basis van de andere grondslagen. Zodoende is er in Findesk ook geen mogelijkheid om de toestemming uit te vragen, vast te leggen of in te trekken. Indien een gebruiker gebruik wenst te maken van de Toestemming grondslag moet de gebruiker deze zelf administreren en ondersteuning bieden aan de verplichtingen die daar uit volgen.
Bijzondere persoonsgegevens: BSN
De Autoriteit Persoonsgegevens beschrijft het gebruik van het burgerservicenummer (BSN) als volgt: Het burgerservicenummer (BSN) is een persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor zorgverleners, zoals huisartsen, apotheken en zorgverzekeraars. Ook in het onderwijs wordt het BSN gebruikt. Hier heet het ook wel onderwijsnummer of persoonsgebonden nummer. Het BSN is een uniek en tot de persoon herleidbaar nummer. Daarom is het een zogeheten bijzonder persoonsgegeven. Voor het gebruik van bijzondere persoonsgegevens gelden extra strenge regels. Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. Bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude.
Een nummer dat bij wet is voorgeschreven om een persoon te identificeren, mag alleen mag worden gebruikt voor de uitvoering van die wet. Of voor doeleinden die in de wet staan. Dat staat in artikel 24 van de Wet bescherming persoonsgegevens.
Het BSN is zo’n identificatienummer. Organisaties kunnen het verbod om het BSN te gebruiken niet doorbreken door toestemming aan mensen te vragen voor het gebruik van hun BSN.
Standpunt Findesk
Findesk verwerkt in de rol verwerkingsverantwoordelijke het BSN van klanten van haar gebruikers. Findesk biedt deze mogelijkheid omdat het vanuit het verkeer met financiele dienstverleners verplicht is deze gegevens op te vragen en op te sturen. Zonder dit gegeven is het niet mogelijk een aanvraag te doen bij een substantieel groep financiele dienstverleners. De gebruiker dient als verwerkingsverantwoordelijke zorg te dragen voor een wettelijke grondslag.
Privacy by design en Privacy by default
Privacy by design houdt in dat een organisatie in de rol van verwerkingsverantwoordelijke danwel verwerker al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Ten tweede houdt de organisatie rekening met dataminimalisatie: er worden zo min mogelijk persoonsgegevens verwerkt; dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Op deze manier wordt een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afgedwongen.
Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat er, als standaard, alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat geacht wordt te bereiken.
Standpunt Findesk
- Findesk heeft in de rol van verwerkingverantwoordelijke de applicatie en randsystemen zo ingericht dat gebruikers met een minimumset aan gegevens zoveel mogelijk kunnen doen. De minimumset wordt bepaald aan de hand van technische eisen. Zo is een e-mailadres vereist voor registratie en om te kunnen garanderen dat we de gebruiker kunnen benaderen. Een ander voorbeeld is dat pas bij het afsluiten van een abonnement om gegevens voor de Machtiging worden gevraagd.
- In de rol van Findesk als verwerker hanteren we het beleid dat een gebruiker met zo min mogelijk input zoveel mogelijk kan bereiken in een klantdossier. Zo kan er al een dossier gemaakt worden met alleen de voornaam, achternaam, geslacht en geboortedatum van een klant. Ook in het dossier kunnen vrijwel alle velden leeg worden opgeslagen, zonder dat dit functionaliteit tegenhoudt.
- Daarnaast houdt Findesk bij de ontwikkelingen altijd rekening met het beveiligen van persoonsgegevens. Deze beveiligingsmaatregelen zijn in de verwerkersovereenkomst en het privacyreglement verder uitgelegd.
Data protection impact assessment (DPIA)
Als verwerkingsverantwoordelijke moet een data protection impact assessment (DPIA) worden uitgevoerd wanneer de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. De Autoriteit Persoonsgegevens geeft een aantal criteria om te toetsen of een verwerkingsverantwoordelijke een DPIA moet uitvoeren, zie hiervoor de pagina van Autoriteit Persoonsgegevens.
Standpunt Findesk
- In de rol van verwerkingverantwoordelijke verwachten we geen DPIA te moeten overleggen. Er worden geen grote aantallen (bijzondere) persoonsgegevens van gebruikers verwerkt. Tevens is er geen sprake van profilering.
- In de rol van verwerker hoeft Findesk niet zelf een DPIA uit te voeren voor wat betreft gegevens van klanten van haar gebruikers. Wel dient Findesk een DPIA te overleggen wanneer de verwerkingsverantwoordelijke daar om vraagt. Het spreekt voor zich dat Findesk hierbij ondersteuning zal bieden, informatie omtrent vastgelegde gegevens zal leveren en zal aangeven welke maatregelen Findesk zelf reeds heeft genomen om de privacygevoelige gegevens op organisatorisch en technisch niveau te beschermen. Deze DPIA kan door een gebruiker opgevraagd worden via de Findesk Servicedesk. Hierbij dient rekening te worden gehouden dat de structuur van de DPIA nog niet is vastgesteld. We vragen daarom ook aan de gebruiker om hier proactief aan te geven wat de verwachtingen zijn.
Verplichtingen
Verwerkingsregister
Op basis van zowel de organisatie-omvang van Findesk als op basis van de gegevens die Findesk (en haar klanten) verwerkt dient Findesk volgens de GDPR een verwerkingsregister bij te houden. (Zie ook de website van Autoriteit Persoonsgegevens, kopje "Is uw organisatie een ‘verwerker’?")
In het Verwerkingsregister dient het volgende te worden vastgelegd:
- Naam en contactgegevens van de verwerkingsverantwoordelijke
- Naam en contactgegevens van de Functionaris voor gegevensbescherming (FG) indien deze door Findesk is aangesteld
- Een beschrijving van de categorieën van verwerkingen die Findesk in opdracht van iedere verantwoordelijke uitvoert
- Naam en contactgegevens van eventuele andere internationale organisaties met wie Findesk persoonsgegevens deelt
- Naam en contactgegevens van eventuele landen of internationale organisaties buiten de EU met wie Findesk persoonsgegevens deelt
- Een algemene beschrijving van de technische en organisatorische maatregelen die Findesk heeft genomen om persoonsgegevens die zij verwerkt te beveiligen
Standpunt Findesk
- Findesk heeft in de rol van verwerkingverantwoordelijke een verwerkingsregister opgesteld welke de opgeslagen gegevens van de gebruiker behandelt. Deze is via deze link te raadplegen.
- Findesk heeft in de rol van verwerker ook een Verwerkingsregister opgesteld welke de opgeslagen gegevens van de klant bevat. Deze is via deze link te raadplegen.
Privacybeleid
In de GDPR staat niet precies omschreven welke gegevens er in het privacybeleid moet opnemen. Uit het beleid moet in ieder geval wèl blijken hoe wordt voldaan aan de GDPR. Dat is onderdeel van de verantwoordingsplicht. U kunt laten zien hoe u voldoet aan de GDPR door onder andere deze informatie op te nemen (bron: Autoriteit Persoonsgegevens):
- Een omschrijving van de categorieën persoonsgegevens die u verwerkt;
- Een beschrijving van de doeleinden waarvoor u persoonsgegevens verwerkt en wat de juridische grondslag daarvan is;
- Hoe u voldoet aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk;
- Welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens;
- Welke organisatorische en technische maatregelen u genomen heeft om de persoonsgegevens te beveiligen;
- Hoe lang u de persoonsgegevens bewaart.
Standpunt Findesk
- Findesk heeft in de rol van verwerkingverantwoordelijke het privacybeleid opgenomen in het Privacyreglement. Daarnaast is verderop deze pagina opgenomen hoe rechten van Betrokkenen kunnen worden uitgeoefend.
- Findesk heeft in de rol van verwerker het privacybeleid opgenomen in de Verwerkersovereenkomst. Daarnaast is verderopop deze pagina opgenomen hoe rechten van Betrokkenen kunnen worden uitgeoefend.
Beveiliging van Persoonsgegevens
Bedrijven die persoonsgegevens gebruiken moeten deze volgens de Algemene Verordening Gegevensbescherming (AVG) beveiligen. Zo voorkomen ze datalekken.
Volgens de AVG moeten bedrijven en overheden hiervoor passende technische en organisatorische maatregelen nemen. Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen. Ze moeten niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?
Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. En beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn.
Als organisaties andere partijen inschakelen om persoonsgegevens te verwerken, dan moeten deze verwerkers voldoende maatregelen treffen om de gegevens te beveiligen. Organisaties die gegevensverwerking door een verwerker laten uitvoeren, blijven verantwoordelijk voor de naleving van de AVG.
Meldplicht datalekken
Heeft een organisatie een ernstig datalek? Dan moeten zij direct een melding van doen bij de Autoriteit Persoonsgegevens. Zij hebben een meldplicht. De AVG stelt strenge eisen aan de registratie van datalekken. Organisaties waar zich een datalek heeft voorgedaan, moeten alle datalekken documenteren. De AP gebruikt deze documentatie om te kunnen controleren of een organisatie aan de meldplicht heeft voldaan.
Standpunt Findesk
- Findesk heeft in de rol van verwerkingverantwoordelijke de beveiliging van persoonsgegevens van haar gebruikers opgenomen in het Privacyreglement. Tevens is hierin vermeld hoe om wordt gegaan met datalekken.
- Findesk heeft in de rol van verwerker de beveiliging van persoonsgegevens van klanten van haar gebruikers opgenomen de Verwerkersovereenkomst. Tevens is hierin vermeld hoe om wordt gegaan met datalekken.
Rechten van de betrokkenen
Onder de Algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Hun bestaande privacyrechten worden uitgebreid en er gelden 2 nieuwe rechten. In dit overzicht vermelden wij hoe Findesk aan deze rechten voldoet en hoe je als gebruiker van Findesk kunt voldoen aan deze eisen voor jouw klanten.
Recht op informatie
Op het moment dat de verwerkingsverantwoordelijke Persoonsgegevens verkrijgt, dient hij de betrokkene te informeren omtrent:
- de identiteit en contactgegevens van de verwerkingsverantwoordelijke c.q. diens vertegenwoordiger
- de contactgegevens van de functionaris voor gegevensbescherming (indien aanwezig)
- de doeleinden waarvoor de persoonsgegevens zijn bestemd, inclusief de rechtsgrond voor de verwerking
- de ontvangers of categorieën van ontvangers van de persoonsgegevens
- het voornemen de persoonsgegevens door te geven aan een derde land of een internationale organisatie, de aanwezigheid van besluiten zoals Privacy Shield of een indicatie van welke waarborgen er zijn en hoe een kopie kan worden verkregen danwel waar de gegevens kunnen worden geraadpleegd
- de periode gedurende welke de persoonsgegevens worden opgeslagen, danwel de criteria waarop de termijn wordt bepaald
- dat de betrokkene het recht heeft om de verwerkingsverantwoordelijke te vragen om inzage, rectificatie of wissing van de persoonsgegevens of beperking van de verwerking te verzoeken
- dat de betrokkene het recht heeft om tegen de verwerking bezwaar te maken en de verwerking te beperken
- dat de betrokkene het recht heeft op overdraagbaarheid van de persoonsgegevens
- dat de betrokkene, indien de verwerking gebaseerd is op toestemming, het recht heeft om de toestemming te allen tijde in te trekken
- dat de betrokkene het recht heeft om een klacht in te dienen bij een toezichthoudende autoriteit
- of de verstrekking van de persoonsgegevens een wettelijke of contractuele verplichting is, danwel een noodzakelijke voorwaarde om een overeenkomst te sluiten
- of de betrokkene verplicht is om de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt
- of er sprake is van geautomatiseerde besluitvorming, met inbegrip van profilering en nuttige informatie over de onderliggende logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene
Bij verdere verwerking voor een ander doel is het vereist dat de verwerkingsverantwoordelijke de betrokkenen voor de verdere verwerking informatie over dat andere doel en alle relevante verdere informatie (zoals hierboven vermeld) verstrekt. Deze informatie behoeft niet te worden verstrekt als de betrokkene al over de informatie beschikt.
Standpunt Findesk
- In de rol van verwerkingverantwoordelijke is dit artikel bedoeld als informatieoverdracht over het feit welke rechten een gebruiker van Findesk heeft. Daarnaast is in het Register van verwerkingsactiviteiten voor gegevens van Gebruiker o.a. opgenomen welke categorieën persoonsgegevens verwerkt worden en welke beveiligingsmaatregelen worden genomen. Tevens is hierover in het Privacyreglement informatie te vinden.
- In de rol van verwerker is ook in dit artikel opgenomen hoe een Findesk gebruiker een van zijn klanten kan helpen voor wat betreft in Findesk verwerkte persoonsgegevens. Daarnaast is in het Register van verwerkingsactiviteiten voor gegevens van Klanten o.a. opgenomen welke categorieën persoonsgegevens verwerkt worden en welke beveiligingsmaatregelen worden genomen. Tevens is hierover in de Verwerkersovereenkomst informatie te vinden.
Recht op inzage
Betrokkenen hebben recht op inzage in hun persoonsgegevens. Dat houdt in dat zij een organisatie mogen vragen of deze persoonsgegevens van hen heeft vastgelegd en zo ja, welke. Zij hoeven geen reden te geven voor een inzageverzoek. De organisatie moet vervolgens aangeven:
- of de organisatie zijn persoonsgegevens gebruikt, en zo ja:
- om welke gegevens het gaat;
- wat het doel is van het gebruik;
- aan wie de organisatie de gegevens eventueel heeft verstrekt;
- wat de herkomst is van de gegevens, als deze bekend is.
Standpunt Findesk
- Findesk heeft in de rol van verwerkingverantwoordelijke het voor de gebruiker mogelijk gemaakt ten alle tijde mogelijk zijn gegevens in te zien in Findesk. Voorbeelden zijn de pagina Profiel en Machtiging. Hierin staan alle persoonsgegevens vermeld die Findesk van de gebruiker heeft ontvangen. De gebruiker kan deze gegevens zelf invoeren en op elke pagina waar persoonsgegevens worden gevraagd staat het doel van de verwerking omschreven.
- Findesk heeft in de rol van verwerker de plicht de verwerkingsverantwoordelijke te helpen inzage te geven in welke gegevens in Findesk zijn opgeslagen voor een klant van een gebruiker. Hiervoor geldt dat alle informatie van klanten van een Gebruiker in een Findesk dossier is opgeslagen. Wanneer een klant van een gebruiker vraagt om inzage kan een gebruiker deze overleggen door het dossier van de klant te openen. Dit kan via het account van de Gebruiker of via het Klantportaal. Daarnaast is het mogelijk een compleet dossier te exporteren. Dit kan via de detailknop bovenin het dossier. De gebruiker is verwerkingsverantwoordelijke voor deze gegevens en dient dus ook vast te stellen wat het doel van de verwerking is geweest.
Recht om te wijzigen
Betrokkenen hebben het recht om correctie van hun persoonsgegevens te vragen. Dat houdt in dat zij een organisatie mogen vragen hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen.
Standpunt Findesk
- Findesk biedt in de rol van verwerkingverantwoordelijke de gebruiker de mogelijkheid ten alle tijde zijn gegevens te wijzigen in Findesk. Voorbeelden zijn de pagina Profiel en Machtiging. Hierin staan alle persoonsgegevens vermeld die Findesk van de gGebruiker heeft ontvangen. De gebruiker kan deze gegevens zelf wijzigen. Wanneer een gebruiker wenst zijn gegevens te verwijderen is dit mogelijk door 1 of meerdere gegevens weg te halen en/of zijn account op te zeggen.
- Findesk biedt in de rol van verwerker de mogelijkheid voor de gebruiker om klantgegevens te wijzigen. Wanneer een Klant dit wenst kan ook het complete dossier verwijderd worden. Gezien de gebruiker de verwerkingsverantwoordelijke voor deze gegevens is deze verantwoordelijk om te bepalen of aan een verzoek tot wijziging kan worden ingewilligd.
Recht op beperking van de verwerking
De betrokkene heeft het recht op beperking van de verwerking, indien:
- de juistheid van de persoonsgegevens wordt betwist, gedurende de periode die de verwerkingsverantwoordelijke nodig heeft om de juistheid te controleren;
- de verwerking onrechtmatig is en de betrokkene zich verzet tegen het wissen en in plaats daarvan de beperking van het gebruik ervan verzoekt;
- de verwerkingsverantwoordelijke de persoonsgegevens niet meer nodig heeft voor de verwerkingsdoeleinden, maar de betrokkene ze nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- de betrokkene bezwaar heeft gemaakt tegen de verwerking en in afwachting is van de vraag of het bezwaar gehonoreerd kan worden.
Indien de beperking wordt opgegeven, dan dient de verwerkingsverantwoordelijke de betrokkene daarvan op de hoogte te stellen. De verantwoordelijke dient alle ontvangers op de hoogte te stellen van de wissing, rectificatie of beperking van de verwerking van de persoonsgegevens, tenzij dit onmogelijk is of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt aan betrokkene op diens verzoek informatie over deze ontvangers.
Standpunt Findesk
- In de rol van verwerkingverantwoordelijke heeft Findesk het mogelijk gemaakt voor een gebruiker om ten alle tijde mogelijk zijn gegevens te wijzigen en/of te wissen in Findesk. Hiermee verwachten wij geen beperking van de verwerking te hoeven toepassen op gegevens van de Gebruiker.
- In de rol van verwerker geeft Findesk een gebruiker de mogelijkheid om klantgegevens te wijzigen, te verwijderen en te bepalen of gegevens verder verwerkt mogen worden. Findesk verwerkt gegevens van klanten van een gebruiker alleen na expliciete actie van een gebruiker. Voorbeelden van expliciete acties zijn het aanmaken van een dossier, het versturen van aanvragen naar een aanbieder van een financieel product of het exporteren van gegevens naar een CRM-pakket. Hiermee verwachten we dat Findesk een gebruiker alle mogelijkheden biedt om aan een verzoek van recht op beperking van de verwerking te voldoen.
Recht om vergeten te worden
Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene hierom vraagt. Het recht op vergetelheid geldt niet altijd. Alleen in specifieke situaties is het recht op vergetelheid van toepassing:
- de gegevens zijn niet meer nodig
- de betrokkene trekt zijn/haar toestemming tot verwerking in
- de betrokkene maakt bezwaar tegen verdere opslag en verwerking van de gegevens
- de verwerking is onrechtmatig wegens het ontbreken van een grondslag
- de wettelijke bewaartermijnen zijn verstreken
- de betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website
Standpunt Findesk
- In de rol van verwerkingverantwoordelijke geeft Findesk de gebruiker de mogelijkheid zijn account op te zeggen. Dit kan enkel wanneer er geen abonnement meer actief is. Hiermee worden zijn gegevens gewist. Uiteraard kan het nodig zijn bepaalde gegevens, zoals betaalgegevens, te blijven bewaren voor wettelijke redenen.
- In de rol van verwerker geeft Findesk een Gebruiker de mogelijkheid om een klantdossier, met daarin alle gegevens, te verwijderen. Gezien de gebruiker de verwerkingsverantwoordelijke voor deze gegevens is, is de gebruiker verantwoordelijk om te bepalen of aan een verzoek tot vergetelheid kan worden ingewilligd.
Recht op dataportabiliteit
Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun persoonsgegevens te hergebruiken en door te geven aan een andere organisatie. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken. Hierover zijn guidelines opgesteld.
Standpunt Findesk
- In de rol van verwerkingverantwoordelijke geeft Findesk de gebruiker de mogelijkheid zijn gegevens in te zien en daarmee ook te exporteren. Indien gewenst kunnen de gegevens van de gebruiker in een machineleesbaar formaat worden aangeboden. Gezien Findesk als verwerkingverantwoordelijke maar zeer beperkte data opslaat (Profielinformatie, tussenpersoonnummers en instellingen), verwachten we niet dat het voor een gebruiker nuttig is om hier een export van te ontvangen. Desondanks kan een verzoek hiertoe worden ingediend via de Findesk servicedesk.
- In de rol van verwerker geeft Findesk de gebruiker de mogelijkheid, indien een klant van een gebruiker vraagt om dataportabiliteit, aan deze eis voldoen door gegevens uit dit dossier te exporteren Dit kan via de detailknop bovenin het dossier.
Recht op bezwaar tegen geautomatiseerde individuele besluitvorming, waaronder profilering
De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. Zie voor meer details de wettekst.
Standpunt Findesk
- In de rol van verwerkingverantwoordelijke geldt dat Findesk geen gebruik maakt van geautomatiseerde besluitvorming of profilering.
- In de rol van verwerker geldt dat Findesk geen zelfstandige besluiten neemt met gevolgen voor de klant. Wel kan Findesk een gebruiker helpen te bepalen of deze voldoet aan vereisten voor een financieel product. Findesk poogt om deze bepaling zo transparant mogelijk te doen. Mocht een klant hierover vragen hebben, dan kan deze die via de gebruiker kenbaar maken via de Findesk Servicedesk.