/
Findesk en de AVG

Findesk en de AVG

Owned by Remco Beverdam (Unlicensed)
Last updated: Dec 23, 2024 by Nicky Koenders
16 min read

In dit artikel leggen we uit hoe Findesk aan de vereisten van de Algemene Verorderening Gegevensbescherming voldoet. Deze wetgeving is op 25 mei 2018 ingegaan.

In dit artikel komen de belangrijkste punten van de AVG aan bod. Meer informatie over de AVG is bij de Autoriteit Persoonsgegevens in te zien.

Definities

In dit artikel hanteren we de volgende definities:

  • Betrokkene: de natuurlijke persoon van wie persoonsgegevens worden verzameld en verwerkt. 

  • Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

  • Gegevensverwerker: een natuurlijke persoon of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt in het kader van het verstrekken en beheren van hypotheken.

  • Gebruiker: de eigenaar van een account waarmee in Findesk kan worden ingelogd.

  • Klanten: De natuurlijke personen of rechtspersonen die een contractuele relatie hebben met de Gebruiker en wiens (Persoons)Gegevens worden Verwerkt in het kader van het gebruik van de dienst.

  • Findesk: Het bedrijf Topicus.Finance BV welke het product Findesk maakt en exploiteert.

Onderscheid in Findesk als Verwerker en Verwerkingsverantwoordelijke

De AVG maakt onderscheid tussen verwerkingsverantwoordelijken en verwerkers. Verwerkingsverantwoordelijken zijn de organisaties die persoonsgegevens verzamelen en gebruiken bij het uitvoeren van hun organisatorische werkzaamheden. Ze zijn er zelf direct eindverantwoordelijk voor dat de organisatie de AVG naleeft en worden actief direct gemonitord door de toezichthouder. Verwerkers zijn organisaties die in opdracht van verwerkingsverantwoordelijken de opslag, verwerking en het gebruik van persoonsgegevens faciliteren middels softwaresystemen, databases, et cetera.

Standpunt Findesk

Voor Findesk geldt dat wij voor zowel verwerkingsverantwoordelijke als verwerker zijn:

  • Findesk is verwerkingsverantwoordelijke voor alle gegevens die bij de gebruiker horen. Hieronder vallen de gegevens die je in je Profiel hebt opgegeven, alsmede gegevens over machtigingen.

  • Findesk is verwerker voor alle gegevens die in dossiers zijn opgeslagen. Het gaat hier om klantgegevens. De eigenaar van het Findesk account is hiervoor verwerkingsverantwoordelijke.

Grondslagen voor verwerking van Persoonsgegevens

Om Persoonsgegevens te verwerken moet er sprake zijn van een wettelijke grondslag. Er zijn meerdere wettelijke grondslagen. Deze zijn hier te vinden.

Een verwerkingsverantwoordelijke dient zorg te dragen dat er voldoende grondslag / doelbinding is voor het vergaren, opslaan en verwerken van gegevens. Verwerkers en verwerkingsverantwoordelijken dienen ervoor te zorgen dat zij als (sub-)gegevensverwerker voldoet aan de eisen met betrekking tot het toepassen van passende technische en organisatorische maatregelen ten behoeve van de bescherming van gegevens en daarmee de rechten van de betrokkenen. Ook dient er in geval van inschakelen van derden (subverwerkers) voor de verwerking van gegevens ervoor gezorgd te worden dat met elk van deze partijen een zogenoemde verwerkersovereenkomst is afgesloten. Deze verwerkersovereenkomst dient te voldoen aan de door de wetgever opgestelde eisen.  In deze verwerkersovereenkomst dient te zijn opgenomen met welke ketenpartijen de verwerkingsverantwoordelijke een overeenkomst heeft, en dat een verwerker als (sub-)gegevensverwerker toestemming heeft om gegevens te verwerken die met deze partijen wordt uitgewisseld.

Standpunt Findesk

  • Findesk hanteert in de rol als verwerkingverantwoordelijke als grondslag de Uitvoering van de overeenkomst. Findesk vraagt alleen gegevens op om een de overeenkomst zoals deze in de Gebruikersvoorwaarden staat uitgelegd uit te voeren. Voorbeeld hiervan is dat Findesk machtiginggegevens nodig heeft om een abonnement te incasseren.

  • In de rol als verwerker is Findesk niet verantwoordelijk voor het voldoen van een grondslag. De Findesk gebruiker moet deze grondslag kunnen bepalen. Wanneer een gebruiker twijfelt over de grondslag voor verwerking van gegevens is de gebruiker vrij om deze gegevens niet in Findesk te verwerken. Er zijn geen verplichtingen in Findesk om gegevens te verwerken. Wel kan functionaliteit hierdoor beperkt worden. Een voorbeeld hiervan is dat er bijvoorbeeld geen aanvraag voor een product gedaan kan worden als er geen financiële gegevens verwerkt mogen worden.

Alle grondslagen, behalve de toestemming van de gebruiker (betrokkene), zijn organisatorisch van aard en vergen op zichzelf geen verdere automatisering. Bij de toestemming van de betrokkene is dat mogelijk wel het geval, deze behandelen we daarom expliciet.

Toestemming van de betrokkene

In de AVG is een van de toegestane grondslagen toestemming van de betrokkene.  Indien van deze grondslag gebruik wordt gemaakt moet toestemming: Vrijelijk gegeven worden, Ondubbelzinning zijn, Geinformeerd worden gegeven, Specifiek per doeleinde worden gegeven en weer in te trekken zijn. Tevens moet dit worden vastgelegd en aantoonbaar zijn. Uitleg voor deze voorwaarden is hier te vinden.

Standpunt Findesk

  • In de rol als verwerkingverantwoordelijke is geen toestemming nodig omdat alle verwerking plaatsvindt onder de grondslag Uitvoering van de overeenkomst.

  • In de rol als verwerker gaat Findesk er van uit dat de grondslag Toestemming van betrokkene niet zal worden gebruikt door de gebruiker van Findesk. Bij normaal gebruik van Findesk gaan we ervanuit dat een adviseur recht heeft om de klantgegevens te verwerken op basis van de andere grondslagen. Zodoende is er in Findesk ook geen mogelijkheid om de toestemming uit te vragen, vast te leggen of in te trekken. Indien een gebruiker gebruik wenst te maken van de Toestemming grondslag moet de gebruiker deze zelf administreren en ondersteuning bieden aan de verplichtingen die daar uit volgen.

Bijzondere persoonsgegevens: BSN

De Autoriteit Persoonsgegevens beschrijft het gebruik van het burgerservicenummer (BSN) als volgt: Het burgerservicenummer (BSN) is een persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor zorgverleners, zoals huisartsen, apotheken en zorgverzekeraars. Ook in het onderwijs wordt het BSN gebruikt. Hier heet het ook wel onderwijsnummer of persoonsgebonden nummer. Het BSN is een uniek en tot de persoon herleidbaar nummer. Daarom is het een zogeheten bijzonder persoonsgegeven. Voor het gebruik van bijzondere persoonsgegevens gelden extra strenge regels. Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. Bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude.

Een nummer dat bij wet is voorgeschreven om een persoon te identificeren, mag alleen mag worden gebruikt voor de uitvoering van die wet. Of voor doeleinden die in de wet staan. Dat staat in artikel 24 van de Wet bescherming persoonsgegevens. 

Het BSN is zo’n identificatienummer. Organisaties kunnen het verbod om het BSN te gebruiken niet doorbreken door toestemming aan mensen te vragen voor het gebruik van hun BSN.

Privacy by design en Privacy by default

Privacy by design houdt in dat een organisatie in de rol van verwerkingsverantwoordelijke danwel verwerker al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Ten tweede houdt de organisatie rekening met dataminimalisatie: er worden zo min mogelijk persoonsgegevens verwerkt; dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Op deze manier wordt een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afgedwongen.

Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat er, als standaard, alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat geacht wordt te bereiken.

Data protection impact assessment (DPIA)

Als verwerkingsverantwoordelijke moet een data protection impact assessment (DPIA) worden uitgevoerd wanneer de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. De Autoriteit Persoonsgegevens geeft een aantal criteria om te toetsen of een verwerkingsverantwoordelijke een DPIA moet uitvoeren, zie hiervoor de pagina van Autoriteit Persoonsgegevens.

Verplichtingen

Verwerkingsregister

Op basis van zowel de organisatie-omvang van Findesk als op basis van de gegevens die Findesk (en haar klanten) verwerkt dient Findesk volgens de GDPR een verwerkingsregister bij te houden. (Zie ook de website van Autoriteit Persoonsgegevens, kopje "Is uw organisatie een ‘verwerker’?")

In het Verwerkingsregister dient het volgende te worden vastgelegd:

  • Naam en contactgegevens van de verwerkingsverantwoordelijke

  • Naam en contactgegevens van de Functionaris voor gegevensbescherming (FG) indien deze door Findesk is aangesteld

  • Een beschrijving van de categorieën van verwerkingen die Findesk in opdracht van iedere verantwoordelijke uitvoert

  • Naam en contactgegevens van eventuele andere internationale organisaties met wie Findesk persoonsgegevens deelt

  • Naam en contactgegevens van eventuele landen of internationale organisaties buiten de EU met wie Findesk persoonsgegevens deelt

  • Een algemene beschrijving van de technische en organisatorische maatregelen die Findesk heeft genomen om persoonsgegevens die zij verwerkt te beveiligen

Privacybeleid

In de GDPR staat niet precies omschreven welke gegevens er in het privacybeleid moet opnemen. Uit het beleid moet in ieder geval wèl blijken hoe wordt voldaan aan de GDPR. Dat is onderdeel van de verantwoordingsplicht. U kunt laten zien hoe u voldoet aan de GDPR door onder andere deze informatie op te nemen (bron: Autoriteit Persoonsgegevens):

  • Een omschrijving van de categorieën persoonsgegevens die u verwerkt;

  • Een beschrijving van de doeleinden waarvoor u persoonsgegevens verwerkt en wat de juridische grondslag daarvan is;

  • Hoe u voldoet aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk;

  • Welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens;

  • Welke organisatorische en technische maatregelen u genomen heeft om de persoonsgegevens te beveiligen;

  • Hoe lang u de persoonsgegevens bewaart.

Beveiliging van Persoonsgegevens

Bedrijven die persoonsgegevens gebruiken moeten deze volgens de Algemene Verordening Gegevensbescherming (AVG) beveiligen. Zo voorkomen ze datalekken.

Volgens de AVG moeten bedrijven en overheden hiervoor passende technische en organisatorische maatregelen nemen. Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen. Ze moeten niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. En beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn.

Als organisaties andere partijen inschakelen om persoonsgegevens te verwerken, dan moeten deze verwerkers voldoende maatregelen treffen om de gegevens te beveiligen. Organisaties die gegevensverwerking door een verwerker laten uitvoeren, blijven verantwoordelijk voor de naleving van de AVG.

Meldplicht datalekken

Heeft een organisatie een ernstig datalek? Dan moeten zij direct een melding van doen bij de Autoriteit Persoonsgegevens. Zij hebben een meldplicht.  De AVG stelt strenge eisen aan de registratie van datalekken. Organisaties waar zich een datalek heeft voorgedaan, moeten alle datalekken documenteren. De AP gebruikt deze documentatie om te kunnen controleren of een  organisatie aan de meldplicht heeft voldaan.

Rechten van de betrokkenen

Onder de Algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Hun bestaande privacyrechten worden uitgebreid en er gelden 2 nieuwe rechten. In dit overzicht vermelden wij hoe Findesk aan deze rechten voldoet en hoe je als gebruiker van Findesk kunt voldoen aan deze eisen voor jouw klanten.

Recht op informatie

Op het moment dat de verwerkingsverantwoordelijke Persoonsgegevens verkrijgt, dient hij de betrokkene te informeren omtrent:

  • de identiteit en contactgegevens van de verwerkingsverantwoordelijke c.q. diens vertegenwoordiger

  • de contactgegevens van de functionaris voor gegevensbescherming (indien aanwezig)

  • de doeleinden waarvoor de persoonsgegevens zijn bestemd, inclusief de rechtsgrond voor de verwerking

  • de ontvangers of categorieën van ontvangers van de persoonsgegevens

  • het voornemen de persoonsgegevens door te geven aan een derde land of een internationale organisatie, de aanwezigheid van besluiten zoals Privacy Shield of een indicatie van welke waarborgen er zijn en hoe een kopie kan worden verkregen danwel waar de gegevens kunnen worden geraadpleegd

  • de periode gedurende welke de persoonsgegevens worden opgeslagen, danwel de criteria waarop de termijn wordt bepaald

  • dat de betrokkene het recht heeft om de verwerkingsverantwoordelijke te vragen om inzage, rectificatie of wissing van de persoonsgegevens of beperking van de verwerking te verzoeken

  • dat de betrokkene het recht heeft om tegen de verwerking bezwaar te maken en de verwerking te beperken

  • dat de betrokkene het recht heeft op overdraagbaarheid van de persoonsgegevens

  • dat de betrokkene, indien de verwerking gebaseerd is op toestemming, het recht heeft om de toestemming te allen tijde in te trekken

  • dat de betrokkene het recht heeft om een klacht in te dienen bij een toezichthoudende autoriteit

  • of de verstrekking van de persoonsgegevens een wettelijke of contractuele verplichting is, danwel een noodzakelijke voorwaarde om een overeenkomst te sluiten

  • of de betrokkene verplicht is om de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt

  • of er sprake is van geautomatiseerde besluitvorming, met inbegrip van profilering en nuttige informatie over de onderliggende logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene

Bij verdere verwerking voor een ander doel is het vereist dat de verwerkingsverantwoordelijke de betrokkenen voor de verdere verwerking informatie over dat andere doel en alle relevante verdere informatie (zoals hierboven vermeld) verstrekt. Deze informatie behoeft niet te worden verstrekt als de betrokkene al over de informatie beschikt.

Recht op inzage

Betrokkenen hebben recht op inzage in hun persoonsgegevens. Dat houdt in dat zij een organisatie mogen vragen of deze persoonsgegevens van hen heeft vastgelegd en zo ja, welke. Zij hoeven geen reden te geven voor een inzageverzoek. De organisatie moet vervolgens aangeven:

  • of de organisatie zijn persoonsgegevens gebruikt, en zo ja:

  • om welke gegevens het gaat;

  • wat het doel is van het gebruik;

  • aan wie de organisatie de gegevens eventueel heeft verstrekt;

  • wat de herkomst is van de gegevens, als deze bekend is.

Recht om te wijzigen

Betrokkenen hebben het recht om correctie van hun persoonsgegevens te vragen. Dat houdt in dat zij een organisatie mogen vragen hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen.

Recht op beperking van de verwerking

De betrokkene heeft het recht op beperking van de verwerking, indien:

  • de juistheid van de persoonsgegevens wordt betwist, gedurende de periode die de verwerkingsverantwoordelijke nodig heeft om de juistheid te controleren;

  • de verwerking onrechtmatig is en de betrokkene zich verzet tegen het wissen en in plaats daarvan de beperking van het gebruik ervan verzoekt;

  • de verwerkingsverantwoordelijke de persoonsgegevens niet meer nodig heeft voor de verwerkingsdoeleinden, maar de betrokkene ze nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

  • de betrokkene bezwaar heeft gemaakt tegen de verwerking en in afwachting is van de vraag of het bezwaar gehonoreerd kan worden.

Indien de beperking wordt opgegeven, dan dient de verwerkingsverantwoordelijke de betrokkene daarvan op de hoogte te stellen. De verantwoordelijke dient alle ontvangers op de hoogte te stellen van de wissing, rectificatie of beperking van de verwerking van de persoonsgegevens, tenzij dit onmogelijk is of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt aan betrokkene op diens verzoek informatie over deze ontvangers.

Recht om vergeten te worden

Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene hierom vraagt. Het recht op vergetelheid geldt niet altijd. Alleen in specifieke situaties is het recht op vergetelheid van toepassing:

  • de gegevens zijn niet meer nodig

  • de betrokkene trekt zijn/haar toestemming tot verwerking in

  • de betrokkene maakt bezwaar tegen verdere opslag en verwerking van de gegevens

  • de verwerking is onrechtmatig wegens het ontbreken van een grondslag

  • de wettelijke bewaartermijnen zijn verstreken

  • de betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website

Recht op dataportabiliteit

Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun persoonsgegevens te hergebruiken en door te geven aan een andere organisatie. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken. Hierover zijn guidelines opgesteld.

Recht op bezwaar tegen geautomatiseerde individuele besluitvorming, waaronder profilering

De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. Zie voor meer details de wettekst.