Trends

Aan de slag met AVG: tien aandachtspunten

25 juni 2018 Leestijd ± 3 minuten 168 views

Leuk is het niet, maar hypotheekadviseurs zullen er ook mee aan de slag moeten, zeker als ze nog niet zijn begonnen. Dit was de boodschap van Patricia Boer van FlexFront over AVG. Maar wat voor actie moet een hypotheekadviseur concreet nemen? Jan Jaap Hangelbroek, Director risk & compliance bij MUNT Hypotheken deelt een tiental aandachtspunten.

1. Vraag om toestemming

“Persoonsgegevens verwerken mag alleen op basis van een rechtsgeldige reden. Je kunt apart om toestemming vragen, maar het kan ook door middel van de dienstverleningsovereenkomst. Het moet in ieder geval duidelijk zijn dat de klant toestemming heeft gegeven. Daarbij moet de klant van tevoren geïnformeerd worden hoe zijn gegevens worden verwerkt en wat ermee gebeurt.”

2. Geef duidelijkheid hoe lang gegevens worden bewaard

“Leg dit van tevoren vast. Hoe lang wordt een dossier bewaard van iemand van wie de aanvraag wordt afgewezen? Hoe lang als de bemiddeling wel tot stand komt? Daarbij moet je er ook voor zorgen dat de gegevens uiteindelijk ook echt gewist worden.”

3. Zorg voor een verwerkingsregister

“Je moet aantonen waar en hoe je persoonsgegevens verwerkt, hoe je omgaat met het zogeheten verwerkingsregister. De beveiliging daarvan moet ook aantoonbaar goed geregeld zijn en klanten moeten hun eigen persoonsgegevens in kunnen zien. Het gaat hierbij om discipline. Communiceer bijvoorbeeld alleen met de klant vanuit een bepaald softwaresysteem.”

4. Verzamel niet meer informatie dan nodig

“De hoeveelheid gegevens die wordt verzameld moet in lijn zijn met de dienstverlening die de klant afneemt. Het kan zijn dat een tussenpersoon ook voor verzekeringen bemiddelt, maar als de klant alleen iets wil met een hypotheek, dan zijn gegevens over zijn gezondheid niet relevant.”

5. Informeer de klant dat zijn gegevens naar hypotheekverstrekkers gaan

“Als wij als geldverstrekker gegevens binnenkrijgen voegen we een privacyverklaring toe aan het rente-aanbod voor de klant. Toch denk ik dat het voor adviseurs belangrijk is om duidelijk te maken dat zij persoonsgegevens gaan delen met een aantal hypotheekaanbieders. Dat hoort bij het proces van een hypotheekaanvraag, maar informeer de klant vooraf en zeg er ook bij dat hij bij het BKR wordt getoetst.”

6. Wissel zoveel mogelijk op anonieme basis informatie uit met hypotheekaanbieders

“In de oriënterende fase kunnen veel relevante vragen best op anonieme basis worden gesteld. Naam, toenaam en adres zijn daarvoor niet nodig, het is genoeg om te delen dat een klant voor een bepaald bedrag met een bepaald inkomen een huis wil kopen. Pas als je daar niet mee verder komt moet je persoonsgegevens insturen.”

7. Zorg voor een verwerkingsovereenkomst met leveranciers

“Elk bedrijf heeft wel een ict-systeem of werkt met een leverancier van softwarediensten. Daarbij worden gegevens verwerkt. Als verwerkingsverantwoordelijke heb je dan in feite een deel van de verwerking uitbesteed. Ook als je een partij hebt die al je dossiers op orde maakt, dan is dat verwerking. Met alle verwerkers moet je zogenaamde verwerkingsovereenkomsten afsluiten waarin je afspreekt dat zij ook netjes omgaan met persoonsgegevens.”

8. Zorg dat de klant data kan meenemen

“Klanten hebben ook recht op dataportabiliteit. Dat betekent dat de klant kan vragen om al zijn persoonsgegevens in een vorm op te leveren die voor een machine leesbaar is zodat hij deze informatie naar een andere tussenpersoon kan sturen.”

9. Meld datalekken

“Er is meldplicht voor datalekken. Als er een datalek heeft plaatsgevonden, dan moet dat worden gemeld bij de Autoriteit Persoonsgegevens. Het gaat hierbij niet alleen om een hack. Het kan ook zijn dat een medewerker per ongeluk informatie naar de verkeerde persoon stuurt.”

10. Zorg dat privacy zo veel mogelijk automatisch is gewaarborgd

“Dat heeft ‘privacy by default’ en betekent dat je in de manier waarop je al je processen en al je dienstverlening inricht privacy meeneemt. Ga daarbij in eerste instantie uit van het principe, als ik niet zeker weet of het veilig is, doe ik het niet. Als je dat doet voldoe je ook automatisch aan alle regels.”