Welke persoonsgegevens mag ik straks nog opslaan?
De door veel ondernemers gevreesde datum van 25 mei 2018 komt met rasse schreden naderbij. Op die dag wordt de Algemene verordening gegevensbescherming (AVG) van toepassing, de privacywet die de omgang met persoonsgegevens radicaal opschudt. Aan welke eisen moet een financieel adviseur, die over een schat aan
persoonsgegevens beschikt, straks voldoen? “Welke gegevens moet ik wel bewaren, wat mag er juist niet”, vraagt Theo Oskam van kantoor JijenWij.
“Weer een regel”, verzucht Oskam, over de AVG. De adviseur vraagt zich af wat hij met deze nieuwe privacywet moet. “We staan op Facebook zonder aarzelen de rechten op onze foto’s af. We accepteren bovendien snel en ongelezen voortdurend allerlei algemene voorwaarden. De rol van bewustwording vind ik tot nu toe in de discussies over de AVG te weinig naar voren komen. Maar vooral zou ik willen weten wat ik als assurantieadviseur wel moet bewaren en wat niet. Wat mag ik straks nog? En wat beslist niet?”
Om die vragen te beantwoorden, is het goed eerst na te gaan over welke gegevens de wet eigenlijk gaat, vindt het panel. “In feite zijn dat alle gegevens waarmee je personen kunt identificeren. Naam, adres, telefoonnummer, bankrekening, gezondheidsgegevens, verklaring omtrent gedrag, BSN, enzovoort”, zegt zelfstandig advocaat Jolanda Aalten, die gespecialiseerd is in arbeidsrecht en privacy. “Elk assurantiekantoor zit barstensvol met die gegevens. Daar moet je je heel goed van bewust zijn. Het draait om gesystematiseerde bestanden, die kunnen ook op papier staan. De wet geldt dus ook voor de meterslange dossierkasten in veel kantoren.”
“De ingrijpendste verandering voor de sector is dat veel bedrijven uit een cultuur komen waarin alles wordt vastgelegd en jaren werd vastgehouden”, zegt Jeroen Oversteegen van de Nationale Hypotheekbond en de Contactgroep Automatisering. “Daar ligt een mogelijk gevaar voor de consument. Je kunt die data onbeperkt combineren en dan krijgen die gegevens een voorspellende waarde.”
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
1. NU GEBUNDELD IN ÉÉN GRATIS DIGITALE UITGAVE
DE BESTE ARTIKELEN VAN AM: 2017
HET BESTE VAN 2017
2. 30 : NUMMER 36
het consult
“Weer een regel”, verzucht Oskam, over de AVG.
De adviseur vraagt zich af wat hij met deze
nieuwe privacywet moet. “We staan op Face-
book zonder aarzelen de rechten op onze foto’s af. We accepteren boven-
dien snel en ongelezen voortdurend allerlei algemene voorwaarden. De
rol van bewustwording vind ik tot nu toe in de discussies over de AVG te
weinig naar voren komen. Maar vooral zou ik willen weten wat ik als
assurantieadviseur wel moet bewaren en wat niet. Wat mag ik straks
nog? En wat beslist niet?”
Om die vragen te beantwoorden, is het goed eerst na te gaan over welke
gegevens de wet eigenlijk gaat, vindt het panel. “In feite zijn dat alle
gegevens waarmee je personen kunt identificeren. Naam, adres, telefoon-
nummer, bankrekening, gezondheidsgegevens, verklaring omtrent ge-
Welke persoonsgegevens
mag ik straks nog opslaan?
De door veel ondernemers gevreesde datum van 25 mei 2018 komt met rasse schreden naderbij. Op die dag
wordt de Algemene verordening gegevensbescherming (AVG) van toepassing, de privacywet die de omgang met
persoonsgegevens radicaal opschudt. Aan welke eisen moet een financieel adviseur, die over een schat aan
persoonsgegevens beschikt, straks voldoen? “Welke gegevens moet ik wel bewaren, wat mag er juist niet”, vraagt
Theo Oskam van kantoor JijenWij.
DOOR PAUL DE KUYPER : FOTOGRAFIE PETER STRELITSKI
HET CONSULT
Het Consult is een initiatief van am:magazine
en Bureau DFO. Intermediairs kunnen hun vraag
in een interactieve sessie voorleggen aan een pa-
nel dat in samenstelling wisselt al naar gelang de
aard van de vraag. De redactie van am:magazine
legt het gesprek vast in een artikel. De panelleden
houden de vinger aan de pols bij het intermediair.
Meedoen? Stuur een mail met uw vraag naar
redactie@amweb.nl.
3. 10 NOVEMBER 2017 : 31
drag, BSN, enzovoort”, zegt zelfstandig advo-
caat Jolanda Aalten, die gespecialiseerd is in
arbeidsrecht en privacy. “Elk assurantiekantoor
zit barstensvol met die gegevens. Daar moet je
je heel goed van bewust zijn. Het draait om
gesystematiseerde bestanden, die kunnen ook
op papier staan. De wet geldt dus ook voor de
meterslange dossierkasten in veel kantoren.”
“De ingrijpendste verandering voor de sector is
dat veel bedrijven uit een cultuur komen
waarin alles wordt vastgelegd en jaren werd
vastgehouden”, zegt Jeroen Oversteegen van de
Nationale Hypotheekbond en de Contactgroep
Automatisering. “Daar ligt een mogelijk gevaar
voor de consument. Je kunt die data onbeperkt
combineren en dan krijgen die gegevens een
voorspellende waarde.”
LEGITIEM DOEL
Maar wat mag ik opslaan, is er een basisregel,
vraagt Oskam. “Nog veel, mits noodzakelijk en
niet langer dan nodig”, reageert Bettie Hoog-
steen van Adfiz. De brancheorganisatie werkt
aan hulpmiddelen voor adviseurs om zich voor
te bereiden op de AVG, zoals een gedragscode,
een privacystatement en een modelverwerkers-
overeenkomst (zoals de bewerkersovereen-
komst binnen de AVG heet) waarin afspraken
staan tussen degene die verantwoordelijk is
voor de gegevens en degene die ze verwerkt.
Adfiz stemt deze documenten af met de Autori-
teit Persoonsgegevens. “Je moet wel duidelijke
doelomschrijvingen hebben”, vervolgt Hoog-
steen. “Dat moeten legitieme doelen zijn.
Formuleer je ze niet goed, dan is het verzame-
len van die gegevens onrechtmatig.” Dat bete-
kent overigens niet dat je altijd toestemming
nodig hebt van de klant, vult advocaat Aalten
aan. “Het sluiten van een verzekering of hypo-
theek is een gerechtvaardigd doel. Daar mag je
de gegevens van de klant voor gebruiken.”
Maar mag een makelaar in onroerend goed een
lead doorgeven aan een hypotheekbemidde-
GEGEVENSBESCHERMING ANNO 25 MEI 2018
De Algemene verordening gegevensbescherming (AVG) is de nieuwe privacy-
wetgeving die geldt in de hele Europese Unie. De AVG vervangt de nationale
Wet bescherming persoonsgegevens. Die vervanging was onder andere nodig
omdat digitalisering heeft geleid tot compleet andere vragen rondom de be-
scherming van persoonsgegevens. Ook is het risico op misbruik toegenomen.
Consumenten krijgen binnen de AVG meer rechten en de eisen voor het gebruik,
het bewaren en de verwerking van hun gegevens zijn strenger. De AVG is al op
24 mei 2016 in werking getreden, maar wordt pas van toepassing vanaf 25 mei
2018. Deze overgangsperiode van twee jaar is voor zowel ondernemers als toe-
zichthouders bedoeld om zich voor te bereiden op de wet. In Nederland ziet de
Autoriteit Persoonsgegevens toe op naleving van de wet. Overtreding kan leiden
tot flinke boetes, tot € 20 miljoen of 4% van de wereldwijde jaaromzet.
laar? “Niet als de klant van niets weet. Maar
wel als je er transparant over bent”, geeft
Oversteegen aan. “De doelomschrijving moet
helder en kenbaar zijn.” Al ziet hij ook een
spanningsveld. “Er gaan nieuwe technische
mogelijkheden ontstaan. Voor een taxatie maak
ik een foto van een huis. Voor de deur staat een
auto. Het is niet ingewikkeld om het kenteken
uit te lezen en een aanbod te doen voor een
autoverzekering. Als dit niet van te voren
afgesproken is, mag dit natuurlijk niet.”
“Kan ik in mijn dienstverleningsovereenkomst
opnemen dat ik de gegevens alleen rechtmatig
gebruik? Ben ik dan gevrijwaard”, wil Oskam
weten. “Dat is onvoldoende”, zegt Hoogsteen.
“Dan weten klanten nog niet welke gegevens je
opslaat. Je kunt wel verwijzen naar het priva-
cystatement en het verwerkingsregister.”
Binnen de AVG is iedere ondernemer verplicht in
zo’n register het gebruik van persoonsgegevens te
documenteren. Aalten: “Per systeem dat je
gebruikt, geef je aan wat het doel is van de ver-
werking, wie de betrokkenen zijn, welke gegevens
je opslaat en hoe, aan wie je ze verstrekt, hoe lang
je ze bewaart. Belangrijk is dat je kunt aantonen
dat je gegevens op een veilige manier opslaat.”
‘FORMULEER JE HET DOEL NIET
GOED, DAN IS HET VERZAMELEN
VAN PERSOONSGEGEVENS NIET
RECHTMATIG’
4. 32 : NUMMER 36
het consult
geld, maar de AVG is impactvol. Die dossiers
moeten dus in de papierversnipperaar.”
“Stel, een klant heeft een ORV met een looptijd
van 15 jaar en een hypotheek die 30 jaar loopt”,
noemt Oversteegen een voorbeeld. “Nu over-
lijdt de klant na 20 jaar, zijn partner vraagt:
mag ik even vangen? Maar de adviseur heeft
die ORV weggegooid.” Hoogsteen reageert:
“Die ORV heb je samen met de hypotheek
afgesloten, dat lijkt me een goede grond om de
minimaal noodzakelijke gegevens te bewaren
zolang de hypotheek loopt.”
GEGEVENS OVERDRAGEN
Binnen de AVG mag de klant ook zelf verzoe-
ken om gegevens te verwijderen. Wat doe je
dan als adviseur, als ORV en hypotheek nog
lopen? Het panel vindt het lastig. Oversteegen:
“Als de klant wil dat de adviseur niets van hem
bewaart, denk ik dat je wel moet verwijderen.
Of dat je zegt: ik bewaar het nog, maar ga niet
meer verwerken.” Aalten: “Bewaren is ook
verwerken.” Oversteegen: “Ik zoek een vorm:
bewaren, maar geen analyses meer doen. Een
soort statisch dossier.” Hoogsteen: “Als de klant
alles gewist wil hebben, zal je dat moeten doen,
maar hem wijzen op de gevolgen. Bij wijze van
spreken houd je een dossier over met daarin
nog één briefje: ‘Klant heeft verzocht alle
gegevens te verwijderen’. Tenzij er nog een
andere rechtsgrond is voor de verwerking,
zoals het uitvoeren van een overeenkomst.”
In het verlengde van verwijderen, ligt het recht
op dataportabiliteit. Hoogsteen: “De AVG
bepaalt dat consumenten het recht hebben
“Hoe kan ik vastleggen met wie ik allemaal
contact heb”, vraagt Oversteegen. “Zodra je met
een klant appt over een schade heb je een
persoonsgegeven gecreëerd.” Hoogsteen: “In-
derdaad, hoe meer media je gebruikt, hoe beter
je het in de gaten moet houden.”
DATAMINIMALISATIE
Ingewikkelder wordt het ook als het gaat om
gegevens van derden, stellen de panelleden. Mag
je als adviseur in het kader van een schadedossier
nog gegevens van een tegenpartij opslaan?
Hoogsteen: “Je moet er in ieder geval transparant
over zijn en die persoon informeren. Maar als hij
geen toestemming geeft, kom je in een grijs
gebied. We zijn hier nog zoekende.” En hoe zit
het met het schadeaangifteformulier, waar
gegevens van derden op staan? Oversteegen: “Ik
kan me voorstellen dat als je dat wilt bewaren
voor het schadedossier van je eigen klant, je
bepaalde gegevens van derden verwijdert.”
Daar noemt Oversteegen een heikel punt:
verwijderen. In de AVG geldt dataminimalisatie.
Aalten: “Je mag gegevens alleen bewaren voor
de tijd dat je ze nodig hebt, daarna moet je ze
verwijderen.” Betekent dat ook het einde van de
dossierkasten in menig kantoor? Hoogsteen: “Ik
denk dat er aardig wat op te schonen valt:
overeenkomsten die zijn afgelopen, mensen die
geen klant meer zijn. Inderdaad, dat kost veel
Theo Oskam is directieadviseur en directeur bij finan-
cieel adviesbureau JijenWij in Amsterdam. Daarnaast
uitgever van o.a. Brenno de Winter, wiens laatste boek
Digitale stormvloed over de AVG gaat.
LESSONS LEARNED
• De AVG gaat over alle persoonsgegevens, of die nou opgeslagen zijn in digitale
bestanden of in papieren dossiermappen.
• Je mag gegevens alleen opslaan met een legitiem doel.
• Het is belangrijk dat je kunt aantonen dat je persoonsgegevens op een veilige
manier opslaat.
• Iedere ondernemer moet in een verwerkingsregister vastleggen hoe, waarvoor
en hoe lang hij persoonsgegevens gebruikt.
• Je mag persoonsgegevens alleen bewaren voor de tijd dat je ze nodig hebt
voor het doel dat afgesproken is.
• Klanten hebben het recht hun gegevens over te dragen van de ene verant-
woordelijke naar de andere.
5. 10 NOVEMBER 2017 : 33
HETPANEL
VERKOOP
Wat gebeurt er als een kantoor wordt verkocht,
vraagt het panel. Nu hoort de klant achteraf
dat zijn dossier is overgedragen aan een ander
bedrijf. Hoe moet dat straks? Aalten: “Dat is
een serieus probleem, ik kom er nog niet uit. Je
moet klanten in elk geval informeren. Geven ze
geen toestemming, dan moet je hun gegevens
waarschijnlijk vernietigen.” Oversteegen ver-
wacht dat er bij overnames een overgangsrege-
ling komt. “Beste klant, u heeft een maand de
tijd om aan te geven of u het ermee eens bent
dat u klant wordt bij een nieuwe adviseur.” Dat
zou grote gevolgen hebben. Instemming van de
klant wordt dan nodig voor overdracht. Dat is
ook belangrijk voor de prijsstelling, realiseert
het panel zich. Niemand durft met zekerheid te
stellen hoe dat straks zal gaan. Hoogsteen:
“Het is niet iets dat alleen de adviesbranche
raakt, dit speelt bij alle bedrijven.”
STAPPEN MAKEN
“Ik schrik hier van”, geeft Oskam aan het eind
van het consult aan. “Er komt veel op adviseurs
af. Het is goed dat deze discussie nu gevoerd
wordt, want ik wil het naadje van de kous weten.
Ik wil in het belang van mijn klanten en van mijn
kantoor de juiste stappen kunnen zetten.” Hoog-
steen denkt overigens niet dat de toezichthouder
al vanaf dag één sancties zal opleggen. Aalten
knikt instemmend. “Zolang je maar kunt aanto-
nen wat je allemaal doet. Belangrijk is dat je laat
zien dat je al grote stappen hebt gemaakt.”
Stappen maken is precies wat het panel assu-
rantieadviseurs aanraadt. Oversteegen: “Je
moet er tijd aan besteden. Laat zien dat je
voortgang boekt.” Aalten vult aan: “Ik zou
starten met een verwerkingsregister op te
stellen. Bedenk welke persoonsgegevens je
allemaal hebt, en volg de berichtgeving over de
eisen uit de AVG.” Hoogsteen van Adfiz wil
daar graag bij helpen. “Laat je bij de hand
nemen. Zo’n verwerkingsregister opstellen lukt
je alleen met praktische hulp.”
Jolanda Aalten is zelfstandig
advocaat arbeidsrecht en privaat-
recht. Ze houdt kantoor in Den
Haag. Aalten behandelt veel priva-
cyzaken voor de Algemene Bond
Uitzendondernemingen en in
toenemende mate voor andere
organisaties.
Bettie Hoogsteen is senior advi-
seur public affairs en beleid bij
brancheorganisatie Adfiz. Ze houdt
zich o.a. bezig met pensioenen en
op dit moment ook met de privacy-
regelgeving en de ondersteuning
van Adfiz-leden om tijdig te kunnen
voldoen aan de AVG.
Jeroen Oversteegen is directeur
van de Nationale Hypotheekbond
die software ontwikkelt voor
intermediairs. Is daarnaast secre-
taris van de Contactgroep Automa-
tisering en volgde een opleiding tot
privacy-officer om meer te leren
over de bescherming van per-
soonsgegevens.
verstrekte gegevens over te dragen van de ene
verantwoordelijke naar de andere.” Dat kan
ook een adviesdossier zijn, beaamt het panel.
Adviseur Oskam ziet een bezwaar: “Dat zijn
economische gegevens, ik heb daar geld inge-
stoken.” Andersom geldt die dataportabiliteit
echter ook, nuanceert Oversteegen. “De klant
kan een verzekeraar verzoeken zijn gegevens
allemaal over te dragen aan zijn tussenpersoon.
Als adviseur hoef je alleen maar de klant te
vragen een briefje te schrijven.”
6. HET TEAM VAN AM:
WENST U EEN
HEEL GOED
EN GEZOND 2018!
LEES NOG MEER ARTIKELEN OP WWW.AMWEB.NL