AVG & HDN Standaard

Deze pagina bevat informatie over zaken m.b.t de AVG:
1. Doelbinding
2. Bijzondere persoonsgegevens
3. Maatregelen vooraf aan introductie AVG
4. {Update 12 sept 2019} BSN


Doelbinding

Sinds mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. HDN heeft meerdere maatregelen hiervoor genomen waaronder classificatie van alle gegevens binnen de HDN datacatalogus. Het totaaloverzicht van de maatregelen is hier terug te vinden. Deze pagina bevat de details over de AVG i.c.m. de HDN Standaard.

Voor de volledige HDN-datacatalogus is samen met een aantal ketenpartijen een classificatie van alle gegevens gedaan. Daarbij is bepaald of de velden (bijzondere) persoonsgegevens bevatten en wat de doelbinding is voor deze gegevens.

Doelbinding voor alle velden is: het sluiten van een overeenkomst door de aanvrager ter verkrijging van een product (hypotheek, krediet of verzekering) en de bijbehorende berichten en communicatie.


Bijzondere persoonsgegevens

• Doelbinding generiek gaat hier niet op. Er moet een wettelijke grondslag zijn
• Bijzondere persoonsgegevens zijn volgens de AVG: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het het lidmaatschap van een vakbond blijken, of genetische gegevens, biometrische gegevens met het oog op unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Ook persoonsgegevens van strafrechtelijke aard of een nummer dat ter identificatie van een persoon bij wet is voorgeschreven worden onder de Uitvoeringswet AVG de facto als bijzonder beschouwd.


Maatregelen vooraf aan introductie AVG

Eerste maatregel is classificatie van de volledige HDN gegevensset. Hierbij zijn 3 categorieën bijzondere persoonsgegevens bepaald:
– BSN: maatschappijspecifiek gemaakt in de LX bij het ontbreken van een wettelijke grondslag. Voor de overige berichten (AX/KX) is de renseigneringsplicht genoemd (plicht van banken om obv BSN gegevens uit te wisselen met de Belastingdienst)
– Gegevens m.b.t. gezondheid (RokerJN, OoitGerooktJN, RokenDtTotWanneer, GoedeGezondheidJN en GezondeLevensstijlJN): geen wettelijke grondslag, was reeds maatschappijspecifiek
– Gegevens m.b.t. strafrechtelijk verleden (StrafrechtelijkVerledenJN): geen wettelijke grondslag, was reeds maatschappijspecifiek

Tweede maatregel betreft de juiste doelbinding van de generieke gegevenssets: deze mag niet méér gegevens bevatten dan de ketenpartijen nodig hebben om de klant een product aan te kunnen bieden. Dit is geborgd in de HDN Standaard d.m.v controlelijsten bij mutaties binnen de HDN Standaard. Wanneer een partij bij een generiek veld constateert dat er gegevens in het bericht staan die zij niet nodig hebben, dan kan er een wijzigingsvoorstel worden gedaan aan de Standaard-werkgroepen om dit veld maatschappijspecifiek te maken.

Derde maatregel betreft de juiste doelbinding van de maatschappij specifieke gegevenssets: hierbij geldt dat partijen zelf bepalen of zij dit veld in hun bericht opnemen.


BSN

In verschillende HDN-berichten is het BSN van de aanvrager aanwezig. Voor alle velden die persoonsgegevens kunnen bevatten is door de HDN projectgroep AVG generiek de doelbinding vastgesteld: “het sluiten van een overeenkomst door de aanvrager ter verkrijging van een product (hypotheek, krediet of verzekering) en de bijbehorende berichten en communicatie.” Aanvullend hierop geldt dat voor BSN een wettelijke plicht nodig is, hiervoor kan in bepaalde gevallen bijvoorbeeld de renseigneringsplicht gelden. Het is de verantwoordelijkheid van de aanbieder om per berichtsoort te bepalen of zij deze wettelijke plicht hebben. Zij kunnen in elke berichtsoort ervoor kiezen om het BSN al dan niet op te nemen en dit conditioneel, bijvoorbeeld productafhankelijk, verplicht te stellen. Wanneer de aanbieder ervoor kiest het BSN in het schema op te nemen, dient de aanbieder de doelbinding expliciet te (kunnen) maken aan de insturende partij.

De partij die de aanvraag instuurt, bijvoorbeeld de financieel adviseur, mag het BSN in het proces dus verwerken ten behoeve van de aanbieder waar hij de aanvraag naartoe stuurt. In de aanstellingsovereenkomst tussen de aanbieder en de insturende partij kunnen aanvullende afspraken gemaakt worden over de verwerking van persoonsgegevens. Onverkort geldt voor de insturende partij ook dat zij de gegevens niet langer mogen bewaren dan noodzakelijk is voor het doel van de verwerking. Wanneer het proces met de aanbieder is afgerond en er geen andere grondslag meer is dan hierboven genoemd, mag het BSN dus niet meer worden opgeslagen.

{Update 12 sept 2019} Naar aanleiding van de verduidelijking die de Autoriteit Persoonsgegevens (AP) recentelijk heeft gegeven over het verwerken van BSN, is in samenwerking met andere branche-organisaties geconcludeerd dat het niet is toegestaan voor zowel aanbieders als andere partijen in de keten als tussenpersonen om het BSN van een klant te verwerken in het aanvraagtraject. Om deze reden is besloten om het veld BSN met ingang van HDN 19.1 te verwijderen uit de aanvraagberichten.

{Update 26 sept 2019} Gezien de grote impact op het aanvraagproces hypotheken zal bovenstaande wijziging voor wat betreft de AX worden doorgeschoven naar HDN 20. Wel wordt de omschrijving van het veld, vooruitlopend op deze wijziging, gewijzigd naar: ‘‘Geeft het Burgerservicenummer weer. Minimaal 8 tekens, maximaal 9 tekens, voorloop nul is toegestaan. (Let op! Alleen toegestaan voor intern gebruik met wettelijke grondslag. Veld wordt per HDN 20 uitgefaseerd!)’.