AVG & HDN Standaard

Sinds mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. HDN heeft meerdere maatregelen hiervoor genomen waaronder classificatie van alle gegevens binnen de HDN datacatalogus. Het totaaloverzicht van de maatregelen is hier terug te vinden. Deze pagina bevat de details over de AVG i.c.m. de HDN Standaard.

Voor de volledige HDN-datacatalogus is samen met een aantal ketenpartijen een classificatie van alle gegevens gedaan. Daarbij is bepaald of de velden (bijzondere) persoonsgegevens bevatten en wat de doelbinding is voor deze gegevens.

Doelbinding
Doelbinding voor alle velden is: het sluiten van een overeenkomst door de aanvrager ter verkrijging van een product (hypotheek, krediet of verzekering) en de bijbehorende berichten en communicatie.

Bijzondere persoonsgegevens
• Doelbinding generiek gaat hier niet op. Er moet een wettelijke grondslag zijn
• Bijzondere persoonsgegevens zijn volgens de AVG: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het het lidmaatschap van een vakbond blijken, of genetische gegevens, biometrische gegevens met het oog op unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Ook persoonsgegevens van strafrechtelijke aard of een nummer dat ter identificatie van een persoon bij wet is voorgeschreven worden onder de Uitvoeringswet AVG de facto als bijzonder beschouwd.

Maatregelen vooraf aan introductie AVG (mei 2018)

Eerste maatregel is classificatie van de volledige HDN gegevensset. Hierbij zijn 3 categorieën bijzondere persoonsgegevens bepaald:
– BSN: maatschappijspecifiek gemaakt in de LX bij het ontbreken van een wettelijke grondslag. Voor de overige berichten (AX/KX) is de renseigneringsplicht genoemd (plicht van banken om obv BSN gegevens uit te wisselen met de Belastingdienst)
– Gegevens m.b.t. gezondheid (RokerJN, OoitGerooktJN, RokenDtTotWanneer, GoedeGezondheidJN en GezondeLevensstijlJN): geen wettelijke grondslag, was reeds maatschappijspecifiek
– Gegevens m.b.t. strafrechtelijk verleden (StrafrechtelijkVerledenJN): geen wettelijke grondslag, was reeds maatschappijspecifiek

Tweede maatregel betreft de juiste doelbinding van de generieke gegevenssets: deze mag niet méér gegevens bevatten dan de ketenpartijen nodig hebben om de klant een product aan te kunnen bieden. Dit is geborgd in de HDN Standaard d.m.v controlelijsten bij mutaties binnen de HDN Standaard. Wanneer een partij bij een generiek veld constateert dat er gegevens in het bericht staan die zij niet nodig hebben, dan kan er een wijzigingsvoorstel worden gedaan aan de Standaard-werkgroepen om dit veld maatschappijspecifiek te maken.

Derde maatregel betreft de juiste doelbinding van de maatschappij specifieke gegevenssets: hierbij geldt dat partijen zelf bepalen of zij dit veld in hun bericht opnemen.