Het vragen om een BSN nummer is beperkt toegestaan.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/burgerservicenummer-bsn
Het is wel een veld in Perfectview. Hoe daar mee om te gaan als wederverkopers van Perfectview?
Het vragen om een BSN nummer is beperkt toegestaan.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/burgerservicenummer-bsn
Het is wel een veld in Perfectview. Hoe daar mee om te gaan als wederverkopers van Perfectview?
Het feit dat de optie bestaat in het systeem dwingt niet om de gegevens af te geven toch?
Nee, dat klopt.
Ik moet het nog verder uitzoeken, een collega vertelde dat omdat je het aanbiedt ben je ook gedeeltelijk verantwoordelijk.
Dus mijn vraag zou eigenlijk moeten zijn, als mijn klant BSN nummers gaat verzamelen, zonder geldige reden, zijn wij dan ook verantwoordelijk.
In de nieuwe privacy wetgeving (AVG) wordt een onderscheid gemaakt tussen de verwerker van persoonsgegevens en de verwerkingsverantwoordelijke van de gegevens. De verwerkingsverantwoordelijke is de klant. Deze moet bepalen of de gegevens die verwerkt worden ook daadwerkelijk noodzakelijk zijn voor het verwerkingsdoel. Voor een overheidsinstantie is het misschien noodzakelijk om o.a. het BSN nummer te verwerken voor het doel waarvoor zij CRM inzetten, terwijl het voor een MKB bedrijf misschien niet het geval is.
PerfectView is de verwerker van de gegevens en heeft de verantwoordelijkheid om zorg te dragen voor een veilige verwerking van de gegevens. Het gaat hier dus niet om de daadwerkelijke data die is de velden wordt ingevoerd.
Ik ben geen jurist, maar ik ga ervan uit dat het BSN nummer specifiek ook onder deze wetgeving valt. Heeft er iemand een andere mening?
Dit klinkt logisch, maar ik ben absoluut geen jurist. Zou dit een issue zijn om nader uit te zoeken? Mocht het namelijk wel consequenties hebben, dan is dat wel even een dingetjeā¦
Ik durf hier het antwoord niet op te geven, we worstelen zelf ook enorm hier met alle implicaties van de nieuwe AVG. Maar aanhakend hierop, wat wel goed is om in gedachten te houden, als een klant wil dat zijn of haar gegevens (hetzij BSN, hetzij algemene gegevens) worden verwijderd, ze nog wel in het bronbestand op de servers van (even vertaald naar mijn specifieke geval) PerfectView staan. Hiermee blijven de gegevens -ondanks nadrukkelijk verzoek van de klant zelf- toch bewaard. Er zal in de praktijk niet heel zwaar aan getild worden (back up is goed te verdedigen) maar het is een grijs gebied waar onze juristen ook nog op aan het kauwen zijnā¦
Hier kan je een rapport laten maken of je klaar bent voor GDPR.
Zeer lastig en complex gebied als het gaat om privacy gevoelige informatie. BSN Nummer is Ć©Ć©n van de privacy gevoelige gegevens die je vast kunt leggen van een persoon.
Maar ook zaken als etnische afkomst, geslacht, religieuze overtuigingen e.d. worden als privacy gevoelige informatie beschouwd worden (dit gold ten dele ook al onder de huidige Wet bescherming persoonsgegevens WPB, zie Artikel 9 van de AVG).
Het bepalen wat wel en niet geregistreerd mag worden is hierin het startpunt. De AVG gaat hierin een stap verder dan de WBP. In de AVG wordt gesteld dat de verantwoordelijke voor de verwerking van de (persoons-)gegevens een register moet opstellen van de persoonsgegevens welke verwerkt worden (zie ook artikel 6 van de AVG).
In dit register moet duidelijk worden waarom / waarvoor de persoonsgegevens geregistreerd worden. De verantwoordelijke moet hierin verantwoorden waarom voor zijn bedrijfsvoering de gegevens noodzakelijk zijn.
Per bedrijf kan hier dus een verschil ontstaan wat je wel en niet kunt verantwoorden op basis van de sector/branche waarin je werkzaam bent.
Voor iedere persoon moet duidelijk zijn waarom en waarvoor zijn / haar gegevens verwerkt worden en indien de persoon hierom vraagt moet ook getoond kunnen worden welke gegevens geregistreerd zijn.
Registratie van het BSN Nummer zal in de praktijk dan ook voor veel organisaties niet te verantwoorden zijn als noodzaak voor het uitvoeren van je bedrijfsprocessen.
Als duidelijk is welke persoonsgegevens verantwoord verwerkt mogen worden, dien je je zorgen te maken over de technische en organisatorische maatregelen die je moet treffen om de privacy gevoelige gegevens te beschermen.
Vanaf dit punt start ook de verantwoordelijkheid van PerfectView. PerfectView moet gelijk aan de verantwoordelijke van de gegevens zich inzetten voor de juiste maatregelen om de gegevens te beschermen.
Je kunt hierbij denken aan processen in de PerfectView organisatie waar de informatieveiligheid centraal staat ( ISO 27001) en techniek die ongewenste toegang tracht te stoppen zoals firewalls, codering, etc.
Naast alle zorg om enkel die persoonsgegevens op te slaan welke te verantwoorden zijn voor het verwerkingsdoel kan iemand toch van mening zijn dat zijn / haar gegevens verwijderd dienen te worden.
Dit recht op gegevenswissing ook wel het ārecht op vergetelheidā genoemd kan door een betrokken verzocht worden (wel met meerdere voorwaarde als de gegevens zijn niet meer nodig voor verwerkingsdoel of b.v. zijn onrechtmatig verzameld.).
Als verwerkingsverantwoordelijke moet je de gegevens dan zonder onredelijke vertraging wissen. Als we specifiek naar de acties in PerfectView kijken zou het verwijderen van de relatie een optie zijn, echter dan zullen ook alle gekoppelde zaken verwijderd moeten worden.
Als dit niet gewenst is omdat deze historie van belang is voor statistiek zal minimaal de relatiekaart geschoond moeten worden. Praktisch het leegmaken van de persoonsgegevens velden als naam, achternaam, BSN nummer etc.
De gegevens zijn dan per direct uit de actieve database van PerfectView verwijderd, hierin zit geen vertraging. De backups zijn natuurlijk nog wel intact, echter na het verlopen van de backup bewaartermijn (PerfectView behoud maximaal 3 maanden aan backups) zal ook deze bron verwijderd zijn. Het feit dat voor het verwijderen van de backups nog 3 maanden gewacht moet worden zie ik in deze niet als onredelijk. Het is technisch en economisch niet te verantwoorden om specifiek voor ƩƩn persoon de backups te vernietigen en hiermee een risico te creƫren voor de verwerkende organisatie.
In de praktijk zal, na 25 mei 2018, nog op veel punten bepaald gaan en moeten worden hoe de AVG toegepast moet worden, pas dan zullen we een compleet inzicht hebben in de aanpassingen die nodig zijn in organisaties en systemen.
Heldere toelichting, dank.
Wist ook niet dat de back uptermijn van PV 3 maanden was, dat lijkt me inderdaad geen onredelijke termijn.
Hebben jullie onderstaande artikelen gezien van Edwin?
Hij heeft een aantal artikelen geschreven op de communityblog over de AVG. Het is een serie van artikelen, dus er volgen er nog meer. Naar mijn mening erg nuttig om eens goed door te lezen!