Lees hier meer over onze privacy- en cookieverklaring...

Privacy verklaring & andere juridische informatie

Hypotheekhulp.nl neemt de regelgeving met betrekking tot de bescherming van uw persoonsgegevens serieus en hecht veel waarde aan de bescherming van uw privacy. Vandaar dat het nakomen van de wettelijke bepalingen ter bescherming van persoonsgegevens vanzelfsprekend is.

Om er zeker van te zijn dat u volledig op de hoogte bent van het beleid dat wij hanteren met betrekking tot het verzamelen, verwerken, gebruiken, opslaan en beschermen van uw persoonsgegevens, hebben wij dit Privacy statement opgesteld. U kunt deze te allen tijde op onze website raadplegen.

Hypotheekhulp.nl adviseert over en bemiddelt in financiële diensten en producten. Hierbij verwerken wij veel persoonsgegevens. Die gebruiken wij bijvoorbeeld om op uw verzoek een verzekeringspolis aan te vragen of om u te vertegenwoordigen bij een verzekeraar in geval van een schade. Wij nemen onze verantwoordelijk serieus om uw persoonsgegevens zo goed mogelijk te beschermen.

Persoonsgegevens die wij verwerken

Wij verwerken persoonsgegevens over u doordat u gebruik maakt van onze diensten en/of omdat u deze gegevens zelf aan ons verstrekt.

Hieronder een overzicht van de persoonsgegevens die wij verwerken:

  • contactgegevens, zoals naam, adres, woonplaats, telefoonnummer, en emailadres;
  • leeftijd, geslacht, burgerlijke staat;
  • gegevens met betrekking tot paspoort, rijbewijs of een ander identiteitsbewijs (soms vragen we om een kopie van een identiteitsbewijs);
  • gegevens over dienstverband, inkomen, beroep en werkgever;
  • gegevens over financiële situatie, vermogen, en eventuele schulden;
  • gegevens over huidige financiële producten, zoals bankrekeningen of verzekeringen;
  • bijzondere persoonsgegevens, bijvoorbeeld gezondheid (in sommige gevallen);
  • gegevens over eventuele strafrechtelijke feiten, fraudeaspecten (indien relevant);
  • gegevens ingediende claims/claimhistorie;
  • mogelijk nog andere niet genoemde gegevens benodigd om onze dienstverlening aan u uit te kunnen voeren.

Wanneer wij gezondheidsgegevens of strafrechtelijke gegevens verwerken, doen we dat uiterst zorgvuldig, en doorgaans alleen met uw toestemming.

Waarom we gegevens nodig hebben

Wij verwerken uw persoonsgegevens, voor de volgende doelen:

  • om u gebruik te kunnen laten maken van onze dienstverlening;
  • om voor u te bemiddelen in financiële producten of diensten en het geven van advies over deze producten;
  • om het kunnen reproduceren van gegevens voor verzekeringsdoeleinden;
  • om bij onze dienstverlening beter te kunnen inspelen op uw persoonlijke situatie;
  • om met en voor u overeenkomsten te kunnen sluiten en deze uit te kunnen (laten) voeren en na te kunnen (laten) komen;
  • om opdrachten overeen te komen en/of uit te kunnen (laten) voeren;
  • om de (potentiële) klantrelatie verder uit te breiden door informatie en marketingactiviteiten;
  • om een financiële administratie te voeren;
  • om het verrichten van statistische analyses;
  • om te kunnen voldoen aan wettelijke verplichtingen.

Wat zijn de rechtsgronden voor verwerking van uw gegevens?

Wij gebruiken tenminste een van de volgende gronden voor de verwerking van uw persoonsgegevens:

  • het uitvoeren van een overeenkomst voor een financieel product of een financiële dienst;
  • het kunnen voldoen aan een wettelijke verplichting die op ons rust, bijvoorbeeld het voldoen aan onze wettelijke zorgplicht gedurende de looptijd van een financieel product dat via onze bemiddeling tot stand gekomen is of het voldoen aan wettelijke termijnen voor het bewaren van gegevens;
  • de uitdrukkelijke toestemming die u heeft gegeven om gegevens te verwerken voor specifieke doeleinden. Deze toestemming kunt u altijd weer intrekken;
  • voor de behartiging van onze gerechtvaardigde belangen in het kader van onze bedrijfsvoering of die van een derde. Wij maken hierbij steeds de afweging tussen uw belangen en die van ons. Onze belangen betreffen onder andere de zorgvuldige uitvoering van overeenkomsten met jou, het onderhouden en eventueel uitbouwen van onze klantrelatie via eventueel direct-marketing en/of profilering gericht op marketing.

Hoe lang we gegevens bewaren

Wij zullen uw persoonsgegevens niet langer bewaren dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld. Als onze relatie of overeenkomst eindigt dan bewaren wij uw gegevens gedurende de wettelijke bewaartermijnen die voor ons gelden.

Wat zijn uw rechten?

U heeft specifieke rechten ten aanzien van de verwerking van uw persoonsgegevens. Hierover kunt u altijd contact met ons opnemen.

Dat geldt zeker ook voor de volgende onderwerpen:

  • of wij uw persoonsgegevens verwerken;
  • de manier waarop wij uw persoonsgegevens verwerken;
  • inzage in de persoonsgegevens die wij van u verwerken;
  • bezwaren tegen het verwerken van uw persoonsgegevens;
  • aanpassing van uw persoonsgegevens als deze (mogelijk) onjuist zijn verwerkt;
  • beperking van uw persoonsgegevens;
  • verwijdering (wissen) van uw persoonsgegevens;
  • overdracht van uw persoonsgegevens aan uzelf of aan een andere organisatie op uw verzoek;
  • vragen over de inhoud van dit Privacy statement.

Let op: het kan zijn dat we niet in alle gevallen tegemoet kunnen komen aan een verzoek. Als dit het geval is zullen we u dit gemotiveerd laten weten.

Delen met anderen

Wij verstrekken uw persoonsgegevens niet zomaar aan anderen. Dat mogen we wel doen als u ons daarvoor toestemming heeft gegeven, als we daartoe verplicht zijn op grond van de wet of een rechterlijke uitspraak, of als de verstrekking ten dienste staat van onze doeleinden van de verwerking van persoonsgegevens.

Voor de uitvoering van onze bedrijfsvoering en afhankelijk van de verleende diensten aan u verstrekken wij uw persoonsgegevens mogelijk wel aan de volgende personen of partijen:

  • financiële instellingen (zoals banken of verzekeraars) bij wie we voor u een financieel product aanvragen of bij wie u een financieel product heeft dat wij voor u beheren; of; waarbij we u begeleiden tijdens de looptijd van het product;
  • personen en instanties die op grond van een wettelijke verplichting geïnformeerd moeten worden;
  • externe partijen die gegevens onder onze zeggenschap en verantwoordelijkheid verwerken, zoals onze ICT-­dienstverlener of ons (direct) marketingbureau;
  • schade-experts, databases gericht op fraudebestrijding zoals Fish en Cis;
  • notarissen, advocaten, accountants (in voorkomende gevallen);
  • mogelijk andere niet genoemde partijen die van belang zijn voor een optimale dienstverlening aan u.

Externe partijen die de persoonsgegevens onder onze verantwoordelijkheid verwerken, doen dit uitsluitend voor doelen en onder voorwaarden die wij met hen hebben afgesproken. Dit leggen we vast in schriftelijke overeenkomsten.

Beveiliging

Wij nemen de bescherming van uw gegevens serieus en hebben passende maatregelen genomen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als u het idee hebt dat uw gegevens toch niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan gerust contact met ons op. 

Het gebruik van deze site

Wij hebben passende maatregelen genomen om uw bezoek aan en het gebruik van onze site te beveiligen en om misbruik te voorkomen. Alle personen die van de gegevens kennis kunnen nemen, zijn gehouden aan geheimhouding daarvan.

Internetsites van derden

Onze website kan verwijzingen en/of hyperlinks bevatten naar één of meerdere websites van derden. Wij willen u er op wijzen, dat wij op geen enkele wijze aansprakelijk zijn voor de wijze waarop deze derden omgaan met de privacywetgeving.

Cookies

Bij het bezoek aan deze website worden op uw computer, tablet of smartphone cookies geplaatst. Cookies zijn kleine, eenvoudige tekstbestandjes. Wij plaatsen uitsluitend functionele cookies voor een optimale werking van de website. Bij uw volgende bezoek worden de cookies gebruikt om u te herkennen en dat maakt een volgend bezoek aan de site gemakkelijker.

Google Analytics

Via onze website wordt ook cookies geplaatst van het Amerikaanse bedrijf Google, als deel van de ‘Analytics’-dienst. Wij gebruiken deze dienst om bij te houden en rapportages te krijgen over hoe bezoekers de website gebruiken. Google kan deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover derden de informatie namens Google verwerken. Wij hebben hier geen invloed op. Wij hebben Google niet toegestaan de verkregen analytics informatie te gebruiken voor andere Google diensten

De informatie die Google verzamelt, wordt zo veel mogelijk geanonimiseerd. Uw IP-adres wordt nadrukkelijk niet meegegeven. De informatie wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten.

Wijzigingen van ons Privacy statement

Het kan voorkomen dat we deze Privacy statement in de toekomst wijzigen. Op onze website vindt u steeds de meest actuele versie.

Klachtrecht

Bent u het niet eens met de wijze waarop wij uw persoonsgegevens verwerken of omgaan met uw rechten als klant? Neem dan in ieder geval contact met ons op.

U kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens. Kijk daarvoor op https://www.autoriteitpersoonsgegevens.nl.

Voorwaarden disclaimer

De voorwaarden van deze disclaimer zijn van toepassing op de website vanHypotheekhulp.nl. Door deze website te bezoeken en/of de op of via deze website aangeboden informatie te gebruiken, verklaart u zich akkoord met de toepasselijkheid van deze disclaimer. In geval van tegenstrijdigheid tussen de voorwaarden van specifieke producten en diensten afgenomen via deze website en deze disclaimer, prevaleren de voorwaarden van deze producten en diensten.

Gebruik van de website

Via deze website van Hypotheekhulp.nl vindt u informatie over financiële producten en diensten en van onze dienstverlening. De informatie op deze website is uitsluitend bedoeld als algemene informatie. Er kunnen geen rechten aan de informatie op deze website worden ontleend. Hoewel Hypotheekhulp.nl zorgvuldigheid in acht neemt bij het samenstellen en onderhouden van deze website en daarbij gebruikmaakt van bronnen die betrouwbaar geacht worden, kan Hypotheekhulp.nl niet instaan voor de juistheid, volledigheid en actualiteit van de geboden informatie. Hypotheekhulp.nl garandeert evenmin dat de website foutloos of ononderbroken zal functioneren. Hypotheekhulp.nl wijst iedere aansprakelijkheid ten aanzien van de juistheid, volledigheid, actualiteit van de geboden informatie en het (ongestoord) gebruik van deze website uitdrukkelijk van de hand.

Informatie van derden, producten en diensten

Wanneer Hypotheekhulp.nl links naar websites van derden weergeeft, betekent dit niet dat de op of via deze websites aangeboden producten of diensten door Hypotheekhulp.nl worden aanbevolen. Hypotheekhulp.nl aanvaardt geen aansprakelijkheid en geen enkele verantwoordelijkheid voor de inhoud, het gebruik of de beschikbaarheid van websites waarnaar wordt verwezen of die verwijzen naar deze website. Het gebruik van dergelijke links is voor eigen risico. De informatie op dergelijke websites is door Hypotheekhulp.nl niet nader beoordeeld op juistheid, redelijkheid, actualiteit of volledigheid.

Informatie gebruiken

Alle intellectuele eigendomsrechten en andere rechten met betrekking tot alle op of via deze website aangeboden informatie (waaronder alle teksten, grafisch materiaal en logo’s) berusten uitsluitend bij Hypotheekhulp.nl en/of met Hypotheekhulp.nl gelieerde Partners. Het is niet toegestaan informatie op deze website te kopiëren, te downloaden of op enigerlei wijze openbaar te maken, te verspreiden of te verveelvoudigen zonder voorafgaande schriftelijke toestemming van Hypotheekhulp.nl of de toestemming van de rechthebbende en dient altijd te zijn voorzien van bronvermelding. U mag informatie op deze website wel afdrukken en/of downloaden voor eigen persoonlijk gebruik.

Wijzigingen

Hypotheekhulp.nl behoudt zich het recht voor de op of via deze website aangeboden informatie, met inbegrip van de tekst van deze disclaimer, te allen tijde te wijzigen zonder hiervan nadere aankondiging te doen. Het verdient aanbeveling periodiek na te gaan of de op of via deze website aangeboden informatie, met inbegrip van de tekst van deze disclaimer, is gewijzigd.

Toepasselijk recht

Op deze websites en de disclaimer is het Nederlands recht van toepassing. Alle geschillen uit hoofde van of in verband met deze disclaimer zullen bij uitsluiting worden voorgelegd aan de bevoegde rechter in Nederland.

Door deze site te bekijken en de daarop geboden informatie te gebruiken stemt u in met de hierboven beschreven voorwaarden en beperkingen.

Datalek procedure

In de AVG is een meldplicht datalekken opgenomen. Deze meldplicht verplicht organisaties om datalekken te melden bij de toezichthouder (de Autoriteit Persoonsgegevens) en, in sommige gevallen, ook bij de betrokkenen (de personen op wie de gegevens die zijn gelekt betrekking hebben, bijvoorbeeld leden, abonnees en/of medewerkers).  

In dit calamiteitenplan wordt omschreven op welke manier Hypotheekhulp.nl omgaat met eventuele datalekken. In het plan is vastgelegd hoe en naar wie de meldingen intern doorgezet dienen te worden, wie verantwoordelijk is voor welke melding en hoe en in welke vorm de melding aan de toezichthouder en eventueel ook aan de betrokkenen wordt gedaan.

In dit beleidsplan worden de beleidsregels van de Autoriteit Persoonsgegevens vertaald naar praktisch en werkbaar beleid voor Hypotheekhulp.nl. Mochten toekomstige (wettelijke) wijzigingen/veranderingen aanpassing van dit document noodzakelijk maken, dan zal de verantwoordelijke binnen Hypotheekhulp.nl deze aanpassing doorvoeren en het versienummer updaten.

2.1. Introductie

Niet alle datalekken moeten gemeld worden aan de toezichthouder. Een datalek dat wel gemeld dient te worden aan de toezichthouder wordt als volgt omschreven:

Een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

Onder de Algemene Verordening Gegevensbescherming (AVG) wordt gesproken van een ‘inbreuk in verband met persoonsgegevens’. Dit is “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Een inbreuk hoeft niet te worden gemeld wanneer het onwaarschijnlijk is dat deze redelijkerwijs een risico voor betrokkenen met zich meebrengt.

Om te inventariseren of iets een datalek is, zullen de volgende vragen in deze volgorde moeten worden beantwoord:

  1. Is er sprake van een inbreuk op de beveiliging (’beveiligingsincident’)?
  2. Zijn er bij de inbreuk persoonsgegevens verloren gegaan?
  3. Kan er redelijkerwijs worden uitgesloten dat er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt?

Iedere vraag is een stap in de beslissing of er sprake is van een datalek. Deze stappen zullen hieronder worden toegelicht.

2.2. Inbreuk op de beveiliging

Van een inbreuk op beveiliging is sprake wanneer zich daadwerkelijk een incident heeft voorgedaan. Alleen een dreiging van een inbreuk op de beveiliging is daarom nog geen incident.

Voorbeelden van beveiligingsincidenten zijn:

  • een kwijtgeraakte USB-stick;
  • een gestolen laptop;
  • een inbraak door een hacker;
  • een malware-besmetting;
  • een calamiteit zoals een brand in een datacentrum.

Een inbreuk op de beveiliging wordt vervolgens een datalek wanneer de inbreuk gevolgen heeft voor de persoonsgegevens die Hypotheekhulp.nl verwerkt.

2.3. Verlies van persoonsgegevens

Indien er door de inbreuk op de beveiliging persoonsgegevens verloren zijn gegaan waar geen complete en actuele reservekopie meer van is, is dit altijd te kwalificeren als een datalek.

Voorbeeld: Wanneer een database met klantgegevens door een fout vaneen programmeur of een medewerker van Hypotheekhulp.nl wordt vernietigd, en er geen back-up van deze gegevens is, is er sprake van datalek.

2.4. Onrechtmatige verwerking

Het is echter ook mogelijk dat gegevens onrechtmatig zijn verwerkt. Dit houdt bijvoorbeeld in dat onbevoegde personen toegang hebben verkregen tot gegevens waar zij geen toegang toe mochten hebben. Andere vormen van onrechtmatige verwerking zijn het onrechtmatig wijzigen/aantasten van persoonsgegevens en het verstrekken van persoonsgegevens aan onbevoegden. Het is in dat geval aan Hypotheekhulp.nl om aan te tonen dat iemand de gegevens niet heeft in kunnen zien, of er niets mee gedaan heeft.

Wanneer Hypotheekhulp.nl niet uit kan sluiten dat er persoonsgegevens verloren zijn gegaan, of onrechtmatig zijn verwerkt, is er sprake van een datalek.

Voorbeeld: Als een medewerker van Hypotheekhulp.nl zijn wachtwoord van zijn e-mailbox op een briefje heeft geschreven en dit briefje kwijt is geraakt, kan dit een datalek zijn als Hypotheekhulp.nl niet uit kan sluiten dat onbevoegden toegang hebben verkregen tot de e-mailbox van de medewerker. Kan Hypotheekhulp.nl dit echter wel uitsluiten, bijvoorbeeld door het wachtwoord direct te resetten en in de logfiles te zien dat er in de tussentijd niemand heeft ingelogd, dan is dit geen datalek.

3.1. Introductie

Op het moment dat er sprake is van een datalek zoals omschreven in hoofdstuk 2, dan is het aan Hypotheekhulp.nl om per vastgesteld datalek te beoordelen of het datalek aan de toezichthouder gemeld moet worden. De toezichthouder stelt dat een datalek aan haar gemeld moet worden indien “er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens”. Hieronder wordt dit criterium nader uitgewerkt.

3.2. Kwantitatief ernstig

Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig). Zo zal een lek in één van de databases van Hypotheekhulp.nl, waardoor gegevens van bijvoorbeeld 1.000 relaties van Hypotheekhulp.nl op straat komen te liggen, kwantitatief ernstig zijn en dus gemeld moeten worden aan de toezichthouder.

3.3. Kwalitatief ernstig

Daarnaast kan een lek ook ernstig zijn indien er geen grote hoeveelheden persoonsgegevens gelekt zijn, maar het wel om gevoelige persoonsgegevens gaat (kwalitatief ernstig). Een paar voorbeelden van wat gevoelige persoonsgegevens zijn:

  • inloggegevens;
  • financiële gegevens;
  • kopieën van identiteitsbewijzen;
  • strafrechtelijke gegevens;
  • gegevens die betrekking hebben op werkprestaties;
  • gegevens die betrekking hebben op levensovertuiging;
  • gegevens die betrekking hebben op gezondheid.

De aard en omvang van het datalek dienen telkens in overweging genomen te worden bij de afweging of een lek aan de toezichthouder gemeld dient te worden. Vast staat in ieder geval dat zodra er inloggegevens zijn gelekt, dit te allen tijde gemeld zal moeten worden aan de toezichthouder vanwege de kwalitatieve ernst hiervan.

Voorbeeld: door een lek in de database van Hypotheekhulp.nl hebben onbevoegden korte tijd inzage in de gegevens van klanten, inclusief hun achterstallige betalingen. Een dergelijk lek van gevoelige gegevens dient aan de toezichthouder gemeld te worden.

3.4. Termijn

Het datalek dient zo snel mogelijk, maar uiterlijk binnen 72 uur, aan de Autoriteit Persoonsgegevens gemeld te worden. Deze termijn start op het moment dat Hypotheekhulp.nl, of één van haar bewerkers, op de hoogte raakt van het datalek. Een bewerker is een partij die ten behoeve van Hypotheekhulp.nl persoonsgegevens verwerkt. Dit kan bijvoorbeeld de host van de website of een softwareleverancier zijn.

3.5. Waar te melden?

Een datalek dient via de website van de toezichthouder te worden doorgegeven. Dit kan via het meldloket op de website van de Autoriteit Persoonsgegevens. Bij dit invulformulier dienen diverse gegevens ingevuld te worden. Deze worden in hoofdstuk 4 nader uiteengezet.

De Autoriteit Persoonsgegevens wil specifieke informatie ontvangen indien er sprake is van een datalek dat gemeld dient te worden. Onderstaand is deze vereiste informatie uiteengezet.

Over Hypotheekhulp.nl

  • Naam van het bedrijf
  • (Bezoek)adres
  • Postcode
  • Plaats
  • KvK-nummer
  • Sector waarbinnen Hypotheekhulp.nl actief is

Over de contactpersoon en melder

  • Naam
  • Functie
  • E-mailadres
  • Telefoonnummer en alternatief telefoonnummer

Over het datalek

  1. Geef een samenvatting van het incident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan.
  2. Vond de inbreuk plaats in een verwerking die is uitbesteed aan een andere organisatie (de bewerker)?
    •  Ja, namelijk:
    •  Nee
  1. Naam van de organisatie waaraan de verwerking is uitbesteed.
  2. Van hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk? (Vul de aantallen in.)
    • Minimaal: (vul aan)
    • Maximaal: (vul aan)
  1. Omschrijf de groep mensen van wie persoonsgegevens zijn betrokken bij de inbreuk.
  2. Is het bekend wanneer de inbreuk plaats vond?
  3. Is de exacte datum bekend wanneer de inbreuk plaats vond?
  4. Exacte datum waarop de inbreuk plaats vond.
  5. Startdatum van de periode waarbinnen de inbreuk plaats heeft gevonden.
  6. Einddatum van de periode waarbinnen de inbreuk plaats heeft gevonden.
  7. Wanneer werd de breuk ontdekt?
  8. Wat is de aard van de inbreuk? (Meerdere antwoorden mogelijk.)
  • Lezen (vertrouwelijkheid)
  • Kopiëren
  • Veranderen (integriteit)
  • Verwijderen of vernietigen (beschikbaarheid)
  • Diefstal
  • Nog niet bekend

   13. Om welk type persoonsgegevens gaat het? (meerdere antwoorden mogelijk)

  • Naam-, adres- en woonplaatsgegevens
  • Telefoonnummers
  • E-mailadressen of andere adressen voor elektronische communicatie
  • Toegangs- of identificatiegegevens (bijvoorbeeld inlognaam/wachtwoord of lidnummer)
  • Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnummer)
  • Burgerservicenummer (BSN)
  • Paspoortkopieën of kopieën van andere legitimatiebewijzen
  • Geslacht, geboortedatum en/of leeftijd
  • Bijzondere persoonsgegevens (bijvoorbeeld ras, etniciteit, criminele gegevens, politieke  overtuiging, vakbondslidmaatschap, religie, seksuele leven, medische gegevens)
  • Overige/onbekende gegevens, namelijk (vul aan)
  1. Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de betrokkenen? (Meerdere antwoorden mogelijk.)
    • Stigmatisering of uitsluiting
    • Schade aan de gezondheid
    • Blootstelling aan (identiteits)fraude
    • Blootstelling aan spam of phishing
    • Anders, namelijk (vul aan)
  1. Welke technische en organisatorische maatregelen heeft Hypotheekhulp.nl getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?
  2. Heeft Hypotheekhulp.nl het datalek gemeld aan de betrokkenen of is Hypotheekhulp.nl van plan dat te gaan doen?
    • Ja
    • Nee
    • Nog niet bekend

Vraag 17 tot en met 20 dienen uitsluitend beantwoord te worden indien er een melding aan de betrokkenen gedaan dient te worden:

  1. Wanneer heeft Hypotheekhulp.nl het datalek gemeld aan de betrokkenen, of wanneer gaat Hypotheekhulp.nl dit doen?
    • Hypotheekhulp.nl heeft het datalek aan de betrokkenen gemeld op (datum)
    • Hypotheekhulp.nl zal het datalek aan de betrokkenen melden op (datum)
    • Nog niet bekend
  1. Wat is de inhoud van de melding aan de betrokkenen?
  2. Hoe veel betrokkenen heeft Hypotheekhulp.nl in kennis gesteld of gaat Hypotheekhulp.nl in kennis stellen?
  3. Welk communicatiemiddel of welke communicatiemiddelen gebruikt Hypotheekhulp.nl of gaat Hypotheekhulp.nl gebruiken bij het in kennis stellen van de betrokkenen?
  4. Waarom ziet Hypotheekhulp.nl af van het melden van het datalek aan de betrokkenen?
    • De technische beschermingsmaatregelen die Hypotheekhulp.nl heeft getroffen bieden voldoende  bescherming om de melding aan de betrokkene achterwege te kunnen laten
    • Het is onwaarschijnlijk dat het datalek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, want: (vul aan)
    • Hypotheekhulp.nl heeft zwaarwegende redenen om de melding aan de betrokkene achterwege te laten, namelijk: (vul aan)
    • Anders, namelijk: (vul aan)
  1. Zijn de persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? (Kies een van de volgende opties en vul waar nodig aan.)
    • Ja
    • Nee
    • Deels, namelijk: (vul aan)
  1. Als de persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd? Als Hypotheekhulp.nl gebruik heeft gemaakt van encryptie, licht dan ook de wijze van versleutelen toe.
  2. Heeft de inbreuk betrekking op personen in andere EU-landen? (Kies een van de volgende opties.)
    • Ja
    • Nee
    • Nog niet bekend
  1. Heeft Hypotheekhulp.nl het datalek gemeld bij toezichthouders in een of meer andere EU-landen?
    • Ja, namelijk: (vul aan)
    • Nee

Na het doen van een melding bij de toezichthouder, wordt er een bevestiging van deze melding toegestuurd naar het e-mailadres van de opgegeven contactpersoon. In deze bevestiging staat tevens het nummer van de melding vermeld, dat noodzakelijk is om een melding te wijzigen en/of in te trekken.

5.1. Introductie

Het kan mogelijk zijn dat een datalek niet alleen aan de toezichthouder, maar ook aan de personen van wie de gegevens zijn gelekt (de betrokkenen) gemeld moet worden. Dit is het geval wanneer het datalek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van deze personen. Hetzelfde geldt uiteraard indien er gegevens van medewerkers van Hypotheekhulp.nl zijn gelekt.

5.2. Ongunstige gevolgen

Een datalek heeft ongunstige gevolgen wanneer het privéleven van de betrokkenen door het lek wordt geschaad. Voorbeelden van dergelijke gevolgen zijn:

  • onrechtmatige publicatie;
  • aantasting in eer en goede naam;
  • identiteitsfraude;
  • discriminatie;
  • stigmatisering of uitsluiting;
  • schade aan de gezondheid;
  • reputatieschade.

Als het gaat om persoonsgegevens van gevoelige aard, dan dient er altijd een melding aan betrokkenen gedaan te worden (tenzij er sprake is van adequate beveiliging, zoals omschreven in de volgende para-graaf). Dit betekent bijvoorbeeld, dat zodra er financiële gegevens worden gelekt die niet adequaat zijn beveiligd, hiervan te allen tijde melding aan de betreffende personen zal moeten worden gedaan.

Voorbeeld: een medewerker van Hypotheekhulp.nl laat sollicitatiebrieven en CV’s in een auto liggen en deze auto wordt gestolen. Identiteitsfraude met behulp van deze CV’s is niet uit te sluiten en dus is een melding aan de betrokkenen verplicht.

5.3. Encryptie en hashing

Een datalek hoeft niet aan de betrokkenen gemeld te worden indien de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Hiervan is bijvoorbeeld sprake als de persoons-gegevens voorzien zijn van een beveiliging die volgens de laatste stand van de techniek als ‘veilig’ kan worden aangemerkt. Denk hierbij bijvoorbeeld aan algemeen gebruikte vormen van encryptie of hashing.

Wanneer het datalek niet hoeft te worden gemeld aan de betrokkenen omdat de gegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan zal wel van tijd tot tijd moeten worden beoordeeld of de gegevens nog steeds onbegrijpelijk of ontoegankelijk zijn (zie ook hoofdstuk 7). Wanneer bijvoorbeeld niet hoeft te worden gemeld (omdat de gegevens encrypted zijn), maar de gebruikte encryptie na anderhalf jaar gecompromitteerd zou raken, moeten de betrokkenen dus alsnog worden ingelicht over het datalek. Er kan ook voor worden gekozen om de betrokkenen direct na het datalek tóch proactief te informeren. Zo wordt voorkomen dat ruime tijd na het datalek betrokkenen alsnog op de hoogte moeten worden gesteld.

Let op: encryptie of hashing biedt echter geen bescherming tegen vernietiging van persoonsgegevens. In dergelijke gevallen dient er dus altijd een melding gedaan te worden aan de betrokkenen als de vernietig-ing ongunstige gevolgen voor hen heeft.

5.4. Termijn

Het datalek dient ‘onverwijld’ na ontdekking aan de betrokkenen gemeld te worden. ‘Onverwijld’ wil zeg-gen: zo spoedig als mogelijk, waarbij enige tijd mag worden genomen om de juiste informatie te verzam-elen om een zorgvuldige melding te kunnen doen. Met andere woorden: de melding aan de betrokkene moet zorgvuldig gebeuren, maar mag niet onnodig worden vertraagd. De wetgeving koppelt hier geen ‘harde’ termijn aan, zoals bij de melding aan de toezichthouder wel het geval is.

Het is de verantwoordelijke die de melding aan betrokkenen doet, tenzij anders afgesproken.

De melding aan betrokkenen, dient in ieder geval behoorlijk en zorgvuldig uitgevoerd te worden, en de volgende informatie te bevatten:

• Aard van de inbreuk, waarbij volstaan kan worden met een algemene omschrijving van wat er is gebeurd;

• Waar men terecht kan met vragen, denk hierbij aan het telefoonnummer van de klantenservice of een speciaal telefoonnummer/e-mailadres voor vragen;

• Aanbevolen maatregelen om negatieve gevolgen te beperken, zoals het veranderen van wachtwoorden.

Het volgende algemene formulier kan als template worden gebruikt. Uiteraard is het daarbij verstandig om in een begeleidend schrijven de betrokkene excuses aan te bieden en duidelijk te maken dat Hypotheekhulp.nl het datalek inmiddels heeft gedicht en er alles aan zal doen om dergelijke gevallen in de toekomst te voorkomen.

Melding datalek

Omschrijving:

Op [DATUM] heeft er bij ons een datalek plaatsgevonden waarbij mogelijk uw gegevens betrokken zijn.

Vragen?

Voor vragen kunt u contact opnemen met [NAAM] via, [EMAIL] of [TELEFOON].

Wat kunt u doen?

Om de gevolgen van dit datalek te beperken raden wij u aan om [MAATREGELEN].

Uitgangspunt bij het doen van een dergelijke melding is dat dit op individuele basis dient te gebeuren. Als er bijvoorbeeld gegevens van klanten zijn gelekt, dan dient iedere klant hierover apart geïnformeerd te worden. Heeft een datalek een dusdanige omvang dat er een grotere groep wordt getroffen, dan kan er een e-mail rondgestuurd worden naar deze personen met het feit dat er een lek heeft plaatsgevonden. Vervolgens kan er in de e-mail een link opgenomen worden naar een pagina op de website waar meer informatie wordt verstrekt.

Een enkel bericht in de media is niet voldoende om betrokkenen te informeren.

Als uitgangspunt geldt dat wanneer de betrokkenen individueel op de hoogte kunnen worden gesteld, de melding op individuele basis moet plaatsvinden. Pas als dat écht niet haalbaar is, vanwege de omvang van de groep of vanwege het feit dat niet meer te achterhalen is welke personen wel of niet zijn geraakt door het datalek, kan naar andere manieren van informeren worden gekeken.

Wanneer een datalek aan de toezichthouder is gemeld, dient een overzicht hiervan, zoals hierboven omschreven in hoofdstuk 4, in de administratie bewaard te worden. Onder de AGV moeten alle datalekken geregistreerd worden, ook de datalekken die niet gemeld hoeven te worden.De minimale bewaartermijnen zijn door de Autoriteit Persoonsgegevens als volgt vastgesteld:

  • Eén jaar wanneer er sprake is van een datalek met ongunstige gevolgen voor betrokkenen;
  • Drie jaar wanneer de gelekte gegevens voldoende beveiligd zijn óf wanneer er zwaarwegende belangen zijn om het datalek niet aan betrokkenen te melden. Gedurende deze drie jaar dientgecontroleerd te worden of, indien de gegevens voldoende waren beveiligd, deze beveiliging nog steeds afdoende is of dat het lek ondertussen alsnog gemeld dient te worden aan de betrokkenen.

Deze administratie dient voor de volgende doeleinden bewaard te worden:

  • Leren van het datalek;
  • Vragen van betrokkenen en derden beantwoorden;
  • Alsnog een melding aan betrokkenen doen, wanneer dit na verloop van tijd toch nodig blijkt.

Voorbeeld: Een database met persoonsgegevens is voor korte tijd, door een hack, openbaar geweest. De persoonsgegevens in de database waren volgens de meest recente encryptiestandaard versleuteld en derhalve niet leesbaar voor mensen zonder de juiste autorisaties. Na een half jaar blijkt echter dat de gebruikte encryptievorm door voortschrijdend inzicht achterhaald is. In dat geval zal er alsnog een melding aan de betrokkenen gedaan moeten worden van het datalek dat een half jaar geleden heeft plaatsgevonden.

NB: De administratie hoeft overigens niet openbaar gemaakt te worden.

8.1. Introductie

Een datalek kan bij Hypotheekhulp.nl binnen de eigen organisatie ontstaan, maar ook bij een door Hypotheekhulp.nl ingeschakelde derde (denk hierbij aan de leverancier van een CRM-systeem, de hoster, een ingeschakeld marketingbureau etc.). Wanneer een datalek zich voordoet, zal vastgesteld moeten worden waar het datalek zich heeft voorgedaan en hoe dit datalek uiteindelijk bij de toezichthouder en betrokkenen gemeld zal worden.

Dit zal bij Hypotheekhulp.nl in eerste instantie de taak zijn van de directie. Wanneer de directie niet aanwezig is, zal dit gedurende deze afwezigheid de taak zijn van zijn aangewezen vervanger. De contactgegevens van de directie zijn opgenomen in paragraaf 8.5.

Uiteraard is het daarbij van belang dat alle betrokken personen, dus zowel het personeel van Hypotheekhulp.nl als het personeel bij de ingeschakelde derden, een datalek kunnen identificeren. Het creëren van bewustzijn binnen het personeel van Hypotheekhulp.nl is dan ook van groot belang. De ontdekker zal een incident te allen tijde moeten melden bij de hierboven genoemde persoon.

8.2. Intern datalek

Wanneer er binnen de eigen organisatie van Hypotheekhulp.nl een datalek plaatsvindt, zal iedereen moeten weten hoe er gehandeld dient te worden zodat de melding van het datalek tijdig de juiste personen, en uiteindelijk de toezichthouder en betrokkenen bereikt.

Voor deze situatie dient het volgende pad te worden doorlopen. De ontdekker is degene die een (ver-moedelijk) lek detecteert; dat kan iedere willekeurige medewerker van Hypotheekhulp.nl zijn. De ontdekker meldt het lek aan de directie. De directie zal vervolgens besluiten of het datalek al dan niet wordt gemeld.

Registratie

De directie registreert de melding van de ontdekker. De volgende gegevens worden geregistreerd:

  • Wie heeft er gemeld?
  • Wat is er gemeld?
  • Waar kwam de melding vandaan?
  • Om welke data (gegevens) gaat het?
  • Hoe heeft het incident plaatsgevonden (welke drager is bijvoorbeeld verloren)?
  • Welke systemen zijn betrokken/geraakt door het incident?
  • Wanneer heeft het incident plaatsgevonden?
  • Wat is er gedaan om het incident op te lossen/in de toekomst te voorkomen?

Informeren directie

Vervolgens zal besloten worden door de directie of het lek wordt gemeld aan de toezichthouder en de betrokkenen. Wanneer het datalek is gemeld aan de toezichthouder en/of de betrokkenen, dan zal de directie zorgen voor de juiste interne administratie van het datalek (zie hoofdstuk 7). Wanneer Hypotheekhulp.nl bewerker is en haar klant verantwoordelijke, is het van belang na te gaan welke afspraken over het melden van datalekken aan de klant er zijn gemaakt in een bewerkersovereenkomst.

8.3. Extern datalek

Een datalek kan ook buiten de organisatie van Hypotheekhulp.nl plaatsvinden. Persoonsgegevens worden ten-slotte met derde partijen gedeeld. Denk hierbij aan softwareleveranciers, partijen die ten behoeve van Hypotheekhulp.nl websites leveren of ondersteunen bij de opslag van persoonsgegevens. Wanneer er bij deze derden een datalek plaatsvindt dient dit zo spoedig mogelijk aan Hypotheekhulp.nl gemeld te worden. Deze derden hebben een zorgplicht om een lek waarvan zij op de hoogte zijn, bij Hypotheekhulp.nl te melden. Onder de AVG wordt deze plicht ook expliciet benoemd.

In (sub)bewerkersovereenkomsten met deze derden dienen hier afspraken over vastgelegd te worden. Per externe partij dient Hypotheekhulp.nl een vast contactpersoon te hebben om deze meldingen zo snel en gestroomlijnd mogelijk te laten verlopen. Onderstaande algemene schematische weergave geeft aan hoe een dergelijke melding dient te gebeuren. Dit kan dezelfde persoon zijn die binnen Hypotheekhulp.nl wordt aangewezen als ‘meldpunt’ bij beveiligingsincidenten en/of datalekken, namelijk de directie of bij diens afwezigheid zijn vervanger, of de contactpersoon van de betreffende derde partij die dit vervolgens intern zal doorgeven.

8.4. Melden aan betrokkenen

Als een datalek bij Hypotheekhulp.nl bekend is, zal bepaald moeten worden op welke manier de melding, indien vereist, aan de betrokkenen (bijvoorbeeld relaties) wordt gedaan. Dit calamiteitenplan kan daarbij als handleiding gebruikt worden. Wanneer de klant verantwoordelijke is en Hypotheekhulp.nl bewerker, zal de klant zelf de melding aan betrokkenen moeten doen, tenzij anders afgesproken.

8.5. Contactgegevens

De volgende contactgegevens zijn van belang indien een datalek zich heeft voorgedaan. Neem altijd direct contact op met Hypotheekhulp.nl.