VERTROUWELIJK - Innopay 10 augustus Resultaat AVG impactbepaling hypotheekketen Adviesdocument voor samenwerking in de keten

Transcriptie

1 VERTROUWELIJK - Innopay 0 augustus 207 Resultaat AVG impactbepaling hypotheekketen Adviesdocument voor samenwerking in de keten

2 Doel van dit document is om inzicht te geven waar ketensamenwerking loont op korte en lange termijn Klantgerichtheid en het creëren van meer klantwaarde zijn belangrijke aandachtspunten in de financiële sector. De komst van onder andere nieuwe Europese privacywetgeving (Algemene Verordening Gegevensbescherming; AVG) maakt dat dienstverleners in bijvoorbeeld de hypotheekketen nu de mogelijkheid hebben om hieraan versneld invulling te geven Dit adviesdocument beoogt stakeholders inzicht te geven in het belang van samenwerking voor de keten naar aanleiding van de AVG met als doel: de klantervaring door de gehele keten verder te verbeteren AVG risico s voor de keten zichtbaar te maken en verantwoordelijkheden transparant te beleggen, en kosten gerelateerd aan AVG compliance daar waar mogelijk te delen binnen de keten Vier voorstellen tot ketensamenwerking zijn gedefinieerd die de keten moet oppakken voor 25 mei 208 om risico s op AVG non-compliance te minimaliseren Er zijn ook voorstellen voor ketensamenwerking geformuleerd die op langere termijn belangrijk zijn voor keten en de klant Dit adviesdocument is tot stand gekomen in samenwerking met een brede vertegenwoordiging uit de hypotheekketen 2 VERTROUWELIJK Resultaat AVG impactbepaling hypotheekketen Adviesdocument 0 augustus 207 Innopay BV. Alle rechten voorbehouden.

3 Impactbepaling AVG heeft inzicht gegeven in de belangrijkste knelpunten voor de hypotheekketen Ketenvertegenwoordiging betrokken in AVG impactbepaling Discussies en inzichten met betrekking tot vraagstelling Opdoen algemene kennis van de AVG Inzicht impact van de AVG op eigen organisatie Beeldvorming impact van de AVG op keten Kritisch gekeken naar AVG implementaties die beter individueel of als keten kunnen worden opgepakt In essentie is elke ketensamenwerking een kans, maar er is een belangrijk onderscheid in samenwerking met betrekking tot AVG implementatie (compliance) en kansen voor doorontwikkeling en verbetering binnen de keten na de AVG implementatie Voor compliance samenwerkingsvoorstellen zoveel mogelijk gebruik maken van bestaande infrastructuren om haalbaarheid te vergroten Dataminimalisatie staat op gespannen voet met zorgplicht en KYC Dataportabiliteit, huidige situatie bij enkele partijen kan volstaan voor AVG compliance maar de AVG adviseert uniformiteit Verantwoordelijke versus verwerker; rollen kunnen veranderen en daarmee verschuivingen in verantwoordelijkheid veroorzaken Voorstellen voor samenwerking hebben veel onderlinge afhankelijkheid, één integrale aanpak is gewenst onder leiding van Product Owner en stuurgroep De keten staat open voor overleg / samenwerking met andere ketens indien dit het proces niet vertraagt Op basis van het advies uit deze impactbepaling is verdere verdieping nodig om tot een concrete aanpak te komen Kansen na 25 mei 208 zijn in mindere mate behandeld, verdere uitwerking hiervan is nodig om waarde te bepalen VRAGEN GEADRESSEERD DOOR KETENPARTIJEN Om de knelpunten van AVG in de hypotheekketen te kunnen adresseren, heeft HDN een aantal workshops georganiseerd om meer gedeeld inzicht te genereren. In deze workshops stonden de volgende vragen centraal:. Welke eisen stelt AVG aan partijen? 2. Wat is de impact van deze eisen op de keten als geheel? 3. Welk knelpunten moeten wanneer worden opgelost en door wie?. Wat is de meest effectieve aanpak (individueel of samen)? 5. Wat zijn de belangrijkste mijlpalen en deliverables? 6. Welke aanpak waarborgt grootste kans op succes? ) De individuele ketenpartijen dienen AVG compliant te zijn. De keten als geheel vormt geen individuele partij 3 VERTROUWELIJK Resultaat AVG impactbepaling hypotheekketen Adviesdocument 0 augustus 207 Innopay BV. Alle rechten voorbehouden.

4 Samenwerking in de keten met betrekking tot AVG implementatie is duidelijk in het belang van consument en ketenpartijen AVG raakt keten in wijze van datadelen, verwerken en beheren Een generiek overzicht van de customer dataflow in de hypotheekketen laat zien dat persoonsgegevens op veel plaatsen in de keten terecht komen zonder dat dit inzichtelijk is voor de consument = impact Zie slide voor meer details SITUATIE IN DE HYPOTHEEKKETEN Op 25 mei 208 treedt de AVG in werking, het niet naleven van de AVG kan tot hoge boetes leiden Doel van deze wetgeving is de consument te beschermen en meer controle over zijn persoonsgegevens te geven AVG stelt strengere eisen aan bedrijven en wordt daarom vooral als individuele verantwoordelijkheid beschouwd De hypotheekketen kenmerkt zich als complex door veel afhankelijkheden tussen partijen onderling en andere ketens AVG raakt de keten in zijn geheel waardoor risico s voor partijen individueel toenemen in het delen van persoonsgegevens Consument heeft op dit moment geen duidelijk beeld wie in de hypotheekketen welke data heeft en hoe de data wordt gebruikt Hierdoor handelen partijen in de hypotheekketen momenteel niet in lijn met het doel van de AVG Er is samenwerking in de keten nodig rondom het AVG compliant verzamelen, verwerken en beheren van persoonsgegevens VERTROUWELIJK Resultaat AVG impactbepaling hypotheekketen Adviesdocument 0 augustus 207 Innopay BV. Alle rechten voorbehouden.

5 Ketenvertegenwoordiging erkent het belang van samenwerking en heeft meerdere voorstellen tot ketensamenwerking gedefinieerd Signalering HDN dat gezamenlijke acties waardevol zou zijn Impactbepaling in 3 workshops Inzicht in benodigde acties voor AVG compliance Splitsing tussen actie individueel of samen implementeren Uitkomsten impactbepaling en advies van de ketenvertegenwoordiging Resultaten Compliance Checklist als hulp bij (individuele) compliance Compliance Checklist (bijlage A) Individueel introductie AVG Impactbepaling Acties partijen Vier voorstellen tot ketensamenwerking die waardevol zijn voor AVG implementatie voor 25 mei 208 Compliance voorstellen (hoofdstuk Resultaten, bijlage B) Gezamenlijk WORKSHOP WORKSHOP 2 WORKSHOP 3 DOELEN Definiëren van voorstellen die compliance in de keten kunnen bereiken of faciliteren DOELEN Introductie AVG Eerste gezamenlijke inzicht over impactgebieden DOELEN Voorstellen tot ketensamenwerking concretiseren met als doel opleveren adviesdocument voor AVG aanpak met de keten Kansen voor ketensamenwerking op lange termijn om door te ontwikkelen na AVG implementatie Kansen voorstellen (hoofdstuk Resultaten, bijlage C) 5 VERTROUWELIJK Resultaat AVG impactbepaling hypotheekketen Adviesdocument 0 augustus 207 Innopay BV. Alle rechten voorbehouden.

6 Opbou w Opbou w Opbou w Louter individuele aanpak van AVG compliance zorgt namelijk voor onnodige risico s tussen ketenpartijen Complexiteit keten vraagt samenwerking in uitvoering AVG CUSTOMER DATAFLOW Opbouw 3 Transparantie richting consument Beheer en bescherming data Dataportabiliteit Consument Adviseur Service provider Aanbieder Ondubbelzinnige toestemming Regie op Persoonsgegevens (bv. recht om vergeten te worden) Onderscheid in dataverwerkingsverantwoordelijke en dataverwerker 2 Zie slide 22 voor implicaties risico s voor de keten 3 RISICO S VOOR DE KETEN. Een verschil in interpretaties van persoonsgegevens en verwerkingsgronden van ketenpartijen Kan leiden tot een ruimere uitvraag van persoonsgegevens dan op basis van doelbinding is gerechtvaardigd en daarmee verantwoordelijkheden 2 2. Onvoldoende inzicht in welke ketenpartij wanneer verwerkingsverantwoordelijke en/of verwerker is Kan leiden tot onduidelijkheid over eigen verantwoordelijkheid in de keten 3 3. Imagoschade voor partijen omdat regie voor consument niet eenduidig is Partijen moeten zich houden aan wettelijke plichten (zoals KYC, WFT, zorgplicht) die tegenstrijdig lijken met regierechten van de consument Verschillen in communicatie over regierechten kan bij consumenten verwarring veroorzaken. Gebrek aan afspraken kan zorgen voor onvolledige doorgifte in de keten van regie door de consument Bijvoorbeeld verzoeken of toestemmingen kunnen onvolledig verwerkt worden wat leidt tot risico s voor de verwerkingsverantwoordelijke 6 VERTROUWELIJK Resultaat AVG impactbepaling hypotheekketen Adviesdocument 0 augustus 207 Innopay BV. Alle rechten voorbehouden.

7 Ketenvertegenwoordiging stelt concrete samenwerking voor op vier onderwerpen om compliance voor 25 mei 208 te borgen Voorstellen tot ketensamenwerking op basis van ketenacties Uitvraag persoonsgegevens ( ) Voorstel gericht op het consistent en ( 2 Verwerkersovereenkomst ) Voorstel gericht op definiëren van doelgericht uitvragen van relevante persoonsgegevens door de hele keten verwerkersovereenkomst op basis van minimale set voor de hele keten Regie consument ( 3 ) Voorstel gericht op regie door de consument op zijn / haar persoonsgegevens Uniform delen ( ) Voorstel gericht op het uniform delen in de keten van de door de consument uitgeoefende regie De vier voorstellen omvatten de volledige keten Zie slide 3-33 voor meer details SELECTIE VOORGESTELDE KETENACTIES (deel van basis waaruit geadviseerde voorstellen zijn ontstaan) Duidelijke definitie van persoonsgegevens die verschil in interpretaties binnen de keten minimaliseert Eensgezind beeld op doelen en verwerkingsgronden van de verschillende partijen in de keten, welke resulteert in enkel compliant verwerkingen door ketenpartijen Specificering van wettelijke gronden die leiden tot geoorloofde dataverwerking, onderzoeken spanning WFT versus AVG 2 Overzicht van de rollen (verwerkingsverantwoordelijke en verwerker) die partijen in de keten kunnen spelen, en duidelijkheid wanneer de ene rol overgaat in de andere en welke rechten en plichten daarbij horen. 3 De consument eenduidige regie op persoonsgegevens verschaffen, waarbij handelingen van de consument op een correcte manier in de keten verwerkt kunnen worden 3 Een gestandaardiseerd overzicht van alle informatie die met de consument gedeeld moet worden (over zijn rechten) formuleren met de keten 3 Eenduidige verificatie en authenticatie van de consument voor er gehoor wordt gegeven aan verzoeken van de consument Uniform delen van verzoeken of toestemming van de consument in de keten mogelijk maken (Zie bijlage B voor uitwerking en achtergrond van initiatieven) 7 VERTROUWELIJK Resultaat AVG impactbepaling hypotheekketen Adviesdocument 0 augustus 207 Innopay BV. Alle rechten voorbehouden.

8 Gezien urgentie is een integrale aanpak voorgesteld om de vier voorstellen tot ketensamenwerking succesvol te implementeren Combineren van vier initiatieven in één integrale aanpak Uitvraag persoonsgegevens Door ketenvertegenwoordiging geadviseerde opzet voor integrale aanpak Aanstellen Product Owner om transparantie en overzicht te waarborgen go / no go Beheren AVG compliance backlog en beheersen afhankelijkheden Afstemmen en organiseren planning tussen uitvoerende partijen Leden HDN op de hoogte houden van voortgang Faciliteren sturing en besluitvorming door stuurgroep Aanstellen C-level stuurgroep uit betrokken partijen 25 mei 208 UITGANGSPUNTEN Partijen zijn zelf verantwoordelijk voor AVG compliance HDN pleit voor een integrale aanpak van de ketenbelangen in verband met grote afbreukrisico s Een pragmatische aanpak staat centraal, gebaseerd op een set van minimumvereisten t.a.v. AVG compliance op 25 mei 208 HDN is volledig afhankelijk van de steun en de investeringen van haar stakeholders voor het faciliteren van succesvolle implementatie van keteninitiatieven 2 3 Regie consument Uniform delen Verwerkersovereenkomst Besluitvorming Teams + Budget + Planning Kansen voor de keten benutten Kansen voor de keten na 25 mei 208 dienen eerst verder te worden uitgewerkt om waarde te bepalen Na implementatie van de compliance keteninitiatieven kijken of genoemde aanpak ook geschikt is voor het oppakken van de kansen keteninitiatieven aug sep okt nov dec jan feb maa apr mei (indicatieve weergave van projectplanning inclusief communicatie en uitwisseling van resultaten) jun 8 VERTROUWELIJK Resultaat AVG impactbepaling hypotheekketen Adviesdocument 0 augustus 207 Innopay BV. Alle rechten voorbehouden.

9 Ook na implementatie van AVG is er veel potentie voor het creëren van waarde voor consument en keten door ketensamenwerking Eerste beeld bij kansen voor de keten: verdere uitwerking is nodig om de waarde voor de keten te concretiseren Doorontwikkeling van bestaande en nieuwe ketensamenwerkingen na 25 mei mei 208 Ontwikkeling nieuwe onderwerpen voor ketensamenwerking Informatievoorziening verificatie Ketenregisseur meldplicht datalekken Track & Trace Gedragscode Norm voor datakwaliteit Certificeringsorgaan Dataminimalisatie met HDN Authenticatie methodes Delen van toestemming Koppelingen van MijnOmgevingen Dataportabiliteit Waarom kans Na het vaststellen van de persoonsgegevens voor verwerkingsdoelen kan er gekeken worden of de HDN infrastructuur een rol kan spelen in dataminimalisatie Gebruik maken van technologische ontwikkelingen om digitale authenticatie van de consument te verbeteren en gelijk te trekken in de keten, voortbouwen op compliance authenticatie methodes Gebruik maken van technologische ontwikkelingen om toestemming van de consument voor verwerking te verbeteren en gelijk te trekken in de keten, voortbouwen op compliance toestemming delen Klantervaring voor de keten uniformeren door de verschillende portals (bijv. MijnOmgeving) van adviseurs/aanbieders met elkaar te gaan koppelen Dataportabiliteit uitbreiden met dienst om data direct naar een partij door te sturen, advies vanuit AVG om in keten een interoperabel format te ontwikkelen ter ondersteuning van delen data 2 Uitvraag persoonsgegevens Verwerkersovereenkomst Doorontwikkeling bestaande gezamenlijke implementaties Dataminimalisatie met HDN Informatievoorziening verificatie Ketenregisseur meldplicht datalekken Track & Trace Op basis van nieuwe authenticatie de informatievoorziening richting klant kunnen vastleggen t.b.v. audit trail Uitbreiding aan wie datalekken worden gemeld, binnen de keten hier een centraal punt voor hebben om proactief passende maatregelen op datalekken te kunnen nemen in de keten Technologische oplossing om handelingen via de cloud terug te kunnen leiden naar specifieke personen/partijen, verbetering herleidbaarheid t.b.v. audit trail 3 Regie consument Uniform delen Authenticatie methodes Delen van toestemming Koppelingen van Mijn- Omgevingen Dataportabiliteit Gedragscode Certificeringsorgaan Norm voor datakwaliteit Aansluiten bij of opstellen van een gedragscode geeft inzicht in normen en waarden binnen de keten richting consument en autoriteiten Kwaliteitsniveau in de keten waarborgen door het opstellen van een (eventueel verplichte) certificering Interessante aanvulling binnen bijvoorbeeld gedragscode of certificering om de kwaliteit van data die in de keten gedeeld wordt te verbeteren en te borgen 9 VERTROUWELIJK Resultaat AVG impactbepaling hypotheekketen Adviesdocument 0 augustus 207 Innopay BV. Alle rechten voorbehouden.