Alles wat een ondernemer wil weten over de GDPR/AVG binnen Pay.nl

Geschreven door Michiel Peeze op 2 mei 2018

Het zal u als ondernemer niet zijn ontgaan, de AVG gaat 25 mei in. In dit blog gaan we in op de meest gestelde vragen aan Pay.nl met betrekking tot de invoering van de AVG. Voor algemene informatie over de AVG verwijzen we je naar 1 van de vele informatiepagina's online.

Privacy statement van Pay.nl

Wij hebben ons privacybeleid geüpdatet. De strekking is gelijk gebleven: Wij zijn, en nog belangrijker, voelen ons verantwoordelijk voor de data van onze klanten (de merchant) en de klanten van onze klanten (eindgebruikers). Wij verwerken gegevens die we nodig hebben om onze taken goed uit te kunnen voeren. Wij verzamelen gegevens op om te voldoen aan de wet- en regelging we verwerken gegevens voor het verwerken van betalingen, indien nodig sturen we hiervoor gegevens door naar de betaalopties (subverwerkers).

Ons vernieuwde privacybeleid beschrijft in eenvoudige bewoordingen aan u, én uw klanten hoe wij met de gegevens om gaan, ze beveiligen en aan wie wij deze gegevens delen.

Bekijk ons privacybeleid

Gaat Pay.nl een verwerkersovereenkomst tekenen?

Wij zijn verwerker van uw gegevens. Om te zorgen dat u aan de AVG voldoet, hebben wij een verwerkersovereenkomst laten opmaken welke u aan ons kunt aanbieden.

Om de verwerkersovereenkomst te downloaden logt u in op uw Admin Panel en selecteert u via het menu de optie “Merchant“ => “Bedrijf“. U kunt uw verwerkersovereenkomst vervolgens downloaden onder “overeenkomst”. Na ondertekening kunt u deze uploaden.

Welke Pay.nl medewerkers kunnen mijn gegevens zien?

De medewerkers van Pay.nl zijn gescreend, hebben allemaal een 'Verklaring Omtrent Gedrag' aangeleverd, ondertekenen onze gedragscode en hebben een geheimhoudingsverklaring ondertekend.

Pay.nl werkt met een autorisatiemodule waarbij medewerkers met een bepaalde functie bepaalde rechten hebben. Zo zijn uw persoonlijke adresgegevens of uw legitimatie niet voor iedereen zichtbaar. Uw e-mailadres bijvoorbeeld wel, want bijna elke medewerker moet u een e-mail kunnen sturen

Bepaalde dossiers kunnen worden afgesloten voor bepaalde functieprofielen, denk hierbij aan een dossier dat door onze afdeling 'Risk' tijdelijk geblokkeerd is, of bepaalde dossiers welke een eigen accountmanager hebben.

Elk dossier dat bekeken wordt door een medewerker van Pay.nl resulteert in een logregel welke steekproefsgewijs wordt gecontroleerd.

Kan een alliantie of partner mijn gegevens zien?

Indien uw aansluiting via een partner wordt beheerd, delen wij uw bedrijfsgegevens, inclusief de namen van bestuurders en UBO's ook met onze partner. Uw persoonsgegevens zoals uw adres, geboortedatum of legitimatiegegevens zij voor hen afgeschermd.

Partners en haar medewerkers kunnen wel persoonsgegevens en documenten toevoegen aan Pay.nl, maar na goedkeuring niet meer downloaden. Zo kunnen zij u wel ondersteunen bij het in orde maken van uw dossier. U bepaalt zelf of u uw persoonsgegevens welke u aan Pay.nl dient te verstrekken via een de partner, of direct aan Pay.nl aanbiedt.

U bekijkt de status van uw overeenkomst binnen uw Admin Panel onder "pakket". Hier vind u eventueel ook de partnergegevens.

Welke bedrijfsgegevens deelt Pay.nl met mijn klant?

Indien iemand aan u betaalt, dan beschouwen wij deze persoon als uw klant. Bij de betaling tonen wij in de meeste gevallen uw bedrijfsnaam of een handelsnaam. Zo staat er bij iDEAL bijvoorbeeld: “Stichting Pay.nl.nl inzake Classic Carparts BV”. U kunt bij de meeste betalingen zelf de omschrijving bepalen. In enkele gevallen tonen wij ook het land van uw onderneming of uw telefoonnummer bij de betaling.

Indien uw klant een vraag heeft, dan kan de supportlijn worden gebeld. Wij verstrekken dan uw bedrijfsgegevens, zoals bedrijfsnaam en eventueel het adres zoals bij de KVK bekend. Het betreft informatie welke publiekelijk beschikbaar moet zijn op uw eigen website volgens de ACM regels. Indien u in uw Admin binnen uw bedrijfsgegevens in het onderdeel: “contactgegevens” ook gegevens opgeeft welke u als “publiek” markeert, dan vermelden wij ook deze gegevens.

Tenslotte tonen wij bij een dispuut waarop u niet binnen 7 dagen reageert of welke binnen 7 dagen niet door u is opgelost, ook het rekeningnummer waarop Pay.nl de gelden doorstort. Dit is in de meeste gevallen het IBAN nummer van de onderneming.

Welke informatie deelt Pay.nl met de betaalopties?

Indien u onze diensten gaat gebruiken, sluiten wij u ook aan op de geselecteerde betaalopties. Hiervoor sturen wij een bericht naar de Betaalinstrument Leverancier, wij beschouwen hen als subverwerkers. In sommige gevallen zijn dit enkel de algemene bedrijfsgegevens, maar wij kunnen ook overeenkomen dat het volledige ‘merchant file’ bij aanmelding, vanaf een bepaald volume (omzet) of op aanvraag wordt aangeboden.

Dit dossier bevat de compliance gegevens over uw bedrijf welke noodzakelijk is om te kunnen voldoen aan wet- en regelgeving.

  1. Bedrijfsstructuur (inclusief bovenliggende ondernemingen).
  2. Overeenkomst, pakket, acceptatie en risico classificatie.
  3. Gegevens van de bestuurders (inclusief geboortedata en legitimaties) voorzien van sanctiescores en PEP checks.
  4. Gegevens van de UBO’s (inclusief geboortedata, plaats en legitimatie) voorzien van sanctiescores en PEP checks.
  5. Verkooplocaties (gegevens over uw webshop / facturatieplatform / winkel), naam, omschrijving, categorie en instellingen.

Wij delen geen informatie over uw medewerkers, subverwerkers hebben geen inzicht in het aantal medewerkers of hun persoonlijke accountsgegevens, e-mailadressen, geboortedata en legitimaties. Ook omzet gerelateerde gegevens en gekozen betaalopties worden niet gedeeld.

U kunt in uw admin een voorbeeld downloaden van een XML bestand en een PDF weergave van de gegevens welke wij delen met onze subverwerkers.

Alle documenten welke persoonsgegevens bevatten welke niet gedeeld morgen worden, zoals uw BSN nummer en gezichtsfoto worden door ons ‘geblurd’ en voorzien van een pay.nl watermerk om verdere verspreiding of misbruik te voorkomen. Wij hebben met alle partijen een subverwerkersovereenkomst gesloten.
Welke informatie vergaart Pay.nl uit andere bronnen.

Indien u klant wilt worden dan doen wij onderzoek naar u. Dit kan beperkt zijn of uitgebreid. We zoeken in openbare bronnen en registers van de kamers van koophandel. We bekijken reviewwebsites en raadplegen ook soms kranten of andere naslagwerken. Het kan ook voorkomen dat we uw publieke profiel op sociale media bezoeken. Indien u bij Pay.nl al bekend bent via een andere onderneming kunnen we ook de status van deze onderneming bekijken. Deze informatie slaan we op bij de onderneming of bij u als natuurlijk persoon. Vervolgens beoordelen wij objectief en zonder enige vorm van discriminatie de verkregen gegevens

Indien wij onvoldoende kunnen vaststellen dat wij een overeenkomst met u wensen aan te gaan zullen wij u dit melden, waarna de gegevens verwijderd worden. Indien u de beslissing wilt aanvechten kunt u een bericht sturen naar compliance@pay.nl Ten slotte staat het u vrij om een klacht in te dienen bij het KIFID (Klachteninstituut Financiële Dienstverlening) of bij de Commissie Gelijke Behandeling.

Hoe lang bewaart Pay.nl de data van mijn klanten?

Wij maken onderscheid in ordergegevens, betalingsgegevens en statistische gegevens.

Ordergegevens: wat wordt er gekocht, door wie wordt er gekocht en waar wordt er afgeleverd. Deze gegevens bewaren wij 13 maanden. U kunt dus 13 maanden zoeken in orders.

De bewaartermijn van informatie in de rapportages (statistische gegevens) zoals extra1,2,3 bewaren wij afhankelijk van het door u gekozen pakket tussen 1 en 5 jaar.

Betalingsgegevens bewaren wij volgens de wettelijke bewaartermijn.

Betalingsgegevens zijn: wie betaalt iets (Eindgebruiker), aan wie (Merchant) en via welke betaaloptie (paymentprofile) en het bijbehorende rekeningnummer, telefoonnummer, creditcardnummer (customerkey). Deze customerkey wordt gescrambled.
Kan ik Pay.nl opdracht geven gegevens te verwijderen?

U kunt Pay.nl de opdracht geven om alle ‘niet wettelijk verplichte’ gegevens te verwijderen. De statsData en ordergegevens worden dan uit onze techniek verwijderd. Deze opdracht is onomkeerbaar. Na uitvoering kunt u niet meer zoeken op productdata, aflevergegevens, klantgegevens of verkooplocatie specifieke informatie. Betalingsgegevens worden niet verwijderd.

Gegevens over uw bedrijf zullen we niet verwijderen, evenals de relatie met tekenbevoegden en UBO’s. De koppeling tussen het persoonlijke account van een medewerker en uw onderneming kunnen wij wel verwijderen. Tevens is het mogelijk dat een medewerker zijn/haar persoonlijke account, mits niet gemarkeerd als tekenbevoegde of UBO, opzegt. Op dat moment verwijderen we ook alle persoonsgegevens.

Indien uw klant u de opdracht geeft om gegevens te verwijderen, dient u dit ook binnen het Pay.nl platform door te voeren. Wij zullen vervolgens de gegevens van deze klant binnen uw aansluiting verwijderen.

Het is ook mogelijk dat uw klant direct aan ons de opdracht geeft om gegevens te verwijderen. Op het moment dat dit gebeurt, ziet u in uw admin geen klantdata meer. Bij de transactie staat een melding: “Deze persoon heeft ons verzocht om data te verwijderen”.

Indien wij gegevens hebben gedeeld met subverwerkers van deze persoon, zullen wij ook deze subverwerkers op de hoogte brengen.

Een persoon kan Pay.nl verzoeken om persoonsgegevens te verwijderen. Op basis van het e-mailadres en bijvoorbeeld het IBAN nummer, kunnen wij de opgeslagen persoonsgegevens en subverwerkers inzichtelijk maken. Bij een verwijderverzoek verwijderen wij alle persoons- en ordergegevens. Gegevens welke wij wettelijk moeten bewaren, of fraude meldingen kunnen niet verwijderd worden.
Verkoopt / verhuurt / ruilt Pay.nl de data van mijn klanten ook?

Nee, dat druist in tegen onze principes. Wij verwerken betalingen, dat is onze businesscase. Dat wij daarbij veel gegevens verzamelen is een bijkomstigheid.

Wel is het mogelijk dat wij factsheets en whitepapers publiceren met gegroepeerde gegevens over verschillende markten. Bijvoorbeeld een stijging binnen een bepaalde categorie, leeftijd, geslacht of doelgroep. Deze factsheets publiceren wij op sociale media, kennissites, in nieuwsbrieven of binnen ons Admin Panel.

Daarnaast kunnen wij aan bepaalde betaalopties een 'trustscore' meegeven om de kans op fraude te verlagen of de conversie (acceptatieratio) te verhogen. Indien wij de gegevens van uw klant hebben beoordeeld sturen wij een positieve, neutrale of negatieve waardering mee. Ook kunnen wij deze gegevens gebruiken om bepaalde betaalopties niet beschikbaar te maken (bijvoorbeeld op een adres waar veel fraude op gemeld is) of extra verificaties te vereisen (3Dsecure bij een creditcard betaling).

Michiel Peeze

Het managen van risico's en zorgdragen voor de compliancy van Pay.nl. Dat is waar Michiel voor staat.
Deel dit artikel