Alles wat een ondernemer wil weten over de GDPR/AVG binnen Pay.nl

Geschreven door Michiel Peeze op 9 mei 2018

Het zal u als ondernemer niet zijn ontgaan, de AVG gaat 25 mei in. In dit blog gaan we in op de meest gestelde vragen aan Pay.nl met betrekking tot de invoering van de AVG. Voor algemene informatie over de AVG verwijzen we je naar 1 van de vele informatiepagina's online.

Privacy statement van Pay.nl

Pay.nl heeft haar privacybeleid geüpdatet. De strekking is gelijk gebleven: Wij zijn, en nog belangrijker, voelen ons verantwoordelijk voor de data van onze klanten (Merchant) en de klanten van onze klanten (Eindgebruikers). Wij verwerken gegevens die we nodig hebben om onze taken goed uit te kunnen voeren. Wij verzamelen gegevens om te voldoen aan de wet- en regelging. We verwerken gegevens voor het verwerken van betalingen en indien nodig sturen we hiervoor gegevens door naar de betaalopties, ook wel Betaalinstrumentleverancier (Subverwerkers).

Ons vernieuwde privacybeleid beschrijft in eenvoudige bewoordingen aan u, én uw klanten hoe wij met deze gegevens omgaan, ze beveiligen en met wie wij deze gegevens delen.

Bekijk ons privacybeleid

Gaat Pay.nl een verwerkersovereenkomst tekenen?

Pay.nl is verwerker van uw gegevens. Om te zorgen dat u aan de AVG voldoet, hebben wij een verwerkersovereenkomst laten opmaken welke u aan ons kunt aanbieden.

Om de verwerkersovereenkomst te downloaden logt u in op uw Admin Panel en selecteert u via het menu de optie “Merchant“ => “Bedrijf“. Vervolgens kunt u uw verwerkersovereenkomst downloaden onder het subkopje “Overeenkomst”. Na ondertekening kunt u deze uploaden.

Welke Pay.nl medewerkers kunnen mijn gegevens zien?

De medewerkers van Pay.nl zijn gescreend, hebben allemaal een Verklaring Omtrent Gedrag (VOG) aangeleverd. Daarnaast dient iedere medewekrer onze gedragscode en een geheimhoudingsverklaring te ondertekenen.

Pay.nl werkt met een autorisatiemodule waarbij medewerkers met een bepaalde functie bepaalde rechten hebben. Zo zijn uw persoonlijke adresgegevens of uw legitimatie niet voor iedereen zichtbaar, maar uw e-mailadres bijvoorbeeld wel, want bijna elke medewerker moet u een e-mail kunnen sturen

Bepaalde dossiers kunnen worden afgesloten voor bepaalde functieprofielen. Denk hierbij aan een dossier dat door onze afdeling 'Risk' tijdelijk geblokkeerd is, of bepaalde dossiers welke een eigen accountmanager hebben.

Elk dossier dat bekeken wordt door een medewerker van Pay.nl resulteert in een logregel welke steekproefsgewijs wordt gecontroleerd.

Kan een Alliance of Businesspartner mijn gegevens zien?

Indien uw aansluiting via een Businesspartner wordt beheerd, delen wij uw bedrijfsgegevens, inclusief de namen van bestuurders en UBO's ook met onze partner. Uw persoonsgegevens zoals uw adres, geboortedatum of legitimatiegegevens zij voor hen afgeschermd.

Sommige Partners en haar medewerkers kunnen wel persoonsgegevens en documenten toevoegen aan Pay.nl, maar na goedkeuring niet meer downloaden. Zo kunnen zij u wel ontzorgen bij het in orde maken van uw dossier. U bepaalt zelf of u uw persoonsgegevens welke u aan Pay.nl dient te verstrekken via een de partner, of direct aan Pay.nl aanbiedt.

U bekijkt de status van uw overeenkomst binnen uw Admin Panel onder "Pakket". Hier vind u eventueel ook de partnergegevens.

Welke bedrijfsgegevens deelt Pay.nl met mijn klant?

Indien iemand aan u betaalt, dan beschouwen wij deze persoon als uw klant. Bij de betaling tonen wij in de meeste gevallen uw bedrijfsnaam of een handelsnaam. Zo staat er bij iDEAL bijvoorbeeld: “Stichting Pay.nl.nl inzake Classic Carparts BV”. U kunt bij de meeste betalingen zelf de omschrijving bepalen. In enkele gevallen tonen wij ook het land van uw onderneming of uw telefoonnummer bij de betaling.

Indien uw klant een vraag heeft, dan kan deze contact opnemen via pay.nl/consument of met onze supportdesk bellen. Na enkele controles kunnen wij vervolgens uw bedrijfsgegevens verstrekken, zoals bedrijfsnaam en eventueel het adres zoals bij de KVK bekend. De informatie die verstrekt wordt, dient publiekelijk beschikbaar te zijn op uw eigen website volgens de regels van De Autoriteit Consument en Markt (ACM). Indien u in uw Admin Panel uw bedrijfsgegevens opgegeven heeft en deze als "publiek" gemarkeerd heeft in het onderdeel: “Contactgegevens”, dan kunnen wij deze gegevens ook vermelden.

Tenslotte tonen wij in geval van een dispuut waarop u niet binnen 7 dagen reageert of welke binnen 7 dagen niet door u is opgelost, ook het rekeningnummer waarop Pay.nl de gelden doorstort. Dit is in de meeste gevallen het IBAN nummer van de onderneming.

Welke informatie deelt Pay.nl met de betaalopties?

Indien u onze diensten gaat gebruiken, sluiten wij u ook aan op de geselecteerde betaalopties. Hiervoor sturen wij een bericht naar de Betaalinstrumentleverancier, wij beschouwen hen als Subverwerkers. In sommige gevallen zijn dit enkel de algemene bedrijfsgegevens, maar wij kunnen ook overeenkomen dat het volledige ‘Merchantdossier’ direct bij aanmelding, vanaf een bepaald volume (omzet) of op aanvraag wordt aangeboden.

Dit dossier bevat de KYC-gegevens over uw bedrijf welke noodzakelijk is om te kunnen voldoen aan wet- en regelgeving. Deze gegevens omvatten:

  1. Bedrijfsstructuur (inclusief bovenliggende ondernemingen).
  2. Overeenkomst, pakket, acceptatie en risicoclassificatie.
  3. Gegevens van de bestuurders (inclusief geboortedata en legitimaties) voorzien van sanctiescores en PEP checks.
  4. Gegevens van de UBO’s (inclusief geboortedata, plaats en legitimatie en adresgegevens) voorzien van sanctiescores en PEP checks.
  5. Verkooplocaties (gegevens over uw webshop / facturatieplatform / winkel): naam, omschrijving, categorie en instellingen.

Wij delen geen informatie over uw medewerkers. Subverwerkers hebben geen inzicht in het aantal medewerkers of hun persoonlijke accountgegevens, e-mailadressen, geboortedata en legitimaties. Ook omzetgerelateerde gegevens en gekozen betaalopties worden niet gedeeld.

U kunt in uw Admin Panel een voorbeeld downloaden van het XML bestand en een PDF weergave van de gegevens van uw bedrijf welke wij delen met onze subverwerkers.

Alle documenten die persoonsgegevens bevatten en niet gedeeld morgen worden, zoals uw BSN nummer en gezichtsfoto worden door ons ‘geblurd’ en voorzien van een Pay.nl watermerk om verdere verspreiding of misbruik te voorkomen. Daarnaast hebben wij met alle partijen een subverwerkersovereenkomst gesloten.
Welke informatie vergaart Pay.nl uit andere bronnen?

Indien u klant van Pay.nl wilt worden, dan zijn wij verplicht onderzoek naar uw onderneming te doen. Dit kan een beperkt onderzoek zijn of uitgebreid. Tijdens zo'n onderzoek zoeken wij in openbare bronnen en registers van de kamers van koophandel. We bekijken reviewwebsites en raadplegen in sommige gevallen krantenarchieven of andere naslagwerken. Het kan ook voorkomen dat we uw publieke profiel op sociale media bezoeken. Indien u bij Pay.nl al bekend bent via een andere onderneming kunnen we ook de status van deze onderneming bekijken. Deze informatie slaan we op bij de onderneming of bij u als natuurlijk persoon. Vervolgens beoordelen wij objectief en zonder enige vorm van discriminatie de verkregen gegevens.

Indien wij onvoldoende kunnen vaststellen dat wij een overeenkomst met u wensen aan te gaan zullen wij u dit melden, waarna de gegevens verwijderd worden. Indien u de beslissing wilt aanvechten kunt u een bericht sturen naar compliance@pay.nl.

Ten slotte staat het u vrij om een klacht in te dienen bij het KIFID (Klachteninstituut Financiële Dienstverlening) of bij de Commissie Gelijke Behandeling.

Hoe lang bewaart Pay.nl de data van mijn klanten?

Wij maken onderscheid in ordergegevens, betalingsgegevens en statistische gegevens.

Ordergegevens: wat wordt er gekocht, door wie wordt er gekocht en waar wordt er afgeleverd. Deze gegevens bewaren wij 13 maanden. U kunt dus 13 maanden zoeken in orders.

De bewaartermijn van informatie in de rapportages statistische gegevens zoals extra1, 2, 3 bewaren wij afhankelijk van het door u gekozen pakket tussen 1 en 5 jaar.

Betalingsgegevens zijn: wie betaalt iets (Eindgebruiker), aan wie (Merchant) en via welke betaaloptie (paymentprofile) en via welk betaalinstrument. Het bijbehorende rekeningnummer, telefoonnummer, creditcardnummer (customerkey). Deze customerkey wordt in onze systemen gescrambled. Betalingsgegevens bewaren wij volgens de wettelijke bewaartermijn.

Kan ik Pay.nl opdracht geven gegevens te verwijderen?

U kunt Pay.nl de opdracht geven om alle ‘niet wettelijk verplichte’ gegevens te verwijderen. De statsData en ordergegevens worden dan uit onze techniek verwijderd. Deze opdracht is onomkeerbaar. Na uitvoering kunt u niet meer zoeken op productdata, aflevergegevens, klantgegevens of op verkooplocatiespecifieke informatie. Betalingsgegevens worden echter niet verwijderd.

Gegevens over uw bedrijf zullen we niet verwijderen, evenals de relatie met tekenbevoegden en UBO’s. De koppeling tussen het persoonlijke account van een medewerker en uw onderneming kunnen wij wel verwijderen. Tevens is het mogelijk dat een medewerker zijn of haar persoonlijke account, mits niet gemarkeerd als tekenbevoegde of UBO, opzegt. Op dat moment verwijderen we ook alle persoonsgegevens.

Indien uw klant u de opdracht geeft om gegevens te verwijderen, dient u dit ook binnen het Pay.nl platform door te voeren. Wij zullen vervolgens de gegevens van deze klant binnen uw aansluiting verwijderen.

Het is ook mogelijk dat uw klant direct aan ons de opdracht geeft om gegevens te verwijderen. Op het moment dat dit gebeurt, ziet u in uw admin geen klantdata meer. Bij de transactie staat een melding: “Deze persoon heeft ons verzocht om data te verwijderen”.

Indien wij gegevens van deze persoon hebben gedeeld met subverwerkers, zullen wij ook deze subverwerkers op de hoogte brengen van deze verwijdering en het verzoek naar hen doorzetten.

Een persoon kan Pay.nl verzoeken om persoonsgegevens te verwijderen. Op basis van het e-mailadres en bijvoorbeeld het IBAN nummer, kunnen wij de opgeslagen persoonsgegevens en subverwerkers inzichtelijk maken. Bij een verwijderverzoek verwijderen wij alle persoons- en ordergegevens. Gegevens welke wij wettelijk moeten bewaren, of eventuele fraudemeldingen kunnen niet verwijderd worden.
Verkoopt / verhuurt / ruilt Pay.nl de data van mijn klanten ook?

Nee, dat druist pertinent in tegen onze principes. Wij verwerken betalingen, dat is onze businesscase. Dat wij daarbij veel gegevens verzamelen is een bijkomstigheid.

Wel is het mogelijk dat wij factsheets en whitepapers publiceren met gegroepeerde gegevens over verschillende markten. Bijvoorbeeld een stijging binnen een bepaalde categorie, leeftijd, geslacht of doelgroep. Deze factsheets publiceren wij op sociale media, kennissites, in nieuwsbrieven of binnen ons Admin Panel.

Daarnaast kunnen wij aan bepaalde betaalopties een 'trustscore' meegeven om de kans op fraude te verlagen of de conversie (acceptatieratio) te verhogen. Indien wij de gegevens van uw klant hebben beoordeeld sturen wij een positieve, neutrale of negatieve waardering mee. Ook kunnen wij deze gegevens gebruiken om bepaalde betaalopties niet beschikbaar te maken (bijvoorbeeld op een adres waar veel fraude op gemeld is) of extra verificaties te vereisen (3Dsecure bij een creditcard betaling).

Michiel Peeze

Het managen van risico's en zorgdragen voor de compliancy van Pay.nl. Dat is waar Michiel voor staat.
Deel dit artikel