nieuws

ACHTERGROND. AVG maakt speelveld voor verzekeraars gelijker

Branche 2577

Nog een dikke maand en alle bedrijven en organisaties die data van klanten binnen hengelen moeten voldoen aan de Algemene Verordening GegevensBescherming (AVG). Het is een hele klus om uit te zoeken of en hoe je aan de nieuwe privacyregels moet voldoen al is er volgens Leo de Boer, directeur bij het Verbond van Verzekeraars ook een silver lining: het speelveld tussen Europese verzekeraars en haar Amerikaanse uitdagers wordt gelijker.

ACHTERGROND. AVG maakt speelveld voor verzekeraars gelijker

Beleidsadviseur Ludger de Bruijn van brancheorganisatie Adfiz loodste vorige maand in Houten zo’n 80 adviseurs door het woud aan nieuwe regels en terminologie. Zijn boodschap: “Houd alles wat je doet bij in een logboek, zorg dat verklaarbaar is welke stappen je hebt gezet, laat zien dat je er serieus mee bezig bent.” Nog niet alles rondom de AVG is helemaal helder en ondernemingen weten dus nog niet precies waar ze aan toe zijn. De Bruijn zei daarover: “Wees niet bang, er werken honderd mensen bij de Autoriteit Persoonsgegevens (AP). Die moeten ontelbaar veel ondernemingen controleren. Ze staan echt niet als eerste bij u op de stoep.”

Daadwerkelijk handhaven

Dat laatste wordt ook bevestigd door privacyconsultant Romeo Kadir. Hij was jarenlang op privacygebied de rechterhand van Arthur Docters van Leeuwen bij de Stichting Toezicht Effectenverkeer (STE), de voorloper van de AFM. Kadir stelt op basis van de leidraad die de Europese Commissie eind januari verstrekte dat de AP pas vanaf mei 2020 daadwerkelijk gaat handhaven. Dat betekent volgens hem niet dat adviseurs rustig achterover kunnen gaan leunen; ze moeten juist laten zien serieus met de AVG bezig te zijn. Brancheorganisaties als Adfiz kunnen daarbij helpen met gedragscodes, meent de consultant. Dan hoeft niet elke adviseur het wiel opnieuw uit te vinden.

‘Zo’n wangedrocht’

Het Verbond van Verzekeraars zegt veel vragen te krijgen over de AVG. Logisch, meent directeur Leo de Boer (foto). “Want hoewel het grote verhaal niet verandert, verandert er in de details veel. Maar wat er precies verandert: de AVG zit vol open en vage normen. Dus het is vaak lastig te zeggen wat er exact wel en niet mag met persoonsgegevens. Ik vond dat SGP-Kamerlid Van der Staaij het prachtig zei bij de behandeling van de Nederlandse implementatiewet: ‘Ik heb zelden zo’n wangedrocht gelezen’.”

Gegevens van klanten

Bij het Verbond komen veel vragen binnen over de zogeheten verwerkersovereenkomsten die tussenpersonen zouden moeten sluiten als zij gegevens van klanten aanleveren bij verzekeraars. Het intermediair vreest daarbij een enorme papierwinkel omdat er vaak met wel tientallen maatschappijen en geldverstrekkers wordt samengewerkt.

Wie doel en middelen bepaalt voor het verwerken van persoonsgegevens, is verantwoordelijke

Verwerkersovereenkomst

Volgens De Boer ontbreekt de noodzaak om tussen verzekeraars en tussenpersonen een verwerkersovereenkomst op te stellen en ontwikkelen het Verbond en Adfiz daar samen een statement voor. “De lijn is altijd al geweest dat verzekeraars én tussenpersonen zelf ‘verantwoordelijke’ zijn in de zin van de Wet bescherming persoonsgegevens (Wbp). Dat verandert door de AVG niet: wie doel en middelen bepaalt voor het verwerken van persoonsgegevens, is verantwoordelijke. Je sluit zo’n verwerkersovereenkomst wel met een softwarebedrijf, dat geen zeggenschap heeft over doel en middelen van de verwerking, maar dat ‘slechts’ uitvoert. Dan spreek je af hoe die verwerking er precies uitziet: hoe worden de gegevens beveiligd, hoe lang worden ze bewaard, et cetera. Maar daar hoeven verzekeraars en tussenpersonen dus geen afspraken over te maken.”

Wel verplicht

Advocaat Mascha Timpert van DAAN Advocatuur & Notariaat benadrukt dat verwerkersovereenkomsten indien van toepassing wel verplicht zijn. Het Arnhemse kantoor organiseerde diverse informatiesessies waarbij ook tussenpersonen aanwezig waren. “Op dit moment noemen we het, dus onder de Wbp, ‘bewerkersovereenkomsten’ en deze zijn ook al verplicht. In elk geval voor de verantwoordelijke. De inhoud is op dit moment wel minder strikt gereguleerd.”

Duur, aard en doel

Afhankelijk van de invalshoek zijn er verschillende overeenkomsten. Timpert: “In die overeenkomsten zal het intermediair het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke moeten omschrijven. Ook zal de geheimhoudingsplicht en de beveiliging aan de orde moeten komen. Per verwerker zal wel daadwerkelijk een overeenkomst moeten worden gesloten, er kan dus niet naar een model worden ‘verwezen’.”

Geen bewaartermijnen

Ook bij de Vereende komen veel vragen binnen. De verzekeraar uit Rijswijk is immers de aanbieder van de BAVAM, een beroepsaansprakelijkheidsverzekering die specifiek is gericht op de financiële dienstverlening en makelaardij, het (assurantie)intermediair in het bijzonder. Volgens Willem Jonkman, specialist verzekeringstechniek, gaan veel vragen over de zogeheten bewaarplicht. De AVG kent zelf geen bewaartermijnen. Wel zijn er wettelijke bewaartermijnen of bewaartermijnen die voortvloeien uit verzekeringsovereenkomsten. Jonkman: “In het Bgfo (Besluit Gedragstoezicht financiële ondernemingen Wft) is een termijn van vijf jaar opgenomen voor het bewaren van gegevens met betrekking tot verstrekte gegevens en verkochte financiële producten. En ook is iedere ondernemer wettelijk verplicht om zijn administratie zeven jaar te bewaren voor de fiscus.”

Vanwege het zogenoemde minimalisatiebeginsel moet er zo kort mogelijk bewaard worden

Minimalisatiebeginsel

“Vanwege het zogenoemde minimalisatiebeginsel moet er zo kort mogelijk bewaard worden”, vertelt advocaat Timpert. “Soms is er een wettelijke bewaartermijn van toepassing. Na afloop van die termijnen moeten de gegevens verwijderd (of teruggegeven) worden. Een (wettelijke) bewaarplicht gaat dus boven het recht om vergeten te worden. Daarbuiten is het recht om vergeten te worden een belangenafweging, waarbij het minimalisatiebeginsel uiteraard een rol speelt.”

Klantgegevens verwijderen

“We krijgen nu regelmatig vragen van tussenpersonen die voor de zekerheid toch alle klantgegevens na gebruik direct willen verwijderen om aansprakelijkheid op grond van de AVG te ontlopen”, vertelt Jonkman. “Hier moet verstandig mee worden omgegaan”, zegt hij er direct bij. “Weliswaar is het doel niet langer bewaren dan noodzakelijk, maar iets weggooien wat in het belang kan zijn in het licht van een eventuele aansprakelijkheidsstelling is niet gewenst. Daarvan is al snel sprake bij verzekeringsovereenkomsten, zeker omdat deze sowieso vaak langere tijd lopen.” Een overtreding van (de nieuwe) privacywetgeving en de boete die daarop volgt, valt niet onder dekkingsvoorwaarden van de BAVAM-polis.

BSN-nummer

Andere vragen over de AVG die bij de Vereende binnen komen, betreffen hoofdzakelijk de identificatieplicht. Mag je bijvoorbeeld nog een BSN-nummer van een klant opslaan? Jonkman: “Welke manier is toegestaan, hangt af van de toepasselijke wet. Hierin is in de basis met de AVG niets veranderd. Het staat de EU-lidstaten vrij hiervoor naderere regels op te stellen. Het inzien van een identiteitsbewijs kan voldoende zijn. Je mag dan wel het nummer van het ID-bewijs, de naam en geboortedatum noteren, maar niet het BSN-nummmer. Dat laatste mocht al niet; je mag een paspoort of ID-kaart gebruiken om een klant te identificeren maar je mag de gegevens die daarop staan niet verwerken. Door de komst van de AVG en de zwaardere sancties die straks gelden, is weer een bewustwording ontstaan van wat wel en niet mag.”

De principes voor de omgang met persoonsgegevens veranderen niet

Boetes nu veel hoger

Ook De Boer beaamt dat naleving het grote verschil is tussen de oude Wet bescherming persoonsgegevens en de AVG. “De principes voor de omgang met persoonsgegevens veranderen niet: doelbinding, dataminimalisatie, de grondslagen voor verwerking. Maar omdat de boetes nu veel hoger zijn, zie je dat veel partijen een inhaalslag maken.”

Silver lining

Aan de regelgeving kleeft volgens hem ook een silver lining voor het Europese bedrijfsleven: de wet geldt vanaf 25 mei 2018 namelijk ook voor Amerikaanse bedrijven die diensten leveren aan Europeanen. “En omdat de boete niet gemaximeerd is, maar in het ergste geval 4% van de wereldwijde jaaromzet kan bedragen, zullen zelfs de grote techbedrijven zich nu iets moeten aantrekken van deze wet. Dat is natuurlijk goed nieuws voor het Europese bedrijfsleven: het speelveld wordt eerlijker.”

Open normen

Bureau DFO wijst er in een nieuwsbrief op dat de AVG een voorbeeld is van regelgeving met veel open normen. De financieel adviseur moet in de praktijk bij elke situatie zelf een inschatting maken of en zo ja welke uitgangspunten van de AVG van toepassing zijn en welke consequenties deze hebben. Volgens DFO kan in de meeste situaties de vraag of of bepaalde persoonsgegevens verwerkt mogen worden in twee stappen beantwoord worden.

Wettelijke grondslag

Er moet een wettelijke grondslag zijn om gegevens te verwerken, bijvoorbeeld als de klant toestemming geeft of als de persoonsgegevens nodig zijn om een overeenkomst uit te kunnen voeren of wettelijk verplicht zijn. De tweede stap die genomen moet worden is na te gaan of de persoonsgegevens gebruikt worden voor het doel waarvoor zij door de betrokkene zijn verstrekt.

Schadeaangifteformulier

DFO geeft het voorbeeld van een schadeaangifteformulier (SAF) dat een adviseur na een aanrijding bij de verzekeraar van de tegenpartij opvraagt omdat er onduidelijkheid is over de toedracht. Hierdoor dreigt de klant van de tussenpersoon een aanpassing te krijgen op de BM-tredes. Toch weigert de verzekaar op grond van de AVG het formulier aan de adviseur te verstrekken, omdat dit onder meer de adresgegevens, het beroep, het rijbewijsnummer, het IBAN en de geboortedatum van de tegenpartij bevat.

Twee vragen

Er is geen wettelijke plicht om het SAF beschikbaar te stellen, omdat er geen overeenkomst is tussen de adviseur en de tegenpartij. DFO: “Wij signaleren dat inmiddels een aantal verzekeraars tot dit beleid zijn overgegaan. Het illustreert dat door consequent naar de twee vragen te kijken vrij snel de richting kan worden bepaald hoe in het kader van de AVG met deze persoonsgegevens moet worden omgegaan.”

Model-privacy-statement

Tijdens de bijeenkomst van Adfiz in Houten kwam ook de vraag naar voren of financiële dienstverleners al hun bestaande klanten moeten gaan informeren over de de AVG. Dat hoeft volgens De Bruijn niet. Adfiz ontwikkelde een model-privacy-statement, dat adviseurs op hun website kunnen zetten en aan nieuwe klanten kunnen verstrekken. “Dat is genoeg”, aldus De Bruijn.

Daarmee maken ze het moeilijker dan het feitelijk is

Lange epistels

Wat privacyconsultant Kadir betreft geldt voor de informatieverstrekking over de AVG ‘less is more’. Het valt hem op dat de markt met net zulke lange en complexe epistels reageert op de AVG als de wetgeving zelf. “Daarmee maken de ondertoezichtgestelden het moeilijker dan het feitelijk is, een heel bijzonder fenomeen dat je wel vaker ziet als het gaat om toezicht op basis van open normen. Feitelijk vraagt de AVG niet meer dan dat je als adviseur voor ogen hebt wat de Wft van jou verlangt, wat de betrokkene wil, ook als het om zijn informatie gaat, en hoe je daar lijn in gaat brengen. Ik denk dat iedere adviseur daaraan kan voldoen.”

Functionaris gegevensbescherming

Voor grote ondernemingen die zich bezighouden met grootschalige verwerking van persoonsgegevens geldt dat ze een zogeheten FG in huis moeten hebben, een functionaris voor de gegevensbescherming. Deze persoon geniet ontslagbescherming. Wat Leo de Boer betreft is die FG exemplarisch voor de vaagheid van de wetgeving. “Ik denk dat dit voor verzekeraars wel duidelijk is: een FG is voor verzekeraars verplicht. Maar wat zijn de criteria uit de wet? Lees artikel 37 er maar eens op na. Je bent verplicht een functionaris gegevensbescherming aan te stellen als je bijvoorbeeld hoofdzakelijk bent belast met grootschalige verwerking van bijzondere categorieën persoonsgegevens. Maar wat is grootschalig? En wanneer ben je daar hoofdzakelijk mee belast? Ik ben dan ook heel blij dat de Tweede Kamer de Autoriteit Persoonsgegevens heeft verzocht om in het begin vooral in te zetten op voorlichting en ‘hulpvaardig’ te handhaven.”

Reageer op dit artikel