nieuws

Verbond en Adfiz: Verwerkersovereenkomst niet nodig om te voldoen aan nieuwe privacywet

Branche 2962

Verzekeraars en het intermediair hoeven onderling geen zogeheten ‘verwerkersovereenkomsten’ te sluiten om te voldoen aan de op handen zijnde Algemene Verordening Gegevensverwerking (AVG). Dit hebben het Verbond van Verzekeraar en Adfiz laten weten in gezamenlijk statement. Reeds bestaande wetgeving en de eigen, onafhankelijke rol van beide partijen maken volgens de brancheorganisaties een verwerkingsovereenkomst overbodig. 

Verbond en Adfiz: Verwerkersovereenkomst niet nodig om te voldoen aan nieuwe privacywet

In een circulaire aan de leden van het Verbond van Verzekeraars constateert directeur Leo de Boer dat er veel vragen leven over de AVG, die op 25 mei van kracht wordt. Meest gehoorde vraag: moeten verzekeraars en intermediair geen ‘verwerkersovereenkomsten’ afsluiten in het kader van de op handen zijnde privacywetgeving?

Doel en middelen

Nee, stelt De Boer. “Het Verbond van Verzekeraars en Adfiz stellen vast dat verzekeraars en adviseurs/bemiddelaars in principe allen zelfstandig als verwerkingsverantwoordelijke moeten worden beschouwd: ieder van deze partijen bepaalt zelf het doel en middelen van de gegevensverwerking en is zelfstandig verantwoordelijk voor het eigen privacy beleid. Daarmee is er dan ook geen noodzaak voor verwerkersovereenkomsten tussen deze partijen. Adfiz brengt dit standpunt gelijktijdig bij zijn leden onder de aandacht.”

Verwerker heeft geen zeggenschap

Bepalend voor het onderscheid tussen een verwerkingsverantwoordelijke en een verwerker is volgens De Boer dat een verwerkingsverantwoordelijke degene is die het doel en de middelen voor de gegevensverwerking vaststelt. Een verwerker heeft echter geen zeggenschap over het doel en de middelen en handelt uitsluitend in opdracht van de verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens, waarbij de verwerking de primaire opdracht is.

Vloeit voor uit kernactiviteit

Het verwerken van persoonsgegevens is volgens de Verbondsdirecteur geen primaire opdracht maar vloeit voort uit de kernactiviteit van zowel aanbieder als advsiseur. “Ook kan niet gesteld worden dat de ene partij ten behoeve van de andere partij de gegevens verwerkt c.q. dat er sprake is van een vorm van inschakeling voor de eigen gegevensverwerking. Nu dit niet het geval is, moet geconstateerd worden dat het sluiten van een verwerkersovereenkomst niet aan de orde is.”

Eigen rol richting klant

Volgens De Boer is deze vaststelling geen nieuws. Hij verwijst hierbij naar de oude, nog geldende, Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, waarin deze lijn reeds ingenomen. “Het is ook logisch: alleen als de adviseur/bemiddelaar in opdracht van de verzekeraar zou werken, zou overwogen kunnen worden of het intermediair verwerker is. Maar de Adviseur/Bemiddelaar heeft een eigen rol richting de klant en bepaalt zelf de bijbehorende middelen.

Onafhankelijk advies

Hij vervolgt: “Doel is niet het afsluiten van verzekeringen, maar het leveren van onafhankelijk advies en/of het (assisteren bij) het beheer van producten. Dat advies kan ook zijn, dat voor een bepaald risico geen verzekering nodig is, of een ander product: daarom is de adviseur/bemiddelaar geen verwerker.” Wel benadrukt hij dat het belangrijk is dat aanbieders en intermediair elkaar informeren bij datalekken of andere problemen.

In am:40 besteden we uitgebreid aandacht aan de AVG. Deze uitgave verschijnt volgende week.

 

Reageer op dit artikel