nieuws

Acht vragen over de AVG

Schade 3676

Op 25 mei is het zover. Nog een paar weken te gaan tot de introductie van de AVG (Algemene Verordening Gegevensbescherming). De AVG leeft onder de financieel adviseurs en er zijn nog veel vragen. Een goed moment voor onze specialisten om de meest gestelde vragen te beantwoorden.

Acht vragen over de AVG

De huidige databeschermingsrichtlijn is ruim twintig jaar oud en sluit niet meer aan op de huidige wereld. Met de komst van de AVG worden de privacyrechten versterkt en uitgebreid.

Vraag: Moet ik klanten altijd om toestemming vragen om gegevens te kunnen verwerken?

Antwoord: Expliciet vragen om toestemming is niet altijd noodzakelijk. Artikel 6 AVG geeft meerdere gronden die leiden tot rechtmatige verwerking. Uitdrukkelijke toestemming is bijvoorbeeld niet vereist als de gegevens worden verzameld omdat dit nodig is voor de uitvoering van de overeenkomst van de tussenpersoon met zijn klanten, de uitvoering van een (verzekerings)overeenkomst, om te voldoen aan een wettelijke plicht of wanneer sprake is van een gerechtvaardigd belang om de gegevens te verwerken. In de gevallen waarin wel om toestemming wordt gevraagd, kan deze overigens ook weer ingetrokken worden, zie artikel 7 lid 3 AVG.

Vraag: Wat mag ik verzamelen en wanneer moet ik stoppen met het verwerken van persoonsgegevens?

Antwoord: Persoonsgegevens moeten voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld (artikel 5 AVG). Die doeleinden moet u (bijvoorbeeld in uw overeenkomst met de klant of in uw privacy statement) kenbaar hebben gemaakt.

Gerechtvaardigde doeleinden zijn bijvoorbeeld het verwerken van persoonsgegevens voor de beoordeling van, de advisering over, en de begeleiding van de klant bij financiële en verzekeringsproducten.

De daarnaast vereiste rechtmatigheid van de verwerking is beschreven in artikel 6 van de AVG. Hoofdregel is dat in elk geval gestopt moet worden met het verwerken van de persoonsgegevens als de persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor ze verzameld zijn, of wanneer u de persoonsgegevens voor andere doelen zou gebruiken dan u in de doelomschrijving heeft aangegeven.

Identificeren, opslaan en verwijderen

Vraag: Moet ik binnen de AVG anders omgaan met het vastleggen van identiteitsgegevens?

Antwoord: Een organisatie kan op verschillende manieren de identiteit vaststellen. Welke manier is toegestaan, hangt af van de toepasselijke wet. Het kan genoeg zijn als personen hun identiteitsbewijs, zoals hun paspoort of identiteitskaart, laten zien. U mag dan wel het nummer van het ID bewijs (dus niet het burger service nummer (BSN) naam en geboortedatum noteren. Het is op zichzelf ook toegestaan om een kopie of scan van het ID bewijs van de klant te vragen en in het dossier te bewaren, maar daarbij zal dan wel het BSN en de pasfoto afgeschermd moeten worden.

Het BSN is overigens in de AVG niet als bijzonder persoonsgegeven gekwalificeerd. In dat verband is in artikel 46 van de Nederlandse Uitvoeringswet AVG is ook voor de verwerking van het BSN in beginsel een verwerkingsverbod opgenomen. Hoewel de Uitvoeringswet AVG nog niet definitief is kan ervan uit worden gegaan dat dit verwerkingsverbod gehandhaafd blijft.

Vraag: Wat moet ik wijzigen aan mijn huidige manier van digitale dossiervorming?

Antwoord: Voor wat betreft het controleren of uw huidige digitale dossiervorming voldoet aan de nieuwe AVG-eisen verwijzen wij u naar artikel 32 AVG “Beveiliging van de verwerking”. Dit artikel geeft nadere invulling aan dit onderwerp. Zie ook de nadere uitleg op de website van de Autoriteit Persoonsgegevens.

Als u voor de digitale dossiervorming en de beveiliging van de digitale systemen gebruik maakt van de diensten van een IT-bedrijf dan zult u met dit IT-bedrijf een verwerkersovereenkomst moeten sluiten. Daarmee sluit u uit dat het IT-bedrijf de persoonsgegevens voor eigen doeleinden mag verwerken. Verder moet daarin zijn vastgelegd dat het IT-bedrijf zich eveneens aan de regels van de AVG houdt (artikel 28 AVG).

Vraag: Een klant heeft op basis van de AVG de mogelijkheid een verzoek in te dienen om gegevens te laten verwijderen “recht op vergetelheid”. Moet dat altijd gebeuren?

Antwoord: Er zijn een aantal gronden waarbij geen gehoor hoeft te worden gegeven aan het verwijderen van persoonsgegevens zoals vastgelegd in artikel 17.3 AVG en artikel 22 AVG. Dit geldt onder andere als de gegevens nodig zijn in verband met de uitvoering van een verzekeringsovereenkomst en/of nodig zijn voor een mogelijke rechtsvordering of voor het voeren van verweer indien u door de klant aansprakelijk bent of kunt worden gesteld (Artikel 17.3 sub e AVG).

Bewaartermijnen

Vraag: Kent de AVG ook eigen bewaartermijnen met betrekking tot persoonsgegevens?

Antwoord: In de AVG zelf staan geen bewaartermijnen vermeld. Ook in de Wbp stonden geen termijnen genoemd. Wel stonden er termijnen in het vrijstellingsbesluit Wbp, maar dit komt te vervallen met de invoering van de AVG. Gegevens mogen niet langer bewaard worden dan noodzakelijk voor het doel van de verwerking. Er kunnen echter ook andere wetten van toepassing zijn, bijvoorbeeld het BW of Belastingwet, waarin wél termijnen genoemd staan.

De vraag of en hoelang gegevens mogen worden bewaard, zal dus steeds per geval moeten worden beoordeeld. Het bewaren van gegevens is bijvoorbeeld niet meer aan de orde wanneer de betrokkene een succesvol beroep op verwijdering van de persoonsgegevens heeft voldaan (artikel 17 AVG). De tussenpersoon kan echter ook een gerechtvaardigd belang hebben om het dossier juist langer te bewaren in verband met mogelijke aansprakelijkheidsclaims (zie hierna).

BAVAM-polis

Vraag: Verandert er iets aan de het opslaan van gegevens voor de BAVAM-polis?

Antwoord: Vanuit de voor de BAVAM-polis gesloten verzekeringsovereenkomst verzoeken wij u gegevens op te slaan die van belang zijn voor deze verzekering (artikel 6.1b AVG: uitvoering van de overeenkomst en gerechtvaardigd belang van de verwerkingsverantwoordelijke artikel 6.1f AVG.). Hierin verandert niets bij de invoering van de AVG. Krijgt u een verzoek om gegevens te verwijderen op basis van het hiervoor genoemde ‘recht op vergetelheid’? En twijfelt u of u dit moet doen? Neem dan gerust contact met ons op. Wij kunnen dan samen bekijken wat in dat geval verstandig is.

Vraag: Voor de BAVAM-polis staat er in de voorwaarden een bewaartermijn van vijf jaar na beëindigen van het financiële product. Blijft dat gelden?

Antwoord: Dat blijft inderdaad gelden. Dit heeft als doel het juist kunnen uitvoeren van de verplichtingen uit de verzekeringsovereenkomst voor de BAVAM-polis.

Dit is een partnerbijdrage van de Vereende. Bekijk hier een volledig overzicht van partnerberichten van de Vereende.

Reageer op dit artikel