6 minute read
FVF helpt haar leden met GDPR compliance
in met de verwerking van zijn persoonsgegevens op basis van de klantenfiche. FVF heeft er voor geopteerd deze werkwijze te behouden en de bewoording van de klantenfiches aan te passen.
TOOL 1 tris: prospecten
Advertisement
Ook voor de verwerking van gegevens van prospecten is voorzichtigheid vereist. Daarom ontwikkelde FVF hier een specifieke tool voor.
TOOL 2: privacy beleid
Op 25 mei 2018 worden de nieuwe regels, zoals vervat in de Algemene Verordening Gegevensbescherming (“GDPR”), de nieuwe bepalingen van de GDPR moeten aanpassen.
Het louter meedelen van een rechtsgrond voor de verwerking van persoonsgegevens aan de klant volstaat niet. De klant moet ook op voldoende wijze geïnformeerd worden over zijn of haar rechten. FVF hanteert het principe van de gelaagde informatieverstrekking. Daarom wordt in de klantenfiche verwezen naar het privacy beleid. Ook deze werd door FVF herwerkt, rekening houdende
van toepassing. Ook verzekeringsmakelaars zullen zich aan
om verzoekt. met de GDPR. Dit privacy beleid plaatst men bij voorkeur op de website en/of houdt men ter inzage ter beschikking op kantoor.
TOOL 3: register van de verwerkingsactiviteiten
Het spreekt voor zich dat verzekeringsmakelaars over diverse persoonsgegevens moeten beschikken om de verzekeringsbehoeften van hun klanten correct te kunnen inschatten. Die gegevens betreffen onder andere medische gegevens bij gezondheidsverzekeringen, financiële informatie bij beleggingsverzekeringen, woningkenmerken bij een brandverzekering, leefgewoonten zoals reizen bij annulatie- en/of reisbijstandsverzekeringen, ...
Hoe kan een verzekeringsmakelaar zijn activiteiten zonder enig spreekt voor zich dat deze registers kunnen en moeten worden
probleem uitoefenen volgens de regels van de GDPR? FVF verzorgde begin maart verschillende workshops voor haar leden om hen hierin bij te staan. Tijdens deze workshops werd aandacht besteed aan de praktische uitvoering van de meest relevante GDPR verplichtingen in een makelaarskantoor en werden tevens de tools voorgesteld die FVF ontwikkelde om haar leden te ondersteunen bij het implementeren van deze verplichtingen.
Het is belangrijk om vooraf duidelijk te maken dat een makelaar onder de bepalingen van de GDPR handelt in een dubbele hoedanigheid. Enerzijds als verwerker voor rekening van de verzekeringsmaatschappij (“verwerker”) en anderzijds als verantwoordelijke voor de verwerkingen van persoonsgegevens in het kader
Overzicht tools
TOOL 1: klantenfiche
De klantenfiche is één van de belangrijkste tools in het kader van GDPR. Deze fiche wordt bij het eerste contact bezorgd aan de klant en werd destijds opgemaakt in het kader van Twin Peaks II. Vóór de inwerkingtreding van de GDPR stemde de klant reeds Om een duidelijk overzicht te krijgen van de verwerkingen van persoonsgegevens, legt de GDPR in bepaalde gevallen de verplichting op om een register bij te houden. Het register bevat niet alle verwerkte persoonsgegevens, maar geeft een overzicht van de in een makelaarskantoor van toepassing zijnde verwerkingsstromen. Dit register is niet publiek, maar moet wel ter beschikking worden gesteld van de Gegevensbeschermingsautoriteit wanneer zij daar
FVF ontwikkelde twee aangepaste versies van een register van gegevensverwerkende activiteiten: (i) een intern register voor de verzekeringsmakelaar in zijn hoedanigheid van verwerkingsverantwoordelijke en (ii) een intern register voor de verzekeringsmakelaar in zijn hoedanigheid van verwerker. Het register refereert naar verwerkingsactiviteiten zoals klantenbeheer, direct marketing, leveranciersbeheer, boekhouding, personeelsbeheer, personeelsadministratie, communicatie en public relations. Het van eigen commerciële acties (“verwerkingsverantwoordelijke”).
gepersonaliseerd in functie van de specifieke activiteiten van een makelaarskantoor.
TOOL 4: melding datalek TOOL 6: register datalekken
Wanneer er een datalek met betrekking tot persoonsgegevens wordt vastgesteld, dienen bepaalde stappen te worden ondernomen. Indien het datalek een waarschijnlijk hoog risico inhoudt voor de rechten en vrijheden van de klant moet die worden ingelicht over de waarschijnlijke gevolgen van het datalek, en over de voorgestelde of genomen maatregelen ter beperking van de schadelijke gevolgen ervan. De verzekeringsmakelaar moet aan de klant ook meedelen waar hij meer informatie omtrent het datalek kan verkrijgen.
FVF ontwikkelde hiervoor een modeldocument dat een makelaarskantoor in staat zal stellen om datalekken zonder onredelijke vertraging te melden, hetzij aan de getroffen of betrokken klant, hetzij aan de verwerkingsverantwoordelijke. Tenslotte zal ook de Gegevensbeschermingsautoriteit op de hoogte moeten worden gebracht. Makelaars zijn verplicht een procedure uit te werken werknemer de veiligheidsmaatregelen die de verzekeringsfen, eerbiedigen. Hiertoe dient een privacy beleid te worden
om gegevenslekken vast te stellen. Ten einde de datalekken te kunnen beheren en om het veiligheidsbeleid hieraan te kunnen aanpassen, ontwikkelde FVF een register van datalekken.
TOOL 5: model verwerkersovereenkomst
Ook in de relatie met externe dienstverleners speelt de GDPR een rol. Indien een verzekeringsmakelaar beroep doet op externe dienstverleners, zullen zij bepaalde garanties moeten kunnen bietool 7 - opleiding en sensibilisering van het personeel.
den met betrekking tot de beveiliging van de persoonsgegevens die door hun systeem worden beheerd. Het is aangewezen om de overeenkomsten met externe dienstverleners na te lezen om na te gaan of en in hoeverre zij de GDPR respecteren.
De GDPR voorziet de mogelijkheid om verwerkersovereenkomsten op te stellen die de makelaar als verwerkingsverantwoordelijke kan voorleggen aan de verwerkers waarop hij of zij een beroep kan de taken op grond van een dienstverleningsovereenkomst
doet en waarin deze laatste zich ertoe verbinden de persoonsgegevens te verwerken binnen het kader van hun opdrachten en met respect voor de uit de GDPR voortvloeiende verplichtingen. In dergelijke overeenkomsten maakt men afspraken over de duur, beschrijving en doeleinden van de gegevensverwerking, de beveiligingsmaatregelen die zullen genomen worden, ... De GDPR voorziet de mogelijkheid dat de Europese Commissie de standaardbepalingen hiervoor vastlegt. De verwachting is dat er vanuit de EU een model van verwerkingsovereenkomst zal worden opgesteld en aangeboden. In afwachting hiervan stelt FVF reeds een model ter beschikking.
TOOL 7: opleiding en sensibilisering van het personeel TOOL 8: clausule arbeidsovereenkomst
Over hoe het precies zit met de aanstelling van een DPO bij
De GDPR bepaalt dat de verwerkingsverantwoordelijke en verwerker maatregelen moeten treffen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder hun gezag en die toegang heeft tot persoonsgegevens, deze slechts verwerkt in Als werkgever moet de makelaar er dus op toezien dat zijn of haar personeelsleden de GDPR respecteren. Het is daarom
aangewezen een privacy clausule op te nemen in de arbeidsovereenkomst of in het arbeidsreglement. Dergelijke clausules werden in het verleden door FVF reeds ter beschikking gesteld op de ledenzone. FVF ontwikkelde nu een aan de GDPR aangepaste versie.
De GDPR verwacht daarnaast ook dat een kantoor de bescherming van de persoonsgegevens garandeert en maatregelen neemt ter voorkoming van datalekken. Bovendien moet de makelaar als werkgever in het kader van de GDPR heeft getrofuitgewerkt waartoe ook alle kantoormedewerkers met toegang tot persoonsgegevens zich verbinden.
Het behoort tot de verantwoordelijkheid van de verzekeringsmakelaar om zijn personeelsleden enerzijds in te lichten over verplichtingen die op het kantoor rusten en anderzijds over de rechten van de klant. De opleidingen kunnen worden vermeld in
DPO of gegevensbeschermingsverantwoordelijke
De DPO is een persoon die toekijkt op de omgang met persoonsgegevens binnen een organisatie en die controleert of de organisatie voldoet aan de GDPR en andere toepasselijke regelgeving. De DPO moet onafhankelijk kunnen functioneren als contactpersoon en mag zowel intern als extern worden aangesteld. Het is verplicht een DPO aan te stellen bij overheidsinstanties, organisaties die stelselmatig op grote schaal personen observeren, organisaties die grootschalig gevoelige gegevens verwerken, alsook in de gevallen bepaald door een lidstaat. De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of verrichten.
opdracht van de verwerkingsverantwoordelijke en verwerker. de verzekeringsmakelaar werd tijdens de workshops dieper ingegaan. Over het algemeen kan er worden van uitgegaan dat de aanstelling van een DPO voor de verzekeringsmakelaar niet noodzakelijk zal zijn.
FVF legt de laatste hand aan de tools en stelt op zeer korte termijn alles ter beschikking aan haar leden.
