5 minute read
FVF helpt met GDPR compliance
GDPR trad op 25 mei in werking. FVF stelde aan haar leden de noodzakelijke tools ter beschikking om hun makelaarskantoor conform de GDPR wetgeving te organiseren en te laten functioneren. Omdat sommige tools pas in mei ter inzage en gebruik werden vrijgegeven, geven we hier een beknopte toelichting bij alle tools die door FVF ter beschikking werden gesteld en een aantal initiatieven die worden voorbereid om in de toekomst te lanceren.
1. OVERZICHT TOOLS
Advertisement
TOOL 1: klantenfiche voor klanten met e-mailadres TOOL 1 bis: klantenfiche voor klanten zonder e-mailadres
De klantenfiche is één van de belangrijkste tools. Deze fiche was u reeds bekend in het kader van de AssurMiFID-wetgeving. Deze fiche wordt bij het eerste contact bezorgd aan de klant en geeft informatie over het kantoor, de communicatie van het kantoor naar de klant en de toelating tot inzage. De klant geeft door het ondertekenen van het document zijn of haar toestemming aan de verzekeringsmakelaar om persoonsgegevens en medische informatie te verwerken en te gebruiken bij de uitoefening van het makelaarsberoep.
TOOL 1 tris: verklaring voor prospecten per mail TOOL 1 quater: verklaring voor prospecten per brief
Wat prospecten betreft moet de uitdrukkelijke toestemming worden gevraagd indien een verzekeringsmakelaar deze potentiële klanten verder wenst te contacteren per e-mail. Wanneer u een prospect per mail wenst te contacteren, dient u aan deze een neutrale mail te sturen met de vraag om zijn of haar uitdrukkelijke toestemming te geven voor het van commerciële berichten. Indien de prospecten worden gecontacteerd per brief, volstaat een eenvoudige opt-out clausule.
TOOL 2: privacy verklaring
Het louter meedelen van een rechtsgrond voor de verwerking van persoonsgegevens aan de klant volstaat niet. De klant moet ook op voldoende wijze geïnformeerd worden van zijn of haar rechten. FVF hanteert het principe van de gelaagde informatieverstrekking. Daarom wordt in de klantenfiche verwezen naar de privacyverklaring. Ook deze werd door FVF herwerkt rekening houdende met GDPR. Dit privacybeleid plaatst men bij voorkeur op de website en/of houdt u ter inzage ter beschikking op kantoor.
TOOL 3: register van de verwerkingsactiviteiten
Om een duidelijk overzicht te krijgen van de verwerkingen van persoonsgegevens, legt GDPR de verplichting op om een register bij te houden. Het register bevat niet alleen de verwerkte persoonsgegevens maar geeft een overzicht van de in een makelaarskantoor van toepassing zijnde verwerkingsstromen. Dit register is niet publiek maar moet wel ter beschikking worden gesteld van de Gegevensbeschermingsautoriteit wanneer zij daar om verzoekt.
FVF ontwikkelde twee aangepaste versies van een register van gegevensverwerkende activiteiten: • Een intern register voor de verzekeringsmakelaar in zijn hoedanigheid van verwerkingsverantwoordelijke. • Een intern register voor de verzekeringsmakelaar in zijn hoedanigheid van verwerker.
TOOL 4: melding datalek - melding aan klant TOOL 4bis: melding datalek - melding aan verantwoordelijke TOOL 4tris: melding datalek - melding Gegevensbeschermingsautoriteit
Wanneer er een datalek met betrekking tot persoonsgegevens wordt vastgesteld, dienen bepaalde stappen te worden ondernomen. Indien het datalek een waarschijnlijk hoog risico inhoudt voor de rechten en vrijheden van de klant moet die worden ingelicht over de waarschijnlijke gevolgen van het datalek en over de voorgestelde of genomen maatregelen ter beperking van de schadelijke gevolgen ervan. De verzekeringsmakelaar moet aan de klant ook meedelen waar hij meer informatie omtrent het datalek kan verkrijgen.
FVF ontwikkelde hiervoor een modeldocument dat een makelaarskantoor in staat stelt om datalekken zonder onredelijke vertraging te melden, hetzij aan de getroffen of betrokken klant, hetzij aan de verwerkingsverantwoordelijke. Tenslotte zal ook de Gegevensbeschermingsautoriteit op de hoogte moeten worden gebracht. Verzekeringsmakelaars zijn verplicht een procedure uit te werken om gegevenslekken vast te stellen. Teneinde de datalekken te kunnen beheren en om het veiligheidsbeleid hieraan te kunnen aanpassen ontwikkelde FVF een register van datalekken.
TOOL 5: verwerkersovereenkomst
dienstverleners, zoals een sociaal secretariaat, zullen deze bepaalde garanties moeten bieden met betrekking tot de beveiliging van de persoonsgegevens die door hen worden beheerd.
GDPR voorziet de mogelijkheid om verwerkersovereenkomsten op te stellen die de verzekeringsmakelaar als verwerkingsverantwoordelijke kan voorleggen aan de verwerkers waarop hij of zij een beroep doet en waarin deze laatste zich ertoe verbinden de persoonsgegevens te verwerken binnen het kader van hun opdrachten en met respect voor GDPR.
TOOL 5bis: bijlage bij de overeenkomst verzekeringssubagent
Conform GDPR is de subagent van de verzekeringsmakelaar te beschouwen als een sub-verwerker van de verzekeringsmakelaar die optreedt als verwerker. De verhouding tussen beide partijen, als verwerker en als sub-verwerker, wordt beheerst door een verwerkersovereenkomst die als Bijlage 1 integraal deel uitmaakt van de overeenkomst verzekeringssubagent.
TOOL 5ter: clausule niet GDPR gerelateerde activiteit
Het is aangewezen om in overeenkomsten met externe dienstverleners die niet optreden als verwerker van persoonsgegevens en dus diensten verlenen in een niet GDPR gerelateerde activiteit, maar toch toegang zouden kunnen hebben tot persoonsgegevens, een clausule te voorzien waarin een absoluut verbod wordt opgelegd aan het personeel van deze dienstverlener om noch actief, noch passief kennis te nemen van persoonsgegevens. In deze clausule zou tevens moeten worden bepaald dat zij aansprakelijk worden gesteld indien zij persoonsgegevens waarvan ze toch kennis zouden nemen, aan derden doorgeven.
TOOL 6: register datalekken
Treedt de verzekeringsmakelaar op als verwerkingsverantwoordelijke, dan dient hij of zij in ieder geval alle datalekken in verband met persoonsgegevens te documenteren. Hij moet naast de feiten omtrent het datalek ook de gevolgen ervan en de genomen corrigerende maatregelen beschrijven, zodat de Gegevensbeschermingsautoriteit bij een latere controle kan nagaan of GDPR werd nageleefd.
TOOL 7: opleiding en sensibilisering van het personeel
GDPR verwacht dat een kantoor de bescherming van de persoonsgegevens garandeert en maatregelen neemt ter voorkoming van datalekken. Ook werknemers moeten de veiligheidsmaatregelen die de verzekeringsmakelaar als werkgever in het kader van GDPR heeft genomen, eerbiedigen. Het behoort tot de verantwoordelijkheid van de verzekeringsmakelaar om zijn of haar personeelsleden enerzijds in te lichten over verplichtingen die op uw kantoor rusten en anderzijds over de rechten van de klant. De opleidingen daartoe kunnen worden vermeld in deze tool.
TOOL 8: clausule arbeidsovereenkomst of arbeidsreglement
Als werkgever moet de verzekeringsmakelaar erop toezien dat zijn of haar personeelsleden GDPR respecteren. Het is daarom aangewezen een privacy clausule op te nemen in de arbeids
overeenkomst of in het arbeidsreglement. FVF ontwikkelde hiervoor een aan GDPR aangepaste versie.
2. VERDERE INITIATIEVEN
Tijdens de opmaak van dit artikel werkt, FVF nog aan een toelichtingsnota waarin het gebruik van alle tools zal worden uiteengezet. Tevens wordt een lijst met de meest courante vragen en antwoorden voorbereid die voor de leden een belangrijk instrument zal zijn bij het beantwoorden van eventuele vragen. Daarnaast zal een checklist de verzekeringsmakelaar in staat stellen na te gaan of hij alle stappen heeft genomen om GDPR compliant te handelen.
Verdere initiatieven betreffen de onderhandelingen over een cyberpolis en het uitwerken van een sectorovereenkomst met de verzekeringsmaatschappijen om de relatie tussen makelaar en verzekeringsmaatschappij GDPR conform te regelen. Ook aangepaste tools voor kredietbemiddeling en bemiddeling in bank- en beleggingsdiensten staan op het programma.
FVF-leden kunnen de tools terugvinden op de e-bib > 'Modellen' > 'Tools GDPR'.
