Verzekeraar en tussenpersoon beide ‘verantwoordelijke’

Het is natuurlijk bekend dat de verzekeringsbranche veel persoonlijke gegevens verwerkt. Omdat een zorgvuldige dienstverlening aan de klant prioriteit is, worden deze gegevens uitgewisseld tussen aanbieders, adviseurs en bemiddelaars. Deze partijen gebruiken doorgaans namelijk dezelfde persoonsgegevens. Dit zorgt er alleen wel voor, dat niet alleen de verzekeraar, maar ook álle tussenpersonen ‘verantwoordelijke’ zijn als het gaat om privacy.

Wel of geen verwerkersovereenkomst?

Vanaf 25 mei 2018 gelden er nieuwe regels voor het verwerken van persoonsgegevens. Deze regels uit de Algemene Verordening Gegevensbescherming (AVG) verschillen, op dit gebied, niet veel van die uit de Wet Bescherming Persoonsgegevens (WBP). Toch is er behoefte aan duidelijkheid over één belangrijk vraagstuk. Namelijk op basis van welke eigenschappen de aanbieder nou bepaalt of een adviseur/bemiddelaar voldoet aan de eisen van de AVG. Aan dit vraagstuk kleeft ook de vraag of een relatie tussen verzekeraar en intermediair een verwerkersovereenkomst nodig heeft (zoals omschreven wordt in AVG 28:3).
Het Verbond van Verzekeraars en Adfiz stellen dat verzekeraars, adviseurs en bemiddelaars allen, zelfstandig, als ‘verantwoordelijke’ moeten worden beschouwd. Dit betekent dus dat iedere partij:
zelf bepaalt wat het doel is van de gegevensverwerking;
zelf de middelen bepaalt voor de gegevensverwerking;
verantwoordelijk is voor het eigen privacy beleid.
Hierdoor is er géén verwerkersovereenkomst nodig tussen de verschillende partijen. Adfiz brengt dit standpunt gelijktijdig bij zijn leden onder de aandacht.

Wanneer er dan wél een verwerkersovereenkomst nodig is

Een verwerkersovereenkomst is alleen verplicht om uitvoering te geven aan de wettelijke plicht om de relatie tussen een verwerkingsverantwoordelijke en verwerker te regelen in een overeenkomst (of andere rechtshandeling). De adviseur of bemiddelaar heeft een eigen rol richting de klant en bepaalt zelf de bijbehorende middelen. Het doel is dan niet het afsluiten van verzekeringen, maar het leveren van onafhankelijk advies en het assisteren bij het beheer van producten. Dat advies kan ook zijn, dat voor een bepaald risico geen verzekering of ander product nodig is. Daarom is de adviseur of bemiddelaar geen verwerker.
Nogmaals: het is dus niet nodig om een verwerkersovereenkomst te sluiten voor de relatie tussen twee verwerkingsverantwoordelijken.

Toelichting begrippen

Om misverstanden te voorkomen lichten we graag nog wat begrippen toe.

Verwerkingsverantwoordelijke en verwerker:

Het verschil tussen een verwerkingsverantwoordelijke en een verwerker is dat de verwerkingsverantwoordelijke degene is die het doel en de middelen voor de gegevensverwerking vaststelt. Een verwerker heeft hier dus géén zeggenschap over! De verwerker handelt uitsluitend in opdracht van de verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens, waarbij de verwerking de primaire opdracht is.

Zelfstandige gegevensverwerking:

De verwerking van persoonsgegevens mag voor zowel een aanbieder, als voor een adviseur of bemiddelaar niet gezien worden als een primaire opdracht. Wel is het een vorm van dienstverlening die als kernactiviteit binnen het bedrijf wordt uitgevoerd. De situatie mag daarom niet zo zijn dat de ene partij ten behoeve van de andere partij de gegevens verwerkt. Hiermee wordt ook iedere vorm van inschakeling bedoelt voor de eigen gegevensverwerking.