GDPR en verzekeringsmakelaars: welke verplichtingen gelden er?

Data security speelt een rol binnen de verzekeringssector waardoor verzekeringsmakelaars rekening zullen moeten houden met de geldende privacywetgeving. De GDPR (General Data Protection Regulation) is hier ongetwijfeld de belangrijkste wet die speelt. Ook makelaars krijgen immers te maken met een hoop persoonlijke gegevens van hun cliënten.

Maar welke GDPR-verplichtingen hou je als verzekeringsmakelaar nu best in je achterhoofd? Wat mag je allemaal wel en niet doen met de gegevens van je klanten? En hoe strikt moet je de GDPR volgen? 

Mr. Franklin is een nichekantoor met specialisatie in het privacyrecht. Onze advocaten helpen jou op weg naar het GDPR-proof maken van je verzekeringskantoor en staan jou graag bij met juridische expertise. Wij helpen je bij het zorgvuldig persoonsgegevens verzamelen, verwerken en gebruiken. 

Hulp nodig met het GDPR-proof maken van je verzekeringskantoor? Neem vandaag nog contact op met onze experts.

Algemene verordening gegevensbescherming (AVG)

Europese privacyverordening

Sinds 25 mei 2018 is de GDPR (General Data Protection Regulation) van toepassing binnen de Europese Unie. In het Nederlands spreekt men ook wel van de Algemene verordening gegevensbescherming, kortweg de AVG. 

Deze relatief nieuwe, Europese privacyverordening zorgt ervoor dat bedrijven bewuster omspringen met de verwerking van persoonlijke gegevens van betrokken personen. Europese burgers krijgen hierdoor een betere bescherming van hun privacy.

Dat komt doordat de GDPR een aantal verplichtingen oplegt aan bedrijven die zich bezighouden met het verzamelen en verwerken van persoonsgegevens. Het gaat hier bijvoorbeeld om het voorzien van wettige verwerkingsgronden en het bijhouden van een verwerkingsregister. 

Verwerkingsgronden zijn de doeleinden waarvoor de gegevensverwerking plaatsvindt. De GDPR voorziet in zes dergelijke verwerkingsgronden. De uitdrukkelijke toestemming van de betrokkene is ongetwijfeld de belangrijkste.

Ondernemingen moeten ook de nodige technische en organisatorische maatregelen nemen om verzamelde data te beschermen. Daarom moet in sommige gevallen verplicht een DPO (Data Protection Officer) worden aangesteld die de GDPR-naleving binnen de onderneming op punt stelt. 

Bij Mr. Franklin kun je terecht voor DPO as a service, waarbij wij ook kunnen optreden als onafhankelijke externe DPO binnen jouw onderneming. Interesse? Neem zeker contact op met onze experts.

Voor wie geldt de GDPR?

De GDPR is van toepassing op alle ondernemingen en overheidsdiensten die zich bezighouden met het verzamelen en verwerken van persoonsgegevens. De GDPR kent een ruim toepassingsgebied doordat de begrippen ‘verwerking van persoonsgegevens’ en ‘persoonsgegevens’ een brede invulling krijgen. Hierdoor zullen ondernemingen al snel onder het toepassingsgebied van de verordening vallen en als gevolg rekening moeten houden met de GDPR-verplichtingen.

Gegevensverwerking

‘Verwerking’ (gegevensverwerking) heeft betrekking op een breed scala aan verwerkingen van persoonlijke gegevens. Die verwerking kan zowel op handmatige als op geautomatiseerde wijze worden uitgevoerd. 

Het kan daarbij bijvoorbeeld gaan om het verzamelen, vastleggen, ordenen, opslaan, wijzigen, raadplegen en verspreiden van persoonsgegevens. Voorbeelden van verwerking zijn het verzenden van publicitaire e-mails, het bijhouden van klantendossiers en het verzamelen en raadplegen van contactgegevens van klanten.

Persoonsgegevens

Onder ‘persoonsgegevens’ vallen heel wat verschillende soorten gegevens. Er is sprake van persoonsgegevens wanneer het gaat om informatie of gegevens waardoor een natuurlijke persoon rechtstreeks of onrechtstreeks kan geïdentificeerd worden. Indirecte persoonsgegevens zijn gegevens die in combinatie met andere gegevens iets zeggen over de betrokken natuurlijke persoon. 

Voor de hand liggende voorbeelden van persoonsgegevens zijn iemands naam, adres, telefoonnummer of e-mailadres. Andere voorbeelden zijn medische gegevens of iemands politieke voorkeur. Deze laatste zijn trouwens ook voorbeelden van gevoelige persoonsgegevens, die onder de GDPR extra bescherming krijgen.

Vallen ook kleine ondernemingen onder het toepassingsgebied? 

Ja, of het nu gaat om een kleine onderneming of een grote multinational, dat maakt geen enkel verschil. Ook zelfstandigen en vrije beroepers vallen bovendien onder het toepassingsgebied van de GDPR. 

GDPR & verzekeringsmakelaars

Gezien het ruime toepassingsgebied van de GDPR zullen ook verzekeringsmakelaars rekening moeten houden met de geldende GDPR-verplichtingen. Ook zelfstandige verzekeringsmakelaars ontkomen niet aan de toepassing van de GDPR. 

Er moet daarom rekening worden gehouden met een aantal regels. In het kader van de verzekeringswereld zullen een aantal bepalingen uit de GDPR van minder of meer belang zijn. Hieronder lijsten wij een aantal belangrijke aandachtspunten voor verzekeringsmakelaars.

Een specialist zoals Mr. Franklin kan jou bijstaan bij de implementatie van de GDPR binnen jouw onderneming. Wij maakten al heel wat ondernemingen GDPR-proof binnen diverse sectoren, waaronder ook de verzekeringssector. Interesse? Contacteer ons vandaag nog.

Aandachtspunt 1: de verwerkingsgrond

Een van de zes wettelijke verwerkingsgronden die de GDPR voorziet, is de uitvoering van een overeenkomst (artikel 6.1, b) GDPR). Indien de gegevensverwerking noodzakelijk is voor de uitvoering van de overeenkomst die werd gesloten met de betrokkene, kan dat een legitieme reden zijn om aan gegevensverwerking te doen. 

In zo’n geval zal er geen bijkomende, uitdrukkelijke toestemming moeten bekomen worden van de betrokkene. Gegevens zullen verzameld en verwerkt kunnen worden op basis van de contractuele relatie en de daaruit voortvloeiende overeenkomst. Bij verzekeringsmakelaars wordt er vaak gewerkt met contracten. Daardoor kan je als verzekeringsmakelaar mogelijks een beroep doen op deze verwerkingsgrond.

Indien er toch geen beroep kan worden gedaan op deze specifieke verwerkingsgrond, moet je als verwerker van gegevens een andere verwerkingsgrond kunnen voorleggen. Je mag dus nooit zomaar gegevens verwerken! 

Een ander geldig doeleinde voor de verwerking van gegevens kan bijvoorbeeld de verwerking op basis van wettelijke verplichtingen zijn. Er is namelijk heel wat specifieke toepasselijke wetgeving waaronder verzekeringsmakelaars vallen en die hun verplicht bepaalde informatie te verzamelen, verwerken of delen.

Aandachtspunt 2: het recht om vergeten te worden

Het recht om vergeten te worden (‘right to be forgotten’ - ‘recht op vergetelheid’) is een recht dat Europese burgers ontlenen aan de GDPR. Artikel 17 van de GDPR bepaalt dit recht op gegevenswissing. 

Indien de betrokkene - dit is de geïdentificeerde of identificeerbare natuurlijke persoon op wie de gegevensverwerking betrekking heeft - dit recht opeist, moet de gegevensverantwoordelijke onmiddellijk bepaalde gegevens wissen. Het moet hierbij bijvoorbeeld gaan om informatie die niet langer nodig is voor de gegevensverwerking of gegevens die niet meer correct zijn of verouderd zijn.

In het kader van een verzekering zullen klanten in sommige gevallen vragen om bepaalde informatie te wissen, bijvoorbeeld medische informatie naar aanleiding van een ongeval. Of je als makelaar al dan niet effectief moet overgaan tot het wissen van de verzamelde gegevens, zal afhangen van situatie tot situatie. Belangrijk hierbij is wel dat je in ieder geval antwoordt op de vraag van de klant. Het recht om vergeten te worden is geen absoluut recht en dus zal je in sommige gevallen ‘nee’ kunnen zeggen. 

Verwerkingsgrond voor marketing

Als verzekeringsmakelaar zul je misschien wel aan (direct)marketing doen. Hierbij moet je ook rekening houden met de GDPR. Het versturen van geadresseerde reclameposts of e-mailpromoties valt immers onder GDPR. 

Of er al dan niet toestemming aan (potentiële) klanten moet gevraagd worden om dergelijke marketing te versturen, hangt af van geval tot geval. Soms is deze toestemming echter niet vereist en zal er zelfs een beroep kunnen worden gedaan op het ‘gerechtvaardigd belang’ als verwerkingsgrond. Belangrijk is in ieder geval dat er steeds een dergelijke wettelijke basis of verwerkingsgrond voorhanden is.

Aandachtspunt 3: privacy policy & cookie policy

De GDPR bepaalt dat ondernemingen die persoonsgegevens verzamelen en verwerken verplicht zijn om betrokken personen op een transparante en begrijpelijke manier op de hoogte te brengen van deze verwerking. 

Enkel zo kunnen betrokkenen op een geïnformeerde manier verder met jou in zee gaan. De makkelijkste manier om aan deze informatieverplichting tegemoet te komen, is door te werken met een nauwkeurig opgestelde privacyverklaring. 

Zo’n document zal dieper ingaan op het privacybeleid dat je onderneming voert. Klanten kunnen door een openbare privacy policy, beschikbaar op jouw website, kennisnemen van jouw privacybeleid. Hierdoor ontstaat er bovendien ook een schriftelijk bewijs voor eventuele latere discussies.

Wij raden aan om samen met je privacybeleid (privacy policy) ook een cookie policy op je website te zetten. De GDPR verplicht namelijk om zo’n cookie policy op te stellen vanaf het moment dat er cookies in jouw onderneming worden verwerkt.

Wat kan Mr. Franklin voor jou betekenen?

Onze advocaten deden reeds ervaring op in diverse sectoren, waaronder ook de verzekeringssector. Wij staan je daarom graag bij bij het opstellen van een GDPR-beleid op maat, zodat jij zeker bent dat de gegevensverwerking conform de GDPR verloopt.

Onze advocaten kunnen bovendien optreden als externe en onafhankelijke DPO’s. Ook als het aanstellen van een DPO niet verplicht is, raden wij vaak aan om er toch een aan te stellen. Lees meer over onze DPO as a service op deze pagina.

CONTACTEER ONS​

Voor meer informatie omtrent onze dienstverlening rond de GDPR kan je ons steeds vrijblijvend contacteren. Wij staan voor een innovatieve, maar telkens kwalitatieve service. Wij hechten veel belang aan de continue verbetering van onze expertise. 

Onze experts staan je graag met raad en daad bij. 

Olivier Sustronck

+32 486 27 53 05

olivier@misterfranklin.be