EUROPESE VERORDENING ROND PRIVACY: FVF LEGT UIT

Transcriptie

1 EUROPESE VERORDENING ROND PRIVACY: FVF LEGT UIT THINGS TO KNOW ABOUT THE GDPR FVF besteedde reeds meermaals aandacht aan de opkomende wetgeving ter bescherming van persoonsgegevens, onder meer in Vrijuit nummer 2 en op De Dag van De Makelaar. Ook de komende maanden staat er in dit dossier nog heel wat te gebeuren. FVF heeft, ter kennismaking, alvast een FAQ-lijst opgemaakt die u hieronder kan terugvinden. Het spreekt voor zich dat deze FAQ verre van allesomvattend is. 1 Wat is de GDPR? GDPR is de afkorting van General Data Protection Regulation, een verordening ter bescherming van persoonsgegevens. Bescherming van persoonsgegevens is niet nieuw, denken we onder meer aan Richtlijn 95/46/EG. De principes van deze richtlijn blijven behouden, maar in het kader van een steeds belangrijker wordende digitale economie is een coherenter kader voor gegevensbescherming vereist. Wat is het toepassingsgebied van de gdpr? De GDPR is vanaf 25 mei 2018 van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten binnen de Europese Unie. Onder persoonsgegevens wordt verstaan: gegevens die kunnen worden teruggekoppeld aan een natuurlijke persoon, zo ook een klantnummer, een nationaal nummer of een IP-adres. Anderzijds is de verordening niet van toepassing op geanonimiseerde gegevens. 2 3 Laat de gdpr ruimte voor interpretatie? Binnen de sector worden sommige bepalingen op verschillende wijze geïnterpreteerd. Dit draagt uiteraard niet bij tot rechtszekerheid. FVF had reeds meermaals contact met betrokken (toezichthoudende) instanties. Ook zij bevestigen dat de huidige stand van de wetgeving het niet toelaat om op dit moment op alles een sluitend antwoord te bieden. Desondanks en zonder het belang van een gedegen bescherming te onderschatten, wenst FVF te voorkomen dat de nieuwe reglementering het werkkader van een verzekeringsmakelaar beknot. Uit de redactie van de tekst blijkt duidelijk dat deze niet fit op kleine, middelgrote ondernemingen. De verordening voorziet onder bepaalde voorwaarden afwijkingen, bijvoorbeeld voor wat het bijhouden van een register van verwerkingsactiviteiten betreft voor organisaties met minder dan 250 werknemers. Gelet op de activiteiten als verzekeringsmakelaar en de gegevens die worden verwerkt kan men hier echter geen beroep op doen. Hoewel de verordening de verwerking van persoonsgegevens aan een aantal voorwaarden onderwerpt, is deze niet allesomvattend. Op bepaalde vlakken voorziet de verordening dat de regels door de lidstaten kunnen worden gespecifieerd. Zo is de GDPR in principe niet van toepassing op persoonsgegevens van overleden personen, maar voorziet de memorie van toelichting de mogelijkheid voor lidstaten om hieromtrent regels vast te stellen. Ook wat betreft het verwerken van persoonsgegevens van minderjarigen wordt aan de lidstaten ruimte gelaten voor bijkomende bepalingen. is de gdpr van toepassing op alle persoonsgegevens? Het overgrote deel van persoonsgegevens, voor zover niet geanonimiseerd, worden door de verordening geviseerd. 4 8 Federatie voor Verzekerings- en Financiële tussenpersonen

2 5 welke gegevens worden verzameld en door wie? Het is belangrijk om niet uit het oog te verliezen dat een verzekeringsmakelaar naast persoonsgegevens van zijn cliënteel, mogelijks ook andere persoonsgegevens verwerkt, zoals bijvoorbeeld personeelsgegevens. Ook hierop is de GDPR van toepassing. Deze gegevens worden mogelijks beheerd door een sociaal secretariaat. Ook zij moeten zich uiteraard conformeren aan de GDPR. Ook indien u bijvoorbeeld beroep doet op externe dienstverstrekkers, zullen zij bepaalde garanties moeten kunnen bieden m.b.t. bijvoorbeeld de beveiliging van de persoonsgegevens die door hun systeem worden beheerd. Dit ontslaat u echter niet van de verantwoordelijkheid om uw eigen kantoornetwerk voldoende te beveiligen of te laten beveiligen tegen datalekken. Als werkgever moet men er bovendien op toezien dat de personeelsleden de GDPR respecteren. Het kan daarom aangewezen zijn een privacyclausule op te nemen in de arbeidsovereenkomst. Dergelijke clausules werden in het verleden door FVF reeds ter beschikking gesteld op e-bib. Onder meer om een zicht te krijgen op verwerkingen van persoonsgegevens binnen een onderneming verplicht de verordening in bepaalde gevallen om een register bij te houden. De Belgische Privacycommissie acht, in haar aanbeveling betreffende het register van verwerkingsactiviteiten omtrent het register van gegevensverwerking, het in bepaalde gevallen aangewezen dat een uitgebreider register wordt bijgehouden dan strikt noodzakelijk, daar dit een goed beeld geeft van verwerkingen van persoonsgegevens die binnen een onderneming gebeuren. Het register bevat met andere woorden niet alle verwerkte persoonsgegevens maar geeft een overzicht van de in een onderneming van toepassing zijnde verwerkingsstromen. Dit register is niet publiek, maar moet ter beschikking worden gesteld van de toezichthoudende autoriteit wanneer zij daar om vraagt. Het opstellen van een register is één van de 13 stappen die de Privacycommissie in haar 13-stappenplan presenteert om GDPR-compliant te werken. Meer informatie hierover kan worden teruggevonden op de website van de Privacycommissie. De aanbeveling voorziet uitdrukkelijk de mogelijkheid voor representatieve instellingen uit bepaalde sectoren, waaronder dus ook beroepsverenigingen, om een soepel en moduleerbaar model op te maken. Beperkt de GDPR inzameling en verwerking van persoonsgegevens? Het verzamelen en verwerken van persoonsgegevens is toegestaan voor zover dit gebeurt op basis van een geldige rechtsgrond. De verordening meldt een beperkt aantal gronden op basis waarvan persoonsgegevens verwerkt mogen worden, zoals bijvoorbeeld de toestemming, een wettelijke verplichting, noodzakelijkheid in het kader van de uitvoering van een overeenkomst en een taak van openbaar belang. 6 Het verwerken van persoonsgegevens is met andere woorden ook toegelaten wanneer dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene voor de sluiting van een overeenkomst maatregelen te nemen. Deze verwerkingsgrond biedt mogelijks mogelijkheden aangezien een verzekeringskantoor voor de uitvoering en opvolging van verzekeringscontracten genoodzaakt is persoonsgegevens te verwerken, maar biedt niet steeds een uitweg. De rechtsgrond waarop een verwerker zich kan beroepen, kan verschillen op basis van de aard van de te verwerken persoonsgegevens. Zo besteedt de verordening extra aandacht aan bijzondere categorieën van persoonsgegevens, zoals bijvoorbeeld medische gegevens. Laat dit nu net één van de categorieën van persoonsgegevens zijn waarmee een verzekeringsmakelaar regelmatig in contact komt. Verwerking van medische gegevens kan enkel op basis van een beperkt aantal rechtsgronden waaronder op basis van de uitdrukkelijke voorafgaandelijke toestemming. Een geldige toestemming verkrijgen is echter nog niet zo eenvoudig en maakte al meermaals het voorwerp uit van discussies. De toestemming moet namelijk aan een aantal voorwaarden voldoen. De wettekst en de Memorie van Toelichting melden hierover het volgende: Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. 9 Federatie voor Verzekerings- en Financiële tussenpersonen

3 7 Volstaat een rechtsgrond voor verwerking van persoonsgegevens? De verplichtingen van de verwerker eindigen echter niet bij het vinden van een rechtsgrond voor de verwerking van persoonsgegevens. De betrokken natuurlijk persoon dient op voorhand geïnformeerd te worden over het feit dat er persoonsgegevens zullen worden verwerkt (vereiste van transparantie). Slechts indien men weet wie, waarom, welke gegevens voor welke doeleinden verwerkt worden, kan men geïnformeerd oordelen over de verwerking van persoonsgegevens. De te verstrekken informatie verschilt wanneer de persoonsgegevens al dan niet bij de betrokkene werden verzameld (onrechtstreekse verkrijging). Verder moet er een onderscheid gemaakt worden tussen basisinformatie die te allen tijde moet worden verstrekt en informatie die moet worden overgemaakt voor zover van toepassing. In elk geval moet de betrokkene steeds geïnformeerd worden omtrent de identiteit en de contactgegevens van de verwerkingsverantwoordelijke, de doeleinden van verwerking (waarvoor worden de persoonsgegevens verwerkt?) en de rechtsgrond van de verwerking. De bestaande FVF-tools zullen hier uiteraard aan worden aangepast. De gegevens mogen bijgevolg enkel verwerkt worden voor de meegedeelde doeleinden. Uitbreiding van de verwerkingen vereist een nieuwe mededeling en een bijhorende rechtsgrond. Rijst de vraagt wat er mag/dient te gebeuren met de verwerkte gegevens. Ook nadat een verzekeringsnemer persoonsgegevens heeft meegedeeld, heeft hij bepaalde rechten en kan hij controle uitoefenen over wat er met zijn persoonsgegevens gebeurt. De betrokkene heeft onder meer: het recht van inzage, met andere woorden, het recht om de persoonsgegevens die over hem zijn ingezameld op regelmatige basis en op eenvoudig verzoek in te kijken; het recht om de over hem verzamelde persoonsgegevens te laten rechtzetten, indien deze niet meer correct zijn; de mogelijkheid om te allen tijde en kosteloos bezwaar te maken tegen de verwerking van zijn persoonsgegevens, bijvoorbeeld in geval van direct marketing; het recht om vergeten te worden. Wanneer bijvoorbeeld het bewaren van de verzamelde persoonsgegevens niet langer noodzakelijk is, rekening houdend met het doel waarvoor ze werden verzameld, mag men deze laten wissen. Dit recht kan onder meer worden beperkt wanneer hier een wettelijke grondslag voor bestaat of indien dit noodzakelijk is voor de uitoefening van een taak van algemeen belang of in het kader van het openbaar gezag; het recht om, in geval van geautomatiseerde verwerking van gegevens, een kopie te krijgen van de verwerkte gegevens om die aan een andere verwerkingsverantwoordelijke over te dragen. Deze gegevens moeten worden overgemaakt in een gestructureerd, leesbaar document, dat vlot over te dragen is. Dit recht geldt enkel wanneer de betrokkene toestemming gaf voor de verwerking of de verwerking volgt uit een gesloten overeenkomst. Wat is het tijdstip van de informatieverstrekking? De hierboven vermelde informatie moet worden meegedeeld bij de verkrijging van de persoonsgegevens. De facto dient de informatie zo snel mogelijk overgemaakt te worden. In de praktijk zal de informatie vaak verstrekt worden tijdens het proces van gegevensverstrekking bijvoorbeeld op een (elektronisch) aanvraagformulier. 8 9 Wat is mijn verantwoordelijkheid? De verantwoordelijkheid is afhankelijk van uw hoedanigheid. De GDPR onderscheidt een aantal begrippen. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De feitelijke situatie zal bepalen of een verzekeringsmakelaar optreedt als verwerker of als verwerkingsverantwoordelijke. Belangrijk hierbij is dat het statuut de verplichtingen en de daaruit volgende, al dan niet gedeelde, verantwoordelijkheden bepaalt. 10 Federatie voor Verzekerings- en Financiële tussenpersonen

4 Welke initiatieven worden momenteel op sectorniveau genomen? Artikel 40 van de verordening voorziet in de mogelijkheid van het opstellen van een gedragscode: De lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie bevorderen de opstelling van gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen, moeten bijdragen tot de juiste toepassing van deze verordening. 10 Verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, kunnen gedragscodes opstellen, of die codes wijzigen of uitbreiden, ten einde de toepassing van deze verordening nader toe te lichten[ ]. De in dit artikel bedoelde verenigingen [ ] leggen de ontwerpgedragscode [ ] voor aan de bevoegde toezichthoudende autoriteit. FVF, Feprabel, BVVM en Assuralia hebben dit artikel aangegrepen om te werken aan een gedragscode die de verantwoordelijkheden, afhankelijk van de verhoudingen tussen de verzekeringsonderneming(en) en de verzekeringsmakelaar regelt. Hoewel de verordening de mogelijkheid van zelfregulering door middel van een gedragscode voorziet en de Privacycommissie in gezamenlijk overleg aangaf hiervan voorstander te zijn, kan dergelijke gedragscode enkel rechtszekerheid bieden voor zover deze uiteindelijk wordt gecertifieerd en de naleving ervan wordt beschouwd als een goede praktijk. De Privacycommissie gaf eerder al aan zich constructief op te zullen stellen. 11 Wat doet fvf? FVF stelt een aantal zaken ter beschikking voor haar leden op de e-bib. Deze documenten zullen uiteraard worden aangevuld en geactualiseerd in functie van de (nieuwe) verplichtingen die voortvloeien uit de verordening en de initiatieven die op Belgisch vlak zullen genomen worden. Denken we hiervoor bijvoorbeeld aan de aanpassing van onze klantenfiche, het opmaken van een privacypolicy en dergelijke. 1 Daarnaast zullen een aantal nieuwe tools ontwikkeld worden, bijvoorbeeld een register. De rechtsonzekerheid ten gevolge van de hiaten in de wetgeving en de interpretatieproblemen, gekoppeld aan de strenge (administratieve) sancties, zorgden in bepaalde gevallen voor terughoudendheid bij de verzekeringsondernemingen om nog bepaalde gegevens over te maken. Dit beïnvloedt op nefaste wijze de werking van een verzekeringskantoor. FVF streeft ernaar hieraan tegemoet te komen door de gewijzigde tools, in combinatie met maatschappij-overleg en de gedragscode waarnaar werd verwezen in vraag 10. Wat als ik de verplichtingen van de gdpr niet naleef? De GDPR voorziet administratieve geldboetes die kunnen oplopen tot 20 miljoen euro of vier procent van de globale jaarlijkse omzet die kunnen worden opgelegd door de toezichthoudende overheid. De huidige toezichthoudende instantie, de Privacycommissie, zal hervormd worden, rekening houdend met haar adviserende rol. Een procedure voor de hoven en rechtbanken behoort ook tot de mogelijkheden FVF Heb ik een aangifteplicht? De aangifteplicht bij de Privacycommissie, zoals die tot op vandaag bestaat, komt te vervallen onder de GDPR. De gegevens die destijds werden vermeld in de voorafgaandelijke aangifte (en die werden opgenomen in de leidraad die ter beschikking stelde) kunnen een nuttige informatiebron vormen voor het opstellen van een register. 12 Federatie voor Verzekerings- en Financiële tussenpersonen

5 Moet mijn kantoor een DPO voor gegevensbescherming aanstellen? De verordening verplicht verwerkers van persoonsgegevens in bepaalde gevallen tot het aanstellen van een Data Protection Officer (DPO). Ook wanneer niet verplicht, is het uiteraard mogelijk facultatief een DPO aan te stellen. Zo is een DPO bijvoorbeeld verplicht wanneer bijzondere categorieën van gegevens worden verwerkt. 14 De taak van de DPO bestaat erin toezicht te houden op de eerlijke, correcte en wettelijke verwerking van persoonsgegevens. Naast een controlerende functie heeft een DPO de taak de betrokken verwerkers en verantwoordelijken te adviseren. Zijn adviezen zijn afgestemd op de concrete situatie van iedere onderneming (welke verwerkingsactiviteiten, omvang, mogelijke risico s). Hij is ook een contactpunt voor de toezichthoudende overheid. Hij is m.a.w. zowel een aanspreekpunt als een controlerend orgaan binnen een onderneming. Om zijn taak te kunnen uitoefenen worden hem voldoende tijd en middelen ter beschikking gesteld, teneinde hem toe te laten deze functie in alle onafhankelijkheid uit te oefenen. Uit bovenstaande kan men afleiden dat een DPO verplicht is voor verzekeringsmakelaars. Het is echter mogelijk een DPO voor verschillende ondernemingen aan te stellen voor zover de DPO voor alle betrokken ondernemingen gemakkelijk te contacteren is en hij in staat is voor iedere onderneming zijn controlerende en adviserende rol uit te oefenen. Vanuit FVF wordt momenteel bekeken of en hoe we onze leden hierin kunnen bijstaan. 5 Dekt mijn polis beroepsaansprakelijkheid fouten wegens het niet naleven van de privacyreglementering? De polis beroepsaansprakelijkheid en BA-uitbating die leden via FVF kunnen afsluiten voorziet in volgende bepalingen: Deze polis verleent dekking voor schadegevallen voortvloeiende uit beweerde niet-naleving van witwas- en privacywetgeving voor zover deze onvrijwillig gebeurd is. 13 Federatie voor Verzekerings- en Financiële tussenpersonen