Vanaf 25 mei 2018 gelden nieuwe regels voor het verzamelen, verwerken en vastleggen van persoonsgegevens. De nieuwe regels zijn verwerkt in de AVG. De AVG vervangt de Wet bescherming persoonsgegevens (Wbp) van 1 september 2001 die een uitwerking is van de databeschermingsrichtlijn uit 1995. De Wbp sluit niet meer aan op de huidige digitale wereld.
De onderstaande informatie is met name bedoeld voor de partijen die met FlexGarant Assuradeuren (FGA) samenwerken, zoals de assurantieadviseur.
1. Waarom zijn er nieuwe regels over het verzamelen, verwerken en vastleggen van gegevens?
De huidige wetgeving dateert uit 1995. De nieuwe wetgeving is meer gericht op de digitale en technologische ontwikkelingen. Bijvoorbeeld het gebruik van portals en van sociale media. Ook is de wetgeving aangepast aan de huidige opvattingen over privacy, bijvoorbeeld dat betrokkenen meer controle moeten hebben over hun persoonlijke gegevens.
2. Ik lees over GPDR en over AVG. Wat is het verschil?
Er is geen verschil. GDPR (General Data Protection Regulation) is de Engelse naam voor AVG (Algemene verordening gegevensbescherming).
3. In welk opzicht verschillen de nieuwe regels van de al bestaande regels?
Met de introductie van deze privacywetgeving krijgt betrokkenen van wie persoonsgegevens worden verwerkt meer rechten. Tegelijkertijd krijgen bedrijven meer verantwoordelijkheden en worden de mogelijkheden om de regels te handhaven uitgebreid. De toezichthouder, Autoriteit Persoonsgegevens, kan een waarschuwing geven en boetes uitdelen.
4. Wat zijn de gevolgen van de nieuwe privacyregels voor mij als adviseur in de samenwerking met FGA en de werkzaamheden die ik uitvoer namens mijn klant?
In de samenwerking met FGA verandert er niets. U kunt gegevens met ons blijven uitwisselen. Iedereen is verantwoordelijk vanuit zijn eigen rol. FGA als aanbieder, u als adviseur en bemiddelaar. In uw samenwerking met uw klanten is het belangrijk om te weten dat de rechten van uw (particuliere) klant (in verband met zijn persoonsgegevens) worden uitgebreid. En dat u hen ook meer informatie moet verstrekken over hoe en waarom u hun persoonsgegevens gebruikt.
5. Ben ik verplicht om mijn klanten te informeren over de nieuwe wetgeving?
Dat op zichzelf niet, maar de informatieplicht wordt in de AVG wel uitgebreid. Als u nieuwe gegevens verzamelt over uw (bestaande) klanten moet u meer informatie verstrekken over het gebruik dan vóór de AVG. In de huidige wet staat dat u informatie moet geven over de doelen waarvoor de gegevens worden gebruikt. In de AVG is dat uitgebreid met onder andere informatie over de partijen met wie u gegevens uitwisselt, de rechten die een betrokkene heeft en informatie over hoe lang de gegevens worden bewaard.
6. Moet ik een verwerkersovereenkomst sluiten met FGA?
Nee dat is niet nodig. In uw rol als assurantieadviseur verzamelt en verwerkt u eveneens persoonsgevens van uw klant voor het uit te brengen van een financieel advies en eventueel aansluitend bemiddelt u met FGA voor de afname van een passend financieel product. In dat kader bent u eveneens verwerkingsverantwoordlijke.
De gemaakte afspraken die zijn vastgelegd in de samenwerkingsovereenkomst met FGA blijven uiteraard van kracht.
7. Heb ik een zelfstandig privacyverklaring nodig? Los van een verwerkersovereenkomst?
Een Privacyverklaring als informatiedocument (dat u op uw website zet en dat u aan klanten kunt geven) is inderdaad verplicht. Deze verklaring gaat over wat u als verwerkingsverantwoordelijke zelf met persoonsgegevens doet. Dit is dus een verklaring namens uzelf. Dit is iets anders dan een overeenkomst met ons als aanbieder.
8. Is de burgerlijke staat een ‘bijzonder persoonsgegeven’?
Burgerlijke staat is geen ‘bijzonder persoonsgegeven’ in de zin van de AVG. Zoals bijvoorbeeld ras, nationaliteit, religie, medische gegevens dat wel zijn. Voor bijzondere persoonsgegevens gelden extra eisen voor het gebruik.
9. BSN is geen bijzonder persoonsgegeven maar er geldt wel een bijzondere bepaling; welke is dat?
Voor het BSN geldt een ‘gesloten systeem’ van gebruik. De wet bepaalt en benoemt welke partijen het BSN mogen gebruiken. Assurantieadviseurs vallen daar niet onder. FGA heeft de BSN nodig ter uitvoering van een wettelijke plicht. FGA doet nl. betalingen aan de klant uit hoofde van levensverzekeringovereenkomsten en deelt deze betalingen ook met de belastingdienst. Nadat u de BSN aan ons hebt doorgegeven, mag u deze daarna niet meer in uw eigen administratie vastleggen. Mogelijk dat u het BSN wel mag gebruiken als verwerker voor een klant in zijn hoedanigheid als werkgever. Dat betekent dat uw klant verantwoordelijk blijft voor het gebruik van het BSN van diens werknemer. Afspraken hierover dient u schriftelijk vast te leggen. U dient zelf te onderzoeken of u “namens” of “op verzoek” van de klant werkzaamheden uitvoert. In het eerste geval moet er sprake zijn van een verwerkingsovereenkomst. Voor de inhoud van een verwerkersovereenkomst gelden verder bepaalde eisen die in de AVG staan.