loading
De laatste ontwikkelingen en expert inzichten in de verzekeringsbranche.
22 januari 2018
  |  
profile-img

Bescherming van Persoonlijke Gegevens Wordt Nog Strenger

Udo Oelen is hoofd toezicht private sector bij de Nederlandse Autoriteit Persoonsgegevens (AP). Vanaf 25 mei 2018 is de nieuwe Algemene Verordening Gegevensbescherming (AVG) van kracht. Hij zet op een rijtje wat deze nieuwe Europese regelgeving betekent voor de verzekeringsbranche. En dat is behoorlijk veel.

Privacy raakt ons allemaal

Voor verzekeringsmaatschappijen is het opsporen van fraude een belangrijke taak. Privacy is dan lastig want u wilt uw werk efficiënt doen. Uit het ‘Insurance Fraud & Digital Transformation Survey 2016’ van FRISS blijkt dan ook dat het beschermen van privacy een van de belangrijkste uitdagingen is in de verzekeringsbranche

Naast fraudeonderzoeker bent u zelf ook een ‘gewoon mens’. U wilt vast niet dat de vakantiekiekjes van uw kinderen over het internet gaan dwalen, dat uw medische gegevens op straat komen te liggen of dat uw financiële transacties door de bank worden verkocht aan adverteerders. Privacy is voor u net zo belangrijk als voor iedereen. Privacy is een grondrecht.

Strikte voorwaarden

Europe AVG GDPR

Als fraudeonderzoeker bent u gewend om in te breken in de persoonlijke levenssfeer van anderen en te ‘graaien’ in de privégegevens van anderen. Voor fraudeonderzoek mag dat maar wel onder strikte voorwaarden. Het gaat tenslotte altijd over mensen: niet over risicoprofielen, algoritmes en stoplichten die op groen, oranje of rood staan.

De huidige strikte voorwaarden worden in 2018 vervangen door de Algemene Verordening Gegevensbescherming (AVG, in Europa GDPR) en deze regelgeving is nog vele malen strenger.

Ik vertel eerst in hoofdlijnen over de nieuwe wetgeving, daarna ga ik nader in op de zaken die specifiek voor de verzekeringsbranche gelden.

Op 25 mei 2018 is de nieuwe verordening van kracht. Er is geen overgangstermijn, de wet is al twee jaar geleden aangekondigd. Organisaties hebben zich dan ook al twee jaar kunnen voorbereiden. Hoe staat uw organisatie er eigenlijk voor?

De nieuwe wet in een notendop

Deze nieuwe wet was hard nodig. De bestaande wetgeving dateert nog uit de tijd dat niet of nauwelijks sprake was van het internet. Ondertussen leven we in het tijdperk van het Internet of Things en Big Data en is er behoefte aan nieuwe regels rondom privacy. De nieuwe wetgeving geldt voor alle lidstaten van de EU.

In een notendop zijn dit de belangrijkste punten uit de AVG:

  1. Het versterkt de rechten van de burgers
    1. Burgers zijn meer ‘in control’ over hun eigen privacy. Toestemming voor het verwerken van persoonlijke gegevens moet nadrukkelijk gegeven worden en een organisatie moet dat ook kunnen aantonen. En de toestemming moet net zo makkelijk kunnen worden ingetrokken als die is verleend.
    2. Burgers krijgen het recht om vergeten te worden en het recht van data portabiliteit. Hun persoonsgegevens moeten ze dus kunnen laten vernietigen of verplaatsen naar een andere organisatie.
    3. Burgers kunnen klagen bij de Autoriteit Persoonsgegevens. Iedere klacht moet in behandeling worden genomen en kan leiden tot
      een onderzoek en eventueel een boete. Op dit moment worden klachten vooral nog gezien als signaalfunctie.
  2. Het geeft organisaties meer verantwoordelijkheid en plichten – centraal staan daarbij de begrippen verantwoordelijk en aantoonbaar.GDPR
    1. Organisaties moeten accountability implementeren, dat betekent aan kunnen tonen dat aan de wet is voldaan.
    2. Organisaties hebben een documentatieplicht – een privacy-administratie waaruit blijkt welke gegevens zijn verwerkt.
    3. Verplichte Data Privacy Impact Assessment en een Functionaris voor de gegevensbescherming. Hierover straks meer.

Het goede nieuws is dat naast deze plichten ook een aantal voordelen staan. De wetgeving is internationaal en dat betekent binnen de EU organisaties te maken hebben met één norm en één toezichthouder. Bovendien biedt de nieuwe wet ook hulpmiddelen om compliant te worden zoals gedragscodes en certificeringen. De toezichthouders hebben de verplichting om daarbij ondersteuning te bieden.

  1. Privacyvertegenwoordigers krijgen grotere bevoegdheden. We spraken hierboven al over het in behandeling moeten nemen van alle klachten en op de verplichting om organisaties te helpen bij het voldoen aan de wet. Bij overtredingen zijn de boetes die kunnen worden opgelegd sterk verhoogd.

De impact voor de verzekeringsbranche

Wat betekent dit specifiek voor de verzekeringsbranche? De basisbeginselen veranderen niet erg: er is al een grondslag nodig om gegevens te kunnen verzamelen en bewerken. Dat zal in uw geval vaak ‘een gerechtvaardigd belang van een organisatie’ zijn. Ook belangrijk: u mag alleen gegevens verzamelen die noodzakelijk voor het gestelde doel. Alleen dat wat moet, niet alles wat kan. En de verwerking moet proportioneel zijn: liever beperkt en geconcentreerd raadplegen van bronnen dan heel breed informatie verzamelen.

Impact AVG GDPR

Gartner geeft aan dat organisaties in groeiende mate gebruik maken van technologieën voor het verwerken van gestructureerde en ongestructureerde dat uit allerlei openbare bronnen. Dat zou zo maar op gespannen voet kunnen staan met de nieuwe wetgeving.

Voor uw branche wijs ik graag ook op het beginsel van subsidiariteit. Dit houdt in dat het doel bereikt moet worden met met minst ingrijpende middel. Iemand stiekem filmen om fraude aan te tonen mag niet als het ook op een andere, minder ingrijpende manier kan worden opgespoord.

Daarnaast maak ik u er graag op attent dat het verwerken van bijzondere persoonsgegevens aan nog striktere eisen moet voldoen. Daaronder vallen bijvoorbeeld medische en strafrechtelijke gegevens.

Naast deze al bestaande beginselen krijgt u te maken met een aantal nieuwe verplichte zaken.

  1. Register van verwerkingen. Daarin wordt aangegeven welke gegevens er worden verwerkt, met welk doel, op welke grondslag, hoe ze beveiligd zijn, waar ze vandaan komen en of ze voor andere doelen mogen worden gebruikt. Het is een Register dat verplicht wordt voor iedere organisatie die persoonsgegevens verwerkt en dat gecontroleerd kan worden door de toezichthouder. Vooral voor wie werkt met Big Data met automatische beslismodellen is zo’n verwerkingsregister wellicht een uitdaging. Het karakter van Big Data brengt vaak met zich mee dat de oorsprong niet (meer) duidelijk is.
  2. Data Protection Impact Assessment (DPIA)– dit is verplicht bij verwerkingen die een hoog risico kennen. Het gaat daarbij om organisaties die informatie verzamelen voor profiling en op grote schaal bijzondere persoonsgegevens verwerken. U moet waarschijnlijk zo’n assessment doen en maatregelen nemen waar nodig. Als toezichthouder kunnen en moeten we u hierbij helpen en adviseren.
  3. Functionaris voor de gegevensbescherming – de functie bestaat nu ook al maar wordt veel steviger. De instelling van een dergelijk functionaris is bijvoorbeeld verplicht in organisaties die op grote schaal individuen volgen voor het maken van risicoinschattingen en dat komt u vast bekend voor.

Zet de stappen, zet ze op tijd

Ik heb een paar punten toegelicht maar er is meer. De APG heeft een tienstappen-plan gepubliceerd op de website met daarin de zaken die u echt de komende tijd geregeld moet hebben. De tijd tot 25 mei 2018 is relatief kort en mijn advies dan ook om het serieus op te pakken.

Het invoeren van de maatregelen moet, kan en is nodig – het beschermt de persoonsgegevens van alle mensen dus ook van uzelf. Privacy willen we allemaal.

Neem contact op

Cookie- en Privacyverklaring

1. Inleiding

Bij het gebruik van deze website kan door FRISS informatie over uw gebruik van deze website en de aangeboden content worden verzameld. Wij vinden het belangrijk om uw (persoons)gegevens met alle zorgvuldigheid en vertrouwelijkheid te behandelen. Bij de verwerking van uw persoonsgegevens houden wij ons aan de Algemene Verordening Gegevensbescherming en artikel 11.7a van de Telecommunicatiewet.

1.1.  Verantwoordelijke

De verantwoordelijke voor de verwerking van persoonsgegevens is:

FRISS Fraudebestrijding B.V.
Orteliuslaan 15
3528 BA
Utrecht

Deze verwerking van persoonsgegevens is aangemeld bij de Autoriteit Persoonsgegevens te ’s-Gravenhage onder meldingsnummer m00004997.

1.2.  Doeleinden van de gegevensverwerking

Op onze website kunt u op meerdere plaatsen in formulieren (persoons)gegevens invullen. Hieronder zullen wij de doelen van de diverse gegevensverwerkingen uitleggen.

Contactformulier of het sturen van een e-mail

Als u het contactformulier op onze website invult of ons een e-mail stuurt, dan zullen wij de door u verstrekte (persoons)gegevens uitsluitend gebruiken voor het doel of de doelen waarvoor u het contactformulier heeft ingevuld of de e-mail heeft verzonden.

Downloadformulier

Als u op onze website bestanden (zoals e-books, whitepapers of rapporten) download, dan zullen wij de door u verstrekte (persoons)gegevens gebruiken voor een of meer van de onderstaande doeleinden:

  • voor de uitvoering van een overeenkomst, bijvoorbeeld om het door u gekozen e-book, whitepaper of rapport toe te sturen;
  • voor het tot stand brengen van een overeenkomst, bijvoorbeeld door u telefonisch of schriftelijk te benaderen.

Nieuwsbrief

Als u op onze website het aanmeldingsformulier van de nieuwsbrief invult, zullen uw (persoons)gegevens worden gebruikt om u de nieuwsbrief toe te sturen. Iedere nieuwsbrief bevat onderaan het bericht een hyperlink waarmee u zich kunt afmelden.

In aanvulling op de persoonsgegevens die u zelf verstrekt aan FRISS, kan FRISS aanvullende (persoons)gegevens verzamelen, vastleggen en verwerken als u gebruik maakt van de (web)diensten van FRISS. Het gaat hierbij om de volgende persoonsgegevens:

  • gegevens van de gebruikte apparatuur zoals een unieke device-ID, versie van het besturingssysteem en instellingen van het apparaat dat u gebruikt om toegang te krijgen tot een dienst;
  • gegevens van het gebruik van een dienst, zoals het tijdstip waarop u gebruik maakt van de dienst en het soort dienst dat wordt gebruikt;
  • locatiegegevens afkomstig van uw apparatuur of afgeleid van uw IP-adres die aan ons worden doorgegeven wanneer u een bepaalde dienst gebruikt;
  • gegevens beschikbaar in externe bronnen. Wij kunnen informatie over u ontvangen van publieke of commercieel beschikbare bronnen.

1.3.  Verstrekking van (persoons)gegevens aan derden

Uw (persoons)gegevens worden zonder uw toestemming nooit verstrekt aan derden, tenzij hiertoe op grond van wet- of regelgeving een verplichting bestaat of u hiervoor toestemming heeft verleend.

1.4.  Beveiliging gegevens

FRISS respecteert uw privacy en draagt er zorg voor dat persoonsgegevens vertrouwelijk en met de grootst mogelijke zorgvuldigheid worden behandeld. Alle verwerkte (persoons)gegevens worden uitsluitend opgeslagen in beveiligde databases. Deze databases zijn alleen toegankelijk voor medewerkers van FRISS, voor zover dat uit hoofde van hun functie noodzakelijk is. FRISS spant zich ervoor in deze systemen te (laten) beveiligen tegen verlies en/of tegen enige vorm van onrechtmatig gebruik of verwerking.

1.5.  Inzage, correctie en verwijdering van gegevens en recht van verzet

U kunt te allen tijde en zonder kosten inzicht krijgen in uw gegevens die door FRISS zijn verwerkt en deze gegevens desgewenst aanpassen of laten verwijderen. Ook kunt u bezwaar maken tegen het ontvangen van informatie over de producten, diensten of content van FRISS. Indien u van een van deze mogelijkheden gebruik wenst te maken, kunt u een e-mail sturen naar de Data Protection Officer van FRISS via privacy@friss.eu of schriftelijk naar het volgende adres:

FRISS | fraud, risk & compliance
T.a.v. Data Protection Officer
Orteliuslaan 15
3528 BA Utrecht.

2. Cookies

Bij het gebruik van deze website kan door of namens FRISS informatie over uw gebruik van deze diensten en andere websites worden verzameld, bijvoorbeeld door middel van cookies.

Een cookie is een klein bestandje dat met pagina’s van een website wordt meegestuurd en door uw browser op de harde schijf van uw computer wordt opgeslagen. Wij gebruiken cookies om instellingen en voorkeuren te onthouden. U kunt deze cookies uitzetten via uw browser.

2.1.  Doeleinden gebruik cookies FRISS

Op onze website maken wij gebruik van cookies voor de volgende doeleinden:

  • statistische doeleinden om het gebruik van de FRISS websites te analyseren. Zo houden wij het aantal bezoekers bij en kijken wij welke onderdelen van onze website populair zijn. Om deze statistieken te kunnen bijhouden en raadplegen, maken wij gebruik van Google Analytics. Op deze website kunt u uitleg vinden over alle mogelijke cookies die door Google worden geplaatst;
  • Indien u gebruik heeft gemaakt van het downloadformulier: voor zogeheten “targeting” doeleinden. Met targeting bedoelen wij het opbouwen van een profiel van u op basis van uw surfgedrag op onze website, waarna wij telefonisch of per e-mail contact met u kunnen opnemen op basis van de getoonde interesses om na te gaan of FRISS diensten kan aanbieden waar u mogelijk belangstelling voor heeft. Om dit te kunnen bijhouden en raadplegen maken wij gebruik van HubSpot. Op deze website kunt u uitleg vinden over alle mogelijke cookies die door HubSpot worden geplaatst.

3. Wijziging van deze Cookie- en Privacyverklaring

FRISS kan wijzigingen aanbrengen in deze Cookie- en Privacyverklaring. Elke aanpassing zal op deze pagina worden gepubliceerd. Wij raden u aan deze Cookie- en Privacyverklaring geregeld te raadplegen, zodat u altijd op de hoogte bent van de inhoud van de geldende Cookie- en Privacyverklaring.

 

Inschrijven