Blog
Jan 21, 2018
Udo Oelen
Udo Oelen wasjarenlang hoofd toezicht private sector bij de Nederlandse Autoriteit Persoonsgegevens (AP). Vanaf 25 mei 2018 is de nieuwe Algemene Verordening Gegevensbescherming (AVG) van kracht. Hij zet op een rijtje wat deze nieuwe Europese regelgeving betekent voor de verzekeringsbranche. En dat is behoorlijk veel.
Privacy raakt ons allemaal
Voor verzekeringsmaatschappijen is het opsporen van fraude een belangrijke taak. Privacy is dan lastig want u wilt uw werk efficiënt doen. Naast fraudeonderzoeker bent u zelf ook een "gewoon mens". U wilt vast niet dat de vakantiekiekjes van uw kinderen over het internet gaan dwalen, dat uw medische gegevens op straat komen te liggen of dat uw financiële transacties door de bank worden verkocht aan adverteerders. Privacy is voor u net zo belangrijk als voor iedereen. Privacy is een grondrecht.
Strikte voorwaarden
Als fraudeonderzoeker bent u gewend om in te breken in de persoonlijke levenssfeer van anderen en te "graaien" in de privégegevens van anderen. Voor fraudeonderzoek mag dat maar wel onder strikte voorwaarden. Het gaat tenslotte altijd over mensen: niet over risicoprofielen, algoritmes en stoplichten die op groen, oranje of rood staan. De huidige strikte voorwaarden worden in 2018 vervangen door de Algemene Verordening Gegevensbescherming (AVG, in Europa GDPR) en deze regelgeving is nog vele malen strenger. Ik vertel eerst in hoofdlijnen over de nieuwe wetgeving, daarna ga ik nader in op de zaken die specifiek voor de verzekeringsbranche gelden. Op 25 mei 2018 is de nieuwe verordening van kracht. Er is geen overgangstermijn, de wet is al twee jaar geleden aangekondigd. Organisaties hebben zich dan ook al twee jaar kunnen voorbereiden. Hoe staat uw organisatie er eigenlijk voor?
De nieuwe AVG wet in een notendop
Deze nieuwe wet was hard nodig. De bestaande wetgeving dateert nog uit de tijd dat niet of nauwelijks sprake was van het internet. Ondertussen leven we in het tijdperk van het Internet of Things en Big Data en is er behoefte aan nieuwe regels rondom privacy. De nieuwe wetgeving geldt voor alle lidstaten van de EU. In een notendop zijn dit de belangrijkste punten uit de AVG:
-Het versterkt de rechten van de burgers
-Burgers zijn meer"in control" over hun eigen privacy. Toestemming voor het verwerken van persoonlijke gegevens moet nadrukkelijk gegeven worden en een organisatie moet dat ook kunnen aantonen. En de toestemming moet net zo makkelijk kunnen worden ingetrokken als die is verleend.
-Burgers krijgen het recht om vergeten te worden en het recht van data portabiliteit. Hun persoonsgegevens moeten ze dus kunnen laten vernietigen of verplaatsen naar een andere organisatie.
-Burgers kunnen klagen bij de Autoriteit Persoonsgegevens. Iedere klacht moet in behandeling worden genomen en kan leiden tot een onderzoek en eventueel een boete. Op dit moment worden klachten vooral nog gezien als signaalfunctie.
-Het geeft organisaties meer verantwoordelijkheid en plichten. Centraal staan daarbij de begrippen verantwoordelijk en aantoonbaar.Organisaties moeten accountability implementeren, dat betekent aan kunnen tonen dat aan de wet is voldaan.
-Organisaties hebben een documentatieplicht een privacy-administratie waaruit blijkt welke gegevens zijn verwerkt. -Verplichte Data Privacy Impact Assessment en een Functionaris voor de gegevensbescherming. Hierover straks meer.
Voordelen AVG wetgeving
Het goede nieuws is dat naast deze plichten ook een aantal voordelen staan. De wetgeving is internationaal en dat betekent binnen de EU organisaties te maken hebben met een norm en een toezichthouder. Bovendien biedt de nieuwe wet ook hulpmiddelen om compliant te worden zoals gedragscodes en certificeringen. De toezichthouders hebben de verplichting om daarbij ondersteuning te bieden. -Privacyvertegenwoordigers krijgen grotere bevoegdheden. We spraken hierboven al over het in behandeling moeten nemen van alle klachten en op de verplichting om organisaties te helpen bij het voldoen aan de wet. Bij overtredingen zijn de boetes die kunnen worden opgelegd sterk verhoogd.
De AVG-impact voor de verzekeringsbranche
Wat betekent dit specifiek voor de verzekeringsbranche? De basisbeginselen veranderen niet erg: er is al een grondslag nodig om gegevens te kunnen verzamelen en bewerken. Dat zal in uw geval vaak een gerechtvaardigd belang van een organisatie zijn. Ook belangrijk: u mag alleen gegevens verzamelen die noodzakelijk voor het gestelde doel. Alleen dat wat moet, niet alles wat kan. En de verwerking moet proportioneel zijn: liever beperkt en geconcentreerd raadplegen van bronnen dan heel breed informatie verzamelen. Gartner geeft aan dat organisaties in groeiende mate gebruik maken van technologieën voor het verwerken van gestructureerde en ongestructureerde dat uit allerlei openbare bronnen. Dat zou zo maar op gespannen voet kunnen staan met de nieuwe wetgeving. Voor uw branche wijs ik graag ook op het beginsel van subsidiariteit. Dit houdt in dat het doel bereikt moet worden met met minst ingrijpende middel. Iemand stiekem filmen om fraude aan te tonen mag niet als het ook op een andere, minder ingrijpende manier kan worden opgespoord. Daarnaast maak ik u er graag op attent dat het verwerken van bijzondere persoonsgegevens aan nog striktere eisen moet voldoen. Daaronder vallen bijvoorbeeld medische en strafrechtelijke gegevens.
Nieuwe AVG verplichtingen
Naast deze al bestaande beginselen krijgt u te maken met een aantal nieuwe verplichte zaken. -Register van verwerkingen. Daarin wordt aangegeven welke gegevens er worden verwerkt, met welk doel, op welke grondslag, hoe ze beveiligd zijn, waar ze vandaan komen en of ze voor andere doelen mogen worden gebruikt. Het is een Register dat verplicht wordt voor iedere organisatie die persoonsgegevens verwerkt en dat gecontroleerd kan worden door de toezichthouder. Vooral voor wie werkt met Big Data met automatische beslismodellen is zo'n verwerkingsregister wellicht een uitdaging. Het karakter van Big Data brengt vaak met zich mee dat de oorsprong niet (meer) duidelijk is. -Data Protection Impact Assessment (DPIA) dit is verplicht bij verwerkingen die een hoog risico kennen. Het gaat daarbij om organisaties die informatie verzamelen voor profiling en op grote schaal bijzondere persoonsgegevens verwerken. U moet waarschijnlijk zo'n assessment doen en maatregelen nemen waar nodig. Als toezichthouder kunnen en moeten we u hierbij helpen en adviseren. -Functionaris voor de gegevensbescherming; de functie bestaat nu ook al maar wordt veel steviger. De instelling van een dergelijk functionaris is bijvoorbeeld verplicht in organisaties die op grote schaal individuen volgen voor het maken van risicoinschattingen en dat komt u vast bekend voor.
Zet de stappen, zet ze op tijd
Ik heb een paar punten toegelicht maar er is meer. De APG heeft een tienstappen-plan gepubliceerd op de website met daarin de zaken die u echt de komende tijd geregeld moet hebben. Het invoeren van de maatregelen moet, kan en is nodig: het beschermt de persoonsgegevens van alle mensen dus ook van uzelf. Privacy willen we allemaal.