Er wordt wat afgelekt in onze sector

section1_page62_article26_1.jpg

Het is bijna niet te missen: de informatie over de Algemene Verordening Gegevensbescherming (AVG) komt u van alle kanten tegemoet. Terecht want de verordening legt u als ondernemer belangrijke nieuwe verplichtingen op. Toch is de aandacht opvallend. Veel van de eisen uit de AVG gelden voor u allang op grond van de Wet Bescherming Persoonsgegevens (Wbp).

Als er sprake is van een data-lek, moet een financieel advieskantoor op grond van de Wbp een melding verrichten. En er wordt wat afgelekt in onze sector. In het derde kwartaal ontving de Autoriteit Persoonsregistratie alleen al uit de financiële sector 502 meldingen. Dat is al een fors aantal. Zeker wanneer de kans groot is, dat niet alle lekken zijn gemeld. Bij 68 procent van de meldingen ging het om datalekken in de vorm van het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. U kent de voorbeelden: de papieren mailing waarbij de goede polis-overzichten in de verkeerde envelop terechtkomen. Of de laptop met klantgegevens die wordt gestolen. Of de medewerker die voor zichzelf gaat beginnen en nog even snel een kopie maakt van het portefeuilleoverzicht van het kantoor. Het komt allemaal voor. Zowel

‘Voor late meldingen moet u een heel goede verklaring hebben’

onder de Wbp als straks onder de AVG, moet u in actie komen indien u te maken krijgt met zo’n verlies van data.

Wanneer melden?

De meldplicht geldt bij het verlies van persoonsgegevens. Persoonsgegevens zijn alle gegevens die herleidbaar zijn naar individuele personen. Het gaat dus niet alleen om de contactgegevens, maar ook om inkomensgegevens die kunnen worden gekoppeld aan individuele personen. Melding mag alleen achterwege blijven als het niet waarschijnlijk is, dat het verlies van de data een risico inhoudt voor de personen op wie de gegevens betrekking hebben. Dat is het geval wanneer u gegevens zodanig heeft beveiligd, dat een onbevoegde deze niet kan raadplegen en in ieder geval de gegevens niet kan koppelen aan specifieke personen. Ook is melding niet nodig wanneer u kunt controleren dat data niet zijn ingezien. Bijvoorbeeld een gestolen laptop die snel wordt teruggevonden en waarbij uit de computerbestanden blijkt, dat hij niet is opgestart of dat gegevens zijn geraadpleegd. Indien u verantwoordelijk bent voor deze persoonsgegeven die (mogelijk) in verkeerde handen zijn gevallen, dan dient u dit direct te melden aan de Autoriteit Persoonsgegevens. Direct betekent ook letterlijk direct. Voor meldingen die u niet binnen 72 uur na ontdekking doet, zult u een heel goede verklaring moeten hebben. Het advies is dan ook om het meteen te melden wanneer persoonsgegevens verloren zijn gegaan.

Verantwoordelijk voor derde

Veel assurantiekantoren dragen, om hun werkzaamheden te kunnen doen, tijdelijk persoonsgegevens over aan een derde. Denk bijvoorbeeld aan de volgende situaties:

• U werkt samen met een serviceprovider die voor u de backoffice verzorgt;

• U werkt samen met een reclamebureau dat uw nieuwsbrieven aan uw klanten verstuurt;

• U werkt samen met een thuiswerkende freelancer die uw ‘ruwe adviezen’ uitwerkt tot fraaie rapporten.

In al deze en vele andere situaties bent u, wat de AVG noemt, ‘gegevensverantwoordelijke’ en dient u bij verlies van persoonsgegevens melding te verrichten bij de Autoriteit Persoonsgegevens. Om te kúnnen melden, moet u natuurlijk weten dat er bij de door u ingeschakelde organisaties iets is misgegaan. Zullen die organisaties staan te springen om u dat te vertellen? Of is de kans aanwezig dat deze organisaties denken ‘wat niet weet, wat niet deert’? De AVG is er echter duidelijk over. U als gegevensverantwoordelijke moet het verlies van persoonsgegevens melden en u bent verantwoordelijk indien de derde het verlies aan persoonsgegevens niet aan u heeft opgebiecht.

Bewerkingsovereenkomst

Wanneer u persoonsgegevens van klanten aan derden stuurt om hiermee namens u iets te doen, rust op u de verplichting om een overeenkomst met deze derden aan te gaan. Deze overeenkomst heet een bewerkingsovereenkomst. In deze overeenkomst moet u contractueel een aantal zaken vastleggen, zoals:

• Dat deze derde adequate beveiligingsmaatregelen treft om verlies van persoonsgegevens te voorkomen;

• Dat deze derde u direct waarschuwt indien er toch persoonsgegevens verloren gaan;

• Dat deze derde u volledig informeert over alle relevante omstandigheden die hebben geleid tot het verlies van gegevens en u informatie verstrekt die nodig is om de gevolgen goed te overzien.

In de praktijk zullen grote automatiseringsbedrijven zelf een bewerkingsovereenkomst opstellen en u deze aanbieden. Dat is uiteraard voor iedereen wel zo praktisch. Het is wel belangrijk dat u erop toeziet, dat deze overeenkomst echt tot stand komt en bovenstaande punten in ieder geval voldoende zijn uitgewerkt.

Melden aan klanten

Informatie over onder meer financiële zaken ziet men in het algemeen als gevoelige gegevens. Wanneer het verlies een hoog risico inhoudt voor de betreffende personen, dient u deze mensen ook persoonlijk te informeren. Dit om betrokkenen in de gelegenheid te stellen maatregelen te nemen om eventuele schade te voorkomen of te beperken. Een dergelijke waarschuwing aan uw klanten kan achterwege blijven als de verloren gegevens voldoende zijn beveiligd, zodat deze voor een onbevoegde niet zijn te koppelen aan uw klant.

Wanneer een mededeling een ‘onevenredige inspanning’ van u vergt, kan individueel contact met de klant achterwege blijven. Maar ga er vanuit dat de Autoriteit Persoonsgegevens niet snel iets zal ervaren als een onevenredige inspanning. Is dat wel het geval, dan bent u er nog niet. Want u hoeft in dat geval niet de individuele klanten stuk voor stuk te benaderen, maar u moet wel een openbare mededeling doen die ‘even doeltreffend’ is als een individuele waarschuwing. Kortom, alle redenen om heel zorgvuldig om te gaan met het beheer van uw klantgegevens en zorgvuldig uw automatiseringspartners uit te kiezen.

Reactie toevoegen

 
Editie
Meer over
Break-out sessies VIP-Congres 4 juli (deel 1)

Break-out sessies VIP-Congres 4 juli (deel 1)

Het VVP Innovatie Platform (VIP) organiseert op 4 juli samen met de Stichting Contactgroep Automatisering het VIP-Congres ACT NOW!, het grootste Fin- & Insurevent...

Uitnodiging Michael Mackaaij voor het VIP Innovatie Congres ACT NOW!

Uitnodiging Michael Mackaaij voor het VIP Innovatie Congres ACT NOW!

Michael Mackaaij, voorzitter van de stichting Contactgroep Automatisering, nodigt de financiële sector in een videoboodschap uit voor het VIP Innovatie Congres...

Poortwachtergarantie

Poortwachtergarantie

(Angelo Wiegmans van Bedrijf Plus in VVP 2) Werkgevers kunnen een verzuimverzekering afsluiten met een Poortwachtergarantie. Zo’n garantie klinkt aantrekkelijk,...

Return to sender

Return to sender

(Annemieke Postema van AOVdokter in Katern Ken je Vak! in VVP 2) Een adreswijziging wordt vaak gezien als een eenvoudige, niet adviesgevoelige mutatie die zich...

De ins en outs van de Zorgverzekeringswet

De ins en outs van de Zorgverzekeringswet

(Adfiz in katern Ken je vak! in VVP 1, 2023) Omdat vrijwel iedereen die in Nederland woont verplicht is een zorgverzekering af te sluiten, zal de Zorgverzekeringswet...

‘Act Now!’: digitale innovatie volgens… Michiel Druiventak

‘Act Now!’: digitale innovatie volgens… Michiel Druiventak

VVP organiseert op 4 juli 2023 in samenwerking met onder meer de Contactgroep Automatisering de tweede editie van het VIP Congres ‘Act Now!’, hét...

Schrijf je in voor VIP-congres ACT NOW!

Schrijf je in voor VIP-congres ACT NOW!

Al meer dan 300 financieel dienstverleners hebben zich ingeschreven voor het VIP-congres ACT NOW, hét Fin- & Insurtech event voor de top van de financiële...

‘Act Now!’: digitale innovatie volgens… Igor Driessen

‘Act Now!’: digitale innovatie volgens… Igor Driessen

VVP organiseert op 4 juli 2023 in samenwerking met onder meer de Contactgroep Automatisering de tweede editie van het VIP Congres ‘Act Now!’, hét...

Handhaving op wet DBA komt terug

Handhaving op wet DBA komt terug

(Marjol Nikkels van CS Opleidingen in katern Ken je vak! in VVP 1, 2023) Op 16 december 2022 is de langverwachte brief van minister van Gennip verschenen om de...

Verbetering of tijdverspilling?

Verbetering of tijdverspilling?

(Christel van Bommel- Versluijs in katern Ken je vak! in VVP 1, 2023) Wat 2023 ons gaat brengen? Dat is altijd afwachten, maar er zijn plannen genoeg. Om er een...