Verantwoordelijkheid voor gevolmachtigde

Ron Gardenier 2016

Door Ron Gardenier (voorzitter NVGA)

Vanaf 25 mei gelden er nieuwe regels voor het verwerken van persoonsgegevens. In de kern zijn de regels uit de Algemene Verordening Gegevensbescherming (AVG) niet in alle gevallen anders dan die uit de Wet bescherming persoonsgegevens (Wbp). Toch leidt deze situatie tot behoefte aan duidelijkheid over een fundamenteel vraagstuk, namelijk hoe een gevolmachtigde optreedt. Als verwerkingsverantwoordelijke of als verwerker?

En daaruit voortvloeiend de vraag: verdient de relatie tussen verzekeraar en gevolmachtigde een verwerkersovereenkomst? De NVGA stelt zich op het standpunt dat verzekeraars en gevolmachtigden beiden zelfstandig als verwerkingsverantwoordelijke moeten worden beschouwd. Ieder van deze partijen bepaalt namelijk zelf het doel en middelen van de gegevensverwerking en is zelfstandig verantwoordelijk voor het eigen privacy beleid. Daarmee is er dan ook geen noodzaak voor verwerkersovereenkomsten tussen deze partijen. Bij de beantwoording van de vraag wie verwerkingsverantwoordelijke is, moet enerzijds worden uitgegaan van de formeel juridische bevoegdheid om doel en middelen van gegevensverwerking vast te stellen en anderzijds van een functionele benadering. Dat laatste betekent dat gekeken moet worden naar wat er feitelijk tussen partijen gebeurt. Deze functionele benadering brengt de NVGA tot de conclusie dat een gevolmachtigde een verwerkingsverantwoordelijke is. Argumenten hiervoor zijn:

• De gevolmachtigde heeft volledig beheer over de persoonsgegevens. Bij de verzekeraar zijn de persoonsgegevens niet (standaard) geregistreerd.

• Geest van de wetgeving: wet- en regelgeving eisen dat persoonsgegevens zorgvuldig en transparant worden verwerkt. De verantwoordelijkheid daarvoor moet worden gelegd bij die partij die het dichtst staat bij de betrokkene. Dat is de gevolmachtigde en niet de verzekeraar. De verzekeraar verwerkt de persoonsgegevens doorgaans niet.

• In de Volmacht Samenwerkingsovereenkomst wordt contractueel tussen verzekeraar en gevolmachtigde bepaald dat beiden verwerkingsverantwoordelijk zijn in de zin van de AVG.

• In de Volmacht Samenwerkingsovereenkomst tussen verzekeraar en gevolmachtigde wordt niets bepaald over de doeleinden van de verwerking van persoonsgegevens. Het staat de gevolmachtigde vrij voor zichzelf doeleinden te bepalen. Denk aan eigen productontwikkeling (pool) en commerciële activiteiten om een relatie met een verzekerde in stand te houden dan wel te verbeteren.

• De Volmacht Samenwerkingsovereenkomst schept een kader en binnen dat kader handelt de gevolmachtigde volledig autonoom. Gevolmachtigde kan bijvoorbeeld zelf een keuze maken voor een derde met wie persoonsgegevens worden gedeeld.

• De gevolmachtigde bepaalt zelf met welke middelen gegevens worden verwerkt (bijv. welke technische applicaties).

• Tot slot bestaat de mogelijkheid binnen de door het Verbond van Verzekeraars en de NVGA overeengekomen Volmacht Samenwerkingsovereenkomst om een zogenoemd Pseudo Portefeuillerecht overeen te komen. Dit houdt in dat als de verzekeraar de samenwerkingsovereenkomst beëindigt wegens een niet dringende reden of de gevolmachtigde de samenwerking beëindigt vanwege een dringende reden aan de zijde van de verzekeraar contractueel is bepaald, dat de gevolmachtigde de verzekeringsportefeuille (waarin begrepen het geheel aan persoonsgegevens) elders kan onderbrengen. De zeggenschap over de persoonsgegevens ligt in de hiervoor beschreven situaties dus bij de gevolmachtigde.

Het voorgaande in acht nemend, kunnen wij niet anders concluderen dan dat een gevolmachtigde beschouwd moet worden als een verwerkingsverantwoordelijke met alle daarbij behorende verplichting- en en verantwoordelijkheden. Dit laat onverlet dat de verzekeraar als contractspartij bij de verzekeringsovereenkomst ook een verwerkingsverantwoordelijke is. In de distributieketen zijn verzekeraar en gevolmachtigde derhalve beide verantwoordelijk. Een verantwoordelijke heeft meer en zwaardere verplichtingen ten opzichte van de verwerker. Zo dient hij veelal een privacyverklaring op te stellen waarin de betrokkene (degene wiens persoonsgegevens verwerkt worden) geïnformeerd wordt over hoe om wordt gegaan met zijn persoonsgegevens. De verantwoordelijke is voorts verplicht om verwerkingsovereenkomsten te sluiten met verwerkers die voor hem persoonsgegevens van de klant verwerken. De NVGA heeft zowel een voorbeeldprivacyverklaring als een voorbeeld-verwerkingsovereenkomst aan haar leden ter beschikking gesteld. Tijdens ons goed bezochte congres op 18 april, dat in het teken stond van ‘Volmachtdata: Goud waard!’, hebben wij eveneens uitgebreid aandacht aan dit onderwerp besteed. Ook hebben we tijdens dit congres ons Visiedocument gepresenteerd. Met dit document zetten we in op de start van een nieuw tijdperk waarbij de eigen verantwoordelijkheid van iedere schakel in de bedrijfskolom en het ondernemerschap centraal staan en waar wij het belang van de klant veiligstellen. Ons uitgangspunt daarbij is samen werken aan een duurzame toekomst!

Reactie toevoegen

 
Editie
Meer over
Ockto mag DUO toevoegen als databron

Ockto mag DUO toevoegen als databron

De minister is niet van plan ervoor te zorgen dat  Ockto DUO niet  toevoegt als databron. De minister in antwoord op Kamervragen: "Ockto is een private...

NVGA verheugd over komst Maas Lloyd op volmachtmarkt

NVGA verheugd over komst Maas Lloyd op volmachtmarkt

De NVGA zegt de komst van Maas Lloyd op de Nederlandse volmachtmarkt toe te juichen. “De verzekeraar heeft in de afgelopen jaren haar vertrouwen in de volmachtmarkt...

Verbond en NVGA van start met Stichting Uniforme Inrichting Volmachtketen

Verbond en NVGA van start met Stichting Uniforme Inrichting Volmachtketen

Het Verbond van Verzekeraars en de NVGA hebben gezamenlijk de Stichting Uniforme Inrichting Volmachtketen opgericht. De stichting heeft dan ook twee belangrijke...

Verbond en NVGA publiceren Leidraad Klantbelang Centraal

Verbond en NVGA publiceren Leidraad Klantbelang Centraal

Het Verbond van Verzekeraars en de NVGA hebben samen de Leidraad Klantbelang Centraal (KBC) ontwikkeld, waarmee gevolmachtigden hun bedrijfsvoering kunnen toetsen...

Is 'Barbieboete'​ wel verzekerd?

Is 'Barbieboete'​ wel verzekerd?

(door Peter Hartman, RiskFit Innovation) Juist van een ziekenhuis mag worden verwacht dat de persoonlijke en medische gegevens van een patiënt optimaal worden...

Nederland een van weinige landen waar AVG-boetes verzekerbaar zijn

Nederland een van weinige landen waar AVG-boetes verzekerbaar zijn

Nederland is een van de weinige landen waar AVG-boetes verzekerbaar zijn, blijkt uit onderzoek door Aon en advocatenkantoor DLA Piper. Aon: "De Nederlandse wet...

AVG niet van toepassing op overleden personen

AVG niet van toepassing op overleden personen

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op de gegevens van overleden personen. In dit opzicht vormt de AVG aldus geen beletsel voor...

Voor bescherming gezondheidsgegevens gelden zeer hoge eisen

Voor bescherming gezondheidsgegevens gelden zeer hoge eisen

Heeft u een of meer bekende Nederlanders als klant? Let er dan extra goed op dat u zich houdt aan de AVG. De Autoriteit Persoonsgegevens (AP) heeft het Haga Ziekenhuis...

SIVI: nieuwe verzuimstandaarden

SIVI: nieuwe verzuimstandaarden

SIVI heeft de essentiële informatie voor verzuimprocessen vastgelegd in twee nieuwe verzuimstandaarden, die alle ketenpartijen in staat stellen te voldoen aan...

Hoekstra: AP moet oordelen over gebruik klantgegevens

Hoekstra: AP moet oordelen over gebruik klantgegevens

Het is aan de AP als toezichthouder om te oordelen over de rechtmatigheid van het voorgenomen gebruik van klantgegevens in individuele gevallen, zoals nu door ING....