Verantwoordelijkheid voor gevolmachtigde

Door Ron Gardenier (voorzitter NVGA)

Vanaf 25 mei gelden er nieuwe regels voor het verwerken van persoonsgegevens. In de kern zijn de regels uit de Algemene Verordening Gegevensbescherming (AVG) niet in alle gevallen anders dan die uit de Wet bescherming persoonsgegevens (Wbp). Toch leidt deze situatie tot behoefte aan duidelijkheid over een fundamenteel vraagstuk, namelijk hoe een gevolmachtigde optreedt. Als verwerkingsverantwoordelijke of als verwerker?

En daaruit voortvloeiend de vraag: verdient de relatie tussen verzekeraar en gevolmachtigde een verwerkersovereenkomst? De NVGA stelt zich op het standpunt dat verzekeraars en gevolmachtigden beiden zelfstandig als verwerkingsverantwoordelijke moeten worden beschouwd. Ieder van deze partijen bepaalt namelijk zelf het doel en middelen van de gegevensverwerking en is zelfstandig verantwoordelijk voor het eigen privacy beleid. Daarmee is er dan ook geen noodzaak voor verwerkersovereenkomsten tussen deze partijen. Bij de beantwoording van de vraag wie verwerkingsverantwoordelijke is, moet enerzijds worden uitgegaan van de formeel juridische bevoegdheid om doel en middelen van gegevensverwerking vast te stellen en anderzijds van een functionele benadering. Dat laatste betekent dat gekeken moet worden naar wat er feitelijk tussen partijen gebeurt. Deze functionele benadering brengt de NVGA tot de conclusie dat een gevolmachtigde een verwerkingsverantwoordelijke is. Argumenten hiervoor zijn:

• De gevolmachtigde heeft volledig beheer over de persoonsgegevens. Bij de verzekeraar zijn de persoonsgegevens niet (standaard) geregistreerd.

• Geest van de wetgeving: wet- en regelgeving eisen dat persoonsgegevens zorgvuldig en transparant worden verwerkt. De verantwoordelijkheid daarvoor moet worden gelegd bij die partij die het dichtst staat bij de betrokkene. Dat is de gevolmachtigde en niet de verzekeraar. De verzekeraar verwerkt de persoonsgegevens doorgaans niet.

• In de Volmacht Samenwerkingsovereenkomst wordt contractueel tussen verzekeraar en gevolmachtigde bepaald dat beiden verwerkingsverantwoordelijk zijn in de zin van de AVG.

• In de Volmacht Samenwerkingsovereenkomst tussen verzekeraar en gevolmachtigde wordt niets bepaald over de doeleinden van de verwerking van persoonsgegevens. Het staat de gevolmachtigde vrij voor zichzelf doeleinden te bepalen. Denk aan eigen productontwikkeling (pool) en commerciële activiteiten om een relatie met een verzekerde in stand te houden dan wel te verbeteren.

• De Volmacht Samenwerkingsovereenkomst schept een kader en binnen dat kader handelt de gevolmachtigde volledig autonoom. Gevolmachtigde kan bijvoorbeeld zelf een keuze maken voor een derde met wie persoonsgegevens worden gedeeld.

• De gevolmachtigde bepaalt zelf met welke middelen gegevens worden verwerkt (bijv. welke technische applicaties).

• Tot slot bestaat de mogelijkheid binnen de door het Verbond van Verzekeraars en de NVGA overeengekomen Volmacht Samenwerkingsovereenkomst om een zogenoemd Pseudo Portefeuillerecht overeen te komen. Dit houdt in dat als de verzekeraar de samenwerkingsovereenkomst beëindigt wegens een niet dringende reden of de gevolmachtigde de samenwerking beëindigt vanwege een dringende reden aan de zijde van de verzekeraar contractueel is bepaald, dat de gevolmachtigde de verzekeringsportefeuille (waarin begrepen het geheel aan persoonsgegevens) elders kan onderbrengen. De zeggenschap over de persoonsgegevens ligt in de hiervoor beschreven situaties dus bij de gevolmachtigde.

Het voorgaande in acht nemend, kunnen wij niet anders concluderen dan dat een gevolmachtigde beschouwd moet worden als een verwerkingsverantwoordelijke met alle daarbij behorende verplichting- en en verantwoordelijkheden. Dit laat onverlet dat de verzekeraar als contractspartij bij de verzekeringsovereenkomst ook een verwerkingsverantwoordelijke is. In de distributieketen zijn verzekeraar en gevolmachtigde derhalve beide verantwoordelijk. Een verantwoordelijke heeft meer en zwaardere verplichtingen ten opzichte van de verwerker. Zo dient hij veelal een privacyverklaring op te stellen waarin de betrokkene (degene wiens persoonsgegevens verwerkt worden) geïnformeerd wordt over hoe om wordt gegaan met zijn persoonsgegevens. De verantwoordelijke is voorts verplicht om verwerkingsovereenkomsten te sluiten met verwerkers die voor hem persoonsgegevens van de klant verwerken. De NVGA heeft zowel een voorbeeldprivacyverklaring als een voorbeeld-verwerkingsovereenkomst aan haar leden ter beschikking gesteld. Tijdens ons goed bezochte congres op 18 april, dat in het teken stond van ‘Volmachtdata: Goud waard!’, hebben wij eveneens uitgebreid aandacht aan dit onderwerp besteed. Ook hebben we tijdens dit congres ons Visiedocument gepresenteerd. Met dit document zetten we in op de start van een nieuw tijdperk waarbij de eigen verantwoordelijkheid van iedere schakel in de bedrijfskolom en het ondernemerschap centraal staan en waar wij het belang van de klant veiligstellen. Ons uitgangspunt daarbij is samen werken aan een duurzame toekomst!

Reactie toevoegen

Editie

Meer over

Adfiz: model Datalekregister

Adfiz legt de laatste hand aan een model Datalekregister. Adfiz: “In de AVG staat dat je een overzicht moet bijhouden van alle datalekken die zich binnen je...

NVGA verbaasd over visie Verbond ten aanzien van volmachtbeloning

De NVGA zegt verbaasd kennis te hebben genomen van het Verbondsstandpunt dat volmachtbeloning voor transparantie in aanmerking komt omdat anders te vrezen valt voor...

Banken pleiten voor balans tussen eigenaar en gebruiker van data

De NVB vindt dat voor een juiste balans tussen de verschillende partijen in de data-economie – de datagebruikers en -eigenaren – een nieuw wettelijk...

Banken pleiten voor mogelijk gebruik van biometrische gegevens financiële diensten

De Nederlandse Vereniging van Banken staat achter het wetsvoorstel Verzamelwet Gegevensbescherming. Dit voorstel is een aanpassing op de Uitvoeringswet AVG, die...

Brancheorganisaties maken zich samen sterk voor eHerkenning

Het Verbond van Verzekeraars, Adfiz en de NVGA slaan met SIVI de handen ineen om hun leden te informeren over de transitie van het Digitaal Paspoort naar eHerkenning,...

NVGA en Verbond bereiken overeenstemming over VSV

De NVGA en het Verbond van Verzekeraars hebben een Voorbeeld Samenwerkingsovereenkomst Volmacht (VSV) gepubliceerd. De nieuwe VSV loopt vanaf nu tot januari 2022. Het...

Persoonlijk contact en interactie

Voor de nieuwe artikelenreeks ‘Volmachtbedrijf centraal’ in VVP wordt een ‘voorbeeldkantoor’ uitgelicht, waarmee een NVGA-bestuurslid een...

COR daalt in volmachtmarkt onder honderd procent

De Combined Operating Ratio (COR) in de volmachtmarkt voor schadeverzekeringen is voor het eerst sinds 2015 onder de 100 procent uitgekomen, een daling in...

Uitkijken met doorverkopen persoonsgegevens

Onder de AVG is het uitkijken met het doorverkopen van persoonsgegevens. Doorverkoop kan in beginsel alleen rechtmatig zijn wanneer de betrokkene hier toestemming...

AP: meeste klachten gaan over schending privacyrecht

In 2019 dienden ruim 27.800 mensen een klacht in bij de Autoriteit Persoonsgegevens vanwege een mogelijke privacyschending. Dat is bijna 79 procent meer dan in 2018....

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

Nadere regulering van de letselschadespecialist door er een beschermd beroep van te maken, is ingrijpend.

Minister Weerwind in antwoord op Kamervragen

Stelling

CFD adviseert terecht om niet te werken met een fijnmazig gemiddelde

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!