25 mei is het zover. De introductie van de AVG (Algemene Verordening Gegevensbescherming). Dit zal u zeker niet zijn ontgaan. De huidige databeschermingsrichtlijn is alweer ruim 20 jaar oud en sluit niet meer goed aan op de huidige wereld. Met de komst van de AVG worden de privacyrechten versterkt en uitgebreid.
Er verschijnen steeds meer artikelen over de AVG in de media en er worden al verschillende tools aangeboden die u kunt gebruiken om uw bedrijfsvoering ‘AVG-Proof’ te maken. De AVG leeft onder de adviseurs waar wij mee samenwerken, maar ook onder de adviseurs die een beroepsaansprakelijkheidsverzekering, de BAVAM-polis, bij ons hebben. Een goed moment voor onze specialisten om de meest gestelde vragen te beantwoorden.
Algemeen
Vraag:
Moet ik klanten altijd om toestemming vragen om gegevens te kunnen verwerken?
Antwoord:
Artikel 6 AVG geeft meerdere gronden die leiden tot rechtmatige verwerking. Expliciet vragen om toestemming is dan niet noodzakelijk. Uitdrukkelijke toestemming is bijvoorbeeld niet vereist als de gegevens worden verzameld omdat dit nodig is voor de uitvoering van de overeenkomst van de tussenpersoon met zijn klanten, de uitvoering van een (verzekerings)overeenkomst, om te voldoen aan een wettelijke plicht of wanneer sprake is van een gerechtvaardigd belang om de gegevens te verwerken. In de gevallen waarin wel om toestemming wordt gevraagd kan deze overigens ook weer ingetrokken worden, zie artikel 7 lid 3 AVG.
Vraag:
Wat mag ik verzamelen en wanneer moet ik stoppen met het verwerken van persoonsgegevens?
Antwoord:
Persoonsgegevens moeten voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld (artikel 5 AVG). Die doeleinden moet u (bijvoorbeeld in uw overeenkomst met de klant of in uw privacy statement) kenbaar hebben gemaakt.
Gerechtvaardigde doeleinden zijn bijvoorbeeld het verwerken van persoonsgegevens voor de beoordeling van, de advisering over, en de begeleiding van de klant bij financiële en verzekeringsproducten.
De daarnaast vereiste rechtmatigheid van de verwerking is beschreven in artikel 6 van de AVG. Hoofdregel is dat in elk geval gestopt moet worden met het verwerken van de persoonsgegevens als de persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor ze verzameld zijn, of wanneer u de persoonsgegevens voor andere doelen zou gebruiken dan u in de doelomschrijving heeft aangegeven.
Identificeren, opslaan en verwijderen
Vraag:
Moet ik binnen de AVG anders omgaan met het vastleggen van identiteitsgegevens?
Antwoord:
Een organisatie kan op verschillende manieren de identiteit vaststellen. Welke manier is toegestaan, hangt af van de toepasselijke wet. Het kan genoeg zijn als personen hun identiteitsbewijs, zoals hun paspoort of identiteitskaart, laten zien. U mag dan wel het nummer van het ID bewijs (dus niet het BSN-nummer) naam en geboortedatum noteren. Het is op zichzelf ook toegestaan om een kopie of scan van het ID bewijs van de klant te vragen en in het dossier te bewaren, maar daarbij zal dan wel het BSN en de pasfoto afgeschermd moeten worden.
Het BSN nummer is overigens in de AVG niet als bijzonder persoonsgegeven gekwalificeerd. In dat verband is in artikel 46 van de Nederlandse Uitvoeringswet AVG is ook voor de verwerking van het BSN in beginsel een verwerkingsverbod opgenomen. Hoewel de Uitvoeringswet AVG nog niet definitief is kan ervan uit worden gegaan dat dit verwerkingsverbod gehandhaafd blijft.
Vraag:
Wat moet ik wijzigen aan mijn huidige manier van digitale dossiervorming?
Antwoord:
Voor wat betreft het controleren of uw huidige digitale dossiervorming voldoet aan de nieuwe AVG-eisen verwijzen wij u naar artikel 32 AVG “Beveiliging van de verwerking”. Dit artikel geeft nadere invulling aan dit onderwerp. Zie ook de nadere uitleg op de website van de Autoriteit Persoonsgegevens. Als u voor de digitale dossiervorming en de beveiliging van de digitale systemen gebruik maakt van de diensten van een IT-bedrijf dan zult u met dit IT-bedrijf een verwerkersovereenkomst moeten sluiten. Daarmee sluit u uit dat dat IT-bedrijf de persoonsgegevens voor eigen doeleinden mag verwerken. Verder moet daarin zijn vastgelegd dat het IT-bedrijf zich eveneens aan de regels van de AVG houdt (artikel 28 AVG).
Vraag:
Een klant heeft op basis van de AVG de mogelijkheid een verzoek in te dienen om gegevens te laten verwijderen “recht op vergetelheid”. Moet dat altijd gebeuren?
Antwoord:
Er zijn een aantal gronden waarbij geen gehoor hoeft worden gegeven aan het verwijderen van persoonsgegevens zoals vastgelegd in artikel 17.3 AVG en artikel 22 AVG. Dit geldt onder andere als de gegevens nodig zijn in verband met de uitvoering van een verzekeringsovereenkomst en/of nodig zijn voor een mogelijke rechtsvordering of voor het voeren van verweer indien u door de klant aansprakelijk bent of kunt worden gesteld (Artikel 17.3 sub e AVG).
Bewaartermijnen
Vraag:
Kent de AVG ook eigen bewaartermijnen met betrekking tot persoonsgegevens?
Antwoord:
In de AVG zelf staan geen bewaartermijnen vermeld. Ook in de Wbp stonden geen termijnen genoemd, wel stonden er termijnen in het vrijstellingsbesluit Wbp, maar dit komt te vervallen met de invoering van de AVG. Gegevens mogen niet langer bewaard worden dan noodzakelijk voor het doel van de verwerking. Er kunnen echter ook andere wetten van toepassing zijn, bijvoorbeeld het BW of Belastingwet, waarin wél termijnen genoemd staan. De vraag of en hoelang gegevens mogen worden bewaard, zal dus steeds per geval moeten worden beoordeeld. Het bewaren van gegevens is bijvoorbeeld niet meer aan de orde wanneer de betrokkene een succesvol beroep op verwijdering van de persoonsgegevens heeft voldaan (artikel 17 AVG). De tussenpersoon kan echter ook een gerechtvaardigd belang hebben om het dossier juist langer te bewaren in verband met mogelijke aansprakelijkheidsclaims (zie hierna).
BAVAM-polis
Vraag:
Verandert er iets aan de het opslaan van gegevens voor de BAVAM-polis?
Antwoord:
Vanuit de BAVAM-polis verzoeken wij u gegevens op te slaan die van belang zijn voor deze verzekering (artikel 6.1b AVG: uitvoering van de overeenkomst en gerechtvaardigd belang van de verwerkingsverantwoordelijke artikel 6.1f AVG). Hierin verandert niets bij de invoering van de AVG. Krijgt u een verzoek om gegevens te verwijderen op basis van het hiervoor genoemde “recht op vergetelheid”? En twijfelt u of u dit moet doen? Neem dan gerust contact met ons op. Wij kunnen dan samen bekijken wat in dat geval verstandig is.
Vraag:
Voor de BAVAM-polis staat er in de voorwaarden een bewaartermijn van 5 jaar na beëindigen van het financiële product. Blijft dat gelden?
Antwoord:
Dat blijft inderdaad gelden. Dit heeft als doel het juist kunnen uitvoeren van de verplichtingen uit de verzekeringsovereenkomst voor de BAVAM-polis.
