De nieuwe Europese privacywetgeving gaat verzekeraars extra werk opleveren. Zo moeten verzekeraars een Data Protection Officer aanstellen die onafhankelijk onderzoek kan doen naar gebruik van persoonsgegevens binnen de organisatie. En bij de ontwikkeling van nieuwe producten moet met een Privacy Impact Assessment (PIA) worden vastgesteld wat voor impact het heeft op het gegevensgebruik. Dit meldt Jos Schaffers, beleidsadviseur privacy bij het Verbond van Verzekeraars.
Op 25 mei 2018 wordt de Nederlandse Wet Bescherming Persoonsgegevens vervangen door de Europese Algemene verordening gegevensbescherming. Jos Schaffers: “Belangrijke principes blijven overeind, zoals onder welke omstandigheden persoonsgegevens verwerkt mogen worden en dat organisaties niet meer gegevens verwerken dan nodig. Toch verandert met de invoering van de Europese privacywet het nodige.
“Voorheen moesten organisaties verwerkingen melden bij de Autoriteit Persoonsgegevens, straks moeten ze zelf meer gaan vastleggen welke verwerkingen zij doen en op welke gronden. Vandaar de Data Protection Officer en het Privacy Impact Assessment (PIA).”
Recht op dataportabiliteit
Schaffers: “Een ander groot verschil is dat consumenten meer rechten krijgen. Zo krijgen ze het recht op dataportabiliteit. Dit betekent dat ze gegevens die ze hebben verstrekt aan een organisatie mogen opvragen en overdragen aan een andere organisatie. Verder krijgen consumenten het recht op vergetelheid. Daarmee kunnen ze, in bepaalde gevallen, organisaties verzoeken om hun persoonsgegevens zonder onredelijke vertraging te wissen.”
Vaag
De nieuwe regelgeving is nog lang niet uitgekristalliseerd. “Veel zaken zijn in de Algemene verordening gegevensbescherming nog vaag geformuleerd. Jurisprudentie moet het een en ander verduidelijken, maar tot die tijd is het aan organisaties zelf om hier een uitleg aan te geven. De Europese datatoezichthouders, de zogeheten Working Party 29, doen gelukkig hun best om ons van richtlijnen te voorzien. Over de PIA’s bestaat bijvoorbeeld nog onduidelijkheid: wanneer is een PIA verplicht en hoe voer je die uit? Hierover verschijnen op korte termijn richtlijnen, opgesteld door de datatoezichthouders.”
Het Verbond gaat zijn leden bij de overgang ondersteunen. Schaffers: “Zo werken we aan een nieuwe gedragscode en organiseren we themabijeenkomsten over belangrijke onderwerpen uit de Algemene verordening gegevensbescherming.”
Bron: Verbond van Verzekeraars
