Het eerste kerncode-onderzoek: de Gedragscode Verwerking Persoonsgegevens Verzekeraars ( GVPV) is getoetst bij alle leden van het Verbond van Verzekeraars. In aanvulling op het kerncode-onderzoek is de Stichting toetsing verzekeraars met de aanvullende Module Kwaliteitsverbetering dieper ingegaan op het onderwerp privacy, die is uitgevoerd bij negen verzekeraars. Resultaat Op de gedeelde eerste plaats van de benchmark staan ABN AMRO Verzekeringen en Nationale– Nederlanden Schade met een score van 97%. Rechtsbijstandverzekeraar DAS volgt op de derde plaats met een score van 96%. De gemiddelde score over negen verzekeraars is 90%.
Verbetermogelijkheden
Tijdens ons onderzoek heeft de Stv ondanks de hoge scores een aantal verbetermogelijkheden gesignaleerd. De belangrijkste verbetermogelijkheden zijn:
• Uitvoering geven aan het beleid voor het bewaren en verwijderen van persoonsgegevens. Niet alle verzekeraars zijn in staat om volledig uitvoering te geven aan het beleid voor het bewaren en vernietigen van persoonsgegevens.
• Het geven van trainingen over privacy. Een deel van de verzekeraars geeft (nieuwe) medewerkers geen basistraining privacy of herhaalt deze vervolgens niet periodiek, bijvoorbeeld eens in de drie jaar.
• Het uitwerken van beleid voor het bewaren en verwijderen van e-mails en opgenomen telefoongesprekken. En vervolgens het waarborgen van de periodieke verwijdering hiervan. Een deel van de deelnemende verzekeraars heeft hier geen duidelijk beleid voor en waarborgt onvoldoende de periodieke verwijdering hiervan.
• Het geven van informatie in het privacystatement over het opnemen/registreren van telefoongesprekken en chatsessies. Een deel van de verzekeraars heeft in het privacystatement niet of onvoldoende beschreven of het telefoongesprekken en chatsessies opneemt/registreert en waar ze dit vervolgens voor gebruiken.
Goede praktijkvoorbeelden
Verzekeraars kunnen de goede praktijkvoorbeelden die wij hebben gezien tijdens ons onderzoek gebruiken om zich op onderdelen nog verder te verbeteren. Enkele voorbeelden:
• Sommige verzekeraars hebben (een deel van) het verwerkingsregister openbaar gemaakt en gedeeld op de website. Een hierbij zien we bij een van de deelnemers aan de Module Kwaliteitsverbetering: De verzekeraar linkt vanuit het privacystatement naar het verwerkingsregister. Het verwerkingsregister is voor zowel intern als extern gebruik gelijk en geeft op een overzichtelijke manier informatie.
• Een software tool voor het verwerkingsregister geeft de mogelijkheid om een periodieke uitvraag aan de business in te regelen. Dit om te verifiëren of verwerkingen nog actueel zijn. Ook helpt een software tool om risico’s bloot te leggen, de informatieflow en verbanden inzichtelijk te maken en zet het desgewenst de Data Protection Impact Assessment (hierna: DPIA) in gang.
• Een aantal verzekeraars heeft ook een DPIA op bestaande processen met een hoog risico uitgevoerd. Een enkeling heeft zelfs op ieder bestaand en nieuw proces een DPIA uitgevoerd. Een goed uitgevoerde DPIA is een waardevol middel om mogelijke risico’s in kaart te brengen.
