Het Verbond van Verzekeraars en Adfiz stellen vast dat Verzekeraars en Adviseurs/Bemiddelaars in principe allen zelfstandig als Verwerkingsverantwoordelijke moeten worden beschouwd: ieder van deze partijen bepaalt zelf het doel en middelen van de gegevensverwerking en is zelfstandig verantwoordelijk voor het eigen privacy beleid. Daarmee is er dan ook geen noodzaak voor verwerkersovereenkomsten tussen deze partijen. Adfiz brengt dit standpunt gelijktijdig bij zijn leden onder de aandacht.
Het Verbond van Verzekeraars en Adfiz geven met bijgevoegd statement antwoord op een veel gehoorde vraag afgelopen weken en maanden: moeten verzekeraars en intermediair geen ‘verwerkersovereenkomsten’ afsluiten in het kader van de op handen zijnde Algemene Verordening Gegevensverwerking (Avg)? Verzekeraars en intermediair moeten van alles doen om zich voor te bereiden op deze Avg, maar ze hoeven onderling niet dergelijke overeenkomsten te sluiten. Reden is dat zowel verzekeraar als intermediair zelfstandig aan te merken zijn als ‘verantwoordelijke’ op grond van de privacyregelgeving. Dit is de lijn die al langer door Verbond en Adfiz wordt uitgedragen. Het komt nu echter opnieuw in de belangstelling, omdat de Avg op 25 mei van kracht wordt.
In een brief aan de leden van het Verbond van Verzekeraars schrijft directeur Leo de Boer: “In de verzekeringsbranche worden veel persoonsgegevens verwerkt. Aanbieders en Adviseurs/Bemiddelaars verwerken deels dezelfde persoonsgegevens. Persoonsgegevens worden daarbij ook over en weer uitgewisseld in het kader van een zorgvuldige dienstverlening aan de klant. Daarbij gelden zowel Verzekeraars als Adviseurs/Bemiddelaars in principe als ‘Verantwoordelijke’ in het kader van de privacy.
Vanaf 25 mei 2018 gelden er nieuwe regels voor het verwerken van persoonsgegevens. In de kern zijn de regels uit de Algemene Verordening Gegevensbescherming (Avg) op dit punt niet anders dan die uit de Wet Bescherming Persoonsgegevens (Wbp). Toch leidt deze situatie tot behoefte aan duidelijkheid over een fundamenteel vraagstuk: namelijk op grond van welke hoedanigheid (Verwerkingsverantwoordelijke of Verwerker) een Aanbieder respectievelijk een Adviseur/Bemiddelaar kwalificeert op grond van de Avg. Dit vraagstuk brengt inherent de vraag met zich mee: verdient de relatie tussen Verzekeraar en Intermediair een verwerkersovereenkomst, zoals bedoeld in Avg 28:3? “
Toelichting
De Boer vervolgt: “Bepalend voor het onderscheid Verwerkingsverantwoordelijke of Verwerker is dat een Verwerkingsverantwoordelijke degene is die het doel en de middelen voor de gegevensverwerking vaststelt. Een Verwerker daarentegen heeft geen zeggenschap over het doel en de middelen en handelt uitsluitend in opdracht van de Verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens, waarbij de verwerking de primaire opdracht is.
De verwerking van persoonsgegevens is zowel voor een Aanbieder als ook voor een Adviseur/Bemiddelaar niet te beschouwen als een primaire opdracht, maar is boven alles een uitvloeisel van een andere vorm van dienstverlening die als kernactiviteit binnen het bedrijf wordt uitgevoerd. Ook kan niet gesteld worden dat de ene partij ten behoeve van de andere partij de gegevens verwerkt c.q. dat er sprake is van een vorm van inschakeling voor de eigen gegevensverwerking.
Nu dit niet het geval is, moet geconstateerd worden dat het sluiten van een verwerkersovereenkomst niet aan de orde is. Een verwerkersovereenkomst is verplicht om uitvoering te geven aan de wettelijke plicht om de relatie tussen een Verwerkingsverantwoordelijke en Verwerker te regelen in een overeenkomst (of andere rechtshandeling), niet voor de relatie tussen twee Verwerkingsverantwoordelijken. Dit is geen nieuws: in de oude, nog geldende, Gedragscode Verwerking Persoonsgegevens Financiële Instellingen werd deze lijn reeds ingenomen. Het is ook logisch: alleen als de Adviseur/Bemiddelaar in opdracht van de Verzekeraar zou werken, zou overwogen kunnen worden of het Intermediair verwerker is. Maar de Adviseur/Bemiddelaar heeft een eigen rol richting de klant en bepaalt zelf de bijbehorende middelen. Doel is niet het afsluiten van verzekeringen, maar het leveren van onafhankelijk advies en/of het (assisteren bij) het beheer van producten. Dat advies kan ook zijn, dat voor een bepaald risico geen verzekering nodig is, of een ander product: daarom is de Adviseur/Bemiddelaar geen Verwerker.
Ook al is er geen Verantwoordelijke/Verwerkersrelatie, toch kunnen wij ons voorstellen dat er datalekken en/of andere problemen zijn, waarin de ketenpartners elkaar over en weer informeren. Als bij een datalek bijvoorbeeld inloggegevens verloren raken, waarmee op gezamenlijke systemen ingelogd kan worden, dan is het belangrijk elkaar daarover te informeren, om de schade zoveel mogelijk te beperken”, aldus De Boer in de brief.
