Naleving AVG: gegevensbescherming in actie

Leestijd: 8 minuten

Nieuws & Blog Blog Naleving AVG: gegevensbescherming in actie

Naleving AVG: gegevensbescherming in actie

Pascal Dijkens, Risk & Compliance Director

Pascal Dijkens

Risk & Compliance Director, Van Ameyde

Leestijd:8 minuten
Na het doorlopen van een tweejarig project is Van Ameyde klaar voor de AVG, de Algemene verordening gegevensbescherming. Een van de eerste stappen daarin was onze ISO-certificering. Volgens AVG is Van Ameyde een ‘verwerker’. Wij verwerken immers op grote schaal persoonlijke gegevens namens risk managers en verzekeraars. Maar is de branche op de hoogte van haar eigen verplichtingen ten aanzien van schadebehandelaren en andere leveranciers?

Op 25 mei 2018 wordt de AVG, de Algemene verordening gegevensbescherming (General Data Protection Regulation), van kracht. Deze komt in de plaats van EU-richtlijn 95/46/EG. Omdat de AVG geen Richtlijn maar een Verordening is, is de AVG rechtstreeks van toepassing. Dit is positief voor organisaties die actief zijn in meerdere lidstaten, zoals Van Ameyde en veel van onze klanten. Verordeningen bieden immers veel minder mogelijkheden voor lokale afwijkingen dan Richtlijnen (die door lidstaten worden omgezet in nationale wetgeving).

Ondanks dit voordeel bleek het implementeren van AVG voor ons een tijdrovend proces. Wij zijn meer dan twee jaar geleden begonnen met een uitgebreide audit in de hele organisatie. De uitslag vormde de basis van ons uitgebreide implementatieprogramma.

Zonder te beweren volledig te zijn, wil ik met u inzichten in een aantal aspecten van AVG delen, vanuit het standpunt van een ‘verwerker’.

Gegevensbescherming: beveiliging en beheer

Op basis van de audit zijn wij begonnen met upgrades in onze gegevensbeveiliging en het informatiemanagement. Omwille van de veiligheid kunnen we geen details geven van de genomen maatregelen. Maar in het algemeen omvatten onze maatregelen:

  • versleuteling van persoonlijke gegevens
  • benchmark beveiligingsmaatregelen met betrekking tot infrastructuur en toegang, waaronder ‘twee-factor’ authenticatie en een strak wachtwoordbeleid
  • het monitoren en rapporteren van datalekken
  • beleid voor gegevensclassificatie, waarmee we toegang tot uiterst gevoelige informatie *) verder beperken

*) Bijvoorbeeld medische gegevens en gegevens met betrekking tot fraudeonderzoek (alleen toegankelijk voor medewerkers met een extra veiligheidsmachtiging).

Met het invoeren van de maatregelen is ons eigen IT-bedrijf (Zero)70 ISO 27001:2013 gecertificeerd. Deze certificering komt bovenop onze jaarlijkse ISAE 3402 type-II accreditatie. Onze klanten kunnen er dan ook op vertrouwen dat ons informatiemanagement en onze gegevensbeveiligingsprotocollen voldoen aan AVG. We houden ons strikt aan de AVG-beginselen, zoals rechtmatigheid, redelijkheid, transparantie en doelbeperking. Daarbij minimaliseren we het verzamelen en verwerken van gegevens tot wat strikt relevant is voor behandeling van schades. Ook hebben we maatregelen getroffen om tegemoet te komen aan de rechten van betrokkenen.

Vanzelfsprekend heeft Van Ameyde in het kader van dit proces een effectbeoordeling van de gegevensbescherming (Data Protection Impact Assessment, DPIA) uitgevoerd. Hiermee zijn de hoge privacyrisico’s in kaart gebracht. Ook hebben wij maatregelen geformuleerd om dergelijke risico’s te verkleinen.

Verwerkingsverantwoordelijken en verwerkers

‘Verwerkingsverantwoordelijken’ (Controllers) zijn partijen die verantwoordelijk zijn voor de persoonlijke gegevens van hun klanten. Bij uitbesteding van werkzaamheden, waarbij deze gegevens worden verwerkt, moet de Controller:

  • niet alleen zelf AVG tijdig naleven
  • maar ook ervoor zorgen dat hun ‘verwerkers’ (Processors), zoals schadebehandelaren, voldoen aan AVG, met behulp van verwerkersovereenkomsten

Onder AVG zijn verwerkers nu ook zelf verantwoordelijk en moeten onder andere:

  • functionarissen voor gegevensbescherming (FG’s) benoemen
  • de namens hun klanten verwerkte gegevens vastleggen

Aangezien Van Ameyde in heel Europa actief is, hebben we in alle landen waarin Van Ameyde vestigingen heeft, FG’s benoemd en opgeleid.

Verwerkersovereenkomst: verplicht

Conform AVG moeten Controllers verwerkersovereenkomsten met hun verwerkers afsluiten. Wij informeren onze klanten hierover en verschaffen templates van de overeenkomst. Mocht u nog geen overeenkomst hebben ontvangen, neem dan gerust contact met ons op!

Rechten van betrokkenen

Betrokkenen zijn de personen van wie de persoonlijke gegevens worden verwerkt. Voor schadebehandeling kunnen betrokkenen verzekerden, derden en bijvoorbeeld getuigen zijn. Bij de schademelding informeren wij de betrokkenen expliciet over hun rechten. Deze rechten zijn onder andere het recht op:

  • inzage
  • rectificatie
  • vergetelheid
  • beperking van verwerking
  • dataportabiliteit (het recht van personen om hun persoonlijke gegevens te laten overdragen naar andere organisaties)

Natuurlijk controleren wij wijzigingsverzoeken grondig op legitimiteit en relevantie. Daarbij is het recht op vergetelheid in het kader van schadebehandeling beperkt. Aansprakelijke partijen kunnen natuurlijk hun gegevens niet laten verwijderen of wijzigen om verhaal te ontlopen…

Nuttige links

Voor meer informatie over GDPR is deze website nuttig: https://gdpr-info.eu/

Ook Deloitte’s GDPR top ten is zeer informatief.

Quote
Afhankelijk van de levensverwachting van het slachtoffer zal het verlaagde discontopercentage leiden tot aanzienlijke verhoging van de vergoeding voor toekomstschade.

Pascal Dijkens

Pascal Dijkens

Share This