bij de verzekeringsmakelaar - kempischeverzekeringskring.be · – DPO (meestal niet, ... - Omgaan...

Gegevensbescherming

bij de verzekeringsmakelaar

Tommy Vandepitte

Ondersteuning van Fidea’s DPO

Omgeving

Fysiek

Mens

Toestel

Toepassing

Database

Drager

Informatieveiligheid

Risico-inschatting

Risico-beslissing

Controles

Incidenten-

beheer

Change• In het regulatoir kader

• In processen

• In mensen (JLT)

• In technologie

Netw

erk

Data

derden

• 1ste lijn

• 2de lijn

• 3de llijn

• Impact

• Probabiliteit

• Vermijd

• Matig

• Deel

• Aanvaard

Control

Data Subject

Processing personal data

Data Controller

Data Controller

Data processor

Data processor

Finality Legitimacy

Transparency Organisation

proportional

end-to-end

Gegevensbescherming

GDPR – wat is er nieuw?

Control

Data Subject

Processing personal data

Data Controller

Data Controller

Data processor

Data processor

Finality Legitimacy

Transparency Organisation

proportional

end-to-end

GDPR – wat is nieuw?• Processor is nu ook geaddresseerd

• Organisatie• ”Accountability” (omkering van het bewijsrisico), concreet

• Verwerkingsregister (en risicoregister)

• Privacy / data protection impact assessment (“PIA”/”DPIA”)

• Privacy by Design en Privacy by Default

• Data Protection Officer

• Erkenning van “kader”-mechanismen: certificatie, gedragscodes, binding corporate rules,…

• Incidentenbeheer en datalekken

• Rechten van individuen zijn aangevuld en nader uitgewerkt

• Handhaving• Administratieve boetes algemeen en uniform

• Collectieve actie van individuen algemeen en uniform

Makelaar

Verzekeringsnemer

Verzekerde

Begunstigde

Verzekeraar

Herverzekeraar

“To be or not to be”A

cce

pta

tie

Cla

im

Persoonsverzekering Schadeverzekering

Makelaar

• Assuralia ?

– Geen akkoord (standaardovereenkomst,

sectorgedragscode,…)

– Segmentering de oplossing?

• Intussen?

– Verschillende oplossingen voor verschillende

verzekeraars

• Fidea : verwachtingen en instructies

Makelaar als verwerker

• Artikel 28 AVG (cf. art. 16 privacywet)

• Wanneer?

– Op systemen van verzekeraar +

– Processen opgelegd door verzekeraar +

– Mandaat van de verzekeraar

Makelaar als verwerker

• “volgen”, maar toch ook eigen verplichtingen– Waarschuwing (“sanity check”)

– DPO (meestal niet, wel te checken + documenteren)

– Verwerkingsregister (<250 personeel, maar…)

– Onderverwerkers (keuze, toestemming, overeenkomst-ketting, aansprakelijkheid)

– Overeenkomst• Beschrijving verwerking

• Instructies (mag dat wel t.a.v. zelfstandigen? JA, geen schijnzelfstandigheid want wet)

• Medewerkers, beveiliging, onderverwerkers, klaar voor de rechten van data subjecten

• Bijstand bij informatiebeveiliging, datalekken, DPIA

• Einde (vernietigen en/of teruggeven)

• Bewijs (incl. audit)

Makelaar als

verwerkingsverantwoordelijke

• Artikel 24 AVG

• Wanneer?– Personeel

– Prospecten

– Cliënteel• Cliëntenidentificatie (AML)

• Cliëntenbeheer

• Adviesrol

• Marktbevraging

• Claimsbegeleiding

– Leveranciers, aandeelhouders, …

Gezamenlijke verantwoordelijkheid

• Artikel 26 GDPR

• Wanneer?

– Gezamenlijke marketingactie

– Witwaspreventie (derdezaakaanbrenger)?

– Risk carrier constructie?

Verantwoordelijkheden

Binnen de organisatie

• Beleid

• DPO nodig? – Zoja, aanmelden

• mogelijk bij grotere makelaars

– Zonee, argumenteren• waarschijnlijk meestal het

geval

• sowieso best een “kenner” in het team

• Personeel– Contract, cao, instructies,

– Communicatie, training, bewustmaking

– Technische “fail-safes”

ART. 24

ART. 37-39

ART. 32



• Beleid




geval





Derden

• Andere verantwoordelijken

– Samen, maar apart

– Gezamenlijk

• afspraken

• Verwerkers

– Overeenkomst (zie hoger)

• IT dienstverleners

– custom made

– IaaS/PaaS/SaaS (vb. O365,

Teamleader,…)

– website

• Bodyshoppers,

interimarissen,… (art. 29?)

ART. 26

ART. 28

Documenteren

Register (incl. DPIA)

• Verwerkingsregister– Controller én verwerker

– < 250, dus nee?

– “niet occasioneel”

– best: documentatie van de belangrijkste databases en applicaties

• DPIA– “waarschijnlijk hoog risico”

– normaal niet, maar indien van toepassing:

• rijksregisternummer,

• gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…),

• gerechtelijke gegevens (rechtsbijstand, fraude,…)

ART. 30

ART. 35

Data register

Data register

• CBPL

– https://www.gegevensbeschermingsautoriteit.be/register-van-de-verwerkingsactiviteiten-0#overlay-context=nl/model-voor-een-register-van-de-verwerkingsactiviteiten

– https://www.gegevensbeschermingsautoriteit.be/model-voor-een-register-van-de-verwerkingsactiviteiten

• CNIL

– https://www.cnil.fr/fr/les-outils-de-la-conformite

Documenteren



– < 250, dus nee?








Implementerende maatregelen

• Informatiebeveiliging

– Technisch

– Organisatorisch

ART. 32

Technische en organisatorische

maatregelen

Op slot

• Kantoor

• Dossierkasten

• Bureaulade

• Computer

• …

Houdt de zaken gescheiden

Beperk het aantal ontvangers

Denk aan de “aanvaller”

…maar ook

Documenteren



– < 250, dus nee?










– Technisch

– Organisatorisch

• Privacy by design

– Processen

– Privacy by default

– Transparantie

– Toestemming

ART. 25

ART. 12-14

ART. 6-8

Transparant

• Eigen privacyverklaring– Algemeen (o.a. op website?)

• Suggestie: clusters van informatie– algemene sectie

– persoon: prospect, verzekeringsnemer, verzekerde, begunstigde, corporate klant, contactpersonen, ultieme begunstigden (UBO)

– gegeven: gezondheidsgegevens, gerechtelijke gegevens, …

– Op de verschillende (eigen) documenten

• Rekening houden met privacyverklaring van verzekeraars (en eventueel doorlinken)– Algemeen (op hun website)

– Staat dat goed op de verschillende documenten ?

MarketingGeschreven beleid voor gegevensbescherming in marketing

- Prospecten v. Klanten

- Klanten v. reps, UBOs, …

- Transparantie

- Verzamelen van data

- Kwaliteit van data

- Up-to-date data

- Gebruik van data: segmentatie,

profilering

- Omgaan met een opt-out

- Delen van data: intra-company, intra-

groep, partners, …

Opt-in

Keuzes waar mogelijk

Elektronische post = opt-inUitzondering (nog altijd, verhouding niet

duidelijk):

- Professionele klanten ALS

• professioneel aanbod

• op een niet-persoonlijk adres

• Individuele bestaande klanten

• die hun gegevens doorgaven

• ALS het aanbod

• is door contractpartij

• betrekking heeft op gelijkaardige

producten van de contractpartij

Art. VII.13 WER

Altijd moet de boodschap een opt-out

bevatten.

Bottom line

CRM / Beheerstoepassing

• Doelgebonden– Is wat je weg (kan) schrijven relevant en noodzakelijk?

– “vrije velden”: toonbaar, respectvol, objectief, …

• Beveiliging– Wie is de superuser? Kan daar een belangenconflict

ontstaan?

– Kan je de toegangen modulair regelen?

– Is er een log van het gebruik? Controle op log (vanuit bijzonder profiel)?

• Rechten data subjecten– Kan je exporteren (met een bijzonder profiel)?

– Kan je opt-in registreren (met bewijs)? Kan je opt-out registeren en verzekeren dat die gerespecteerd wordt?

– Kan je (permanent) deleten?

Documenteren



– < 250, dus nee?










– Technisch

– Organisatorisch


– Processen


– Transparantie

– Toestemming

• Rechten van data subjecten

– Procedureel

– technischART. 15-23

Samenwerken met GBA

Voorafgaande afstemming

• Uitkomst van de DPIA

– onwaarschijnlijk

Gegevenslekken

• Beleid

• Detecteren

• Analyseren

– Geen risico: eruit leren

– Melden verzekeraar?

– Risico

• Melden (GBA – asap)

– Hoog risico

• Communiceren (DS)

ART. 36 ART. 33-34

De weg ernaartoe

Project

• Change management

• HR bekijken• Rollen en functies, o.a.

o DPO nodig?

o Information asset owners ?

• HR processen review

• Communicatie & Training

• Processen bekijken• Verwerkingsregister

• In iteraties voor “legacy”

• Toestemming van data subjects ?

• Incidentenbeheer

• Projectbeheer• PIA, PbD,

• Documentatie => register

• Klachtenbeheer (update van de rechten)

• Outsourcing partners

• Toegangsbeheer

• IT bekijken• Archictectuur

• Beveiliging: zit dat goed?• Need to have

• Nice to have

Business as UsualIn delen / iteraties

De weg ernaartoe

Project

• Change management

• HR bekijken• Rollen en functies, o.a.

o DPO nodig?

o Information asset owners ?

• HR processen review

• Communicatie & Training

• Processen bekijken• Verwerkingsregister

• In iteraties voor “legacy”

• Toestemming van data subjects ?

• Incidentenbeheer

• Projectbeheer• PIA, PbD,

• Documentatie => register

• Klachtenbeheer (update van de rechten)

• Outsourcing partners

• Toegangsbeheer

• IT bekijken• Archictectuur

• Beveiliging: zit dat goed?• Need to have

• Nice to have

Business as Usual

• Tone at the top !• “Money where your mouth is”

• Beslissingen mbtgegevensbescherming

• Sponsor

• HR• Communicatie & Training

• Bewustmaking (= “top of mind”)

• Processen• Regelmatig herbekijken en

actualiseren

• IT • Beveiliging is een moving target –

upgrade, patch, uitdienststelling

• Nieuwe – PbD + contract

• Monitoren & Rapporteren• Testen

• Eerstelijnscontroles (KPI, SL, etc.)

• Rapportering

• Consolidatie dashboard naar bestuur

In delen / iteraties

Tools

• Word

• Excel

• www.ravib.nl

• www.nymity.com

Bronnen

Wet

• http://data.europa.eu/eli/reg/2016/679/oj

• Apps

– Baker & McKenzie's Global Privacy App

– DLA Piper: Explore GDPR

– DPOrganizer

– EDPS: GDPR app

– Fieldfisher: GDPR, the Complete Guide

“Toegepast”

• www.gegevensbeschermingsautoriteit.be

• www.assuralia.be

• EU

– https://ec.europa.eu/info/law/law-topic/data-protection_en

– http://ec.europa.eu/newsroom/article29/news-overview.cfm

Bedtime story



• Beleid




geval





Derden

• Andere verantwoordelijken

– Samen, maar apart

– Gezamenlijk

• afspraken

• Verwerkers

– Overeenkomst (zie hoger)

• IT dienstverleners

– custom made

– IaaS/PaaS/SaaS (vb. O365,

Teamleader,…)

– website

• Bodyshoppers,

interimarissen,… (art. 29?)

ART. 24

ART. 26

ART. 28

ART. 37-39

ART. 32

Documenteren



– < 250, dus nee?










– Technisch

– Organisatorisch


– Processen


– Transparantie

– Toestemming

• Rechten van data subjecten

– Procedureel

– technisch

ART. 30

ART. 35

ART. 32

ART. 25

ART. 12-14

ART. 6-8

ART. 15-23

Samenwerken met GBA

Voorafgaande afstemming

• Uitkomst van de DPIA

– onwaarschijnlijk

Gegevenslekken

• Beleid

• Detecteren

• Analyseren

– Geen risico: eruit leren

– Risico

• Melden (GBA – asap)

• Communiceren (DS)

ART. 36 ART. 33-34

bij de verzekeringsmakelaar - kempischeverzekeringskring.be · – DPO (meestal niet, ... - Omgaan...

Documents

Transcript of bij de verzekeringsmakelaar - kempischeverzekeringskring.be · – DPO (meestal niet, ... - Omgaan...