Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Gegevensbescherming makelaars

47 views

Published on

De slides van een presentatie voor makelaars in de verzekeringssector. Gepresenteerd op 12 juni 2018 voor de Kempische Verzekeringskring (https://www.kempischeverzekeringskring.be/activiteit/gdpr-wat-u-als-makelaar-nog-niet-wist/).

Published in: Law
  • Be the first to comment

  • Be the first to like this

Gegevensbescherming makelaars

  1. 1. Gegevensbescherming bij de verzekeringsmakelaar Tommy Vandepitte Ondersteuning van Fidea’s DPO
  2. 2. Omgeving Fysiek Mens Toestel Toepassing Database Drager Informatieveiligheid Risico-inschatting Risico-beslissing Controles Incidenten- beheer Change • In het regulatoir kader • In processen • In mensen (JLT) • In technologie Netwerk Data derden • 1ste lijn • 2de lijn • 3de llijn • Impact • Probabiliteit • Vermijd • Matig • Deel • Aanvaard
  3. 3. Control Data Subject Processing personal data Data Controller Data processor Finality Legitimacy Transparency Organisation proportional end-to-end Gegevensbescherming
  4. 4. GDPR – wat is er nieuw? Control Data Subject Processing personal data Data Controller Data processor Finality Legitimacy Transparency Organisation proportional end-to-end
  5. 5. GDPR – wat is nieuw? • Processor is nu ook geaddresseerd • Organisatie • ”Accountability” (omkering van het bewijsrisico), concreet • Verwerkingsregister (en risicoregister) • Privacy / data protection impact assessment (“PIA”/”DPIA”) • Privacy by Design en Privacy by Default • Data Protection Officer • Erkenning van “kader”-mechanismen: certificatie, gedragscodes, binding corporate rules,… • Incidentenbeheer en datalekken • Rechten van individuen zijn aangevuld en nader uitgewerkt • Handhaving • Administratieve boetes algemeen en uniform • Collectieve actie van individuen algemeen en uniform
  6. 6. Makelaar Verzekeringsnemer Verzekerde Begunstigde Verzekeraar Herverzekeraar “To be or not to be”Acceptatie Claim Persoonsverzekering Schadeverzekering
  7. 7. Makelaar • Assuralia ? – Geen akkoord (standaardovereenkomst, sectorgedragscode,…) – Segmentering de oplossing? • Intussen? – Verschillende oplossingen voor verschillende verzekeraars • Fidea : verwachtingen en instructies
  8. 8. Makelaar als verwerker • Artikel 28 AVG (cf. art. 16 privacywet) • Wanneer? – Op systemen van verzekeraar + – Processen opgelegd door verzekeraar + – Mandaat van de verzekeraar
  9. 9. Makelaar als verwerker • “volgen”, maar toch ook eigen verplichtingen – Waarschuwing (“sanity check”) – DPO (meestal niet, wel te checken + documenteren) – Verwerkingsregister (<250 personeel, maar…) – Onderverwerkers (keuze, toestemming, overeenkomst-ketting, aansprakelijkheid) – Overeenkomst • Beschrijving verwerking • Instructies (mag dat wel t.a.v. zelfstandigen? JA, geen schijnzelfstandigheid want wet) • Medewerkers, beveiliging, onderverwerkers, klaar voor de rechten van data subjecten • Bijstand bij informatiebeveiliging, datalekken, DPIA • Einde (vernietigen en/of teruggeven) • Bewijs (incl. audit)
  10. 10. Makelaar als verwerkingsverantwoordelijke • Artikel 24 AVG • Wanneer? – Personeel – Prospecten – Cliënteel • Cliëntenidentificatie (AML) • Cliëntenbeheer • Adviesrol • Marktbevraging • Claimsbegeleiding – Leveranciers, aandeelhouders, …
  11. 11. Gezamenlijke verantwoordelijkheid • Artikel 26 GDPR • Wanneer? – Gezamenlijke marketingactie – Witwaspreventie (derdezaakaanbrenger)? – Risk carrier constructie?
  12. 12. Verantwoordelijkheden Binnen de organisatie • Beleid • DPO nodig? – Zoja, aanmelden • mogelijk bij grotere makelaars – Zonee, argumenteren • waarschijnlijk meestal het geval • sowieso best een “kenner” in het team • Personeel – Contract, cao, instructies, – Communicatie, training, bewustmaking – Technische “fail-safes” ART. 24 ART. 37-39 ART. 32
  13. 13. Verantwoordelijkheden Binnen de organisatie • Beleid • DPO nodig? – Zoja, aanmelden • mogelijk bij grotere makelaars – Zonee, argumenteren • waarschijnlijk meestal het geval • sowieso best een “kenner” in het team • Personeel – Contract, cao, instructies, – Communicatie, training, bewustmaking – Technische “fail-safes” Derden • Andere verantwoordelijken – Samen, maar apart – Gezamenlijk • afspraken • Verwerkers – Overeenkomst (zie hoger) • IT dienstverleners – custom made – IaaS/PaaS/SaaS (vb. O365, Teamleader,…) – website • Bodyshoppers, interimarissen,… (art. 29?) ART. 26 ART. 28
  14. 14. Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) ART. 30 ART. 35
  15. 15. Data register
  16. 16. Data register • CBPL – https://www.gegevensbeschermingsautoriteit.be/ register-van-de-verwerkingsactiviteiten-0#overlay- context=nl/model-voor-een-register-van-de- verwerkingsactiviteiten – https://www.gegevensbeschermingsautoriteit.be/ model-voor-een-register-van-de- verwerkingsactiviteiten • CNIL – https://www.cnil.fr/fr/les-outils-de-la-conformite
  17. 17. Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch ART. 32
  18. 18. KISS
  19. 19. Technische en organisatorische maatregelen
  20. 20. IRL
  21. 21. Op slot • Kantoor • Dossierkasten • Bureaulade • Computer • …
  22. 22. Houdt de zaken gescheiden
  23. 23. Beperk het aantal ontvangers
  24. 24. Denk aan de “aanvaller” …maar ook
  25. 25. Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch • Privacy by design – Processen – Privacy by default – Transparantie – Toestemming ART. 25 ART. 12-14 ART. 6-8
  26. 26. Transparant • Eigen privacyverklaring – Algemeen (o.a. op website?) • Suggestie: clusters van informatie – algemene sectie – persoon: prospect, verzekeringsnemer, verzekerde, begunstigde, corporate klant, contactpersonen, ultieme begunstigden (UBO) – gegeven: gezondheidsgegevens, gerechtelijke gegevens, … – Op de verschillende (eigen) documenten • Rekening houden met privacyverklaring van verzekeraars (en eventueel doorlinken) – Algemeen (op hun website) – Staat dat goed op de verschillende documenten ?
  27. 27. Marketing Geschreven beleid voor gegevensbescherming in marketing - Prospecten v. Klanten - Klanten v. reps, UBOs, … - Transparantie - Verzamelen van data - Kwaliteit van data - Up-to-date data - Gebruik van data: segmentatie, profilering - Omgaan met een opt-out - Delen van data: intra-company, intra- groep, partners, …
  28. 28. Opt-in
  29. 29. Keuzes waar mogelijk
  30. 30. Elektronische post = opt-inUitzondering (nog altijd, verhouding niet duidelijk): - Professionele klanten ALS • professioneel aanbod • op een niet-persoonlijk adres • Individuele bestaande klanten • die hun gegevens doorgaven • ALS het aanbod • is door contractpartij • betrekking heeft op gelijkaardige producten van de contractpartij Art. VII.13 WER Altijd moet de boodschap een opt-out bevatten.
  31. 31. Bottom line
  32. 32. CRM / Beheerstoepassing • Doelgebonden – Is wat je weg (kan) schrijven relevant en noodzakelijk? – “vrije velden”: toonbaar, respectvol, objectief, … • Beveiliging – Wie is de superuser? Kan daar een belangenconflict ontstaan? – Kan je de toegangen modulair regelen? – Is er een log van het gebruik? Controle op log (vanuit bijzonder profiel)? • Rechten data subjecten – Kan je exporteren (met een bijzonder profiel)? – Kan je opt-in registreren (met bewijs)? Kan je opt-out registeren en verzekeren dat die gerespecteerd wordt? – Kan je (permanent) deleten?
  33. 33. Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch • Privacy by design – Processen – Privacy by default – Transparantie – Toestemming • Rechten van data subjecten – Procedureel – technisch ART. 15-23
  34. 34. Samenwerken met GBA Voorafgaande afstemming • Uitkomst van de DPIA – onwaarschijnlijk Gegevenslekken • Beleid • Detecteren • Analyseren – Geen risico: eruit leren – Melden verzekeraar? – Risico • Melden (GBA – asap) – Hoog risico • Communiceren (DS) ART. 36 ART. 33-34
  35. 35. De weg ernaartoe Project • Change management • HR bekijken • Rollen en functies, o.a. o DPO nodig? o Information asset owners ? • HR processen review • Communicatie & Training • Processen bekijken • Verwerkingsregister • In iteraties voor “legacy” • Toestemming van data subjects ? • Incidentenbeheer • Projectbeheer • PIA, PbD, • Documentatie => register • Klachtenbeheer (update van de rechten) • Outsourcing partners • Toegangsbeheer • IT bekijken • Archictectuur • Beveiliging: zit dat goed? • Need to have • Nice to have Business as Usual In delen / iteraties
  36. 36. De weg ernaartoe Project • Change management • HR bekijken • Rollen en functies, o.a. o DPO nodig? o Information asset owners ? • HR processen review • Communicatie & Training • Processen bekijken • Verwerkingsregister • In iteraties voor “legacy” • Toestemming van data subjects ? • Incidentenbeheer • Projectbeheer • PIA, PbD, • Documentatie => register • Klachtenbeheer (update van de rechten) • Outsourcing partners • Toegangsbeheer • IT bekijken • Archictectuur • Beveiliging: zit dat goed? • Need to have • Nice to have Business as Usual • Tone at the top ! • “Money where your mouth is” • Beslissingen mbt gegevensbescherming • Sponsor • HR • Communicatie & Training • Bewustmaking (= “top of mind”) • Processen • Regelmatig herbekijken en actualiseren • IT • Beveiliging is een moving target – upgrade, patch, uitdienststelling • Nieuwe – PbD + contract • Monitoren & Rapporteren • Testen • Eerstelijnscontroles (KPI, SL, etc.) • Rapportering • Consolidatie dashboard naar bestuur In delen / iteraties
  37. 37. Tools • Word • Excel • www.ravib.nl • www.nymity.com
  38. 38. Bronnen Wet • http://data.europa.eu/eli/re g/2016/679/oj • Apps – Baker & McKenzie's Global Privacy App – DLA Piper: Explore GDPR – DPOrganizer – EDPS: GDPR app – Fieldfisher: GDPR, the Complete Guide “Toegepast” • www.gegevensbescherming sautoriteit.be • www.assuralia.be • EU – https://ec.europa.eu/info/law /law-topic/data- protection_en – http://ec.europa.eu/newsroo m/article29/news- overview.cfm
  39. 39. Bedtime story
  40. 40. Verantwoordelijkheden Binnen de organisatie • Beleid • DPO nodig? – Zoja, aanmelden • mogelijk bij grotere makelaars – Zonee, argumenteren • waarschijnlijk meestal het geval • sowieso best een “kenner” in het team • Personeel – Contract, cao, instructies, – Communicatie, training, bewustmaking – Technische “fail-safes” Derden • Andere verantwoordelijken – Samen, maar apart – Gezamenlijk • afspraken • Verwerkers – Overeenkomst (zie hoger) • IT dienstverleners – custom made – IaaS/PaaS/SaaS (vb. O365, Teamleader,…) – website • Bodyshoppers, interimarissen,… (art. 29?) ART. 24 ART. 26 ART. 28 ART. 37-39 ART. 32
  41. 41. Documenteren Register (incl. DPIA) • Verwerkingsregister – Controller én verwerker – < 250, dus nee? – “niet occasioneel” – best: documentatie van de belangrijkste databases en applicaties • DPIA – “waarschijnlijk hoog risico” – normaal niet, maar indien van toepassing: • rijksregisternummer, • gezondheidsgegevens (vragenlijsten, onderzoeksresultaten,…), • gerechtelijke gegevens (rechtsbijstand, fraude,…) Implementerende maatregelen • Informatiebeveiliging – Technisch – Organisatorisch • Privacy by design – Processen – Privacy by default – Transparantie – Toestemming • Rechten van data subjecten – Procedureel – technisch ART. 30 ART. 35 ART. 32 ART. 25 ART. 12-14 ART. 6-8 ART. 15-23
  42. 42. Samenwerken met GBA Voorafgaande afstemming • Uitkomst van de DPIA – onwaarschijnlijk Gegevenslekken • Beleid • Detecteren • Analyseren – Geen risico: eruit leren – Risico • Melden (GBA – asap) • Communiceren (DS) ART. 36 ART. 33-34

×