De slides van een presentatie voor makelaars in de verzekeringssector. Gepresenteerd op 12 juni 2018 voor de Kempische Verzekeringskring (https://www.kempischeverzekeringskring.be/activiteit/gdpr-wat-u-als-makelaar-nog-niet-wist/).
4. GDPR – wat is er nieuw?
Control
Data
Subject
Processing personal data
Data
Controller
Data
processor
Finality Legitimacy
Transparency Organisation
proportional
end-to-end
5. GDPR – wat is nieuw?
• Processor is nu ook geaddresseerd
• Organisatie
• ”Accountability” (omkering van het bewijsrisico), concreet
• Verwerkingsregister (en risicoregister)
• Privacy / data protection impact assessment (“PIA”/”DPIA”)
• Privacy by Design en Privacy by Default
• Data Protection Officer
• Erkenning van “kader”-mechanismen: certificatie, gedragscodes,
binding corporate rules,…
• Incidentenbeheer en datalekken
• Rechten van individuen zijn aangevuld en nader uitgewerkt
• Handhaving
• Administratieve boetes algemeen en uniform
• Collectieve actie van individuen algemeen en uniform
7. Makelaar
• Assuralia ?
– Geen akkoord (standaardovereenkomst,
sectorgedragscode,…)
– Segmentering de oplossing?
• Intussen?
– Verschillende oplossingen voor verschillende
verzekeraars
• Fidea : verwachtingen en instructies
8. Makelaar als verwerker
• Artikel 28 AVG (cf. art. 16 privacywet)
• Wanneer?
– Op systemen van verzekeraar +
– Processen opgelegd door verzekeraar +
– Mandaat van de verzekeraar
9. Makelaar als verwerker
• “volgen”, maar toch ook eigen verplichtingen
– Waarschuwing (“sanity check”)
– DPO (meestal niet, wel te checken + documenteren)
– Verwerkingsregister (<250 personeel, maar…)
– Onderverwerkers (keuze, toestemming, overeenkomst-ketting,
aansprakelijkheid)
– Overeenkomst
• Beschrijving verwerking
• Instructies (mag dat wel t.a.v. zelfstandigen? JA, geen schijnzelfstandigheid want
wet)
• Medewerkers, beveiliging, onderverwerkers, klaar voor de rechten
van data subjecten
• Bijstand bij informatiebeveiliging, datalekken, DPIA
• Einde (vernietigen en/of teruggeven)
• Bewijs (incl. audit)
12. Verantwoordelijkheden
Binnen de organisatie
• Beleid
• DPO nodig?
– Zoja, aanmelden
• mogelijk bij grotere makelaars
– Zonee, argumenteren
• waarschijnlijk meestal het
geval
• sowieso best een “kenner” in
het team
• Personeel
– Contract, cao, instructies,
– Communicatie, training,
bewustmaking
– Technische “fail-safes”
ART. 24
ART. 37-39
ART. 32
13. Verantwoordelijkheden
Binnen de organisatie
• Beleid
• DPO nodig?
– Zoja, aanmelden
• mogelijk bij grotere makelaars
– Zonee, argumenteren
• waarschijnlijk meestal het
geval
• sowieso best een “kenner” in
het team
• Personeel
– Contract, cao, instructies,
– Communicatie, training,
bewustmaking
– Technische “fail-safes”
Derden
• Andere verantwoordelijken
– Samen, maar apart
– Gezamenlijk
• afspraken
• Verwerkers
– Overeenkomst (zie hoger)
• IT dienstverleners
– custom made
– IaaS/PaaS/SaaS (vb. O365,
Teamleader,…)
– website
• Bodyshoppers,
interimarissen,… (art. 29?)
ART. 26
ART. 28
14. Documenteren
Register (incl. DPIA)
• Verwerkingsregister
– Controller én verwerker
– < 250, dus nee?
– “niet occasioneel”
– best: documentatie van de
belangrijkste databases en
applicaties
• DPIA
– “waarschijnlijk hoog risico”
– normaal niet, maar indien van
toepassing:
• rijksregisternummer,
• gezondheidsgegevens
(vragenlijsten,
onderzoeksresultaten,…),
• gerechtelijke gegevens
(rechtsbijstand, fraude,…)
ART. 30
ART. 35
25. Documenteren
Register (incl. DPIA)
• Verwerkingsregister
– Controller én verwerker
– < 250, dus nee?
– “niet occasioneel”
– best: documentatie van de
belangrijkste databases en
applicaties
• DPIA
– “waarschijnlijk hoog risico”
– normaal niet, maar indien van
toepassing:
• rijksregisternummer,
• gezondheidsgegevens
(vragenlijsten,
onderzoeksresultaten,…),
• gerechtelijke gegevens
(rechtsbijstand, fraude,…)
Implementerende maatregelen
• Informatiebeveiliging
– Technisch
– Organisatorisch
• Privacy by design
– Processen
– Privacy by default
– Transparantie
– Toestemming
ART. 25
ART. 12-14
ART. 6-8
26. Transparant
• Eigen privacyverklaring
– Algemeen (o.a. op website?)
• Suggestie: clusters van informatie
– algemene sectie
– persoon: prospect, verzekeringsnemer, verzekerde, begunstigde,
corporate klant, contactpersonen, ultieme begunstigden (UBO)
– gegeven: gezondheidsgegevens, gerechtelijke gegevens, …
– Op de verschillende (eigen) documenten
• Rekening houden met privacyverklaring van
verzekeraars (en eventueel doorlinken)
– Algemeen (op hun website)
– Staat dat goed op de verschillende documenten ?
27. Marketing
Geschreven beleid voor gegevensbescherming in marketing
- Prospecten v. Klanten
- Klanten v. reps, UBOs, …
- Transparantie
- Verzamelen van data
- Kwaliteit van data
- Up-to-date data
- Gebruik van data: segmentatie,
profilering
- Omgaan met een opt-out
- Delen van data: intra-company, intra-
groep, partners, …
30. Elektronische post = opt-inUitzondering (nog altijd, verhouding niet
duidelijk):
- Professionele klanten ALS
• professioneel aanbod
• op een niet-persoonlijk adres
• Individuele bestaande klanten
• die hun gegevens doorgaven
• ALS het aanbod
• is door contractpartij
• betrekking heeft op gelijkaardige
producten van de contractpartij
Art. VII.13 WER
Altijd moet de boodschap een opt-out
bevatten.
32. CRM / Beheerstoepassing
• Doelgebonden
– Is wat je weg (kan) schrijven relevant en noodzakelijk?
– “vrije velden”: toonbaar, respectvol, objectief, …
• Beveiliging
– Wie is de superuser? Kan daar een belangenconflict
ontstaan?
– Kan je de toegangen modulair regelen?
– Is er een log van het gebruik? Controle op log (vanuit
bijzonder profiel)?
• Rechten data subjecten
– Kan je exporteren (met een bijzonder profiel)?
– Kan je opt-in registreren (met bewijs)? Kan je opt-out
registeren en verzekeren dat die gerespecteerd wordt?
– Kan je (permanent) deleten?
33. Documenteren
Register (incl. DPIA)
• Verwerkingsregister
– Controller én verwerker
– < 250, dus nee?
– “niet occasioneel”
– best: documentatie van de
belangrijkste databases en
applicaties
• DPIA
– “waarschijnlijk hoog risico”
– normaal niet, maar indien van
toepassing:
• rijksregisternummer,
• gezondheidsgegevens
(vragenlijsten,
onderzoeksresultaten,…),
• gerechtelijke gegevens
(rechtsbijstand, fraude,…)
Implementerende maatregelen
• Informatiebeveiliging
– Technisch
– Organisatorisch
• Privacy by design
– Processen
– Privacy by default
– Transparantie
– Toestemming
• Rechten van data subjecten
– Procedureel
– technisch ART. 15-23
34. Samenwerken met GBA
Voorafgaande afstemming
• Uitkomst van de DPIA
– onwaarschijnlijk
Gegevenslekken
• Beleid
• Detecteren
• Analyseren
– Geen risico: eruit leren
– Melden verzekeraar?
– Risico
• Melden (GBA – asap)
– Hoog risico
• Communiceren (DS)
ART. 36 ART. 33-34
35. De weg ernaartoe
Project
• Change management
• HR bekijken
• Rollen en functies, o.a.
o DPO nodig?
o Information asset owners ?
• HR processen review
• Communicatie & Training
• Processen bekijken
• Verwerkingsregister
• In iteraties voor “legacy”
• Toestemming van data subjects ?
• Incidentenbeheer
• Projectbeheer
• PIA, PbD,
• Documentatie => register
• Klachtenbeheer (update van de rechten)
• Outsourcing partners
• Toegangsbeheer
• IT bekijken
• Archictectuur
• Beveiliging: zit dat goed?
• Need to have
• Nice to have
Business as Usual
In delen / iteraties
36. De weg ernaartoe
Project
• Change management
• HR bekijken
• Rollen en functies, o.a.
o DPO nodig?
o Information asset owners ?
• HR processen review
• Communicatie & Training
• Processen bekijken
• Verwerkingsregister
• In iteraties voor “legacy”
• Toestemming van data subjects ?
• Incidentenbeheer
• Projectbeheer
• PIA, PbD,
• Documentatie => register
• Klachtenbeheer (update van de rechten)
• Outsourcing partners
• Toegangsbeheer
• IT bekijken
• Archictectuur
• Beveiliging: zit dat goed?
• Need to have
• Nice to have
Business as Usual
• Tone at the top !
• “Money where your mouth is”
• Beslissingen mbt
gegevensbescherming
• Sponsor
• HR
• Communicatie & Training
• Bewustmaking (= “top of mind”)
• Processen
• Regelmatig herbekijken en
actualiseren
• IT
• Beveiliging is een moving target –
upgrade, patch, uitdienststelling
• Nieuwe – PbD + contract
• Monitoren & Rapporteren
• Testen
• Eerstelijnscontroles (KPI, SL, etc.)
• Rapportering
• Consolidatie dashboard naar bestuur
In delen / iteraties