Het kan bijna niemand zijn ontgaan: de AVG (Algemene verordening gegevensbescherming) komt eraan. Dat betekent dat vanaf 25 mei alle bedrijven, organisaties, overheden en verenigingen in de Europese Unie aan strengere privacywetgeving moeten voldoen. In deze longread komen achtereenvolgens twee verzekeraars, een advocaat en de toezichthouder aan het woord.
De AVG, die ook wel bekend is onder de titel General Data Protection Regulation, moet er vooral voor zorgen dat Europese burgers meer rechten krijgen. Volgens de Autoriteit Persoonsgegevens worden hun privacyrechten namelijk niet alleen versterkt, maar ook uitgebreid.
Waar blijft de Gedragscode?
Het Verbond werkt momenteel nog hard aan de Gedragscode Verwerking persoonsgegevens verzekeraars en is voornemens deze aan de Algemene Ledenvergadering in juni voor te leggen aan zijn leden. Alleen met een positief besluit van de leden kan de code als bindende zelfregulering worden opgelegd. Overigens staat het ook gevolmachtigden, tussenpersonen, schadeherstellers, etc. vrij om zich aan de code te houden. Verzekeraars zullen wel verplicht worden in hun overeenkomsten met gevolmachtigden naleving van de code te verplichten.
In een Q&A die op de site van de toezichthouder is te vinden, schrijft ze onder meer dat de AVG mensen straks het ‘recht op vergetelheid’ en het ‘recht op dataportabiliteit’ geeft. Oftewel, mensen mogen een organisatie vragen om hun persoonsgegevens te verwijderen en zelfs eisen dat de organisatie die verwijdering doorgeeft aan alle andere organisaties die gegevens hebben gekregen.
Het tweede recht houdt in dat mensen (onder bepaalde voorwaarden) het recht krijgen om hun persoonsgegevens in een standaardformaat te ontvangen. Als daarbij wordt opgeteld dat er in de AVG een speciaal artikel is opgenomen over toestemming, dan mag duidelijk zijn dat organisaties, waaronder verzekeraars, straks fors meer verantwoordelijkheden krijgen als het gaat om het verwerken van persoonsgegevens.
Sterker nog, niet voldoen aan de regels kan behoorlijk in de papieren gaan lopen. De nieuwe wet geeft namelijk de nationale toezichthouders ook stevige bevoegdheden, waaronder de bevoegdheid om boetes op te leggen, die kunnen oplopen tot twintig miljoen euro. Op de site van de Autoriteit Persoonsgegevens zijn naast de letterlijke wetteksten de belangrijkste wijzigingen in één document samengevat (de AVG in een notendop). Voor organisaties is een AVG 10-stappenplan opgenomen.
Zijn verzekeraars klaar voor de nieuwe privacywet?
Zijn verzekeraars blij met de AVG? Wat hebben ze gedaan? Viel het mee? Of tegen? En, de allergrootste vraag: zijn ze er klaar voor? De vragen worden beantwoord door Bernardo Walta van De Goudse en Jan Pino van Achmea.
“Iedere klant is eigenaar van zijn data”
Bernardo Walta - De Goudse
Bernardo Walta moet lachen als hij de vraag krijgt of hij blij is met de AVG. “Ja en nee. Ja, omdat ik de achterliggende gedachte prima vind. Een klant moet weten wat er met zijn data gebeurt. Als verzekeraar zijn wij daar ook bij gebaat, simpelweg omdat we gebaat zijn bij vertrouwen. Daarnaast zorgt het ervoor dat onze processen nog eens opnieuw worden verbonden. De nee heeft heel simpel met de kostenpost te maken. Voldoen aan de AVG kost ontzettend veel geld. Wij hebben zeventien man op het project zitten, dus reken maar uit.”
Overzicht
De Goudse is in november 2016 begonnen met een eerste inventarisatie. Wat zijn de verschillen tussen de Wet bescherming persoonsgegevens (Wbp) en de AVG? En wat moeten we doen om te voldoen aan de nieuwe regels? Walta: “We zijn echt bij het begin begonnen en een overzicht per afdeling gaan samenstellen. Waar zitten persoonsgebonden gegevens? Ook hebben we meteen een projectgroep ingesteld, met onder meer een productmanager en een compliance-officer. In totaal hebben we daar zeventien mensen bij betrokken.”
Het eerste half jaar ging bijna compleet op aan inventariseren. “Wij blijken veel teams te hebben die met gegevens bezig zijn. Een verzuimverzekering is toch wat anders dan een schadepolis”, benadrukt hij.
Kluif werk
Kort samengevat heeft De Goudse de processen weer aangescherpt en bijvoorbeeld ook veel bewerkersovereenkomsten moeten aanpassen. “In totaal ging het om zo’n tachtig overeenkomsten. Dat leverde al met al een enorme kluif werk op, maar wat meeviel was dat wij al een goed inzicht hadden. Door de Wbp hadden we de data al goed in kaart. Gelukkig!”
Op dit moment is het meeste werk achter de rug. De projectgroep ligt mooi op schema. Het enige dat nog wat kopzorgen oplevert, is de vertaalslag van theorie naar praktijk. “Neem als voorbeeld de verzuimverzekering”, legt Walta uit. “Om de premie voor een werkgever te kunnen bepalen, hebben wij de loongegevens nodig van de werknemers. Die gegevens krijgen we via de werkgever. Volgens de wet hebben we een informatieplicht om de werknemer te melden dat wij zijn loongegevens hebben ontvangen, maar wij hebben geen contactgegevens van werknemers. Voor het sluiten van de verzekering hebben wij die namelijk niet nodig. Dat maakt het lastig om ons werk goed te doen.”
Volgens Walta rijst in zo’n geval al snel de vraag of De Goudse de werknemers informeert of dat aan de werkgever overlaat. “Wij hebben uiteindelijk voor die tweede optie gekozen, vooral omdat we willen voorkomen dat een klant van drie verschillende aanbieders drie keer dezelfde vraag krijgt over zijn persoonsgegevens.”
Veel impact
Walta benadrukt dat er niet zoveel verschil zit in het voldoen aan de AVG tussen een grote en een middelgrote/kleine verzekeraar. “Het enige verschil zit ’m in het volume. De complexiteit is hetzelfde. En het is gewoon een berg werk. Ik heb me wel eens afgevraagd hoe een mkb-bedrijf dat moet doen. Zij hebben immers geen compliance-officer in dienst die ze zomaar even in een project kunnen laten meedraaien.”
Hij noemt de impact voor de BV Nederland dan ook groot. “Hoewel ik eerlijkheidshalve ook wel vind dat de AVG voor mkb-ers de kans biedt om de processen nog eens goed door te lichten.”
De wet zelf is niet heel concreet en dus voor meerder uitleg vatbaar. Walta verwacht daarom wel wat coulance van de toezichthouder. “Wij zijn als verzekeraars wel gewend om met data om te gaan, maar dat is voor mkb-ers heel anders. Zeker als de wet niet klip en klaar tot op de letter moet worden opgevolgd. Ik vind het terecht dat de AVG er komt, omdat iedereen eigenaar is van zijn eigen data. Zeker als het gaat om gevoelige data. De enige tip die ik het mkb mee kan geven, is dat ze moeten blijven werken vanuit de kracht van het eigen bedrijf.”
“Het is veel werk, maar een update is wel terecht”
Jan Pino - Achmea
Jan Pino weegt zijn woorden netjes af voordat hij ze uitspreekt. “Veel artikelen in de AVG zijn niet anders dan in de Wet bescherming persoonsgegevens, maar wij moeten straks wel echt kunnen aantonen dat we aan de regels voldoen.” Hij noemt de eisen die de AVG stelt soms “duidelijk”, bijvoorbeeld als het gaat om de transparantieverplichting (welke informatie moet je verstrekken), maar op andere vlakken weer minder duidelijk. “Dan denk ik bijvoorbeeld aan de automatische besluitvorming: wanneer is sprake van ‘in aanmerkelijke mate treffen’? Dat is een open norm, die wij heel anders kunnen uitleggen dan een andere verzekeraar. Bovendien kan dat ook per betrokkene verschillend worden ervaren.”
Regels uit 1995
Toch noemt Pino de AVG “niet zo gek”. “Een van de uitgangspunten van de AVG is dat die technologie neutraal moet zijn. De Wbp is gebaseerd op regelgeving uit 1995. Als je ziet wat er sindsdien op technologisch gebied allemaal is veranderd, dan is een update wel terecht.”
Meteen na de eerste publicaties van de Europese Commissie over de AVG zijn bij Achmea de eerste verkennende stappen gezet. “We zijn begonnen met zo goed mogelijk in beeld brengen wat we allemaal in huis hebben aan persoonsgegevens. Zijn die actueel? Voldoen we aan de huidige regelgeving? Daarna kun je pas gaan kijken of en hoe de persoonsgegevens matchen met de nieuwe regels.”
Tegenvallers
Hij is het met Walta eens dat de verschillen in werkzaamheden voor een grote of een kleine verzekeraar niet zo groot zijn. “Je zou hooguit kunnen stellen dat het voor een kleine, gespecialiseerde verzekeraar overzichtelijker is, maar het ligt er ook aan welke disciplines je in huis hebt en welke producten je voert. Heb je veel te maken met gezondheidsgegevens, met strafrechtelijke gegevens? Hoe meer takken van sport, des te ingewikkelder het wordt. Wij hebben schade, leven en zorg in huis, dus voor ons is het sowieso veel werk.”
Achmea heeft in de zomer van 2016 een stuurgroep in het leven geroepen waar zo’n acht mensen van de verschillende bedrijfsonderdelen zitting in hebben genomen. “Zij regelen vervolgens binnen het bedrijfsonderdeel dat ze vertegenwoordigen weer hun eigen projectmanagement”, legt Pino uit, die benadrukt dat “je niet alles vanuit hoger hand tot in detail kunt sturen”.
In grote lijnen noemt hij het voldoen aan de AVG overzichtelijk. “Wat onder de AVG moet, moest vaak ook onder de Wbp al. Alleen door de mate van detaillering en de aantoonbaarheid is de impact een stuk groter. Die aantoonbaarheid eist veel extra administratie. Dat geldt bijvoorbeeld voor het verwerkingsregister. Onder de Wbp meldden wij verwerkingen bij de Autoriteit Persoonsgegevens. Die verplichting vervalt straks, maar we moeten wel een eigen register gaan bijhouden. Ook van verwerkingen die voorheen onder een vrijstelling vielen. Het vervallen van de meldplicht zou een kostenbesparing zijn, maar dat is het niet. En als je alles bij elkaar optelt, is de AVG gewoon veel werk.”
Spannend
De voorbereiding op de AVG vraagt veel tijd en inspanning van een groot aantal Achmeamedewerkers. “De vraag blijft echter”, vindt Pino, “of je kunt stellen dat een organisatie, groot of klein, wel voor honderd procent aan de AVG kán voldoen. Wij zijn dan ook vooral nieuwsgierig naar de tijd na 25 mei. Hoe gaat de toezichthouder zich opstellen? Wat doen andere partijen in de markt? Wat kunnen we verwachten van consumenten- en belangenorganisaties? Dat weten we nu allemaal niet en hoewel ik dat wel spannend vind, moet je ook voor ogen hebben dat veel zaken niet veranderen. Wij krijgen nu best veel vragen over de AVG en dan zeggen we steeds min of meer hetzelfde: onder de vorige wet had u ook al veel van die rechten.”
"De AVG krijgt een goede uitleg voor de verzekeringsbranche"
Advocatenkantoor De Brauw Blackstone Westbroek heeft het Verbond geholpen met de nieuwe Gedragscode Verwerking Persoonsgegevens Verzekeraars. Die code is zo goed als klaar en het Verbond loopt daarmee voor op andere (branche)organisaties. Advocaat Axel Arnbak, nauw betrokken bij het opstellen, noemt het “moedig” en “verstandig” dat het Verbond in de voorhoede loopt als het gaat om privacy. Hij geeft zijn visie op de Algemene Verordening Gegevensbescherming (AVG), het Verbond en de rol van verzekeraars.
Advocaat
“Het Verbond vroeg De Brauw al in 2016 om advies over de nieuwe Gedragscode. Als wetenschapper en voormalig onderzoeker bij Bits of Freedom heb ik van buitenaf al vaak meegedacht over hoe de datawereld het beste zou kunnen worden gereguleerd. Samen met de Commissie Privacy van het Verbond hebben we de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen kunnen herzien naar een toepasbare Gedragscode specifiek voor verzekeraars. Een enorme, complexe, maar vooral ook leuke klus waar we zo’n anderhalf jaar aan hebben gewerkt.
Commissie Privacy
De AVG is ingewikkeld en raakt verzekeraars direct in hun dagelijkse doen en laten. De Europese wetgeving voor privacy is al ruim twintig jaar oud en de AVG bevat veel nieuwe elementen, die bij onze cliënten voor vragen zorgen. Zeker voor een privacynerd als ik, is het meewerken aan een Gedragscode voor een bepalende sector in de datawereld het neusje van de zalm. Zowel qua complexiteit als qua belang. Ik heb eerst veel gepraat met de leden van de Commissie Privacy van het Verbond om inzicht te krijgen in hoe verzekeraars sectorbreed data verwerken. Tussen 2009 en 2015 was ik veel in Brussel en daardoor voor een deel ook betrokken bij de totstandkoming van de AVG. Uiteindelijk is er een Europees record aan amendementen ingediend, meer dan 4000, op de originele voorstellen van de Europese Commissie. Werkelijk iedere belanghebbende - multinationals, adverteerders, activisten, de Amerikaanse overheid - heeft zich met de AVG bemoeid. Het gevolg is dat er nu een wet ligt die 88 pagina’s beslaat, op veel onderwerpen vaag is en zichzelf vaak zelfs tegenspreekt.
Rol verzekeraars
Het is ons in de afgelopen anderhalf jaar opgevallen dat verzekeraars zich relatief netjes aan de regels houden. Veel bedrijven gaan tot het randje. Verzekeraars zijn zich meer bewust van hun maatschappelijke functie. Die rol is natuurlijk gigantisch. Verzekeraars verwerken data om risico’s te berekenen en maatschappelijke solidariteit te borgen. Ik heb in 2013 een jaar in Amerika onderzoek gedaan en gezien hoe belangrijk betaalbare verzekeringen voor iedereen zijn. Minder solidariteit leidt tot een veel minder prettige samenleving.
Infographics
Met de Gedragscode wil de sector haar klanten duidelijk maken dat ze goed met data omgaat. En zodoende vertrouwen wekken bij de consument. Het doel van de Gedragscode zelf is om de vage tekst van de AVG toe te snijden op de sector. Toch vonden wij dat de kernbegrippen en verplichtingen uit de AVG op belangrijke thema's alsnog te vaag zijn voor de gemiddelde consument. Daarom heeft de Commissie Privacy gekozen voor een leesbare inleiding en voor infographics om de belangrijkste thema's uit de Gedragscode te visualiseren. De Brauw heeft drie designers in vaste dienst die erg bekwaam zijn in het uitleggen van juridische taal aan consumenten. In de Gedragscode zijn twee belangrijke onderwerpen gevisualiseerd. Het eerste betreft de aanvraag van een verzekering. De AVG geeft bijvoorbeeld mensen het recht om bezwaar aan te tekenen als hun aanvraag door middel van technologie wordt beoordeeld. Terecht, vind ik, want technologie kan fouten maken en dan is het voor een klant belangrijk dat een mens de aanvraag nog eens beoordeelt. De infographic maakt duidelijk wat er allemaal gebeurt als je een verzekering aanvraagt. De andere heeft betrekking op fraudebestrijding. Met een infographic laat de Gedragscode zien hoe verzekeraars fraude tegengaan, welke data daarbij worden verwerkt en in welke gevallen verzekeraars fraudedata sectorbreed delen. Consumenten lezen over Big Data, technologie en krijgen al snel allerlei spookbeelden. Infographics helpen dan om te laten zien wat er precies gebeurt, zodat consumenten weten hoe het echt zit.
Wachten, wachten, wachten
In totaal heeft het herschrijven van de Gedragscode zo’n anderhalf jaar geduurd. Onze eerste afspraak ging direct al over de taak van privacytoezichthouders om de vage bepalingen uit de AVG uit te leggen, de zogenaamde 'Guidance' documenten. Dat is een reusachtige klus voor toezichthouders, gegeven de omvang, vaagheid en tegenstrijdigheden in de AVG. De toezichthouders waren het op Europees niveau vaak onderling oneens, dus het uitbrengen van die Guidance heeft veel vertraging opgelopen. Denk bijvoorbeeld aan de Guidance over artikel 22 AVG. Dat gaat over geautomatiseerde besluitvorming. Voor verzekeraars een belangrijk onderwerp, omdat het beprijzen van risico's al eeuwenlang een kerntaak is en profilering noodzakelijk is om tot een adequaat premie-aanbod te komen. Het onderwerp hangt nauw samen met toestemming en transparantie. De concept Guidance daarvoor is pas onlangs uitgekomen, en nu nog steeds niet in definitieve vorm vastgesteld. Toch heeft het Verbond besloten om voortvarend te werk te gaan, terwijl andere sectoren op hun handen zijn blijven zitten. Dat is goed voor de consument en goed voor verzekeraars, die nu al weten hoe de AVG uitpakt voor hun sector. Een compliment waard. Tegelijkertijd moeten veel thema's uit de AVG zich nog uitkristalliseren. De Commissie Privacy was soms wel heel voorzichtig om positie te bepalen op toekomstgerichte thema's, zoals het verantwoorde gebruik van kunstmatige intelligentie en de innovatieve kansen van data-pseudonimisatie om big data analytics mogelijk te maken. Desalniettemin, en vooral in vergelijking met andere sectoren, is het Verbond vooruitstrevend te werk gegaan. Ik vind dat niet alleen moedig, maar ook verstandig.”
“Een goede functionaris is een goede thermometer”
Op de ochtend van het interview kopt het AD dat sportclubs nog niet klaar zijn voor de nieuwe privacywet. Ze zullen vast niet de enigen zijn. Op 25 mei gaat de Algemene Verordening Gegevensbescherming in en die wet geldt voor alle bedrijven, overheden, organisaties en (sport)verenigingen. “Wij houden niet bij hoe ver iedereen is.”
Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), is wel blij met de aandacht zoals die in het AD. “We hebben nog even voordat het 25 mei is. Publiciteit is dan altijd fijn, maar uiteraard hopen we dat iedereen zijn zaakjes op tijd op orde heeft.”
Hij geeft het ruiterlijk toe. Het beeld dat de toezichthouder heeft, varieert nogal. “De ene keer horen we dat een derde van de gemeenten zijn zaakjes nog niet op orde heeft, en een andere keer zou tien procent van de bedrijven nog niet klaar zijn. Eerlijk gezegd weten wij niet goed hoe ver iedereen is. Soms schrikken we wel, als het bijvoorbeeld gaat om datalekken, maar het blijft afwachten.”
Is dat lastig om als toezichthouder geen goed beeld te hebben?
“Ja en nee. Privacy is belangrijk, dus hopen wij dat iedereen zorgvuldig en integer met data omgaat. Dat lijkt vanzelfsprekend, maar soms word ik toch verrast. Zo belde er pas een huisarts naar onze front office: ‘ik ben maar in mijn eentje, geldt die wet dan ook voor mij?’ Dat is lastig en daarom zijn we een campagne gestart om nog zoveel mogelijk ruchtbaarheid aan de AVG te geven.”
Hoe staat de financiële sector ervoor?
“Financiële bedrijven zijn zo gewend met data om te gaan dat ik me op voorhand niet veel zorgen maak. Vooral de grote spelers lijken redelijk op orde te zijn. Zij weten hoe je secuur en netjes met persoonsgegevens omgaat. Ik maak me meer zorgen om nieuwe toetreders. Dat zijn vaak kleine bedrijven, die in één keer aan heel veel regels moeten voldoen.”
En hoe zit dat in de verzekeringssector?
“Ik denk dat de verzekeringsbranche zijn zaakjes best goed op orde heeft. De verzekeringsbranche bestaat uit veel ervaren spelers die al lang actief zijn. Dat maakt het makkelijker. Daarnaast zit het Verbond van Verzekeraars er als sterke branchevereniging bovenop. Het doet er veel aan, helpt de leden en vindt de privacy echt belangrijk. Overbodig om te zeggen dat wij dat mooi en goed vinden, maar dat is natuurlijk wel zo. Koepels zijn erg belangrijk om hun leden bij de hand te nemen.”
Op zo’n ledenbijeenkomst van het Verbond (Privacy by design) zei een van de inleiders dat zijn blik niet is gericht op 25, maar op 26 mei. Wat vindt u daarvan?
“Dat snap ik wel, maar ik hoop dat hij 26 mei zonder al te veel vrees tegemoet ziet. Eerlijk gezegd ben ik zelf ook wel benieuwd naar 26 mei. Maar meer nog naar 28 mei, want de 26e is een zaterdag en de 27e een zondag. Nee hoor, dat is flauw, maar ik maak me niet zoveel zorgen over verzekeraars. Ik heb de indruk dat de sector redelijk op orde is.”
De gemeenten hebben pas te horen gekregen dat zij meteen na de invoering op 25 mei de vraag krijgen of ze al een Functionaris Gegevensbescherming (FG) hebben. Wat kunnen verzekeraars verwachten?
“Bij iedereen die een functionaris moet hebben, gaan we snel na of die er ook is. Dat is voor ons heel belangrijk. Als die functionaris zijn werk goed doet, wekt dat immers vertrouwen. Een goede FG is wat dat betreft een goede thermometer. Wij komen wel eens dingen tegen waar ik van schrik. Dat geldt vooral voor een slechte beveiliging, waardoor datalekken makkelijk kan plaatsvinden. Maar denk ook aan post die naar foute adressen wordt gestuurd. Dan blijkt iemand al lang geleden verhuisd. Heel slecht vind ik het als dat soort basale dingen al niet klopt. Wij zullen niet op 26 mei, maar wel vrij snel na 25 mei gaan checken of de FG er ook zit. Het is natuurlijk ook vrij plat: hij is er wel of hij is er niet. En als hij er niet is, vind ik dat veelzeggend. Moet je eens bedenken wat voor beeld je dan uitstraalt naar je klanten. Je moet er eentje hebben, maar je hebt ’m niet. Dan straal je uit dat de rest ook wel niet veel soeps zal zijn.”
Wat is vrij snel na 25 mei? Een week, een maand?
“Ik heb geen datum omcirkeld. Houd het maar op vrij snel.”
Begin maart heeft de Tweede Kamer nog gesproken over de verordening en kwam onder meer aan bod dat de tekst van de AVG nogal ingewikkeld is. Gaan jullie daar nog wat mee doen?
“Nee. De tekst is zoals die is. Er is vier jaar over onderhandeld en er geldt ook nog eens een overgangstermijn van twee jaar. Dan heeft iedereen er zes jaar aan kunnen wennen. Dat lijkt me wel genoeg.”
Het kan wel vragen en onzekerheden oproepen?
“Dat kan. De tekst is overigens in verband met nieuwe technologie bewust wat open en algemeen gehouden. Innovatie kan dan makkelijker worden ingepast zonder dat de tekst steeds moet worden aangepast. Het lijkt dus een nadeel, maar als het gaat om het inpassen van nieuwe innovatie is die vage tekst juist een voordeel. En waar het echt onduidelijk is, zullen wij snel guidance bieden, als er ten minste geen misbruik van wordt gemaakt.”
In het artikel in het AD werd ook geopperd om voorlopig nog geen boetes op te leggen. Goed idee? Pleit u ook voor een overgangstermijn?
“Er is al een overgangstermijn geweest. Van zes jaar. Bovendien is de wet al twee jaar in werking, om te wennen. Dan moet je niet aan een toezichthouder vragen om geen boetes uit te delen.”
Jullie gaan streng handhaven?
“Nee. We gaan redelijk handhaven. We gaan echt niet de 26e bij de slager, bakker en voetbalclub langs om straffen uit te delen. We gaan redelijk, rechtvaardig en zorgvuldig te werk. Niet meer en niet minder!”
Privacy by design
Eerder dit jaar organiseerde het Verbond een drukbezochte bijeenkomst Privacy by design voor zijn leden. Privacy by design is niks meer en niks minder dan het recht op privacy meteen vanaf het allereerste ontwerp van een systeem of product mee te nemen. Dat klinkt makkelijker dan gedaan. Van deze themadag is gelukkig een uitgebreid verslag verschenen (alleen voor leden), waarin de diverse inleidingen aan bod komen. Weinig tijd? Lees dan de tips voor verzekeraars waar het artikel mee eindigt.
Was dit nuttig?