REGELING GEZAMENLIJKE VERANTWOORDELIJKHEID
REGELING GEZAMENLIJKE VERANTWOORDELIJKHEID
Partijen hebben een Deelnemersovereenkomst gesloten op grond waarvan Deelnemer gebruik kan maken van Roy-data. Ter uitvoering van de Deelnemersovereenkomst worden door beide Partijen persoonsgegevens verwerkt in de zin van artikel 4 aanhef en onder 1 van de Algemene verordening gegevensbescherming (hierna: “AVG”).
Partijen in het kader van de Deelnemersovereenkomst gezamenlijk de doeleinden en middelen van de verwerking van persoonsgegevens bepalen. Partijen hechten grote waarde aan het beschermen van deze persoonsgegevens. Om die reden leggen Partijen - mede ter uitvoering van het bepaalde in artikel 26 lid 1 van de AVG - in deze Regeling Gezamenlijke Verantwoordelijkheid hun respectievelijke verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van de AVG vast.
1. DEFINITIES
1.1. In deze Regeling wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Regeling met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
Betrokkene degene op wie een Persoonsgegeven betrekking heeft.
Bijlage een aanhangsel bij deze Regeling, welke hiervan deel uitmaakt.
Deelnemer de rechtspersoon die een Deelnemersovereenkomst sluit met Stichting EPS.
Deelnemersovereenkomst de tussen EPS en Deelnemer gesloten overeenkomst
ten aanzien van de verstrekking en opvraging van Xxx-data door Xxxxxxxxx, waar het Deelnemersreglement en deze Regeling deel van uitmaken.
Deelnemersreglement regels waar Xxxxxxxxx zich aan moet houden bij de verstrekking en opvraging van Roy-data.
Inbreuk in verband met een inbreuk op de beveiliging die leidt tot (mogelijke)
Persoonsgegevens onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaring van of
toegang tot verzonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Partij(en) Stichting EPS en/of Deelnemer.
Persoonsgegevens alle informatie over een Betrokkene, als bedoeld in artikel 4 aanhef en onder 1 AVG, waaronder begrepen, maar niet beperkt tot, Roy-data.
Regeling de onderhavige overeenkomst inclusief Bijlagen, zoals bedoeld in artikel 26 AVG.
Roy-data het aantal schadevrije jaren (royementsgegevens) van Betrokkenen die motorrijtuigen hebben verzekerd en vervolgens een verzekering hebben opgezegd (royeren).
Stichting EPS Stichting Efficiënte Processen Schadeverzekeraars, statutair gevestigd en kantoorhoudende te Den Haag.
Toepasselijk Recht de toepasselijke wet- of regelgeving waaronder in ieder geval begrepen Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming (AVG)), de Uitvoeringswet AVG, enige richtsnoeren, beleidsregels, instructies of aanbevelingen van enige overheidsinstantie, van toepassing op de verwerking van de persoonsgegevens, daaronder begrepen enige wijzigingen, vervangingen, updates of andere latere versies daarvan.
Verwerken - alsmede vervoegingen daarvan: het verwerken van Persoonsgegevens als bedoeld in artikel 4 aanhef en onder 2 AVG.
Verwerkingsverantwoordelijke de Partij die alleen of samen met anderen, het doel
van en de middelen voor de verwerking van persoonsgegevens vaststelt, als bedoeld in artikel 4 aanhef en onder 7 AVG.
2. ALGEMEEN
2.1. Partijen verwerken Persoonsgegevens alleen op de wijze zoals Partijen dit bij deze Regeling en de Deelnemersovereenkomst overeenkomen en zullen Persoonsgegevens niet op een andere manier verwerken, behoudens het bepaalde in artikel 2.3 van deze Regeling.
2.2. In Bijlage 1 wordt opgenomen welke (categorieën) Persoonsgegevens Partijen precies zullen verwerken, voor welke verwerkingsdoeleinden en wie voor welk deel verantwoordelijk is.
2.3. Indien een Partij de Persoonsgegevens voor andere dan de in Bijlage 1 genoemde verwerkingsdoeleinden verwerkt, dan is die Partij daarvoor alleen de Verwerkingsverantwoordelijke en is deze Regeling niet van toepassing.
3. RECHTEN VAN BETROKKENEN
3.1. Wanneer Stichting EPS een verzoek van een Betrokkene ontvangt ten aanzien van het uitoefenen van zijn of haar rechten, zal Stichting EPS dit verzoek doorzenden aan Deelnemer. Partijen staan ervoor in dat de Betrokkene zijn of haar rechten effectief kan uitoefenen, met inachtneming van artikel 4 en 5 van deze Regeling. Deze rechten bestaan uit een verzoek om inzage, correctie, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de Persoonsgegevens en/of een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.
3.2. Deelnemer dient op duidelijke en eenvoudige wijze te communiceren waar de Betrokkene voor het uitoefenen van zijn rechten terecht kan. Hierbij geeft Deelnemer aan welke Verwerkingsverantwoordelijken er zijn, dat Deelnemer met Stichting EPS gezamenlijk verwerkingsverantwoordelijken zijn en welke Partij voor welk deel verantwoordelijk is. Daarbij zal Deelnemer de wezenlijke inhoud van deze Regeling aan de Betrokkene beschikbaar stellen.
4. CORRECTIE
4.1. Indien door een Betrokkene een onjuistheid wordt vastgesteld in de verstrekte gegevens, kan deze een schriftelijk verzoek tot correctie indienen bij (het secretariaat van) Stichting EPS. De gegevens zijn in de centrale databank opgenomen onder verantwoordelijkheid van de verzekerings- of leasemaatschappij die de gegevens aanlevert. Stichting EPS zal het wijzigingsverzoek in overleg met deze Deelnemer behandelen. Uiteindelijk kunnen slechts Deelnemers Xxx-data aanpassen.
4.2. Stichting EPS zal naar aanleiding van een correctieverzoek overleg voeren met Deelnemer. Stichting EPS kan alleen onderzoeken of correctie daadwerkelijk door Deelnemer is uitgevoerd. Stichting EPS onderzoekt bijvoorbeeld niet of een verzekering of leasecontract (on)terecht is opgezegd of geweigerd. Indien een Betrokkene het met deze beslissing niet eens is, dient hij/zij zich primair tot de Deelnemer te wenden. Xxxxxxxxx is verantwoordelijk voor het afhandelen van dergelijke verzoeken/klachten.
5. INZAGE
5.1. Betrokkenen hebben het recht om van Stichting EPS uitsluitsel te verkrijgen over het al dan niet Verwerken van hun Persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van
die persoonsgegevens en van aanvullende informatie over de verwerking van hun Persoonsgegevens.
6. TRANSPARANTIE
6.1. Deelnemer garandeert dat hij, mede namens Stichting EPS, zal voldoen aan de informatieplichten uit artikel 13 en/of 14 van de AVG ten aanzien van de Betrokkenen, waarbij Xxxxxxxxx tevens de wezenlijke inhoud van deze Regeling aan de Betrokkene ter beschikking stelt als bedoeld in artikel 26, tweede lid AVG.
6.2. Deelnemer (de verstrekker van de Royementsgegevens) dient de Betrokkene (de voormalige verzekeringnemer) in ieder geval te informeren dat de Royementsgegevens worden vastgelegd in een centrale database (Roy-data) die wordt beheerd door Stichting EPS en dat de Royementsgegevens slechts toegankelijk zijn voor motorrijtuigenverzekeraars en leasemaatschappijen voor zover aangesloten op Roy-data. Tevens dient het aantal schadevrije jaren en de hoofdpremievervaldatum te worden vermeld en te worden aangegeven wat het doel van de registratie is. Een mogelijkheid om de klant te informeren is deze gegevens op het royementsaanhangsel te zetten.
6.3. In Bijlage 2 is een opzet voor een advies ten behoeve van het informeren van de Betrokkene door Xxxxxxxxx opgenomen.
6.4. In de herziene bedrijfsregeling 11 is vastgelegd dat Betrokkenen (polishouders) ten minste eenmaal per jaar moeten worden geïnformeerd door Deelnemer over het aantal opgebouwde schadevrije jaren.
7. RECHTMATIGHEID
7.1. Deelnemer garandeert dat de Persoonsgegevens in overeenstemming met alle Toepasselijke Recht zijn verkregen en verstrekt. Deelnemer garandeert dat de Persoonsgegevens juist zijn en zo nodig worden geactualiseerd.
7.2. Met inachtneming van de aard van de gegevensverwerkingen en de informatie waarover Partijen beschikken, zullen Partijen elkaar, indien nodig, assisteren bij het nakomen van hun eigen verplichtingen die voortvloeien uit het Toepasselijke Recht.
7.3. Deelnemer staat ervoor in dat er een grondslag op grond van het Toepasselijke Recht voor de Verwerking (waaronder verstrekking en opvraging) aanwezig is.
7.4. Indien door een verzekeringsmaatschappij of leasemaatschappij gevraagd wordt om een toelichting op de opgave van schadevrije jaren is de afgevende Deelnemer verplicht deze toelichting zo snel mogelijk, echter uiterlijk binnen 4 weken, te geven.
8. DERDEN
8.1. Het is Partijen toegestaan om in het kader van de Overeenkomst gebruik te maken van derden en/of onderaannemers (“Verwerkers”). Partijen zullen uitsluitend een beroep op Verwerkers doen die afdoende garanties met betrekking tot het toepassen van passende technische en
organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd. De verwerking door een Verwerker wordt geregeld in een overeenkomst als bedoeld in artikel 28 lid 3 van de AVG.
9. BEVEILIGING
9.1. Partijen zullen passende technische en organisatorische maatregelen ten uitvoer (laten) leggen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking en zo een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. Partijen zullen in ieder geval maatregelen nemen om Persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk hetzij onrechtmatig, tegen toevallig en opzettelijk verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel tegen enige andere vorm van onrechtmatige verwerking.
9.2. Deelnemer stelt Stichting EPS onverwijld op de hoogte wanneer zij meent dat de door Stichting EPS genomen beveiligingsmaatregelen, gelet op onder meer de aard van de Persoonsgegevens, aanscherping behoeven om te kunnen voldoen aan het Toepasselijke Recht.
10. INBREUK IN VERBAND MET PERSOONSGEGVENS
10.1. Indien een Deelnemer kennis krijgt van een inbreuk in verband met Persoonsgegevens en/of enig ander incident ten aanzien van de beveiliging van Persoonsgegevens, zal Deelnemer Stichting EPS daarvan binnen 24 uur op de hoogte stellen.
10.2. Indien noodzakelijk, zal Stichting EPS namens Partijen melding doen bij de Autoriteit Persoonsgegevens van de Inbreuk in verband met Persoonsgegevens. Deelnemer blijft volledig verantwoordelijk voor een eventuele melding van de Inbreuk in verband met Persoonsgegevens aan Betrokkenen.
10.3. Partijen doen elk voor dat deel waar zij Verwerkingsverantwoordelijke voor zijn de melding van een inbreuk in verband met Persoonsgegevens bij de toezichthoudende autoriteit. Hetzelfde geldt voor de melding aan de Betrokkenen.
10.4. Eventuele kosten die gemaakt worden om een inbreuk in verband met Persoonsgegevens op te lossen, komen voor rekening van de Partij die de kosten maakt.
11. VERTROUWELIJKHEID
11.1. Partijen zullen al hun medewerkers, die betrokken zijn bij de uitvoering van de Overeenkomst, een geheimhoudingsverklaring – al dan niet opgenomen in de arbeidsovereenkomst met die medewerkers – laten tekenen waarin in ieder geval is opgenomen dat deze medewerkers geheimhouding moeten betrachten ten aanzien van de Persoonsgegevens.
11.2. Uitsluitend medewerkers van Deelnemer waarvoor inzage en toegang tot Persoonsgegevens voor de uitoefening van hun taken noodzakelijk is, mogen door Deelnemer geautoriseerd worden voor
het inzien van Royementsgegevens uit Roy-data. Deze taak dient in het verlengde te liggen van de omschreven doelen in Bijlage 1.
12. AANSPRAKELIJKHEID
12.1. Als een van de Partijen de verplichtingen uit deze Regeling niet nakomt, kunnen zij voor hun deel van de verwerking aansprakelijk gesteld worden. Voor alle overige Verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door (of namens) Deelnemer, de verstrekking en opvraging van Persoonsgegevens, Verwerkingen door en/of voor derden en/of voor andere doeleinden, is Stichting EPS niet verantwoordelijk. De verantwoordelijkheid voor deze Verwerkingen rust uitsluitend bij Deelnemer.
12.2. Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de Betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, verplicht overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek in de schuld en kosten bij te dragen.
13. SLOTBEPALINGEN
13.1. Deze Regeling maakt deel uit van de tussen EPS en Deelnemer gesloten Deelnemersovereenkomst. De bepalingen uit de Deelnemersovereenkomst zijn onverkort van toepassing op deze Regeling. Voor zover er in de Deelnemersovereenkomst bepalingen omtrent de Verwerking zijn opgenomen, prevaleren de bepalingen uit deze Regeling.
13.2. De bepalingen van deze Regeling zijn van toepassing zolang de Deelnemersovereenkomst van kracht is. Beëindiging van de Deelnemersovereenkomst, om wat voor reden dan ook, heeft ook beëindiging van deze Regeling tot gevolg.
13.3. Deelnemer blijft ook na beëindiging van deze Regeling verplicht zijn medewerking te verlenen aan correctieverzoeken en de uitvoering daarvan.
13.4. De verplichtingen uit deze Regeling die naar hun aard bestemd zijn om beëindiging te overleven, blijven ook na beëindiging van deze Regeling van kracht.
13.5. Deze Regeling zal worden aangepast in onderling overleg tussen Stichting EPS en Deelnemer indien dit is vereist ingevolge (toekomstige) toepasselijke wet- en regelgeving of een aanpassing van de dienstverlening en/of samenwerking.
BIJLAGE 1 OVERZICHT VERWERKING VAN PERSOONSGEGEVENS
Het onderstaande schema geeft een volledig overzicht van de Persoonsgegevens die verwerkt zullen worden en voor welk deel van de Verwerkingen welke Partij verantwoordelijk is. Op basis van dit overzicht is het mogelijk om aan te kunnen tonen waar, door wie en voor welk doel de Persoonsgegevens worden verwerkt.
PERSOONSGEGEVENS Artikel 4.1 en Bijlage 3 Deelnemersreglement | |
NAW/Bedrijfsnaam | Voorletters, Voorvoegsels, Achternaam, Tweede voorvoegsel, Tweede achternaam, Adres, Huisnummer, Toevoeging huisnummer, Postcode en Woonplaats van de verzekeringnemer |
Geboortedatum (verplicht bij een natuurlijk persoon) | Dag, maand en jaar waarop de leaserijder is geboren. |
Subjecttype | Man, vrouw |
Het aantal zuivere schadevrije jaren | Het aantal schadevrije jaren waarbij rekening is gehouden met een eventuele tussentijdse terugval in het aantal schadevrije jaren als gevolg van aan de verzekerde toe te rekenen schades. Het aantal schadevrije jaren heeft betrekking op de schadevrije jaren die de leaserijder op de contractvervaldatum heeft opgebouwd. |
Contractnummer | Het nummer (of het meest significante deel hiervan) waaronder het lease contract bij de leasemaatschappij bekend staat. |
Kenteken | Het kenteken waarop het leasecontract betrekking heeft |
Contractvervaldatum | De datum waarop het leasecontract vervalt. |
Verwerkingsdatum | De datum waarop het royement/het aanmaken van de royementsgegevens in de administratie van de leasemaatschappij is verwerkt |
Royementsdatum/schorsingsdatum | De datum waarop het lease contract effectief is beëindigd dan wel is geschorst. |
Leasemaatschappij-code | Deze code wordt door de Stichting EPS aan leasemaatschappijen verstrekt. |
VERWERKINGSACTIVITEITEN DEELNEMER | |
Aanleveren Xxx-data | De volgende twee situaties worden onderscheiden: a) Bij beëindiging van een verzekeringsovereenkomst leveren motorrijtuigverzekeraars de royementsgegevens aan aan Roy-data, op basis van zuivere schadevrije jaren. b) Bij schorsing leveren motorrijtuigverzekeraars royementsgegevens aan aan Roy-data indien bij de geldende verzekeringsovereenkomst sprake is van negatieve schadevrije jaren op basis van zuivere schadevrije jaren. |
Schoning | Royementsgegevens worden in Roy-data na 10 jaar geschoond indien het ongebruikte gegevens met positieve schadevrije jaren betreffen. In gebruik genomen royementsgegevens en/of royementsgegevens waarbij sprake is van negatieve schadevrije jaren worden na 5 jaar geschoond. |
Opvraging | Royementsgegevens uit Roy-data mogen slechts worden opgevraagd door Deelnemer indien daar een aanvraag van of namens een Betrokkene voor een nieuwe verzekerings- of leaseovereenkomst aan ten grondslag ligt. Er zijn 4 doelen waartoe gegevens kunnen of dienen te worden opgevraagd: a) Als ondersteuning voor het bepalen van de premie voor een nieuw te verzekeren cliënt dan wel het leasetarief; b) Om vast te stellen of een cliënt kan worden geaccepteerd; c) Om de gegevens verzameling in Roy-data ten aanzien van de statussen (gebruikt/ongebruikt) integer te houden; d) Om berijders te faciliteren in de opbouw van schadevrije jaren. |
Verplichting tot gebruikname | Indien bij een (aspirant)verzekerde sprake is van een verzekeringsverleden (opbouw schadevrije jaren) voorafgaand aan de nieuw af te sluiten verzekeringsovereenkomst dienen de royementsgegevens in Roy-data van de betreffende verzekeringnemer door de nieuwe verzekeraar in gebruik te worden genomen. Bij een in kracht herstelling van een polis na schorsing, waarbij in een eerder stadium royementsgegevens zijn afgegeven geniet het de |
voorkeur deze royementsgegevens te verwijderen in plaats van deze in gebruik te nemen. |
VERWERKINGSACTIVITEITEN STICHTING EPS | |
Beheer | Persoonsgegevens worden opgeslagen in een centrale database dat wordt beheerd door Stichting EPS. Solera is de Verwerker die Roy-data in technische zin exploiteert en tevens de gebruikersondersteuning voor technische problemen levert |
Inzage | Betrokkenen kunnen bij Stichting EPS een verzoek indienen tot inzage in hun Roy-data en Persoonsgegevens. Deelnemers kunnen bij Stichting EPS Roy-data van Betrokkenen opvragen. |
BIJLAGE 2 OPZET VOORBEELDTEKST TEN BEHOEVE VAN INFORMATIEVOORZIENING BETROKKENE
“Uw opgebouwde schadevrije jaren bedragen <opgave schadevrije jaren> per <datum> zijnde de eerstvolgende hoofdpremievervaldatum. Dit is de jaarlijkse verlengingsdatum van uw polis. Deze opgave van schadevrije jaren hebben wij vastgelegd in de centrale database Roy-data, die wordt beheerd door de Stichting Efficiënte Processen Schadeverzekeraars te Den Haag. Schadevrije jaren zijn mede bepalend voor de hoogte van de premie van een motorrijtuigverzekering of kosten van een leasecontract. Roy-data zorgt ervoor dat motorrijtuigverzekeraars en leasemaatschappijen efficiënter kunnen werken en dat u als cliënt geen royementsverklaring meer naar uw nieuwe verzekeraar hoeft te sturen. Alleen motorrijtuigverzekeraars en leasemaatschappijen waarbij schadevrije jaren kunnen worden opgebouwd hebben inzage in Roy-data.
Met opmerkingen [LM1]: Nieuw – idealiter linken naar het privacy statement.
Voor inzage in uw registratie in Roy-data kunt u het formulier ‘inzage in registratie Roy-data’ invullen en versturen op xxx.xxxx.xx/xxxxxxxxxxx of bellen met het nummer 088-7781122 van de helpdesk Roy-data. Schadevrije jaren worden pas geregistreerd nadat een polis of leasecontract is gestopt. Voor meer informatie over de verwerking van uw persoonsgegevens door Stichting Efficiënte Processen Schadeverzekeraars kunt u het privacy statement van Stichting Efficiënte Processen Schadeverzekeraars raadplegen.”