Bemiddelingsovereenkomst voor verzekeringsmakelaars
Bemiddelingsovereenkomst voor verzekeringsmakelaars
Sectorale instructies voor de verwerking van persoonsgegevens ten behoeve van een verwerkingsverantwoordelijke
Inleiding
De Europese Algemene Verordening Gegevensbescherming 2016/679 (GDPR) bepaalt dat een verwerker alleen op gedocumenteerde instructie van de verwerkingsverantwoordelijke persoonsgegevens mag verwerken.
De instructies in dit document zijn van toepassing op gegevensverwerking in het kader van een relatie tussen een verwerkingsverantwoordelijke en een verwerker die is geregeld door een specifieke overeenkomst, ondertekend door de partijen (zie art. 28.3 GDPR). Het gaat hierbij om twee te onderscheiden situaties:
- enerzijds de relatie tussen de verzekeraar die verwerkingsverantwoordelijke is en de makelaar die verwerker is (Deel I);
- anderzijds de relatie tussen de makelaar die verwerkingsverantwoordelijke is en de verzekeraar die verwerker is (Deel II).
Deze instructies kaderen in de implementatie van de sectorale bemiddelingsovereenkomst voor verzekeringsmakelaars, afgesloten tussen de verzekeringsondernemingen en hun makelaars, en meer bepaald van artikel 9.2 van die overeenkomst. Dat artikel betreft de verwerking van persoonsgegevens en situaties waarin een beroep wordt gedaan op een verwerker. Artikel 9.2 verwijst meermaals naar de te verstrekken instructies.
De instructies in dit document willen verder ook de inhoud van artikel 9.2 verduidelijken met betrekking tot de nieuwe verplichtingen die de GDPR met zich meebrengt.
Bijgevolg kan men ze beschouwen als een integraal onderdeel van de sectorale bemiddelingsovereenkomst.
De volgende zaken moeten daarentegen wel worden opgenomen in een specifieke overeenkomst, ondertekend door de partijen: het voorwerp en de aard van de verwerking, de doeleinden van de verwerking, de categorieën van betrokken personen, de categorieën van verwerkte persoonsgegevens en de bewaringstermijn van de gegevens in het kader van de relatie verwerker/verwerkingsverantwoordelijke. Zo nodig kunnen er, in het kader van die specifieke overeenkomst, ook nog specifieke instructies worden geformuleerd. Deze vervangen evenwel de sectorale instructies niet die dit document toelicht. Specifieke instructies variëren van onderneming tot onderneming en kunnen bijvoorbeeld betrekking hebben op het gebruik van een tool die door de ene aan de andere partij ter beschikking wordt gesteld.
DEEL I – DE MAKELAAR DIE ALS VERWERKER HANDELT VOOR REKENING VAN EEN VERZEKERAAR DIE VERWERKINGSVERANTWOORDELIJKE IS
I. BEGRIPPEN
Onder ‘verwerker’ wordt begrepen de makelaar die ten behoeve van de verzekeraar verwerkingsverantwoordelijke persoonsgegevens verwerkt in het kader van de aan hem toegekende doeleinden (in het kader van een specifieke overeenkomst, waarvan sprake hierboven).
Onder ‘makelaar’ wordt begrepen de verzekeringsmakelaar zelf, zijn personeelsleden, medewerkers en subagenten.
Onder ‘andere verwerker’ wordt begrepen iedere andere persoon dan de ‘verwerker’ die voor de verwerker persoonsgegevens verwerkt voor de doeleinden die door de verzekeraar aan de verwerker zijn toegekend. Dit begrip omvat dus niet de verwerker die handelt
- voor rekening van de makelaar-verwerkingsverantwoordelijke, of
- als verwerker van de makelaar in het kader van andere doeleinden dan degene die de verzekeraar aan de makelaar heeft toegekend.
II. INSTRUCTIES
1. Vertrouwelijkheid
De makelaar-verwerker zal op discrete wijze gebruikmaken van de over de betrokken persoon verkregen informatie.
De makelaar-verwerker waarborgt dat de verwerkingsgemachtigde personeelsleden, inclusief de subagenten waarmee de makelaar samenwerkt, verbonden zijn door een vertrouwelijkheidsverplichting in hun arbeidsovereenkomst of samenwerkingsovereenkomst, of dat zij een vertrouwelijkheidsverplichting hebben ondertekend.
2. Passende technische en organisatorische maatregelen
• Algemeen
De lijst hieronder bevat voorbeelden van organisatorische maatregelen die de makelaar-verwerker kan treffen om de vernietiging, het verlies, de vervalsing en de ongeoorloofde raadpleging of verspreiding van persoonsgegevens te voorkomen.
- procedures uitwerken met betrekking tot de aankomst en het vertrek van gebruikers;
- een algemene gedragscode verspreiden voor het ICT-gebruik;
- regelmatig veiligheidsaudits organiseren en deze nauwgezet uitvoeren;
- een toegangsbeleid uitwerken waarbij de toegang tot persoonsgegevens exclusief wordt toegekend op een ‘need-to-know’ basis (de noodzaak om er kennis van te nemen);
- interne procedures opstellen om klachten te behandelen en om gepast te reageren op incidenten (bijv. gegevenslekken).
• Technische beveiligingsmaatregelen
- Indien binnen een ASWeb-omgeving:
De beveiligingsrichtlijnen van de ASWeb-provider moeten gerespecteerd worden.
- Indien elektronisch buiten ASWeb (bv. pc, cloud, …): toegangsbeleid, back-ups, maatregelen beveiliging cloud
De lijst hieronder bevat voorbeelden van technische maatregelen die de makelaar-verwerker kan treffen om de vernietiging, het verlies, de vervalsing en de ongeoorloofde raadpleging of verspreiding van persoonsgegevens te voorkomen:
o antivirussoftware gebruiken en deze systematisch en tijdig updaten;
o systematisch back-ups maken om zich te beschermen tegen verlies van persoonsgegevens ;
o alle software systematisch en automatisch updaten;
o een beveiligde https-verbinding gebruiken voor websites;
o een firewall installeren (zowel voor de hardware als voor de software);
o de fysieke beveiliging van de servers garanderen door er alleen bevoegd personeel bij toe te laten (bijv. met behulp van badges);
o een toegangensysteem implementeren met een unieke gebruikersnaam (login) voor elke gebruiker en een authenticatiesysteem.
- Indien papieren documenten: toegangsbeleid, afgesloten of afsluitbare archieven
• Toegangsbeleid
De makelaar-verwerker moet de toegang tot de verwerkte persoonsgegevens beperken tot die personeelsleden – werknemers of zelfstandigen – die de persoonsgegevens nodig hebben om de taken uit te oefenen die de makelaar-verwerker hun heeft toegewezen.
- Indien één toegang per makelaar-verwerker:
De makelaar-verwerker moet een lijst ter beschikking houden van de verzekeraar met de identiteit van de personeelsleden – werknemers of zelfstandigen – die de persoonsgegevens verwerken in het kader van het aan de verwerker toegekende doeleinde. De toegangsmiddelen (bijv. gebruikersidentificatie en toegangscode) die de verzekeraar aan de makelaar-verwerker meedeelt en die gebruikt worden door de betrokken personeelsleden, zijn uitsluitend bestemd voor een strikt persoonlijk gebruik door de betrokkenen. Die dienen, als houder van hun toegangsmiddel, alle redelijke voorzorgsmaatregelen te nemen met het oog op de veiligheid ervan (bijv. geheimhouding van de persoonlijke toegangscode). In geval van verlies of diefstal van een toegangsmiddel, of enige andere omstandigheid waarin de betrokkene er redelijkerwijze van op de hoogte dient te zijn dat een derde gebruik kan maken van zijn toegangsmiddel, moet de verzekeraar daarvan zo snel mogelijk op de hoogte worden gebracht. De makelaar-verwerker ziet zo veel mogelijk toe op de eerbiediging van deze verplichtingen door de personeelsleden.
- Indien een toegang per betrokkene:
De makelaar-verwerker moet de verzekeraar op de hoogte brengen van de identiteit van de personeelsleden – werknemers of zelfstandigen – die de persoonsgegevens verwerken in het kader van het aan de verwerker toegekende doeleinde, evenals van iedere latere wijziging betreffende deze toekenning. De toegangsmiddelen (bijvoorbeeld gebruikersidentificatie en toegangscode) die de verzekeraar meedeelt aan de makelaar-verwerker en die gebruikt worden door de betrokken personeelsleden, zijn uitsluitend bestemd voor een strikt persoonlijk gebruik door de betrokkenen. Die dienen, als houder van hun toegangsmiddel, alle redelijke voorzorgsmaatregelen te nemen met het oog op de veiligheid ervan (bijv. geheimhouding van de persoonlijke toegangscode). In geval van verlies of diefstal van een toegangsmiddel, of enige andere omstandigheid waarin de betrokkene er redelijkerwijze van op de hoogte dient te zijn dat een derde gebruik kan maken van zijn toegangsmiddel, moet de verzekeraar daarvan zo snel mogelijk op de hoogte worden gebracht. De makelaar-verwerker ziet zoveel mogelijk toe op de eerbiediging van deze verplichtingen door de personeelsleden.
3. Werken met een ‘andere’ verwerker of subverwerker
De makelaar-verwerker doet, in het kader van zijn werkzaamheden als verwerker van de verzekeraar, geen beroep op een andere verwerker, tenzij mits toestemming van de verzekeraar en mits de makelaar met de andere verwerker voldoende waarborgen inzake gegevensbescherming schriftelijk overeenkomt.
Deze toestemming mag algemeen zijn, naargelang wat er in de specifieke overeenkomst gepreciseerd staat. De makelaar-verwerker informeert in dat geval de verzekeraar-verwerkingsverantwoordelijke zo snel mogelijk over elke voorgenomen wijziging in verband met de toevoeging of vervanging van een verwerker. De verzekeraar-verwerkingsverantwoordelijke kan bezwaar maken tegen dergelijke wijzigingen binnen een redelijke termijn die is vastgelegd in de specifieke overeenkomst. De toestemming kan alleen worden geweigerd op basis van legitieme en objectieve redenen.
Deze bepaling betreft alleen de activiteiten die door de verzekeraar-verwerkingsverantwoordelijke zijn uitbesteed aan de verwerker.
4. Bijstand uitoefening rechten betrokkenen
In de mate van het mogelijke helpt de makelaar-verwerker, door het treffen van passende technische en organisatorische maatregelen, de verzekeraar-verwerkingsverantwoordelijke om zijn verplichting na te komen wat de opvolging betreft van verzoeken die betrokken personen tot hem richten om hun rechten uit te oefenen, zoals bepaald in hoofdstuk III van de GDPR (toegang, rechtzetting, …).
In de praktijk doet de makelaar-verwerker het volgende:
- hij verwijst de betrokken persoon door naar (de website van) de verzekeraar, of
- hij stuurt de vraag van de betrokken persoon door naar de DPO of het privacy-aanspreekpunt van de verzekeraar.
De makelaar-verwerker moet de verzekeraar indien nodig bijstaan om alle informatie aan de betrokken persoon te geven.
Let op: wanneer een betrokken persoon zich tot de makelaar richt in diens hoedanigheid van verwerkingsverantwoordelijke voor zijn eigen gegevensverwerking, geeft de makelaar zelf een antwoord aan de betrokken persoon.
5. Bijstand persoonsgegevensbeveiliging
• Beveiliging van de verwerking: zie hoger, punt 2.
• Melding van een inbreuk op de bescherming van persoonsgegevens : informatieverstrekking door de verwerker aan de DPO van de verzekeraar of het privacy-aanspreekpunt van de verzekeraar.
Wanneer de makelaar-verwerker kennisneemt van een inbreuk in verband met persoonsgegevens, brengt deze de verzekeraar-verwerkingsverantwoordelijke hiervan meteen op de hoogte via diens DPO of privacy-aanspreekpunt.
Vóór de verzekeraar-verwerkingsverantwoordelijke de inbreuk meldt aan de Gegevensbeschermingsautoriteit en, indien nodig, aan de betrokken personen, overlegt deze met de makelaar-verwerker om na te gaan of de voorwaarden voor een melding effectief vervuld zijn.
Voorbeelden van mogelijke inbreuken in verband met persoonsgegevens: verlies of foute verzending vervaldagberichten, ongeoorloofde toegang tot systemen of persoonsgegevens, verlies van archieven of documenten, …
6. Maatregelen na afloop verwerkingsdiensten
De makelaar-verwerker verbindt zich ertoe om de persoonsgegevens die hij verwerkt in het kader van zijn verwerkingsactiviteiten voor rekening van de verzekeraar, niet langer te verwerken dan noodzakelijk.
Indien de samenwerking met de verzekeraar beëindigd wordt, verbindt de makelaar-verwerker zich ertoe om alle persoonsgegevens met betrekking tot de uitvoering van werkzaamheden ten behoeve van de verzekeraar, evenals de archieven en documenten van de verzekeraar, op vraag van deze laatste terug te zenden en de aanwezige kopieën te vernietigen, behalve indien de makelaar- verwerker wettelijk verplicht is deze gegevens gedurende een bepaalde termijn bij te houden .
Deze bepaling geldt alleen voor gegevens die exclusief worden verwerkt in het kader van de relatie tussen de verwerkingsverantwoordelijke en de verwerker, met uitsluiting van de persoonsgegevens die de makelaar ook verwerkt in zijn hoedanigheid van verwerkingsverantwoordelijke voor zijn eigen gegevensverwerkingen.
7. Audit
De verzekeraar heeft het recht om de naleving van de instructies in dit document te controleren. De makelaar-verwerker is verplicht om, op eenvoudig verzoek van de verzekeraar, alle belangrijke informatie in het kader van de uitvoering van deze instructies aan de verzekeraar mee te delen.
Als deze maatregel ontoereikend lijkt, heeft de verzekeraar het recht om zich te begeven naar de lokalen of ruimten waar de makelaar-verwerker de gegevensverwerking uitvoert, na het vastleggen van een afspraak op zeer korte termijn.
De verzekeraar mag ook op elk moment controleren of de verzekeringsmakelaar-verwerker de persoonsgegevens in het informaticasysteem van de verzekeraar heeft ingevoerd volgens de voorwaarden die beschreven staan in deze instructies of in de eventuele specifieke instructies, en of de vastgelegde procedures zijn nageleefd. Deze controles mogen alleen plaatsvinden voor gegevensverwerking die gebeurt in het kader van een relatie verwerkingsverantwoordelijke/verwerker tussen de verantwoordelijke verzekeraar en de makelaar.
Dit recht kan slechts eenmaal per jaar worden uitgeoefend, tenzij in de volgende gevallen:
- wanneer een controle tekortkomingen aan het licht heeft gebracht, mag de verzekeraar- verwerkingsverantwoordelijke nagaan of de nodige corrigerende maatregelen zijn getroffen en of de instructies opnieuw worden nageleefd door de makelaar-verwerker; hij hoeft dan geen jaar te wachten;
- wanneer de controle gebeurt op uitdrukkelijk verzoek van een bevoegde autoriteit.
8. Aansprakelijkheid
• Aansprakelijkheid beveiligingsmaatregelen verzekeraar
De verzekeraar verbindt zich ertoe om passende technische en organisatorische maatregelen te treffen om de persoonsgegevens van het cliënteel te beveiligen. In dit kader kan de makelaar- verwerker in geen enkel geval aansprakelijk worden gesteld voor schade die voortvloeit uit het niet- respecteren van deze maatregelen door de verzekeraar.
• Aansprakelijkheid beveiligingsmaatregelen makelaar-verwerker
De passende technische en organisatorische beveiligingsmaatregelen waarover de makelaar- verwerker moet waken om de vernietiging, het verlies, de vervalsing en de ongeoorloofde raadpleging of verspreiding van gegevens te voorkomen, staan beschreven in de instructies in dit document (zie hoger, punt 2) en in de eventuele specifieke instructies die zijn meegedeeld door de verzekeringsonderneming. De makelaar-verwerker is verantwoordelijk voor de goede uitvoering van deze instructies.
• Algemene aansprakelijkheid GDPR
De makelaar-verwerker is aansprakelijk voor de schade die voortvloeit uit een inbreuk op de verplichtingen die hij als verwerker heeft ingevolge artikel 9 van de bemiddelingsovereenkomst en deze instructies, en vrijwaart daartoe de verzekeraar. De verzekeraar zal de makelaar-verwerker vrijwaren voor iedere schade die voor hem zou voortvloeien uit het niet-respecteren van zijn wettelijke verplichtingen als verwerkingsverantwoordelijke op grond van de GDPR en zijn verplichtingen uit hoofde van artikel 9 van de bemiddelingsovereenkomst.
9. Verwerkingsregister
De makelaar-verwerker maakt een register op van verwerkingsactiviteiten. Dit register bevat:
- de naam en de contactgegevens van de verwerker en van iedere verwerkingsverantwoordelijke waarvoor de verwerker handelt;
- de categorieën van verwerkingen ten behoeve van iedere verwerkingsverantwoordelijke;
- indien mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (bijv. door een verwijzing naar de maatregelen die de makelaar genomen heeft als verwerkingsverantwoordelijke en naar de instructies).
10. Medewerking toezichthouder 11.
De makelaar-verwerker is verplicht om, op eenvoudig verzoek van de verzekeraar- verwerkingsverantwoordelijke, alle belangrijke informatie in het kader van de uitvoering van deze instructies aan de verzekeraar mee te delen. Dat geldt in het bijzonder wanneer de verzekeraar hierover wordt ondervraagd door de controleautoriteit.
DEEL II – DE VERZEKERAAR DIE ALS VERWERKER HANDELT VOOR REKENING VAN EEN MAKELAAR DIE VERZEKERINGSVERANTWOORDELIJKE IS
I. BEGRIPPEN
Onder ‘verwerker’ wordt begrepen de verzekeraar die ten behoeve van de makelaar verwerkingsverantwoordelijke persoonsgegevens verwerkt in het kader van de aan hem toegekende doeleinden (in het kader van een specifieke overeenkomst, waarvan sprake hierboven). Onder ‘verzekeraar’ wordt begrepen de verzekeringsonderneming zelf, haar personeelsleden, medewerkers en subagenten. |
Onder ‘andere verwerker’ wordt begrepen iedere andere persoon dan de ‘verwerker’ of diens ‘personeelsleden’ die voor de verwerker persoonsgegevens verwerkt voor de doeleinden die door de makelaar aan de verwerker zijn toegekend. Dit begrip omvat dus niet de verwerker die handelt - voor rekening van de verzekeraar-verwerkingsverantwoordelijke, of - als verwerker van de verzekeraar in het kader van andere doeleinden dan degene die door de makelaar aan de verzekeraar zijn toegekend. |
II. INSTRUCTIES
1. Vertrouwelijkheid
De verzekeraar-verwerker zal op discrete wijze gebruikmaken van de over de betrokken persoon verkregen informatie.
De verzekeraar-verwerker waarborgt dat de verwerkingsgemachtigde personeelsleden gebonden zijn aan een vertrouwelijkheidsverplichting in hun arbeidsovereenkomst of samenwerkingsovereenkomst, of dat zij een vertrouwelijkheidsverplichting hebben ondertekend.
2. Passende technische en organisatorische maatregelen
• Algemeen
De lijst hieronder bevat voorbeelden van organisatorische maatregelen die de verzekeraar- verwerker kan treffen om de vernietiging, het verlies, de vervalsing en de ongeoorloofde raadpleging of verspreiding van persoonsgegevens te voorkomen:
- procedures uitwerken met betrekking tot de aankomst en het vertrek van gebruikers;
- een algemene gedragscode verspreiden voor het ICT-gebruik;
- regelmatig veiligheidsaudits organiseren en deze nauwgezet uitvoeren;
- een toegangsbeleid uitwerken waarbij de toegang tot persoonsgegevens exclusief wordt toegekend op een ‘need-to-know’ basis (de noodzaak om er kennis van te nemen);
- interne procedures opstellen om klachten te behandelen en om gepast te reageren op incidenten (bijv. gegevenslekken).
• Technisch – Beveiligingsmaatregelen
- Indien binnen een ASWeb-omgeving:
De security-richtlijnen van de ASWeb-provider moeten geëerbiedigd worden.
- Indien elektronisch buiten ASWeb (bv. pc, cloud, …): toegangsbeleid, back-ups, maatregelen beveiliging cloud
De lijst hieronder bevat voorbeelden van technische maatregelen die de verzekeraar- verwerker kan treffen om de vernietiging, het verlies, de vervalsing en de ongeoorloofde raadpleging of verspreiding van persoonsgegevens te voorkomen:
o antivirussoftware gebruiken en deze systematisch en tijdig updaten;
o systematisch back-ups maken om zich te beschermen tegen verlies van persoonsgegevens;
o alle software systematisch en automatisch updaten;
o een beveiligde https-verbinding gebruiken voor websites;
o een firewall installeren (zowel voor de hardware als voor de software);
o de fysieke beveiliging van de servers garanderen door er alleen bevoegd personeel bij toe te laten (bijv. met behulp van badges);
o een toegangensysteem implementeren met een unieke gebruikersnaam (login) voor elke gebruiker en een authenticatiesysteem.
- Indien papieren documenten: toegangsbeleid, afgesloten of afsluitbare archieven
• Toegangsbeleid
De verzekeraar-verwerker moet de toegang tot de verwerkte persoonsgegevens beperken tot die personeelsleden – werknemers of zelfstandigen – die de gegevens nodig hebben om de taken uit te oefenen die de verzekeraar-verwerker hun heeft toegewezen.
De verzekeraar-verwerker moet de makelaar op de hoogte brengen van de identiteit van de personeelsleden – werknemers of zelfstandigen – die de persoonsgegevens verwerken in het kader van het aan de verwerker toegekende doeleinde, evenals van iedere latere wijziging betreffende deze toekenning. De toegangsmiddelen (bijv. gebruikersidentificatie en toegangscode) die de makelaar aan de verzekeraar-verwerker meedeelt en die gebruikt worden door de betrokken personeelsleden, zijn uitsluitend bestemd voor een strikt persoonlijk gebruik door de betrokkenen. Die dienen, als houder van hun toegangsmiddel, alle redelijke voorzorgsmaatregelen te nemen met het oog op de veiligheid ervan (bijv. geheimhouding van de persoonlijke toegangscode). In geval van verlies of diefstal van een toegangsmiddel, of enige andere omstandigheid waarin de betrokkene er redelijkerwijze van op de hoogte dient te zijn dat een derde gebruik kan maken van zijn toegangsmiddel, moet de makelaar daarvan zo snel mogelijk op de hoogte worden gebracht. De verzekeraar-verwerker ziet zo veel mogelijk toe op de eerbiediging van deze verplichtingen door de personeelsleden.
3. Werken met een ‘andere’ verwerker of sub-verwerker
De verzekeraar-verwerker doet, in het kader van zijn werkzaamheden als verwerker van de makelaar, geen beroep op een andere verwerker, tenzij mits toestemming van de makelaar en mits de verzekeraar met de andere verwerker voldoende waarborgen inzake gegevensbescherming schriftelijk overeenkomt.
Deze toestemming mag algemeen zijn, naargelang wat er in de specifieke overeenkomst gepreciseerd staat. De verzekeraar-verwerker informeert in dat geval de makelaar-verwerkingsverantwoordelijke zo snel mogelijk over elke voorgenomen wijziging in verband met de toevoeging of vervanging van een verwerker. De makelaar-verwerkingsverantwoordelijke kan bezwaar maken tegen deze wijzigingen binnen een redelijke termijn die is vastgelegd in de specifieke overeenkomst. De toestemming kan alleen worden geweigerd op basis van legitieme en objectieve redenen.
Deze bepaling betreft alleen de activiteiten die door de makelaar-verwerkingsverantwoordelijke zijn uitbesteed aan de verwerker.
4. Bijstand uitoefening rechten betrokkenen
In de mate van het mogelijke helpt de verzekeraar-verwerker, door het treffen van passende technische en organisatorische maatregelen, de makelaar-verwerkingsverantwoordelijke om zijn verplichting na te komen wat de opvolging betreft van verzoeken die betrokken personen tot hem richten om hun rechten uit te oefenen, zoals bepaald in hoofdstuk III van de GDPR (toegang, rechtzetting…).
In de praktijk doet de verzekeraar-verwerker het volgende:
- hij verwijst de betrokken persoon door naar (de website van) de makelaar, of
- hij stuurt de vraag van de betrokken persoon door naar de DPO, de privacyverantwoordelijke of het privacy-aanspreekpunt van de makelaar.
De verzekeraar-verwerker moet de makelaar indien nodig bijstaan om alle informatie aan de betrokken persoon te geven.
Let op: wanneer een betrokken persoon zich tot de verzekeraar richt in diens hoedanigheid van verwerkingsverantwoordelijke voor zijn eigen gegevensverwerking, geeft de verzekeraar zelf een antwoord aan de betrokken persoon.
5. Bijstand persoonsgegevensbeveiliging
• Beveiliging van de verwerking: zie hoger, punt 2.
• Melding van een inbreuk op de bescherming van persoonsgegevens: informatieverstrekking door de verwerker aan de makelaar of, in voorkomend geval, de DPO, de privacyverantwoordelijke of het privacy-aanspreekpunt van de makelaar.
Wanneer de verzekeraar-verwerker kennisneemt van een inbreuk in verband met persoonsgegevens brengt deze de makelaar-verwerkingsverantwoordelijke hiervan meteen op de hoogte of, in voorkomend geval, diens DPO, privacyverantwoordelijke of privacy-aanspreekpunt.
Vóór de makelaar-verwerkingsverantwoordelijke de inbreuk meldt aan de gegevensbeschermingsautoriteit en, indien nodig, aan de betrokken personen, overlegt deze met de verzekeraar-verwerker om na te gaan of de voorwaarden voor een melding effectief vervuld zijn.
Voorbeelden mogelijke inbreuk op de bescherming van persoonsgegevens: verlies of foute verzending vervaldagberichten, ongeoorloofde toegang systemen of persoonsgegevens, verlies van archieven of documenten, …
6. Maatregelen na afloop verwerkingsdiensten
De verzekeraar-verwerker verbindt zich ertoe om de persoonsgegevens die hij verwerkt in het kader van zijn verwerkingsactiviteiten voor rekening van de makelaar, niet langer te verwerken dan noodzakelijk.
Indien de samenwerking met de makelaar beëindigd wordt, verbindt de verzekeraar-verwerker zich ertoe om alle persoonsgegevens met betrekking tot de uitvoering van werkzaamheden voor rekening van de makelaar, evenals de archieven en documenten van de makelaar, op vraag van deze laatste
terug te zenden en de aanwezige kopieën te vernietigen, behalve indien de verzekeraar-verwerker wettelijk verplicht is deze gegevens gedurende een bepaalde termijn bij te houden .
Deze bepaling geldt alleen voor persoonsgegevens die exclusief worden verwerkt in het kader van de relatie tussen de verwerkingsverantwoordelijke en de verwerker, met uitsluiting van de persoonsgegevens die de verzekeraar ook verwerkt in zijn hoedanigheid van verwerkingsverantwoordelijke voor zijn eigen gegevensverwerkingen.
7. Audit
De makelaar heeft het recht om de naleving van deze instructies te controleren. De verzekeraar- verwerker is verplicht om, op eenvoudig verzoek van de makelaar, alle belangrijke informatie in het kader van de uitvoering van deze instructies aan de makelaar mee te delen.
Als deze maatregel ontoereikend lijkt, heeft de makelaar het recht om zich te begeven naar de lokalen of ruimten waar de verzekeraar-verwerker de gegevensverwerking uitvoert, na het vastleggen van een afspraak op zeer korte termijn.
De makelaar mag ook op elk moment controleren of de verzekeraar-verwerker de persoonsgegevens in het informaticasysteem van de makelaar heeft ingevoerd volgens de voorwaarden die beschreven staan in deze instructies of in de eventuele specifieke instructies, en of de vastgelegde procedures zijn nageleefd. Deze controles mogen alleen plaatsvinden voor gegevensverwerking die gebeurt in het kader van een relatie verwerkingsverantwoordelijke/verwerker tussen de verantwoordelijke makelaar en de verzekeraar.
Dit recht kan slechts eenmaal per jaar worden uitgeoefend, tenzij in de volgende gevallen:
- wanneer een controle tekortkomingen aan het licht heeft gebracht, mag de makelaar- verwerkingsverantwoordelijke nagaan of de nodige corrigerende maatregelen zijn getroffen en of de instructies opnieuw door de verzekeraar-verwerker worden nageleefd; hij hoeft dan geen jaar te wachten;
- wanneer de controle gebeurt op uitdrukkelijk verzoek van een bevoegde autoriteit.
8. Aansprakelijkheid
• Aansprakelijkheid beveiligingsmaatregelen makelaar
De makelaar verbindt zich ertoe om passende technische en organisatorische maatregelen te treffen om de persoonsgegevens van het cliënteel te beveiligen; in dit kader kan de verzekeraar-verwerker in geen enkel geval aansprakelijk worden gesteld voor schade die voortvloeit uit het niet-respecteren van deze maatregelen door de makelaar.
• Aansprakelijkheid beveiligingsmaatregelen verzekeraar-verwerker
De minimale technische maatregelen waarover de verzekeraar-verwerker moet waken om de vernietiging, het verlies, de vervalsing en de ongeoorloofde raadpleging of verspreiding van
persoonsgegevens te voorkomen, staan beschreven in deze instructies (zie hoger, punt 2) en in de eventuele specifieke instructies die zijn meegedeeld door de makelaar. De verzekeraar-verwerker is verantwoordelijk voor de goede uitvoering van deze instructies.
• Algemene aansprakelijkheid GDPR
De verzekeraar-verwerker is aansprakelijk voor de schade die voortvloeit uit een inbreuk op de verplichtingen die hij als verwerker heeft ingevolge art. 9 van de bemiddelingsovereenkomst en deze instructies, en vrijwaart daartoe de makelaar. De makelaar zal de verzekeraar-verwerker vrijwaren voor iedere schade die voor hem zou voortvloeien uit het niet-respecteren van zijn wettelijke verplichtingen als verwerkingsverantwoordelijke op grond van de GDPR en zijn verplichtingen uit hoofde van art. 9 van de bemiddelingsovereenkomst.
9. Verwerkingsregister
De verzekeraar-verwerker maakt een register op van de verwerkingsactiviteiten voor rekening van de makelaar. Dit register bevat:
- de naam en de contactgegevens van de verwerker en van iedere verwerkingsverantwoordelijke waarvoor de verwerker handelt;
- de categorieën van verwerkingen voor rekening van iedere verwerkingsverantwoordelijke;
- indien mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (bijv. door verwijzing naar de maatregelen die de verzekeraar genomen heeft als verantwoordelijke van de verwerking en naar de instructies).
10. Medewerking toezichthouder
De verzekeraar-verwerker is verplicht om, op eenvoudig verzoek van de makelaar- verwerkingsverantwoordelijke, alle belangrijke informatie in het kader van de uitvoering van deze instructies aan de makelaar mee te delen. Dat geldt in het bijzonder wanneer de makelaar hierover wordt ondervraagd door de controleautoriteit.