Zowel de verzekeringsondernemingen als de verzekeringstussenpersonen verwerken bij de uitoefening van hun activiteiten persoonsgegevens, waarbij zij de verwerkingsverantwoordelijke van hun eigen verwerkingen zijn. In sommige situaties komt het evenwel voor dat een tussenpersoon gegevens verwerkt ten behoeve van een verzekeraar. Omgekeerd kan het soms ook gebeuren dat een verzekeraar gegevens verwerkt ten behoeve van een makelaar.

In die gevallen is er sprake van een relatie verwerkingsverantwoordelijke-verwerker tussen beide partijen.

De Europese Algemene Verordening Gegevensbescherming (AVG, of GDPR), van kracht sinds 25 mei 2018, bepaalt dat een verwerker alleen persoonsgegevens mag verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke. Er moet dan een ad-hoc-overeenkomst tussen beiden worden gesloten.

De beroepsorganisaties van de verzekeringssector (Assuralia voor de verzekeraars, FVF, Feprabel, BVVM en BZB-Fedafin voor de tussenpersonen) zijn overeengekomen welke instructies op dergelijke vormen van verwerking van toepassing zijn. Het gaat hierbij om twee te onderscheiden situaties:

  • enerzijds de relatie tussen de verzekeraar die verwerkingsverantwoordelijke is en de makelaar die verwerker is;
  • anderzijds de relatie tussen de makelaar die verwerkingsverantwoordelijke is en de verzekeraar die verwerker is.

Deze instructies kaderen in de tenuitvoerlegging van de sectorale bemiddelingsovereenkomst voor verzekeringsmakelaars, gesloten tussen de verzekeringsondernemingen en de makelaars, en meer bepaald van artikel 9.2 in die overeenkomst. Dat artikel betreft de verwerking van persoonsgegevens en situaties waarin een beroep wordt gedaan op een verwerker. Artikel 9.2 verwijst meermaals naar de te verstrekken instructies.

Deze instructies willen bovendien de inhoud van artikel 9.2 verduidelijken met betrekking tot de nieuwe verplichtingen die de AVG met zich meebrengt (bijvoorbeeld technische en organisatorische maatregelen treffen om de veiligheid en vertrouwelijkheid van de verwerkte gegevens te verzekeren, een beleid invoeren inzake de toegang tot de gegevens, een register bijhouden van de verwerkingsactiviteiten, …).

Deze instructies maken dus integraal deel uit van de sectorale bemiddelingsovereenkomst.

De volgende zaken moeten daarentegen worden opgenomen in een specifieke overeenkomst, ondertekend door de partijen: het voorwerp en de aard van de verwerking, de doeleinden van de verwerking, de categorieën van betrokkenen, de categorieën van verwerkte persoonsgegevens en de bewaringsduur van de gegevens in het kader van de relatie ‘verwerkingsverantwoordelijke-verwerker’. Zo nodig kunnen er, in het kader van die specifieke overeenkomst, ook nog specifieke instructies worden geformuleerd. Die specifieke instructies vervangen evenwel de sectorale instructies niet. Specifieke instructies variëren van onderneming tot onderneming en kunnen bijvoorbeeld betrekking hebben op het gebruik van een tool die door de ene aan de andere partij ter beschikking wordt gesteld.

De tekst met de nieuwe instructies is hier beschikbaar.