Gegevensbescherming bij verzekeringen: balans na zes jaar toepassing van de AVG (GDPR)
Een nieuw dossier van het Tijdschrift voor verzekeringen
De Europese Algemene Verordening Gegevensbescherming (AVG of in het Engels GDPR) is van toepassing sinds 25 mei 2018, net iets langer dan zes jaar dus. Zij verving de voormalige Europese richtlijn van 1995 alsook de Belgische wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer, die niet langer aangepast waren aan de actuele digitale realiteit: onlineverkoop, sociale media, profileringstechnieken, geconnecteerde voorwerpen, cookies, big data, ...
Het nieuwe themadossier van het Tijdschrift voor verzekeringen gaat dieper in op een aantal kwesties die in 2024 brandend actueel blijven.
Op basis van welke rechtsgronden kunnen verzekeraars bijvoorbeeld de gegevensverwerkingen rechtvaardigen die zij in het kader van hun activiteiten uitvoeren? Kunnen zij hun gerechtvaardigd belang laten gelden wanneer de verzekeringsovereenkomst of de wet geen toereikende basis vormt? Onder welke voorwaarden?
En wat met gezondheidsgegevens? Men moet vaststellen dat verzekeraars genoodzaakt blijven zich te baseren op de uitdrukkelijke toestemming van de betrokkenen, met alle ongemakken van dien. Zij beschikken nog steeds niet over een stevige rechtsbasis die hen in staat stelt dergelijke gegevens in alle veiligheid te verwerken, en dat ondanks herhaalde oproepen – zelfs recent nog – door de Gegevensbeschermingsautoriteit aan het adres van de wetgever.
Een andere kwestie betreft de vaststelling van de hoedanigheid van de partijen die bij een verwerking betrokken zijn: heeft men te maken met een verwerkingsverantwoordelijke, een gezamenlijke verwerkingsverantwoordelijke of een verwerker? Welke gevolgen heeft dit voor hun verantwoordelijkheid?
Daarnaast is er, na de befaamde Schrems-arresten van het Hof van Justitie, aandacht voor gegevensdoorgiften naar landen buiten de Europese Unie. Vormt het recente Data Privacy Framework een degelijke en duurzame grond voor doorgiften naar de Verenigde Staten?
Een ander gevoelig onderwerp zijn de gegevensverwerkingen die verband houden met het voorkomen en bestraffen van verzekeringsfraude, met name in het licht van de gloednieuwe wet op de private opsporing.
Ook de rol van de Data Protection Officer (DPO) komt aan bod. Als een ware orkestleider wat de conformiteit op het vlak van gegevensbescherming in zijn onderneming betreft, oefent de DPO een echte controlefunctie uit.
Ter afsluiting, al blijft de AVG een belangrijke grondtekst inzake gegevensbescherming, deze verordening is vandaag niet meer de enige referentie met betrekking tot de bescherming van burgers en hun gegevens in de digitale wereld. Het digitaal recht werd de voorbije jaren immers gekenmerkt door de aanneming van alsmaar meer teksten die een omkadering moeten bieden voor thematieken die zo divers zijn als artificiële intelligentie, cyberbeveiliging en gegevensdeling. In tal van situaties zijn deze teksten simultaan met de AVG van toepassing, wat in sommige gevallen problemen oplevert.
Enkele van deze teksten – de Digital Services Act (DSA), de Digital Operational Resilience Act (DORA), de Data Act (DA) en de AI Act (AIA) – worden nader onderzocht, evenals hun samenhang met de AVG, met name op het vlak van verzekeringen.
Abonnees van het Tijdschrift voor verzekeringen ontvangen het nieuwe themadossier automatisch. Wie niet geabonneerd is, kan het dossier bestellen via de website van uitgeverij Wolters Kluwer.