Geen Verwerkersovereenkomst verzekeraar – intermediair

0

Verzekeraars en intermediair hoeven met betrekking tot de Avg geen Verwerkersovereenkomsten met elkaar af te sluiten. Volgens het Verbond van Verzekeraars en Adfiz zijn zowel verzekeraar als intermediair zelfstandig aan te merken als ‘verantwoordelijke’ op grond van de privacy-regelgeving.

Het Verbond en Adfiz merken een toenemende belangstelling op voor dit onderwerp nu de datum waarop de Algemene Verordening Gegevensverwerking (Avg) van kracht wordt – 25 mei – steeds dichterbij komt. Het Verbond en Adfiz hebben nu een gezamenlijk statement naar buiten gebracht waarin de Verwerkersovereenkomst centraal staat.

Geen noodzaak

Statement: “Er is in de markt behoefte aan duidelijkheid over een fundamenteel vraagstuk: namelijk op grond van welke hoedanigheid (verwerkingsverantwoordelijke of verwerker) een Aanbieder respectievelijk een adviseur/bemiddelaar kwalificeert op grond van de Avg. Dit vraagstuk brengt inherent de vraag met zich mee: verdient de relatie tussen verzekeraar en intermediair een verwerkersovereenkomst, zoals bedoeld in Avg 28:3?

Het Verbond van Verzekeraars en Adfiz stellen vast dat Verzekeraars en Adviseurs/Bemiddelaars in principe allen zelfstandig als verwerkingsverantwoordelijke moeten worden beschouwd: ieder van deze partijen bepaalt zelf het doel en middelen van de gegevensverwerking en is zelfstandig verantwoordelijk voor het eigen privacy beleid. Daarmee is er dan ook geen noodzaak voor verwerkersovereenkomsten tussen deze partijen. Alleen als de adviseur/bemiddelaar in opdracht van de verzekeraar zou werken, zou overwogen kunnen worden of het Intermediair verwerker is.”

Uitleg bij statement

Volgens het Verbond is voor het onderscheid verwerkingsverantwoordelijke of verwerker bepalend dat een verwerkingsverantwoordelijke degene is die het doel en de middelen voor de gegevensverwerking vaststelt. Een verwerker heeft volgens het Verbond géén zeggenschap over het doel en de middelen en handelt uitsluitend in opdracht van de verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens, waarbij de verwerking de primaire opdracht is.

Hieruit volgt de conclusie dat “de verwerking van persoonsgegevens zowel voor een aanbieder als ook voor een adviseur/bemiddelaar niet is te beschouwen als een primaire opdracht, maar is boven alles een uitvloeisel van een andere vorm van dienstverlening die als kernactiviteit binnen het bedrijf wordt uitgevoerd. Ook kan niet gesteld worden dat de ene partij ten behoeve van de andere partij de gegevens verwerkt c.q. dat er sprake is van een vorm van inschakeling voor de eigen gegevensverwerking. Nu dit niet het geval is, moet geconstateerd worden dat het sluiten van een Verwerkersovereenkomst niet aan de orde is.”

Elke werkdag het belangrijkste financiële nieuws in uw mailbox? Meld u gratis aan voor InFinance Daily.

Deel dit artikel

Over de auteur

Redactie InFinance

De redactie is verantwoordelijk voor de dagelijkse nieuwsupdates op de website InFinance.nl en nieuwsbrief InFinance Daily.