Bent u ook benieuwd naar de nieuwe Europese wet- en regelgeving op het gebied van persoonsbescherming, die naar verwachting in 2015/2016 van kracht gaat? En welke gevolgen deze veranderende Privacywetgeving heeft?
Udo Oelen, Hoofd Toezicht Private sector College Bescherming Persoonsgegevens, vroegen we naar de visie van het College Bescherming Persoonsgegevens op privacy management binnen de verzekeringssector en met welke (toekomstige) wijzigingen omtrent wet- en regelgeving de verzekeringssector rekening moet houden.
Ontwikkelingen
Gegevensbescherming en het belang hiervan krijgt de afgelopen jaren steeds meer aandacht. Niet in de laatste plaats door de onthullingen van Snowden. Maar ook initiatieven van bedrijven om gegevens van burgers te gebruiken voor andere doelen dan waarvoor ze in eerste instantie waren gegeven, wekt weerstand op. De roep om goede privacybescherming is daarmee groter geworden.
De financiële wereld heeft in de afgelopen jaren een deuk in het imago opgelopen. Dat kwam in de eerste plaats natuurlijk door de bankencrisis. Maar het had ook uitstralende werking op andere terreinen, waaronder op privacy.
Bedrijven in de financiële sector liggen op dit moment onder een vergrootglas. En dat betekent dat bij het ontwikkelen van nieuwe diensten goed moet worden nagedacht over wat dit betekent in termen van compliance. En dan bedoel ik niet alleen in de strikte zin van het woord, dus voldoen aan wet—en regelgeving. Er zit ook een ethische kant aan: moet je dit als aanbieder van deze dienst wel ‘willen’?
Privacymanagement
Goed privacymanagement is meer dan een afvinklijstje voor de compliance officer op het moment dat productontwikkeling met een min of meer afgerond voorstel voor een nieuwe dienst komt. Het houdt in dat je gebruik maakt van privacy impact assessment-methoden (PIA’s) en dat je zogeheten privacy enhancing technologies inzet. Deze instrumenten zijn nog niet wettelijk verplicht., Maar deze tools dragen er, mits op een goede wijze toegepast, wel toe bij dat compliance wordt bevorderd. Het CBP is dan ook groot voorstander van het gebruik van dit soort methoden. Van meet af aan moet rekening worden gehouden met privacywaarborgen+ de privacybeginselen moeten meedraaien in de business case.
Wet- en regelgeving
De Nederlandse regering heeft wetgeving in de maak waarbij twee belangrijke veranderingen gaan plaats vinden. Allereerst krijgt het CBP met inwerkingtreding van die wet boetebevoegdheid. Momenteel kan de toezichthouder een last onder dwangsom opleggen, met de boetebevoegdheid kan direct de ‘rode kaart’ worden getrokken. Een tweede wijziging is de introductie van de brede meldplicht datalekken: lekken van persoonsgegevens zullen onverwijld aan de toezichthouder gemeld moeten worden.
Een internationale ontwikkeling is de totstandkoming van een nieuwe Europese Verordening: het huidige juridische raamwerk zal in zijn geheel worden vervangen door een nieuwe Verordening. Deze Verordening bevestigt de huidige privacybeginselen en versterkt en verbetert die op onderdelen. Ook bevat de Verordening een groot aantal bepalingen die te maken hebben met ‘accountability’: de organisatie die persoonsgegevens verwerkt moet kunnen aantonen dat dit volgens de wet gebeurt. Dat kan onder meer door het gebruik van PIA’s.
Innovaties
Een belangrijke ontwikkeling die een hoge vlucht neemt en die ook de verzekeringssector ongetwijfeld met belangstelling volgt is dat van gebruik van ‘big data’: de enorme hoeveelheden data die worden verzameld en waarmee met behulp van algoritmes allerlei nieuwe (vermeende) verbanden uit kunnen worden gedestilleerd ten behoeve van bijvoorbeeld (risico) profiling, productontwikkeling, marketing et cetera. Het is van belang om bij het gebruik van big data de belangrijke principes uit de Wet bescherming persoonsgegevens voor ogen te houden. Denk daarbij aan het beginsel van doelbinding (verzamel en gebruik gegevens alleen voor een specifiek doel), het beginsel van dataminimalisatie (niet meer gegevens verzamelen dan noodzakelijk voor het doel) en tot slot transparantie over wat je precies doet met de gegevens die je verzamelt. Deze principes gelden onverkort en stellen daarmee grenzen aan het gebruik.
Een tweede ontwikkeling die voor verzekeringsmaatschappijen relevant is, is de ontwikkeling van de internet of things: door de inzet van onder meer allerlei sensoren kunnen grote hoeveelheden gegevens worden verzameld die voor verzekeraars voor productontwikkeling en preventie zeer interessant kunnen zijn. Maar ook daarvoor geldt: de principes uit de Wet bescherming persoonsgegevens blijven gelden.
Risk Forum voor Verzekeraars – 11 december 2014 – Amersfoort
Op 11 december biedt Het Risk Forum voor Verzekeraars een platform om gelijkgestemden uit de branche te ontmoeten en elkaar te inspireren, kennis te delen en nieuwe contacten te leggen. Experts als Richard van Weurding (Verbond voor Verzekeraars), Udo Oelen (College Bescherming Persoonsgegevens) en Jack Hommel (Avéro Achmea). Kijk voor het gehele programma en sprekers op de website van het Risk Forum voor Verzekeraars