Company Statement | Algemene verordening gegevensbescherming

 

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Vanaf die datum geldt dezelfde privacywetgeving in de hele EU. In Nederland vervangt de AVG de Wet bescherming persoonsgegevens (Wbp). De implementatie van de AVG in onze organisatie is vrijwel afgerond. Daarom vinden wij het belangrijk u te informeren over wat de invoering van de nieuwe privacywetgeving voor u en de omgang met (uw) persoonlijke gegevens betekent.

Wat verandert er?
De AVG schrijft voor hoe bedrijven moeten omgaan met persoonlijke gegevens, bijvoorbeeld van onze klanten en van onze medewerkers. Door deze nieuwe privacywetgeving krijgen betrokkenen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid. Dit betekent dat de organisatie die persoonsgegevens registreert meer verplichtingen krijgt. En zij moeten aantonen dat zij zich aan de wet houden.

Aanpak Vanbreda Risk & Benefits
Vanzelfsprekend vinden wij de privacy van onze klanten erg belangrijk. Hier stemmen wij doorlopend onze processen en procedures op af. Op deze manier zorgen wij ervoor dat wij voldoen aan de geldende wetgeving en is de privacy van uw gegevens gegarandeerd. Onderstaand vindt u een overzicht aan van de acties die wij reeds hebben ondernomen en wat u de komende periode nog van ons mag verwachten. 

Verwerkingsregister
Wij verwerken diverse persoonsgegevens van onze klanten. Daarom stellen wij een verwerkingsregister op. In dit register staat onder meer vermeld:

  • Welke persoonsgegevens wij verwerken;
  • Met welk doel wij deze persoonsgegevens verwerken;
  • Of er bijzondere- of strafrechtelijke persoonsgegevens worden verwerkt;
  • Aan wie wij deze persoonsgegevens verstrekken (bijvoorbeeld aan verzekeraars);
  • Hoe lang wij deze persoonsgegevens bewaren.

Rechtmatigheid voor verwerking
Wij mogen uw persoonsgegevens alleen verwerken als hier een grond voor is. In veel gevallen bestaat deze grond uit het uitvoeren van een overeenkomst, zoals het geval is als wij werkzaamheden voor onze klanten uitvoeren. Daarnaast kunnen wij gegevens verwerken om te voldoen aan een wettelijke plicht, bijvoorbeeld fiscale wetgeving, de Wet financieel toezicht of de Pensioenwet.

Privacy statement
Persoonsgegevens moeten worden verwerkt op een rechtmatige, behoorlijke en transparante wijze. Daarom hebben wij een privacy statement opgesteld. In dit statement leest u onder meer welke persoonsgegevens wij verwerken, met welk doel wij deze gegevens verwerken, op welke rechtsgronden wij ons beroepen en hoe lang wij deze gegevens bewaren. Ook staan hierin de contactgegevens van onze compliance officer en wat u kunt doen als u het niet eens bent met de wijze waarop wij uw persoonsgegevens verwerken. De meest actuele versie van dit statement hier.

Rechten van betrokkenen
Onder de AVG krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Denk bijvoorbeeld aan het recht op inzage of het recht op dataportabiliteit. Wij beschikken over procedures en instructies zodat wij, bij een beroep op één van deze rechten, binnen de daarvoor gestelde termijnen kunnen reageren op uw verzoek.

Beveiligingsmaatregelen systemen
Het applicatie- en dataplatform van Vanbreda Risk & Benefits is ondergebracht bij een externe SaaS-leverancier. Met deze leverancier hebben wij adequate Service Levels afgesproken op het gebied van gegevensbeveiliging. Op dit punt is onze SaaS-leverancier ook gecertificeerd.

Om toegang te krijgen tot onze applicaties en data zijn er speciale procedures opgesteld. Hierbij kunt u denken aan het aanmelden via een VPN-tunnel en een adequaat toegangsbeveiligingsbeleid. Alle applicaties en data zijn slechts bereikbaar via deze procedures. Daarmee wordt voorts directe toegang tot de databases beperkt. De rechten tot gebruik van de individuele applicaties en data via vaste procedures aan medewerkers toegekend op basis van hun functie. Alle aanvragen en mutaties worden gelogd en nagezien.

Uiteraard is onze complete omgeving afgeschermd middels virus- en spamtools.

Werkwijze e-mail (bijzondere) persoonsgegevens en datalekken
De beveiliging van uw persoonsgegevens heeft bij ons de hoogste prioriteit. Daarom zorgen ervoor dat e-mails met verzamelingen van (bijzondere) persoonsgegevens beveiligd worden verstuurd. Ook worden documenten waarin deze gegevens staan beveiligd met een wachtwoord. Op deze manier voorkomen wij dat de gegevens door iemand gelezen worden die hier geen inzage in mag hebben.

Mochten ondanks deze zorgvuldige werkwijze (bijvoorbeeld door een vergissing) toch persoonsgegevens bij iemand terecht komen die hier geen inzage in mag hebben dan beschikken wij over een interne procedure datalekken zodat wij hier adequaat op kunnen reageren. Deze procedure is bij al onze medewerkers bekend. Uiteraard registeren wij in dat geval een dergelijk datalekken en melden dit, indien nodig, bij de Autoriteit Persoonsgegevens.

Verwerkersovereenkomsten
Met onze verwerkers sluiten wij verwerkersovereenkomsten. Een verwerker is een partij die ten behoeve van ons persoonsgegevens verwerkt. Dit zijn bijvoorbeeld de leveranciers van de systemen waar wij mee werken. In deze verwerkersovereenkomst leggen wij onze afspraken over en weer vast. Zo weten wij zeker dat de privacy van uw persoonsgegevens is gewaarborgd.

Met onze klanten sluiten wij in beginsel geen verwerkersovereenkomst. Dit is ook niet nodig. Wij zijn namelijk in verreweg de meeste gevallen geen verwerker. In dit bestand vindt u hier meer informatie over.

Ook met verzekeraars sluiten wij geen verwerkersovereenkomst. Verzekeraars zijn namelijk, net als wij, ‘verwerkingsverantwoordelijke’ in de zin van de AVG. Twee verwerkingsverantwoordelijken hoeven geen verwerkersovereenkomst te sluiten.

Verzoeken
Wij begrijpen dat de AVG iedereen bezig houdt. En dat u graag wilt weten of wij AVG compliant zijn. U mag er vanuit gaan dat wij op 25 mei voldoen aan de eisen die ons worden gesteld. Het is in de meeste gevallen niet nodig om een verwerkersovereenkomst te sluiten, omdat wij voor onze klanten geen verwerker zijn, maar verwerkingsverantwoordelijke. Aan klanten die ons een verwerkersovereenkomst toesturen zullen wij daarom geen ondertekend exemplaar kunnen retourneren.. Dergelijke contracten zijn immers op onze relatie niet van toepassing en dus ook niet verplicht.

Vragen?
Heeft u na het lezen van dit bericht toch nog vragen aan ons, dan kunt u contact opnemen met onze Compliance Officer
Marieke Bleijenberg. Zij helpt u graag.