Verzekeraar en Adviseur beide ‘Verwerkingsverantwoordelijke’ voor AVG

Al enige tijd hangt de vraag boven de markt of onder de nieuwe AVG de verzekeraar of de adviseur de Verwerkingsverantwoordelijke is. Of dat er misschien een wederzijdse verwerkersovereenkomst moet komen. We hebben het initiatief genomen om de vraag samen met het Verbond van Verzekeraars voor de hele markt eensluidend te beantwoorden. In een vandaag verschenen statement stellen we vast dat verzekeraar en adviseur/bemiddelaar allebei zelfstandig als ‘verwerkingsverantwoordelijke’ zijn aan te merken op grond van de Algemene Verordening Gegevensbescherming. Een verwerkersovereenkomst is dan ook niet nodig. 

Zowel de verzekeraar als de adviseur/bemiddelaar hebben eigen dienstverlening, waarvoor ieder voor de eigen situatie zelf bepaalt wat het doel en de middelen zijn van de gegevensverwerking. Er is geen sprake van dat de ene partij in opdracht van de andere partij persoonsgegevens verwerkt. Daarmee is duidelijk dat er geen noodzaak bestaat om zgn. verwerkersovereenkomsten tussen de partijen te sluiten. Dit is de lijn die al langer door Verbond en Adfiz wordt uitgedragen. Het komt nu echter opnieuw in de belangstelling, omdat de Avg op 25 mei van kracht wordt.  

Het Verbond informeert haar leden over dit statement in een circulaire die we samen hebben opgesteld. Dit biedt voor alle partijen de noodzakelijke duidelijkheid en beantwoordt de vragen die wij hierover uit de markt ontvingen.  

Partijen wisselen in het kader van een zorgvuldige dienstverlening persoonsgegevens uit. Ook al kwalificeren beide partijen zelfstandig als verwerkingsverantwoordelijke, dat neemt niet weg dat het het van belang kan zijn elkaar te informeren over zaken als bijvoorbeeld datalekken.  

De tekst van de circulaire tref je hier aan.