Inzicht in persoonsgegevensverwerking van klanten en (ex-)medewerkers

By juli 2, 2018 maart 21st, 2019 NL

Hoe kan een grote organisatie als een verzekeringsmaatschappij inzichtelijk maken welke persoonsgegevens ze verwerken van hun klanten en (ex-)medewerkers?

De Autoriteit Persoonsgegevens (AP) publiceerde een lijst met verwerkingsactiviteiten waarvoor een risico-assessment (DPIA = Data Protection Impact Assessment) gehouden moet worden.

De AP vermeldt hierbij Uw verwerking moet altijd voldoen aan de AVG. Als uw voorgenomen verwerking op deze lijst staat, zult u altijd moeten nagaan of u voor deze verwerking een geldige grondslag heeft.

Tezamen met de documentatieplicht die geldt onder de AVG is een organisatie verplicht om aantoonbaar inzichtelijk te hebben wat de verwerkingsgrondslagen zijn op grond waarvan ze persoonsgegevens verwerken.

Grote organisaties verwerken op tientallen plekken binnen hun organisaties persoonsgegevens en doen dat vaak op grond van verschillende grondslagen. Hoe zijn zij in staat om dit aantoonbaar inzichtelijk te maken? Bijvoorbeeld wanneer er een onderzoek wordt gedaan door de AP of wanneer betrokkenen van hun rechten gebruik wensen te maken.

Een verzekeringsmaatschappij verwerkt persoonsgegevens van haar medewerkers, verwerkt aanvragen van potentiële klanten voor verschillende (leven en schade) producten en verwerkt allerlei persoonsgegevens ten behoeve van hun dienstverlening. Dit kan ook nog eens betrekking hebben op een en dezelfde persoon. Deze verwerkingen en de verantwoording hierover vindt plaats op verschillende plekken binnen de organisatie. Hoe is een verzekeringsmaatschappij in staat om aantoonbaar aan de AVG te voldoen?

Op de lijst met activiteiten waarvoor een DPIA is vereist volgens de AVG, staan onder andere:

  • Zwarte lijsten
  • Creditscores
  • Financiële situatie
  • Gezondheidsgegevens
  • Controle werknemers
  • Profilering

Dit zijn allemaal verwerkingsactiviteiten die door de verzekeringsmaatschappij zijn uitgevoerd en nog steeds worden uitgevoerd om te kunnen voldoen aan de hiervoor beschreven werknemer- en klantrelatie activiteiten.

Het afleggen van verantwoording over deze verwerkingsactiviteiten, dient gecentraliseerd plaats te vinden. Met OptInsight zijn organisaties in staat om verwerkingsgrondslagen op persoonsniveau, gecentraliseerd te managen.

 

OptInsight

Meer weten? Maak een afspraak voor een demo.