Je hebt een AVG-template ingevuld, je bedrijfsnaam erin gezet en hem op je website gezet. Klaar. Maar als je verzekeringsmakelaar bent, schiet die verklaring op dit moment waarschijnlijk op ten minste zes punten tekort. Niet omdat je nalatig bent, maar omdat een generieke template simpelweg niet is gemaakt voor de bijzondere situatie waarin een makelaar opereert: je verwerkt gezondheidsdata, koppelt aan frauderegisters en werkt voor meerdere verzekeraars tegelijk. Dat vraagt om een specifieke privacyverklaring voor de verzekeringsmakelaar, niet een die begint met ‘Wij verzamelen uw naam en e-mailadres.’
Waarom een generieke template een verzekeringsmakelaar direct in de problemen brengt
De Autoriteit Persoonsgegevens en het Verbond van Verzekeraars zijn allebei actief op het gebied van privacy in de verzekeringsbranche. Wanneer een toezichthouder een klacht onderzoekt, kijkt die als eerste naar drie dingen: ben je transparant over frauderegistraties, heb je de grondslag voor bijzondere persoonsgegevens benoemd en heb je de dubbele rol als verwerkingsverantwoordelijke én verwerker helder gemaakt? Een standaard template haalt geen van deze drie punten.
Het gevolg is niet alleen een formele tekortkoming. Klanten die ontdekken dat hun gezondheidsdata is doorgegeven aan een herverzekeraar in het buitenland, terwijl de privacyverklaring alleen spreekt over ‘het verbeteren van onze dienstverlening’, hebben een legitieme klacht. En die klacht raakt direct jouw reputatie.
De Gedragscode Verwerking Persoonsgegevens Verzekeraars als extra normenkader
Naast de AVG geldt voor de verzekeringsbranche de Gedragscode Verwerking Persoonsgegevens Verzekeraars, opgesteld door het Verbond van Verzekeraars. Deze gedragscode is bindend voor leden en geeft concrete invulling aan begrippen als ‘noodzakelijkheid’ en ‘proportionaliteit’ bij het verwerken van medische gegevens en risicobeoordelingen. Als makelaar werk je doorgaans samen met verzekeraars die aan deze gedragscode zijn gebonden, wat indirect ook jouw verwerkingspraktijken normeert. Je privacyverklaring moet daarmee rekening houden, ook al ben je zelf geen verzekeraar.
Stap 1: Benoem de dubbele rol
Als verzekeringsmakelaar ben je niet altijd verwerkingsverantwoordelijke. Wanneer je in opdracht van een verzekeraar gegevens beheert voor schadefraude-onderzoek, ben je verwerker. Wanneer je zelf klantdossiers bijhoudt voor adviesopdrachten, ben je verwerkingsverantwoordelijke. Beide rollen tegelijk komen voor bij dezelfde klant.
Leg dit in je privacyverklaring concreet uit. Gebruik een formulering als: ‘Voor de uitvoering van verzekeringsadvies treden wij op als verwerkingsverantwoordelijke. Voor de afwikkeling van schades handelen wij in opdracht van de betreffende verzekeraar en zijn wij verwerker.’ Zonder dit onderscheid weet een klant niet bij wie hij moet aankloppen voor een inzageverzoek.
Stap 2: Frauderegistraties en waarschuwingssystemen
Het Extern Verwijzingsregister (EVR) en het Intern Verwijzingsregister zijn systemen die de verzekeringsbranche gebruikt om fraude te signaleren en te delen. Als makelaar raadpleeg je het EVR bij acceptatiebeslissingen en kun je signalen doorgeven aan het register. Dit is een verwerking die expliciet in je privacyverklaring thuishoort, inclusief de grondslag (gerechtvaardigd belang), het doel (fraudepreventie) en de gevolgen voor de betrokkene (mogelijke weigering van een verzekering).
Een standaard template heeft hier geen ruimte voor. Voeg een aparte paragraaf toe met de naam van het register, de beheerder ervan en hoe een klant bezwaar kan maken tegen een registratie.
Stap 3: Risicobeoordeling en acceptatiebeslissingen
Bij het aanvragen van een levensverzekering of arbeidsongeschiktheidsverzekering voor een 45-jarige zelfstandige met een medische voorgeschiedenis verwerk je gegevens die direct bepalen of en tegen welke premie iemand een product krijgt aangeboden. Je moet in je privacyverklaring aangeven welke categorieën gegevens je daarvoor gebruikt (medische gegevens, beroepsomschrijving, rijksregistratiegegevens), op welke grondslag (uitvoering overeenkomst of expliciete toestemming) en hoe lang je die gegevens bewaart na afwijzing van de aanvraag.
Stap 4: Bijzondere persoonsgegevens in de verzekeringscontext
Gezondheidsdata is een bijzondere categorie persoonsgegevens en mag in principe niet worden verwerkt. De AVG kent een uitzondering voor de verzekeringsbranche: verwerking is toegestaan als die noodzakelijk is voor de beoordeling van de arbeidsgeschiktheid of voor het sluiten en uitvoeren van een verzekeringsovereenkomst, mits er passende waarborgen zijn.
Die uitzonderingsgrond moet je expliciet benoemen in je privacyverklaring. Schrijf niet alleen ‘wij verwerken mogelijk gezondheidsgegevens’. Vermeld ook de specifieke AVG-grondslag (artikel 9, lid 2, onder b of g) en de waarborg die je biedt, zoals toegangsbeperking tot medische gegevens of versleutelde opslag.
Strafrechtelijke gegevens, zoals informatie over fraude of veroordeling, vallen in een vergelijkbare categorie en verdienen een eigen zin in de verklaring.
Stap 5: Doorgifte aan herverzekeraars en buitenlandse partijen
Een grote zakelijke klant sluit een verzekering af die deels wordt herverzekereerd bij een partij in Zwitserland of de Verenigde Staten. Die doorgifte moet je vermelden, ook als jij zelf niet de partij bent die de gegevens doorstuurt. Als makelaar ben je de schakel die de klant informeert.
Noem in je privacyverklaring de categorieën ontvangers (herverzekeraars, schaderegelingsbureaus buiten de EER), de landen of regio’s waarnaar wordt doorgegeven en de garantie die daarvoor geldt, zoals een adequaatheidsbesluit of standaardcontractbepalingen. Eén heldere alinea volstaat; geen juridisch betoog nodig.
Stap 6: Profilering en geautomatiseerde besluitvorming bij premieberekening
Steeds meer premieberekeningen verlopen via algoritmes die postcode, leeftijd, voertuigtype en schadevrijloopjaren combineren. Wanneer een beslissing uitsluitend geautomatiseerd tot stand komt en rechtsgevolgen heeft voor de betrokkene, is artikel 22 van de AVG van toepassing. Dat betekent dat je in je privacyverklaring moet vermelden dat er sprake is van geautomatiseerde besluitvorming, welke logica daaraan ten grondslag ligt (beknopt) en wat de klant kan doen als hij het er niet mee eens is, namelijk om menselijke tussenkomst verzoeken.
Als de premieberekening alleen ondersteunend is en een medewerker de eindbeslissing neemt, geldt dit artikel niet. Wees daar eerlijk over in je verklaring.
Stap 7: Bewaartermijnen die afwijken van de standaard
De Wet op het financieel toezicht (Wft) verplicht verzekeraars en bemiddelaars tot het bewaren van klantdossiers gedurende zeven jaar na het einde van de relatie. Voor medische gegevens gelden soms afwijkende termijnen op basis van de WGBO, tot twintig jaar. Een standaard template gebruikt één bewaartermijn voor alles. Dat is bij een verzekeringsmakelaar niet houdbaar.
Maak een paragraaf met een overzicht per gegevenscategorie. Een tabel helpt hier echt:
| Gegevenscategorie | Bewaartermijn | Grondslag |
|---|---|---|
| Klantdossier (adviesrelatie) | 7 jaar na einde relatie | Wft artikel 4:15 |
| Medische gegevens (levensverzekering) | 20 jaar na einde overeenkomst | WGBO artikel 7:454 |
| Schadedossier | 5 jaar na afwikkeling | Verjaringstermijn BW |
| EVR-registratie | 8 jaar (maximum gedragscode) | Gedragscode Verzekeraars |
Stap 8: Klachten, inzageverzoeken en de rol van het Verbond van Verzekeraars
Een klant die vermoedt dat zijn gegevens onterecht in het EVR staan, moet weten waar hij naartoe kan. Jij bent de eerste contactpersoon, maar niet de enige. Het Verbond van Verzekeraars heeft een klachtenprocedure voor registraties. De Autoriteit Persoonsgegevens is de uiteindelijke toezichthouder.
Vermeld in je privacyverklaring jouw eigen privacycontact (naam of functie, e-mailadres), de klachtenprocedure van het Verbond voor EVR-kwesties met het webadres van het Verbond, en het recht om een klacht in te dienen bij de AP. Drie contactpunten, helder op een rij.
Praktische toetslijst: negen zinnen die in een standaard template ontbreken
Loop je huidige privacyverklaring langs deze negen punten. Ontbreekt een punt, dan moet er tekst bij.
- Een zin die de dubbele rol (verwerkingsverantwoordelijke én verwerker) uitlegt en wanneer welke rol van toepassing is.
- Een paragraaf over het EVR met vermelding van doel, grondslag en bezwaarmogelijkheid.
- Een paragraaf over het Intern Verwijzingsregister als je dat als kantoor bijhoudt.
- De AVG-uitzonderingsgrond voor verwerking van gezondheidsdata (artikel 9, lid 2) met bijbehorende waarborg.
- Een vermelding van strafrechtelijke gegevens als je fraude-informatie verwerkt.
- Een zin over doorgifte aan herverzekeraars buiten de EER met de van toepassing zijnde doorgiftegarantie.
- Een passage over geautomatiseerde besluitvorming bij premieberekening, of een vermelding dat menselijke toetsing altijd plaatsvindt.
- Een bewaartermijnoverzicht per gegevenscategorie op basis van de Wft en WGBO.
- Een verwijzing naar de klachtenprocedure van het Verbond van Verzekeraars voor EVR-registraties.
Een privacyverklaring voor een verzekeringsmakelaar is geen invuloefening, volg de juiste stappen om er één correct op te stellen. De combinatie van medische gegevens, frauderegisters, geautomatiseerde risicobeoordeling en internationale doorgifte maakt jouw situatie fundamenteel anders dan die van een webshop of een lokale dienstverlener. Een generieke AVG-template dekt die situatie niet af, hoe netjes hij ook is opgesteld. Ga stap voor stap door de acht punten hierboven en gebruik daarna de toetslijst om te controleren of alles aanwezig is. Is dat het geval, dan staat er een privacyverklaring op je site die ook onder een kritisch oog van de AP of een klant overeind blijft.
Klaar om jouw privacy policy te maken?
Gebruik onze gratis generator en heb in 3 minuten een juridisch correcte privacy policy op maat.
Start de generator - gratis