De verplichtingen die rusten op de verzekeraar als verwerkingsverantwoordelijke

4.4.1 Het aanstellen van een Data Protection Officer

Slechts in drie wettelijk omschreven gevallen moet er een DPO worden aangesteld.264 _{Een eerste geval} is wanneer de kerntaak van de verwerkingsverantwoordelijke of de verwerker veronderstelt dat er op grote schaal gezondheidsgegevens en andere gevoelige gegevens zullen worden verwerkt. Verzekeraars zullen bijvoorbeeld in het kader van een ziekte- levens- en hospitalisatieverzekering een DPO moeten aanstellen. Opdat er geen verwarring zou kunnen ontstaan over hoe een “grootschalige verwerking” moet worden geïnterpreteerd kan rekening gehouden worden met: het aantal

264 _{F. GOYENS, “Aanstelling van een functionaris voor gegevensbescherming (DPO)” in T. BALTHAZAR, P.}

RAEYMAEKERS, P. BERGHMANS, A. BRACKE, N. BROECKX, E. DELBEKE, J-P. DZIERGWA, F. GOYENS, C. MATHIEU, L. NELEN, M. ROSSEAU, J. SERGEANT, R. SWENNEN, J. VAN LANGENAEKER en A. VIJVERMAN (eds.) ,

Gegevensbescherming in de zorg - een praktische gids bij de GDPR, Brugge, die Keure / la Charte, 2018, (44) 44- 46. ; INSTITUUT FINANCIEEL RECHT (ed.), Financiële regulering: een dwarsdoorsnede, Mortsel , Intersentia, 2019, (449) 484.; T. BALTHAZAR, “De krachtlijnen van de GDPR en de belangrijkste innovaties voor de zorg” in T. BALTHAZAR, P. RAEYMAEKERS, P. BERGHMANS, A. BRACKE, N. BROECKX, E. DELBEKE, J-P. DZIERGWA, F. GOYENS, C. MATHIEU, L. NELEN, M. ROSSEAU, J. SERGEANT, R. SWENNEN, J. VAN LANGENAEKER en A. VIJVERMAN (eds.) , Gegevensbescherming in de zorg - een praktische gids bij de GDPR, Brugge, die Keure / la Charte, 2018, (1) 20.

83 betrokkenen, de omvang van de verwerking qua datavolume en/of qua verscheidenheid van persoonsgegevens, het aantal personen die de persoonsgegevens verwerken, het langdurig of permanent karakter van de verwerkingsactiviteit en de geografische uitgestrektheid van de verwerkingsactiviteit.265 _{Een tweede geval waarin de verplichting geldt is wanneer de} verwerkingsverantwoordelijke of de verwerker als kerntaak gegevensverwerkingen uitvoert die een grootschalige, regelmatige en stelselmatige observatie van personen vereisen. Tot slot is de aanstelling van een DPO verplicht in de publieke sector voor elke overheidsinstantie en elk overheidsorgaan. De Working Party 29 heeft daarbij aanbevolen dat private organisaties die een taak van algemeen belang uitoefenen ook een DPO moeten aanstellen bij wijze van best practice.266

Een DPO werkt onafhankelijk en heeft een gevarieerd takenpakket. Deze zal de verwerkingsverantwoordelijke of de verwerker moeten informeren over zijn verplichtingen onder de GDPR en de overige privacyregels, toezien op de naleving van de GDPR, toezien op de naleving van het eigen privacybeleid, optreden als contactpersoon ten aanzien van de toezichthoudende autoriteit maar ook bijvoorbeeld optreden als contactpersoon van een verzekerde in alle aangelegenheden die verband houden met de verwerking van zijn/haar persoonsgegevens. 267

4.4.2 Het uitvoeren van een Data Protection Assessment

Er zal een Data Protection Assessment moeten worden uitgevoerd telkens wanneer het waarschijnlijk is dat een bepaalde verwerkingsactiviteit verhoogde risico’s met zich meebrengt voor wat betreft de grondrechten en de fundamentele vrijheden van de betrokkene. Bij de beslissing of deze effectenbeoordeling al dan niet noodzakelijk is wordt rekening gehouden met de aard, de omvang en de doelstelling van de verwerking.268

265 _{F. GOYENS, “Aanstelling van een functionaris voor gegevensbescherming (DPO)” in T. BALTHAZAR, P.}

RAEYMAEKERS, P. BERGHMANS, A. BRACKE, N. BROECKX, E. DELBEKE, J-P. DZIERGWA, F. GOYENS, C. MATHIEU, L. NELEN, M. ROSSEAU, J. SERGEANT, R. SWENNEN, J. VAN LANGENAEKER en A. VIJVERMAN (eds.) ,

Gegevensbescherming in de zorg - een praktische gids bij de GDPR, Brugge, die Keure / la Charte, 2018, (44) 45.

266 _{F. GOYENS, “Aanstelling van een functionaris voor gegevensbescherming (DPO)” in T. BALTHAZAR, P.}

RAEYMAEKERS, P. BERGHMANS, A. BRACKE, N. BROECKX, E. DELBEKE, J-P. DZIERGWA, F. GOYENS, C. MATHIEU, L. NELEN, M. ROSSEAU, J. SERGEANT, R. SWENNEN, J. VAN LANGENAEKER en A. VIJVERMAN (eds.) ,

Gegevensbescherming in de zorg - een praktische gids bij de GDPR, Brugge, die Keure / la Charte, 2018, (44) 46.

267 _{Mondeling interview met Katrien Carion, Data Protection Officer bij Curalia.}

268 _{Overweging 89 en 90 GDPR; F. GOYENS, “Uitvoeren van gegevensbeschermingseffectbeoordelingen” in T.}

BALTHAZAR, P. RAEYMAEKERS, P. BERGHMANS, A. BRACKE, N. BROECKX, E. DELBEKE, J-P. DZIERGWA, F. GOYENS, C. MATHIEU, L. NELEN, M. ROSSEAU, J. SERGEANT, R. SWENNEN, J. VAN LANGENAEKER en A. VIJVERMAN (eds.) , Gegevensbescherming in de zorg - een praktische gids bij de GDPR, Brugge, die Keure / la

84 In een aantal gevallen is het uitdrukkelijk verplicht gesteld om een DPIA uit te voeren namelijk bij een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op een geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen, en ook bij een grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in art. 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in art. 10 en stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

In de praktijk omvat een DPIA een omschrijving van de risico’s die aanwezig zijn bij de verwerking, de oorsprong van de risico’s en de ernst en het specifieke karakter van de risico’s evenals de maatregelen die worden overwogen om de risico’s te beheren.269

4.4.3. Het opstellen van een register van verwerkingsactiviteiten

Een verzekeringsonderneming is verplicht om een register van verwerkingsactiviteiten aan te leggen en het te actualiseren. Het komt eigenlijk neer op een soort dynamische inventaris en analytische beschrijving van het verwerkingsproces.270 _{Daaruit moet blijken welke gegevens verwerkt worden, hoe} ze werden verkregen, wie ze mag inzien en hoe ze worden bewaard.271

4.4.4. Afsluiten van een overeenkomst met de verwerkers

Artikel 28 GDPR luidt als volgt: “Wanneer een verwerking namens een verwerkingsverantwoordelijke

wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. De verwerker neemt geen andere

Charte, 2018, (65). INSTITUUT FINANCIEEL RECHT (ed.), Financiële regulering: een dwarsdoorsnede, Mortsel , Intersentia, 2019, (449) 486.

269 _{F. GOYENS, “Uitvoeren van gegevensbeschermingseffectbeoordelingen” in T. BALTHAZAR, P. RAEYMAEKERS,}

P. BERGHMANS, A. BRACKE, N. BROECKX, E. DELBEKE, J-P. DZIERGWA, F. GOYENS, C. MATHIEU, L. NELEN, M. ROSSEAU, J. SERGEANT, R. SWENNEN, J. VAN LANGENAEKER en A. VIJVERMAN (eds.) , Gegevensbescherming in de zorg - een praktische gids bij de GDPR, Brugge, die Keure / la Charte, 2018, (65) 78.

270 _{I. DE POORTER, “De “GDPR” of Algemene Verordening Gegevensbescherming”, in P. BERGER, C. BIQUET-}

MATHIEU, D. BLOMMART, F. BOGAERT, J. BOGAERTS, E. CALLENS, I. DE POORTER, V. DE SCHRYVER, C. FABRI, M. FYON, D. GOENS, L. LEGEIN, S. LIEBAERT, I. PEETERS, M. RAES, F. RAVELINGIEN, J. RICHELLE, L. SAVONET, R. STEENNOT, W. VAN DE WIELE, J. VANDENDRIESSCHE en J. VANNEROM, (eds.), Financiële regulering: een dwarsdoorsnede, Mortsel, Intersentia, 2019, (449) 488-489.

85

verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.” Het komt er op neer dat telkens wanneer een beroep

wordt gedaan op een externe verwerker deze zorgvuldig moet zijn gekozen door de verwerkingsverantwoordelijke. Daarnaast moet er verplicht een bijzondere overeenkomst met hem/haar worden afgesloten.272