GDPR / AVG : de nieuwe consumentenvriend?

 

We hebben het nog maar enkele weken geleden gehad over PRIIPS, MIFID II en IDD (post van 16/08/2017) of we vinden bij het uitkuisen van onze keukenkast nog wat extra’s voor in onze lettersoep. De GDPR (voluit General Data Protection Regulation) is een wijziging van de Europese wetgeving over de privacy .

Big data or smal data. Alle datalekken worden geviseerd.

Tiens, “privacy“? Was dit niets 20e eeuws, waar de youngsters al lang geen waarde meer aan hechten nu ze zich volop en vaak weinig kritisch volledig overleveren aan de weldaden van Facebook, Google en andere mobiele apps, die op basis van gebruiksgemak sluipender hand dominant in hun leven aanwezig zijn en er elke beweging van registeren, analyseren en zo mogelijk ten gelde maken?  Big data, weetje wel, wordt de weg naar big money. Want als iets gratis is, dan is de gebruiker het product, laten insiders zich wel eens ontvallen.

Ja, die -achterhaalde?- privacy wordt voortaan door Europa beter beschermd. In het Nederlands heeft men GDPR tot een ander letterwoord afgekort. AVG of Algemene Verordening Gegevensbescherming. Vergis je dus niet. Voortaan is AVG niet meer automatisch een gratis antivirusprogramma op je computer.

Onze AVG is trouwens -om in de terminologie te blijven- een update van de eerdere regelgeving rond privacy. Deze was ingevoerd in 1995. Toen Mark Zuckerberg nog een korte broek droeg.

Onze wetgevers, die het goed voorhebben met hun burgers in de hoedanigheid van  consument, voelden dat ze moesten actualiseren.

Transparantie, juistheid en integriteit moet voortaan (vanaf 25/05/2018) gegarandeerd worden voor wie als organisatie gegevens van EU-burgers verzameld. Dit op straffe van een boete van 4 % op je omzet (begrensd tot 20 miljoen euro).  Als je de strafmaat ziet, dan weet je dat grote organisaties misschien nog voordeel halen door zich niet conform te gedragen. Kleinere organisaties zullen daar wellicht anders over denken, gezien dergelijke boetes hun rendabiliteit kunnen aantasten en ze ook minder lange armen hebben om te procederen.

Omdat verzekeringsmakelaars op diverse manieren gegevens van klanten (moeten) verzamelen -om correcte offertes en contracten op te maken, om te gebruiken in schadedossiers,…. – zijn ook zij onderhevig aan deze nieuwe regelgeving.

GDPR wil onder meer:

    1. transparantie: klanten moeten weten dat wij hun gegevens verwerken, krijgen bepaalde rechten toegekend (correctie/schrapping/….) én moeten ook actief toestemming geven tot opslag en verwerking. Voortaan dus opt-in in plaats van opt-out.
    2. juistheid: bedrijven moeten er voor zorgen dat de gegevens die zij hebben correct zijn én correct blijven.
    3. integriteit en vertrouwelijkheid: een bedrijf moet maatregelen nemen om de gegevens te beschermen tegen verlies of vernietiging. Maar ook tegen toegang door onbevoegden.
    4. beperking: de verzamelde gegevens mogen voor niets anders gebruikt worden dan hun welbepaald gewettigd doel. Alleen de gegevens die hiervoor noodzakelijk zijn mogen verzameld worden. Dus niet willekeurig gegevens bijhouden.
    5. verantwoordelijkheid: bedrijven moeten zich beschermen tegen datalekken, blijven ook verantwoordelijk voor gebruik gegevens door derden waar zij mee in contact staan,….
    6. opslagduur: bedrijven mogen hun gegevens niet langer dan nodig voor het beoogde doel bewaren.

Implementatie: EU laat bedrijven sterretjes zien

Bovenstaande opsomming is niet volledig, maar schets de contouren. En wie vertrouwd is met verzekerings- of beleggingsmaterie ziet ook al dadelijk enkele probleempunten.

  1. transparantie: uiteraard moet een bedrijf transparant zijn over wat het opslaat, maar transparantie werkt in 2 kanten. Hoe vaak wordt een verzekeringsmakelaar, financieel adviseur niet geconfronteerd met terughoudendheid bij de klant? Hij wil liever niet dat je weet hebt van het feit dat zijn zoon voornaamste bestuurder is van de bijkomende wagen. Hij wil liever geen openheid geven over zijn totaal vermogen. … Moeten wij elk verslag/voorstel dat wij maken door klant laten ondertekenen met melding: “u verklaart ons niets achtergehouden te hebben dat mogelijks van invloed kan zijn op de correcte beoordeling van uw verzekerings-/beleggingssituatie” ook als we voor inventarisatie hiertoe formulieren gebruiken die door verzekeraars ter beschikking gesteld werden
  2. juistheid: als we moeten garant staan voor de juistheid van de gegevens zijn we minstens afhankelijk van transparantie bij klant (zie hoger). Maar zelfs al is bij intake volledige transparantie geweest, als hij ons wijziging in zijn situatie niet mededeelt kan je moeilijk garant staan voor blijvende correctheid van de gegevens (wijziging in relatie, werk, kinderaantal, ….). Allen kunnen zij impact hebben op afgesloten waarborgen en aanleiding geven tot aanpassingen. Moeten we om die reden periodiek (jaarlijks?) zelf klant aanschrijven om te polsen naar wijzigingen?
  3. integriteit en vertrouwelijkheid: uiteraard is het bedrijfscultuur om hieraan te beantwoorden. Maar ook hier kan je de vraag naar reciprociteit stellen. Als je de bagger ziet die soms uit sociale media druipt, dan is de kans niet onbestaand dat je als verzekeringsmakelaar/financieel adviseur op een bepaald moment door een ontevreden klant op een erg brutale manier te kakken gezet wordt. Houdt de regelgeving in dat je antwoord hierop alleen kan zijn “de visie zoals verwoordt door mijn (ex-) klant strookt niet met de werkelijkheid. Helaas mag ik door regelgeving niet ingaan op wat er concreet gebeurd is, waarom er tussenkomst geweigerd werd, ….? “
  4. beperking: geen willekeurige gegevens mogen verzameld worden. Wat is willekeurig? Dat er geen systematische rubricering komt van iemands geloofsovertuiging, seksuele geaardheid,…. omdat dit tot discriminatie kan leiden is evident. Maar is het geen goed beleid om na bijv. huisbezoek bij klant voor opmaak van een brandverzekering nota te nemen van diens gezinssamenstelling, hobbys, ….. omdat dit in verdere uitbouw van klantenrelatie nuttige elementen kunnen zijn. Zo kan u proactief advies geven. Dit wil men toch niet verbieden en cross selling onmogelijk maken mag ik hopen? In materie van levensverzekering en belegging wordt door de overheid al jaren verplicht om uw klant zo goed mogelijk te kennen (Know Your Custumer), waarbij zelfs vragen over hoelang u de klant reeds kent (in kader van antiwitwaswetgeving). Het lijkt derhalve of de GDPR- verordening op dit vlak lijnrecht ingaat tegenover andere verplichtingen die een makelaar/financieel adviseur moet naleven. Lijkt een perfecte Catch 22.
  5. verantwoordelijkheid: een verzekeraar die op basis van informatie door makelaar aangeleverd een contract aanmaakt/weigert, een schade regelt/afwijst,… . Het is de normaalste zaak van de wereld. De relatie makelaar-verzekeraar is immers maar duurzaam zo de eerste niet alleen het belang van de klant laat primeren, maar in bepaalde gevallen ook het belang van de verzekeraar in overweging neemt / laat primeren. Vb. in situatie van manifeste fraude, soms op basis van vermoedelijke fraude.  Als makelaars/financieel adviseurs ook verantwoordelijk zijn voor wat derden doen met die informatie, zal deze dan op basis van huidige verordening niet door zijn (ex-)klant mee aansprakelijk gesteld voor de financiële gevolgen van opzeg, onverzekerbaarheid, terugbetaling van ten onrechte uitgekeerde vergoeding.
  6. Opslagduur: ook hier lijkt de verordening in tegenspraak met bepaalde andere wetten (bijv. bewaarplicht van boekhoudkundige stukken, zoals een vergoeding betaald ter regeling van een schade). En zelfs als ze niet in tegenspraak is met wetgeving, dan kan de opgelegde beperking de klant/consument m.i. toch tot last zijn. Van iemand die zijn auto uit het verkeer neemt omdat hij andere mobiliteitsoplossingen heeft, zouden wij de gegevens van zijn autoverzekering niet langer mogen bijhouden. Wat als deze na bijv. 3 à 5 jaar van werkgever verandert of zijn gezinssituatie verandert en hij heeft toch een auto nodig. Tot wie zal hij zich wenden als hij bewijzen van rij-ervaring/afwezigheid schadelast wenst  om een gunstige premie te bekomen? In veel gevallen weet hij al lang niet meer bij welke verzekeraar hij was (die trouwens ook zijn gegevens zal moeten vernietigen wegens ook onderhevig aan GDPR) en heeft hij zijn eigen verzekeringspapieren al naar het containerpark gebracht.

Kortom: de nieuwe wetgeving maakt het er allemaal terug wat complexer op.

De goede intenties van de verordening staan buiten kijf, maar ze lijken op een sector, die het moet hebben van vertrouwen en die raakvlakken heeft met heel veel aspecten van het leven van de burger/consument toch voor voldoende spanningsvelden te zullen zorgen. Met andere woorden: door 1 probleem te willen regelen, komt men in aanvaring met andere kwesties, die eveneens hun belang hebben.

Neemt niet weg dat wij ons naar de regelgeving zullen moeten schikken.

Rest ons nog deze suggestie aan de diverse regelgevers: Spannen jullie zich ook eens in om – na alle opgelegde regeltje die er in de voorbije jaren bijkwamen jaren- schizofrenie als beroepsziekte voor verzekeringsmakelaars te laten erkennen?

P.S.: nieuwe regelgeving is ook telkens bron van economisch gewin. Zo zijn er de opleidingsverstrekkers, gespecialiseerde vakliteratuur, … Allen prijzen ze hun (te betalen) diensten aan. Over de impact van GDPR verscheen ook een lijvig boekwerk bij Wolters-Kluwer.  Vreemd is wel dat wie de inhoudstafel ervan bekijkt vaststelt dat de items die behandeld worden van pagina 177 tot 315 alleen in het Frans ter beschikking zijn. De implementatie én de impact van een verordening in de eigen landstaal ten gronde begrijpen is al geen sinecure. Je mag toch aannemen dat een bedrijf dat voor het volledig grondgebied van België werkt, ook rekening houdt met de bovenste + 50 % van het landsgedeelte. Een mailtje naar de uitgever met vraag of hier ook Nederlandse vertaling bestond, werd vandaag prompt opgevolgd door een telefoontje met melding dat het bijdragen waren van diverse auteurs en dat die niet in de andere landstaal ter beschikking zijn. Et pour les flamands la même chose. Wat mij betreft een gemiste kans.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *