Skip to main content

Hoe kan een grote organisatie als een verzekeringsmaatschappij voor mij inzichtelijk maken welke persoonsgegevens ze van mij verwerken? De Autoriteit Persoonsgegevens (AP), de toezichthouder op de privacy-wet AVG, publiceerde een lijst met verwerkingsactiviteiten waarvoor een risico-assessment (DPIA = Data Protection Impact Assessment) gehouden moet worden.

De AP vermeldt hierbij Uw verwerking moet altijd voldoen aan de AVG. Als uw voorgenomen verwerking op deze lijst staat, zult u altijd moeten nagaan of u voor deze verwerking een geldige grondslag heeft.

Als privépersoon vraag ik mij af of grote organisaties hiertoe in staat zijn. Ik heb in het verleden bijvoorbeeld bij een grote verzekeraar in loondienst gewerkt, ik heb meerdere aanvragen voor verzekeringen bij hen gedaan, ik heb een deel van mijn hypotheek bij hen ondergebracht en ik heb een deel van mijn pensioen bij deze maatschappij lopen.

Op de lijst met activiteiten waarvoor een DPIA is vereist volgens de AVG, staan onder andere:

  • Zwarte lijsten
  • Creditscores
  • Financiële situatie
  • Gezondheidsgegevens
  • Controle werknemers
  • Profilering

Dit zijn allemaal verwerkingsactiviteiten die door de verzekeringsmaatschappij zijn uitgevoerd en nog steeds worden uitgevoerd om te kunnen voldoen aan de hiervoor beschreven werknemer- en klantrelatie activiteiten.

Mag ik verwachten dat de genoemde verzekeringsmaatschappij mijn persoonsgegevens dusdanig goed beschermd heeft en dat ze daadwerkelijk voor al deze activiteiten een DPIA heeft uitgevoerd?

Hoe denken jullie hierover? 

Leave a Reply