U wilt als makelaar in zee gaan met een insurtech? Dan dient uw samenwerking daarmee juridisch waterdicht te zijn. Welke overeenkomsten moet u daarvoor afsluiten, zodat u volledig gedekt bent? We vroegen het aan Leen Van Goethem, advocate bij PwC Legal, tijdens onze tweede VDA Digitalk.

Hoe pakt u samenwerken met insurtechs juridisch aan?

“Met de opkomst van de insurtechs ontstaat er een tripartite, waarbij de makelaar, het insurtechbedrijf en de verzekeraar samenwerken”, steekt Leen Van Goethem van wal. Om de verantwoordelijkheden tussen die partijen te verdelen, moeten ze de nodige overeenkomsten afsluiten. “Het insurtechbedrijf doet dat in de eerste plaats met de verzekeraar, maar de makelaar moet ook zelf een overeenkomst met de insurtech afsluiten.” Wat regelt u daar dan in?

Aansprakelijkheid zwart op wit verdelen

“Als u als makelaar een beroep doet op een insurtech, zal die u informeren over hoe zijn technologie werkt, maar verder hebt u daar niet veel controle over. Iemand anders verwerkt de gegevens van uw klanten, op uw vraag. Daarom is het belangrijk dat de overeenkomst duidelijk stelt hoe u zal samenwerken: wie zal wat doen én wie is waarvoor aansprakelijk?”

Belangrijk daarbij is dat de makelaar beperkt aansprakelijk is. “Hij blijft verantwoordelijk tegenover zijn klanten, om een goede dienstverlener te kiezen voor de verwerking van hun gegevens. Maar de insurtech is er verantwoordelijk voor dat de dienstverlening juist werkt en dat de communicatie met de verzekeringsmaatschappij correct verloopt.”

Correcte verwerking van persoonsgegevens regelen

Insurtechs verwerken vaak klantengegevens, in naam en voor rekening van de makelaar. Identiteitsgegevens, informatie over welke verzekeringen een klant heeft, alle details uit die polissen … De makelaar moet dan ook een expliciete instructie geven aan de insurtech, over hoe die de klantengegevens moet verwerken. Dat kan in dezelfde overeenkomst die de samenwerking regelt, of in een aparte verwerkingsovereenkomst.

Wat moet er dan precies in de overeenkomst staan? “Dat somt artikel 28 van de Europese Algemene verordening persoonsgegevens (AVG), beter bekend als de GDPR, zeer gedetailleerd op. De insurtech moet bijvoorbeeld voldoende technische en organisatorische maatregelen treffen, om de gegevens veilig te houden. Tegelijkertijd mag de insurtech klantengegevens niet zonder toestemming voor andere doeleinden gebruiken, zoals direct marketing, of zomaar aan derden doorgeven.”

Wat als de ene insurtech data moet kunnen doorgeven aan een andere insurtech? “Dan moet de makelaar in zijn contract met de oorspronkelijke insurtech vastleggen of dit wel of niet mogelijk is. Tegelijk moet de overeenkomst vermelden dat de eerste insurtech verantwoordelijk blijft voor alles wat de andere insurtechs doen én dat die laatste onder dezelfde voorwaarden moeten werken, bijvoorbeeld qua databeveiliging.”

De verzekeraar zal op zijn beurt alleen maar gegevens aan een insurtech doorgeven, als hij er zeker van is dat de makelaar daarvoor instructie heeft gegeven. “Enerzijds legt de maatschappij contractueel de verantwoordelijkheid bij de makelaar, om de overeenkomst met de insurtech vast te leggen. Daarnaast kan de verzekeraar technisch checken of de gegevens die de insurtech bij hem opvraagt, horen bij een klant van een makelaar die met de maatschappij werkt.”

Wat als u dit alles niet regelt?

Welk risico loopt u, als u geen afdoende overeenkomst opstelt met een insurtech? “Mocht er in dat geval iets mislopen, dan vallen we terug op de wetgeving die zegt dat de makelaar verantwoordelijk is. Die laatste zal zich dan nog moeilijk op de insurtech kunnen verhalen.”

Tegelijkertijd is het hebben van een overeenkomst over de verwerking van persoonsgegevens an sich al een verplichting. “Als een makelaar die niet heeft, overtreedt hij sowieso de wet, wat tot boetes van de Gegevensbeschermingsautoriteit kan leiden. En vergis u niet: er worden boetes uitgeschreven. Vaak na een klacht van een klant, omdat die bijvoorbeeld geen goed zicht krijgt op welke gegevens een bedrijf van hem bezit.”

Bovendien kan elke onderneming wel degelijk een cyberaanval meemaken. “Zo’n datalek bij een insurtech kan de reputatie van de makelaar enorm beschadigen”, benadrukt Leen Van Goethem. “Daarnaast komt identiteitsfraude steeds vaker voor. Hoe persoonsgegevens verwerkt worden, is dus almaar belangrijker. Klanten zijn daar ook steeds meer mee bezig.”

Hoe regelt u dit allemaal makkelijk?

Het een en ander moet dus zwart op wit vastliggen. Maar uiteindelijk dient u als makelaar maar één overeenkomst af te sluiten, met uw eigen insurtech. En geen zorg, vaak bieden insurtechbedrijven een standaardcontract aan, aldus de advocate van PwC Legal. “Het komt erop aan die standaardovereenkomst voldoende aandachtig door te nemen. Eventueel met de hulp van een jurist.”

Natuurlijk is er nog een verschil tussen wat op papier staat en wat in de realiteit gebeurt. “Uiteraard moet u als makelaar in eerste instantie voldoende vertrouwen hebben in de insurtech. Die dienstverlener leert u vertrouwen, als hij meteen een correct contract voorlegt, als hij u juist informeert over zijn diensten, als andere makelaars tevreden zijn …”

Eenmaal uw samenwerking met de insurtech up and running is, zal u de proef op de som moeten nemen. “Check regelmatig, binnen de mate van het mogelijke, of de dienstverlening zoals verwacht verloopt. Heel veel IT-dienstverleners kunnen een ISO-certificaat voorleggen, of ze laten regelmatig een audit uitvoeren. Vraag daar gerust naar, bij de insurtech. Zo houdt u goed de vinger aan de pols.”

Sprekers

Leen Van Goethem

Leen Van Goethem

PwC Legal

Leen Van Goethem is Senior Management Associate bij PwC Legal en heeft meer dan 10 jaar ervaring in IT- en privacyrecht.

Steve Goossens

Steve Goossens

Vivium

Steve Goossens is Chief Digital & Data Office bij Vivium.