De invoering van de Algemene Verordening Gegevensbescherming (‘AVG’) verandert de wetgeving voor gegevensbescherming in Europa. We begrijpen dat u wellicht vragen heeft over de rol van Cigna vanuit het oogpunt van gegevensbescherming, en over de verplichtingen die de AVG oplegt aan Cigna.
Cigna heeft het effect van de AVG op haar activiteiten geanalyseerd en is bezig met de implementatie van alle noodzakelijke maatregelen voor de naleving ervan. Als gevolg daarvan en gezien onze rol als een verwerkingsverantwoordelijke van persoonsgegevens, zijn er geen aanvullende contractuele bepalingen nodig tussen Cigna en haar klanten. Hieronder vallen due diligence-vereisten en audit-bepalingen die niet wettelijk zijn voorgeschreven voor deze omstandigheden.
Hoe dan ook, wij blijven ernaar streven op een collaboratieve en effectieve manier met onze klanten en partners samen te werken om te zorgen voor de privacy en bescherming van hun gevoelige gegevens.
Toepassingsgebied van de verordening
Concepten van de ‘verwerkingsverantwoordelijke’ en de ‘verwerker’ onderbouwen bestaande Europese gegevensbeschermingswetgeving. Deze voorwaarden worden gebruikt om de functies van de entiteiten te beschrijven die betrokken zijn bij de verwerking van persoonsgegevens en blijven fundamenteel voor de AVG.
Een ‘verwerkingsverantwoordelijke’ is de entiteit die de doelen en middelen bepaalt van de verwerking van persoonsgegevens – met andere woorden, hij bepaalt hoe en waarom persoonsgegevens worden verwerkt. Daartegenover verwerkt een ‘verwerker’ persoonsgegevens alleen namens de verwerkingsverantwoordelijke en in overeenstemming met de instructies van de verwerkingsverantwoordelijke. Hoewel de AVG sommige verplichtingen direct oplegt aan de verwerkers, behoort het merendeel van de vereisten toe aan de verwerkingsverantwoordelijken.
Tenzij we u anderszins hebben geïnformeerd in de overeenkomst die we met u hebben, verwerken wij de persoonsgegevens die nodig zijn om onze diensten aan u te verlenen als verwerkingsverantwoordelijke.
We begrijpen dat u er deels voor heeft gekozen met ons te werken vanwege de bescherming die we bieden voor de zeer gevoelige persoonsgegevens van u en uw werknemers. Met dit in gedachten kunt u er gerust op zijn dat wanneer we onderworpen zijn aan de AVG, we er volledig naar streven de verplichtingen waaraan we onderworpen zijn als verwerkingsverantwoordelijken na te leven.
Vandaar dat wij, in lijn met onze verplichtingen op grond van de AVG:
- Persoonsgegevens eerlijk, transparant en rechtmatig zullen verwerken. We ervoor zullen zorgen dat individuen geïnformeerd worden over de verzameling en het gebruik van hun persoonsgegevens, dat we een wettelijke basis hebben voor de verwerking van persoonsgegevens en dat we bijzondere categorieën persoonsgegevens verwerken (zoals informatie over de gezondheid van individuen) in overeenstemming met de vereisten van toepasselijke wetgeving inzake gegevensbescherming. Wanneer we bijvoorbeeld verplicht zijn expliciete toestemming te vragen voor de verwerking van de gezondheidsgegevens van een individu, dan zullen we dat doen. Let er echter op dat de wetten van sommige lidstaten de verwerking van bepaalde soorten bijzondere categorieën persoonsgegevens toestaan voor verzekeringsdoeleinden zonder expliciete toestemming.
- Persoonsgegevens alleen verwerken voor de doelen waarvoor ze werden verzameld en deze niet verwerken op een manier die niet past bij deze doelen. Indien we persoonsgegevens voor een nieuw doel verwerken, zullen we ervoor zorgen dat die verwerking conform de AVG is. In de praktijk kan dit betekenen dat toestemming van individuen zal worden verkregen voor de nieuwe verwerkingsactiviteit.
- Maatregelen nemen om ervoor te zorgen dat persoonsgegevens adequaat, relevant en beperkt zijn tot wat noodzakelijk is voor de doelen waarvoor ze worden verwerkt en juist en actueel zijn wanneer dit noodzakelijk is.
- Toepasselijke technische en organisatiegebaseerde maatregelen implementeren om de persoonsgegevens te beschermen die we verwerken. De veiligheidsmaatregelen die we hebben getroffen houden rekening met een aantal factoren, waaronder bijvoorbeeld de nieuwste technieken, aard, omvang, context en doelen van onze verwerking, en het risico die onze verwerking inhoudt voor individuen enz. De technische voorzorgsmaatregelen die wij toepassen zijn ook in overeenstemming met de beveiligingsnormen van de industrie. Daarnaast zullen we ervoor zorgen dat onze onderaannemers gepaste veiligheidsmaatregelen implementeren, en dat zij gebonden zijn aan contracten die in overeenstemming zijn met de vereisten van de AVG.
- Gegevensbescherming uitvoeren op basis van ontworpen en standaardinstellingen en impactbeoordelingen uitvoeren betreffende privacy wanneer dit vereist wordt.
- Zorgen dat persoonsgegevens adequaat worden beschermd als deze worden overgedragen naar bestemmingen buiten de Europese Economische Ruimte. Cigna heeft bijvoorbeeld een overeenkomst inzake gegevensoverdracht voor de hele groep waarin de door de Europese Commissie goedgekeurde standaardcontractbepalingen zijn opgenomen om de overdracht van persoonsgegevens tussen leden van de bedrijfsgroep van Cigna te legitimeren.
- Persoonsgegevens zo lang bewaren als noodzakelijk is voor de doelen waarvoor we ze verwerken.
- De rechten van individuen met betrekking tot hun persoonsgegevens nakomen. Indien we bijvoorbeeld persoonsgegevens van een individu verwerken in de context van het verlenen van onze diensten, zullen we reageren op verzoeken die we ontvangen van dat individu met betrekking tot zijn/haar persoonsgegevens.
- Zorgen dat we kunnen laten zien dat we onze verantwoordelijkheid nemen. We handhaven beleidsregels en procedures om ons te helpen bij het nakomen van toepasselijke wettelijke en regelgevende normen. Belangrijk beleid wordt gehandhaafd op internationaal niveau en waar dit van toepassing is, creëren en handhaven bedrijfsonderdelen van Cigna nalevingsbeleid en -procedures voor specifieke afdelingen die periodiek worden herzien en bijgewerkt.
Privacyverklaring
Privacyverklaring bekijken