Professioneel omgaan met klantgegevens PDF
Document Details
Uploaded by ThumbUpTulip
Tags
Summary
Dit document beschrijft de basisprincipes van het omgaan met klantgegevens volgens de Algemene Verordening Gegevensbescherming (AVG). Het benadrukt de doelen van de AVG en de verschillende grondslagen waarop organisaties persoonsgegevens mogen verwerken. De document beschrijft voorbeelden en uitleg over toestemming en overeenkomsten met betrekking tot privacy.
Full Transcript
§ 3 Professioneel omgaan met klantgegevens Veel organisaties werken dagelijks met persoonsgevoelige informatie en verstrekken deze aan derden. De belangrijkste regels voor het omgaan met persoonsgevoelige informatie zijn vastgelegd in de Algemene verordening gegevensbescherming (AVG)....
§ 3 Professioneel omgaan met klantgegevens Veel organisaties werken dagelijks met persoonsgevoelige informatie en verstrekken deze aan derden. De belangrijkste regels voor het omgaan met persoonsgevoelige informatie zijn vastgelegd in de Algemene verordening gegevensbescherming (AVG). 4a.5 Integer omgaan met de klantgegevens. 1f.39 De kandidaat kan in hoofdlijnen de privacyrechten van de klant volgens de Algemene verordening gegevensbescherming (AVG) omschrijven. 1f.40 De kandidaat kan in hoofdlijnen beschrijven welke soorten persoonsgegevens de Algemene verordening gegevensbescherming (AVG) onderscheidt en op welke grondslagen deze persoonsgegevens verwerkt mogen worden. Doelen AVG De AVG heeft meerdere doelen: het verbeteren van de privacyrechten van personen; meer verantwoordelijkheden voor organisaties; en gelijke bevoegdheden voor alle Europese privacytoezichthouders. Persoonsgegevens mogen niet zomaar worden verstrekt aan derden. Dit mag zelfs niet aan een partner of ouder. Behalve als er een grondslag is waarom dat wel zou mogen, zoals toestemming van de klant. Grondslagen organisaties onder AVG Een organisatie mag persoonsgegevens verwerken voor vastgestelde grondslagen. Als die grondslag ontbreekt, mag de organisatie de persoonsgegevens niet verwerken. Voorbeelden van die grondslagen zijn: 1. de toestemming van de klant voor een of meer specifieke doeleinden; 2. de noodzaak voor het sluiten of uitvoeren van een overeenkomst met de klant; en 3. de noodzaak om te voldoen aan een wettelijke verplichting die op de organisatie rust. Toestemming Ontbreekt de noodzaak om persoonsgegevens te verwerken? Dan heeft de organisatie simpelweg toestemming van de klant nodig voordat ze persoonsgegevens mag verwerken. De klant moet die toestemming in vrijheid kunnen geven. Dit houdt in dat de klant de toestemming altijd weer mag intrekken zonder dat aan die intrekking negatieve gevolgen zijn verbonden. Een organisatie moet kunnen aantonen dát een klant toestemming heeft gegeven voor het verwerken van zijn persoonsgegevens en hoe de klant die toestemming heeft gegeven. Deze verantwoordingsplicht ligt niet bij de klant. Ten slotte mag de organisatie de gegevens alleen gebruiken voor een specifiek doel. Als de organisatie de gegevens wil gebruiken voor meerdere doeleinden, moet ze voor ieder doel opnieuw toestemming vragen. Sitel Pagina 1 van 5 Voorbeeld Michael heeft een overeenkomst met bank A. Een andere organisatie wil een samenwerkingsverband aangaan met bank A. Voor commerciële doeleinden wil die organisatie beschikken over persoonsgegevens van de klanten van bank A (zoals Michael). In ruil daarvoor ontvangt bank A een financiële tegenprestatie. Bank A mag de gegevens van haar klanten niet zonder grondslag doorgeven aan de organisatie. De noodzaak voor het verstrekken van de persoonsgegevens (grondslag 2 en 3) ontbreekt. Daarom is uitdrukkelijk toestemming van de klant nodig (grondslag 1) om de persoonsgegevens te mogen doorsturen. Overeenkomst Een financiële instelling of adviseur hoeft aan de klant geen toestemming te vragen als sprake is van een overeenkomst die het noodzakelijk maakt om die persoonsgegevens te verwerken. Denk hierbij bijvoorbeeld aan een klant die een serviceabonnement afsluit bij een financieel adviseur. De adviseur kan zich beroepen op deze grondslag, omdat het verwerken van de persoonsgegevens noodzakelijk is voor het uitvoeren van de overeenkomst. Sitel Pagina 2 van 5 Voorbeeld Jennifer sluit een overlijdensrisicoverzekering af bij verzekeraar X. Jennifer moet haar naw-gegevens (naam, adres en woonplaats) doorgeven aan verzekeraar X. Verzekeraar X heeft de naw-gegevens nodig om de overeenkomst op te sturen. Ook wil verzekeraar X een herinnering kunnen sturen als Jennifer geen premie betaalt. Voor het aanvragen van de overlijdensrisicoverzekering is ook een gezondheidsverklaring nodig. Daartoe vraagt verzekeraar X bij Jennifer ook medische gegevens op, die ze moet invullen op de verklaring. Verzekeraar X heeft geen aparte toestemming van Jennifer nodig voor het verzamelen van deze persoonsgegevens. Deze gegevens zijn namelijk noodzakelijk voor de uitvoering van een overeenkomst. Worden persoonsgegevens opgevraagd die niet nodig zijn voor de uitvoering van de overeenkomst? Dan heeft de verzekeraar uitdrukkelijk toestemming van Jennifer nodig. Wettelijke verplichting Sommige organisaties zijn verplicht om bepaalde persoonsgegevens te bewaren op basis van een wettelijke bewaartermijn. Omdat dit wettelijk is geregeld, kan de organisatie hiervan niet afwijken. Denk hierbij bijvoorbeeld aan een kopie van een ID- kaart, opgevraagd door een bank. De bank heeft een wettelijke identificatieplicht (cliëntenonderzoek) en hoeft dus geen toestemming te vragen voor het verwerken van de persoonsgegevens op de ID-kaart. Burgerservicenummer Organisaties mogen alleen het Burgerservicenummer (BSN) verwerken als daar een wettelijke reden voor is. De volgende organisaties moeten hun gegevens halen uit de BRP waar het BSN is te vinden: Sitel Pagina 3 van 5 pensioenuitvoerders (zowel pensioenfondsen als pensioenverzekeraars), voor bijvoorbeeld de uitvoering van de Pensioenwet; banken, voor bijvoorbeeld de gegevensuitwisseling met de Belastingdienst of voor de uitvoering van het depositogarantiestelsel; verzekeraars, voor de uitvoering van verschillende wetten: ◦ levensverzekeraars, voor bijvoorbeeld de uitvoering van de Algemene wet inzake rijksbelastingen, ◦ inkomensverzekeraars, voor bijvoorbeeld de uitvoering van de Wet werk en inkomen naar arbeidsvermogen (WIA), ◦ zorgverzekeraars voor bijvoorbeeld het uitvoeren van de Zorgverzekeringswet (Zvw). het Centraal Administratie Kantoor (CAK), voor bijvoorbeeld de uitvoering van de Wet langdurige zorg (Wlz) en Zorgverzekeringswet (Zvw); het kadaster, voor bijvoorbeeld de uitvoering van de Kadasterwet; de Stichting Waarborgfonds Eigen Woning (SWEW), voor bijvoorbeeld de uitvoering van de Nationale Hypotheek Garantie (NHG); de Nederlandse Zorgautoriteit (NZa), voor bijvoorbeeld de controle van goede patiëntenzorg; de Autoriteit Financiële Markten (AFM), voor bijvoorbeeld de uitvoering van de Wft; het UWV, voor bijvoorbeeld de uitvoering van de WIA; en de Sociale verzekeringsbank (SVB), voor bijvoorbeeld de uitvoering van de Zvw. Rechten consument onder AVG Via de AVG heeft een klant meer mogelijkheden om controle uit te oefenen op het gebruik van zijn persoonsgegevens. De drie belangrijkste rechten van de klant zijn de volgende: het recht op inzage; het recht op vergetelheid; en het recht op dataportabiliteit. Recht op inzage Een klant kan bij een organisatie een verzoek doen tot inzage in de gegevens die de organisatie van hem heeft. De klant mag ook aanvullende vragen stellen over het gebruik van die persoonsgegevens. Zo kan een klant bijvoorbeeld aan zijn adviseur vragen welke collega’s zijn dossier kunnen inzien. De adviseur zal aan dit verzoek moeten voldoen en zal de klant moeten voorzien van een lijst van de desbetreffende collega’s. Recht op vergetelheid Soms moet een organisatie persoonsgegevens wissen als de klant hierom vraagt. Een voorbeeld hiervan is dat de klant een eerder gegeven toestemming weer intrekt. Dit geldt niet als er een noodzaak bestaat om de persoonsgegevens te bewaren. Dit is bijvoorbeeld het geval bij een wettelijke bewaartermijn, waarbij de gegevens pas na deze termijn kunnen worden gewist. Sitel Pagina 4 van 5 Voorbeeld Verzekeraar X heeft Jennifer (uit het vorige voorbeeld) geaccepteerd voor de overlijdensrisicoverzekering. Na deze acceptatie heeft verzekeraar X geen grondslag meer om de medische gegevens van Jennifer te bewaren. Daarom doet Jennifer een verzoek om de gegevens te verwijderen. In zo’n geval zal de adviseur moeten onderzoeken of deze gegevens inderdaad kunnen worden verwijderd. Recht op dataportabiliteit Een klant heeft het recht om de persoonsgegevens te ontvangen die de organisatie digitaal van hem in bezit heeft. De klant kan deze gegevens opslaan voor eigen gebruik of doorgeven aan een andere organisatie. De klant kan de ‘oude’ organisatie ook verzoeken om de persoonsgegevens direct door te sturen aan de ‘nieuwe’ organisatie. Als dit praktisch uitvoerbaar is, moet de ‘oude’ organisatie gehoor geven aan dit verzoek. Boete Voldoet een organisatie niet aan de AVG? Dan kan de Autoriteit Persoonsgegevens (AP) de organisatie een boete opleggen. Sitel Pagina 5 van 5