Mijn activiteiten 3.pdf

Full Transcript

§ 3 Professioneel omgaan met klantgegevens
Veel organisaties werken dagelijks met persoonsgevoelige informatie en verstrekken deze aan derden. De belangrijkste
regels voor het omgaan met persoonsgevoelige informatie zijn vastgelegd in de Algemene verordening
gegevensbescherming (AVG).

4a.5 Integer omgaan met de klantgegevens.

1f.39 De kandidaat kan in hoofdlijnen de privacyrechten van de klant volgens de Algemene verordening
gegevensbescherming (AVG) omschrijven.

1f.40 De kandidaat kan in hoofdlijnen beschrijven welke soorten persoonsgegevens de Algemene verordening
gegevensbescherming (AVG) onderscheidt en op welke grondslagen deze persoonsgegevens verwerkt mogen worden.

Doelen AVG
De AVG heeft meerdere doelen:

het verbeteren van de privacyrechten van personen;
meer verantwoordelijkheden voor organisaties; en
gelijke bevoegdheden voor alle Europese privacytoezichthouders.

Persoonsgegevens mogen niet zomaar worden verstrekt aan derden. Dit mag zelfs niet aan een partner of ouder. Behalve
als er een grondslag is waarom dat wel zou mogen, zoals toestemming van de klant.

Grondslagen organisaties onder AVG
Een organisatie mag persoonsgegevens verwerken voor vastgestelde grondslagen. Als die grondslag ontbreekt, mag de
organisatie de persoonsgegevens niet verwerken.

Voorbeelden van die grondslagen zijn:

1. de toestemming van de klant voor een of meer specifieke doeleinden;
2. de noodzaak voor het sluiten of uitvoeren van een overeenkomst met de klant; en
3. de noodzaak om te voldoen aan een wettelijke verplichting die op de organisatie rust.

Toestemming
Ontbreekt de noodzaak om persoonsgegevens te verwerken? Dan heeft de organisatie simpelweg toestemming van de klant
nodig voordat ze persoonsgegevens mag verwerken. De klant moet die toestemming in vrijheid kunnen geven. Dit houdt in
dat de klant de toestemming altijd weer mag intrekken zonder dat aan die intrekking negatieve gevolgen zijn verbonden.

Een organisatie moet kunnen aantonen dát een klant toestemming heeft gegeven voor het verwerken van zijn
persoonsgegevens en hoe de klant die toestemming heeft gegeven. Deze verantwoordingsplicht ligt niet bij de klant.

Ten slotte mag de organisatie de gegevens alleen gebruiken voor een specifiek doel. Als de organisatie de gegevens wil
gebruiken voor meerdere doeleinden, moet ze voor ieder doel opnieuw toestemming vragen.

Sitel Pagina 1 van 5
 Voorbeeld

Michael heeft een overeenkomst met bank A.

Een andere organisatie wil een samenwerkingsverband
aangaan met bank A. Voor commerciële doeleinden wil
die organisatie beschikken over persoonsgegevens van
de klanten van bank A (zoals Michael). In ruil daarvoor
ontvangt bank A een financiële tegenprestatie.

Bank A mag de gegevens van haar klanten niet zonder
grondslag doorgeven aan de organisatie. De noodzaak
voor het verstrekken van de persoonsgegevens
(grondslag 2 en 3) ontbreekt. Daarom is uitdrukkelijk
toestemming van de klant nodig (grondslag 1) om de
persoonsgegevens te mogen doorsturen.

Overeenkomst
Een financiële instelling of adviseur hoeft aan de klant geen toestemming te vragen als sprake is van een overeenkomst die
het noodzakelijk maakt om die persoonsgegevens te verwerken. Denk hierbij bijvoorbeeld aan een klant die een
serviceabonnement afsluit bij een financieel adviseur. De adviseur kan zich beroepen op deze grondslag, omdat het
verwerken van de persoonsgegevens noodzakelijk is voor het uitvoeren van de overeenkomst.

Sitel Pagina 2 van 5
 Voorbeeld

Jennifer sluit een overlijdensrisicoverzekering af bij
verzekeraar X.

Jennifer moet haar naw-gegevens (naam, adres en
woonplaats) doorgeven aan verzekeraar X. Verzekeraar X
heeft de naw-gegevens nodig om de overeenkomst op te
sturen. Ook wil verzekeraar X een herinnering kunnen
sturen als Jennifer geen premie betaalt.

Voor het aanvragen van de overlijdensrisicoverzekering is
ook een gezondheidsverklaring nodig. Daartoe vraagt
verzekeraar X bij Jennifer ook medische gegevens op, die
ze moet invullen op de verklaring.

Verzekeraar X heeft geen aparte toestemming van
Jennifer nodig voor het verzamelen van deze
persoonsgegevens. Deze gegevens zijn namelijk
noodzakelijk voor de uitvoering van een overeenkomst.
Worden persoonsgegevens opgevraagd die niet nodig zijn
voor de uitvoering van de overeenkomst? Dan heeft de
verzekeraar uitdrukkelijk toestemming van Jennifer nodig.

Wettelijke verplichting
Sommige organisaties zijn verplicht om bepaalde persoonsgegevens te bewaren op basis van een wettelijke bewaartermijn.
Omdat dit wettelijk is geregeld, kan de organisatie hiervan niet afwijken. Denk hierbij bijvoorbeeld aan een kopie van een ID-
kaart, opgevraagd door een bank. De bank heeft een wettelijke identificatieplicht (cliëntenonderzoek) en hoeft dus geen
toestemming te vragen voor het verwerken van de persoonsgegevens op de ID-kaart.

Burgerservicenummer
Organisaties mogen alleen het Burgerservicenummer (BSN) verwerken als daar een wettelijke reden voor is. De volgende
organisaties moeten hun gegevens halen uit de BRP waar het BSN is te vinden:

Sitel Pagina 3 van 5
 pensioenuitvoerders (zowel pensioenfondsen als pensioenverzekeraars), voor bijvoorbeeld de uitvoering van de
Pensioenwet;
banken, voor bijvoorbeeld de gegevensuitwisseling met de Belastingdienst of voor de uitvoering van het
depositogarantiestelsel;
verzekeraars, voor de uitvoering van verschillende wetten:
◦ levensverzekeraars, voor bijvoorbeeld de uitvoering van de Algemene wet inzake rijksbelastingen,
◦ inkomensverzekeraars, voor bijvoorbeeld de uitvoering van de Wet werk en inkomen naar
arbeidsvermogen (WIA),
◦ zorgverzekeraars voor bijvoorbeeld het uitvoeren van de Zorgverzekeringswet (Zvw).
het Centraal Administratie Kantoor (CAK), voor bijvoorbeeld de uitvoering van de Wet langdurige zorg (Wlz) en
Zorgverzekeringswet (Zvw);
het kadaster, voor bijvoorbeeld de uitvoering van de Kadasterwet;
de Stichting Waarborgfonds Eigen Woning (SWEW), voor bijvoorbeeld de uitvoering van de Nationale Hypotheek
Garantie (NHG);
de Nederlandse Zorgautoriteit (NZa), voor bijvoorbeeld de controle van goede patiëntenzorg;
de Autoriteit Financiële Markten (AFM), voor bijvoorbeeld de uitvoering van de Wft;
het UWV, voor bijvoorbeeld de uitvoering van de WIA; en
de Sociale verzekeringsbank (SVB), voor bijvoorbeeld de uitvoering van de Zvw.

Rechten consument onder AVG
Via de AVG heeft een klant meer mogelijkheden om controle uit te oefenen op het gebruik van zijn persoonsgegevens. De
drie belangrijkste rechten van de klant zijn de volgende:

het recht op inzage;
het recht op vergetelheid; en
het recht op dataportabiliteit.

Recht op inzage
Een klant kan bij een organisatie een verzoek doen tot inzage in de gegevens die de organisatie van hem heeft. De klant mag
ook aanvullende vragen stellen over het gebruik van die persoonsgegevens. Zo kan een klant bijvoorbeeld aan zijn adviseur
vragen welke collega’s zijn dossier kunnen inzien. De adviseur zal aan dit verzoek moeten voldoen en zal de klant moeten
voorzien van een lijst van de desbetreffende collega’s.

Recht op vergetelheid
Soms moet een organisatie persoonsgegevens wissen als de klant hierom vraagt. Een voorbeeld hiervan is dat de klant een
eerder gegeven toestemming weer intrekt.

Dit geldt niet als er een noodzaak bestaat om de persoonsgegevens te bewaren. Dit is bijvoorbeeld het geval bij een
wettelijke bewaartermijn, waarbij de gegevens pas na deze termijn kunnen worden gewist.

Sitel Pagina 4 van 5
 Voorbeeld

Verzekeraar X heeft Jennifer (uit het vorige voorbeeld) geaccepteerd voor de
overlijdensrisicoverzekering.

Na deze acceptatie heeft verzekeraar X geen grondslag meer om de medische
gegevens van Jennifer te bewaren. Daarom doet Jennifer een verzoek om de
gegevens te verwijderen. In zo’n geval zal de adviseur moeten onderzoeken of
deze gegevens inderdaad kunnen worden verwijderd.

Recht op dataportabiliteit
Een klant heeft het recht om de persoonsgegevens te ontvangen die de organisatie digitaal van hem in bezit heeft. De klant
kan deze gegevens opslaan voor eigen gebruik of doorgeven aan een andere organisatie. De klant kan de ‘oude’ organisatie
ook verzoeken om de persoonsgegevens direct door te sturen aan de ‘nieuwe’ organisatie. Als dit praktisch uitvoerbaar is,
moet de ‘oude’ organisatie gehoor geven aan dit verzoek.

Boete
Voldoet een organisatie niet aan de AVG? Dan kan de Autoriteit Persoonsgegevens (AP) de organisatie een boete opleggen.

Sitel Pagina 5 van 5