Privacy Reglement Centraal Informatie Systeem (CIS)
Paragraaf 1: Algemene bepalingen
Artikel 1:
Begripsbepaling
In aanvulling op de Wet bescherming persoonsgegevens (Stb. 2000, 302) en de Gedragscode Verwerking Persoonsgegevens Verzekeringsbedrijf (Stcrt. 44, 5 maart 1998) wordt in dit reglement verstaan onder: -
de wet: Wet bescherming persoonsgegevens; verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens; verantwoordelijke: de rechtspersoon die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen; rechtstreekse toegang: de bevoegdheid tot invoering en wijziging van gegevens in de databank en tot verwijdering daaruit; betrokkene: degene op wie een persoonsgegeven betrekking heeft; ontvanger: degene aan wie de persoonsgegevens worden verstrekt dan wel die bevoegd is de gegevens te raadplegen; deelnemer: iedere verzekeraar en iedere andere rechtspersoon die door de verantwoordelijke als zodanig is erkend; databank: het Centraal Informatie Systeem (CIS); verzekeringsfraude: zowel fraude tegen een verzekeraar als fraude waarvan de gevolgen op de verzekeraar worden afgewenteld; verstrekken van gegevens: het bekend maken of ter beschikking stellen van persoonsgegevens.
Artikel 2:
Reikwijdte
Dit reglement is van toepassing op alle verwerkingen die samenhangen met het Centraal Informatie Systeem (CIS), een databank met (historische) gegevens van de in artikel 4 genoemde categorieën van personen, die op verschillende manieren benaderd en gebruikt kunnen worden.
1
Paragraaf 2: Doelbinding
Artikel 3:
Doelstellingen van de verwerking
1. De verwerking heeft tot doel het leveren van een bijdrage aan de behartiging van de gemeenschappelijke belangen van de deelnemers inzake: a) het inschatten en beheersen van risico’s in het algemeen; b) schadelastbeperking, in het bijzonder door een verantwoord acceptatiebeleid; c) het ontdekken, voorkomen en bestrijden van verzekeringsfraude; d) het uitwisselen van feitelijke gegevens tussen deelnemers onderling, tussen verzekeraars en politie/justitie en andere door de verantwoordelijken erkende instellingen. 2. De gegevens kunnen ook gebruikt worden voor statistische analyses ten behoeve van fraudeen criminaliteitsbestrijding en risicoanalyses. 3. De opgenomen gegevens zullen slechts worden gebruikt voor doeleinden die met het doel van de verwerking verenigbaar zijn.
Artikel 4:
Categorieën van personen van wie gegevens worden verwerkt
Ten behoeve van het doel zoals omschreven in artikel 3 worden slechts gegevens ver werkt van natuurlijke en rechtspersonen: a) die betrokken zijn of zijn geweest bij een (gemelde) schade, een claim, een (verzekerings)overeenkomst en/of een aanvraag tot een (verzekerings)overeenkomst; b) die verantwoordelijkheid dragen ten aanzien van rechtspersonen die betrokken zijn of zijn geweest bij een gemelde schade; c) die een verzekering geweigerd is op grond van feitelijk geconstateerde onwaarachtige opgave; d) die een verzekering is opgezegd; e) van wie een fraudemelding is opgenomen in het Externe Verwijzingsregister (EVR) conform het Protocol Incidenten waarschuwingssysteem Financiële Instellingen; f) jegens wie een voor tenuitvoerlegging vatbaar geworden ontzegging van de bevoegdheid motorrijtuigen te besturen is uitgesproken.
Artikel 5:
Soorten van gegevens die verwerkt worden en de wijze van verkrijging
1. In de databank worden ten hoogste de volgende soorten van gegevens verwerkt: A. Gegevens (rechts)persoon a. naam, voorletters, voorvoegsels b. geboortedatum en geslacht, mits bekend c. adresgegevens d. partij en rol (eigen partij, tegenpartij, etc.) e. nationaliteit, beroepsclassificatie, rechtsvorm, bedrijfsclassificatie. f. identificerende gegevens (bijv. banknummer, gironummer, etc. met peildatum)
2
B.
C.
D.
2.
3. 4.
Objectgegevens a. goederensoort, omschrijving en evt. naam b. merk, type, kleur c. schadegegevens d. (afwijkend) risicoadres e. identificerende gegevens (bijv. chassisnummer, framenummer, etc.) Meldinggegevens a. verzekeraar (risicodrager), afhandelaar, afdelingsaanduiding b. meldingsoort c. branche, aanduiding co-assurantie d. meldingreden, ingangsdatum, einddatum e. schadenummer, dossiernummer, polisnummer f. referentiedatum en datumsoort, bijvoorbeeld de schadedatum g. schadeoorzaak en schade-land h. aanduiding aangifte politie, aanduiding eerdere schade i. (schade)bedragen (verzekerd bedrag, gereserveerd bedrag, werkelijk schadebedrag, feitelijk uitgekeerd schadebedrag) en muntsoort j. (rest van de) verzekeringsgegevens k. (rest van de) schadegegevens l. overlijdensgegevens, alleen ingeval van levensverzekering m. toelichtende tekst Speciale Meldingen a. gegevens inzake afhandeling van een claim b. gegevens betreffende de raadpleging van een melding door een deelnemer c. gegevens inzake afhandeling van schade- of financieel verhaal, subrogatie d. fraudemelding verzekerde / claimant e. fraudemelding beroepsmatig betrokkene f. signaleringsgegevens verzekeringsmaatschappijen g. gegevens met betrekking tot beëindiging of weigering van een verzekering h. bonus/malus trede bij afloop i. kentekenhouders en bestuurders van onverzekerde motorrijtuigen, gemeld door het Waarborgfonds Motorverkeer j. ontzegging rijbevoegdheid k. gegevens met betrekking tot bedrijfsregeling 16 (total loss) l. diefstalmeldingen (A87) De gegevens worden verkregen van de deelnemers met uitzondering van het gegeven ‘ontzegging rijbevoegdheid’, dat rechtstreeks wordt verkregen van de Dienst Wegverkeer (RDW) en het gegeven ‘diefstalmeldingen (A87)’, dat afkomstig is van het Vermiste Auto Register (VAR). Het gegeven ‘ontzegging rijbevoegdheid’ wordt opgenomen met inachtneming van artikel 22 lid 4 onder c van de wet. De aanleverende partijen zullen de nodige voorzieningen treffen ter bevordering van de juistheid en volledigheid van de gegevens.
3
Artikel 6: 1.
2.
Verantwoordelijke voor de verwerking van alle gegevens, met uitzondering van de gegevens in artikel 5, lid 1, rubriek D, onder j, is het bestuur van de Stichting CIS gevestigd te Zeist. Verantwoordelijke voor de gegevens in artikel 5, lid 1, rubriek D, onder j, is het Verbond van Verzekeraars gevestigd te s-Gravenhage. Bewerker is ABZ Nederland, gevestigd te Zeist.
Artikel 7: 1.
2. 3.
Verantwoordelijke en bewerker
Verwijdering van de te verwerken gegevens
Voor de gegevens die in de databank worden verwerkt geldt een bewaartermijn van 5 jaar, met uitzondering van: a. bonus/malusgegevens waarvoor een termijn geldt van 15 maanden en b. gegevens met betrekking tot feitelijke brandschade van meer dan € 50.000,00 en c. vermoeden van met grove schuld verstrekken van onjuiste informatie, waarvoor een termijn van 8 jaar geldt. Indien de bewaartermijn is verstreken worden de betreffende gegevens uit de databank verwijderd en vernietigd, zulks binnen een termijn van één jaar. Verwijdering geschiedt ook wanneer bekend is dat de betrokken persoon is overleden en indien persoonsgegevens zijn opgenomen naar aanleiding van een overlijdensmelding.
Paragraaf 3: Verstrekken van persoonsgegevens
Artikel 8:
Rechtstreekse toegang bewerker tot de persoonsgegevens
1. Uitsluitend de bewerker en de door de bewerker aangewezen personen hebben, met het oog op de dagelijkse zorg voor en het goed functioneren van de verwerking, rechtstreeks toegang tot de persoonsgegevens. 2. De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.
Artikel 9: 1. 2.
3.
Ontvangers van gegevens
Informatie wordt slechts verstrekt aan deelnemers op basis van reciprociteit, dat wil zeggen deelnemers die actief gegevens aanleveren. De gegevens als vermeld in de rubrieken A, B en C van artikel 5, lid 1 kunnen binnen de organisatie van de deelnemers worden verstrekt aan eenieder die deze voor de uitoefening van zijn taak nodig heeft. Deze gegevens hebben een signaalfunctie op grond waarvan een deelnemer een conclusie kan trekken ten aanzien van acceptatie en claimafhandeling. De overige gegevens worden uitsluitend verstrekt aan speciaal geautoriseerde 4
4.
5.
6.
medewerkers van de deelnemers met als doel het op dossierniveau verkrijgen van gedetailleerde gegevens. In verband met de afhandeling van justitiële zaken kunnen op verzoek gegevens worden verstrekt aan het Verbond van Verzekeraars in Den Haag, dat als loket voor politie en justitie fungeert. Aan niet deelnemers worden slechts gegevens verstrekt voor zover dat verenigbaar is met het doel als aangegeven in artikel 3 lid 1 en daartoe door het bestuur van de Stichting CIS toestemming is verleend of wanneer verstrekking dient om te voldoen aan wettelijke verplichtingen. De gegevens zullen niet verder verwerkt worden voor commerciële of charitatieve doeleinden.
Artikel 10:
Verbanden met andere verwerkingen van persoonsgegevens
Er zijn geautomatiseerde verbanden met andere verwerkingen van persoonsgegevens bij de Dienst Wegverkeer en het Vermiste Auto Register en de deelnemers.
Artikel 11: 1.
2.
Verstrekking ten behoeve van wetenschappelijk onderzoek en statistiek
Verdere verwerking van gegevens ten behoeve van wetenschappelijk onderzoek en statistiek door het Centrum voor Verzekeringsstatistiek (CVS) wordt niet als onverenigbaar beschouwd, indien het CVS de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden. Ten behoeve van wetenschappelijk onderzoek en statistiek door derden kunnen, met uitzondering van het CVS, alleen dan zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, indien: a. de verantwoordelijke zich ervan heeft vergewist dat de doelstelling van het onderzoek niet strijdig is met de belangen van de betrokkenen; b. het vragen van gerichte toestemming vanwege het aantal betrokkenen in redelijkheid niet mogelijk is; c. de persoonlijke levenssfeer niet onevenredig wordt geschaad.
Paragraaf 4: Plichten van verantwoordelijke en bewerker
Artikel 12: 1.
Beveiliging
De bewerker legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen diefstal of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich mee brengen. De verantwoordelijken zien toe op de naleving van die maatregelen. 5
2.
De uitvoering van de verwerkingen door de bewerker wordt geregeld in een schriftelijke overeenkomst of krachtens een andere schriftelijke rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en verantwoordelijken.
Artikel 13:
Informatieplicht
1. De aanleverende partijen delen de betrokkene op het moment van vastlegging van hem betreffende gegevens mede wat de doeleinden van de hier bedoelde verwerking zijn alsmede de identiteit van de verantwoordelijken. 2. De informatieplicht geldt niet wanneer de betrokkene uit andere hoofde reeds op de hoogte is of kan zijn. 3. Het eerste lid is niet van toepassing indien mededeling van de informatie aan betrokkene onmogelijk blijkt of een onevenredige inspanning kost. 4. Het bepaalde in het eerste lid kan buiten toepassing worden gelaten voor zover dat noodzakelijk is in het belang van de voorkoming, opsporing en vervolging van strafbare feiten. Artikel 14: 1.
2.
Protocolplicht
Indien naar aanleiding van een verzoek als bedoeld in artikel 17 de verantwoordelijke persoonsgegevens heeft verbeterd, aangevuld of afgeschermd dan is die verantwoordelijke verplicht om derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbeteringen, aanvulling, verwijdering of afscherming, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost. Desgevraagd deelt de verantwoordelijke aan de betrokkene mede aan wie hij deze mededeling heeft gedaan.
Paragraaf 5: Rechten van betrokkenen
Artikel 15:
Recht op informatie
De verantwoordelijke verplicht zich om de betrokkene, op diens verzoek, tijdig en volledig te informeren over het doel van de verwerking, alsmede over de adressen waar het formulier van aanmelding en reglement ter inzage liggen dan wel opgevraagd kunnen worden.
Artikel 16: 1.
Recht op inzage en kennisneming van verstrekking
De betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot een deelnemer of tot de bewerker te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt. De deelnemer vergewist zich van de identiteit van de verzoeker en geleidt het verzoek door aan de verantwoordelijke, die de betrokkene schriftelijk binnen vier weken meedeelt of hem betreffende persoonsgegevens worden verwerkt. 6
2.
3.
4. 5. 6.
7.
Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens. Voordat de verantwoordelijke een mededeling doet als bedoeld in lid 2, waartegen een derde naar verwachting bedenkingen zal hebben, stelt hij die derde in staat zijn zienswijze naar voren te brengen, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost. Indien een gewichtig belang van de verzoeker dit eist voldoet de verantwoordelijke aan het verzoek in een andere dan schriftelijke vorm, die aan dat belang is aangepast. De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. Een verzoek wordt ten aanzien van minderjarigen die de leeftijd van 16 jaren nog niet hebben bereikt, en ten aanzien van onder curatele gestelden, gedaan door hun wettelijke vertegenwoordigers. De betrokken mededeling geschiedt eveneens aan de wettelijke vertegenwoordigers. De verantwoordelijke kan weigeren aan een verzoek te voldoen, voor zover dit noodzakelijk is in het belang van: a. de opsporing en vervolging van strafbare feiten; b. gewichtige belangen van anderen dan de verzoeker, de verantwoordelijken daaronder begrepen.
Artikel 17: 1.
2.
3. 4. 5. 6.
Recht op correctie, aanvulling en verwijdering
De verantwoordelijke zal op schriftelijk verzoek van een betrokkene de met betrekking tot deze persoon te verwerken persoonsgegevens verbeteren, aanvullen, afschermen of verwijderen, indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek behelst de aan te brengen wijzigingen. De verantwoordelijke bericht de verzoeker zo spoedig mogelijk doch uiterlijk binnen vier weken na ontvangst van het verzoek schriftelijk of, dan wel in hoeverre, hij daaraan voldoet. Een weigering is met redenen omkleed. De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, afscherming of verwijdering zo spoedig mogelijk wordt uitgevoerd. Indien een gewichtig belang van de verzoeker dit eist, voldoet de verantwoordelijke aan een verzoek in een andere dan schriftelijke vorm, die aan dat belang is aangepast. De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. Een verzoek wordt ten aanzien van minderjarigen die de leeftijd van 16 jaren nog niet hebben bereikt, en ten aanzien van onder curatele gestelden, gedaan door hun wettelijke vertegenwoordigers. De betrokken mededeling geschiedt eveneens aan de wettelijke vertegenwoordigers.
7
Artikel 18: 1.
2.
Recht van verzet
De betrokkene kan bij de verantwoordelijke te allen tijde bezwaar aantekenen tegen verwerking van zijn persoonsgegevens in verband met zijn bijzondere persoonlijke omstandigheden. Binnen vier weken na ontvangst van het verzet beoordeelt de verantwoordelijke of dat verzet gerechtvaardigd is.
Artikel 19:
Vergoeding van kosten
Voor een verzoek als bedoeld in de artikelen 16 en 18 kan door de verantwoordelijke een vergoeding worden gevraagd die niet hoger is dan het maximum bedrag dat krachtens de wet is vastgesteld.
Paragraaf 6: Toezicht en Geschillenregeling
Artikel 20:
Toezicht op de naleving
Het College bescherming persoonsgegevens is op grond van de wet bevoegd controle uit te oefenen op de naleving van de in dit reglement opgenomen bepalingen.
Artikel 21: 1.
2.
Geschillenregeling
Iedereen die meent dat een deelnemer die lid is van het Verbond van Verzekeraars in strijd handelt met de bepalingen van dit reglement kan zich wenden tot de Stichting Klachteninstituut Verzekeringen, Postbus 93560, 2509 AN Den Haag. Een dergelijk bezwaar kan ook worden ingediend bij het College bescherming persoonsgegevens, Postbus 93374, 2509 AJ ‘s-Gravenhage.
Paragraaf 7: Overige Bepalingen
Artikel 22:
Publicatie
Dit reglement wordt voor een ieder ter inzage gelegd op het adres waar de verantwoordelijken gevestigd zijn en op het adres van de bewerker en de deelnemers.
Artikel 23:
Wijzigingen
De verantwoordelijke zal, indien zicht wijzigingen voordoen in doel, inhoud en gebruik van de persoonsgegevens het reglement aanpassen. 8
Artikel 24:
Inwerkingtreding en citeertitel
1. Dit reglement treedt in werking op 1 oktober 2002. 2. Dit reglement kan worden aangehaald als Privacy-reglement CIS. 3. Het CIS privacyreglement van 1 augustus 1986 en gewijzigd per 1 november 1992 komt met het in werking treden van dit reglement te vervallen.
De verantwoordelijken van de verwerking voornoemd,
Het bestuur van de Stichting Centraal Informatiesysteem,
Het Verbond van Verzekeraars,
Mr. Chris. S.A. Schonewille Voorzitter Stichting CIS
Mr. R. Weurding Directeur
9
Toelichting algemeen Ten behoeve van verzekeringsmaatschappijen hebben het Verbond van Verzekeraars en de Stichting CIS een databank ingericht met twee doelstellingen: risicobeheersing, inclusief fraudepreventie, en schadelastbeperking, inclusief fraudedetectie. De gegevens zijn in hoofdzaak afkomstig van de aangesloten verzekeringsmaatschappijen op basis van het principe van reciprociteit: alleen maatschappijen die gegevens aanleveren zijn bevoegd om de databank te raadplegen. Bij de soorten van gegevens gaat het om zowel gewone schadeclaims (‘ongekleurde gegevens’) als gegevens die te maken hebben met ervaringen uit het verleden van (aspirant) verzekerden. Deze ervaringen kunnen betrekking hebben op fraudemeldingen, opzeggingen op grond van onwaarachtige opgave, verzwijging of op gegevens met betrekking tot de ontzegging van de rijbevoegdheid (‘gekleurde gegevens’). Gegevens met betrekking tot fraudemeldingen beroepsmatig betrokkenen worden verkregen van het Verbond van Verzekeraars, gegevens omtrent ontzegging rijbevoegdheid worden via het Verbond van Verzekeraars verkregen van de Dienst Wegverkeer. Bij de meldingen die de maatschappijen kunnen aanleveren en ontvangen wordt onderscheid gemaakt tussen Meldinggegevens en Speciale Meldingen. Bij de Meldinggegevens gaat het om gegevens met betrekking tot een ingediende claim naar aanleiding van een schadegebeurtenis. Een Speciale Melding is een opgave naar aanleiding van een uitzonderingssituatie, zoals bijvoorbeeld dat een fraudemelding is opgenomen in het Externe Verwijzingsregister (EVR) die wordt bijgehouden door ABZ Nederland, die in deze optreedt als bewerker. Ook kan die situatie betekenen dat met betrekking tot een (aspirant) verzekerde een attendering geldt, bijvoorbeeld omdat een schadebedrag ten onrechte is uitgekeerd. Een derde mogelijkheid is dat de verzekering op grond van een bijzondere reden is beëindigd of geweigerd, bijvoorbeeld in verband met verzwijging dan wel dat het om personen gaat voor wie een ontzegging van de rijbevoegdheid geldt. Gelet op de ingewikkelde structuur van de soorten van gegevens en hun herkomst is gekozen voor de formule van een geïntegreerde verwerking met afzonderlijke verantwoordelijken per (deel-)verwerking. Zo treedt het Verbond van Verzekeraars op als verantwoordelijke voor de gegevens afkomstig uit de EVI-registratie en voor de gegevens omtrent ontzeggingen die zij van de Dienst Wegverkeer krijgt en de Stichting CIS voor de overige gegevens. De betrokkene kan slechts één van de verantwoordelijken aanspreken. Artikelsgewijze toelichting In artikel 1 worden de belangrijkste begrippen weergegeven. Voor het merendeel worden begrippen gebruikt die ook in de Wet bescherming persoonsgegevens voorkomen. In een enkel geval is een begrip gedefinieerd in aanvulling op de wet. Als verantwoordelijken van de verwerking treden, als hiervoor aangegeven, op zowel het bestuur van de Stichting CIS als het bestuur van het Verbond van Verzekeraars. Zij bepalen in feite, zoals dat in de memorie van toelichting van de Wet bescherming persoonsgegevens wordt omschreven, het doel, de inhoud en het gebruik van de gegevens en beslissen over de aanleg van de databank en beëindiging daarvan. Dit begrip komt in de plaats van het begriphouder ‘houder’ dat in de 10
Wet persoonsregistraties werd gehanteerd. In plaats van ‘geregistreerde’ wordt nu gesproken van ‘betrokkene’. ABZ Nederland is namens hen belast met de dagelijkse zorg voor de verwerkingen en treedt op als bewerker. In artikel 3 wordt het sleutelbegrip van de privacybescherming aangegeven, namelijk het doel van de verwerking. Dit doel is daarom belangrijk, omdat het bepaalt welke gegevens maximaal verwerkt mogen worden en waarvoor deze mogen worden gebruikt (doelbinding). De primaire doelstellingen zijn risicobeheersing, schadelastbeperking en het voorkomen, ontdekken en bestrijden van fraude. Daarnaast kunnen de gegevens gebruikt worden om meer in algemene zin met behulp van statistische analyses, zoals datamining, een bijdrage te leveren aan de bestrijding van fraude en criminaliteit. De betrokkenen worden nader omschreven in artikel 4. Het gaat om natuurlijke en rechts personen die betrokken zijn geweest bij een gemelde schade, jegens wie gegevens over fraude zijn opgenomen of van wie de verzekering is beëindigd dan wel geweigerd. Zoals in artikel 5 is verwoord, gaat het bij de opgenomen gegevens om gegevens van (rechts)-personen, objectgegevens, meldinggegevens en speciale meldingen. In het reglement is limitatief aangegeven welke gegevens ten hoogste in de databank mogen worden opgenomen. In verband met de opname van gegevens van strafrechtelijke aard (ontzegging rijbevoegdheid) zal te zijner tijd een voorafgaand onderzoek worden aangevraagd bij het College bescherming persoonsgegevens. De bewaartermijnen leveren geen problemen op, omdat deze op basis van ervaringen uit het verleden nauwkeurig zijn aan te geven. Wat betreft het verstrekkingen regime is onderscheid gemaakt tussen rechtstreekse toegang tot de gegevens en verstrekking aan deelnemers. Wat betreft de rechtstreekse toegang tot de inhoud van de databank geldt dat dit recht in de zin van muteren en verwijderen van gegevens in principe alleen is voorbehouden aan daartoe door de bewerker aangewezen functionarissen binnen de organisatie van de bewerker. Deze voorwaarde is in overeenstemming met de Wet bescherming persoonsgegevens, waar is aangegeven dat slechts personen die daartoe in het kader van hun taak bevoegd zijn de gegevens verstrekt mogen krijgen. Wat betreft de verstrekking van gegevens aan deelnemers geldt een getrapte verstrekking. Sommige gegevens mogen worden geraadpleegd door iedereen binnen de organisatie van de deelnemer, andere en dan met name de speciale melding worden enkel verstrekt aan speciaal daartoe geautoriseerde medewerkers. In beide gevallen geldt echter dat de persoonsgegevens alleen gebruikt mogen worden voor doeleinden die met het doel waarvoor de gegevens zijn verzameld verenigbaar zijn. Bepalend is daarbij de in artikel 3, lid 1, genoemde doelstelling. Van al deze verstrekkingen moet protocol worden gehouden, dat wil zeggen dat moet worden bijgehouden welke gegevens, wanneer en aan wie zijn verstrekt. De beveiligingsnormen (art. 12) spreken voor zich. Dat geldt niet voor de informatieplicht. De verantwoordelijke is op grond van de wet verplicht personen van opname van hun gegevens op de hoogte te stellen, tenzij de betrokkene reeds op de hoogte is of de informatieplicht onmogelijk is of een onevenredige inspanning kost. Aan de informatieplicht behoeft ook niet te worden voldaan, indien dit conflicteert met het belang van de voorkoming, opsporing en vervolging van strafbare feiten. Een zeer, vanuit privacy-oogpunt gezien, belangrijk onderdeel is paragraaf 5. Hierin worden de 11
rechten van betrokkenen nader omschreven. De betrokkene heeft een aantal rechten die kort samengevat neerkomen op de volgende: Recht op informatie: de betrokkene moet geinformeerd worden dat gegevens van hem verzameld en verwerkt worden, onder vermelding van het doel van de verwerking en het adres en woonplaats van de verantwoordelijke; Recht op inzage: de betrokkene mag te allen tijde verzoeken kennis te nemen van de gegevens die van hem worden verwerkt; Correctierecht: indien blijkt dat de gegevens onjuist, onvolledig of voor het doel niet relevant zijn dan kan de betrokkene verzoeken de gegevens te verwijderen, aan te vullen, af te schermen of te verwijderen. De beslissing of dit ook gebeurt ligt bij de verantwoordelijke. Wel dient de betrokkene te allen tijde worden ingelicht over diens beslissing; Het recht van verzet: een ieder heeft het recht te allen tijde verzet aan te tekenen tegen verwerking van zijn gegevens in verband met bijzondere persoonlijke omstandigheden. De verantwoordelijke dient vervolgens te beoordelen in hoeverre dit verzet gerechtvaardigd is. Op grond van de Wet bescherming persoonsgegevens is het College bescherming persoonsgegevens belast met het toezicht op de naleving van de wet. Het College kan op eigen initiatief, maar ook op verzoek van een betrokkene, een onderzoek ter plaatse instellen. Het College bescherming persoonsgegevens heeft ook de bevoegdheid om klachten te behandelen of te bemiddelen bij gerezen conflicten (art. 20 en 21). Klachten kunnen ook worden ingediend bij de Stichting Klachteninstituut Verzekeringen. Het opstellen van een reglement is belangrijk, omdat door het beschrijven van de verwerking openheid wordt betracht richting betrokkenen. Het spreekt voor zich dat de verantwoordelijken vanuit die openheid verplicht zijn reglement en formulier van aanmelding voor een ieder ter inzage te leggen op die plaatsen waar normaal gesproken de betrokkenen komen. Het ligt voor de hand dat niet alleen het adres van de verantwoordelijken hiervoor in aanmerking komt, maar ook de afzonderlijke maatschappijen die gegevens aanleveren en de databank bevragen. Wanneer zich wijzigingen in de verwerking voordoen moeten reglement en formulier van aanmelding worden aangepast. Het is de taak van de verantwoordelijke om dit te bewaken.
12