Workshop bijzondere persoonsgegevens dr. Jan Holvast Holvast & Partner, Landsmeer mr. Marie-José Bonthuis IT’s Privacy, Groningen Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
1
Overzicht presentatie • Persoonsgegevens • Wet Bescherming Persoonsgegevens, Gedragscode • Bijzondere gegevens -Gegevens omtrent gezondheid -Strafrechtelijke gegevens • Conclusies en aanbeveling Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
2
Persoonsgegevens • Gegeven betreffende een geïdentificeerde of identificeerbare persoon • Gegeven moet informatie verschaffen over een natuurlijke persoon (eenpersoonsbedrijven) • Gegeven moet herleidbaar zijn tot een natuurlijke persoon Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
3
Gelaagdheid WBP • Verwerking pas geoorloofd wanneer aan de andere voorwaarden is voldaan • Vooral: – Rechtmatige grondslag – Verenigbaar gebruik – Moet onderdeel zijn van de melding
Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
4
Verenigbaar gebruik + Verwantschap doelen Aard van de gegevens Gevolgen betrokkene Wijze van verkrijging Passende maatregelen Artikel 43 Anders, namelijk …. Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
5
+/-
-
Bijzondere gegevens (I) (Art. 16) • • • • • • •
Godsdienst of levensovertuiging Ras (o.a. foto’s en camerabeelden) Politieke gezindheid Gezondheid Seksuele leven Lidmaatschap vakvereniging Strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag
Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
6
Persoonsnummer • Nummer ter identificatie bij wet voorgeschreven: – Sofi-nummer – Burgerservicenummer (BSN) – Kenteken
• Gebruik niet geoorloofd, ook niet met toestemming Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
7
Bijzondere gegevens (II) • Verboden tenzij bij wet toegestaan • Onder wet ook: bepalingen van art. 1722 • Algemene uitzondering: art. 23
Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
8
Bijzondere ggevens (III) • Algemene uitzondering: artikel 23: – Uitdrukkelijke toestemming – Verdediging recht in rechte – Gegevens openbaar gemaakt – Zwaarwegend algemeen belang bij wet bepaald of ontheffing CBP – Wetenschappelijk onderzoek: toestemming tenzij… Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
9
Gegevens omtrent gezondheid • Ruim begrip: alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen • Dus niet alleen medische gegevens in de klassieke zin
Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
10
Verzekeraars • Verwerking gegevens omtrent gezondheid in verband met twee activiteiten: – Beslissing door verzekeraar (WBP) – Advies medisch adviseur (WGBO)
Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
11
Wet bescherming persoonsgegevens • Artikel 21 • Eerste lid, onder b, noodzakelijk voor: – De beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt – De uitvoering van de overeenkomst van verzekering
• Tweede lid: geheimhoudingsplicht • Derde lid: andere bijzondere gegevens in aanvulling op … Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
12
Wet geneeskundige behandelingsovereenkomst • Geen behandelingsovereenkomst indien toelating tot een verzekering • Wel: – Artikel 464: schakelbepaling voor zover de aard van de rechtsbetrekking zich daartegen niet verzet – Artikel 454: dossiervorming – Artikel 457: geheimhoudingsplicht Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
13
Strafrechtelijke gegevens • • • •
Artikel 22 Tweede lid: ten eigen behoeve Vierde lid: ten behoeve van derden Vijfde lid: ook andere bijzondere gegevens in aanvulling op …
Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
14
Verzekeraars • Onderscheid tussen: – Ten eigen behoeve: (gebeurtenissenadministratie en IVR) – Ten behoeve van derden (incidentenregister en EVR)
Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
15
Gebeurtenissenadministratie (I) • Gegevens van belang voor veiligheid en integriteit en om die reden speciale aandacht behoeven • Valt onder de Gedragscode FI • Zowel cliënten als personeel • Alleen door speciale afdelingen (Veiligheidszaken, fraude coordinator)
Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
16
Gebeurtenissenadministratie (II) • • • •
Verwijsgegevens in IVR IVR: raadpleegbaar door andere afdelingen Bewaartermijn: zo lang als noodzakelijk is Voeding van incidentenregister
Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
17
Incidentenregister (I) • Valt onder het Protocol Incidentenwaarschuwingssysteem • Voorafgaand onderzoek nodig • Alleen door afdeling Veiligheidszaken • Uitwisseling met andere afdelingen Veiligheidszaken Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
18
Incidentenregister (II) • Verwijsgegevens in het EVR • EVR: raadpleegbaar door andere afdelingen • Bewaartermijn: vier jaar
Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
19
Conclusies • Verwerking onder strikte voorwaarden toegestaan • Vastgelegd in Gedragscode • Vastgelegd in Protocol • CBP houdt de sector in de gaten • Periodieke controle van de verwerking is gewenst Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
20
Dank voor uw aandacht!
Congres Privacy Verzekerd Verbond van Verzekeraars 2 juni 2010
21
Doeleinden direct marketing Het tot stand brengen en/of in stand houden van een directe relatie met (ex-) klanten; Het vaststellen van profielen, transacties en interesses van (ex-) klanten en respondenten; Communicatie en het uitvoeren van loyaliteitsprogramma’s; Exploitatie van klantgegevens
02-06-2010
23
Nieuwe technieken leiden tot nieuwe vormen van direct marketing
02-06-2010
24
02-06-2010
25
Opbouw bestanden met klantgegevens; Onderzoek, samenvoeging en verrijking bestanden; profilering; Afstemmen voorkeuren; Rechtstreekse communicatie met klanten; (Cross-)selling; Ander gebruik van gegevens (kostenbesparing).
02-06-2010
26
Wet bescherming persoonsgegevens Art. 8, onder a Wbp: ondubbelzinnige toestemming; Art. 8, onder f Wbp: noodzakelijk voor behartiging van gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt. commercieel belang van verantwoordelijke valt hier ook onder (recht om mailings te verzenden); echter: belangenafweging. bovendien: rekening houden met specifieke regels (Tw., Gedragscode)
02-06-2010
27
Telecommunicatiewet Toepassing: automatische oproepsystemen zonder menselijke tussenkomst, faxen en elektronische berichten. Hoofdregel: voorafgaande toestemming
Uitzondering: bestaande relaties. Voorwaarden: - gegevens verkregen in het kader van de verkoop van eigen producten en diensten (niet aankoop bestanden); - betrekking hebbende op eigen gelijksoortige diensten en producten als die in het kader waarvan de elektronische contactgegevens oorspronkelijk zijn verzameld; - aanbieden opt-out bij verzamelen gegevens en bij iedere afzonderlijke communicatie (algemene voorwaarden); - moet gaan om communicatie voor commerciële, ideële of charitatieve doeleinden.
02-06-2010
28
Gedragscode (2010) Art. 5.4.1: volledige Groep kan Client benaderen t.b.v. marketingdoeleinden, mits dit voldoende aan de Client duidelijk is gemaakt. Art. 5.4.2: bij marketingdoeleinden primair gebruik maken van persoonsgegevens bij betrokkene verkregen (anders: informatieplicht). Art. 5.4.3: verplichting bewerkersovereenkomst. Art. 5.4.5: nagaan of betrokkene gebruik heeft gemaakt van recht van verzet dan wel staat ingeschreven in het Bel-meniet- register
02-06-2010
29
Gedragscode (2010) Art. 5.4.6: Bijzondere persoonsgegevens (waaronder persoonsgegevens betreffende iemands gezondheid en strafrechtelijke persoonsgegevens) mogen alleen voor marketingdoeleinden worden gebruikt met de uitdrukkelijke toestemming van betrokkene. Let op verhouding marketingdoeleinden en artikel 6.1 Gedragscode - verwerking bijzondere persoonsgegevens toegestaan in geval van: uitvoering overeenkomst; Uitdrukkelijke toestemming; Noodzakelijk met oog op zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan we het CBP ontheffing heeft verleend.) 02-06-2010 30
Praktijkvoorbeelden commercieel gebruik persoonsgegevens 1. Behavioral targeting; 2. Nieuwe technieken: RFID + bluecasting; 3. Nieuwsbrieven; 4. Telemarketing; 5. Tell a friend (viral marketing);
02-06-2010
31
02-06-2010
32
Een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een abonnee of gebruiker van openbare elektronische communicatiediensten dan wel gegevens wenst op te slaan in de randapparatuur van de abonnee of gebruiker van openbare elektronische communicatiediensten, dient voorafgaand aan de desbetreffende handeling de abonnee of gebruiker: a. op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en b. op voldoende kenbare wijze gelegenheid te bieden de desbetreffende handeling te weigeren. 02-06-2010
33
Privacy statement Wehkamp: Voor gepersonaliseerde aanbiedingen maakt Wehkamp ook gebruik van diensten van derden, waaronder zoekmachines. U verklaart zich ermee akkoord dat de zoekgegevens die u bij derden waar Wehkamp mee samenwerkt achterlat, mogen worden gekoppeld aan uw gegevens die reeds bij Wehkamp bekend zijn en waarmee aanbiedingen en productinformatie voor u worden gepersonaliseerd. Privacy statement Tele2: Daarnaast kan Tele2 de gegevens verwerken, en zo nodig aan derden verstrekken, als dit nodig is voor de behartiging van een gerechtvaardigd belang van Tele2, waarvoor de Klant door het aangaan van een Overeenkomst met Tele2 toestemming geeft. Daaronder worden in elk geval begrepen de verwerkingen die nodig zijn in het belang van een verantwoorde bedrijfsvoering. Gegevens kunnen tevens aan derden worden verstrekt in het kader van een overdracht van bedrijfsonderdelen van Tele2.
02-06-2010
34
“Internet is an advertisement supported service and the development of marketing based on profiling and personal data is what makes it go round. Personal data is the new oil of the internet and the new currency of the digital world”. “Why do we need action? Because from the point of view of commercial communications the World Wide Web is turning out to be the world "wild west". And this could be very damaging.” “Today I want to send one very clear message to those involved in all aspects of the digital world - Consumer rights must adapt to technology, not be crushed by it.” Meglena Kuneva, European Consumer Commissioner 02-06-2010
35
Cruciaal belang bij behavioral targeting: - informatie; - toestemming.
02-06-2010
36
Praktijkvoorbeelden commercieel gebruik persoonsgegevens 1. Behavioral targeting; 2. Nieuwe technieken: RFID + bluecasting; 3. Nieuwsbrieven; 4. Telemarketing; 5. Tell a friend (viral marketing);
02-06-2010
37
02-06-2010
38
Is er sprake van verwerking van persoonsgegevens? Actie Score: gebruik Bluetooth + verzenden SMS
02-06-2010
39
Praktijkvoorbeelden commercieel gebruik persoonsgegevens 1. Behavioral targeting; 2. Nieuwe technieken: RFID + bluecasting; 3. Nieuwsbrieven; 4. Telemarketing; 5. Tell a friend (viral marketing);
02-06-2010
40
Versturen nieuwsbrieven, offertes nieuwe producten en diensten, prijsvragen advertenties: onderscheid on-line en off-line (Tw. Vs. Wbp.) In beide gevallen: let op bepalingen Gedragscode, vooral mbt gebruik bijzondere persoonsgegevens. Hoofdregel in geval van ongevraagde elektronische communicatie (spam) (e-mail, SMS) voor commerciële, ideële of charitatieve doeleinden: toestemming ontvanger. Toestemming: - vrije wilsuiting; - gerichte toestemming; - informed consent Minderjarigen < 16 jaar: toestemming wettelijke vertegenwoordiger 02-06-2010
41
Uitzondering: bestaande relaties. Voorwaarden: - gegevens verkregen in het kader van de verkoop van eigen producten en diensten (niet aankoop bestanden); - betrekking hebbende op eigen gelijksoortige diensten en producten als die in het kader waarvan de elektronische contactgegevens oorspronkelijk zijn verzameld; - aanbieden opt-out bij verzamelen gegevens en bij iedere afzonderlijke communicatie (algemene voorwaarden); - moet gaan om communicatie voor commerciele, ideele of charitatieve doeleinden.
02-06-2010
42
Regeling: tot 1 juli 2009: b-to-c Vanaf 1 juli 2009: ook b-to-b Probleem met betrekking tot introductie – geen overgangstermijn opgenomen aanbieden mogelijkheid optout bij verzamelen van gegevens veelal nagelaten.
02-06-2010
43
02-06-2010
44
Visie OPTA (informeel): onderscheid maken tussen bestaande relaties en nieuwe relaties
02-06-2010
45
Praktijkvoorbeelden commercieel gebruik persoonsgegevens 1. Behavioral targeting; 2. Nieuwe technieken: RFID + bluecasting; 3. Nieuwsbrieven; 4. Telemarketing; 5. Tell a friend (viral marketing);
02-06-2010
46
Situatie voor 1 oktober 2009: Opt-out regime voor andere middelen (bij elke overgebrachte communicatie). Situatie na 1 oktober 2009: introductie ‘Bel-mij-niet’ register. ‘Bel-mij-niet’ register: - inschrijving voor onbepaalde tijd (‘tot wederopzegging’); - verbod overbrengen communicatie aan ingeschrevenen; - uitzondering: bestaande relaties (voor eigen gelijksoortige producten en diensten) - Altijd wijzen op register + onmiddellijke opname in register
02-06-2010
47
Praktijkvoorbeelden commercieel gebruik persoonsgegevens 1. Behavioral targeting; 2. Nieuwe technieken: RFID + bluecasting; 3. Nieuwsbrieven; 4. Telemarketing; 5. Tell a friend (viral marketing);
02-06-2010
48
02-06-2010
49
Voorbeelden “tell a friend”: - ansichtkaarten; - nieuwsberichten; - Quiz.
02-06-2010
50
Juridische aspecten Tw.: ongevraagd verzenden van e-mail; Wbp: overeenstemming met de wet (artikel 6 jo. Wbp) informatieplicht, opslaan
02-06-2010
51
Voorwaarden voor ‘tell a friend’: - Volledig eigen initiatief van de internetgebruiker; geen (kans op) beloning; - Voor ontvanger moet het duidelijk zijn wie de initiatiefnemer is; - Initiatiefnemer moet inzage in e-mail hebben voordat deze wordt verzonden; - Adverteerder mag e-mail niet opslaan/verder gebruiken
02-06-2010
52
Parallelsessie Privacy & herstructurering 14.00-15.00 u. Prof. Mr. Jan Kabel
Eureko / Achmea: Centraal Beheer Achmea, Zilveren Kruis Achmea, Avero Achmea en FBTO Uvit: Univé, VGZ, IZA-IZZ en Trias ING Groep: Nationale Nederlanden Fortis: De Amersfoortse, Europeesche Verzekeringen en Ditzo CZ Groep: CZ, OZ, Delta Lloyd Groep, OHRA SNS Reaal : De Centrale ,Concordia, Hollandse Koopmansbank, ASN, Hooge Huys Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
55
Faillissement, centralisering, (due diligence onderzoek bij) fusies en overname Gemeenschappelijk kenmerk: Verwerking van persoonsgegevens in een eventueel andere dan de oorspronkelijke context (doelbinding) Verwerking door andere verantwoordelijke (ook binnen een groep)
Leidend beginsel: EHRM 25 juni 1997 (Halford/United Kingdom) Ms Alison Halford wordt op haar werk – en haar privételefoon afgeluisterd bij procedure wegens discriminatie i.v.m. sollicitatie naar post van commissaris van politie Beginsel van redelijke privacyverwachting: had Ms Halford mogen verwachten dat zij werd afgeluisterd? Factoren: informatie, feitelijke omstandigheden, hoe meer informatie des te minder privacyverwachting (communicerende vaten)
Uitwerking in artikel 9 Wbp en gedragscodes Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
56
9 lid 1: Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen 9 lid 2: beoordeling (on)verenigbaarheid (5 criteria) (1) Verwantschap doeleinden + Hypothecaire lening = opstalverzekering; pensioenverzekering = aanvullende pensioenverzekering - claimgedrag bij ziektekostenverzekering arbeidsongeschiktheidsverzekeraar
(2) Aard gegevens Gezondheidsgegevens voor verzekering X gebruiken voor risicobeoordeling verzekering Y Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
57
(3) Gevolgen voor betrokkene + direct marketing algemeen; + wetenschappelijk onderzoek - weigering verzekering; - direct marketing op basis van selectie declaratiegegevens ziektekosten
(4) Wijze van gegevensverkrijging Bij betrokkene zelf of buiten betrokkene om
(5) Mate van passende waarborgen Bezwaarmogelijkheden, anonimisering
Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
58
9 lid 3: Verdere verwerking voor uitsluitend statistische of wetenschappelijke doeleinden mogelijk mits voorzieningen getroffen t.b.v. die doeleinden 9 lid 4: Geen verdere verwerking indien geheimhoudingsplicht Verplichting voor apothekers om per kwartaal geautomatiseerde rapportage per verzekerde aan zorgverzekeraar te verstrekken over individueel gebruik van diabetes testmateriaal in strijd met . geheimhoudingsplicht apothekers (88 Wet BIG)
P.m. uitzonderingen: 43
Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
59
Vzr. Rb Amsterdam 12 februari 2004, LJN AO3649 (X en Y B.V./Broadcast Press) Database met relaties B.V. door curator verkocht aan Broadcast Press Vordering B.V. op basis van artikel 9 Wbp: onverenigbaar gebruik Curator bevoegd? Ja, indien verkoop voortvloeit uit doel verwerking (Cbp 13 november 2001, z2001-1242) Opt-out brief door Broadcast Press aan relaties B.V. Toetsing aan 9 lid 2 Wbp: onschuldige gegevens, min of meer dezelfde doeleinden, geen ernstige gevolgen voor betrokkenen, opt-out mogelijkheid Voorziening geweigerd
Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
60
ING Car lease N.V
het Assurantiebedrijf van ING Bank N.V.
ING Bank N.V
Postbank Schadeverzekering N.V.
Postbank N.V
Postbank Levensverzekering N.V.
RVS Levensverzekering N.V.
RVS Schadeverzekering N.V.
Bank Mendes Gans N.V.
Centraal relatiebestand (louter intern, dochterondernemingen houden eigen logo) Cbp 20 maart 2003, z2002-0881 Privacy Verzekerd
61 Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
61
Casus: De ING Groep heeft haar klanten middels een brief geïnformeerd over de aanleg van deze database. Deze brief wijst de klanten erop dat alle klantgegevens voortaan in één centraal systeem worden vastgelegd. Zo wordt verspilling voorkomen doordat dingen dubbel worden verstuurd en kan de ING Groep de dienstverlening nog gerichter op de persoonlijke behoefte van de cliënt afstemmen. Als iemand er bezwaar tegen heeft dat zijn gegevens in dit klantensysteem worden opgenomen kon hij dit aangeven via een bijgevoegde coupon. Prima toch? 62 Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
62
Verandering van doelstelling? Art. 9 Wbp - Levering financiële producten marktonderzoek, statistiek (o.a. bepaling klantwaarde: RFMV), direct marketing), of: - Efficiënte bedrijfsvoering bedrijfsvoering
Efficiënte
Let op: informatie blijkt zaligmakend
63 Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
63
“Wil er sprake zijn van verwantschap tussen het verkrijgen van gegevens door een label om een bepaald product te kunnen leveren, en het verstrekken van deze gegevens aan een klantenbestand ten behoeve van een aantal labels voor marketing en wetenschappelijke doeleinden, dan moet de ING groep er onder meer voor zorg dragen dat duidelijke informatie gegeven wordt over de integratie van de diverse bedrijfsonderdelen zodat verwarring hierover voorkomen wordt.”
64 Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
64
“Het feit dat het hier gevoelige informatie betreft en de aard van de relatie zodanig is dat men vertrouwelijkheid mag verwachten, brengt met zich mee dat betrokkenen helder geïnformeerd dienen te worden over de aard van de gegevens die zullen worden uitgewisseld en het gebruik dat daarvan zal worden gemaakt. Dit stelt hen immers in staat om zelf af te wegen of zij wel of niet gebruik willen maken van de tegen deze verwerking geboden bezwaar mogelijkheid.”
65 Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
65
“Het gebruik van persoonsgegevens voor DM of wetenschappelijk onderzoek heeft immers geen invloed op iemands mogelijkheden tot maatschappelijke ontplooiing. Ieder is vrij de aan hem gestuurde mailing al dan niet te lezen.”
66 Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
66
“Als de gegevens vrijwillig zijn verstrekt zal er eerder sprake zijn van verenigbaar gebruik dan wanneer de betrokkene de gegevens voor een (ander) bepaald doel heeft moeten afgeven. Overigens speelt de verwachting van de betrokkene over het gebruik van zijn gegevens in het eerste geval een belangrijke rol voor de beantwoording van de verenigbaarheidsvraag. Zoals eerder gezegd wordt deze verwachting mede bepaald door de aard van de onderliggende relatie en de informatie die de cliënt heeft gekregen.”
67 Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
67
“De mate waarin passende waarborgen dienen te worden getroffen, hangt af van de uitkomst van de weging van de vier hiervoor genoemde criteria. In het uiterste geval zal aan de betrokkene toestemming gevraagd moeten worden voor een bepaalde gegevensverwerking. In minder ‘zware’ gevallen volstaat het bieden van een bezwaarmogelijkheid of het informeren van de cliënt over een bepaalde gegevensverwerking. De ING Groep heeft cliënten in de gelegenheid gesteld bezwaar te maken tegen opname van hun gegevens in het relatiebestand.”
68 Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
68
“Door de weinig specifieke wijze waarop de betrokkenen in de brief zijn geïnformeerd over de op handen zijnde gegevensverstrekking is in de onderhavige situatie dan ook geen sprake van een verstrekking die verenigbaar is met het doel waarvoor de gegevens zijn verzameld.”
69 Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
69
Niet vooraf op te nemen in doelstelling In beginsel volstaan met geaggregeerde gegevens Verstrekking van persoonsgegevens aan due diligence uitvoerder (advocatenkantoor) alleen, indien uitvoerder noodzaak van die verstrekking aantoont Informatie aan betrokkene op de voet van artikel 34 (op moment van verstrekking aan uitvoerder onderzoek)? In beginsel alleen eindresultaat melden aan bestuur geïnteresseerde onderneming Personeelsregistratie moet altijd aangemeld zijn bij Cbp, want due diligence verstrekking valt buiten vrijstelling RK 2 november 1998, 98.V.0525.01
Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
70
Gegevens onder medisch beroepsgeheim arbo-arts Overdracht als noodzakelijk in kader verzuimbegeleiding (lopende gevallen en gevallen waarin een werknemer binnen vier weken na een hersteld melding opnieuw uitvalt) Werknemer moet op de hoogte worden gesteld en de mogelijkheid te hebben bezwaar aan te tekenen
Andere gegevens Overdracht zonder individuele toestemming mogelijk (ook voor lopende arbeidsongeschiktheidsgevallen)
Instemming Ondernemingsraad In overeenstemming met overige eisen Wbp (bijv. melding, opschoning, e.d.) Cbp 18 juni 2007, z2006-00918 Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
71
Privacy Verzekerd
Congres Privacy Verzekerd29-7-2010 Verbond van Verzekeraars 2 juni 2010
72
Seminar Privacy Verzekerd 2 juni 2010, Verbond van Verzekeraars, Zeist
Parallelsessie ‘Uitbesteding’ Jean Paul van Schoonhoven senior compliance officer
Onderwerpen De wet De gedragscode Concernverantwoordelijkheid Actualiteit Communicatiestrategie Risico’s Tips Vragen?
74
Uitbesteding
75
Uitbesteding Uitbesteding verlegt de plaats van uitvoering van werkzaamheden, maar niet de verantwoordelijkheid daarvoor. Het is in beginsel niet van belang of een uitbesteding plaatsvindt binnen of buiten de groep waartoe de instelling behoort. Beide vallen onder de term 'externe dienstverlener/ leverancier'. Het is van belang dat een instelling inzicht heeft in de risico's die samenhangen met de uitbesteding van de bedrijfsprocessen én de risico's blijvend beheert (www.dnb.nl)
76
Uw aanvliegroute Governance of ad-hoc? Reactief of pro-actief? Proces- of beleidsvorming? Productontwikkeling of vergroten awareness?
77
De wet Wet op het financieel toezicht Besluit prudentiële regels Wft Wet ter voorkoming van witwassen en het financieren van terrorisme Wet bescherming persoonsgegevens Pensioenwet
78
Wft, Bpr en Wwft (Integriteit, anti-witwas, anti-terrorismefinanciering) Artikel 3:18 Wft Indien een financiële onderneming met zetel in Nederland werkzaamheden uitbesteedt aan een derde, draagt de financiële onderneming er zorg voor dat deze derde de ingevolge dit deel met betrekking tot die werkzaamheden op de uitbestedende financiële onderneming van toepassingzijnde regels naleeft.
Artikel 27 en 32 Bpr Wft Een financiële onderneming of bijkantoor als bedoeld in artikel 3:18, eerste lid, 3:22, 3:23, 3:24b, 3:25, 3:26 of 3:27, van de wet gaat niet over tot het uitbesteden van werkzaamheden indien die uitbesteding een belemmering kan vormen voor een adequaat toezicht op de naleving van het bij of krachtens het Deel Prudentieel toezicht financiële ondernemingen van de wet bepaalde.
Artikel 10 Wwft* 1. Een instelling kan het cliëntenonderzoek, bedoeld in artikel 3, eerste lid, voor zover het betrekking heeft op het in het tweede lid, onderdelen a, b, en c, van dat artikel bepaalde, laten verrichten door een derde, onverminderd haar verplichting om te voldoen aan het in die onderdelen bepaalde. 2. Indien de in het eerste lid bedoelde uitbesteding een structureel karakter heeft legt de instelling de opdracht daartoe schriftelijk vast.
79
Wbp en Pensioenwet Artikel 34 Pw Indien een pensioenuitvoerder werkzaamheden uitbesteedt aan een derde draagt hij er zorg voor dat deze derde de bij of krachtens deze wet gestelde regels, die van toepassing zijn op de uitbestedende pensioenuitvoerder, naleeft.
Artikel 14 Wbp 1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen. 2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke. 3. De verantwoordelijke draagt zorg dat de bewerker a.de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid en b. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13 . 4. Is de bewerker gevestigd in een ander land van de Europese Unie, dan draagt de verantwoordelijke zorg dat de bewerker het recht van dat andere land nakomt, in afwijking van het derde lid, onder b. 5. Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen als bedoeld in artikel 13 schriftelijk of in een andere, gelijkwaardige vorm vastgelegd. 80
De gedragscode Onderdeel 4.12; 5.4.3; 8.2.1; 8.3.2 Toelichting: - IT-dienstverleners - HRM - marketing - internationaal Tussenpersonen (?)
81
Concernverantwoordelijkheid Maakt het binnen een concern uit wie verantwoordelijk en aansprakelijk is jegens de betrokkene?
82
Compliance Heeft compliance een rol?
83
Actualiteit (…) Sofi-nummer: administratief gebruik door verzekeraars en verzekeringstussenpersonen? (10 mei 2001, z2001-0330) Verstrekking van saldogegevens aan intermediairs voor provisieberekening en advies (31 juli 2001, z2001-0179) Verstrekking persoonsgegevens aan derden door ASN Bank N.V. (juni 2009, z2008-01606) Verstrekking dossiergegevens aan herverzekeraars
84
‘Vertrouwen komt te voet en gaat te paard’
85
86
Privacy appetite Welke risico’s onderkennen we? Welke risico’s willen we lopen? Welke mate van verwezenlijking risico’s accepteren we? Wat zijn de voorzienbare gevolgen van risico gebaseerd handelen? Wat zijn eventuele restrisico’s?
87
Risico’s Juridische risico’s Reputatierisico’s Financiële risico’s Operationele risico’s
88
Communicatiestrategie bij incidenten Damage control Geen macht maar kracht Transparant, open, eerlijk, ook bij dissenting opinion Kosten/baten afweging
89
Tips
Maak en gebruik een vast stappenplan Bekijk een situatie vanuit het perspectief van de betrokkene en niet vanuit die van de verantwoordelijke Bedenk wat er mis kan gaan en welke gevolgen dit heeft zonder met de kans rekening te houden
90
Vragen?
91
Interessante jurisprudentie(bundel)
92
° °
