Privacy

Stichting Welmoede Privacy beleid

CONCEPT

In dit privacy statement kun je lezen welke gegevens Stichting Welmoede van je verwerkt en waarom Stichting Welmoede dit doet. Op dit moment zijn de digitale diensten zoals web-portal, smartphone app en de betaalkaart nog niet voor gebruik beschikbaar, echter het gebruik en de verwerking van de persoonsgegevens zoals deze handmatig met en voor jou worden vastgelegd, verwerkt en doorgenomen zullen op gelijke wijze als beschreven in dit privacy statement worden behandeld alsof de digitale diensten al operationeel zijn.

 

Het privacy statement van Stichting Welmoede

 

In dit privacy statement kan je lezen welke gegevens Stichting Welmoede van je verwerkt en waarom Stichting Welmoede dit doet.

 

Stichting Welmoede respecteert jouw privacy en doet er alles aan om jouw persoonsgegevens te beschermen. Wij staan ervoor in dat onze dienstverlening voor jou transparant, persoonlijk en betrouwbaar is. We zijn dan ook voortdurend op zoek naar manieren om onze dienstverlening te verbeteren en deze zoveel mogelijk af te stemmen op jouw persoonlijke wensen en behoeften. Daarbij verwerken we jouw persoonsgegevens zorgvuldig en veilig. Ook is het zo dat wij jouw persoonsgevens niet zonder jouw expliciete toestemming vooraf aan een derde verstrekken. In dit verzoek maken wij bekend wie deze derde is. Een uitzondering hierop kan zijn dat vanuit toezichthouders of uit hoofde van juridisch onderzoek jouw  persoonsgevens van rechtswege aan daartoe geautoriseerde partijen moet worden verstrekt. We verwerken jouw persoonsgegevens in overeenstemming met de Wet bescherming persoonsgegevens en de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. In de Gedragscode zijn de regels van de Wet bescherming persoonsgegevens nader uitgewerkt voor banken. Je kan de gedragscode lezen in de Bijlage.

 

Het privacy statement van Stichting Welmoede kan wijzigen als nieuwe ontwikkelingen daartoe aanleiding geven. Het meest actuele privacy statement vind je altijd op onze website. Dit privacy statement is op 12 februari 2017 het laatst gewijzigd. We raden je aan dit privacy statement geregeld te raadplegen, zodat je op de hoogte bent van wijzigingen.

 

 

Wanneer is dit privacy statement van toepassing?

 

Dit privacy statement is van toepassing op alle gegevens die Stichting Welmoede verzamelt en verwerkt van (potentiële) klanten en van gebruikers van haar website, apps en andere diensten.

 

 

Wie is verantwoordelijk voor jouw gegevens?

 

Stichting Welmoede BV, gevestigd te Huissen aan de Koerierstraat 1 (6852 TA), (hierna te noemen: “Buproxy”) is aangewezen als verantwoordelijke voor de verwerking van persoonsgegevens.

 

De verwerkingen van persoonsgegevens zijn aangemeld bij de functionaris voor de gegevensbescherming van Stichting Welmoede, zoals beschreven in artikel 62 Wet bescherming persoonsgegevens. Deze functionaris ziet erop toe dat de verwerking binnen Stichting Welmoede en aan haar gelieerde instellingen zoals de Stichting Derden Gelden Stichting Welmoede in overeenstemming is met de wet, dit privacy statement en de gedragsregels. Daarnaast zal deze functionaris zich er ook toe inspannen dat de bemiddelaars in Stichting Welmoede diensten de gegevens niet kunnen verwerken en zich houden aan dit Privacybeleid.

 

 

Uitleg en opbouw van dit privacy statement

 

In dit privacy statement beschrijven we welke persoonsgegevens Stichting Welmoede in dit kader van je verwerkt en voor welke doeleinden we dat doen. Ook leggen we in dit privacy statement uit wat deze verwerkingen precies inhouden.

 

Voor het webportal en de smartphone app moet je je apart aanmelden, bijvoorbeeld voor het doen van betalingen. In dat geval kan het zijn dat je apart expliciete toestemming geven voor de verwerking van jouw persoonsgegevens.

 

 

Welke gegevens verwerken wij en waarom?

 

Functionaliteiten van de Stichting Welmoede website en app

 

Wanneer je een Stichting Welmoede website bezoekt of een Stichting Welmoede app gebruikt, verwerken wij een aantal gegevens van je om de functionaliteiten van deze onlinediensten te bieden en deze technisch te beheren. In dit verband verwerken we jouw gegevens voor de volgende doelen:

 

Om jou onze website, webportal en app functionaliteiten te kunnen aanbieden

 

Wat houdt dit doel in?

Wanneer je onze website bezoekt of onze app gebruikt, verwerken wij jouw technische gegevens om de functionaliteiten van de websites en apps te bieden. Met deze gegevens zijn onze website- en appbeheerders in staat om de websites en apps te beheren en te verbeteren. Zo kunnen zij bijvoorbeeld technische storingen oplossen of de beschikbaarheid verbeteren. Om te zorgen dat je informatie op onze websites snel en eenvoudig kunt vinden, gebruiken we ook cookies. Lees meer over deze cookies op onze website.

 

Welke gegevens verwerken wij hiervoor?

Voor dit doel verwerken wij technische gegevens zoals het lP-adres van jouw apparaat, de bezochte web- of app-pagina’s, klik- en surfgedrag, de internetbrowser waarmee je surft, vorige/volgende bezochte sites en de duur van een bezoek of sessie.

Het afsluiten, administreren en uitvoeren van jouw overeenkomsten met ons

 

Als je klant van ons wordt, rechtstreeks, op uitnodiging of via een door ons geaccepteerde adviseur of bemiddelaar, verwerken wij jouw gegevens voor de volgende doelen:

 

Om je aanmelding te beoordelen, het financieel product of dienst af te sluiten en uit te voeren

 

Wat houdt dit doel in?

Producten en diensten kan je via het online aanmeldingsformulier op de website of app van Stichting Welmoede of via een door ons geaccepteerde bemiddelaar afsluiten. Wanneer wij je aanmelding ontvangen, verwerken wij jouw gegevens om het product of dienst te kunnen afsluiten en administreren.

 

Na ontvangst van je aanmelding, zullen we jouw aanmelding beoordelen. We doen dit op basis van de gegevens die je zelf, of via je bemiddelaar aan ons hebt verstrekt. Als je aanmelding akkoord is, dan sturen we een bevestiging per e-mail.

 

Stichting Welmoede informeert je over belangrijke ontwikkelingen voor het uitvoeren van jouw contract. Je ontvangt informatie digitaal. Je kan per e-mail bericht krijgen als er belangrijke rapporten en berichten voor je klaar staan in de Persoonlijke Budget- en Betaalomgeving, zoals jouw jaaropgave.

 

Welke gegevens verwerken wij hiervoor?

Wij verwerken gegevens zoals je naam, adres-woonplaatsgegevens, land, geboortedatum, geslacht, Burgerservicenummer, e-mailadres, telefoonnummers, IBAN-nummers, gegevens van identiteitsbewijs, of je belastingplichtig bent buiten Nederland en zo in welk land, informatie over relevante kennis en ervaring, betalings- en inkomsten en uitgavengegevens, score over betrouwbaarheid persoonsgegevensgegevens over de producten en correspondentie. [Voor de uitvoering van een betaling via een telefoonnummer (Stichting Welmoede telnummer) verwerken en bewaren wij persoonsgegevens van de begunstigde (telefoonnummer en IBAN-nummer)].

 

Om jouw Persoonlijke Budget- en Betaalomgeving te beheren

 

Wat houdt dit doel in?

Als je een Budgetrekening hebt, krijg je toegang tot je Persoonlijke Budget- en Betaalomgeving. Als je inlogt op jouw Persoonlijke Budget- en Betaalomgeving, heb je op één plek een overzicht van alle producten, diensten en Budgetten die je bij Stichting Welmoede hebt afgesloten. Ook kun je hier jouw gegevens beheren, zoals het inrichten van de budgetten, verrichten van betalingen en inzicht krijgen in je financiële situatie. Je kunt inloggen op je Persoonlijke Budget- en Betaalomgeving via de Stichting Welmoede website en via de Stichting Welmoede App.

 

Welke gegevens verwerken wij hiervoor?

Voor dit doel verwerken we jouw inloggegevens van je Persoonlijke Budget- en Betaalomgeving (je inlognaam en wachtwoord en persoonlijke pincode), de specificaties van de producten en diensten die je bij Stichting Welmoede hebt afgenomen, eventuele wijzigingen die je in jouw gegevens doorvoert en andere gegevens die je ons in dit verband verstrekt.

 

 Om contact met je te onderhouden en jouw vragen te kunnen beantwoorden

 

Wij willen je graag een goede service bieden. Hierbij hoort ook dat we je snel te woord kunnen staan via verschillende kanalen. Zo kunnen we snel reageren als je contact met ons zoekt en kunnen we vragen of klachten in behandeling nemen. In dit verband verwerken we jouw gegevens voor de volgende doelen:

 

Om je vragen en klachten te kunnen behandelen gebruiken we ook jouw persoonsgegevens

 

Wat houdt dit doel in?

Je kunt ons via verschillende kanalen (zoals via de Stichting Welmoede website, per e-mail, telefoon en chat) benaderen met vragen of klachten. Als je contact met ons opneemt zullen wij je persoonsgegevens verwerken om je vraag te beantwoorden. Je kunt ons ook benaderen via sociale media.

 

Welke gegevens verwerken wij hiervoor?

Voor dit doel verwerken wij je naam, contactgegevens, je correspondentie met Stichting Welmoede over je vraag en alle overige persoonsgegevens die je aan ons verstrekt en die nodig zijn om je vraag te beantwoorden.

 

Als je ons belt nemen we de telefoongesprekken op en leggen we de chatgesprekken digitaal vast

 

Wat houdt dit doel in?

Wanneer je contact opneemt met de klantenservice van Stichting Welmoede nemen we in sommige gevallen het telefoongesprek op en registreren we de chat. De klantenservice van Stichting Welmoede neemt telefoongesprekken op voor trainings- en coachingsdoeleinden, ter verificatie van en onderzoek naar opdrachten en transacties, voor fraudebestrijding en integriteitsbewaking binnen financiële instellingen en om te kunnen voldoen aan wettelijke verplichtingen. Bij een geschil over de inhoud van opgenomen telefoon- en chatgesprekken heb je het recht om het opgenomen telefoon- en chatgesprek te beluisteren of daarvan een transcriptie te ontvangen.

 

Welke gegevens verwerken wij hiervoor?

Voor dit doel verwerken wij opnames van telefoon- en de geregistreerde chatgesprekken met Stichting Welmoede.

Berichten, nieuwsbrieven, alerts en aanbiedingen ontvangen

 

Wij sturen je graag elektronisch berichten, nieuwsbrieven, alerts, en aanbiedingen om je van dienst te kunnen zijn en je te helpen bij het maken van de juiste keuzes indien je een product of dienst wil afsluiten. Wij gebruiken in dit verband jouw gegevens voor de volgende doeleinden:

 

Stichting Welmoede kan je met berichten, nieuwsbrieven, alerts en aanbiedingen benaderen

Als je klant van ons bent kunnen wij je via post, e-mail of telefoon benaderen met nieuwsbrieven, Alerts en aanbiedingen. We kunnen je dan service verlenen en sturen je aanbiedingen, alerts of informatie over de producten en diensten van Stichting Welmoede. Wij kunnen je ook met aanbiedingen benaderen op sociale media platforms zoals Facebook en Twitter. Je kunt je hiervoor afmelden via de link onder aan de e-mail en tijdens ons telefoongesprek met jou. Je ontvangt dan geen nieuwsbrieven en aanbiedingen meer. Ook niet op jouw sociale media platform. Voor Financiële hints en tips over je Budget Plan kan je apart afmelden in de Instellingen voor je Persoonlijke Budget- en Betaalomgeving.

 

Wat houdt dit doel in?

We verwerken je contactgegevens om je onze nieuwsbrief en aanbiedingen toe te sturen. Indien je deze nieuwsbrief en aanbiedingen niet meer wenst te ontvangen dan kun je je uitschrijven op de in de nieuwsbrief of aanbieding aangegeven wijze.

 

Welke gegevens verwerken wij hiervoor?

Voor dit doel verwerken we je uit/inschrijving voor de nieuwsbrief en jouw contactgegevens (zoals je e-mailadres).

Financiële Hints en Tips bij het Budget Plan

 

Wij sturen je graag Financiële Hints en Tips als je gebruikmaakt van je Budget Plan om je van dienst te kunnen zijn en je inzicht te geven in je financiële situatie. Wij gebruiken in dit verband jouw gegevens voor de volgende doeleinden:

 

Stichting Welmoede kan je met financiële hints en tips benaderen

Als je gebruikmaakt van het Budget Plan kunnen wij je per sms, WhatsApp, in-app e-mail benaderen met Financiële Tips. We kunnen je dan service verlenen zodat je inzicht hebt in je financieel situatie. Voor Financiële Tips over je Budget Plan kun je apart afmelden in de Persoonlijke Budget- en Betaalomgeving.

 

Wat houdt dit doel in?

We verwerken je contactgegevens en de gegevens die je hebt in gevuld in je Budget Plan om je Financiële Tips toe te sturen. Wij gebruiken de gegevens ingevuld in het Budget Plan niet om te beoordelen of producten van Stichting Welmoede of Stichting Welmoede geschikt dan wel passend zijn. Als je deze Financiële Tips niet meer wilt ontvangen, dan kun je je uitschrijven op de aangegeven wijze.

 

Welke gegevens verwerken wij hiervoor?

Voor dit doel verwerken we je uit/inschrijving voor de Financiële Tips en jouw contactgegevens en de gegevens in je Budget Plan.

Communicatie via sociale media

 

Stichting Welmoede is actief op sociale media platforms zoals Facebook, Twitter, Google+, YouTube, Instagram en LinkedIn. Als je via de sociale media contact opneemt met Stichting Welmoede, verwerken we jouw gegevens voor de volgende doelen:

 

Om vragen die je via sociale media stelt te kunnen beantwoorden

Je kan op verschillende manieren met ons in gesprek gaan om informatie te verkrijgen of om vragen te stellen over je persoonlijke situatie. Als je Stichting Welmoede benadert via onze sociale media-pagina’s kan Stichting Welmoede de gegevens die je aan ons verstrekt verzamelen. Denk hierbij aan je (gebruikers)naam (sociale-ID), adres, e-mailadres, geslacht en bijvoorbeeld de gegevens die je in jouw vraag aan ons met ons deelt.

 

Om te kunnen reageren op jouw berichten vragen we je jouw persoonsgegevens in een besloten bericht (Direct Message, een privébericht of e-mail) met ons te delen. Op deze wijze controleren wij of wij met de juiste persoon in gesprek zijn en dragen wij zorg voor de veiligheid van jouw gegevens. Als je gevoelige gegevens of contractgegevens aan ons vraagt, zullen wij je e-mailen of telefonisch benaderen. Wij wijzen je erop dat er veiligere methodes zijn om met Stichting Welmoede te communiceren, bijvoorbeeld telefonisch.

 

Acties via de sociale media

Als je deelneemt aan acties op de sociale media-pagina’s van Stichting Welmoede verwerken we jouw contactgegevens om de actie uit te kunnen voeren en je te informeren over het vervolg en de uitslag van de actie. Jouw contactgegevens worden bewaard zolang dat nodig is om de actie te kunnen uitvoeren. Als wij jouw gegevens willen gebruiken voor marketingactiviteiten vragen wij daar vooraf toestemming voor met vermelding van het doel en de betrokken partijen. Zonder jouw toestemming gebruiken wij jouw persoonsgegevens niet. Voor de details per actie verwijzen wij je naar de actievoorwaarden van de desbetreffende actie.

 

Online conversaties over Stichting Welmoede

Het gebeurt weleens dat er over Stichting Welmoede wordt gesproken in de sociale media. Wij zijn erg geïnteresseerd in jouw mening over Stichting Welmoede. Op deze manier kunnen wij je in de toekomst beter van dienst zijn. Als wij op sociale media of andere openbare bronnen lezen dat je een vraag hebt, dan gaan wij graag met je in gesprek.

 

Jouw keuze: Gepersonaliseerde informatie en aanbiedingen op website en app.

 

Gepersonaliseerde informatie en aanbiedingen op de website en app

Wanneer je bij gebruik van de website ervoor kiest cookies en pixels (verder ‘cookies’) te laten plaatsen verwerken wij, met jouw toestemming, jouw gegevens om voor jouw relevant te zijn door je informatie en berichten te laten zien die aansluiten bij jouw interesses en voorkeuren. Je kan ervoor kiezen deze toestemming niet te geven dan verwerken wij de gegevens niet en krijg je de gepersonaliseerde informatie en aanbiedingen niet.

 

Wat houdt dit doel in?

 

Wij willen zo relevant mogelijk voor je zijn en proberen de website aan te passen aan jouw voorkeuren. Dit kunnen wij doen door bij het gebruik van de website cookies te plaatsen als je hiervoor toestemming hebt gegeven. Wij verzamelen dan via deze cookies gegevens over bijvoorbeeld de wijze waarop je de website gebruikt, naar welke inhoud je kijkt en gegevens die je achterlaat op onze website. Vanaf het moment dat je bent ingelogd in de Persoonlijke Budget- en Betaalomgeving, gelden de in de door jou in de Instellingen aangegeven verwerkingsvoorkeuren. Als je ingelogd bent combineren wij de reeds verzamelde gegevens via de cookies met de gegevens die van je bekend zijn. Wij analyseren jouw gegevens om op onze website en externe websites zoals sociale media platforms, websites van door ons geaccepteerde bemiddelaars informatie en berichten af te beelden die beter aansluiten bij jouw persoonlijke interesses en voorkeuren. Lees meer hierover in het cookiebeleid. Je kunt altijd via cookie-instellingen, onder Instellingen, jouw voorkeuren en instellingen wijzigen.

 

Welke gegevens verwerken wij hiervoor?

Voor dit doel verwerken wij jouw loggegevens, gegevens die je achterlaat op de website, jouw klik- en surfgedrag, IP-adres als ook de gegevens die bekend zijn in de Persoonlijke Budget- en Betaalomgeving, zoals jouw Budget categorieën, je adres, klantnummer en geboortedatum.

 

Trendanalyse

 

Stichting Welmoede doet op basis van geaggregeerde informatieonderzoek naar trends in het gebruik van haar diensten en producten. Bij het uitvoeren van deze trendanalyses verwerken wij jouw gegevens om statistische analyses te kunnen uitvoeren.

 

Wat houdt dit doel in?

Stichting Welmoede voert onderzoek uit naar trends in de markt door middel van statistische analyses. De informatie die wij uit deze analyses halen, gebruiken wij om ons huidige producten- en dienstenportfolio en onze processen te evalueren en deze aan te passen op basis van nieuwe ontwikkelingen. Tenzij je ons hiervoor voorafgaande toestemming hebt gegeven, gebruiken wij deze onderzoeksresultaten niet voor marketing- en verkoopactiviteiten die specifiek op je gericht zijn. De resultaten van deze analyses worden uitsluitend op geaggregeerde basis gerapporteerd. Dit betekent dat de resultaten op geen enkele wijze tot individuele klanten zijn te herleiden.

 

Welke gegevens verwerken wij hiervoor?

Wij verwerken voor dit doel gegevens zoals productassortiment en saldogegevens. Voor dit doel gebruiken wij deze gegevens slechts op geaggregeerde basis.

 

Het raadplegen van gegevens in registers

 

In verband met een verantwoord acceptatie-, risico- en fraudebeleid raadplegen wij regelmatig jouw gegevens in externe registers. Hiermee kunnen wij zien of iemand de afgelopen jaren fraudeerde, probeerde te frauderen, of op een andere manier een bedreiging vormt voor de veiligheid van de bankensector. Lees hier meer over op de onze website.

 

 

Verstrekking van jouw gegevens aan derden

 

Stichting Welmoede schakelt bij de uitvoering van haar dienstverlening en andere bedrijfsactiviteiten derden in (zoals bemiddelaars, postverzending, drukkerijen, hostingdiensten en automatiseringsdienstverleners). Voor zover deze derden bij het uitvoeren van de betreffende diensten en bedrijfsactiviteiten jouw gegevens verwerken, treft Stichting Welmoede de vereiste contractuele, technische en organisatorische maatregelen om te verzekeren dat jouw gegevens uitsluitend worden verwerkt voor zover dit in dit kader noodzakelijk is. In ieder geval zullen deze derde partijen jouw gegevens alleen verwerken in overeenstemming met de toepasselijke wet- en regelgeving en dit Privacybeleid.

 

Stichting Welmoede kan in het kader van een verantwoord acceptatie, – risico- en fraudebeleid je persoonsgegevens aan derden verstrekken en zal de namen van deze partijen publiceren op haar website

 

Uitsluitend indien Stichting Welmoede hiertoe wettelijk is verplicht, worden persoonsgegevens verstrekt aan fiscale autoriteiten, opsporingsinstanties, zoals politie en justitie, of toezichthouders zoals De Nederlandse Bank, Autoriteit Financiële Markten en Autoriteit Persoonsgegevens.

 

Stichting Welmoede kan jouw gegevens verstrekken aan zakelijke partners, zoals jouw bemiddelaar, die je adviseert of bemiddelt tussen jou en Stichting Welmoede, denk aan bijvoorbeeld aan door ons geaccepteerde supermarkten.

 

Beveiliging en fraudebestrijding

 

Stichting Welmoede heeft adequate maatregelen getroffen om jouw persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Daarnaast verwerkt Stichting Welmoede jouw gegevens om fraude te bestrijden. In verband hiermee verwerken wij jouw gegevens voor de volgende doelen:

 

Beveiliging

Stichting Welmoede gaat zorgvuldig om met jouw gegevens. Stichting Welmoede heeft adequate technische en organisatorische maatregelen getroffen om jouw persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Denk hierbij aan informatiebeveiligingsbeleid, training van onze medewerkers, beveiligde servers en fysieke beveiliging van ruimtes waar gegevens zijn opgeslagen.

 

Wij adviseren jou ook zorgvuldig en vertrouwelijk met jouw gegevens om te gaan en je inloggegevens, je persoonsgegevens niet publiekelijk te delen. Bij gebruik van sociale media adviseren wij je jouw gegevens alleen via een DM (Direct Message, een privébericht) met ons uit te wisselen. Openbaar gedeelde persoonsgegevens op de sociale mediapagina’s van Stichting Welmoede verwijderen wij voor zover mogelijk vanwege jouw privacy en veiligheid.

 

Om fraude, misbruik en oneigenlijk gebruik te voorkomen

 

Wat houdt dit doel in?

We verwerken jouw gegevens in dit verband voor fraudebestrijding en integriteitsbewaking binnen de financiële sector, zowel in het belang van onze klanten, onze medewerkers, onze organisatie als voor andere financiële instellingen buiten onze organisatie.

 

In het kader van de opsporing van fraude, misbruik en oneigenlijk gebruik houden wij ons bij het verwerken van je gegevens ook aan het [link: Protocol Incidentenwaarschuwingssysteem Financiële Instellingen].

 

Welke gegevens verwerken wij hiervoor?

Wij verwerken gegevens zoals jouw contactgegevens en gegevens met betrekking tot vermeende onrechtmatige of strafbare gedragingen.

 

Bewaartermijn van jouw gegevens

 

Stichting Welmoede bewaart je persoonsgegevens niet langer dan wettelijk is toegestaan en noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor je gegevens worden verwerkt. Hoe lang bepaalde gegevens worden bewaard is afhankelijk van de aard van de gegevens en de doeleinden waarvoor zij worden verwerkt. De bewaartermijn kan dus per doel verschillen. Lees meer op onze website

 

 

Vragen en verzoeken om inzage, correctie en verwijdering

 

Via de Persoonlijke Budget- en Betaalomgeving kun je op ieder moment zelf jouw persoonsgegevens inzien en deze laten corrigeren of verwijderen. Wil je weten of alle gegevens die Stichting Welmoede van je heeft ook juist zijn, dan kun je daar navraag naar doen. Binnen 4 weken leveren wij een overzicht van jouw gegevens zoals die bij ons bekend zijn.

 

Je kunt bij ons hiertoe een verzoek toesturen onder bijvoeging van een kopie van je legitimatiebewijs zoals een geldig paspoort of rijbewijs. Stichting Welmoede kan voor het verzoek tot inzage een vergoeding in rekening brengen volgens het Besluit kostenvergoedingen rechten betrokkenen Wet bescherming persoonsgegevens.

 

 

 

 

 

 

Bijliage Gedragscode Verwerking Persoonsgegevens Financiële Instellingen
Geldend van 26-04-2010 t/m heden

Gedragscode Verwerking Persoonsgegevens Financiële Instellingen

  1. Overwegingen

1.1Banken en verzekeraars (hierna: Financiële instellingen) verwerken in het kader van hun bedrijfsvoering Persoonsgegevens en vinden het belangrijk dat met deze Persoonsgegevens zorgvuldig wordt omgegaan en dat deze vertrouwelijk worden behandeld.

1.2De Wet bescherming persoonsgegevens (hierna: WBP) biedt waarborgen voor de bescherming van de persoonlijke levenssfeer van natuurlijke personen met betrekking tot het verwerken van Persoonsgegevens.

1.3De Nederlandse Vereniging van Banken (hierna: de NVB) en het Verbond van Verzekeraars (hierna: het Verbond) hebben in lijn met het bepaalde in de WBP, de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen (hierna: Gedragscode) opgesteld, waarvoor het College bescherming persoonsgegevens (hierna: CBP) op 13 april 2010 een goedkeurende verklaring heeft afgegeven. Deze verklaring is op 26 april 2010 gepubliceerd in de Staatscourant (nr. 6429). Het CBP heeft verklaard dat de Gedragscode, gelet op de bijzondere kenmerken van de sector, een juiste uitwerking vormt van de WBP en andere wettelijke bepalingen betreffende de Verwerking van Persoonsgegevens. De goedkeuring geldt voor een periode van vijf jaar. Deze Gedragscode vervangt de voorgaande Gedragscode Verwerking Persoonsgegevens Financiële Instellingen.

1.4De Gedragscode heeft tot doel:

  1. regels te stellen aan Financiële instellingen voor het Verwerken van Persoonsgegevens;
  2. informatie te verschaffen aan personen van wie Persoonsgegevens door Financiële instellingen verwerkt (zullen) worden; en
  3. bij te dragen aan de transparantie van de regels die de door de Financiële instellingen worden gehanteerd met betrekking tot het Verwerken van Persoonsgegevens.

 

  1. Begripsbepaling

In deze Gedragscode wordt verstaan onder:

  1. Bestand: elk gestructureerd geheel van Persoonsgegevens dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
  2. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
  3. Bewerker: degene die ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
  4. Bijzondere persoonsgegevens: Persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, evenals strafrechtelijke Persoonsgegevens en Persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
  5. CBP: het College bescherming persoonsgegevens als bedoeld in artikel 51 WBP.
  6. Cliënt: de Betrokkene met wie een Financiële instelling; (i) in een rechtsverhouding staat; of (ii) in een rechtsverhouding heeft gestaan, (iii) overweegt een rechtsverhouding aan te gaan; of (iv) die te kennen heeft gegeven te overwegen een rechtsverhouding met een Financiële instelling aan te gaan of (v) personen van wie een Financiële instelling krachtens wettelijk voorschrift of met het oog op geldende verjaringstermijnen Persoonsgegevens dient te verwerken dan wel (vi) personen van wie een Financiële instelling Persoonsgegevens dient te verwerken in verband met contractuele of wettelijke verplichtingen jegens een Cliënt, Verzekerde of derde.
  7. Derde: eenieder, niet zijnde de Betrokkene, de Verantwoordelijke, de Bewerker, of enig persoon, die onder rechtstreeks gezag van de Verantwoordelijke of de Bewerker gemachtigd is om Persoonsgegevens te verwerken.
  8. Direct Marketing: het overbrengen van informatie door een Financiële instelling aan een Betrokkene ter bevordering van de totstandkoming van een overeenkomst.
  9. Financiële instelling: een bank en/of verzekeraar.
  10. Functionaris: de functionaris voor de gegevensbescherming (FG) als bedoeld in artikel 62 WBP.
  11. Gebeurtenissenadministratie: Verwerking van Persoonsgegevens die van belang kunnen zijn voor de veiligheid en integriteit van de Financiële instelling en om die reden speciale aandacht behoeven.
  12. Gedragscode: de Gedragscode Verwerking Persoonsgegevens Financiële instellingen.
  13. Groep: de economische eenheid waarin rechtspersonen en vennootschappen organisatorisch zijn verbonden en waartoe een Financiële instelling behoort.
  14. Medisch adviseur: de arts die als verantwoordelijke optreedt voor de Verwerking van Persoonsgegevens omtrent iemands gezondheid, die noodzakelijk is om een onafhankelijk deskundig advies te kunnen geven, terzake de beoordeling van de gezondheidstoestand (i) van de Verzekerde, (ii) van personen die een claim hebben ingediend bij een Verzekerde of (iii) van de te verzekeren persoon dan wel (iv) terzake de beoordeling van het medisch handelen van een Verzekerde, aan de afdelingen van het verzekeringsbedrijf die tot taak hebben omtrent een aanmelding of claim de beslissing te nemen.
  15. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
  16. Protocol: het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen.
  17. Veiligheidszaken: de afdeling(en) of de persoon die binnen een Financiële instelling verantwoordelijk is (zijn) voor de Verwerking van Persoonsgegevens in het kader van het waarborgen van de veiligheid en integriteit.
  18. Verantwoordelijke: de rechtspersoon die, alleen of tezamen met anderen, het doel en de middelen voor de Verwerking van Persoonsgegevens vaststelt of de rechtspersoon die binnen een Groep hiertoe is aangewezen.
  19. Verzekerde: een natuurlijke of rechtspersoon die met een Financiële instelling een verzekering heeft gesloten en andere personen die overeenkomstig de polisvoorwaarden als rechthebbende op schadevergoeding en/of uitkering zijn aan te merken.
  20. Verwerking van Persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder verzamelen, vastleggen, ordenen, bewaren, wijzigen, raadplegen, gebruiken, verstrekken en vernietigen.
  21. WBP: Wet bescherming persoonsgegevens.

 

  1. De reikwijdte van de Gedragscode

3.1. De sector

3.1.1          De Gedragscode is van toepassing op Financiële instellingen die; (i) lid zijn van de NVB; (ii) aangesloten zijn bij Rabobank Nederland; of (iii) lid zijn van het Verbond.

 

3.2. Toepassing

3.2.1          De Gedragscode is in de eerste plaats van toepassing op de (gedeeltelijk) geautomatiseerde Verwerking van Persoonsgegevens door een Financiële instelling in het kader van de bedrijfsvoering. De Gedragscode is ook van toepassing op de handmatige Verwerking van Persoonsgegevens door een Financiële instelling in het kader van de bedrijfsvoering, op voorwaarde dat de Persoonsgegevens zijn opgenomen in een Bestand of bestemd zijn om daarin te worden opgenomen.

3.2.2          Verwerkingen van Persoonsgegevens in verband met: (i) incidentenregisters door Veiligheidszaken; (ii) het Externe Verwijzingsregister (hierna: EVR); of (iii) in de hoedanigheid van de Financiële instelling als werkgever vallen buiten de reikwijdte van deze Gedragscode.

3.2.3          Indien de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars is goedgekeurd, heeft voor zorgverzekeraars, die tevens lid zijn van Zorgverzekeraars Nederland, bij discrepantie de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars voorrang.

 

  1. Beginselen van Verwerking van Persoonsgegevens

4.1Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

4.2Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verkregen. In artikel 5 Gedragscode wordt dit nader bepaald.

4.3Persoonsgegevens worden slechts verwerkt indien en voor zover is voldaan aan minimaal één van de volgende rechtmatige grondslagen:

  1. de Betrokkene heeft voor de Verwerking van Persoonsgegevens zijn ondubbelzinnige toestemming verleend;
  2. de Verwerking van Persoonsgegevens is noodzakelijk voor de uitvoering van een overeenkomst waarbij de Cliënt partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de Cliënt en die noodzakelijk zijn voor het sluiten van een overeenkomst;
  3. de Verwerking van Persoonsgegevens is noodzakelijk om een wettelijke verplichting na te komen waaraan de Financiële instelling onderworpen is;
  4. de Verwerking van Persoonsgegevens is noodzakelijk ter vrijwaring van een vitaal belang van de Betrokkene;
  5. de Verwerking van Persoonsgegevens is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt; of
  6. de Verwerking van Persoonsgegevens is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de Financiële instelling of van een Derde aan wie de Persoonsgegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

4.4Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

4.5Een Financiële instelling neemt maatregelen zodat Persoonsgegevens, gelet op de doeleinden waarvoor zij door de Financiële instelling worden verwerkt, accuraat, toereikend, ter zake dienend en niet bovenmatig zijn.

4.6.1          Persoonsgegevens worden verwijderd nadat de door de Financiële instelling vastgestelde bewaartermijnen zijn verstreken en kunnen worden overgebracht naar een archiefbestemming ten behoeve van het archiefbeheer, het behandelen van geschillen en het verrichten van (wetenschappelijk, statistisch of historisch) onderzoek.

4.6.2          Persoonsgegevens mogen langer worden bewaard dan bepaald in artikel 4.6.1 Gedragscode voor zover ze voor historische, statistische of wetenschappelijke doeleinden worden bewaard, en de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt.

4.7Indien Persoonsgegevens worden verzameld bij de Betrokkene, informeert de Verantwoordelijke de Betrokkene over zijn identiteit en de doeleinden van de Verwerking van Persoonsgegevens, tenzij de Verantwoordelijke op goede gronden mag aannemen dat de Betrokkene daarvan reeds op de hoogte is. Aan deze informatieplicht wordt voldaan vóór het moment van verkrijging.

4.8Indien de Persoonsgegevens op een andere manier worden verkregen, informeert de Verantwoordelijke de Betrokkene over zijn identiteit en de doeleinden van de Verwerking van Persoonsgegevens op het moment van vastlegging of, wanneer de Persoonsgegevens bestemd zijn om te worden verstrekt aan een Derde, op het moment van eerste verstrekking. De verplichting geldt niet wanneer de Betrokkene reeds op de hoogte is, dan wel wanneer de mededeling aan Betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval wordt de herkomst van de Persoonsgegevens vastgelegd. De verplichting geldt evenmin wanneer de vastlegging of de verstrekking bij of krachtens de wet is voorgeschreven.

4.9Indien het, gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is uit oogpunt van het waarborgen van een behoorlijke en zorgvuldige Verwerking van Persoonsgegevens, zal in aanvulling op de informatie als aangegeven in 4.7 en 4.8 Gedragscode nadere informatie worden verstrekt aan de Betrokkene.

4.10           Een Financiële instelling kan in het kader van de bedrijfsvoering via het internet Persoonsgegevens van een Betrokkene, die een Financiële instelling via dit medium benadert, vastleggen en verder verwerken. Financiële instellingen zullen via een privacy statement op de betreffende website informatie beschikbaar stellen over het beleid met betrekking tot de door middel van het internet verkregen Persoonsgegevens. Het privacy statement bevat minimaal de informatie als bedoeld in artikel 4.7 Gedragscode.

4.11           Het doelbindingsbeginsel (artikel 4.4 Gedragscode) en de plicht tot het verstrekken van informatie (artikel 4.7, 4.8 en 4.9 Gedragscode) kan tevens door een Financiële instelling (in aanvulling op de uitzonderingen genoemd in artikel 4.7 en 4.8 Gedragscode) buiten toepassing worden gelaten als wordt voldaan aan het bepaalde in artikel 9 Gedragscode.

4.12           Financiële instellingen kunnen bij de Verwerking van Persoonsgegevens gebruik maken van een Bewerker. Indien gebruik wordt gemaakt van de diensten van een Bewerker zal met deze Bewerker een overeenkomst worden gesloten, waarin schriftelijk of in een andere, gelijkwaardige vorm onder meer wordt vastgelegd dat technische en organisatorische maatregelen ter beveiliging van die gegevens moeten worden genomen.

 

  1. Doeleinden voor de Verwerking van Persoonsgegevens

5.1. Algemeen

5.1.1          Verwerking van Persoonsgegevens door Financiële instellingen vindt plaats, met inachtneming van de beginselen voor Verwerking van Persoonsgegevens ten behoeve van een efficiënte en effectieve bedrijfsvoering, in het bijzonder in het kader van het uitvoeren van de volgende activiteiten:

  1. het beoordelen en accepteren van een Cliënt, het aangaan en uitvoeren van overeenkomsten met een Cliënt en het afwikkelen van het betalingsverkeer;
  2. het verrichten van analyses van Persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden;
  3. het uitvoeren van (gerichte) marketingactiviteiten teneinde een relatie met een Betrokkene tot stand te brengen en/of met een Cliënt in stand te houden dan wel uit te breiden;
  4. het waarborgen van de veiligheid en integriteit van de financiële sector, daaronder mede begrepen het onderkennen, voorkomen, onderzoeken en bestrijden van (pogingen tot) (strafbare of laakbare) gedragingen gericht tegen de branche waar een Financiële instelling deel van uitmaakt, de Groep waartoe een Financiële instelling behoort, de Financiële instelling zelf, haar Cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwingssystemen;
  5. het voldoen aan wettelijke verplichtingen;
  6. het beheren van de relatie met de Cliënt.

5.1.2          Een Financiële instelling verwerkt niet meer Persoonsgegevens dan strikt noodzakelijk is. Financiële instellingen stellen deze Persoonsgegevens binnen de Groep slechts beschikbaar aan medewerkers die daartoe bevoegd zijn.

5.1.3          Financiële instellingen zullen waar nodig hun specifieke activiteiten melden bij het CBP of, voor zover van toepassing, bij de eigen Functionaris.

 

5.2. Verwerking van Persoonsgegevens in het kader van het beoordelen en accepteren van Cliënten, het aangaan en uitvoeren van overeenkomsten met een Cliënt en het afwikkelen van het betalingsverkeer

5.2.1          In het kader van het beoordelen en accepteren van een Cliënt en het aangaan en uitvoeren van een overeenkomst met een Cliënt worden Persoonsgegevens (verzameld en) verwerkt. Voor zover het gaat om Persoonsgegevens betreffende iemands gezondheid en strafrechtelijke Persoonsgegevens zijn de bepalingen van artikel 6 Gedragscode van toepassing.

5.2.2          Financiële instellingen kunnen voor het beoordelen en accepteren van een Cliënt en het aangaan en uitvoeren van een overeenkomst met een Cliënt Persoonsgegevens verstrekken en onttrekken aan waarschuwingssystemen als bedoeld in artikel 5.5.2 Gedragscode.

5.2.3          Door een Financiële instelling worden in het kader van de normale afwikkeling van het betalingsverkeer Persoonsgegevens doorgegeven aan de wederpartij. Tevens worden, tenzij vooraf anders is overeengekomen, aanvullende Persoonsgegevens verstrekt aan de bij de verdere Verwerking van Persoonsgegevens betrokken partijen, voor zover deze redelijkerwijs noodzakelijk zijn voor verificatiedoeleinden of reconstructiedoeleinden.

 

5.3. Verwerking van Persoonsgegevens in het kader van analyses ten behoeve van historische, statistische en wetenschappelijke doeleinden

5.3.1          Verwerking van Persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet beschouwd als onverenigbaar met de doeleinden waarvoor de Persoonsgegevens eerder zijn verzameld. De Financiële instelling treft de nodige voorzieningen om te verzekeren dat de verdere Verwerking van de Persoonsgegevens uitsluitend plaats heeft ten behoeve van deze specifieke doeleinden.

5.3.2          Analyses van Persoonsgegevens om groepsprofielen op te stellen worden beschouwd als Verwerkingen voor statistische of wetenschappelijke doeleinden.

 

5.4. Verwerking van Persoonsgegevens in het kader van marketingactiviteiten

5.4.1          Indien het aan een Cliënt voldoende duidelijk is gemaakt dat de Financiële instelling waar deze contact mee heeft deel uitmaakt van een Groep kan de Cliënt worden benaderd door alle entiteiten van de Groep ten behoeve van marketingactiviteiten, mits aan de overige bepalingen van de WBP is voldaan.

5.4.2          Bij marketingactiviteiten wordt primair gebruik gemaakt van Persoonsgegevens die van de Betrokkene zelf afkomstig zijn. In geval er gebruik wordt gemaakt van Persoonsgegevens die niet van de Betrokkene zelf verkregen worden, is artikel 4.8 Gedragscode van toepassing en zal de Financiële instelling zich er van overtuigen dat in overeenstemming met de WBP wordt gehandeld.

5.4.3          Ten behoeve van marketingactiviteiten kunnen Financiële instellingen hiertoe gespecialiseerde bedrijven inschakelen. Financiële instellingen zullen er voor zorg dragen dat met deze bedrijven een bewerkersovereenkomst wordt gesloten, waarin schriftelijk of in een andere, vergelijkbare vorm, verplichtingen zijn vastgelegd waaraan een Bewerker zich in het kader van de WBP dient te houden. Financiële instellingen zullen toezien op correcte naleving van de tussen partijen gemaakte afspraken.

5.4.4          Het is een Financiële instelling toegestaan, onverminderd het bepaalde in artikel 6.3.1 Gedragscode, Persoonsgegevens opgenomen in betaalopdrachten te gebruiken om financiële producten van de Groep, waartoe de Financiële instelling behoort, onder de aandacht van de Cliënt te brengen. De Financiële instelling zal deze attenderingen achterwege laten indien de Cliënt daarom verzoekt.

5.4.5          Bij marketingactiviteiten zal steeds worden nagegaan of een Betrokkene gebruik heeft gemaakt van het recht van verzet, als bedoeld in artikel 7.2 Gedragscode, in relatie tot de Verwerking van Persoonsgegevens voor dit doeleinde. Tevens zal steeds gecontroleerd worden of de Betrokkene zich heeft laten opnemen in het in artikel 11.7 lid 6, Telecommunicatiewet bedoelde register.

5.4.6          Bijzondere Persoonsgegevens zullen alleen voor marketingdoeleinden worden gebruikt met de uitdrukkelijke toestemming van de Betrokkene.

 

5.5. Verwerking van Persoonsgegevens in het kader van de veiligheid en integriteit van de Financiële sector alsmede het gebruik van waarschuwingssystemen

5.5.1          Ten behoeve van de veiligheid en integriteit van de Financiële sector kunnen gegevens, waaronder Persoonsgegevens, die betrekking hebben op: (i) gebeurtenissen die gelet op het bijzondere karakter van de Financiële sector de zorg en aandacht behoeven van de Financiële instelling; (ii) (potentiële) vorderingen onder meer ten aanzien van een met de Financiële instelling gesloten overeenkomst; (iii) het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen; of (iv) handelingen van Financiële instellingen, waaronder onderzoek als bedoeld in artikel 5.6.1 Gedragscode, worden opgenomen in een Gebeurtenissenadministratie gehouden door Veiligheidszaken of een daartoe aangewezen afdeling van de betreffende Financiële instelling. Op deze Gebeurtenissenadministratie is de Gedragscode van toepassing.

5.5.2          Indien een in het eerste lid bedoelde gebeurtenis voldoet aan de criteria als opgenomen in het Protocol worden de met deze gebeurtenis verband houdende gegevens opgenomen in het incidentenregister en is opname in het EVR mogelijk (Bijlage I: Document B).

 

5.6. Verwerking van Persoonsgegevens in verband met wettelijke voorschriften

5.6.1          Financiële instellingen dienen op grond van onder meer onderstaande wettelijke voorschriften in bepaalde gevallen Persoonsgegevens van een Betrokkene te verzamelen, te verwerken en aan bepaalde instellingen (waaronder overheidsinstellingen en toezichthouders) te verstrekken. Een aantal van die wettelijke verplichtingen wordt, niet uitputtend, hieronder vermeld.

  1. Op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) dient, indien er sprake is van een zakelijke relatie,ter voorkoming van witwassen en financieren van terrorisme, een cliëntenonderzoek te worden uitgevoerd.
  2. Wet op het financieel toezicht (Wft): op grond van de Wft dienen Financiële instellingen die zich bezig houden met het verstrekken van kredieten aan natuurlijke personen die onder de werking van de Wft vallen, te zijn aangesloten bij een ‘stelsel van kredietregistraties’. Het Bureau Krediet Registratie te Tiel (BKR) beheert een dergelijk stelsel van kredietregistraties. Financiële instellingen verstrekken Persoonsgegevens over het ontstaan en afwikkelen van financieringen aan het BKR en kunnen tevens beschikken over de door andere Financiële instellingen aangeleverde Persoonsgegevens. De aard van de vastgelegde Persoonsgegevens, de voorwaarden voor vastlegging, gebruik en verstrekking en de regels voor verwijdering van de Persoonsgegevens zijn neergelegd in het reglement van het BKR, dat ook voorziet in een specifieke geschillenregeling.
  3. De Wft legt verder een aanbieder van een overeenkomst inzake een financiële dienst de verplichting op informatie in te winnen over de financiële positie van de Cliënt. Daarnaast geeft het Besluit prudentiële regels aan dat Financiële instellingen zorg dienen te dragen voor een systematische analyse van integriteitsrisico’s en voor het voeren van beleid met betrekking tot maatregelen en procedures met betrekking tot een integere uitoefening van het bedrijf.
  4. Wet inkomstenbelasting 2001 en Invoeringswet inkomstenbelasting 2001: op grond van deze wetten is voorgeschreven dat door Financiële instellingen het burgerservicenummer (hierna: BSN) als verplicht identificerend gegeven op de renseigneringen wordt vermeld.
  5. Wet algemene bepalingen burgerservicenummer (Wabb): op grond van deze wet moeten verzekeraars als bedoeld in artikel 23, eerste lid, onder c Pensioenwet het burgerservicenummer gebruiken ter uitvoering van pensioenregelingen.
  6. Algemene wet inzake rijksbelastingen (AWR): op grond van deze wet zijn – administratieplichtige – Financiële instellingen gehouden het BSN van het identiteitsbewijs in hun administratie te bewaren.
  7. Verschillende wetten, waaronder het Wetboek van Strafvordering, verplichten Financiële instellingen om, indien dat gevorderd wordt, gegevens over transacties van Cliënten ter beschikking te stellen aan opsporingsambtenaren en toezichthouders.

 

  1. Verwerking van Bijzondere Persoonsgegevens

6.1. Persoonsgegevens betreffende iemands gezondheid

6.1.1          Het is een Financiële instelling toegestaan Persoonsgegevens betreffende iemands gezondheid te verwerken voor zover dat noodzakelijk is voor: de beoordeling van een Cliënt, de acceptatie van een Cliënt, het uitvoeren van een overeenkomst met een Cliënt en het afwikkelen van het betalingsverkeer.

6.1.2          Onverminderd het bepaalde in artikel 6.1.1 Gedragscode is het een Financiële instelling toegestaan Persoonsgegevens betreffende iemands gezondheid te verwerken indien: (i) hiertoe de uitdrukkelijke toestemming van de Cliënt is verkregen; (ii) de gegevens door de Betrokkene duidelijk openbaar zijn gemaakt; (iii) dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; (iv) dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting; (v) dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het CBP ontheffing heeft verleend.

6.1.3          Persoonsgegevens betreffende iemands gezondheid die zijn verwerkt met het oog op de beoordeling van een Cliënt, de acceptatie van een Cliënt, het uitvoeren van een overeenkomst met een Cliënt gericht op een specifiek product of de afhandeling van een schadeclaim van een Cliënt zullen zonder uitdrukkelijke toestemming van de Cliënt niet worden gebruikt in het kader van de beoordeling van een Cliënt, de acceptatie van een Cliënt, het uitvoeren van een overeenkomst met een Cliënt ten behoeve van een ander product of de afhandeling van een andere schadeclaim.

6.1.4          Het verwerken van Persoonsgegevens betreffende iemands gezondheid door een Financiële instelling om een advies te kunnen uitbrengen over de medische beoordeling van een Cliënt alsmede van het medisch handelen van een Verzekerde is voorbehouden aan een Medisch adviseur en de personen die onder zijn verantwoordelijkheid betrokken zijn bij dat advies. Het opvragen van aanvullende gegevens omtrent de gezondheid van en bij een Cliënt gebeurt uitsluitend door een Medisch adviseur of mensen uit zijn medische dienst of staf.

6.1.5          Het verzamelen van Persoonsgegevens betreffende iemands gezondheid door een Medisch adviseur van een Financiële instelling bij anderen dan de Cliënt zal alleen plaatsvinden nadat de Cliënt daarvoor toestemming heeft verleend en daartoe een machtiging heeft verstrekt. Deze machtiging dient niet algemeen van aard te zijn, maar dient zich te richten op de Verwerking ten behoeve van een concrete aangelegenheid. De Cliënt dient te worden geïnformeerd over de aard van de op te vragen gegevens, alsmede over het doel daarvan. Dit dient uit de machtiging te blijken.

6.1.6          Rapporten van een geneeskundige, de Arbodienst, alsmede informatie van de behandelend sector dienen te worden opgenomen in een medisch dossier dat onder de verantwoordelijkheid van de Medisch adviseur wordt bewaard. De Cliënt heeft het recht – bij voorkeur via een door hem of haar benoemde vertrouwensarts – een op de Cliënt betrekking hebbend medisch dossier volledig, met uitzondering van werkaantekeningen van de Medisch adviseur, in te zien en daarvan kopieën te ontvangen, tenzij de privacy van de in het rapport besproken Derden zich daartegen verzet.

6.1.7

  1. Indien in het kader van acceptatie en/of schadebehandeling medewerking van een Cliënt aan een medische keuring of aan een aanvullend onderzoek wordt gevraagd, zal de Financiële instelling in de keuringsstukken en formulieren wijzen op het belang van legitimatie teneinde verwisseling van personen te voorkomen.
  2. De Cliënt zal daarbij worden geïnformeerd dat hij het recht heeft om schriftelijk te kennen te geven dat hij de uitslag en gevolgtrekking van het onderzoek wenst vernemen. Tenzij het betreft een tot stand gekomen burgerrechtelijke verzekering heeft de Cliënt het recht mede te delen om als eerste kennis te nemen van deze gegevens teneinde te kunnen beslissen dat geen mededeling van die uitslag en gevolgtrekking aan anderen wordt gedaan

6.1.8          Niet onder de verantwoordelijkheid van de Medisch adviseur vallen Verwerkingen van Persoonsgegevens omtrent iemands gezondheid voor zover dat noodzakelijk is voor:

  1. het nemen van een beslissing inzake het door de verzekeraar te verzekeren risico;
  2. de schadeafhandeling om de omvang van de gemelde claim of de schade te kunnen vaststellen, teneinde te kunnen beslissen of aanvullende informatie nodig is of dat direct tot uitkering kan worden overgegaan. Dit alles onverminderd het bepaalde in artikel 6.1.4 dat de aanvullende informatie wordt opgevraagd en beoordeeld door de Medisch adviseur en dat bij de directe schadeafhandeling alleen daartoe noodzakelijke persoonsgegevens omtrent gezondheid worden verwerkt;
  3. de uitvoering van de verzekerings- of financieringsovereenkomst, waaronder mede begrepen de Verwerking van Persoonsgegevens in het kader van het ontvangen en verwerken van declaraties en financieringsovereenkomsten dan wel indien daarom door of namens de Cliënt is verzocht in verband met diens gezondheidstoestand.

6.1.9          De gegevens omtrent iemands gezondheid worden slechts verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht, behoudens voor zover de wet hen tot mededeling verplicht of uit hun taak de noodzaak voortvloeit dat de gegevens worden medegedeeld aan anderen die krachtens artikel 6.1 Gedragscode bevoegd zijn tot Verwerking daarvan.

6.1.10        Op de Verwerking van Persoonsgegevens betreffende erfelijke eigenschappen is het moratorium erfelijkheidsonderzoek van toepassing. (Bijlage I: Document D).

6.1.11        Op de Verwerking van Persoonsgegevens betreffende iemands gezondheid die ontleend kunnen worden aan bloedonderzoek is de ‘HIV-gedragscode’ van toepassing. (Bijlage I: Document E).

 

6.2. Persoonsgegevens van strafrechtelijke aard

6.2.1          Het is Financiële instellingen toegestaan strafrechtelijke Persoonsgegevens te verwerken voor zover dat noodzakelijk is voor: (i) de beoordeling van een Cliënt, de acceptatie van een Cliënt, het uitvoeren van een overeenkomst met een Cliënt en het afwikkelen van het betalingsverkeer; (ii) het waarborgen van de veiligheid en integriteit van de financiële sector, daaronder mede begrepen onderkennen, voorkomen, onderzoeken en bestrijden van (pogingen tot) (strafbare of laakbare) gedragingen gericht tegen de branche waar een Financiële instelling deel van uitmaakt, de Groep waartoe een Financiële instelling behoort, de Financiële instelling zelf, haar Cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwings-systemen; of (iii) het voldoen aan wettelijke verplichtingen.

6.2.2          Onverminderd het bepaalde in artikel 6.2.1 is het Financiële instellingen toegestaan Persoonsgegevens van strafrechtelijke aard te verwerken indien: (i) hiertoe de uitdrukkelijke toestemming van de Cliënt is verkregen; (ii) de gegevens door de Betrokkene duidelijk openbaar zijn gemaakt; (iii) dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; (iv) dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting; (v) dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het CBP ontheffing heeft verleend; (v) indien passende en specifieke waarborgen zijn getroffen en de procedure is gevolgd ingevolge artikel 31 WBP.

6.2.3          Financiële instellingen kunnen met het oog op een verantwoord acceptatiebeleid vragen naar feiten omtrent een eventueel strafrechtelijk verleden van te verzekeren personen en anderen wiens belangen op de aangevraagde verzekering worden (mee)verzekerd (bestuurders en aandeelhouders van rechtspersonen daaronder begrepen), voor zover die feiten betrekking hebben op een periode van 8 jaar voorafgaand aan de aanmelding tot verzekering. Daarbij geldt dat het opgegeven strafrechtelijk verleden slechts gebruikt zal worden voor de beoordeling van de verzekeringsaanmelding en dat langs rechtmatige weg verkregen gegevens omtrent een strafrechtelijk verleden kunnen worden gebruikt in het kader van een beroep op niet nakomen van de mededelingsplicht.

6.2.4          Het verbod om andere Bijzondere gegevens te verwerken is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevens voor de doeleinden waarvoor deze gegevens worden verwerkt.

6.2.5          Persoonsgegevens die:(i) betrekking hebben op strafbare feiten die zijn, of op grond van feiten en omstandigheden naar verwachting zullen worden, begaan jegens één van de in een Groep verbonden Financiële instellingen; of (ii) dienen ter vaststelling van mogelijk strafbaar gedrag jegens één van de in een Groep verbonden Financiële instellingen, kunnen door de Financiële instelling worden verstrekt binnen de Groep, mits de gegevens uitsluitend worden verstrekt aan functionarissen die de gegevens voor de uitoefening van hun functie nodig hebben alsmede aan politie en Justitie.

 

6.3. Andere Bijzondere Persoonsgegevens

6.3.1          Het mededelingenveld van een betalingsopdracht kan Bijzondere Persoonsgegevens bevatten. De uitvoering van de betalingsopdrachten brengt met zich mee dat Verwerking van dergelijke Persoonsgegevens plaatsvindt. De Verwerking van Persoonsgegevens vindt onder meer plaats door het archiveren van de originele bescheiden of van de al dan niet elektronische afschriften daarvan.

6.3.2          Het is een Financiële instelling toegestaan (andere) Bijzondere Persoonsgegevens te verwerken indien: (i) hiertoe de uitdrukkelijke toestemming van de Cliënt is verkregen; (ii) de gegevens door de Betrokkene duidelijk openbaar zijn gemaakt; (iii) dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; (iv) dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting; (v) dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het CBP ontheffing heeft verleend.

 

  1. Rechten van Betrokkene

7.1. Kennisneming en correctie

7.1.1          Een Betrokkene is gerechtigd – met redelijke tussenpozen – een Financiële instelling schriftelijk een overzicht te vragen van de Persoonsgegevens van de Betrokkene die door die Financiële instelling worden verwerkt. De Financiële instelling zal, behoudens de in artikel 9 Gedragscode genoemde uitzonderingsgevallen, de Betrokkene binnen vier weken na ontvangst van het verzoek een volledig overzicht van de Persoonsgegevens doen toekomen. Indien door de Financiële instelling geen Persoonsgegevens van de Betrokkene worden verwerkt, zal de Financiële instelling dit tevens binnen vier weken na ontvangst van het verzoek aan de Betrokkene laten weten.

7.1.2          Het overzicht als genoemd in artikel 7.1.1 Gedragscode omvat in begrijpelijke vorm: (i) een omschrijving van het doel of de doeleinden van de Verwerking; (ii) de categorieën van Persoonsgegevens waarop de Verwerking betrekking heeft; (iii) de ontvangers of categorieën van ontvangers, alsmede; (iv) de beschikbare informatie over de herkomst van de Persoonsgegevens.

7.1.3          Indien uit het verstrekte overzicht blijkt dat Persoonsgegevens feitelijk onjuist zijn, voor het doel van de Verwerking onvolledig of niet ter zake dienend dan wel anderszins in strijd met deze Gedragscode of wettelijk voorschrift worden verwerkt, kan de Betrokkene schriftelijk om verbetering, aanvulling, verwijdering of afscherming van de betreffende Persoonsgegevens verzoeken. Een Financiële instelling zal de Betrokkene binnen vier weken na ontvangst van genoemd verzoek, schriftelijk laten weten of dan wel in hoeverre aan het verzoek wordt voldaan. Indien niet of niet volledig aan het verzoek van de Betrokkene wordt voldaan wordt dit met redenen omkleed.

7.1.4          Het in artikel 7.1.1 Gedragscode genoemde verzoek dient te worden gedaan bij de Financiële instelling die verantwoordelijk is voor de betreffende Verwerking van Persoonsgegevens. Het verzoek om correctie dient een specificatie te bevatten van de Persoonsgegevens die gecorrigeerd dienen te worden. De Financiële instelling draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.

7.1.5          Indien het voor de Betrokkene onduidelijk is wie als Verantwoordelijke voor de Verwerking van de betreffende Persoonsgegevens dient te worden aangemerkt, bijvoorbeeld omdat de Financiële instelling deel uitmaakt van een Groep, kan de Betrokkene zijn verzoek richten tot de directie van de Financiële instelling waarvan hij vermoedt dat deze zijn Persoonsgegevens verwerkt. De directie van de betreffende Financiële instelling dient er voor zorg te dragen dat het verzoek op de juiste wijze wordt afgehandeld.

 

7.2. Verzet en toestemming

7.2.1          Indien de grondslag van de Verwerking van Persoonsgegevens is gelegen in het gerechtvaardigde belang van de Verantwoordelijke of van een Derde aan wie de Persoonsgegevens worden verstrekt heeft de Betrokkene het recht verzet aan te tekenen tegen de Verwerking van Persoonsgegevens in verband met zijn bijzondere persoonlijke omstandigheden. Binnen vier weken na ontvangst van het verzet beoordeelt de Verantwoordelijke of het verzet gerechtvaardigd is. Is dat het geval dan wordt de Verwerking van Persoonsgegevens van die Betrokkene onmiddellijk beëindigd.

7.2.2          Indien een Financiële instelling Persoonsgegevens verwerkt met het oog op werving voor commerciële of charitatieve doelen kan de Betrokkene daartegen altijd kosteloos verzet aantekenen. In geval van verzet treft de Financiële instelling maatregelen om deze vorm van Verwerking van Persoonsgegevens onmiddellijk te beëindigen. De Verantwoordelijke zal zorg dragen dat, indien voor de hiervoor genoemde doelen rechtstreeks een boodschap aan Betrokkene wordt gezonden, deze daarbij telkens wordt gewezen op de mogelijkheid tot het doen van verzet.

7.2.3          Het gebruik van automatische oproepsystemen zonder menselijke tussenkomst, faxen of elektronische berichten voor Direct Marketing is uitsluitend toegestaan indien de verzender kan aantonen dat de Betrokkene daarvoor voorafgaand toestemming heeft verleend (‘opt-in’). Er zijn voor de Betrokkene geen kosten verbonden aan het verlenen van deze toestemming.

7.2.4          Het gebruik van andere dan de in artikel 7.2.3 Gedragscode genoemde technieken waaronder telefoon en ‘gewone’ post voor Direct Marketing is toegestaan, tenzij de betreffende Betrokkene te kennen heeft gegeven informatie of mededelingen waarbij van deze technieken gebruik wordt gemaakt, niet te willen ontvangen (‘opt-out’). Er zijn voor de Betrokkene geen kosten verbonden aan voorzieningen waarmee wordt voorkomen dat aan een Betrokkene ongevraagde informatie wordt overgebracht.

7.2.5          Een Financiële instelling die elektronische contactgegevens voor elektronische berichten (zoals e-mail, sms-berichten, mms-berichten) heeft verkregen in het kader van de verkoop van een financieel product of het verlenen van een financiële dienst mag deze gegevens gebruiken voor Direct Marketing ten behoeve van eigen gelijksoortige financiële producten of financiële diensten (‘soft opt-in’). Dit op voorwaarde dat: (i) bij de verkrijging van de contactgegevens aan de Betrokkene uitdrukkelijk de gelegenheid is geboden om kosteloos verzet aan te tekenen tegen het gebruik van die elektronische contactgegevens; en, (ii) indien de Betrokkene hiervan geen gebruik heeft gemaakt, hem bij elke tot stand gebrachte communicatie nadrukkelijk de mogelijkheid wordt geboden om kosteloos verzet aan te tekenen tegen het verdere gebruik van zijn elektronische contactgegevens. Artikel 41 lid 2 WBP is van overeenkomstige toepassing.

7.2.6          Bij het gebruik van elektronische berichten voor Direct Marketing dient de Financiële instelling te voldoen aan de informatieplicht ingevolge artikel 3:15 e Burgerlijk Wetboek.

7.2.7          Een Financiële instelling zal zich slechts door middel van een elektronisch communicatiemiddel toegang verschaffen tot Persoonsgegevens die zijn opgeslagen in apparatuur van een gebruiker van een openbaar communicatienetwerk indien dat noodzakelijk is om de verzending van communicatie over een openbaar netwerk uit te voeren of te vergemakkelijken dan wel om de door de gebruiker gevraagde dienst te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.

7.2.8          In alle andere gevallen zal een Financiële instelling zich een dergelijke toegang slechts verschaffen indien de gebruiker op een duidelijke en nauwkeurige wijze is geïnformeerd over de doeleinden waarvoor toegang tot apparatuur of Persoonsgegevens gewenst is en op voldoende kenbare wijze de gelegenheid is geboden om deze handeling te weigeren.

 

7.3. Vergoeding van kosten

7.3.1          Een Financiële instelling kan voor een verzoek van een Betrokkene als bedoeld in de artikelen 7.1.1 en 7.2.1 Gedragscode een vergoeding van kosten verlangen die niet hoger is dan het bij algemene maatregel van bestuur vastgestelde bedrag.

7.3.2          Indien tot aanpassing, wijziging of verwijdering van de Persoonsgegevens wordt overgegaan als bedoeld in artikel 7.1.3 Gedragscode of indien het verzet als bedoeld in artikel 7.2.1 Gedragscode gegrond wordt bevonden wordt de vergoeding als bedoeld in artikel 7.3.1 Gedragscode gerestitueerd.

 

7.4. Besluit op grond van geautomatiseerde Verwerking van Persoonsgegevens

7.4.1          Het nemen van een besluit door een Financiële instelling uitsluitend op grond van geautomatiseerde Verwerking van Persoonsgegevens bestemd om een beeld van bepaalde aspecten van iemands persoonlijkheid te krijgen is slechts toegestaan indien: (i) dit wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst, of (ii) dit besluit zijn grondslag vindt in een wet waarin maatregelen zijn vastgelegd die strekken tot bescherming van het gerechtvaardigde belang van de Betrokkene.

7.4.2          Indien bij het besluit niet is voldaan aan het verzoek van de Betrokkene zal deze in de gelegenheid worden gesteld zijn zienswijze naar voren te brengen. De Financiële instelling deelt in dat geval de logica mede die aan de geautomatiseerde Verwerking van Persoonsgegevens ten grondslag heeft gelegen.

 

  1. Speciale onderwerpen

8.1. Functionaris

8.1.1          Een Financiële instelling kan een Functionaris benoemen. Als Functionaris kan slechts worden benoemd een natuurlijke persoon die voor de vervulling van zijn taak over toereikende kennis beschikt en voldoende betrouwbaar kan worden geacht. De Functionaris is voor zijn taakuitoefening onafhankelijk van de Financiële instelling die hem heeft benoemd en kan daarvan geen aanwijzingen met betrekking tot de uitoefening van zijn taak ontvangen. De Financiële instelling die hem benoemt dient de Functionaris in de gelegenheid te stellen zijn taak naar behoren te vervullen, en draagt er zorg voor dat deze geen nadeel ondervindt van de uitoefening van zijn taak. In dat verband geniet de Functionaris ontslagbescherming.

8.1.2          De Functionaris ziet toe op de naleving door de Financiële instelling van de voorschriften met betrekking tot het verwerken van Persoonsgegevens gesteld bij of krachtens enige wet, alsmede op de naleving van de voorschriften van deze Gedragscode. Hij stelt jaarlijks een verslag op van zijn werkzaamheden en bevindingen. De Functionaris heeft de bevoegdheden die hem op grond van artikel 63 en 64 WBP zijn toegekend. De Algemene wet bestuursrecht wordt analoog toegepast.

 

8.2. Gegevensverkeer met landen buiten de Europese Economische Ruimte (EER)

8.2.1          Financiële instellingen wisselen in het kader van hun dienstverlening Persoonsgegevens uit binnen de Groep met door Financiële instellingen ingeschakelde Bewerkers en met Derden. Dit kan met zich mee brengen dat Persoonsgegevens aan landen worden doorgegeven die zich buiten de EER bevinden, nu entiteiten die deel uitmaken van de Groep, Bewerkers en Derden zich kunnen bevinden in landen buiten de EER.

8.2.2          Doorgifte van Persoonsgegevens naar landen buiten de EER door een Financiële instelling is toegestaan, met inachtneming van de beginselen van Verwerking van Persoonsgegevens, indien het betreffende land een passend beschermingsniveau ten aanzien van de doorgegeven Persoonsgegevens waarborgt. Van een passend beschermingsniveau wordt onder meer gesproken indien de Europese Commissie heeft besloten dat een betreffend land een passend beschermingsniveau heeft. Tevens kan door implementatie van goedgekeurde Binding Corporate Rules binnen een Groep wereldwijd een passend beschermingsniveau worden gecreëerd.

8.2.3          Doorgifte van Persoonsgegevens door een Financiële instelling is altijd toegestaan indien:

  1. de Betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven; of
  2. de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen Cliënt ende Verantwoordelijke, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van Cliënt en die noodzakelijk zijn voor het sluiten van een overeenkomst; of
  3. de doorgifte noodzakelijk is voor de sluiting of uitvoering van een in het belang van de Cliënt tussen de Verantwoordelijke en een Derde gesloten of te sluiten overeenkomst; of
  4. de doorgifte noodzakelijk is vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitvoering of de verdediging in rechte van enig recht; of
  5. de doorgifte noodzakelijk is ter vrijwaring van vitale belangen van de Betrokkene; of
  6. de minister van Justitie een vergunning heeft gegeven voor doorgifte of categorieën van doorgiften.

 

8.3. Beveiliging van Persoonsgegevens

8.3.1          De Financiële instelling die Persoonsgegevens verwerkt treft, rekening houdend met: (i) de stand van de techniek; (ii) de kosten van de tenuitvoerlegging; (iii) de risico’s die de Verwerking met zich meebrengt; (iv) en de aard van de Persoonsgegevens, passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen onder meer (opzettelijke) vernietiging, verlies, vervalsing, ongewenste verspreiding of toegang, dan wel tegen enige andere vorm van onrechtmatige Verwerking van Persoonsgegevens.

8.3.2          Indien de Verwerking van Persoonsgegevens wordt gedaan door een Bewerker draagt de Verantwoordelijke er zorg voor dat met de betreffende Bewerker in een overeenkomst schriftelijk of in een andere, gelijkwaardige vorm wordt vastgelegd, dat de Bewerker zorg draagt voor voldoende waarborgen ten aanzien van de technische en organisatorische beveiligings-maatregelen met betrekking tot de te verrichten Verwerking van Persoonsgegevens.

 

8.4. Cameratoezicht

8.4.1          Het is een Financiële instelling toegestaan onder bepaalde voorwaarden toezicht te houden door gebruik van camera’s. Cameratoezicht, de daarvoor verkregen beelden en verwerking daarvan hebben als doel:

  1. gebouwen en terreinen die de Financiële instelling gebruikt/eigendom van de Financiële instelling is te beveiligen;
  2. goederen in die gebouwen te bewaken;
  3. belangen van de Financiële instelling en de veiligheid en belangen van de medewerkers, Cliënten of Derden te beschermen;
  4. strafbare feiten of overtredingen van (bedrijfs)regels van de Financiële instelling te voor-komen, vast te stellen of te onderzoeken;
  5. juridische procedures te ondersteunen.

8.4.2          Camera toezicht door Financiële instellingen is slechts toegestaan, indien:

  1. cameratoezicht op selectieve wijze wordt uitgeoefend, dat wil zeggen dat niet meer plaatsen en personen mogen worden vastgelegd dan voor de genoemde doeleinden noodzakelijk is. Verzekeraars dienen hierbij tevens het bepaalde in de Gedragscode Persoonlijk Onderzoek (Bijlage I: Document C) te volgen;
  2. de door cameratoezicht verkregen Persoonsgegevens niet langer worden bewaard dan nodig is voor de in artikel 8.4.1 Gedragscode omschreven doeleinden. De bewaarduur kan per cameratoepassing verschillen;
  3. de door cameratoezicht verkregen beelden zodanig bewaard en beveiligd worden dat deze niet toegankelijk zijn voor onbevoegden, terwijl zodanige maatregelen worden getroffen dat manipulatie wordt voorkomen en beelden traceerbaar zijn en gereconstrueerd kunnen worden;
  4. cameratoezicht duidelijk kenbaar is gemaakt. In voorkomende gevallen kan gebruik worden gemaakt van een verborgen camera om strafbare feiten of overtredingen van bedrijfsregels vast te stellen of te onderzoeken, of om juridische procedures te ondersteunen.

8.4.3          Voor zover bij cameratoezicht Persoonsgegevens omtrent ras worden verwerkt dan geschiedt dat uitsluitend met het oog op de identificatie van de Betrokkene en slechts voor zover dat voor het doel onvermijdelijk is.

8.4.4          De door camera’s verkregen beelden kunnen door Financiële instellingen worden verstrekt aan politie en Justitie, Veiligheidszaken en binnen de Groep aan functionarissen die handhaving van de bedrijfsregels tot taak hebben.

8.4.5          Een Betrokkene heeft het recht de cameraopname te bekijken en/of een kopie van de cameraopname te verkrijgen. Dit op voorwaarde dat de Betrokkene de Financiële instelling voldoende informeert om zodoende de Financiële instelling in staat te stellen de betreffende cameraopname te traceren. De Betrokkene dient de Financiële instelling ten minste te informeren over de plaats, datum en tijdstip van de opname, dan wel een andere indicatie om het zoeken te vergemakkelijken. De Financiële instelling behoeft geen inzage te verlenen indien wordt voldaan aan de voorwaarden van artikel 9 Gedragscode.

 

8.5. Vastlegging telefoongesprekken

8.5.1          Het opnemen van telefoongesprekken door een Financiële instelling, de daardoor verkregen bandopnames en Verwerking daarvan hebben als doel: (i) het kunnen leveren van bewijs onder andere ten aanzien van interpretatieverschillen of onenigheid met betrekking tot de inhoud van het telefoongesprek; (ii) (fraude)onderzoek en opsporing; (iii) evalueren van de kwaliteit van de dienstverlening; (iv) trainings-, coachings- en beoordelingsdoeleinden.

8.5.2          De bandopnames worden zodanig bewaard en beveiligd dat deze niet toegankelijk zijn voor onbevoegden, terwijl zodanige maatregelen worden getroffen dat manipulatie wordt voorkomen.

8.5.3          De bandopname wordt door de Financiële instelling niet langer bewaard dan noodzakelijk voor de in artikel 8.5.1 Gedragscode genoemde doeleinden.

8.5.4          Een Betrokkene heeft het recht de bandopname te beluisteren, een kopie van de band te krijgen of een transcriptie van het opgenomen telefoongesprek te verkrijgen, zulks afhankelijk van de inhoud van de band. Dit op voorwaarde dat de Betrokkene de Financiële instelling voldoende informeert om zodoende de Financiële instelling in staat te stellen de betreffende bandopname te traceren. De Betrokkene dient de Financiële instelling ten minste te informeren over de datum en tijdstip van het gesprek, het door de Betrokkene gebruikte telefoonnummer en een aanduiding omtrent het door de Betrokkene gebelde telefoonnummer dan wel een andere indicatie om het zoeken te vergemakkelijken. De Financiële instelling behoeft geen inzage te verlenen indien wordt voldaan aan de voorwaarden genoemd in artikel 9 Gedragscode.

8.5.5          De bandopnames kunnen door Financiële instellingen worden verstrekt aan politie en Justitie, Veiligheidszaken en binnen de Groep aan functionarissen die handhaving van de bedrijfsregels tot taak hebben.

 

8.6. Vastlegging elektronische communicatie

8.6.1          Bij het vastleggen van Persoonsgegevens verkregen via elektronische communicatie met een Betrokkene wordt artikel 8.5 Gedragscode zo veel als mogelijk analoog toegepast.

 

  1. Dringende redenen

9.1Het doelbindingsbeginsel, transparantiebeginsel en de rechten van de Betrokkenen als genoemd in de artikelen 4.4, 4.7, 4.8, 4.9, 7.1.1, 8.4.5 en 8.5.4 Gedragscode kunnen in bijzondere omstandigheden, waarbij alle feiten en omstandigheden van belang zijn, opzij worden gezet als hiertoe een dringende noodzaak bestaat, welke noodzaak zwaarder weegt dan de rechten en vrijheden van de Betrokkene,een en ander in het kader van:

  1. het voorkomen, opsporen, onderzoeken en vervolgen (waaronder de samenwerking met (toezichthoudende) autoriteiten) van overtreding van wetgeving, regelgeving of bedrijfsregels van de Financiële instelling;
  2. het beschermen en verdedigen van de rechten en vrijheiden van de Financiële instelling/Financiële sector, het personeel of andere personen (waaronder de Betrokkene of een Derde) waaronder: (i) de veiligheid (van werknemers en Cliënten) van de Financiële instelling/Financiële sector; (ii) bedrijfsgeheimen en reputatie van de Financiële instelling; (iii) de continuïteit van de Financiële instelling/Financiële sector; (iv) geheimhouding in het kader van bijvoorbeeld een (voorgenomen) fusie of overname; (v) betrokkenheid van adviseurs op onder meer het gebied van recht, fiscaliteit en verzekeringen.

 

  1. Naleving van de Gedragscode

10.1           Financiële instellingen hechten belang aan een correcte naleving van de regels van de WBP en Gedragscode. In dat kader hebben Financiële instellingen een stelsel van zelfevaluaties geïmplementeerd door middel waarvan periodiek risicoanalyses worden gemaakt met betrekking tot de naleving van de WBP en deze Gedragscode. Onderdeel hiervan is dat door een Financiële instelling wordt vastgesteld op welke wijze en hoe frequent de diverse onderdelen van de Financiële Instelling worden gecontroleerd op correcte naleving van de WBP en de Gedragscode, alsmede het opstellen van rapportages.

10.2           Ter bevordering van de naleving van de regels van de WBP en Gedragscode is een Financiële instelling gehouden interne instructies op te stellen en te geven waarin nader wordt aangegeven op welke wijze Persoonsgegevens door de Financiële instelling worden verwerkt. De interne instructies betreffen in ieder geval die onderwerpen waarvan de Financiële instelling van oordeel is dat nadere uitleg wenselijk is.

 

  1. Geschillen

11.1           Een Betrokkene die van mening is dat een Financiële instelling in strijd handelt met de Gedragscode dan wel de WBP, kan zich wenden tot de Stichting Klachteninstituut Financiële Dienstverlening (KiFiD), Postbus 93257, 2509 AG Den Haag. Voorwaarde is dat eerst de interne klachtenprocedure van de Financiële instelling is doorlopen. Afhankelijk van de inhoud van de klacht kan de Betrokkene zich ook rechtstreeks tot het CBP dan wel de bevoegde rechter wenden. In alle gevallen dient hij acht te slaan op de termijnen van artikel 46 en 47 WBP.

 

Bijlage I. Informatie

Ter informatie bij deze Gedragscode zijn de volgende rapporten en berichten opgenomen:

  1. Voorschrift Informatie Fiscus/Banken
  2. Protocol Incidentenwaarschuwingssysteem Financiële instellingen
  3. Gedragscode Persoonlijk Onderzoek
  4. Moratorium erfelijkheidsonderzoek Verbond van Verzekeraars
  5. HIV-gedragscode
  6. Protocol Verzekeringskeuringen