Einde inhoudsopgave
Rechten van polishouders bij portefeuilleoverdracht, juridische fusie en juridische splitsing door verzekeraars (O&R nr. 148) 2024/7.4.1
7.4.1 Inleiding
mr. A.M.M. Menken, datum 01-01-2024
- Datum
01-01-2024
- Auteur
mr. A.M.M. Menken
- JCDI
JCDI:ADS949908:1
- Vakgebied(en)
Verzekeringsrecht (V)
Voetnoten
Voetnoten
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PbEU 2016, L 119. De Engelse naam van deze Algemene Verordening Gegevensbescherming is: General Data Protection Regulation, afgekort GDPR.
Wet van 16 mei 2018, houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Staatsblad 2018, 144). Het wetsvoorstel “Wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet gegevensbescherming)” is in behandeling. Zie voor dit wetsvoorstel Kamerstukken II 2022/23, 36264. In Kamerstukken II 2022/23, 36264, nr. 3, p. 3-4 worden de voorgenomen wijzigingen opgesomd. De wijzigingen hebben geen effect op de in dit hoofdstuk van mijn onderzoek te bespreken bevoegdheid van de overdragende verzekeraar om voor en na de overname van de verzekeringsportefeuille in het kader van de overname persoonsgegevens te verstrekken.
De exacte definitie van ‘verwerking’ zoals opgenomen in art. 4 onder 2 AVG luidt als volgt: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.
De exacte tekst van deze grondslagen in art. 6 lid 1 AVG luidt: (a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; (b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; en (c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
Bruidegom en Phoelich-Pontier 2019, p. 268-271.
Zie https://www.verzekeraars.nl/branche/zelfreguleringsoverzicht-digiwijzer/gedragscode-verwerking-persoonsgegevens voor zowel de Nederlandstalige als Engelse versie van deze gedragscode.
Zie over privacy in het verzekeringsrecht en daarbij relevante bronnen Bruidegom en Phoelich-Pontier 2019, 261-288 en De Zwart, Aansprakelijkheid, Verzekering & Schade 2022/20, afl. 3, p. 114-120.
Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming1 (‘AVG’) rechtstreeks van toepassing in alle lidstaten van de Europese Unie. De Uitvoeringswet AVG2 geeft in Nederland uitvoering aan de AVG.
De AVG heeft betrekking op de verwerking van persoonsgegevens. Onder de verwerking wordt ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens’ verstaan.3 Een persoonsgegeven betreft ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’)’.4 Degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, is voor die verwerking verwerkingsverantwoordelijke.5 Een verzekeraar is een verwerkingsverantwoordelijke. Verzekeraars verzamelen en gebruiken immers persoonsgegevens. Net zoals andere verwerkingen, moet ook de verwerking van persoonsgegevens door verzekeraars aan de beginselen voldoen die zijn opgesomd art. 5 AVG: rechtmatigheid, behoorlijkheid en transparantie,6 doelbinding,7 minimale gegevensverwerking,8 juistheid,9 opslagbeperking10 en integriteit en vertrouwelijkheid.11 Het vereiste van rechtmatigheid van de verwerking is nader uitgewerkt in art. 6 AVG. De verwerkingsverantwoordelijke heeft voor het verwerken van persoonsgegevens een wettelijke grondslag nodig. De wettelijke grondslagen staan opgesomd in art. 6 lid 1 AVG. Bijvoorbeeld de toestemming van de betrokkene, de uitvoering van een overeenkomst waarbij de betrokkene partij is, en het voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, kunnen een wettelijke grondslag zijn voor de verwerking van persoonsgegevens.12 De verwerking kan ook rechtmatig zijn indien en voor zover de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen van de betrokkene die tot bescherming van persoonsgegevens nopen zwaarder wegen dan die belangen.13 Deze vier grondslagen zijn de meest voorkomende grondslagen waarop verzekeraars de verwerking van persoonsgegevens baseren.14
Behalve de AVG en de Uitvoeringswet AVG geldt voor verzekeraars ook de Gedragscode Verwerking Persoonsgegevens Verzekeraars.15 Deze gedragscode bevat een nadere ’uitwerking’ van de algemene wet- en regelgeving in concrete regels voor de verzekeringsbranche. Het gaat om bindende zelfregulering voor alle verzekeraars die zijn aangesloten bij het Verbond van Verzekeraars.16
In dit hoofdstuk 7.4 wil ik onderzoeken welke voorschriften gelden voor het verstrekken van persoonsgegevens door de overdragende verzekeraar voor en na de overname van de verzekeringsportefeuille. Er zijn meer thema’s te bedenken ten aanzien van de verwerking van persoonsgegevens door verzekeraars, maar die laat ik hier onbesproken omdat die niet in relatie staan tot het onderwerp van mijn onderzoek.