Einde inhoudsopgave
Rechten van polishouders bij portefeuilleoverdracht, juridische fusie en juridische splitsing door verzekeraars (O&R nr. 148) 2024/7.4.3
7.4.3 Het verstrekken van persoonsgegevens door de overdragende verzekeraar aan de verkrijgende verzekeraar na de “closing” van de transactie
mr. A.M.M. Menken, datum 01-01-2024
- Datum
01-01-2024
- Auteur
mr. A.M.M. Menken
- JCDI
JCDI:ADS949866:1
- Vakgebied(en)
Verzekeringsrecht (V)
Voetnoten
Voetnoten
Zoals besproken in hoofdstuk 7.4.2.
Zie hoofdstuk 8.7.1 van dit proefschrift.
Idem Claassen, Tijdschrift voor Financieel Recht nr. 10, oktober 2021, p. 343 voor wat betreft de overdracht van hypotheekvorderingen: “Voor het delen van persoonsgegevens in het kader van de overdracht van vorderingen uit hoofde van hypothecair krediet zijn de doeleinden waarvoor de persoonsgegevens zijn verzameld meestal geen probleem: de persoonsgegevens zijn immers verkregen voor de uitvoering van de hypothecaire kredietovereenkomst en dat verandert niet met de overdracht van de vorderingen.”
Op grond van art. 5 lid 1 onder d AVG moest de overdragende verzekeraar zich al houden aan het vereiste dat de persoonsgegevens die hij verwerkt toereikend moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit wordt het vereiste van ‘minimale gegevensverwerking’ genoemd. Ik ga er dus vanuit dat de overdragende verzekeraar niet méér gegevens verwerkt en dat hij dus ook alléén persoonsgegevens overdraagt die noodzakelijk zijn voor het uitvoeren van de overeenkomst.
Een andere rechtsgrond die wordt genoemd in art. 6 lid 1 AVG en die hier mogelijk relevant kan zijn, is de rechtsgrond die daar onder b wordt genoemd: “de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.”De toenmalige Wet bescherming persoonsgegevens bevatte een overeenkomstige grondslag: “de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van de overeenkomst.”Van Essen, Privacy & Informatie nr. 4, augustus 2004, p. 146-149 ging destijds in haar artikel over de Wet bescherming persoonsgegevens in op de verhouding tussen de regeling van de portefeuilleoverdracht in de Wet toezicht verzekeringsbedrijf 1993 en de Wet bescherming persoonsgegevens. Ter beantwoording van de vraag of de overdragende verzekeraar persoonsgegevens mocht overdragen keek zij als ik haar goed begrijp onder het regime van de Wet bescherming persoonsgegevens naar de vraag of de overdracht van de persoonsgegevens noodzakelijk was voor de uitvoering van de verzekeringsovereenkomsten. Zij toetste dus in feite aan de grondslag die nu is opgenomen in art. 6 lid 1 onder b AVG. Voor de beantwoording van die vraag was volgens haar onder het regime van de Wet bescherming persoonsgegevens met name relevant of de overdragende verzekeraar wel of niet het verzekeringsbedrijf bleef uitoefenen. In het geval dat de overdragende verzekeraar het verzekeringsbedrijf niet langer uitoefende, was het in de redenering van Van Essen om de verzekeringsovereenkomsten toch te kunnen te blijven uitvoeren (zoals bedoeld in deze grondslag), noodzakelijk om de persoonsgegevens over te dragen aan de verzekeraar die de werkzaamheden ten aanzien aan de verzekeringsportefeuille op zich nam. In het geval dat de overdragende verzekeraar het verzekeringsbedrijf bleef uitoefenen, was overdracht van de persoonsgegevens in haar redenering niet noodzakelijk voor de uitvoering van de verzekeringsovereenkomsten, maar kon volgens haar eventueel op grond van het gerechtvaardigd belang van de verkrijgende verzekeraar (dus de grondslag die wij nu kennen uit art. 6 lid 1 onder f AVG) toch een overdracht van persoonsgegevens plaatsvinden.Het antwoord op de vraag in hoeverre door de overdragende verzekeraar voor de overdracht van de persoonsgegevens in de verzekeringsadministratie gebruik kan worden gemaakt van de grondslag voor de verwerking van persoonsgegevens in art. 6 lid 1 onder b AVG, is uiteraard zeer interessant. Het zou door een verzekeraar als een voordeel van het gebruik van de rechtsgrond vermeld in art. 6 lid 1 onder b AVG, ten opzichte van het gebruik van de rechtsgrond vermeld in art. 6 lid 1 onder f AVG, gezien kunnen worden, dat in het eerste geval het recht van bezwaar van betrokkenen vermeld in art. 21 AVG niet geldt. Op grond van art. 21 lid 1 AVG heeft een betrokkene namelijk te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van de grondslagen vermeld in art. 6 lid 1 onder e en f AVG. Het recht van bezwaar van betrokkenen vermeld in art. 21 lid 1 AVG geldt dus wel voor verwerking van persoonsgegevens met art. 6 lid 1 onder f AVG als grondslag, maar niet voor verwerking van persoonsgegevens met art. 6 lid 1 onder b AVG als grondslag.Art. 6 lid 1 onder b AVG lijkt echter maar voor een deel van de persoonsgegevens in de administratie van de overdragende verzekeraar een grondslag te kunnen zijn voor de overdracht daarvan aan de verkrijgende verzekeraar. Een verzekeringsadministratie bevat niet alleen persoonsgegevens van polishouders, maar ook van verzekerden, benadeelden, etc. Art. 6 lid 1 onder b AVG heeft alleen betrekking op persoonsgegevens waarvan de verwerking noodzakelijk is voor de uitvoering van een overeenkomst “waarbij de betrokkene partij is”. Voor zover de betrokkene dus niet de hoedanigheid heeft van polishouder, maar bijvoorbeeld van verzekerde of benadeelde, is het de vraag of art. 6 lid 1 onder b AVG zich ook tot zijn persoonsgegevens uitstrekt. Hij is immers geen partij bij de verzekeringsovereenkomst.
R.o. 14 Rb. Midden-Nederland 23 november 2020, ECLI:NL:RBMNE:2020:5111 (VoetbalTV).
Zie ook weer Claassen, Tijdschrift voor Financieel Recht nr. 10 oktober 2021, p. 343 voor wat betreft de overdracht van hypotheekvorderingen: “Algemeen wordt aangenomen dat bij de overdracht van vorderingen uit hoofde van een overeenkomst van hypothecair krediet het delen van persoonsgegevens door de kredietaanbieder met de purchaser, een gerechtvaardigd belang dient van zowel de kredietaanbieder als de purchaser.”
Dit is de term die in art. 4 onder 1 AVG in de definitie van ‘persoonsgegevens’ wordt gebruikt. Ik zal hier daarom deze term uit de AVG gebruiken.
Kranenborg en Verhey 2018, p. 136.
WP260 rev.01, Groep gegevensbescherming artikel 29, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, goedgekeurd op 29 november 2017, laatstelijk herzien en goedgekeurd op 11 april 2018, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp260rev01_nl.pdf.
European Data Protection Board Endorsement 1/2018, destijds gepubliceerd op https://edpb.europa.eu/news/news/2018/endorsement-gdpr-wp29-guidelines-edpb_en. Zie thans https://edpb.europa.eu/our-work-tools/general-guidance/endorsed-wp29-guidelines_en.
De European Data Protection Board wordt in de Nederlandse vertaling van de General Data Protection Regulation, de AVG, het Europese Comité voor gegevensbescherming genoemd. Volgens art. 68 lid 2 AVG bestaat het Comité uit de voorzitter van één toezichthoudende autoriteit per lidstaat en de Europese Toezichthouder voor gegevensbescherming, of hun respectieve vertegenwoordigers.
Van Waesberge en Kamerling, Onderneming en Financiering 2020, afl. 2, p. 34 spreken over de informatieverplichting van de “target” bij een activa-passiva transactie. Ik ga ervan uit dat zij de verkoper bedoelen.Overigens kwam ik in meerdere juridische artikelen over verplichtingen van curatoren op grond van de AVG de opmerking tegen dat hij in geval van overdracht van het klantenbestand aan een derde de betrokkenen moet informeren. Ik ben geneigd te zeggen dat het hier gaat om een informatie-verplichting van de curator op grond van art. 14 AVG, aangezien de curator de persoonsgegevens op zijn beurt ontving van degene die failliet is gegaan. Die literatuur kan ik hier naar mijn mening dus niet ter nadere onderbouwing van een informatieverplichting van de verkoper gebruiken.
Kranenborg en Verhey 2018, p. 194-200; Snijders, Privacy & Informatie nr. 3, juni 2018, p. 82-86; Claassen, Tijdschrift voor Financieel Recht nr. 4, april 2021, p. 134 en Claassen, Tijdschrift voor Financieel Recht nr. 10, oktober 2021, p. 341-348; Zwenne, in: T&C Privacy- en gegevensbeschermingsrecht, art. 14 AVG.
Kranenborg en Verhey 2018, p. 197: “Op internet is het gebruik van privacy statements & disclaimers een veel voorkomend fenomeen. Afhankelijk van de zichtbaarheid, specificiteit en toegankelijkheid van dergelijke verklaringen kan hiermee aan de informatieverplichting ex artikel 13 AVG zijn voldaan.”
Ook in de door het Ministerie van Justitie en Veiligheid geschreven Handleiding Algemene verordening gegevensbescherming 2023, te vinden via https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming, wordt art. 14 lid 3 sub b AVG niet besproken.
Zwenne, in: T&C Privacy- en gegevensbeschermingsrecht, art. 14 AVG, aant. 3.
WP260 rev.01, Groep gegevensbescherming artikel 29, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679, goedgekeurd op 29 november 2017, laatstelijk herzien en goedgekeurd op 11 april 2018, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp260rev01_nl.pdf.
European Data Protection Board Endorsement 1/2018, destijds gepubliceerd op https://edpb.europa.eu/news/news/2018/endorsement-gdpr-wp29-guidelines-edpb_en. Zie thans https://edpb.europa.eu/our-work-tools/general-guidance/endorsed-wp29-guidelines_en.
Paragraaf 27 Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679: “Indien het eerste contact met de betrokkene plaatsvindt binnen de termijn van één maand na de verkrijging van de persoonsgegevens, moet de informatie uiterlijk op het moment van het eerste contact met de betrokkene worden verstrekt, niettegenstaande het feit dat de termijn van één maand na de verkrijging van de persoonsgegevens nog niet is verstreken. Indien het eerste contact met een betrokkene meer dan een maand na de verkrijging van de persoonsgegevens plaatsvindt, blijft artikel 14, lid 3, onder a), van toepassing, zodat de informatie van artikel 14 uiterlijk binnen een maand na de verkrijging van de persoonsgegevens moet worden verstrekt.”
Paragraaf 27 Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679: “De algemene termijn van één maand van artikel 14, lid 3, onder a), kan ook worden ingeperkt op grond van artikel 14, lid 3, onder c), dat voorziet in een situatie waarin de gegevens zullen worden verstrekt aan een andere ontvanger (die al dan niet een derde kan zijn). De informatie moet in dat geval uiterlijk worden verstrekt op het moment waarop de gegevens voor het eerst beschikbaar worden gesteld. (…) Zoals dat het geval was bij artikel 14, lid 3, onder b), blijft, indien de verstrekking van de persoonsgegevens meer dan een maand na de verkrijging van de persoonsgegevens plaatsvindt, artikel 14, lid 3, onder a), ook weer van toepassing, zodat de informatie uiterlijk één maand na de verkrijging van de persoonsgegevens aan de betrokkene moet worden verstrekt.”
Dit voorbeeld wordt expliciet gegeven in de in één van de vorige voetnoten genoemde Handleiding Algemene verordening gegevensbescherming 2023 van het Ministerie van Justitie en Veiligheid: “Wanneer u de persoonsgegevens buiten de betrokkene om heeft verkregen, dan hoeft u de betrokkene net als wanneer u de gegevens bij hem zelf verzamelt, niet te informeren wanneer de betrokkene reeds over de informatie beschikt. Dit is bijvoorbeeld het geval wanneer de betrokkene al geïnformeerd is door de oorspronkelijke verantwoordelijke dat de gegevens naar u doorgestuurd worden.” (p. 76).
Zie Staatscourant 26 oktober 2018, nr. 61044: “6. Waar Allianz Nederland Levensverzekering N.V. als verantwoordelijke voor verwerking van persoonsgegevens optrad als bedoeld in de Wet op de bescherming van persoonsgegevens, wordt deze verantwoordelijke, ingevolge de grensoverschrijdende fusie, het Nederlandse bijkantoor van Allianz Benelux N.V. De wijze waarop persoonsgegevens door het Nederlandse bijkantoor verwerkt, overgedragen en gebruikt worden, evenals de wijze waarop het recht tot inzage door een betrokkene kan uitgeoefend worden, is uiteengezet in het privacybeleid van Allianz Nederland, dat kan worden geraadpleegd via https://www.allianz.nl/service/privacy.”
Zie Staatscourant 22 november 2017, nr. 67870: “Waar Aegon als verantwoordelijke kwalificeerde als bedoeld in de Wet bescherming persoonsgegevens, ten aanzien van de verwerking van persoonsgegevens die plaatsvond in het kader van de betreffende overeenkomsten van schadeverzekering, kwalificeert na de voormelde overdracht, het Nederlandse bijkantoor van Allianz Benelux N.V. als verantwoordelijke in de zin van de Wet bescherming persoonsgegevens. De wijze waarop persoonsgegevens door het Nederlandse bijkantoor van Allianz Benelux N.V. worden verwerkt, overgedragen en gebruikt, evenals de wijze waarop het recht tot inzage door een betrokkene kan worden uitgeoefend, is uiteengezet in het privacybeleid dat kan worden geraadpleegd via https:/www.allianz.nl/service/privacy.”
Zie Staatscourant 29 juni 2016, nr. 33705.
Zie Staatscourant 30 juni 2014, nr. 18540.
Twee vereisten (art. 5 en 6 AVG)
In een latere fase van het overnameproces rijst dan opnieuw de vraag aan welke vereisten de overdragende verzekeraar moet voldoen, indien hij persoonsgegevens wil verstrekken. De verkrijgende verzekeraar zal immers verlangen dat tegelijk met de verzekeringsovereenkomsten ook de bijbehorende administratie wordt overgedragen. Dit bespreek ik in dit hoofdstuk 7.4.3.
Oók voor het verstrekken van de persoonsgegevens opgenomen in de administratie van de verzekeraar (betreffende de verzekeringsovereenkomsten), per de datum van overdracht van de verzekeringsportefeuille, aan de verkrijgende verzekeraar gelden de hiervoor al genoemde twee vereisten:
het verstrekken van gegevens mag alleen als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld (art. 5 lid 1 onder b AVG); en
het verstrekken van gegevens moet gebaseerd zijn op één van de grondslagen vermeld in art. 6 AVG.
Ad 1e: Het eerste vereiste om persoonsgegevens te mogen verstrekken is dus dat het verstrekken van de gegevens verenigbaar moet zijn met het doel waarvoor de gegevens zijn verzameld. Het voldoen aan dit eerste vereiste zal, anders dan in de fase van het due diligence onderzoek,1 waarschijnlijk juist geen probleem meer zijn. De rechten en verplichtingen uit verzekeringsovereenkomsten mogen immers alleen worden verkregen door een andere verzekeraar.2 De overdragende verzekeraar en de verkrijgende verzekeraar hebben waarschijnlijk beide als belangrijkste doelstelling het “uitvoeren” van verzekeringsovereenkomsten. Het verstrekken van de gegevens zal daarom verenigbaar zijn met het doel waarvoor de gegevens zijn verzameld.3 Ook hier geldt dat de verzekeraar die persoonsgegevens overdraagt zich bij het verstrekken van de persoonsgegevens ook aan de andere beginselen inzake verwerking van persoonsgegevens vermeld in art. 5 lid 1 AVG moet houden.4
Ad 2e: Ook voor deze verstrekking van persoonsgegevens geldt dat deze gebaseerd moet zijn op één van de grondslagen vermeld in art. 6 AVG. Van de grondslagen vermeld in art. 6 lid 1 AVG is ook in deze fase de grondslag van gerechtvaardigd belang vermeld onder f zeer waarschijnlijk5 de grondslag waarop de verzekeraar die de verzekeringsportefeuille overdraagt aan de verkrijgende verzekeraar, de overdracht van de bijbehorende administratie met persoonsgegevens zal baseren. De juridische vraag is dus ook hier of de doorzending van de persoonsgegevens aan de verkrijgende verzekeraar noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de overdragende verzekeraar en de verkrijgende verzekeraar, en of bij een afweging van belangen de belangen van de overdragende en de verkrijgende verzekeraar zwaarder wegen dan die van de betrokkenen. Ten aanzien van de drie voorwaarden vermeld in art. 6 lid 1 onder f AVG kan met betrekking tot deze fase van het verkoopproces (dus: de fase na de “closing” van de transactie) het volgende opgemerkt worden.
1. Het gerechtvaardigd belang van de overdragende verzekeraar is het nakomen van de afspraken die hij in de koopovereenkomst heeft moeten maken om de administratie over te dragen aan de verzekeraar die de rechten en verplichtingen uit de verzekeringsovereenkomsten overneemt. De verkrijgende verzekeraar heeft alle rechten en verplichtingen uit de verzekeringsovereenkomsten op zich genomen en heeft dus een gerechtvaardigd belang bij het verkrijgen van de gehele verzekeringsadministratie om zijn rechten op grond van de verzekeringsovereenkomsten uit te oefenen en om zijn daaruit voortvloeiende verplichtingen na te kunnen komen.
2. De verstrekking van de persoonsgegevens is ook noodzakelijk om die belangen van de overdragende en de verkrijgende verzekeraar te behartigen. Volgens de normuitleg van de Autoriteit Persoonsgegevens van november 2019 moet er getoetst worden aan eisen van proportionaliteit en subsidiariteit. Hier staat de inbreuk voor de betrokkenen naar mijn mening in verhouding tot het met de verwerking te dienen doel. Het doel kan ook niet op een minder voor de betrokkenen nadelige wijze worden bereikt.6 Zonder de persoonsgegevens opgenomen in de bij de verzekeringsovereenkomsten behorende administratie is de verkrijgende verzekeraar niet in staat de rechten en verplichtingen uit de verzekeringsovereenkomsten ongewijzigd na te komen. Daarbij ga ik er dan wel vanuit dat de administratie van de overdragende verzekeraar voldeed aan de beginselen van art. 5 AVG, en er dus bijvoorbeeld sprake was van minimale gegevensverwerking. Zo niet, dan zal de administratie eerst geschoond moeten worden.
3. Ook is het in mijn ogen bij een afweging van de belangen evident dat de belangen van de verzekeraars hier zwaarder wegen dan die van de betrokkenen. Nu we het hier in beginsel hebben over de toepassing van de procedure voor een portefeuilleoverdracht zoals omschreven en mogelijk gemaakt door de Wft, is het niet goed voor te stellen dat een betrokkene gehoor zal vinden indien hij zich op het standpunt zou stellen dat de met de portefeuilleoverdracht samenhangende doorzending van persoonsgegevens opgenomen in de verzekeringsadministratie aan de verkrijgende verzekeraar, niet gerechtvaardigd is in verband met zijn fundamentele vrijheden. Ook hierbij ga ik er dan vanuit dat de administratie van de overdragende verzekeraar voldeed aan de beginselen van art. 5 AVG.
Het vereiste dat het verstrekken van persoonsgegevens gebaseerd moet zijn op één van de grondslagen vermeld in art. 6 AVG, zal in de praktijk in deze fase van de transactie dus waarschijnlijk weinig problemen opleveren.7
Informatieverstrekking aan betrokkenen8 door de overdragende verzekeraar
Art. 5 lid 1 onder a AVG bepaalt dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. De vraag kan gesteld worden of uit dit vereiste van transparantie voortvloeit dat de overdragende verzekeraar de betrokkenen ervan op de hoogte moet stellen dat hij de persoonsgegevens overdraagt aan een andere verzekeraar, en dat deze de verwerkingsverantwoordelijke wordt. Het vereiste van transparantie zoals vermeld in art. 5 lid 1 onder a AVG is nader uitgewerkt in art. 12, 13 en 14 AVG.9Art. 13 AVG10 beschrijft de te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld, en art. 14 AVG de te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen. De juridische vraag is hier dus of uit art. 13 AVG voor de overdragende verzekeraar een verplichting voortvloeit om betrokkenen te informeren. Dat dit het geval is, is verdedigbaar op basis van de richtsnoeren van de Article 29 Working Party over transparantie.11 Deze richtsnoeren zijn naderhand ook bekrachtigd12 door de European Data Protection Board.13 Onder het kopje “Veranderingen in de informatie van de artikelen 13 en 14” stelt de Article 29 Working Party zich daar op het standpunt “Veranderingen in een privacyverklaring/mededeling die altijd aan betrokkenen dienen te worden meegedeeld zijn onder andere: een verandering in het doel van de verwerking, een verandering in de wijze waarop betrokkenen hun rechten in verband met de verwerking kunnen uitoefenen.” Ook in juridische literatuur wordt wel verdedigd dat zowel de verkoper als de koper op grond van de AVG verplicht zijn om de betrokkenen van de overgang op de hoogte te stellen.14
Informatieverstrekking aan betrokkenen door de verkrijgende verzekeraar
De verkrijgende verzekeraar heeft naar mijn mening in ieder geval op grond van de AVG de verplichting de betrokkenen te informeren dat hij de verwerkingsverantwoordelijke is geworden. Hij heeft deze verplichting op grond van het in art. 14 AVG bepaalde.15 Daar is opgenomen dat de verwerkingsverantwoordelijke de betrokkene diverse informatie moet verstrekken, wanneer persoonsgegevens niet van de betrokkene zijn verkregen. Het gaat onder meer om de identiteit en de contactgegevens van de verwerkingsverantwoordelijke, de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking, alsmede de betrokken categorieën van persoonsgegevens.16 De meeste verzekeraars hebben een zogenoemd privacy statement opgesteld waarin al deze informatie is vermeld.17 De betrokkene zal er dus van op de hoogte moeten worden gesteld wie de verwerkingsverantwoordelijke is en waar het desbetreffende privacy statement op de website van de nieuwe verwerkingsverantwoordelijke te vinden is.
Het eerste scenario waarmee aan deze verplichting op grond van art. 14 AVG kan worden voldaan, is het versturen van een individuele kennisgeving kort na de portefeuilleoverdracht, waarin staat vermeld wie de nieuwe verwerkingsverantwoordelijke is en waar het privacy statement te vinden is. Het betreft dan dus een individuele kennisgeving die wordt verstuurd door de verkrijgende verzekeraar. Deze neemt in een dergelijke kennisgeving vaak ook andere relevante praktische informatie op, bijvoorbeeld de bereikbaarheidsgegevens in het geval van vragen over de verzekering of om een schade te melden (de bereikbaarheidsgegevens van het ‘service center’). Op grond van art. 14 lid 3 sub a AVG moet de verwerkingsverantwoordelijke de in de leden 1 en 2 van art. 14 AVG bedoelde informatie binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt, verstrekken.
Mogelijk rijst bij de verkrijgende verzekeraar de vraag in hoeverre art. 14 lid 3 sub b AVG de ruimte biedt om deze informatie na een langere termijn dan een maand te verstrekken, namelijk op het moment dat hij voor het eerst uit hoofde van de verzekering met de polishouder communiceert. Ik denk dat die ruimte er niet is. In art. 14 lid 3 AVG is bepaald dat de verwerkingsverantwoordelijke de informatie moet verstrekken:
“a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene;
of
c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.”
Over de hier relevante juridische vraag wat de onderlinge verhouding is van sub a en sub b in art. 14 lid 3 AVG is weinig juridische literatuur te vinden.18 In de Tekst & Commentaar bundel over de AVG wordt opgemerkt: “Verdedigbaar lijkt dat in alle gevallen de informatie binnen een redelijke termijn, en dus uiterlijk binnen een maand na de verkrijging ervan, wordt verstrekt. De tekst van de bepaling biedt echter ook ruimte voor een andere uitleg.”19 De richtsnoeren van de Article 29 Working Party over transparantie20 bevatten wel een expliciet standpunt over de onderlinge verhouding van sub a/sub b/sub c van art. 14 lid 3 AVG. Deze richtsnoeren zijn (zoals hiervoor al opgemerkt) naderhand ook bekrachtigd21 door de European Data Protection Board. Het standpunt van de Article 29 Working Party houdt kort gezegd in dat sub b de termijn van sub a alléén kan inkorten, en niet langer kan maken.22 Ook sub c kan naar de mening van de Article 29 Working Party de termijn van sub a alléén inkorten, en niet langer maken.23
Ook een tweede scenario waarmee aan deze verplichting op grond van art. 14 AVG wordt voldaan, is denkbaar. Art. 14 lid 5 AVG bepaalt dat de leden 1 tot en met 4 niet van toepassing zijn indien en voor zover de betrokkene reeds over de informatie beschikt. De verkrijgende verzekeraar hoeft dan dus niet meer te laten weten dat hij de verwerkingsverantwoordelijke is geworden en waar het privacy statement te vinden is. Dat kan met name het geval zijn indien de overdragende verzekeraar al in een individuele kennisgeving over de portefeuilleoverdracht heeft toegevoegd welke rechtspersoon aan de zijde van de verkrijgende verzekeraar de verwerkingsverantwoordelijke wordt en waar diens privacy statement te vinden is.24 Dit is uiteraard de aanpak die het meest is aan te bevelen. Zie hierover verder hoofdstuk 10.3 van dit onderzoek.
In enkele gevallen hebben verzekeraars er in het verleden voor gekozen om deze informatie toe te voegen in de advertenties die zij in opdracht van DNB in het kader van de toezichtrechtelijke procedure voor een portefeuilleoverdracht moesten plaatsen in verband met het bepaalde in art. 3:119 Wft (in geval van levensverzekeringen) of 3:120 Wft (in geval van schadeverzekeringen). Ik trof in enkele advertenties op grond van de Wft, teksten op grond van de Wet bescherming persoonsgegevens respectievelijk de AVG aan, bijvoorbeeld bij Allianz in 2018,25 Aegon en Allianz gezamenlijk in 2017,26 Aegon en Allianz gezamenlijk in 2016,27 en Allianz en London Verzekeringen gezamenlijk in 2014.28 Waarschijnlijk wordt dit thans niet meer gedaan, omdat het twijfelachtig is of met dergelijke advertenties (in de Staatscourant en drie dagbladen) wordt voldaan aan de transparantieverplichtingen die gelden op grond van de per 25 mei 2018 van toepassing geworden AVG. De kans is immers groot dat deze informatie de betrokkene niet bereikt.
Ten slotte verdient wat betreft het al dan niet bestaan van een informatieverplichting van de overdragende en de verkrijgende verzekeraar, opmerking dat het ook voorkomt dat verzekeraars die tot dezelfde groep behoren de directe of indirecte aandeelhouder hebben aangewezen als de verwerkingsverantwoordelijke. Deze beheert dan een centrale verzekeringsadministratie. Er is dan sprake van een centrale verwerkingsverantwoordelijke. Indien verzekeraars die een dochtermaatschappij zijn van deze centrale verwerkingsverantwoordelijke onderling een verzekeringsportefeuille overdragen (of er vindt een juridische fusie plaats van twee van dergelijke dochtermaatschappijen), dan verandert er voor wat betreft wie de verwerkingsverantwoordelijke is niets, en blijft hetzelfde privacy statement van toepassing. Strikt genomen beschikt de betrokkene dan ook al over de in art. 13 en 14 AVG genoemde informatie.