Overheid.nl| Zoekpagina

De wegwijzer naar informatie en diensten van alle overheden

Naar zoeken

Gedragscode Verwerking Persoonsgegevens Financiële Instellingen[Regeling vervallen per 26-04-2010.]

Geldend van 03-02-2003 t/m 25-04-2010

Gedragscode Verwerking Persoonsgegevens Financiële Instellingen

1. Overwegingen [Vervallen per 26-04-2010]

1.1 Banken en verzekeraars (hierna: Financiële instellingen) verwerken in het kader van hun bedrijfsvoering Persoonsgegevens en vinden het belangrijk dat met die Persoonsgegevens zorgvuldig wordt omgegaan en dat deze vertrouwelijk worden behandeld.

1.2 De Wet bescherming persoonsgegevens (hierna: WBP) beoogt waarborgen te verschaffen ter bescherming van de persoonlijke levenssfeer van natuurlijke personen met betrekking tot de Verwerking van persoonsgegevens.

1.3 De Nederlandse Vereniging van Banken (hierna: de NVB) en het Verbond van Verzekeraars (hierna: het VvV) hebben in verband met de Wet persoonsregistraties reeds eerder gedragscodes opgesteld (Privacy Gedragscode Banken (Stcrt 207, 25 oktober 1995), resp. Gedragscode Verwerking van Persoonsgegevens Verzekeringsbedrijf (Stcrt. 44, 5 maart 1998)), die de wettelijke voorschriften nader uitwerken.

1.4 De NVB en het VvV wensen hun respectievelijke gedragscodes aan te passen aan de WBP en deze te integreren tot de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen (hierna: Gedragscode).

1.5 De Gedragscode beoogt:

  • a. richtlijnen te geven aan Financiële instellingen voor de omgang met Persoonsgegevens,

  • b. informatie te verschaffen aan personen van wie Persoonsgegevens door Financiële instellingen verwerkt (zullen) worden en

  • c. bij te dragen aan de doorzichtigheid van de gehanteerde regels met betrekking tot de door Financiële instellingen verwerkte en te verwerken Persoonsgegevens.

1.6 Op basis van artikel 25 WBP is door de NVB en het VvV aan het College bescherming persoonsgegevens (hierna: CBP) gevraagd te beoordelen of deze Gedragscode een juiste uitwerking vormt van de WBP en/of andere wettelijke bepalingen betreffende de Verwerking van persoonsgegevens.

1.7 Het CBP heeft deze Gedragscode beoordeeld en heeft vervolgens verklaard dat [...].

2. Begripsbepaling [Vervallen per 26-04-2010]

In deze Gedragscode wordt verstaan onder:

  • a. Bestand: elk gestructureerd geheel van Persoonsgegevens dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

  • b. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft als nader aangegeven in 3.3;

  • c. Bewerker: degene die ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreekse gezag te zijn onderworpen;

  • d. Bijzondere persoonsgegevens: Persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, alsmede strafrechtelijke Persoonsgegevens en Persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag;

  • e. Bijzonder risico: de situatie dat een persoon een schadevergoeding is ontzegd in verband met het opzettelijk verstrekken van onjuiste informatie, dan wel een verzekering is opgezegd of anderszins beëindigd in verband met het verstrekken van onjuiste informatie over het schadeverloop;

  • f. CBP: het College bescherming persoonsgegevens als bedoeld in artikel 51 van de WBP;

  • g. Cliënt: de natuurlijke persoon met wie een Financiële instelling in een rechtsverhouding staat of heeft gestaan dan wel de natuurlijke persoon die te kennen heeft gegeven te overwegen een relatie met een Financiële instelling aan te gaan;

  • h. Derde: ieder, niet zijnde de Betrokkene, de Verantwoordelijke, de Bewerker, of enig persoon, die onder rechtstreeks gezag van de Verantwoordelijke of de Bewerker gemachtigd is om Persoonsgegevens te verwerken;

  • i. Financiële instelling: een bank en/of verzekeraar;

  • j. Functionaris: de functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de WBP;

  • k. Functionele eenheid: De groepering van personen die op directe of gelijkgerichte wijze betrokken is bij het doel waarvoor medische gegevens zijn gevraagd, c.q. verstrekt;

  • l. Gedragscode: de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen;

  • m. Groep: de economische eenheid waarin rechtspersonen en vennootschappen organisatorisch zijn verbonden en waartoe een Financiële instelling behoort;

  • n. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

  • o. Verantwoordelijke: de rechtspersoon die, alleen of tezamen met anderen, het doel en de middelen voor de Verwerking van persoonsgegevens vaststelt of de rechtspersoon die binnen een Groep hiertoe is aangewezen;

  • p. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder verzamelen, vastleggen, ordenen, bewaren, wijzigen, raadplegen, gebruiken, verstrekken en vernietigen;

  • q. WBP: Wet bescherming persoonsgegevens.

3. Omschrijving van de sector, de reikwijdte en de Betrokkenen [Vervallen per 26-04-2010]

3.1. De sector [Vervallen per 26-04-2010]

De Gedragscode is van toepassing op kredietinstellingen die lid zijn van de Nederlandse Vereniging van Banken (NVB), als ook op bij Rabobank Nederland aangesloten banken en op verzekeraars die lid zijn van het Verbond van Verzekeraars (VvV).

3.2. Reikwijdte [Vervallen per 26-04-2010]

De Gedragscode is van toepassing op de geheel of gedeeltelijk geautomatiseerde Verwerking van persoonsgegevens van Betrokkenen, alsmede op de niet geautomatiseerde Verwerking van persoonsgegevens die in een Bestand zijn opgenomen of bestemd zijn om in een Bestand te worden opgenomen, een en ander voorzover zulks geschiedt door een Financiële instelling in het kader van de bedrijfsvoering. Verwerkingen van persoonsgegevens in verband met incidentenregisters door de veiligheidsafdelingen van Financiële instellingen en de Verwerking van persoonsgegevens in de hoedanigheid van werkgever vallen buiten de reikwijdte van deze Gedragscode.

3.3. Betrokkenen [Vervallen per 26-04-2010]

In het kader van de in artikel 5 vermelde activiteiten worden Persoonsgegevens verwerkt van de volgende Betrokkenen:

  • a. Cliënten;

  • b. personen die een Financiële instelling wil benaderen teneinde hen te bewegen een rechtsverhouding aan te gaan;

  • c. personen die een Financiële instelling benaderen;

  • d. personen van wie een Financiële instelling krachtens wettelijk voorschrift (bijvoorbeeld de toestemming van de echtgenoot ex art. 88 boek 1 BW) dan wel met het oog op geldende verjaringstermijnen, Persoonsgegevens dient te verwerken;

  • e. personen van wie een Financiële instelling in verband met contractuele of wettelijke verplichtingen jegens een Cliënt of Derde Persoonsgegevens dient te verwerken.

4. Principes van Verwerking van persoonsgegevens [Vervallen per 26-04-2010]

4.1 Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

4.2 Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verkregen.

4.3 Persoonsgegevens worden slechts verwerkt indien en voorzover is voldaan aan minimaal één van de volgende rechtmatige grondslagen:

  • a. de Betrokkene heeft voor de Verwerking van persoonsgegevens zijn ondubbelzinnige toestemming verleend;

  • b. de Verwerking van persoonsgegevens is noodzakelijk voor de uitvoering van een overeenkomst waarbij de Betrokkene partij is, of voor het nemen van pre-contractuele maatregelen naar aanleiding van een verzoek van de Betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;

  • c. de Verwerking van persoonsgegevens is noodzakelijk om een wettelijke verplichting na te komen waaraan de Verantwoordelijke onderworpen is;

  • d. de Verwerking van persoonsgegevens is noodzakelijk ter vrijwaring van een vitaal belang van de Betrokkene; of

  • e. de Verwerking van persoonsgegevens is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de Verantwoordelijke of van een Derde aan wie de Persoonsgegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

4.4 Persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

4.5 De Verantwoordelijke neemt maatregelen zodat Persoonsgegevens, gelet op de doeleinden waarvoor zij worden verwerkt, accuraat, toereikend, ter zake dienend en niet bovenmatig zijn.

4.6 Indien Persoonsgegevens worden verzameld bij de Betrokkene, informeert de Verantwoordelijke de Betrokkene over zijn identiteit en de doeleinden van de Verwerking van persoonsgegevens van de Betrokkene, tenzij de Verantwoordelijke op goede gronden mag aannemen dat de Betrokkene daarvan reeds op de hoogte is. Aan deze informatieplicht wordt voldaan vóór het moment van verkrijging.

4.7 Indien de Persoonsgegevens op een andere manier worden verkregen, informeert de Verantwoordelijke de Betrokkene op het moment van vastlegging of, wanneer de Persoonsgegevens bestemd zijn om te worden verstrekt aan een Derde, op het moment van eerste verstrekking. De verplichting geldt niet wanneer de Betrokkene reeds op de hoogte is, dan wel wanneer de mededeling aan Betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval wordt de herkomst van de Persoonsgegevens vastgelegd. De verplichting geldt evenmin wanneer de vastlegging of de verstrekking bij of krachtens de wet is voorgeschreven.

4.8 Indien het – gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt – nodig is uit oogpunt van het waarborgen van een behoorlijke en zorgvuldige Verwerking van persoonsgegevens, zal in aanvulling op de informatie als aangegeven in 4.6 en 4.7 nadere informatie worden verstrekt aan de Betrokkene.

4.9 Financiële instellingen kunnen in het kader van hun bedrijfsvoering via het internet Persoonsgegevens van Betrokkenen, die een Financiële instelling via dit medium benaderen, vastleggen en verder verwerken. Financiële instellingen zullen via een Privacy Statement op hun eventuele website informatie beschikbaar stellen over het beleid met betrekking tot de door middel van het internet verkregen Persoonsgegevens. Het statement bevat minimaal de informatie als bedoeld in artikel 4.6.

5. Verwerking van persoonsgegevens [Vervallen per 26-04-2010]

5.1. Algemeen [Vervallen per 26-04-2010]

5.1.1 Verwerking van persoonsgegevens door Financiële instellingen vindt, met inachtneming van de principes van Verwerking van persoonsgegevens, plaats in het kader van een efficiënte en effectieve bedrijfsvoering, in het bijzonder gericht op de volgende activiteiten:

  • a. het beoordelen en accepteren van (potentiële) Cliënten, het aangaan en uitvoeren van overeenkomsten met een Betrokkene en het afwikkelen van het betalingsverkeer;

  • b. het verrichten van analyses van Persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden;

  • c. het uitvoeren van (gerichte) marketingactiviteiten teneinde een relatie met een Betrokkene tot stand te brengen en/of met een Cliënt in stand te houden dan wel uit te breiden;

  • d. het waarborgen van de veiligheid en integriteit van de sector, daaronder mede begrepen het bestrijden, voorkomen en opsporen van (pogingen tot) (strafbare) gedragingen gericht tegen de branche waarvan een Financiële instelling deel uitmaakt, de Groep waartoe een Financiële instelling behoort, de Financiële instelling zelf, haar Cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwingssystemen;

  • e. het voldoen aan wettelijke verplichtingen.

5.1.2 Financiële instellingen verwerken niet meer Persoonsgegevens dan strikt noodzakelijk is. Zij stellen deze Persoonsgegevens slechts beschikbaar aan medewerkers binnen de Groep die daartoe met inachtneming van de principes van Verwerking van persoonsgegevens geautoriseerd zijn.

5.1.3 Financiële instellingen zullen waar nodig hun specifieke activiteiten vermelden in de aanmelding bij het CBP of, voorzover van toepassing, bij de eigen Functionaris.

5.2. Verwerking van persoonsgegevens in het kader van het beoordelen en accepteren van (potentiële) Cliënten, het aangaan en uitvoeren van overeenkomsten met een Betrokkene en het afwikkelen van het betalingsverkeer [Vervallen per 26-04-2010]

5.2.1 In het kader van het beoordelen en accepteren van (potentiële) Cliënten en het aangaan en uitvoeren van een overeenkomst worden Persoonsgegevens verzameld. Voorzover het Persoonsgegevens met betrekking tot gezondheid en strafrechtelijke Persoonsgegevens betreft zijn de bepalingen van Paragraaf 6 van toepassing.

5.2.2 Gegevens van feitelijke aard, die betrekking hebben op claims die worden ingediend onder de bij Financiële instellingen gesloten overeenkomsten of een bepaalde welomschreven categorie daarvan, kunnen in het kader van activiteiten gericht op het voorkomen en bestrijden van fraude worden doorgegeven aan een centraal door of ten behoeve van de deelnemende Financiële instellingen ingesteld meldpunt. Financiële instellingen kunnen voor het beoordelen en accepteren van (potentiële) Cliënten en het aangaan en uitvoeren van overeenkomsten Persoonsgegevens leveren en onttrekken aan die waarschuwingssystemen. Op deze waarschuwingssystemen is deze Gedragscode niet van toepassing.

5.2.3 Door een Financiële instelling worden in het kader van de normale afwikkeling van het betalingsverkeer Persoonsgegevens doorgegeven aan de wederpartij. Tevens worden, tenzij vooraf anders is overeengekomen, aanvullende gegevens verstrekt aan de bij de verdere Verwerking van persoonsgegevens betrokken partijen, voorzover deze redelijkerwijs noodzakelijk zijn voor verificatie- en/of reconstructiedoeleinden.

5.2.4 In het kader van de uitvoering van het betalingsverkeer kunnen Financiële instellingen gebruik maken van de diensten van een Bewerker.

5.3. Verwerking van persoonsgegevens in het kader van analyses ten behoeve van statistische en wetenschappelijke doeleinden [Vervallen per 26-04-2010]

5.3.1 Verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet beschouwd als onverenigbaar met de doeleinden waarvoor zij eerder zijn verzameld, indien de Verantwoordelijke de nodige voorzieningen heeft getroffen teneinde te verzekeren dat de verdere Verwerking van persoonsgegevens uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.

5.3.2 Het bouwen van een datawarehouse en de analyse van de daarin opgenomen Persoonsgegevens wordt beschouwd als een Verwerking van persoonsgegevens ten behoeve van statistische doeleinden, indien is voldaan aan de bepalingen van het vorige lid.

5.3.3 Teneinde de gerichtheid van marketingactiviteiten te bevorderen, kunnen analysewerkzaamheden worden verricht op de Persoonsgegevens die in het kader van marketingactiviteiten verzameld zijn.

5.4. Verwerking van persoonsgegevens in het kader van marketingactiviteiten [Vervallen per 26-04-2010]

5.4.1 Indien het aan een Cliënt voldoende duidelijk is gemaakt dat de Financiële instelling waar de Cliënt contact mee heeft deel uitmaakt van een Groep en dat de Cliënt door de Financiële instelling beschouwd wordt als Cliënt van de Groep, kan de Cliënt worden benaderd door alle vennootschappen van de Groep ten behoeve van marketingactiviteiten, mits aan de overige bepalingen van de WBP is voldaan.

5.4.2 Bij marketingactiviteiten wordt primair gebruik gemaakt van Persoonsgegevens die van de Betrokkene zelf afkomstig zijn. In geval er gebruik wordt gemaakt van Persoonsgegevens die niet van de Betrokkene zelf worden verkregen, zal als regel de herkomst van de Persoonsgegevens vastgelegd worden en zal de Financiële instelling zich ervan overtuigen dat in overeenstemming met de WBP wordt gehandeld.

5.4.3 Bij marketingactiviteiten worden in voorkomende gevallen gespecialiseerde bedrijven ingeschakeld. Financiële instellingen zullen ervoor zorgdragen dat met deze bedrijven een bewerkersovereenkomst wordt aangegaan, waarin de verplichtingen zijn opgenomen waaraan een Bewerker zich in het kader van de WBP dient te houden en zullen toezien op correcte naleving.

5.4.4 Bij het betalingsverkeer kan er sprake zijn van uitwisseling van mededelingen, nodig voor een goede afwikkeling van de betalingsopdracht. De inhoud van deze mededelingen zal door de Financiële instelling als vertrouwelijk worden beschouwd en niet voor marketingactiviteiten worden gebruikt.

5.4.5 Bij marketingactiviteiten zal steeds worden nagegaan of een Cliënt gebruik heeft gemaakt van zijn of haar recht van verzet, als bedoeld in Paragraaf 7.2, in relatie tot de Verwerking van persoonsgegevens voor deze doeleinden.

5.5. Verwerking van persoonsgegevens in het kader van veiligheid en integriteit alsmede het gebruik van waarschuwingssystemen [Vervallen per 26-04-2010]

5.5.1 Verwerking van persoonsgegevens van Betrokkenen anders dan door de veiligheidsafdeling of een daartoe geautoriseerde functionaris valt onder de reikwijdte van deze Gedragscode.

5.5.2 Indien deze Persoonsgegevens worden opgenomen in een waarschuwingssysteem ten behoeve van in Nederland gevestigde Financiële instellingen waarvoor een Financiële instelling niet als Verantwoordelijke optreedt, is de Gedragscode niet van toepassing.

5.5.3 Voorzover de Verwerking van persoonsgegevens, waaronder Persoonsgegevens van anderen dan een Betrokkene, geschiedt in het kader van veiligheid en integriteit van de sector door een veiligheidsafdeling of een daartoe geautoriseerde functionaris, is deze Gedragscode niet van toepassing. Gelet op de aard van de verwerking en de speciale maatregelen die zijn genomen ter bescherming van de Persoonsgegevens zijn de voorwaarden voor deze Verwerking van persoonsgegevens vastgelegd in het ‘Protocol Incidentenwaarschuwingssysteem Financiële Instellingen’.

5.5.4 Op het toedrachtsonderzoek is de Gedragscode Persoonlijk Onderzoek van toepassing.

5.6. Verwerking van persoonsgegevens in verband met wettelijke voorschriften [Vervallen per 26-04-2010]

5.6.1 Financiële instellingen dienen op grond van wettelijke bepalingen in voorkomende gevallen informatie over hun Cliënten en andere Betrokkenen aan overheids- en andere instellingen te verstrekken. De belangrijkste wettelijke verplichtingen worden hieronder vermeld.

5.6.2 Wet melding ongebruikelijke transacties (Wet Mot): op grond van de Wet Mot is een Financiële instelling verplicht ongebruikelijke transacties te melden bij het wettelijk meldpunt, dat tot taak heeft te bezien of deze gegevens van belang kunnen zijn voor de voorkoming en opsporing van misdrijven. Welke transacties als ongebruikelijk moeten worden aangemerkt wordt bepaald aan de hand van een indicatorenlijst. Een Financiële instelling is verplicht om dergelijke meldingen geheim te houden.

5.6.3 Wet identificatieplicht bij dienstverlening (Wid): op grond van deze wet is een Financiële instelling verplicht om de identiteit van een Cliënt vast te stellen voordat zij aan Cliënt een dienst verleent. De identiteit van de Cliënt wordt vastgesteld met behulp van documenten die in deze wet worden genoemd of waarnaar wordt verwezen. Een Financiële instelling is daarbij verplicht om een aantal met name genoemde gegevens vast te leggen en te bewaren.

5.6.4 Informatieverstrekking aan de Belastingdienst: Financiële instellingen zijn verplicht informatie te verstrekken over hun Cliënten aan de Belastingdienst. Verwezen wordt naar het Voorschrift Informatie Fiscus/Banken.

5.6.5 Wet toezicht kredietwezen 1992: De Nederlandsche Bank N.V. heeft op grond van de Wet toezicht kredietwezen 1992 de bevoegdheid bij bepaalde Financiële instellingen alle inlichtingen in te winnen, die zij bij het uitoefenen van haar toezichthoudende taak noodzakelijk acht. Dit zal slechts in incidentele situaties tot het opvragen van gegevens over Cliënten leiden.

5.6.6 Wet Toezicht Verzekeringsbedrijf 1993: De Pensioen- en Verzekeringskamer heeft op grond van de Wet Toezicht Verzekeringsbedrijf 1993 de bevoegdheid alle inlichtingen in te winnen, die zij bij het uitoefenen van haar toezichthoudende taak noodzakelijk acht. Dit zal slechts in incidentele situaties tot het opvragen van gegevens over Cliënten leiden.

5.6.7 Wet financiële betrekkingen buitenland 1994: op grond van deze wet is een ieder verplicht aan De Nederlandsche Bank N.V. inlichtingen en gegevens te verschaffen, die voor het samenstellen van de betalingsbalans van Nederland van belang zijn en/of die van belang kunnen zijn voor het naleven van internationale verdragen aangaande kapitaal- en goederenverkeer. Voor de Cliënt – tenzij deze ingezetene is van een door sancties van de Verenigde Naties getroffen land of voorkomt op een lijst van door sancties getroffen personen – is alleen de verstrekking aan De Nederlandsche Bank N.V. van gegevens voor de samenstelling van de betalingsbalans relevant. Bij grotere betalingen worden de relevante gegevens (opdrachtgever, bedrag, aard van de betaling, begunstigde e.d.) aan De Nederlandsche Bank N.V. doorgegeven.

5.6.8 Wet toezicht effectenverkeer 1993 (Wte): op grond van deze wet kan de Financiële instelling in het kader van de bestrijding van misbruik van voorwetenschap genoodzaakt worden om gegevens betreffende financiële transacties aan opsporingsinstellingen te verstrekken. Zie ook art. 42 van de Nadere Regeling Toezicht Effectenverkeer 1999 (Stcrt 1999, nr. 12, p. 8 e.v).

5.6.9 Wet consumentenkrediet (Wck): op grond van de Wck dienen Uit: Staatscourant 3 februari 2003, nr. 23 / pag. 16 4 Financiële instellingen die zich bezighouden met het verstrekken van kredieten aan natuurlijke personen die onder de werking van de Wck vallen, te zijn aangesloten bij een ‘stelsel van kredietregistraties’ (art. 14 lid 2 Wck). Het Bureau Krediet Registratie te Tiel (BKR) beheert een dergelijk stelsel van kredietregistratie. Kredietverschaffers verstrekken gegevens omtrent ontstaan en afwikkeling van financieringen aan het BKR en kunnen tevens beschikken over de door andere kredietverschaffers aangeleverde gegevens. De aard van de vastgelegde gegevens, de voorwaarden voor vastlegging, gebruik en verstrekking en de regels voor verwijdering van de gegevens zijn neergelegd in het reglement van het BKR. Tevens is er een Gedragscode BKR. Voorts kunnen bij het BKR geregistreerde personen – naast de mogelijkheid van artikel 60 WBP – in geval van een geschil zich wenden tot de geschillencommissie BKR.

5.6.10 Wet inkomstenbelasting 2001 en Invoeringswet inkomstenbelasting 2001: op grond van deze wetten is voorgeschreven dat door Financiële instellingen het sofi-nummer als verplicht identificerend gegeven op de renseigneringen moet worden vermeld.

5.6.11 Besluit gebruik sofi-nummer: op grond van dit besluit kunnen verzekeraars als bedoeld in artikel 2, vierde lid, onder b van de Pensioen- en spaarfondsenwet het sofi-nummer gebruiken ter uitvoering van pensioenregelingen. De verzekeraars mogen dit nummer slechts gebruiken voorzover dat noodzakelijk is voor de uitvoering van hun taken of ten behoeve van de rechtmatige uitvoering van wettelijke taken. Ook mogen verzekeraars dit nummer gebruiken in het verkeer met de persoon op wie het nummer betrekking heeft en in hun contacten met de personen en instanties die zelf gerechtigd zijn tot het gebruik van het sociaal-fiscaal nummer.

6. Verwerking van Bijzondere persoonsgegevens [Vervallen per 26-04-2010]

6.1. Persoonsgegevens betreffende iemands gezondheid [Vervallen per 26-04-2010]

6.1.1 Het verzamelen van gegevens omtrent iemands gezondheid is, onder verantwoordelijkheid van de medisch adviseur, voorbehouden aan personen die deel uitmaken van de Functionele eenheid. Rapporten van een controlerend geneeskundige, een expertiserend geneeskundige en/of van de Arbodienst, alsmede informatie uit de behandelende sector worden opgenomen in het medisch dossier dat onder de verantwoordelijkheid van de medisch adviseur wordt bewaard. Betrokkene heeft het recht – bij voorkeur via een door hem of haar benoemde vertrouwensarts – een op hem of haar betrekking hebbend medisch dossier volledig, met uitzondering van werkaantekeningen van de medisch adviseur, in te zien en daarvan kopieën te ontvangen, tenzij de privacy van in het rapport besproken Derden zich daartegen verzet.

6.1.2 Indien in het kader van acceptatie en/of schadebehandeling medewerking van een Cliënt aan een medische keuring of aan een aanvullend onderzoek wordt gevraagd, zal de verzekeraar in de keuringsstukken en formulieren wijzen op het belang van legitimatie teneinde verwisseling van personen te voorkomen.

6.1.3 Het verzamelen van gegevens omtrent iemands gezondheid bij anderen dan de Betrokkene zal slechts plaatsvinden nadat Betrokkene daartoe een machtiging heeft verstrekt. De machtiging dient zo te zijn geredigeerd dat deze uitsluitend gericht is op het geven van toestemming voor inzage of verstrekking van gegevens die noodzakelijk zijn voor de behandeling van een concrete zaak. De Betrokkene over wie nadere informatie wordt opgevraagd dient te worden geïnformeerd omtrent de aard van de op te vragen informatie alsmede over het doel daarvan. Uit de machtiging dient te blijken dat Betrokkene over het voorgaande is geïnformeerd.

6.1.4 In het kader van het leveren van bepaalde diensten en/of producten is het noodzakelijk dat Persoonsgegevens omtrent iemands gezondheid, in de vorm van eigen verklaringen van Cliënten, worden verwerkt. Deze Persoonsgegevens worden strikt vertrouwelijk behandeld en zullen uitsluitend worden verwerkt voorzover dat noodzakelijk is voor:

  • a. de beoordeling van het te verzekeren risico en de Betrokkene geen bezwaar heeft gemaakt, of

  • b. de uitvoering van een verzekeringsovereenkomst, of

  • c. de uitvoering van een financieringsovereenkomst en Betrokkene daarvoor uitdrukkelijk toestemming heeft verleend.

6.1.5 Gegevens omtrent iemands gezondheid die zijn verwerkt met het oog op de beoordeling van een te verzekeren risico of de uitvoering van een verzekerings- of financieringsovereenkomst zullen zonder toestemming van de Betrokkene niet worden gebruikt in het kader van de beoordeling van het te verzekeren risico voor een andere verzekering en/of de uitvoering van een andere verzekeringsovereenkomst of financieringsovereenkomst.

6.1.6 Op de Verwerking van persoonsgegevens betreffende erfelijke eigenschappen is het ’moratorium erfelijkheidsonderzoek’ van toepassing. De tekst van het moratorium is als bijlage bij deze Gedragscode gevoegd.

6.1.7 Op de Verwerking van persoonsgegevens omtrent iemands gezondheid die ontleend kunnen worden aan bloedonderzoek is de ’HIVgedragscode’ van toepassing. De tekst van de HIV-gedragscode is als bijlage bij deze Gedragscode gevoegd.

6.2. Persoonsgegevens van strafrechtelijke aard [Vervallen per 26-04-2010]

6.2.1 Financiële instellingen kunnen met het oog op een verantwoord acceptatiebeleid vragen naar feiten omtrent een eventueel strafrechtelijk verleden van te verzekeren personen en anderen wier belangen op de aangevraagde verzekering worden (mee)verzekerd (bestuurders en aandeelhouders van rechtspersonen daaronder begrepen), voorzover die feiten betrekking hebben op een periode van 8 jaar voorafgaand aan de aanvraag tot verzekering. Daarbij geldt dat het opgegeven strafrechtelijk verleden slechts gebruikt zal worden voor de beoordeling van de verzekerings- en/of financieringsaanvraag en dat langs rechtmatige weg verkregen gegevens omtrent een strafrechtelijk verleden kunnen worden gebruikt in het kader van een beroep op verzwijging als bedoeld in artikel 251 Wetboek van Koophandel.

6.2.2 Strafrechtelijke gegevens die betrekking hebben op strafbare feiten begaan jegens een van de in een Groep verbonden Financiële instellingen of gegevens die dienen ter vaststelling van mogelijk strafbaar gedrag jegens een van de in een Groep verbonden Financiële instellingen kunnen worden verstrekt aan alle tot een zodanige Groep behorende rechtspersonen, mits de gegevens uitsluitend worden verstrekt aan functionarissen die die gegevens voor de uitoefening van hun functie nodig hebben.

6.3. Andere Bijzondere persoonsgegevens [Vervallen per 26-04-2010]

6.3.1 Betalingsopdrachten kunnen Bijzondere persoonsgegevens bevatten, zoals bijvoorbeeld gegevens van een vakvereniging. De uitvoering van de betalingsopdrachten brengt met zich mee dat Verwerking van dergelijke Persoonsgegevens plaatsvindt. De Verwerking van persoonsgegevens vindt onder meer plaats door het archiveren van de originele bescheiden of van de al dan niet elektronische afschriften daarvan. Dergelijke gegevens zullen alleen worden gebruikt indien dat noodzakelijk is voor het leveren van bewijs.

6.3.2 In verband met het gebruik van cameratoezicht als aangegeven in Paragraaf 8.4 worden Bijzondere persoonsgegevens verwerkt. De Verwerking van deze Persoonsgegevens is onvermijdelijk met het oog op de vaststelling van de identiteit van de Betrokkene.

7. Rechten van Betrokkenen [Vervallen per 26-04-2010]

7.1. Kennisneming en correctie [Vervallen per 26-04-2010]

7.1.1 Een Betrokkene is gerechtigd een Financiële instelling schriftelijk een overzicht te vragen van de hem of haar betreffende Persoonsgegevens die door die Financiële instelling worden verwerkt. De Financiële instelling zal, behoudens in de genoemde uitzonderingsgevallen in de WBP, de Betrokkene binnen vier weken na de datum van het verzoek een overzicht van de Persoonsgegevens en informatie betreffende de Verwerking van die persoonsgegevens doen toekomen. Indien door de Financiële instelling geen Persoonsgegevens van de Betrokkene worden verwerkt, zal de Financiële instelling dit tevens binnen vier weken na de datum van het verzoek aan de Betrokkene laten weten.

7.1.2 Indien uit het verstrekte overzicht blijkt dat Persoonsgegevens feitelijk onjuist zijn, voor het doel van de verwerking onvolledig of niet ter zake dienend dan wel anderszins in strijd met deze Gedragscode of de WBP worden verwerkt, kan de Betrokkene schriftelijk om verbetering, aanvulling, verwijdering of afscherming van de betreffende gegevens verzoeken. Een Financiële instelling zal de Betrokkene binnen vier weken na ontvangst van genoemd verzoek, schriftelijk laten weten of, dan wel in hoeverre aan het verzoek voldaan wordt. Indien niet of niet volledig aan het verzoek van de Betrokkene wordt voldaan, wordt dit met redenen omkleed.

7.1.3 Bovengenoemde verzoeken tot inzage of correctie dienen gericht te worden aan de Verantwoordelijke voor de gegevensverwerking. Het verzoek om correctie dient een specificatie te bevatten van de Persoonsgegevens die gecorrigeerd dienen te worden. De Verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.

7.1.4 Indien het voor de Betrokkene onduidelijk is wie als Verantwoordelijke optreedt, bijvoorbeeld omdat de instelling deel uitmaakt van een Groep, kan de Betrokkene zijn verzoek richten tot de directie van de Financiële instelling waarvan hij vermoedt dat deze zijn Persoonsgegevens verwerkt. De directie draagt ervoor zorg dat het verzoek op de juiste wijze wordt afgehandeld.

7.2. Verzet [Vervallen per 26-04-2010]

7.2.1 Indien de rechtmatige grondslag van de Verwerking van persoonsgegevens is gelegen in het gerechtvaardigde belang van de Verantwoordelijke of van een Derde aan wie de gegevens worden verstrekt, heeft de Betrokkene het recht verzet aan te tekenen tegen de Verwerking van persoonsgegevens in verband met zijn bijzondere persoonlijke omstandigheden. Binnen vier weken beoordeelt de Verantwoordelijke of het verzet gerechtvaardigd is. Is dat het geval dan wordt de Verwerking van persoonsgegevens van die Betrokkene terstond beëindigd.

7.2.2 Indien een Financiële instelling Persoonsgegevens verwerkt met het oog op werving voor commerciële of charitatieve doelen kan een Betrokkene daartegen te allen tijde kosteloos verzet aantekenen. In geval van verzet treft de Financiële instelling maatregelen om deze vorm van Verwerking van persoonsgegevens terstond te beëindigen. De Verantwoordelijke zal ervoor zorgdragen dat, indien voor de hiervoor genoemde doelen rechtstreeks een boodschap aan Betrokkene wordt gezonden, deze daarbij telkens wordt gewezen op de mogelijkheid tot het doen van verzet.

7.3. Vergoeding van kosten [Vervallen per 26-04-2010]

7.3.1 De Verantwoordelijke kan voor een verzoek als bedoeld in de artikelen 7.1.1 en 7.2.1 een vergoeding van kosten verlangen die niet hoger is dan het bij algemene maatregel van bestuur vastgestelde bedrag.

7.3.2 Indien tot aanpassing, wijziging of verwijdering van de gegevens wordt overgegaan als bedoeld in artikel 7.1.2 of indien het verzet gegrond wordt bevonden wordt het bedrag bedoeld in het vorige lid gerestitueerd.

7.4. Besluit op grond van geautomatiseerde Verwerking van persoonsgegevens [Vervallen per 26-04-2010]

7.4.1 Het nemen van een besluit uitsluitend op grond van geautomatiseerde Verwerking van persoonsgegevens bestemd om een beeld van bepaalde aspecten van iemands persoonlijkheid te krijgen is slechts toegestaan indien:

  • a. dit wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst, of

  • b. dit besluit zijn grondslag vindt in een wet waarin maatregelen zijn vastgelegd die strekken tot bescherming van het gerechtvaardigde belang van de Betrokkene.

7.4.2 Indien bij het besluit niet is voldaan aan het verzoek van de Betrokkene zal hij in de gelegenheid worden gesteld zijn zienswijze naar voren te brengen. De Verantwoordelijke deelt in dat geval de logica mede die aan de geautomatiseerde Verwerking van persoonsgegevens ten grondslag heeft gelegen.

8. Speciale onderwerpen [Vervallen per 26-04-2010]

8.1. Functionaris [Vervallen per 26-04-2010]

8.1.1 Een Financiële instelling kan een Functionaris benoemen. Als Functionaris kan slechts worden benoemd een natuurlijke persoon die voor de vervulling van zijn taak over toereikende kennis beschikt en voldoende betrouwbaar kan worden geacht. De Functionaris is voor zijn taakuitoefening onafhankelijk van de Financiële instelling die hem heeft benoemd en kan daarvan geen aanwijzingen met betrekking tot de uitoefening van zijn functie ontvangen. De Financiële instelling die hem benoemt dient de Functionaris in de gelegenheid te stellen zijn taak naar behoren te vervullen, en draagt ervoor zorg dat deze geen nadeel ondervindt van de uitoefening van zijn taak. In dat verband geniet hij voor deze taak ontslagbescherming.

8.1.2 De Functionaris ziet toe op de naleving door de Financiële instelling van de voorschriften gesteld bij of krachtens enige wet die voorschriften bevat omtrent de Verwerking van persoonsgegevens, alsmede op de naleving van de voorschriften van deze Gedragscode. Hij stelt jaarlijks een verslag op van zijn werkzaamheden en bevindingen. De Functionaris heeft de bevoegdheden die hem op grond van de WBP zijn toegekend. De Algemene wet bestuursrecht wordt analoog toegepast.

8.2. Gegevensverkeer met landen buiten de Europese Unie [Vervallen per 26-04-2010]

8.2.1 Financiële instellingen wisselen in het kader van hun dienstverlening Persoonsgegevens uit met dochterondernemingen en met andere Financiële instellingen gevestigd buiten Nederland. Het gaat daarbij vooral om verkeer in het kader van de afwikkeling van opdrachten van Cliënten of potentiële Cliënten. Deze opdrachten kunnen een Financiële instelling bereiken in de vorm van gewone opdrachten maar ook in de vorm van elektronische opdrachten of verzoeken om inlichtingen via het internet. Ten aanzien van de Verwerking van persoonsgegevens met betrekking tot deze opdrachten geldt – voorzover nodig – dat deze vallen onder de in artikel 8.2.3 genoemde verwerkingsgrondslagen.

8.2.2 Doorgifte van Persoonsgegevens naar landen buiten de Europese Unie dan wel de Europese Economische Ruimte is, met inachtneming van de principes van Verwerking van persoonsgegevens, mogelijk indien in het betreffende land een passend beschermingsniveau ten aanzien van de doorgegeven Persoonsgegevens wordt gewaarborgd.

8.2.3 Indien in een land buiten de Europese Unie geen passend beschermingsniveau ten aanzien van de doorgegeven Persoonsgegevens wordt gewaarborgd is doorgifte mogelijk indien:

  • a. de Betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven; of

  • b. de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen Betrokkene en de Verantwoordelijke, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van Betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst; of

  • c. de doorgifte noodzakelijk is voor de sluiting of uitvoering van een in het belang van de Betrokkene tussen de Verantwoordelijke en een Derde gesloten of te sluiten overeenkomst; of

  • d. de doorgifte noodzakelijk is vanwege een zwaarwegend algemeen belang, of voor de vaststelling, de uitvoering of de verdediging in rechte van enig recht; of

  • e. de doorgifte noodzakelijk is ter vrijwaring van vitale belangen van de Betrokkene; of

  • f. de minister van Justitie vergunning heeft gegeven voor doorgifte of categorieën van doorgiften.

8.3. Beveiliging van Persoonsgegevens [Vervallen per 26-04-2010]

8.3.1 De Verantwoordelijke treft, rekening houdend met de stand van de techniek, de kosten van de tenuitvoerlegging en de risico’s die de Verwerking van persoonsgegevens en de aard van te beschermen Persoonsgegevens met zich meebrengen, passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen toevallig verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel tegen enige andere vorm van onwettige Verwerking van persoonsgegevens.

8.3.2 In geval van Verwerking van persoonsgegevens door een externe Bewerker kiest de Verantwoordelijke een Bewerker die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerking van persoonsgegevens. Met deze Bewerkers wordt een schriftelijke bewerkersovereenkomst gesloten.

8.4. Cameratoezicht [Vervallen per 26-04-2010]

8.4.1 Camera’s kunnen door Financiële instellingen gebruikt worden:

  • a. ter beveiliging en bescherming van de Financiële instelling, haar Cliënten en haar medewerkers, en

  • b. ter voorkoming, opsporing en vervolging van strafbare feiten, en

  • c. voor het vastleggen van beelden ter ondersteuning van juridische procedures.

8.4.2 Een dergelijk gebruik is slechts toegestaan, indien:

  • a. cameratoezicht op selectieve wijze wordt uitgeoefend, dat wil zeggen dat niet meer plaatsen en personen mogen worden vastgelegd dan voor de genoemde doeleinden noodzakelijk is. Voor verzekeraars is hiervoor mede de Gedragscode Persoonlijk Onderzoek van belang;

  • b. de door cameratoezicht verkregen Persoonsgegevens niet langer worden bewaard dan nodig is voor de in artikel 8.4.1 omschreven doeleinden. In principe is dit niet langer dan één maand, behalve indien de Persoonsgegevens betrekking hebben op een incident. In een dergelijk geval worden de Persoonsgegevens bewaard gedurende de termijn noodzakelijk voor de afhandeling van het geconstateerde incident;

  • c. de door cameratoezicht verkregen beelden zodanig bewaard en beveiligd worden dat deze niet toegankelijk zijn voor onbevoegden. Technische en organisatorische voorzieningen worden getroffen om manipulatie van de Persoonsgegevens te voorkomen en om de Persoonsgegevens zo nodig te kunnen traceren en reconstrueren.

8.4.3 Indien er sprake is van cameratoezicht zal dit duidelijk kenbaar worden gemaakt.

8.5. Opnemen telefoongesprekken [Vervallen per 26-04-2010]

8.5.1 Behoudens ten behoeve van het gebruik voor trainings-, coachings- en beoordelingsdoeleinden worden telefoongesprekken slechts opgenomen:

  • a. ter verificatie en onderzoek naar of ten bewijze van opdrachten, transacties en andere (precontractuele) afspraken met de Cliënt;

  • b. indien dat noodzakelijk is ter bestrijding van frauduleuze of andere strafbare gedragingen gericht tegen de Financiële instelling, de Groep waartoe de Financiële instelling behoort dan wel Cliënten en medewerkers;

  • c. indien daartoe een voorschrift is gegeven krachtens wet.

8.5.2 De Betrokkene van wie telefoongesprekken worden opgenomen wordt hiervan in beginsel op de hoogte gesteld, tenzij dit in verband met de in 8.5.1 onder b en c genoemde doeleinden onmogelijk is.

8.5.3 De opgenomen telefoongesprekken en andere Persoonsgegevens betreffende de opgenomen telefoongesprekken worden zodanig bewaard en beveiligd dat deze niet toegankelijk zijn voor onbevoegden. Technische en organisatorische voorzieningen worden getroffen om manipulatie van de gegevens te voorkomen en om deze gegevens zonodig te kunnen traceren en reconstrueren.

8.5.4 De opgenomen telefoongesprekken worden niet langer bewaard dan noodzakelijk is voor de in artikel 8.5.1 genoemde doeleinden.

8.5.5 Een Cliënt heeft bij interpretatieverschillen of onenigheden met betrekking tot de inhoud van de opgenomen telefoongesprekken het recht het opgenomen telefoongesprek te beluisteren en/of een transcriptie van het opgenomen telefoongesprek te verkrijgen.

9. Controle en toezicht [Vervallen per 26-04-2010]

9.1 Financiële instellingen hechten belang aan een goede naleving van de regels van de WBP. In dat kader hebben zij aan hun interne accountantsdienst of een andere soortgelijke afdeling opgedragen toe te zien op en te rapporteren over de naleving van de WBP en deze Gedragscode. De interne accountants- of controledienst van de Financiële instelling legt haar bevindingen ten minste éénmaal per jaar vast in een rapport.

9.2 Ter bevordering van de controle als bedoeld in het eerste lid zullen Financiële instellingen interne instructies opstellen waarin is aangegeven op welke wijze de Persoonsgegevens worden verwerkt. Deze instructies worden gegeven voor al die onderwerpen waarvoor nadere uitleg voor het personeel nodig is.

9.3 In het kader van het door een Financiële instelling gekozen beleid met betrekking tot de bescherming en controle op het gebruik van Persoonsgegevens kan een Financiële instelling daarnaast een eigen Functionaris benoemen als bedoeld in 8.1.

10. Geschillen [Vervallen per 26-04-2010]

10.1 Betrokkenen die van mening zijn dat door een bank wordt gehandeld in strijd met de Gedragscode dan wel anderszins in strijd met de WBP, kunnen zich wenden tot de Geschillencommissie Bankzaken, Bordewijklaan 46, 2e etage, 2591 XR Den Haag, Postbus 90600, 2509 LP Den Haag, telefoon 070-31 05 310. Betrokkenen kunnen zich ook wenden tot het CBP of tot de rechter.

10.2 Betrokkenen die van mening zijn dat door een verzekeraar, die lid is van het Verbond van Verzekeraars, wordt gehandeld in strijd met de Gedragscode dan wel anderszins in strijd met de WBP, kunnen zich wenden tot de Stichting Klachteninstituut Verzekeringen, Postbus 93450, 2509 AL Den Haag. Betrokkenen kunnen zich ook wenden tot het CBP of tot de rechter.

10.3 Een beroep op één van de hiervoor genoemde geschillenregelingen stuit de in artikel 46 en 47 WBP genoemde termijnen niet. Een betrokkene die gebruik maakt van zijn rechten ex artikel 46 en 47 WBP behoudt zijn recht om tegelijkertijd met het instellen van een procedure als omschreven in artikel 46 en 47 WBP of tijdens of na afloop daarvan, een klacht in te dienen bij, of de bemiddeling in te roepen van een van de hiervoor genoemde instanties, die een klacht om die reden niet niet-ontvankelijk kunnen verklaren.

Bijlage I. Informatie [Vervallen per 26-04-2010]

1. Hieronder volgt een opsomming van de documenten waarin nadere informatie met betrekking tot de Verwerking van persoonsgegevens door Financiële instellingen te vinden is en van de documenten waaraan in de Gedragscode wordt gerefereerd:

  • a. Gedragscode DMIN is gepubliceerd in de Staatscourant nr. 194, 1992.

  • b. Geschillenreglement Bankzaken is te verkrijgen bij de Geschillencommissie Bankzaken, Bordewijklaan 46, 2e etage, 2591 XR Den Haag, Postbus 90600, 2509 LP Den Haag, telefoon 070 31 05 310.

  • c. Reglement Stichting Klachteninstituut Verzekeringen is te verkrijgen bij Stichting Klachteninstituut Verzekeringen, Postbus 93450, 2509 AL, Den Haag.

  • d. Regelingen BKR (o.a. reglement geschillencommissie) zijn te verkrijgen bij BKR (Bureau Krediet Registratie), Postbus 6080, 4000 HB Tiel, telefoon 0344 616 041.

  • e. Regeling Organisatie en Beheersing (ROB) van de Nederlandsche Bank NV omtrent de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking in het bankwezen d.d. 20 september 1988, nadien aangevuld met een schrijven van De Nederlandsche Bank NV inzake de uitbesteding van geautomatiseerde gegevensverwerking d.d. 27 mei 1994.

  • f. Gedragsregels voor Privacy en Kaartintegriteit Open Infrastructuur voor Chipkaarttoepassingen van het Nationaal Chipcard Platform van 18 september 1996.

2. Bij vragen over de Gedragscode kan tevens contact opgenomen worden met de Nederlandse Vereniging van Banken, Postbus 3543, 1001 AH Amsterdam, telefoon 020-55 02 888, faxnummer 020-62 39 748 en met het Verbond van Verzekeraars, Postbus 93450, 2509 AL Den Haag, telefoon 070 333 8500, fax 070 333 8510

3. Verder zijn ter informatie bij deze Gedragscode de volgende documenten opgenomen:

  • A. Voorschrift Informatie Fiscus/Banken

  • B. Protocol Incidentenwaarschuwingssysteem Financiële instellingen

  • C. Gedragscode Persoonlijk Onderzoek

  • D. Moratorium erfelijkheidsonderzoek Verbond van Verzekeraars

  • E. HIV-gedragscode

  • F. Addendum van Zorgverzekeraars Nederland bij de Gedragscode Persoonsgegevens van het Verbond.