2002-06-10 Gedragscode financiële instellingen


Verbond, 10-06-2002, AOV; AZ; Reis; 2002, 35; 2002, 08


VERBOND VAN VERZEKERAARS

Sector Zorgverzekering


Aan : Afdelingscommissie Arbeidsongeschiktheid
Afdelingscommissie Ziektekosten Afdelingscommissie Reis
Van : drs. H.J. Herbert
Datum : 12 juni 2002 '
Referentie : 2002lzr/2084/bheyd

Bericht AOV 2002/35
AZ 2002/35 REIS 2002/08

Betreft
Gedragscode Verwerking Persoonsgegevens Financiële Instellingen
Hierbij zend ik u een notitie met ais bijlage de concept Gedragscode Venwerking Persoonsgegevens Financiële Instellingen. U wordt verzocht eventuele opmerkingen op de Gedragscode door te geven aan mevrouw mr. N.H.F. Feiter, telefoon 070 - 3338679.
Doorkiesnummer (070) 3338601 Fax rechtstreeks (070) 3338630 E-mail h.herbert@verzekeraars.nl Bordewijklaan 2, 2591 XR, Postbus 93450, 2509 AL Den Haag, Internet www.verzekeraars.nl

Sector Algemene Beleidszaken
VERBOND VAN VERZEKERAARS

Notitie
Aan : Verbondscommissie Juridische Zaken
Verbondscommissie Preventie & Criminaliteitsbeheersing
Commissie Consumentenbeleid
Commissie Intermediaire Distributie
Commissie Medisch-ethische zaken
Overleg Verzekeringscriminaliteit
Commissie Toezicht Verzekeringsgroepen en Fico's
Juridische Commissie Schade
Technische Commissie Juridische Zaken
Issuecommissie Uitvoerbaarheid
Afdelingscommissies Zorg
Afdelingscommissies Schade

Van : Verbondscommissies Privacy
Datum ; 10 juni 2002 Referentie : 2002abz/873/nfeit

Betreft

Gedragscode Verwerking Persoonsgegevens Financiële Instellingen
Gevraagde actie
Ter beoordeling en goedkeuring Reactie s.v.p vóór 1 juli 2002

Kerninformatie
Bijgaand ontvangt u het concept van de nieuwe Gedragscode 'Verwerking Persoonsgegevens Financiële Instellingen', dat in samenwerking met de Nederlandse Vereniging van Banken (NVB) is opgesteld. De gedragscode zal van toepassing zijn op financiële instellingen die lid zijn van de NVB, als ook op bij Rabobank Nederland aangesloten banken en op verzekeraars die lid zijn van het Verbond. De gedragscode zal na afstemming in de bovengenoemde gremia worden voorgelegd aan het College Bescherming Persoonsgegevens (CBP). Na de verklaring van overeenstemming van het CBP met betrekking tot de nieuwe gedragscode zal de huidige gedragscode 'Verwerking Persoonsgegevens Verzekeringsinstellingen' van het Verbond komen te vervallen.

Toelichting
Inhoud
De gedragscode is opgesteld aan de hand van de Wet bescherming persoonsgegevens (Wbp), die per 1 september 2001 in werking is getreden. De onderhavige gedragscode beoogt onder meer bij te dragen aan de transparantie van gegevensverwerkingen binnen financiële instellingen (zie verder 1.5.). Het belang hiervan is door de toenmalige Registratiekamer (nu: CBP) aangegeven in het rapport 'Bankverzekeraars en privacy' (november 2000).
Informatie mw. mr. N.H.F. Feiter
Doorkiesnummer 070-3338679 Fax rechtstreeks 070-3338670 E-mail n.feiter@verzekeraars.nl
Bordewijklaan 2, 2591 XR, Postbus 93450, 2509 AL Den Haag, Internet www.verzekeraars.nl

De omgang met persoonsgegevens door financiële instellingen wordt in de gedragscode omschreven aan de hand van de activiteiten die plaatsvinden in het kader van een effectieve en efficiënte bedrijfsvoering. De gedragscode is uitgebreider dan de huidige gedragscode van het Verbond. De oorzaak hiervan is vooral gelegen in de toepasselijkheid van de gedragscode op banken én verzekeraars. Maar door actuele ontwikkelingen op gebied van bedrijfsactiviteiten werd uitbreiding noodzakelijk geacht. In de nieuwe gedragscode wordt verder uitvoeriger ingegaan op gegevensverkeer met landen buiten de EU, beveiliging, cameratoezicht en opname van telefoongesprekken.
Op verzoek van het CBP maakt de toelichting bij de gedragscode deel uit van'de formele goedkeuringsprocedure. In de toelichting wordt onder meer aandacht besteed aan een aantal voorbeelden betreffende 'verenigbaar gebruik'1. De inrichting en het gebruik van de Incidenten-registers" vallen buiten deze gedragscode en worden geregeld in een apart Protocol 'Incidentenwaarschuwingssysteem Financiële Instellingen'. Dit Protocol zal binnenkort ter beoordeling worden voorgelegd aan het CBP.

Totstandkomingstraject •
De commissies Privacy van de NVB en het Verbond hebben vanaf begin 2001 gewerkt aan deze gedragscode. De tekst is reeds enkele malen informeel doorgesproken met het CBP. Na de verkregen instemming door het CBP, zal de gedragscode aan de leden worden toegezonden, onder voorbehoud van goedkeuring door de ALV in december. Er wordt nog gewerkt aan een korte samenvatting voor de consument (flyer), die verder geen deel uit zal maken van het goedkeuringstraject met het CBP.
Afstemming met stakeholders
Met Zorgverzekeraars Nederland (ZN) is de mogelijkheid besproken hen bij de gedragscode te betrekken, middels het implementeren van het Addendum dat ZN bij de huidige gedragscode van het Verbond heeft opgesteld. Besloten is dat ZN vooralsnog zelfstandig tot afstemming met het CBP zal overgaan. Er zal regelmatig overleg blijven plaatsvinden tussen het Verbond en ZN over dit onderwerp.
Met intermediairorganisaties NVA en NBVA heeft eveneens overleg plaatsgevonden. Besproken is, dat het intermediair zélf als verantwoordelijke in de zin van de Wbp kan worden beschouwd. Intermediairorganisaties vallen onder de adviezen van de NVA en NBVA.
Op grond van de Wbp dient het gebruik van persoonsgegevens in overeenstemming te zijn met het oorspronkelijke doel waaroor de gegevens zijn verzameld.
Het Incidentenregister is een intern maatschappij- of concernregister ten behoeve van de centrale registratie van incidenten.

2001abz/873/nfeit 2.

Gedragscode Verwerking Persoonsgegevens Financiële Instellingen
1. Overwegingen 3
2. Begripsbepaling 3
3. Omschrijving van de sector, de reikwijdte en de Betrokkenen 5

3.1 De sector 5
3.2 Reikwijdte 5
3.3 Betrokkenen 5

4. Principes van Verwerking van persoonsgegevens 5
5. Verwerking van persoonsgegevens 6

5.1 Algemeen 6
5.2 Verwerking van persoonsgegevens in het kader van het beoordelen en
accepteren van (potentiële) Cliënten, het aangaan en uitvoeren van overeen
komsten met een Betrokkene en het afwikkelen van het betalingsverkeer .... 7
5.3 Verwerking van persoonsgegevens in het kader van analyses
ten behoeve van statistische en wetenschappelijke doeleinden . .8
5.4 Verwerking van persoonsgegevens in het kader van marketingactiviteiten .... 8
5.5 Verwerking van persoonsgegevens in het kader van veiligheid en integriteit
alsmede het gebruik van waarschuwingssystemen 8
5.6 Verwerking van persoonsgegevens in verband met wettelijke voorschriften ... 9
6. Verwerking van Bijzondere persoonsgegevens 11
6.1 Persoonsgegevens betreffende iemands gezondheid 11
6.2 Persoonsgegevens van strafrechtelijke aard 12
6.3 Andere Bijzondere persoonsgegevens 12
7. Rechten van Betrokkenen 12
7.1 Kennisneming en correctie 12
7.2 Verzet 13
7.3 Vergoeding van kosten 13
7.4 Besluit op grond van geautomatiseerde Verwerking van persoonsgegevens . . 13
8. Speciale onderwerpen 14
Versie 27 mei 2002

8.1 Functionaris 14
8.2 Gegevensverkeer met landen buiten de Europese Unie 14
8.3 Beveiliging van Persoonsgegevens 15
8.4 Cameratoezicht 15
8.5 Opnemen telefoongesprekken 16
9. Controle en toezicht 16
10. Geschillen 17
Toelichting bij de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen . 18
.r
1. Algemeen 18
2. Toelichting bij een aantal artikelen 18

2.1 Inleiding , 18
2.2 Begripsbepaling 19
2.3 .Omschrijving van de sector, de reikwijdte en de Betrokkenen 20
2.4 Principes van Verwerking van persoonsgegevens 20
2.5 Verwerking van persoonsgegevens 23
2.6 Rechten van betrokkenen . 26
BIJLAGE l: Informatie 29
Versie 27 mei 2002

1. Overwegingen
1.1 Banken en verzekeraars (hierna: Financiële instellingen) verwerken in het kader van
hun bedrijfsvoering Persoonsgegevens en vinden het belangrijk dat met die
Persoonsgegevens zorgvuldig wordt omgegaan en dat deze vertrouwelijk worden
behandeld;
1.2 De Wet bescherming persoonsgegevens (hierna: WBP) beoogt waarborgen te
verschaffen ter bescherming van de persoonlijke levenssfeer van natuurlijke
personen met betrekking tot de Verwerking van persoonsgegevens;
jf
1.3 De Nederlandse Vereniging van Banken (hierna: de NVB) en het Verbond van
Verzekeraars (hierna: het VvV) hebben in verband met de Wet persoonsregistraties
reeds eerder gedragscodes opgesteld (Privacy Gedragscode Banken, (Stcrt 207, 25
oktober 1995), resp. Gedragscode Verwerking van Persoonsgegevens
Verzekeringsbedrijf (Stcrt. 44, 5 maart 1998)), die de wettelijke voorschriften nader
uitwerken;
1.4 De NVB en het VvV wensen hun respectievelijke gedragscodes aan te passen aan
de WBP en deze te integreren tot de Gedragscode Verwerking Persoonsgegevens
Financiële Instellingen (hierna: Gedragscode);
1.5 De Gedragscode beoogt:
a. richtlijnen te geven aan Financiële instellingen voor de omgang met Per
soonsgegevens,
b. informatie te verschaffen aan personen van wie Persoonsgegevens door
Financiële instellingen verwerkt (zullen) worden en
c. bij te dragen aan de doorzichtigheid van de gehanteerde regels met betrekking
tot de door Financiële instellingen verwerkte en te verwerken Per
soonsgegevens;
1.6 Op basis van artikel 25 WBP is door de NVB en het VvV aan het College bescher
ming persoonsgegevens (hierna: CBP) gevraagd te beoordelen of deze Gedragscode
een juiste uitwerking vormt van de WBP en/of andere wettelijke bepalingen
betreffende de Verwerking van persoonsgegevens;
1.7 Het (CBP) heeft deze Gedragscode beoordeeld en heeft vervolgens verklaard dat
[...l.
2. Begripsbepaling
In deze Gedragscode wordt verstaan onder
a. Bestand: elk gestructureerd geheel van Persoonsgegevens dat volgens bepaalde
criteria toegankelijk is en betrekking heeft op verschillende personen;
b. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft als nader
aangegeven in 3.3;
c. Bewerker: degene die ten behoeve van de Verantwoordelijke Persoonsgegevens
Versie 27 mei 2002 3

verwerkt, zonder aan zijn rechtstreekse gezag te zijn onderworpen;
d. Bijzondere persoonsgegevens: Persoonsgegevens betreffende iemands godsdienst
of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven,
lidmaatschap van een vakvereniging, alsmede strafrechtelijke Persoonsgegevens en
Persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een
opgelegd verbod naar aanleiding van dat gedrag;
e. Bijzonder risico: de situatie dat een persoon een schadevergoeding is ontzegd in ver
band met het opzettelijk verstrekken van onjuiste informatie, dan wel een verze
kering is opgezegd of anderszins beëindigd in verband met het verstrekken van
onjuiste informatie of het schadeverloop;
f. CBP: het College bescherming persoonsgegevens als bedoeld in artikel 51 van de
WBP;
g. Cliënt: de natuurlijke persoon met wie een Financiële instelling in een rechtsver
houding staat of heeft gestaan dan wel de natuurlijke persoon die te kennen heeft
gegeven te overwegen een relatie met een Financiële instelling aan te gaan;
h. Derde: ieder, niet zijnde de Betrokkene, de Verantwoordelijke, de Bewerker, of enig
persoon, die onder rechtstreeks gezag van de Verantwoordelijke of de Bewerker gemachtigd is om Persoonsgegevens te verwerken;
i. Financiële instelling: een bank en/of verzekeraar;
j. Functionaris: de functionaris voor de gegevensbescherming als bedoeld in artikel 62
van de WBP;
k. Functionele eenheid: de personen, gebonden aan een geheimhoudingsplicht, die
onder verantwoordelijkheid en ten behoeve van de geneeskundig adviseur gerechtigd zijn gegevens omtrent de gezondheid van een Betrokkene te verzamelen en te verwerken voor zover dat noodzakelijk is voor het aangaan en uitvoeren van een verzekerings- en/of financieringsovereenkomst;
l. Gedragscode: de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen;
m. Groep: de economische eenheid waarin rechtspersonen en vennootschapoen
organisatorisch zijn verbonden en waartoe een Financiële instelling behoort;
n. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon;
o. Verantwoordelijke: de rechtspersoon die, alleen of tezamen met anderen, het doel
en de middelen voor de Verwerking van persoonsgegevens vaststelt of de rechtspersoon die binnen een Groep hiertoe is aangewezen;
p. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen
met betrekking tot Persoonsgegevens, waaronder verzamelen, vastleggen, ordenen, bewaren, wijzigen, raadplegen, gebruiken, verstrekken en vernietigen;
q. WBP: Wet bescherming persoonsgegevens.
Versie 27 mei 2002 4

3. Omschrijving van de sector, de reikwijdte en de Betrokkenen
3.1 De sector
De Gedragscode is van toepassing op kredietinstellingen die lid zijn van de Nederlandse Vereniging van Banken (NVB), als ook op bij Rabobank Nederland aangesloten banken en op verzekeraars die lid zijn van het Verbond van Verzekeraars.
3.2 Reikwijdte
De Gedragscode is van toepassing op de geheel of gedeeltelijk geautomatiseerde Verwerking
van persoonsgegevens van Betrokkenen, alsmede op de niet geautgmatiseerde Verwerking
van persoonsgegevens die in een Bestand zijn opgenomen of bestemd zijn om in een Bestand
te worden opgenomen, een en ander voor zover zulks geschiedt door een Financiële instelling
in het kader van de bedrijfsvoering. Verwerkingen van persoonsgegevens in verband met
incidentenregisters dpor de veiligheidsafdelingen van Financiële instellingen en de Verwerking
van persoonsgegevens in de hoedanigheid van werkgever vallen buiten de reikwijdte van
deze Gedragscode. . . .
3.3 Betrokkenen
In het kader van de in artikel 5 vermelde activiteiten worden Persoonsgegevens verwerkt van de volgende Betrokkenen:
a. Cliënten;
b. personen die een Financiële instelling wil benaderen teneinde hen te bewegen een
rechtsverhouding aan te gaan;
c. personen die een Financiële instelling benaderen;
d. personen van wie een Financiële instelling krachtens wettelijk voorschrift (bijvoorbeeld de
toestemming van de echtgenoot ex art. 88 boek 1 BW) dan wel met het oog op geldende
verjaringstermijnen, Persoonsgegevens dient te verwerken;
e. personen van wie een Financiële instelling in verband met contractuele of wettelijke
verplichtingen jegens een Cliënt of Derde Persoonsgegevens dient te verwerken.
4. Principes van Verwerking van persoonsgegevens
4.1 Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en
zorgvuldige wijze verwerkt.
4.2 Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en ge
rechtvaardigde doeleinden verkregen.
4.3 Persoonsgegevens worden slechts verwerkt indien en voor zover is voldaan aan
minimaal één van de volgende rechtmatige grondslagen:
a. de Betrokkene heeft voor de Verwerking van persoonsgegevens zijn onc jb-
belzinnige toestemming verleend;
b. de Verwerking van persoonsgegevens is noodzakelijk voor de uitvoering v'an
een overeenkomst waarbij de Betrokkene partij is, of voor het nemen van ore-
contractuele maatregelen naar aanleiding van een verzoek van de Betrokkene
en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de Verwerking van persoonsgegevens is noodzakelijk om een wette jke
verplichting na te komen waaraan de Verantwoordelijke onderworpen is
d. de Verwerking van persoonsgegevens is noodzakelijk ter vrijwaring van een
Versie 27 mei 2002 5

vitaal belang van de Betrokkene; of
e. de Verwerking van persoonsgegevens is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de Verantwoordelijke of van een Derde aan wie de Persoonsgegevens worden verstrekt, tenzij het belang of de -fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
4.4 Persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar is roet de
doeleinden waarvoor ze zijn verkregen.
4.5 De Verantwoordelijke neemt maatregelen zodat Persoonsgegevens, gelet op de
doeleinden waarvoor zij worden verwerkt, accuraat, toereikend, ter zake dienend en
niet bovenmatig zijn.
4.6 Indien Persoonsgegevens worden verzameld bij de Betrokkene, informeert de
Verantwoordelijke de Betrokkene over zijn identiteit er> ds doeleinden van de
Verwerking van persoonsgegevens van de Betrokkene, tenzij de Verantwoordelijke
op goede gronden mag aannemen dat de Betrokkene daarvan reeds op de hoogte
is. Aan deze informatieplicht wordt voldaan vóór het moment van verkrijging.
4.7 Indien de Persoonsgegevens op een andere manier worden verkregen, informeert de
Verantwoordelijke de Betrokkene op het moment van vastlegging of, wanneer de
Persoonsgegevens bastemd zijn om te worden verstrekt aan een Derde, op het
moment van eerste verstrekking. De verplichting geldt niet wanneer de Betrokkene
reeds pp de hoogte is, dan wel wanneer de mededeling aan Betrokkene onmogelijk
blijkt of een onevenredige inspanning kost. In dat geval wordt de herkomst van de
Persoonsgegevens vastgelegd. De verplichting geldt evenmin wanneer de
vastlegging of de verstrekking bij of krachtens de wet is voorgeschreven.
4.8 Indien het, gelet op de aard van de gegevens, de omstandigheden waaronder zij
worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is uit oogpunt van
het waarborgen van een behoorlijke en zorgvuldige Verwerking van
persoonsgegevens, zal in aanvulling op de informatie als aangegeven in 4.6 en 4.7
nadere informatie worden verstrekt.
4.9 Financiële instellingen kunnen in het kader van hun bedrijfsvoering via het internet
Persoonsgegevens van Betrokkenen, die een Financiële instelling via dit medium
benaderen, vastleggen en verder verwerken. Financiële instellingen zullen via een
Privacy Statement op hun eventuele website informatie beschikbaar stellen over het
beleid met betrekking tot de door middel van het internet verkregen
Persoonsgegevens. Het statement bevat minimaal de informatie als bedoeld in artikel
4.6.
5. Verwerking van persoonsgegevens
5.1 Algemeen
5.1.1 Verwerking van persoonsgegevens door Financiële instellingen vindt, met inachtneming van de principes van Verwerking van persoonsgegevens, plaats in het kader van een efficiënte en effectieve bedrijfsvoering, in het bijzonder gericht op de volgende activiteiten: a. het beoordelen en accepteren van (potentiële) Cliënten, het aangaan en
Versie 27 mei 2002 6

uitvoeren van overeenkomsten met een Betrokkene en het afwikkelen van het betalingsverkeer;
b. het verrichten van analyses van Persoonsgegevens ten behoeve van statis
tische en wetenschappelijke doeleinden;
c. het uitvoeren van (gerichte) marketingactiviteiten teneinde een relatie met een
Betrokkene tot stand te brengen en/of met een Cliënt in stand te houden dan
wel uit te breiden;
d. het waarborgen van de veiligheid en integriteit van de sector, daaronder .mede
begrepen het bestrijden, voorkomen en opsporen van (pogingen tot)
(strafbare) gedragingen gericht tegen de branche waar een Financiële instelling
deel van uitmaakt, de Groep waartoe een Financiële instelling behoort, de
Financiële instelling zelf, haar Cliënten en medewerkers, alsmede het gebruik
van en de deelname aan waarschuwingssystemen;
e. het voldoen aan wettelijke verplichtingen.
5.1.2 Financiële instellingen verwerken niet meer Persoonsgegevens dan strikt noodza
kelijk is. Zij stellen deze Persoonsgegevens slechts beschikbaar aan medewerkers
binnen de Groep die daartoe met inachtneming van de principes van Verwerking van
persoonsgegevens geautoriseerd zijn.
5.1.3 Financiële instellingen zullen waar nodig hun specifieke activiteiten vermelden in de
aanmelding bij het CBP of, voor zover van toepassing, bij de eigen Functionaris.
5.2 Verwerking van persoonsgegevens in het kader van het beoordelen en accepteren van (potentiële) Cliënten, het aangaan en uitvoeren van overeenkomsten met een Betrokkene en het afwikkelen van het betalingsverkeer
5.2.1 In het kader van het beoordelen en accepteren van (potentiële) Cliënten en het
aangaan en uitvoeren van een overeenkomst worden Persoonsgegevens verzameld.
Voor zover het Persoonsgegevens met betrekking tot gezondheid en strafrechtelijke
Persoonsgegevens betreft zijn de bepalingen van Paragraaf 6 van toepassing.
5.2.2 Gegevens van feitelijke aard, die betrekking hebben op claims die worden ingediend
onder de bij Financiële instellingen gesloten overeenkomsten of een bepaalde
welomschreven categorie daarvan, kunnen in het kader van activiteiten gericht op
het voorkomen en bestrijden van fraude worden doorgegeven aan een centraal door
of ten behoeve van de deelnemende Financiële instellingen ingesteld meldpunt.
Financiële instellingen kunnen voor het beoordelen en accepteren van (potentiële)
Cliënten en het aangaan en uitvoeren van overeenkomsten Persoonsgegevens
leveren en onttrekken aan die waarschuwingssystemen. Op deze
waarschuwingssystemen is deze Gedragscode niet van toepassing.
5.2.3 Door een Financiële instelling worden in het kader van de normale afwikkeling van
het betalingsverkeer Persoonsgegevens doorgegeven aan de wederpartij. Tevens
worden, tenzij vooraf anders is overeengekomen, aanvullende gegevens verstrekt
aan de bij de verdere Verwerking van persoonsgegevens betrokken partijen, voor
zover deze redelijkerwijs noodzakelijk zijn voor verificatie- en/of
reconstructiedoeleinden.
5.2.4 In het kader van de uitvoering van het betalingsverkeer kunnen Financiële instel
lingen gebruik maken van de diensten van een Bewerker.
Versie 27 mei 2002

5.3 Verwerking van persoonsgegevens in het kader van analyses ten behoeve van statistische en wetenschappelijke doeleinden
5.3.1 Verwerking van persoonsgegevens voor historische, statistische of wetenschap
pelijke doeleinden wordt niet beschouwd als onverenigbaar met de doeleinden
waarvoor zij eerder zijn verzameld, indien de Verantwoordelijke de nodige voor
zieningen heeft getroffen teneinde te verzekeren dat de verdere Verwerking, van
persoonsgegevens uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.
5.3.2 Het bouwen van een datawarehouse en de analyse van de daarin opgenomen
Persoonsgegevens wordt beschouwd als een Verwerking van persoonsgegevens ten
behoeve van statistische doeleinden, indien is voldaan aanrde bepalingen van het
vorige lid.
5.3.3 Teneinde de gerichtheid van marketingactiviteiten te bevorderen, kunnen analy
sewerkzaamheden worden verricht op de Persoonsgegevens die in het kader van
marketingactiviteiten verzameld zijn.
5.4. Verwerking van persoonsgegevens in het kader van marketingactiviteiten
5.4.1 Indien het aan een Cliënt voldoende duidelijk is gemaakt dat de Financiële instelling
waar de Cliënt contact mee heeft deel uitmaakt van een Groep en dat de Cliënt door
de Financiële instelling beschouwd wordt als Cliënt van de Groep, kan de Cliënt
worden benaderd door alle vennootschappen van de Groep ten behoeve van
marketingactiviteiten.
5.4.2 Bij marketingactiviteiten wordt primair gebruik gemaakt van Persoonsgegevens die
van de Betrokkene zelf afkomstig zijn. In geval er gebruik wordt gemaakt van
Persoonsgegevens die niet van de Betrokkene zelf worden verkregen, zal als regel
de herkomst van de Persoonsgegevens vastgelegd worden en zal de Financiële
instelling zich er van overtuigen dat in overeenstemming met de WBP wordt
gehandeld.
5.4.3 Bij marketingactiviteiten worden in voorkomende gevallen gespecialiseerde bedrijven
ingeschakeld. Financiële instellingen zullen er zorg voor dragen dat met deze
bedrijven een bewerkersovereenkomst wordt aangegaan, waarin de verplichtingen
zijn opgenomen waaraan een Bewerker zich in het kader van de WBP dien: te
houden en zullen toezien op correcte naleving.
5.4.4 Bij het betalingsverkeer kan er sprake zijn van uitwisseling van mededelingen, nodig
voor een goede afwikkeling van de betalingsopdracht. De inhoud van deze
mededelingen zal door de Financiële instelling als vertrouwelijk worden beschouwd
en niet voor marketingactiviteiten worden gebruikt.
5.4.5 Bij marketingactiviteiten zal steeds worden nagegaan of een Cliënt gebruik heeft
gemaakt van zijn of haar recht van verzet, als bedoeld in Paragraaf 7.2, in relatie tot
de Verwerking van persoonsgegevens voor deze doeleinden.
5.5 Verwerking van persoonsgegevens in het kader van veiligheid en integriteit alsmede het gebruik van waarschuwingssystemen
5.5.1 Verwerking van persoonsgegevens van Betrokkenen anders dan door de
Versie 27 mei 2002 8

veiligheidsafdeling of een daartoe geautoriseerde functionaris valt onder de reikwijdte van deze Gedragscode.
5.5.2 Indien deze Persoonsgegevens worden opgenomen in een waarschuwingssysteem
ten behoeve van in Nederland gevestigde Financiële instellingen waarvoor een
Financiële instelling niet als Verantwoordelijke optreedt, is de Gedragscode niet van
toepassing.
5.5.3 Voor zover de Verwerking van persoonsgegevens, waaronder Persoonsgegevens van
anderen dan een Betrokkene, geschiedt in het kader van veiligheid en integriteit van
de sector door een veiligheidsafdeling of een daartoe geautoriseerde functionaris,
is deze Gedragscode niet van toepassing. Gelet op de aard va-n de verwerking en de
speciale maatregelen die zijn genomen ter bescherming van de Persoonsgegevens
zijn de voorwaarden voor deze Verwerking van persoonsgegevens vastgelegd in het
'Protocol Incidentenwaarschuwingssysteem Financiële Instellingen'.
5.5.4 Op het toedrachtsonderzbek is de Gedragscode Persooniijk Onderzoek var,
toepassing.
5.6. Verwerking van persoonsgegevens in verband met wettelijke voorschriften
5.6.1 Financiële instellingen dienen op grond van wettelijke bepalingen in voorkomende
gevallen informatie over hun Cliënten en andere Betrokkenen aan overheids- en
andere instellingen te verstrekken. De belangrijkste wettelijke verplichtingen worden
hieronder vermeld.
5.6.2 Wet melding ongebruikelijke transacties (Wet Mot): op grond van de Wet Mot is een
Financiële instelling verplicht ongebruikelijke transacties te melden bij het wettelijk
meldpunt, dat tot taak heeft te bezien of deze gegevens van belang kunnen zijn voor
de voorkoming en opsporing van misdrijven. Welke transacties als ongebruikelijk
moeten worden aangemerkt wordt bepaald aan de hand van een indicatorenlijst. Een
Financiële instelling is verplicht om dergelijke meldingen geheim te houden.
5.6.3 Wet identificatieplicht bij dienstverlening (Wid): op grond van deze wet is een
Financiële instelling verplicht om de identiteit van een Cliënt vast te stellen voordat
zij aan Cliënt een dienst verleent. De identiteit van de Cliënt wordt vastgesteld met
behulp van documenten die in deze wet worden genoemd of waarnaar wordt
verwezen. Een Financiële instelling is daarbij verplicht om een aantal met name
genoemde gegevens vast te leggen en te bewaren.
5.6.4 Informatieverstrekking aan de Belastingdienst: Financiële instellingen zijn verplicht
informatie te verstrekken over hun Cliënten aan de Belastingdienst. Verwezen wordt
naar het Voorschrift Informatie Fiscus/Banken.
5.6.5 Wet toezicht kredietwezen 1992: De Nederlandsche Bank N.V. heeft op grond van
de Wet toezicht kredietwezen 1992 de bevoegdheid bij bepaalde Financiële
instellingen alle inlichtingen in te winnen, die zij bij het uitoefenen van haar
toezichthoudende taak noodzakelijk acht. Dit zal slechts in incidentele situaties tot
het opvragen van gegevens over Cliënten leiden.
5.6.6 Wet Toezicht Verzekeringsbedrijf 1993: De Pensioen- en Verzekeringskamer heeft
op grond van de Wet Toezicht Verzekeringsbedrijf 1993 de bevoegdheid alle
Versie 27 mei 2002 9

inlichtingen in te winnen, die zij bij het uitoefenen van haar toezichthoudende taak noodzakelijk acht. Dit zal slechts in incidentele situaties tot het opvragen van gegevens over Cliënten leiden.
5.6.7 Wet financiële betrekkingen buitenland 1994: op grond van deze wet is een ieder
verplicht aan De Nederlandsche Bank N.V. inlichtingen en gegevens te verschaffen,
die voor het samenstellen van de betalingsbalans van Nederland van belang, zijn
en/of die van belang kunnen zijn voor het naleven van internationale verdragen
aangaande kapitaal- en goederenverkeer. Voor de Cliënt -tenzij deze ingezetene is
van een door sancties van de Verenigde Naties getroffen land of voorkomt op een
lijst van door sancties getroffen personen- is alleen de verstrekking aan De
Nederlandsche Bank N.V. van gegevens voor de samenstelling van de
betalingsbalans relevant. Bij grotere betalingen worden de relevante gegevens
(opdrachtgever, bedrag, aard van de betaling, begunstigde e.d.) aan De
Nederlandsche Bank N.V. doorgegeven.
5.6.8 Wet toezicht effectenverkeer 1993 (Wte): op grond van deze wet kan de Financiële
instelling in het kader van de bestrijding van misbruik van voorwetenschap
genoodzaakt worden om gegevens betreffende financiële transacties aan opspo
ringsinstellingen te verstrekken. Zie ook art. 42 van de Nadere Regeling Toezicht
Effectenverkeer 1999 (Stcrt 1999, nr. 12, p. 8 e.v).
5.6.9 Wet consumentenkrediet (Wek): op grond van de Wek dienen Financiële instellingen
die zich bezig houden met het verstrekken van kredieten aan natuurlijke personen
die onder de werking van de Wek vallen, te zijn aangesloten bij een 'stelsel van
kredietregistratie' (art. 14 lid 2 Wek). Het Bureau Krediet Registratie te Tiel (BKR)
beheert een dergelijk stelsel van kredietregistratie. Kredietverschaffers verstrekken
gegevens omtrent ontstaan en afwikkeling van financieringen aan het BKR en
kunnen tevens beschikken over de door andere kredietverschaffers aangeleverde
gegevens. De aard van de vastgelegde gegevens, de voorwaarden voor vastlegging,
gebruik en verstrekking en de regels voor verwijdering van de gegevens zijn
neergelegd in het reglement van het BKR. Tevens is er een Gedragscode BKR.
Voorts kunnen bij het BKR geregistreerde personen - naast de mogelijkheid van
artikel 60 WBP - in geval van een geschil zich wenden tot de geschillencommissie
BKR.
5.6.10 Wet inkomstenbelasting 2001 en Invoeringswet inkomstenbelasting 2001: op gr:nd
van deze wetten is voorgeschreven dat door Financiële instellingen het Sofinum~er
als verplicht identificerend gegeven op de renseigneringen moet worden vermeld.
5.6.11 Besluit gebruik sofi-nummer: op grond van dit besluit kunnen verzekeraars als
bedoeld in artikel 2, vierde lid, onder b van de Pensioen- en spaarfondsenwet net
sociaal-fiscaalnummer gebruiken ter uitvoering van pensioenregelingen. De
verzekeraars mogen dit nummer slechts gebruiken voor zover dat noodzakeli *. is
voor de uitvoering van hun taken of ten behoeve van de richtige uitvoering . an
wettelijke taken en in het verkeer met de persoon op wie het nummer betrekk ng
heeft en in hun contacten met de personen en instanties voor zover deze zelf
gerechtigd zijn tot het gebruik van het sociaal-fiscaal nummer.
Versie 27 mei 2002 10

6. Verwerking van Bijzondere persoonsgegevens
6.1 Persoonsgegevens betreffende iemands gezondheid
6.1.1 Het verzamelen van gegevens omtrent iemands gezondheid is voorbehouden aan
personen die deel uitmaken van de Functionele eenheid. Rapporten van een
controlerend geneeskundige, een expertiserend geneeskundige en/of van de
Arbodienst, alsmede informatie uit de behandelende sector worden opgenom'en in
het medisch dossier dat onder de verantwoordelijkheid van de geneeskundig
adviseur wordt bewaard. Betrokkene heeft het recht -bij voorkeur via een door hem
of haar benoemde vertrouwensarts- een op hem of haar betrekking hebbend
medisch dossier volledig, met uitzondering van werkaantekeningen van de ge
neeskundig adviseur, in te zien en daarvan kopieën te ontvangen, tenzij de privacy
van in het rapport besproken Derden zich daartegen verzet.
6.1.2 Indien in het kader van acceptatie en/of schadebehandeling medewerking van een
Cliënt aan een medische keuring een aanvullend (laboratoriumonderzoek wordt
gevraagd, zal de verzekeraar in de relevante keuringsstukken en formulieren wijzen
op het belang bij het voorkomen van verwisseling van persoonlijke gegevens, en
adviseren te vragen om legitimatie.
6.1.3 Het verzamelen van gegevens omtrent iemands gezondheid bij anderen dan de
Betrokkene zal slechts plaatsvinden nadat Betrokkene daartoe een machtiging heeft
verstrekt. De machtiging dient zo te zijn geredigeerd dat deze uitsluitend gericht is
op het geven van toestemming voor inzage of verstrekking van gegevens die
noodzakelijk zijn voor de behandeling van een concrete zaak. De Betrokkene over
wie nadere informatie wordt opgevraagd dient te worden geïnformeerd omtrent de
aard van de op te vragen informatie alsmede over het doel daarvan. Uit de
machtiging dient te blijken dat Betrokkene over het voorgaande is geïnformeerd.
6.1.4 In het kader van het leveren van bepaalde diensten en/of producten is het nood
zakelijk dat Persoonsgegevens omtrent iemands gezondheid, in de vorm van eigen
verklaringen van Cliënten, worden verwerkt. Deze Persoonsgegevens worden strikt
vertrouwelijk behandeld en zullen uitsluitend worden verwerkt voor zover dat
noodzakelijk is voor:
a. de beoordeling van het te verzekeren risico en de Betrokkene geen bezwaar
heeft gemaakt, of
b. de uitvoering van een verzekeringsovereenkomst, of
c. de uitvoering van een financieringsovereenkomst en Betrokkene daarvoor
uitdrukkelijk toestemming heeft verleend.
6.1.5 Gegevens omtrent iemands gezondheid die zijn verwerkt met het oog op de
beoordeling van een te verzekeren risico of de uitvoering van een verzekerings- of
financieringsovereenkomst zullen zonder toestemming van de Betrokkene niet
worden gebruikt in het kader van de beoordeling van het te verzekeren risico voor
een andere verzekering en/of de uitvoering van een andere verzekerings
overeenkomst of financieringsovereenkomst.
6.1.6 Op de Verwerking van persoonsgegevens betreffende erfelijke eigenschappen is het
'moratorium erfelijkheidsonderzoek' van toepassing. De tekst van het morator um
is als bijlage bij deze Gedragscode gevoegd.
Versie 27 mei 2002 11

6.1.7 Op de Verwerking van persoonsgegevens omtrent iemands gezondheid die ontleend kunnen worden aan bloedonderzoek is de 'HIV- gedragscode' van toepassing. De tekst van de HlV-gedragscode is als bijlage bij deze Gedragscode gevoegd.
6.2 Persoonsgegevens van strafrechtelijke aard
6.2.1 Financiële instellingen kunnen met het oog op een verantwoord acceptatiebeleid
vragen naar feiten omtrent een eventueel strafrechtelijk verleden van te verzekeren
personen en anderen wier belangen op de aangevraagde verzekering worden (mee)-
verzekerd (bestuurders en aandeelhouders van rechtspersonen daaronder begrepen),
voor zover die feiten betrekking hebben op een periode van 8 jaar voorafgaand aan
de aanvraag tot verzekering. Daarbij geldt dat het opgegeven strafrechtelijk verleden
slechts gebruikt zal worden voor de beoordeling van de verzekerings- en/of
financieringsaanvraag en dat langs rechtmatige weg verkregen gegevens omtrent
een strafrechtelijk verleden kunnen worden gebruikt in het kader van een beroep op
verzwijging als bedoeld in artikel 251 Wetboek van Koophandel.
6.2.2 Strafrechtelijke gegevens die betrekking hebben op strafbare feiten begaan jegens -
een van de in een Groep verbonden Financiële instellingen of gegevens die dienen
ter vaststelling van mogelijk strafbaar gedrag jegens een van de in een Groep
verbonden Financiële instellingen kunnen worden verstrekt aan alle tot een zodanige
Groep behorende rechtspersonen, mits de gegevens uitsluitend worden verstrekt
aan functionarissen die die gegevens voor de uitoefening van hun functie nodig
hebben.
6.3 Andere Bijzondere persoonsgegevens
6.3.1 Betalingsopdrachten kunnen Bijzondere persoonsgegevens bevatten, zoals
bijvoorbeeld gegevens van een vakvereniging. De uitvoering van de
betalingsopdrachten brengt met zich mee dat Verwerking van dergelijke
Persoonsgegevens plaatsvindt. De Verwerking van persoonsgegevens vindt onder
meer plaats door het archiveren van de originele bescheiden of van de al dan niet
elektronische afschriften daarvan. Dergelijke gegevens zullen alleen worden gebruikt
indien dat noodzakelijk is voor het leveren van bewijs.
6.3.2 In verband met het gebruik van cameratoezicht als aangegeven in Paragraaf 3.4
worden Bijzondere gegevens verwerkt. De Verwerking van deze Persoonsgegev ens
is onvermijdelijk met het oog op de vaststelling van de identiteit van de Betrokkene.
7. Rechten van Betrokkenen
7.1 Kennisneming en correctie
7.1.1 Een Betrokkene is gerechtigd een Financiële instelling schriftelijk een overzich: te vragen van de hem of haar betreffende Persoonsgegevens die door die Financ éle instelling worden verwerkt. De Financiële instelling zal, behoudens in de in de V, BP genoemde uitzonderingsgevallen, de Betrokkene binnen vier weken na de dar-im van het verzoek een overzicht van de Persoonsgegevens en informatie betreffende de Verwerking van die persoonsgegevens doen toekomen. Indien door de Financiële instelling geen Persoonsgegevens van de Betrokkene worden verwerkt, za de Financiële instelling dit tevens binnen vier weken na de datum van het verzoek aan de Betrokkene laten weten.
Versie 27 mei 2002 12

7.1.2 Indien uit het verstrekte overzicht blijkt dat Persoonsgegevens feitelijk onjuist zijn,
voor het doel van de verwerking onvolledig of niet ter zake dienend dan wel
anderszins in strijd met deze Gedragscode of de WBP worden verwerkt, kan de
Betrokkene schriftelijk om aanpassing, respectievelijk wijziging of verwijdering van
de betreffende gegevens verzoeken. Een Financiële instelling zal de Betrokkene
binnen vier weken na ontvangst van genoemd verzoek, schriftelijk laten weten of
dan wel in hoeverre aan het verzoek voldaan wordt. Indien niet of niet volledig aan
het verzoek van de Betrokkene wordt voldaan wordt dit met redenen omkleed.
7.1.3 Bovengenoemde verzoeken tot inzage of correctie dienen gericht te worden aan de
Verantwoordelijke voor de gegevensverwerking. Het verzoek om correctie dient een
specificatie te bevatten van de Persoonsgegevens die gecorrigeerd dienen te
worden. De Verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de
identiteit van de verzoeker.
7.1.4 Indien het voor de Betrokkene onduidelijk is wie als Verantwoordelijke optreedt,
bijvoorbeeld omdat de instelling deel uitmaakt van een Groep;.kan de Betrokkene
zijn verzoek richten tot de directie van de Financiële instelling waarvan hij vermoedt
dat deze zijn Persoonsgegevens verwerkt. De directie draagt zorg dat het verzoek
op de juiste wijze wordt afgehandeld.
7.2. Verzet
7.2.1 Indien de rechtmatige grondslag van de Verwerking van persoonsgegevens is
gelegen in het gerechtvaardigde belang van de Verantwoordelijke of van een Derde
aan wie de gegevens worden verstrekt heeft de Betrokkene het recht verzet aan te
tekenen tegen de Verwerking van persoonsgegevens in verband met zijn bijzondere
persoonlijke omstandigheden. Binnen vier weken beoordeelt de Verantwoordelijke
of het verzet gerechtvaardigd is. Is dat het geval dan wordt de Verwerking van
persoonsgegevens van die Betrokkene terstond beëindigd.
7.2.2 Indien een Financiële instelling Persoonsgegevens verwerkt met het oog op werving
voor commerciële of charitatieve doelen kan een Betrokkene daartegen te allen tijde
kosteloos verzet aantekenen. In geval van verzet treft de Financiële instelling
maatregelen om deze vorm van Verwerking van persoonsgegevens terstond te
beëindigen. De Verantwoordelijke zal zorg dragen dat, indien voor de hiervoor
genoemde doelen rechtstreeks een boodschap aan Betrokkene wordt gezoncen,
deze daarbij telkens wordt gewezen op de mogelijkheid tot het doen van verze:.
7.3 Vergoeding van kosten
7.3.1 De Verantwoordelijke kan voor een verzoek als bedoeld in artikel 7.1.1 en 7.2.1 een
vergoeding van kosten verlangen die niet hoger is dan het bij algemene maatregel
van bestuur vastgestelde bedrag.
7.3.2 Indien tot aanpassing, wijziging of verwijdering van de gegevens wordt overgegaan
als bedoeld in artikel 7.1.2 of indien het verzet gegrond wordt bevonden wordt het
bedrag bedoeld in het vorige lid gerestitueerd.
7.4 Besluit op grond van geautomatiseerde Verwerking van persoonsgegevens
7.4.1 Het nemen van een besluit uitsluitend op grond van geautomatiseerde Verwerking
Versie 27 mei 2002 13

van persoonsgegevens bestemd om een beeld van bepaalde aspecten van iemands persoonlijkheid te krijgen is slechts toegestaan indien:
a. dit wordt genomen in het kader van het sluiten of uitvoeren van een over
eenkomst, of
b. dit besluit zijn grondslag vindt in een wet waarin maatregelen zijn vastgelegd
die strekken tot bescherming van het gerechtvaardigd belang van de
Betrokkene.
7.4.2 Indien bij het besluit niet is voldaan aan het verzoek van de Betrokkene zal hij in de gelegenheid worden gesteld zijn zienswijze naar voren te brengen. De Verantwoordelijke deelt in dat geval de logica mede die aan de geautomatiseerde Verwerking van persoonsgegevens ten grondslag heeft gelegen:
8. Speciale onderwerpen
8.1 Functionaris
8.1.1 Een Financiële instelling kan een Functionaris benoemen. Als Functionaris kan
slechts worden benoemd een natuurlijke persoon die voor de vervulling van zijn taak
over toereikende kennis beschikt en voldoende betrouwbaar kan worden geacht. De
Functionaris is voor zijn taakuitoefening onafhankelijk van de Financiële instelling die
hem heeft benoemd en kan daarvan geen aanwijzingen met betrekking tot de
uitoefening van zijn functie ontvangen. De Financiële instelling die hem benoemt
dient de Functionaris in de gelegenheid te stellen zijn taak naar behoren te vervullen,
en draagt er zorg voor dat deze geen nadeel ondervindt van de uitoefening van zijn
taak. In dat verband geniet hij voor deze taak ontslagbescherming.
8.1.2 De Functionaris ziet toe op de naleving door de Financiële instelling van de
voorschriften gesteld bij of krachtens enige wet die voorschriften bevat omtrent de
Verwerking van persoonsgegevens, alsmede op de naleving van de voorschriften
van deze Gedragscode. Hij stelt jaarlijks een verslag op van zijn werkzaamheden en
bevindingen. De Functionaris heeft de bevoegdheden die hem op grond van de WBP
zijn toegekend. De Algemene wet bestuursrecht wordt analoog toegepast.
8.2 Gegevensverkeer met landen buiten de Europese Unie
8.2.1 Financiële instellingen wisselen in het kader van hun dienstverlening
Persoonsgegevens uit met dochterondernemingen en met andere Financiële -
instellingen gevestigd buiten Nederland. Het gaat daarbij vooral om verkeer in het
kader van de afwikkeling van opdrachten van Cliënten of potentiële Cliënten. Deze
opdrachten kunnen een Financiële instelling bereiken in de vorm van gewone
opdrachten maar ook in de vorm van elektronische opdrachten of verzoeken om
inlichtingen via het internet. Ten aanzien van de Verwerking van persoonsgegevens
met betrekking tot deze opdrachten geldt -voor zover nodig- dat deze vallen order
de in artikel 8.2.3 genoemde verwerkingsgrondslagen.
8.2.2 Doorgifte van Persoonsgegevens naar landen buiten de Europese Unie dan wel de
Europese Economische Ruimte is, met inachtneming van de principes van
Verwerking van persoonsgegevens, mogelijk indien in het betreffende land een
passend beschermingsniveau ten aanzien van de doorgegeven Persoonsgegevens
wordt gewaarborgd.
Versie 27 mei 2002 14

8.2,3 Indien in een land buiten de Europese Unie geen passend beschermingsniveau ten aanzien van de doorgegeven Persoonsgegevens wordt gewaarborgd is doorgifte mogelijk indien:
a. de Betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven; of
b. de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen
Betrokkene en de Verantwoordelijke, of voor het nemen van precontractuele
maatregelen naar aanleiding van een verzoek van Betrokkene eri die
noodzakelijk zijn voor het sluiten van een overeenkomst; of
c. de doorgifte noodzakelijk is voor de sluiting of uitvoering van een in het
belang van de Betrokkene tussen de Verantwoordelijke en een Derde gesloten
of te sluiten overeenkomst; of
d. de doorgifte noodzakelijk is vanwege een zwaarwegend algemeen belang, of
voor de vaststelling, de uitvoering of de verdediging in rechte van enig recht;
of
e. de doorgifte noodzakelijk is ter vrijwaring van vitale belangen van de Be
trokkene; of
f. de minister van Justitie vergunning heeft gegeven voor doorgifte of catego
rieën van doorgiften.
8.3 Beveiliging van Persoonsgegevens
8.3.1 De Verantwoordelijke treft, rekening houdend met de stand van de techniek, de
kosten van de tenuitvoerlegging en de risico's die de Verwerking van persoons
gegevens en de aard van te beschermen Persoonsgegevens met zich meebrengen,
passende technische en organisatorische maatregelen om Persoonsgegevens te
beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen toevallig
verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel tegen enige
andere vorm van onwettige Verwerking van persoonsgegevens.
8.3.2 In geval van Verwerking van persoonsgegevens door een externe Bewerker kiest de
Verantwoordelijke een Bewerker die voldoende waarborgen biedt ten aanzien van
de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te
verrichten Verwerking van persoonsgegevens. Met deze Bewerkers wordt een
schriftelijke bewerkersovereenkomst gesloten.
8.4 Cameratoezicht
8.4.1 Camera's kunnen door Financiële instellingen gebruikt worden
a. ter beveiliging en bescherming van de Financiële instelling, haar Cliënten en
haar medewerkers, en
b. ter voorkoming, opsporing en vervolging van strafbare feiten, en
c. voor het vastleggen van beelden ter ondersteuning van juridische procedures.
8.4.2 Een dergelijk gebruik is slechts toegestaan, indien
a. cameratoezicht op selectieve wijze wordt uitgeoefend, dat wil zeggen dat niet
meer plaatsen en personen mogen worden vastgelegd dan voor de genoemde
doeleinden noodzakelijk is. Voor verzekeraars is hiervoor mede de
Gedragscode Persoonlijk Onderzoek van belang;
b. de door cameratoezicht verkregen Persoonsgegevens niet langer worden
bewaard dan nodig is voor de in artikel 8.4.1 omschreven doeleinden. In
principe is dit niet langer dan één maand, behalve indien de Persoonsgegevens
Versie 27 mei 2002 15

betrekking hebben op een incident. In een dergelijk geval worden de Persoonsgegevens bewaard gedurende de termijn noodzakelijk voor de afhandeling van het geconstateerde incident;
c. de door cameratoezicht verkregen beelden zodanig bewaard en beveiligd worden dat deze niet toegankelijk zijn voor^onbevoegden. Technische en organisatorische voorzieningen dienen getroffen te worden om manipulatie van de Persoonsgegevens te voorkomen en om deze zo nodig te kunnen traceren en reconstrueren.
8.4.3 Indien er sprake is van cameratoezicht zal dit duidelijk kenbaar worden gemaakt.
8.5 Opnemen telefoongesprekken "
8.5.1 Behoudens ten behoeve van het gebruik voor trainings-, coachings- en beoorde
lingsdoeleinden worden telefoongesprekken slechts opgenomen
a. ter verificatie en onderzoek naar of ten bewijze van opdrachten, transacties
a n andere (precóntractueie) afspraken met de Cliënt;
b. indien, dat noodzakelijk is ter bestrijding van frauduleuze of andere strafbare
gedragingen gericht tegen de Financiële instelling, de Groep waartoe de
Financiële instelling behoort dan wel Cliënten en medewerkers;
c. indien daartoe een voorschrift is gegeven krachtens wet.
8.5.2 De Betrokkene van wie telefoongesprekken worden opgenomen wordt hiervan in
beginsel op de hoogte gesteld, tenzij dit in verband met de in 8.5.1 onder b en c
genoemde doeleinden onmogelijk is.
8.5.3 De opgenomen telefoongesprekken en andere Persoonsgegevens betreffende de
opgenomen telefoongesprekken dienen zodanig bewaard en beveiligd te worden dat
deze niet toegankelijk zijn voor onbevoegden. Technische en organisatorische
voorzieningen dienen getroffen te worden om manipulatie van de gegevens te
voorkomen en om deze gegevens zonodig te kunnen traceren en reconstrueren.
8.5.4 De opgenomen telefoongesprekken worden niet langer bewaard dan noodzakelijk is
voor de in artikel 8.5.1 genoemde doeleinden.
8.5.5 Een Cliënt heeft bij interpretatieverschillen of onenigheden met betrekking tot de
inhoud van de opgenomen telefoongesprekken het recht het opgenomen tele
foongesprek te beluisteren en/of een transcriptie van het opgenomen
telefoongesprek te verkrijgen.
9. Controle en toezicht
9.1 Financiële instellingen hechten belang aan een goede naleving van de regels var de
WBP. In dat kader hebben zij aan hun interne accountantsdienst of een ancere
soortgelijke afdeling opgedragen toe te zien op en te rapporteren over de naleving
van de WBP en deze Gedragscode. De interne accountants- of controledienst van
de Financiële instelling legt haar bevindingen ten minste éénmaal per jaar vast in
een rapport.
9.2 Ter bevordering van de controle als bedoeld in het eerste lid zullen Financ ële
instellingen interne instructies opstellen waarin is aangegeven op welke wijze de
Persoonsgegevens worden verwerkt. Deze instructies hebben in ieder geval
Versie 27 mei 2002 16

betrekking op de Verwerking van persoonsgegevens in het kader van veiligheid en integriteit en het gebruik van waarschuwingssystemen.
9.3 In het kader van het door een Financiële instelling gekozen beleid met betrekking tot de bescherming en controle op het gebruik van Persoonsgegevens kan een Financiële instelling daarnaast een eigen Functionaris benoemen als bedoeld in 7.1.
10. Geschillen
10.1 Betrokkenen die van mening zijn dat door een bank wordt gehandeld in strijd met
de Gedragscode dan wel anderszins in strijd met de WBP wordt gehandeld, kunnen
zich wenden tot de Geschillencommissie Bankzaken, Bcjrdewijklaan 46, 29 etage,
2591 XR Den Haag, Postbus 90600, 2509 LP Den Haag, telefoon 070-31 05 310.
Betrokkenen kunnen zich ook wenden tot het CBP of tot de rechter.
10.2 Betrokkenen die van mening zijn dat door een verzekeraar, die lid is van het Verbond
van Verzekeraars, wordt gehandeld in strijd met de Gedrsgccode dan wel anderszins
in strijd met de WBP wordt gehandeld, kunnen zich wenden tot de Stichting
Klachteninstituut Verzekeringen, Postbus 93450, 2509 AL Den Haag. Betrokkenen
kunnen zich ook wenden tot het CBP of tot de rechter.
10.3 Een beroep op een van de hiervoor genoemde geschillenregeling stuit de in artikel
46 en 47 WBP genoemde termijnen niet. Een Betrokkene die gebruik maakt van zijn
rechten ex artikel 46 en 47 WBP behoudt zijn recht om tegelijkertijd met het
instellen van een procedure als omschreven in artikel 46 en 47 WBP of tijdens of na
afloop daarvan, een klacht in te dienen bij, of de bemiddeling in te roepen van een
van de hiervoor genoemde instanties, die een klacht om die reden niet -
niet-ontvankelijk kunnen verklaren.
10.1
Versie 27 mei 2002

17

Toelichting bij de Gedragscode Verwerking Persoonsgegevens
Financiële Instellingen
1 Algemeen
.
Vrijwel elke inwoner van Nederland heeft een relatie met een Financiële instelling: men heeft een betaalrekening, een hypothecaire financiering, een persoonlijke lening of een verzekering. De Financiële instelling heeft om de relatie met de Cliënt op een goede wijze te kunnen beoordelen Persoonsgegevens van die Cliënt nodig. Bij deze Verwerking van persoonsgegevens kunnen verschiiiende beiangen speien. De Ciiënt heeft er belang bij aat zijn persoonlijke levenssfeer zo goed mogelijk wordt beschermd, de Financiële instelling wil zijn gerechtvaardigde belangen zo goed mogelijk behartigen.
Om mogelijk conflicterende belangen op een goede wijze met elkaar te verenigen is een stelsel van regels opgesteld. Tot 1 september 2001 was dat de Wet persoonsregistraties, vanaf die datum is deze wet vervangen door de Wet bescherming persoonsgegevens (WBP). Ingevolge deze wet heeft de Financiële instelling die Persoonsgegevens verwerkt, de Verantwoordelijke, een aantal verplichtingen gekregen. De mensen van wie gegevens worden verwerkt, de 'Betrokkenen', hebben een aantal rechten toegekend gekregen (recht op inzage en correctie, recht van verzet). Er is onafhankelijk toezicht op de naleving van de wet, in handen van het College bescherming persoonsgegevens (CBP) of de functionaris voor de gegevensbescherming, indien deze door een Financiële instelling is aangesteld.
De wet biedt de mogelijkheid aan instellingen of groepen van instellingen om zelf maatregelen te nemen, die meer toegesneden kunnen zijn op de bedrijfsvoering van deze instellingen. Ook de Wet persoonsregistraties bood deze mogelijkheid. De Nederlandse Vereniging van Banken (NVB) en het Verbond van Verzekeraars (VvV) hebben in het verleden ieder afzonderlijk van deze gelegenheid gebruik gemaakt om een gedragscode op te stellen, die werd goedgekeurd door de toenmalige Registratiekamer.
Met de verandering van wetgeving werd het noodzakelijk de gedragscodes aan te passen aan de nieuwe wet. Geleid door ontwikkelingen van de laatste jaren, waarbij de verwevenneid tussen banken en verzekeraars toenam, hebben de NVB en het VvV besloten één Gedragscode op te stellen: de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. Voor deze Gedragscode is een verklaring van overeenstemming afgegeven c oor het College bescherming persoonsgegevens.

2 Toelichting bij een aantal artikelen
2.1 Inleiding
In een Gedragscode die zijn basis vindt in de WBP kan het niet anders dan dat veel begrippen in gelijkwaardige vorm vastgelegd.
Het begrip Functionele eenheid speelt bij verzekeraars een belangrijke rol wanneer het gaat om Verwerking van persoonsgegevens omtrent gezondheid van (potentiële) verzekerden. Met dit begrip wordt gedoeld op de groep van personen die ond.er verantwoordelijkheid van de geneeskundig adviseur gerechtigd is gegevens omtrent gezondheid te verwerken. Niet het behoren tot eenzelfde organisatie, maar het behoren tot eenzelfde Functionele eenheid is hét wezenlijke criterium voor het verlenen van toegang tot relevante gegevens omtrent gezondheid. Dit houdt in dat een loondienstagent gegevens omtrent gezondheid mag verzamelen voor zover dit inherent is aan de functie die wordt vervuld. Tevens bestaat de mogelijkheid dat de loondienstagent bij bepaalde verzekeringen de bevoegdheid heeft om direct (voorlopige) dekking af te geven als alle vragen naar het ziekteverleden ontkennend zijn beantwoord. Gegevens omtrent gezondheid worden slechts verwerkt voor zover dat noodzakelijk is voor het aangaan en uitvoeren van een verzekerings- en/of financieringsovereenkomst. De interpretatie en beoordeling van de gegevens is voorbehouden aan de geneeskundig adviseur. Alle personen die worden gerekend tot deze Functionele eenheid zijn gehouden aan een geheimhoudingsplichting.

2.3 Omschrijving van de sector, de reikwijdte en de Betrokkenen
Voor de omschrijving van de sector geldt de strikte eis van lidmaatschap van hetzij de NVB, hetzij van het VvV, of het aangesloten zijn bij Rabobank Nederland. Dit impliceert bijvoorbeeld dat wanneer een bank als assurantietussenpersoon optreedt voor een verzekering de Gedragscode van toepassing is, doch niet wanneer de verzekering wordt afgesloten door een assurantietussenpersoon die niet is aangesloten bij de NVB, het VvV of Rabobank Nederland.
Onder de reikwijdte van deze Gedragscode valt niet de Verwerking van persoonsgegevens van het personeel van de Financiële instelling en evenmin die van personen die in incidentenregisters zijn opgenomen. Gelet op het specifieke karakter van laatstgenoemde verwerking en de speciale maatregelen die zijn genomen ter bescherming van de Persoonsgegevens, is een Protocol ncidentenwaarschuwingssysteem Financiële Instellingen opgesteld en zal aanvullend een voorafgaand onderzoek als bedoeld in artikel 31 van de WBP worden aangevraagd. In Paragraaf 2.5 zullen we nader op deze Verwerking van persoonsgegevens ingaan.
2.4 Principes van Verwerking van persoonsgegevens
Onder Verwerking van persoonsgegevens worden alle handelingen verstaan die "net Persoonsgegevens worden verricht. Het betreft het verzamelen tot en met de vernietiging van die gegevens en alle tussenliggende handelingen. De belangrijkste principes van de WBP betreffen het specificeren van de doelstelling van de verwerking, de rechtmatigheid van de verwerking, het verenigbaar gebruik en de informatieplicht.Op ieder van deze principes zuilen we nader ingaan, het meest uitvoerig op het verenigbaar gebruik dat allesbepalend is voor de verdere Verwerking zoals verstrekking van Persoonsgegevens.

Doeleinden van Verwerking van persoonsgegevens
Persoonsgegevens mogen slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Welbepaald houdt in dat de doelomschrijving duidelijk moet zijn. Het doel waarvoor de Persoonsgegevens worden verzameld geldt als toetsingscriterium voor tal van andere bepalingen, zoals het verenigbaar gebruik, de bewaartermijnen en de voorwaarde dat niet meer gegevens worden verzameld dan voor het doel noodzakelijk is.
Dit doel is door de Financiële instellingen geconcretiseerd in meerdere activiteiten. In de eerste plaats betreft dat het beoordelen en accepteren van Cliënten en de mogelijk daaruit voortvloeiende activiteiten als het aangaan en uitvoeren van overeenkomsten en. het afwikkelen van het betalingsverkeer. In de tweede plaats worden de gegevens gebruikt om gerichte marketingactiviteiten te kunnen ontplooien teneinde de relatie met de Cliënt in stand te houden of uit te breiden dan wel om nieuwe Cliënten te verwerven. Een derde activiteit betreft in algemene zin het risicobeheer: het bestrijden, voorkomen en opsporen van gedragingen die gericht zijn tegen de Financiële instelling of de sector in het algemeen. Daarnaast dienen Financiële instellingen in toenemende mate Persoonsgegevens te verwerken om te voldoen aan wettelijke verplichtingen. Op elk van deze activiteiten zullen we nader ingaan.

Rechtmatige grondslag
De Verwerking van persoonsgegevens moet gebaseerd zijn op een van de zes in de WBP genoemderondslagen. Voor de Financiële instelling zijn vier grondslagen relevant:
* de ondubbelzinnige toestemming van de Betrokkene;
* de gegevens zijn noodzakelijk voor de uitvoering van de overeenkomst waarbij de Betrokkene partij is of voor het nemen van precontractuele maatregelen;
* de gegevens zijn noodzakelijk om een wettelijke verplichting na te komen waaraan de derantwoordelijke is onderworpen;
* de gegevens zijn noodzakelijk voor het gerechtvaardigde belang van de Verantwoordelijke (of van een Derde aan wie de gegevens worden verstrekt), tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene prevaleert. Om dat te beoordelen zal bij deze grondslag steeds een belangenafweging in algemene zin moeten plaatsvinden tussen beide in het geding zijnde belangen.
Ontbreekt een van deze grondslagen dan is de Verwerking van persoonsgegevens niet toegestaan. Bij gebruik van Persoonsgegevens voor meerdere activiteiten zal de verwerking veelal gebaseerd worden op verscheidene grondslagen. Wat betreft de Financiële instellingen zal deze grondslag voornamelijk gelegen zijn in het afsluiten en uitvoeren van een overeenkomst, om te voldoen aan wettelijke verplichtingen of omdat de verwerking noodzakelijk is voor het gerechtvaardigde belang van de Financiële instelling. Deze laatste grondslag geldt onder meer wanneer Persoonsgegevens worden verwerkt in het kader van marketingactiviteiten en bij het risicobeheer.

Verenigbaar gebruik
Bij de beantwoording van de vraag of er sprake is van verenigbaar gebruik spelen div~rse factoren een rol. Een aantal daarvan wordt -niet-limitatief- opgesomd in artikel 9, lid 2 V, BP en nader verklaard in de memorie van toelichting. Bij de vraag of een verdere Verwerking van persoonsgegevens verenigbaar is speelt een aantal factoren een rol, zoals verwantschap met het doel of de producten waarvoor de Persoonsgegevens werden verzameld, de aard van de gegevens, de gevolgen van de verwerking voor de Betrokkene en de mate waarin jegens Betrokkene is voorzien in passende waarborgen. In geval de Betrokkene expliciet om toestemming wordt gevraagd, wordt in ieder geval voldaan aan het vereiste van verenigbaar gebruik.

Het gaat bij dit verenigbaar gebruik om open normen die van geval tot geval moeten worden beoordeeld en gewogen om te kunnen vaststellen of een bepaalde gegevensuitwisseling geoorloofd is. Wanneer het niet op voorhand duidelijk is of verdere verwerking is geoorloofd, zal zorgvuldig aan de hand van de criteria op basis van de omstandigheden van de concrete situatie worden nagegaan of de verwerking mag plaatsvinden.

Een aantal voorbeelden.
* De actie 'Betaal op maat' vormt een voorbeeld van het verenigbaar gebruik van gegevens over betaalopdrachten voor efficiencydoelstellingen. Teneinde Cliënten te bewegen om meer gebruik te maken van acceptgiro's of incasso machtigingen en minder van gewone (duurdere) betaalopdrachtformulieren werden Cliënten geïnformeerd over de voor hen optimale mix.
* Vaak worden Financiële instellingen benaderd met verzoeken om informatie over de kredietwaardigheid van hun Cliënten. Deze vragen zijn soms ook afkomstig van handelsinformatiebureaus. Dergelijke informatie mag door de Financiële instelling echter niet worden verstrekt omdat dat onverenigbaar is met het doel waarvoor de gegevens zijn verzameld. Alleen indien de Cliënt expliciet tcsGtsrnrr.ing heeft ycyeven mag de Financiële instelling de gevraagde informatie verstrekken.
* Indien zich bij de uitvoering van een overeenkomst onregelmatigheden voordoen mogen de medewerkers van de Financiële instelling gegevens over de overeenkomst en de geconstateerde onregelmatigheden doorgeven aan de veiligheidsafdeling of een daartoe geautoriseerde functionaris. Die mag deze gegevens verder verwerken in het kader van het bestrijden van fraude en de gegevens (laten) opnemen in interne en branche waarschuwingssystemen. Op de Verwerking van persoonsgegevens door een dergelijke
afdeling of functionaris is de Gedragscode Incidentenwaarschuwingssysteem Financiële Instellingen van toepassing. Deze code is als bijlage aan deze Gedragscode toegevoegd.
* Uit opdrachtgegevens kan door de bank informatie worden afgeleid met betrekking tot de mogelijke interesse van de Cliënt voor financiële diensten uit het assortiment van de bank. Indien de bank deze informatie gebruikt voor het aanbieden van die diensten is sprake van verenigbaar gebruik. Zo kan een Cliënt die blijkbaar student is (ontvangt studiefinanciering op zijn bankrekening) door de bank worden benaderd voor een studentenrekening.
* Binnen een concern kan het bestaan van een vordering op een Betrokkene ertoe leiden dat informatie wordt uitgewisseld om na te gaan of bij een ander onderdeel van dat concern nog een uitkering onder een schadeverzekering is verschuldigd. Op die wijze,kunnen vordering en schuld met elkaar worden gecompenseerd of, als dat niet mogelijk is, kan er derdenbeslag op de verschuldigde schadevergoeding worden gelegd. De aan de schadeuitkering ten grondslag liggende Persoonsgegevens zullen in het algemeen niet voor andere onderdelen van het concern beschikbaar mogen zijn.
* Een schoolvoorbeeld van verenigbaar gebruik binnen een concern is de bank die naar aanleiding van afgesloten hypothecaire leningen een schadeverzekeraar binnen het concern attendeert op de mogelijkheid om een mailing met betrekking tot opstalverz keringen te verzenden. Voorts is het toelaatbaar als een ziektekostenverzekeraar NAW -gegevens en geboortedatum van zijn verzekerden verstrekt aan een tot hetzelfde concern behorende pensioenverzekeraar, teneinde die in de gelegenheid te stellen de betrokkenen door middel van een mailing te attenderen op het nut van het sluiten van een aanvullende
pensioenverzekering. Een dergelijk gebruik kan niet worden beschouwd als onverenigbaar met het doel waarvoor de gegevens door de ziektekostenverzekeraar zijn verkregen. Bovendien heeft zij als ziektekostenverzekeraar in een concern een gerechtvaardigd belang om haar Verwerking van persoonsgegevens van verzekerden op deze wijze en in de mate waarin dat is geschied te gebruiken ten dienste van de belangen van andere werkmaatschappijen binnen dat concern, terwijl de privacy-belangen van de verzekerden door deze handelwijze niet onevenredig zijn geschaad.
Dat wordt anders als de ziektekostenverzekeraar op basis van het claimgedrag van zijn verzekerden een selectie toepast en de resultaten van die selectie doorgeeft aan de eveneens tot het concern behorende arbeidsongeschiktheidsverzekeraar. Dergelijk gebruik is in de Gedragscode dan ook uitgesloten.
Doorgifte van gegevens door de medisch adviseur van een schadeverzekeraar aan die van een rechtsbijstandverzekeraar in het kader van de afhandeling van dezelfde schade is verenigbaar met het doel waarvoor de gegevens zijn verkregen. Dit geldt eveneens voor de doorgifte van gegevens door de medisch adviseur aan de herverzekeraar, die in het
/-\Criici'iiyycrnjc
gedachte is dat de genoemde personen in het kader van de afhandeling van dezelfde schade te beschouwen zijn als 'Functionele eenheid'.

Informatieplicht
De ratio achter de informatieplicht is dat de Verantwoordelijke aanspreekbaar is voor de Betrokkene. De norm is dat de informatieverplichting geldt, tenzij de Betrokkene 'reeds op de hoogte is'. Afhankelijk van de omstandigheden mag de Verantwoordelijke het 'op de hoogte zijn' aannemen, bijvoorbeeld omdat Betrokkene informatie is overhandigd of toegezonden of omdat uit de gedragingen van de Betrokkene blijkt dat hij op de hoogte is. Bij het aangaan van een relatie met een Financiële instelling zal doorgaans uitdrukkelijk op het openings- c.q. aanvraagformulier worden aangegeven welke de doelstellingen zijn waarvoor de gegevens worden verzameld. Worden de gegevens verzameld buiten de Betrokkene om, dan zal de informatieplicht gelden, tenzij de verstrekker de Betrokkene reeds op de hoogte heeft gesteld.
Wanneer de informatieplicht een onevenredige inspanning vergt, zoals in het geval Persoonsgegevens verkregen worden van een een bedrijf dat op grote schaal adresgegevens beschikbaar stelt, zal aan de informatieplicht mogen worden voldaan op het moment dat met de Betrokkene schriftelijk contact wordt opgenomen.
De informatieplicht geldt ook wanneer de Financiële instelling via internet met een Betrokkene communiceert en Persoonsgegevens verwerkt. In dat geval kan aan die plicht worden voldaan door het plaatsen van een duidelijk Privacy Statement.

2.5 Verwerking van persoonsgegevens
Bij de doelstelling waarvoor een Financiële instelling Persoonsgegevens verwerkt gaat het om het geheel aan activiteiten dat een Financiële instelling pleegt te verrichten om de overeenkomsten te kunnen aangaan en uitvoeren, om goede Cliënten te krijgen en te houden en slechte Cliënten te weren of het contract mee te beëindigen. Meer in het algemeen gaat het om activiteiten die van belang zijn voor een Financiële instelling als geheel om de relatie met de klant te kunnen onderhouden. Deze activiteiten vormen een samenhangend geheel. Alleen wanneer zij in samenhang worden uitgevoerd is het mogelijk dat de bedrijfsvoering op een effectieve en efficiënte manier verloopt. Samenhangend wil echter niet zeggen dat alle activiteiten ook zonder meer met elkaar verenigbaar zijn. Gegevens omtrent gezondheid mogen alleen in het kader van een overeenkomst worden gebruikt. Datzelfde geldt ook voor strafrechtelijke gegevens. Evenmin is het toegestaan om Bijzondere gegevens te gebruiken als selectiecriterium voor marketingactiviteiten, tenzij Betrokkene daarvoor zijn uitdrukkelijke toestemming heeft verleend. Dat kan bijvoorbeeld het geval zijn bij etnomarketing, waarbij allochtone bevolkingsgroepen worden benaderd met voor hen specifieke producten. Gebruik van de gegevens in het kader van de diverse activiteiten moet derhalve steeds gefoetst worden aan de principes van gegevensverwerking. Een aantal van die noodzakelijke activiteiten willen we wat nader onder de loep nemen.
Aangaan en uitvoeren van een overeenkomst
Binnen de Financiële instellingen wordt in toenemende mate in het kader van efficiënte en effectieve bedrijfsvoering gewerkt met geïntegreerde cliëntinformatiesystemen. Vanuit die doelstelling gezien behoeven deze systemen slechts een beperkt aantal Persoonsgegevens
, i • .. »MA\A/ ** *• ^% * .—. *»m^«-4.*»-m*J-~ -»«-*•'-— —. -« l. *~ ~.~ -.•*• l™\>- —« -». . — j*. ** * — — •'.'. — ..:*.
'!2. D3V3TIGri. »**A Jv •• \juvjoVono o* t ov>v>i t cii ooiw vait uo wvci GCI nxutnoi. L^C*.C oyotciiioii *.ijii, UIL ,
de aard van de zaak, slechts toegankelijk voor die medewerkers binnen de Financiële instelling die deze gegevens voor de vervulling van hun taak nodig hebben. Deze taakvervulling zal per medewerker verschillen en daarmee ook de toegang tot de gegevens. De toegang tot de geïntegreerde cliëntsystemen beperkt zich niet tot de afzonderlijke rechtspersonen maar kan gelden voor alle rechtspersonen binnen het concern.
In het kader van het betalingsverkeer kan onderscheid worden gemaakt tussen gegevens die worden verstrekt met het oog op de uitvoering van de betalingsopdracht, de zogenaamde opdrachtgegevens, en de gegevens die door een Cliënt worden meegegeven in het berichtenveld. De opdrachtgegevens mogen voor marketingdoeleinden worden gebruikt, mededelingen in het berichtenveld (bijvoorbeeld: betreft contributie voor ..., lidmaatschap van ...) niet.

Statistische analyses
Statistische analyses, waaronder begrepen datamining en creditscoring, waarbij Persoonsgegevens -niet zijnde Bijzondere gegevens- worden verwerkt, zijn niet onverenigbaar met het doel waarvoor de Persoonsgegevens zijn verzameld. Het maakt daarbij niet uit dat de uitkomsten te herleiden zijn tot een individuele natuurlijke persoon, mits maatregelen worden getroffen dat de gegevens uitsluitend voor statistische analyses worden gebruikt. Deze maatregelen kunnen daaruit bestaan dat schriftelijk wordt vastgelegd dat de gegevens niet zullen worden gebruikt voor het nemen van maatregelen of besluiten gericht op een bepaalde persoon. Een andere mogelijkheid is dat de gegevens zodanig worden bewerkt dat deze niet meer herleidbaar zijn tot een individuele natuurlijke persoon. In dat geval mag de informatie voor allerlei (andere) doeleinden worden gebruikt, zoals marketingdoeleinden. Wanneer de uitkomst van een statistische analyse aan een individuele Betrokkene wordt toegerekend, zoals in het geval van individuele scores, gelden de ruimere bepalingen van het verenigbaar gebruik niet en zal getoetst moeten worden of een dergelijk gebruik verenigbaar is met het doel waarvoor de gegevens zijn verkregen.
Marketingactiviteiten
Met betrekking tot het gebruik van Persoonsgegevens voor marketingactiviteiten geldt het algemene principe dat de verwerking behoorlijk en zorgvuldig moet zijn. De behoorlijkheid en zorgvuldigheid worden benadrukt door aan te geven dat bij voorkeur gebruik wordt gemaakt van Persoonsgegevens die afkomstig zijn van de Betrokkene zelf. Indien de gegevens niet van de Betrokkene afkomstig zijn, gelden de bepalingen met betrekking tot de informatieplicht volledig en zal bovendien de herkomst worden vastgelegd. Verder wordt met in marketing gespecialiseerde bedrijven, zoals mailingbureaus, een bewerkersovereenkomst gesloten en wordt steeds gecontroleerd of Betrokkene geen gebruik heeft gemaakt van zijn recht om van deze vorm van verwerking verschoond te blijven.

Fraude en criminaliteit
Binnen Financiële instellingen vormt de afdeling die zich bezig houdt met de bestrijding van fraude en criminaliteit een afgezonderde eenheid. De door die afdeling,verzamelde gegevens van gebeurtenissen worden vastgelegd in zogenaamde incidentenregisters. De inhoud van die registers is uitsluitend bestemd voor gebruik door geautoriseerde beveiligingsfunctionarissen in het kader van het voorkomen, opsporen of afhandelen van fraude en criminaliteit. Medewerkers uit het cliëntbedrijf van de Financiële instelling hebben daarentegen zelf geen toegang tot die registers, inrichting en gebruik van cle incider.tsr.rsgictsre v3Üsrv buiten deze Gedragscode en worden geregeld in een apart 'Protocol Incidentenwaarschuwingssysteem Financiële Instellingen'.
Het is echter onvermijdelijk dat medewerkers uit het cliëntbedrijf van de Financiële instelling een rol spelen bij de bestrijding van fraude en criminaliteit. De Gedragscode is steeds van toepassing als de medewerkers uit het cliëntbedrijf zelf gegevens verwerken in het kader van het voorkomen of opsporen van fraude en criminaliteit. Medewerkers uit het cliëntbedrijf van de Financiële instelling kunnen in dit kader bijvoorbeeld aan de veiligheidsfunctionaris melding doen van relevante incidenten, of in geval van twijfel advies vragen aan een beveiligingsfunctionaris hoe te handelen bij bepaalde Cliënten. De Gedragscode is ook dan van toepassing. De beveiligingsfunctionaris zal een melding vastleggen overeenkomstig de criteria van het 'Protocol Incidentenwaarschuwingssysteem Financiële Instellingen'. Bij een verzoek om inlichtingen zal hij nagaan of er gegevens omtrent de (aspirant)Cliënt beschikbaar zijn en zonodig overeenkomstig het bepaalde in het Protocol adviseren om een Cliënt al dan niet te weigeren. Indien de Cliënt nadere informatie wil kan hij worden doorverwezen naar de beveiligingsfunctionaris.
Handelingen van medewerkers uit het cliëntbedrijf zullen dus vallen onder deze Gedragscode. Handelingen van beveiligingsfunctionarissen zullen vallen onder het 'Protocol Incidentenwaarschuwingssysteem Financiële Instellingen'.

Externe Toetsingssystemen
In bepaalde gevallen worden Persoonsgegevens van kredietaanvragen, claims en incidenten mede vastgelegd in registers die worden gehouden door een van de Financiële instelling onafhankelijke rechtspersoon. Voorbeelden zijn Stichting BKR en Stichting CIS die resp. optreden als verantwoordelijke voor het Centrale Krediet Informatiesysteem en voor het Centraal Informatie Systeem (CIS) en het Systeem Vertrouwelijke Mededelingen (SVM). Op het verstrekken en het ontrekken van Persoonsgegevens aan deze systemen is deze Gedragscode van toepassing. De verwerking van de Persoonsgegevens in de systemen zelf vallen buiten de Gedragscode Persoonlijk onderzoek
Een speciale Verwerking van persoonsgegevens, met inachtneming van de principes van proportionaliteit en subsidiariteit, betreft het persoonlijk onderzoek. Dit kan noodzakelijk zijn om te voorkomen dat ten onrechte tot uitkering van geclaimde schade wordt overgegaan. De legitimiteit van een claim wordt dan bijvoorbeeld gecontroleerd door buurtonderzoek of videoregistratie. Voor deze vormen van onderzoek is de Gedragscode 'Persoonlijk onderzoek' opgesteld.
Persoonsgegevens omtrent iemands gezondheid
Voor de Verwerking van persoonsgegevens omtrent iemands gezondheid geldt een aantal aanvullende bepalingen. Deze hebben betrekking op alle onderdelen van het informatieverwerkend proces: het verzamelen, het opslaan in het dossier en op de verstrekking. Het verwerken van gegevens omtrent gezondheid is voorbehouden aan personen die deel uitmaken van de Functionele eenheid, onder verantwoordelijkheid van de geneeskundig adviseur. Deze geneeskundig adviseur is de enige die de gegevens mag beoordelen. Als aanvullend onderzoek plaatsvindt of als gegevens bij anderen dan de Betrokkene worden verzameld wordt de uitdrukkelijke toestemming van de BetroKkene gevraaga. voor zeer specifieke verwerkingen van gegevens, zoals gegevens omtrent erfelijkheid en HIV, zijn aparte gedragsregels opgesteld.

Sofinummer
Sofinummers worden door Financiële instellingen in de administratie opgenomen in verband met de verplichte gegevensverstrekking aan de fiscus. Het sofinummer wordt als ordenend instrument in de administratie gebruikt, voor zover dat noodzakelijk is om adequaat aan genoemde gegevensverstrekking te voldoen. Hierover is een afspraak gemaakt met de minister van Financiën. Verder mag het sofinummer gebruikt worden ter uitvoering van pensioenregelingen.
Voice Logging
Binnen Financiële instellingen worden telefoongesprekken op verscheidene plaatsen opgenomen om verschillende redenen. Dit geschiedt veelal omdat opdrachten in toenemende mate telefonisch door Cliënten worden verstrekt.
Hierbij kan worden gedacht aan opdrachten die via een callcenter dan wel telefonisch aan een adviseur worden verstrekt. De reden voor het opnemen van deze gesprekken is dat achteraf de inhoud van de opdracht kan worden vastgesteld, indien dit in het kader van bijvoorbeeld een geschil met een Cliënt noodzakelijk is. Te denken valt in dat verband aan een opdracht tot aan- of verkoop van effecten. Een andere reden om een telefoongesprek vast te leggen is bijvoorbeeld de vaststelling van het exacte tijdstip waarop het verlies of de diefstal van een bankpas is gemeld of indien het bedreigingen betreft gericht tegen de Financiële instelling of haar personeelsleden. Financiële instellingen zullen hun Cliënten zo veel mogelijk informeren over het opnemen van telefoongesprekken, bijvoorbeeld via hun productvoorwaarden. Indien de Cliënt daarom vraagt zullen zij daarover te allen tijde nadere informatie verschaffen.
2.6 Rechten van Betrokkenen
In de WBP zijn, net als in de Wet persoonsregistraties, rechten toegekend aan de Betrokkenen: het recht kennis te nemen van de eigen Persoonsgegevens en het recht om deze gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Nieuw ten opzichte van de WPR zijn het recht van verzet en het recht verschoond te blijven van een besluit genomen op basis van uitsluitend een geautomatiseerde Verwerking van persooonsgegevens.

Recht om van de gegevens kennis te nemen
Het recht kennis te nemen van de eigen gegevens is een algemeen erkend recht dat slechts in uitzonderingssituaties vervalt. Naast die eigen gegevens dient de Betrokkene bjj een verzoek ook op de hoogte te worden gesteld van het doel van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft, de ontvangers of categorieën van ontvangers en de beschikbare informatie over de herkomst van de gegevens.

De uitzonderingen hebben betrekking op drie situaties. De eerste is dat inzage geweigerd kan worden als het om zaken gaat als veiligheid van de staat en voorkoming, opsporing en vervolging van strafbare feiten. Een tweede situatie kan zich voordoen indien naast de gegevens van de Betrokkene ook gegevens verwerkt worden van een ander die bedenkingen kan hebben tegen het verlenen van inzage in ook zijn of haar gegever.c. In dat ge^al moet die Derde in de gelegenheid worden gesteld om zijn zienswijze naar voren te brengen. Een derde situatie kan zich voordoen indien gegevens worden verwerkt ten behoeve van -wetenschappelijke of statistische doeleinden. Ook dan kan onder omstandigheden geweigerd worden om aan een verzoek om inzage te voldoen, namelijk aJs het onderzoek wordt verricht door een dienst of instelling voor wetenschappelijk onderzoek.
Als onderdeel van het inzagerecht heeft de Betrokkene het recht te allen tijde op verzoek van de logica van de geautomatiseerde verwerking op de hoogte te worden gesteld indien gebruik wordt gemaakt van bijzondere computerprogrammatuur. Gedacht kan worden aan dataminingsprogramma's en het opstellen van credit-scores. De bekendmaking van de logica mag geen afbreuk doen aan het zakengeheim of aan de intellectuele eigendom en met name aan het auteursrecht dat de software beschermt. Dit mag er echter niet toe leiden dat alle informatie wordt geweigerd.
Met betrekking tot het inzagerecht gelden nog twee aanvullende bepalingen. Het eerste is dat voor een verzoek om inzage (en verzet) een vergoeding in de kosten kan worden gevraagd. Dat bedrag is vastgesteld op maximaal € 4,50 per bericht. Het tweede is dat de Verantwoordelijke zorg moet dragen voor een deugdelijke vaststelling van de identiteit om te verzekeren dat de juiste persoon toegang krijgt tot de eigen gegevens. Bij schriftelijke verzoeken om inzage moeten daarom aangepaste maatregelen worden genomen, zoals de verplichting een kopie bij te sluiten van paspoort of rijbewijs om de handtekeningen te kunnen vergelijken, eventueel met reeds aanwezige handtekeningen.
Recht om de gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen
De Betrokkene kan in voorkomende gevallen de Verantwoordelijke verzoeken de gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Voorwaarde voor het kunnen gebruik maken van dit recht is dat de Betrokkene kennis heeft genomen van de eigen gegevens.
Indien een Verantwoordelijke voldaan heeft aan een verzoek om gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen, dan is hij verplicht aan Derden aan wie gegevens zijn verstrekt kennis te geven van de aangebrachte wijzigingen, tenzij dit onmogelijk is of een onevenredige inspanning kost.

Recht van verzet
In de WBP is het stelsel van verzet verder gespecificeerd en wordt onderscheid gemaakt tussen relatieve en absolute verzoeken om verzet. Relatieve verzoeken kunnen worden ingediend indien de rechtsgrond van de verwerking gelegen is in artikel 8 f: de behartiging van het gerechtvaardigde belang van de Verantwoordelijke. De Betrokkene kan dan op grond van zijn bijzondere persoonlijke omstandigheden verzoeken om de Verwerking van zijn persoonsgegevens te beëindigen. De Verantwoordelijke dient in dat concrete geval de verwerking te heroverwegen en zijn belang af te wegen tegen het (bijzondere) belang van de Betrokkene.
Aangetekend verzet bij Verwerking van persoonsgegevens ten behoeve van doeleinden gelegen in het gebruik van de gegevens voor werving voor commerciële nf charitatieve doeleinden zijn absoluut en moeten onvoorwaardelijk worden gehonoreerd. In geval van verzet treft de Verantwoordelijke maatregelen om deze vorm van Verwerking van persoonsgegevens van de Betrokkene terstond te beëindigen. De Verantwoordelijke dient, indien hij zich voor commerciële of charitatieve boodschappen wendt tot de Betrokkene, deze telkenmale te wijzen op de mogelijkheid tot het doen van verzet.
Besluit gebaseerd op geautomatiseerde verwerking
De Verantwoordelijke dient er zorg voor te dragen dat de Betrokkene niet wordt onderworpen aan een besluit uitsluitend gebaseerd op een geautomatiseerde verwerking, indien aan dat besluit rechtsgevolgen zijn verbonden of indien dat besluit de Betrokkene in aanmerkelijke mate treft. Het betreft met name besluiten die worden genomen op basis van -geautomatiseerde verwerkingen die bedoeld zijn om een beeld te krijgen van bepaalde aspecten van iemands persoonlijkheid.
De bepaling is niet absoluut en geeft aan dat er situaties zijn waarin een dergelijk besluit is geoorloofd, zoals wanneer een besluit wordt genomen in het kader van het sluiten of het uitvoeren van een overeenkomst en passende maatregelen zijn genomen, dan wel wanneer het besluit zijn grondslag vindt in een wet. In dat verband kan gedacht worden aan het sluiten van een verzekerings- of financieringsovereenkomst en aan artikel 28, eerste lid van de Wet op het consumentenkrediet. De passende maatregelen bestaan uit de gelegenheid die wordt geboden aan de Betrokkene om zijn zienswijze kenbaar te maken. Bij een negatief besluit moet de Betrokkene de logica medegedeeld worden die ten grondslag ligt aan de geautomatiseerde Verwerking van persoonsgegevens.

Bijlage I: Informatie
1. Hieronder volgt een opsomming van de documenten Waarin nadere informatie met
betrekking tot de Verwerking van persoonsgegevens door Financiële instellingen te vinden
is en van de documenten waaraan in de Gedragscode wordt gerefereerd:
a. Gedragscode DMIN is gepubliceerd in de Staatscourant nr. 194, 1992.
b. Geschillenreglement Bankzaken is te verkrijgen bij de Geschillencommissie
Bankzaken, Bordewijklaan 46, 2' etage, 2591 XR Den Haagr Postbus 90600, 2509
LP Den Haag, telefoon 070 31 05 310.
c. Privacyreglement Stichting Klachteninstituut Verzekeringen is te verkrijgen bij
Stichting Klachteninstituut Verzekeringen, Postbus 93450, 2509 AL, Den Haag.
d. Regelingen BKR (o.a. reglement geschillencommissie) zijn te verkrijgen bij BKR
(Bureau Krediet Registratie), Postbus 60SO, 4000 HB Tiei, teiefoon G344 616 041.
e. Regeling Organisatie en Beheersing (ROB) van de Nederlandsche Bank NV omtrent
de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking in
het bankwezen d.d. 20 september 1988, nadien aangevuld met een schrijven van
De Nederlandsche Bank NV inzake de uitbesteding van geautomatiseerde
gegevensverwerking d.d. 27 mei 1994.
f. Gedragsregels voor Privacy en Kaartintegriteit Open Infrastructuur voor
Chipkaarttoepassingen van het Nationaal Chipcard Platform van 18 september
1996.
2. Bij vragen over de Gedragscode kan tevens contact opgenomen worden met de
Nederlandse Vereniging van Banken, Postbus 3543, 1001 AH Amsterdam, telefoon 020-
55 02 888, faxnummer 020-62 39 748 en met het Verbond van Verzekeraars, Postbus
93450, 2509 AL Den Haag, telefoon 070 333 8500, fax 070 333 8510
3. Verder zijn ter informatie bij deze Gedragscode de volgende documenten opgenomen:
A. Voorschrift Informatie Fiscus/Banken
B. Protocol Incidentenwaarschuwingssysteem Financiële instellingen
C. Gedragscode Persoonlijk Onderzoek
D. Moratorium erfelijkheidsonderzoek Verbond van Verzekeraars
E. HlV-gedragscode