In het licht van de AVG: het verwerken van bijzondere categorieën van persoonsgegevens in de verzekeringssector
INHOUD
II. Verwerken van persoonsgegevens
III. Het verwerken van gevoelige persoonsgegevens A. De uitdaging van een geldige uitdrukkelijke toestemming 1. Is de toestemming werkelijk vrij?
2. Het intrekken van de toestemming
3. Geldigheidsduur van de toestemming
B. Naar een andere verwerkingsgrond dan de toestemming?
V. Geautomatiseerde individuele besluitvorming
| I. | Inleiding |  |
De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is al geruime tijd een grondrecht [2]. Effectieve bescherming van het grondrecht van gegevensbescherming werd in de Europese Unie (hierna: “EU”) voor het eerst gerealiseerd door de inwerkingtreding van richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens (hierna: “gegevensbeschermingsrichtlijn”) [3]. De snelle technologische ontwikkelingen en globalisering vereisten echter een krachtiger en meer coherent kader voor gegevensbescherming in de EU. De algemene verordening gegevensbescherming (hierna: “AVG”, ook wel bekend als “GDPR”) [4] tracht tegemoet te komen aan die noodzaak. De AVG beoogt voor natuurlijke personen in de gehele EU een consistent niveau van bescherming met betrekking tot de verwerking van persoonsgegevens.
De AVG, die van toepassing is sinds 25 mei 2018 [5], heeft vanzelfsprekend ook gevolgen voor de verzekeringssector [6] en plaatst de verzekeringspraktijk voor een aantal uitdagingen. Deze bijdrage zal dieper ingaan op één specifieke uitdaging, namelijk het verwerken van bijzondere categorieën van persoonsgegevens. De AVG voorziet namelijk dat dergelijke persoonsgegevens slechts in uitzonderlijke omstandigheden verwerkt kunnen worden. Kernvraag is of verzekeraars gebruik kunnen maken van deze uitzonderingsgevallen.
Deze bijdrage bespreekt vooreerst welke persoonsgegevens behoren tot de bijzondere categorieën van persoonsgegevens (II.). Vervolgens wordt ingegaan op de wettelijke grondslagen op basis waarvan de bijzondere categorieën van persoonsgegevens kunnen worden verwerkt. Gezien de problemen in de toepassing hiervan op verzekerigen, wordt vervolgens onderzocht of de AVG nog andere mogelijkheden biedt om verzekeraars toe te laten dergelijke persoonsgegevens te verwerken. Mogelijke oplossingen worden ontleend aan de wijze waarop verschillende lidstaten de AVG implementeren in de nationale rechtsorde. In het bijzonder wordt de aandacht gevestigd op de (ontwerpen tot) implementatie in België, Ierland, het Verenigd Koninkrijk, Nederland en Frankrijk. In deze analyse wordt een onderscheid gemaakt tussen de gezondheidsgegevens (III.) en de persoonsgegevens betreffende strafrechtelijke veroordelingen (IV.). Ten slotte wordt kort de specificiteit van de geautomatiseerde besluitvorming aangestipt (V.) en afgerond met een conclusie.
| II. | Verwerken van persoonsgegevens | |
Zoals reeds aangehaald, beoogt de AVG de bescherming van de verwerking van persoonsgegevens. De AVG is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen (art. 2, 1. AVG). De term “verwerking” betekent een “bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés” (art. 4, 2) AVG). Het begrip ververwerking is bijgevolg erg ruim en omvat onder meer het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Ook het begrip persoonsgegevens is ruim en betreft “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon” (art. 4, 1) AVG) [7]. Er kan een onderscheid worden gemaakt tussen drie verschillende categorieën van persoonsgegevens:
- gevoelige persoonsgegevens: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (art. 9 AVG);
- persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (art. 10 AVG);
- restcategorie van persoonsgegevens die niet onder gebracht kunnen worden in de eerste of tweede categorie van persoonsgegevens.
Het hoeft weinig betoog dat een verzekeraar, afhankelijk van het verzekeringsproduct, persoonsgegevens van alle categorieën verwerkt. Het verwerken van persoonsgegevens is namelijk eigen aan de verzekeringssector. Enerzijds, verwerkt een verzekeraar persoonsgegevens voor de uitvoering van een aantal verplichtingen tegenover de (kandidaat-)verzekeringnemers en/of verzekerden. Denk bijvoorbeeld aan het berekenen van de premie. De verzekeraar stelt een risicoprofiel op van de kandidaat-verzekeringnemer op basis van een aantal verzamelde gegevens. Welke gegevens concreet verzameld worden, hangt uiteraard af van het verzekeringsproduct. Anderzijds streeft een verzekeraar ook zijn eigen belangen na, of legt de wet hem bepaalde verplichtingen op, die verantwoorden dat een verzekeraar persoonsgegevens moet verwerken. Zo dient een verzekeraar ter eerbiediging van de antiwitwaswetgeving noodgedwongen een aantal persoonsgegevens te verwerken.
De verzekeraar dient als verwerkingsverantwoordelijke [8] toe te zien op de rechtmatige, behoorlijke en transparante wijze van verwerking van de verzamelde persoonsgegevens [9]. Daarenboven dient deze verwerking van persoonsgegevens steeds doelgebonden te zijn. De persoonsgegevens moeten namelijk voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld [10]. De verzekeraar moet voor ieder van de verwerkte gegevens dit doel specifiëren en dit op duidelijk omschreven wijze communiceren aan de betrokkene. Opdat de verwerking van de persoonsgegevens rechtmatig is, dient de verzekeraar rekening te houden met de voorwaarden van artikel 6 AVG en in het bijzonder de vereiste dat de verwerking van persoonsgegevens moet gebaseerd zijn op een van de verwerkingsgronden opgesomd in artikel 6 AVG [11].
De verwerking van de restcategorie van persoonsgegevens zal doorgaans weinig discussie geven, behalve in het geval van geautomatiseerde verwerking (cf. infra V.). Immers, de verzekeraar kan zich baseren op verwerkingsgronden opgenomen in artikel 6.1 AVG, namelijk dat de verwerking (i) noodzakelijk is voor de uitvoering van een overeenkomst, (ii) kadert in het gerechtvaardigd belang van de verzekeraar of (iii) noodzakelijk is om aan een wettelijke verplichting te voldoen. De uitdaging en de onzekerheid in de verzekeringssector rijst bijgevolg vooral in de verwerking van de bijzondere categorieën van persoonsgegevens, de gevoelige persoonsgegevens en persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten.
| III. | Het verwerken van gevoelige persoonsgegevens | |
De eerste bijzondere categorie van persoonsgegevens omvat de zgn. gevoelige persoonsgegevens, opgesomd in artikel 9 AVG. Voor verzekeringen zijn dit in de eerste plaats en voornamelijk de gezondheidsgegevens.
Veelal dienen verzekeraars gevoelige persoonsgegevens van de verzekeringnemer, verzekerde, begunstigde en slachtoffer te verwerken om (pre)contractuele verplichtingen na te komen. Voor verschillende verzekeringsproducten, zoals een ziekteverzekering, of levensverzekering maar ook een BA verzekering, is de verwerking van gezondheidsinformatie essentieel. De verzekeraar dient gezondheidsinformatie noodzakelijkerwijs te verwerken om het risico te beoordelen, premie te berekenen, dekking te verlenen, schadegevallen af te handelen.
De AVG voorziet een principieel verbod van het verwerken van dergelijke persoonsgegevens. De verwerking van dergelijke persoonsgegevens is enkel toegelaten indien de verzekeraar zich kan beroepen op een van de uitzonderingen opgesomd in artikel 9, 2. AVG. Hoewel er in artikel 9, 2. AVG tien mogelijke uitzonderingen staan opgenomen, kan de verzekeraar op het eerste gezicht slechts beroep doen op één van die uitzonderingen om de verwerking van gezondheidsinformatie te legitimeren, namelijk wanneer de “betrokkene uitdrukkelijke toestemming [heeft] gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in het Unierecht of het lidstatelijk recht is bepaald dat het in eerste lid genoemde verbod niet door de betrokkene kan worden opgeheven” (art. 9, 2., a) AVG).
De verzekeraar zal dus, alvorens hij de gezondheidsinformatie kan verwerken, de uitdrukkelijke toestemming van de betrokkene dienen te verkrijgen. De toestemming van de betrokkene is aan welomschreven voorwaarden gebonden in de zin van elke vrije [12], specifieke [13], geïnformeerde [14] en ondubbelzinnige [15] wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de verwerking van de hem betreffende persoonsgegevens aanvaardt [16]. Het verkrijgen van de uitdrukkelijke toestemming zal in de praktijk niet steeds een gemakkelijke opdracht zijn voor de verzekeraar. Deze bijdrage zal dieper ingaan op uitdagingen waarmee de verzekeraar wordt geconfronteerd met betrekking tot de uitdrukkelijke toestemming om gezondheidsinformatie te verwerken. De vraag die zich dan zal opdringen is of de uitdrukkelijke toestemming met betrekking tot de verzekeringssector wel een gepaste verwerkingsgrond is gelet op de eigenheid van de verzekeringssector.
| A. | De uitdaging van een geldige uitdrukkelijke toestemming | |
| 1. Is de toestemming werkelijk vrij? |
Opdat de verkregen toestemming geldig is, dient de verzekeraar aan te tonen dat deze vrijelijk werd gegeven door de betrokkene. De term “vrij” in de omschrijving van het begrip “toestemming” verwijst naar een keuze in hoofde van de betrokkene. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst (art. 7, 4. AVG). Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is, of indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering [17].
Gezien de strikte invulling van dit begrip vrije toestemming, rijst de vraag of de toestemming van een (kandidaat-)verzekeringnemer of verzekerde wel degelijk vrij kan zijn [18]. De vraag rijst immers of de relatie verzekeringnemer-verzekeraar niet wordt gekenmerkt door een duidelijke machtswanverhouding in de zin zoals aangegeven. Indien de (kandidaat-)verzekeringnemer of verzekerde geen toestemming verleent voor de verwerking van zijn gezondheidsinformatie, loopt hij immers het risico dat de verzekeraar hem geen verzekeringsproduct kan en zal aanbieden. Met andere woorden, de toestemming is nauw verbonden aan de uitvoering van het contract (of precontractuele verplichtingen) door de verzekeraar en kan in veel gevallen beschouwd worden als zijnde voorwaardelijk. Er wordt opgeworpen dat in dergelijke situatie een eventuele toestemming van de (kandidaat-)verzekeringnemer of verzekerde beschouwd kan worden als een niet-vrije toestemming in de zin van de AVG [19]. De verzekeraar zal zijn (pre)contractuele verplichtingen enkel kunnen nakomen indien de (kandidaat-)verzekeringnemer of verzekerde zijn toestemming verleent voor de verwerking. In de verzekeringssector kan dergelijke toestemming beschouwd worden als een voorwaardelijke toestemming en dus geen vrije toestemming. Hierdoor rijst er een probleem aangezien de verzekeraar zich enkel kan steunen op de toestemming als verwerkingsgrond, terwijl deze toestemming niet vrij kan gegeven worden in de zin vereist door de AVG.
Bijgevolg dringt de vraag zich op of het begrip “vrije toestemming” steeds op dergelijke strikte wijze moet geïnterpreteerd worden dan wel of hieraan een interpretatie kan gegeven worden die werkzaam is voor verzekeringen. Insurance Europe, de Europese beroepsvereniging van verzekeringsondernemingen, stelt dat, op basis van een a contrario -interpretatie van artikel 7, 4. AVG, een voorwaardelijke toestemming beschouwd moet worden als vrij indien het verwerken van de gegevens noodzakelijk is voor de uitvoering van de overeenkomst [20]. Insurance Europe hanteert dus een ruime a contrario -interpretatie om de voorwaardelijke toestemming in de context van de verzekeringssector toch als vrij te beschouwen. De Article 29 Working Party [21] daarentegen lijkt een enge interpretatie aan te houden waar het stelt dat toestemming niet vrij is indien de betrokkene geen echte keuze heeft, zich verplicht voelt om toe te stemmen of negatieve gevolgen zal dragen indien hij niet toestemt [22]. Verder verduidelijkt de Article 29 Working Party dat de toestemming niet de gepaste verwerkingsgrond is indien de verwerkingsverantwoordelijke persoonsgegevens wenst te verwerken die werkelijk noodzakelijk zijn voor de uitvoering van de overeenkomst [23]. Bovendien benadrukt de werkgroep dat artikel 7, 4. AVG enkel relevant is wanneer de beoogde persoonsgegevens niet noodzakelijk zijn voor de uitvoering van de overeenkomst [24]. Dat betekent dat de wijze waarop Insurance Europe artikel 7, 4. AVG tracht te interpreteren, niet conform is aan de richtlijnen van de Article 29 Working Party. Met andere woorden, een verzekeraar zal bij de beoordeling of de toestemming vrij is, niet kunnen verwijzen naar artikel 7, 4. AVG. De verzekeraar zal volgens de Article 29 Working Party moeten aantonen dat de (kandidaat-)verzekeringnemer of verzekerde de vrije keuze heeft of zijn toestemming kan weigeren of intrekken zonder nadelige gevolgen [25]. Het is duidelijk dat het leveren van een dergelijke bewijs een moeilijk opgave is voor de verzekeraar. Indien de toestemming wordt geweigerd of ingetrokken, kan de verzekeraar zijn verplichtingen niet nakomen en zal er geen dekking verleend kunnen worden. Er zijn dus wel degelijk ernstige nadelen verbonden aan de weigering of intrekking van de toestemming.
| 2. Het intrekken van de toestemming |
Zelfs al zou de verzekeringnemer of verzekerde een geldige toestemming kunnen geven (zie supra, 1.), dan nog stelt deze verwerkingsgrond problemen in de toepassing op verzekeringen. Artikel 7, 3. AVG verleent de betrokkene immers het recht om zijn toestemming te allen tijde in te trekken. Dat wil zeggen dat de verzekeringnemer, verzekerde, begunstigde en dergelijke meer de mogelijkheid hebben om de toestemming die zij in eerste instantie verleend hadden, in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet.
Verder voorziet de AVG dat de betrokkene zijn toestemming moet kunnen intrekken zonder nadelige gevolgen [26]. Echter, in de verzekeringscontext zal de betrokkene die zijn toestemming intrekt hoe dan ook nadelige gevolgen ondervinden. Immers, de verzekeraar dient elke toekomstige verwerking van de persoonsgegevens in kwestie te stoppen zodra de toestemming wordt ingetrokken. De verzekeraar kan zich voor de verdere verwerking van de gevoelige persoonsgegevens, na het intrekken van de toestemming, niet zonder meer baseren op een andere verwerkingsgrond [27].
De verzekeraar die de verwerking van deze gegevens niet op een andere verwerkingsgrond kan steunen, zal noodgedwongen de verwerking van de gezondheidsinformatie dienen te staken. De verzekeraar wordt op dat ogenblik geconfronteerd met de juridische onmogelijkheid om het dossier verder af te handelen. Indien de verzekerde, bijvoorbeeld in het kader van een verzekering lichamelijke ongevallen, zijn toestemming om gezondheidsinformatie te verwerken intrekt na het ontstaan van een schadegeval, kan de verzekeraar zijn contractuele verplichting om het schadegeval te beheren niet nakomen. De verzekeraar dient immers te beschikken over de gezondheidsinformatie om enerzijds na te gaan of het schadegeval onder de dekkingsvoorwaarden valt en anderzijds, indien het schadegeval gedekt is, over te gaan tot uitkering. De mogelijkheid dat de betrokkene zijn toestemming te allen tijde kan intrekken, verleent aan de uitdrukkelijke toestemming als verwerkingsgrond van deze persoonsgegevens, die in principe noodzakelijk zijn voor de uitvoering van de overeenkomst, een eerder precair karakter.
| 3. Geldigheidsduur van de toestemming |
Een derde onzekerheid die rijst met betrekking tot de verwerkingsgrond toestemming van de betrokkene, is de onduidelijkheid over de geldigheidsduur van de verleende toestemming. De AVG geeft hierover geen nadere indicatie. De geldigheidsduur zal dus afhangen van de context, de omvang van de oorspronkelijke toestemming en de redelijke verwachtingen van de betrokkene [28]. De Article 29 Working Party adviseert de periodieke vernieuwing van de toestemming [29]. Volgens Insurance Europe geeft de Article 29 Working Party op dit punt een te ruime invulling aan de AVG. Zij stelt dat dit enkel aanleiding geeft tot bijkomende administratieve lasten voor de verzekeraar [30]. Ook de betrokkene zou volgens Insurance Europe niet opgezet zijn met een herhaaldelijk verzoek om de reeds verleende toestemming te vernieuwen. Verder kan dit aanleiding geven tot onzekerheid indien de betrokkene de toestemming niet vernieuwt. De vraag stelt zich dan of de reeds verkregen toestemming nog steeds geldig is, of het stilzitten van de betrokkene beschouwd moet worden als het intrekken van de toestemming. Ook dit gegeven benadrukt het precaire karakter van de uitdrukkelijke toestemming als verwerkingsgrond van persoonsgegevens.
| B. | Naar een andere verwerkingsgrond dan de toestemming? | |
Uit het voorgaande blijkt duidelijk dat de uitdrukkelijke toestemming als verwerkingsgrond voor het verwerken van de gevoelige persoonsgegevens aanleiding geeft tot juridische en praktische problemen voor de verzekeringssector.
Zijn er andere mogelijkheden? Een interessante piste ligt in de mogelijkheid die de AVG aan de lidstaten laat om, indien nodig, elementen van de AVG in hun nationaal recht op te nemen om de samenhang te garanderen en om de nationale bepalingen begrijpbaar te maken voor degenen op wie zij van toepassing zijn [31]. Daarnaast bepaalt artikel 6, 2. AVG dat de lidstaten specifiekere bepalingen kunnen handhaven of invoeren ter aanpassing van de manier waarop de regels van de AVG met betrekking tot de verwerking met het oog op de naleving van artikel 6, 1., c) [32] en e) [33], worden toegepast. Hiertoe kunnen de lidstaten een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen opleggen om een rechtmatige en behoorlijke verwerking te waarborgen. Met andere woorden, de lidstaten kunnen zelf een nadere invulling geven aan de twee verwerkingsgronden opgenomen in artikel 6.1, c) en e) AVG. Meer bepaald kunnen de lidstaat mee bepalen of enerzijds (i) de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust (art. 6, 1., c) of anderzijds (ii) de verwerking kadert in de invulling van een taak van algemeen belang die de nationale wetgever kan opleggen (art. 6, 1., e).
Specifiek met betrekking tot het verwerken van de gevoelige persoonsgegevens biedt artikel 9, 2., g) AVG interessante mogelijkheden voor de verzekeringssector. Deze bepaling laat de verwerking van gevoelige persoonsgegevens toe indien de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene. Derhalve beschikken de lidstaten over de mogelijkheid om te specifiëren wanneer de verwerking van gevoelige persoonsgegevens noodzakelijk is om redenen van zwaarwegend algemeen belang. Deze bepalingen lijken aldus toe te laten dat nationale organisaties die de belangen van de verzekeringssector vertegenwoordigen nauw samenwerken met de nationale wetgever om de eigenheid en noden van de verzekeringssector over te brengen en te bepleiten dat de nationale wetgever het verwerken van de gevoelige persoonsgegevens in de verzekeringssector opneemt als enerzijds een wettelijke verplichting of anderzijds als een taak van (zwaarwegend) algemeen belang. Hierdoor zou de nationale wetgeving voor verzekeringen een verwerkingsgrond bieden, als alternatief voor de toestemming.
Voor zover kan worden nagegaan, hebben enkele lidstaten van voornoemde optie gebruik gemaakt.
In België werd de AVG in de nationale rechtsorde geïmplementeerd door de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens [34]. Uit de wet blijkt dat de Belgische wetgever de gevallen waarin gevoelige persoonsgegevens verwerkt kunnen worden, eng interpreteert. In artikel 8 van deze wet staan een zeer beperkt aantal verwerkingen die beschouwd worden als noodzakelijke verwerkingen om redenen van zwaarwegend algemeen belang. Bij gebrek aan een bijkomende verwerkingsgrond, zal naar Belgisch recht de verzekeraar dus steeds de toestemming dienen te bekomen alvorens gevoelige persoonsgegevens te kunnen verwerken.
Ook de Franse wetgever heeft de mogelijkheid om bijkomende uitzonderingen ten gunste van de verzekeringssector te voorzien, niet benut. In artikel 8 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés neemt de Franse wetgever de uitzonderingen voorzien in artikel 9 AVG nagenoeg ongewijzigd over. De Franse wetgever voorziet geen bijkomende verwerkingsgrond op basis waarvan een verzekeraar gezondheidsinformatie kan verwerken.
In tegenstelling tot de Belgische en de Franse wetgever, heeft de Ierse wetgever in de Ierse Data Protection Act van 24 mei 2018 rekening gehouden met de voornoemde problemen in de verzekeringssector. De Data Protection Act 2018 voorziet namelijk dat in het kader van verzekeringen en pensioenen het verwerken van gezondheidsinformatie is toegestaan indien de verwerking proportioneel en noodzakelijk is voor één van de volgende doeleinden: (i) een (levens)verzekeringsovereenkomst; (ii) een gezondheidsgerelateerde verzekeringsovereenkomst; (iii) een pensioen of (iv) het vestigen van een hypotheek [35]. Dit kan worden beschouwd als een invulling van de verwerkingsgrond opgenomen in artikel 9, 2., g) AVG. Hoewel de bepaling beperkt is tot het verwerken van gezondheidsinformatie, met uitsluiting van andere bijzondere categorieën van persoonsgegevens, biedt deze regelinginteressante mogelijkheden voor verzekeraars.
Ook in het Verenigd Koninkrijk [36] laat de UK Data Protection Act 2018 de verwerking van alle gevoelige persoonsgegevens toe (waaronder gezondheidsinformatie, gegevens met betrekking tot ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, en genetische en biometrische gegevens) indien het noodzakelijk is voor verzekeringsdoeleinden en noodzakelijk is voor redenen van zwaarwegend algemeen belang [37]. Onder de UK Data Protection Act 2018 wordt het volgende verstaan onder de term “verzekeringsdoeleinden” [38]: (i) het verlenen van advies, regelen, onderschrijven of afsluiten van een verzekeringsovereenkomst; (ii) het beheren van een schadegeval; of (iii) het uitoefenen van een recht of voldoen aan een verplichting in het kader van een verzekeringsovereenkomst. De UK Data Protection Act 2018 voorziet in dat geval bovendien specifieke waarborgen voor bepaalde betrokkenen die enerzijds geen rechten of plichten hebben ten aanzien van de verzekeringsovereenkomst of de verzekerde en anderzijds het verwerkingsproces geen aanleiding geeft tot een beslissing die werkelijk betrekking heeft op die betrokkene.
Verder gaat ook de Nederlandse wetgever er van uit dat in een heel aantal gevallen de verwerking van gegevens over gezondheid door verzekeraars niet gebaseerd kan worden op de uitdrukkelijke toestemming [39]. Om elke twijfel daarover uit te sluiten bevat de Nederlandse uitvoeringswet algemene verordening gegevensbescherming [40] (hierna: uitvoeringswet AVG) een uitzondering voor deze verwerkingen. De Nederlandse wetgever beroept zich op de uitzondering voorzien in artikel 9, 2., h) AVG [41] en bepaalt in artikel 30, 3., b) uitvoeringswet AVG dat verbod om gegevens over gezondheid te verwerken niet van toepassing is indien de verwerking geschiedt door verzekeraars [42] voor zover de verwerking noodzakelijk is voor (i) de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt [43]; of (ii) de uitvoering van de overeenkomst van verzekering dan wel het assisteren bij het beheer en de uitvoering van de verzekering [44].
De nationale wetgever lijkt derhalve over mogelijkheden te beschikken om bij de implementatie van de AVG voldoende rekening te houden met de eigenheden van de verzekeringssector [45], zowel voor het verwerken van de restcategorie als van de gevoelige persoonsgegevens.
| IV. | Het verwerken van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten | |
De tweede bijzondere categorie van persoonsgegevens die belangrijk zijn voor verzekeringen zijn de persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten. Zo zal een rechtsbijstandsverzekeraar minstens over een kopie van de dagvaarding of het strafdossier willen beschikken om te oordelen of de strafbare feiten binnen de dekking van de verzekeringsovereenkomst vallen. Een ander voorbeeld betreft de WAM-verzekeraar die van kandidaat-verzekeringnemer (via een vragenlijst) informatie wenst over recente strafrechtelijke veroordelingen wegens dronkenschap, alcoholintoxictatie of intrekking rijbewijs, ter beoordeling van het risico. De AVG verleent aan de betrokkene een bijkomende bescherming met betrekking tot de verwerking van deze persoonsgegevens. Immers, persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen namelijk alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden (art. 10 AVG). De AVG preciseert echter niet wat verstaan moet worden onder het verwerken van de persoonsgegevens “onder toezicht van de overheid”.
Wat kan beschouwd worden als een overheid? Verzekeraars die actief zijn in België staan onder het gedragstoezicht van de FSMA die het statuut heeft van een autonome openbare instelling. Dat statuut houdt in dat zij is opgericht bij wet en dat zij de opdrachten van algemeen belang die haar door de wetgever zijn toegewezen, onafhankelijk uitvoert [46]. Hoewel de FSMA een autonome openbare instelling is, kan zij bezwaarlijk beschouwd worden als een overheid sensu stricto. De vraag stelt zich bovendien op welke wijze de overheid toezicht moet uitoefenen op het verwerkingsproces.
De AVG voorziet wel de mogelijkheid om in bepaalde gevallen de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten toe te staan bij lidstaatrechtelijke bepalingen. Met andere woorden, de AVG voorziet de mogelijkheid dat lidstaten uitzonderingen op de verplichting tot verwerking onder overheidstoezicht voorzien. Specifiek met betrekking tot de verzekeringssector lijkt het ingrijpen van de nationale wetgever ook hier aangewezen. De wetgever kan voor een aantal specifieke gevallen voorzien waarin een verzekeraar persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten kan verwerken zonder onder overheidstoezicht te staan.
Echter, de Belgische wet betreffende de bescherming van natuurlijke personen tot de verwerking van persoonsgegevens voorziet voor verzekeraars geen bijkomende mogelijkheden om persoonsgegevens betreffende strafrechtelijke veroordelingen of strafbare feiten te verwerken. Artikel 10 van de wet voorziet een aantal mogelijkheden om persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten te verwerken zonder onder overheidstoezicht te staan. De enige verwerkingsgrond waar op verzekeraars zich kunnen beroepen, lijkt de uitdrukkelijke schriftelijke toestemming (art. 10, 5° wet).
Ook de Franse wetgever heeft blijkbaar geen gebruik gemaakt van de mogelijkheid om bijkomende uitzonderingen ten gunste van de verzekeringssector te voorzien voor deze categorie van persoonsgegevens. Artikel 9 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés voorziet wel enkele uitzonderingen op de verplichting tot verwerking onder overheidstoezicht doch deze zijn niet nuttig voor de verzekeringssector.
Daarentegen heeft de Ierse wetgever in de Data Protection Act van 24 mei 2018 de mogelijkheden die de AVG biedt wel ten volle benut. De Ierse Data Protection Act voorziet namelijk een aantal gevallen waarin persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerkt kunnen worden. Wat de verzekeringssector betreft, zijn er twee verwerkingsgronden waarop de verzekeraar zich zou kunnen baseren: (i) de uitdrukkelijke toestemming van de betrokkene [47]; en (ii) het verwerken van de persoonsgegevens is noodzakelijk en proportioneel voor de uitvoering van de overeenkomst waaraan de betrokkene partij is of om op verzoek van de betrokkene een aantal precontractuele stappen te ondernemen [48]. Zoals reeds werd aangehaald, is de uitdrukkelijke toestemming als verwerkingsgrond niet te verkiezen. De verzekeraar zal zich dus voornamelijk willen baseren op de uitvoering van het contract. De verzekeraar kan dus zowel in de uitvoering van het contract als bij de berekening van het risico persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten verwerken. Belangrijk om op te merken is dat enkel de persoonsgegevens met betrekking tot de contractpartij (of aspirant-contractant) op deze basis verwerkt kunnen worden. In de verzekeringscontext kan de vraag gesteld worden wie beschouwd kan worden als contractpartij. Betreft dit enkel de verzekeringnemer, of kunnen de verzekerde, begunstigde, benadeelde of betrokken derde op een gegeven ogenblik ook beschouwd worden als contractpartij? Dit probleem zal zich voornamelijk stellen in de verzekeringen ten behoeve van een derde en collectieve verzekeringen. Een ruime interpretatie van wie beschouwd kan worden als contractpartij verdient de voorkeur. Immers, indien een verzekerde die niet de verzekeringnemer is een verzekeringsprestatie van de verzekeraar vraagt, oefent hij bepaalde rechten uit waarover hij op basis van de verzekeringsovereenkomst beschikt. De dekking die de verzekeraar in dat geval verleent, is in principe, overeenkomstig de algemene en bijzondere voorwaarden van de afgesloten overeenkomst. De verzekeraar dient dus zijn contractuele verplichten ten aanzien van de verzekerde na te komen. In dat geval, kan de rechtsbijstandsverzekeraar van het eerder aangehaald voorbeeld, de dagvaarding of het strafdossier verwerken van de verzekerde die niet de verzekeringnemer is. Eenzelfde interpretatie kan gelden voor de begunstigde in bijvoorbeeld een levensverzekering.
De UK Data Protection Act voorziet specifiek voor de verzekeringssector een verwerkingsgrond voor het verwerken van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. De verzekeraar kan die persoonsgegevens verwerken onder dezelfde voorwaarden als het verwerken van gezondheidsinformatie, met name indien de verwerking noodzakelijk is voor verzekeringsdoeleinden en noodzakelijk is voor redenen van zwaarwegend algemeen belang (cf. supra) [49].
Ook de Nederlandse uitvoeringswet AVG voorziet uitzonderingen op de verplichting tot verwerking onder overheidstoezicht. Met betrekking tot het verwerken van strafrechtelijke veroordelingen en strafbare feiten, zijn er twee verwerkingsgronden waarop de verzekeraar zich zou kunnen baseren: (i) de uitdrukkelijke toestemming van de betrokkene [50]; en (ii) het verwerken van de gegevens ter beoordeling van een verzoek van de betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren [51].
Deze wetgeving geeft aan dat de nationale wetgever met betrekking tot de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten over voldoende mogelijkheden beschikt om bij de implementatie van de AVG rekening te houden met de eigenheden van de verzekeringssector. De AVG laat de lidstaten namelijk vrij om via nationale wetgeving specifieke verwerkingsgronden voor de verzekeringssector in het leven te roepen.
| V. | Geautomatiseerde individuele besluitvorming | |
Zoals eerder aangehaald, zal de verzekeraar aan de hand van een samengesteld risicoprofiel het risico inschatten en de premie berekenen. De verzekeraar verzamelt in de precontractuele fase heel wat persoonsgegevens om een risicoprofiel van de kandidaat-verzekeringnemer op te stellen. Die persoonsgegevens kunnen gevoelige persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten bevatten. Veelal wordt dat profiel opgesteld op basis van een automatisch verwerkingsproces (algoritme). Vervolgens wordt aan elk individueel profiel een bepaalde premie toegekend. Dit proces verloopt veelal geheel geautomatiseerd. Met andere woorden, wanneer de verzekeraar een risicoprofiel opstelt en de kandidaat-verzekeringnemer een premie voorstelt, onderwerpt hij de kandidaat-verzekeringnemer aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit. Op basis van artikel 22, 1. AVG heeft de kandidaat-verzekeringnemer het recht om niet onderworpen te worden aan dergelijk besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.
Op dit algemeen verbod gelden enkel een uitzondering in de volgende gevallen en kan de verzekeraar de kandidaat-verzekeringnemer wel onderwerpen aan dergelijk volledig geautomatiseerd besluit: (i) indien het besluit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst, (ii) indien het is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of (iii) indien het besluit berust op de uitdrukkelijke toestemming van de betrokkene [52].
Op deze drie uitzonderingen geldt bovendien nog een specifieke uitzondering wanneer de verwerking betrekking heeft op de gevoelige gegevens. In dat geval kan de verzekeraar de kandidaat-verzekeringnemer enkel onderwerpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit indien hij ofwel de uitdrukkelijke toestemming heeft verkregen, ofwel indien de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht [53]. Wat de geautomatiseerde individuele besluitvorming betreft, geldt dus hetzelfde principe als hierboven besproken. Zoals hoger toegelicht, stelt de toestemming als verwerkingsgrond problemen. Opnieuw rijst de vraag of de verwerkingsgrond van het zwaarwegens algemeen belang een oplossing kan bieden voor de verzekeringssector.
| VI. | Conclusie | |
Verzekeraars dienen de bijzondere categorieën van persoonsgegevens noodzakelijkerwijs te verwerken indien zij hun (pre)contractuele verplichtingen wensen na te komen. Nochtans wordt de verzekeringssector geconfronteerd met de AVG die de verwerking van dergelijke persoonsgegevens slechts mogelijk maakt in uitzonderlijke gevallen. Ook de geautomatiseerde individuele besluitvorming is enkel mogelijk in uitzonderlijke gevallen. Hoewel een verzekeraar zich principieel zou kunnen beroepen op de uitdrukkelijke toestemming van de betrokkene om de persoonsgegevens te verwerken, kan dit aanleiding geven tot allerhande praktische en juridische discussies. Om die reden verdient het de voorkeur om gebruik te maken van de mogelijkheid die de AVG voorziet om via de nationale wetgeving bijkomende uitzonderingen te voorzien.
De belangrijkste mogelijkheid voor de verzekeringssector ligt in de bepaling van artikel 9, 2., g) AVG, namelijk de verwerkingsgrond van het zwaarwegend algemeen belang. De Ierse, Britse en Nederlandse wetgevers hebben bij de implementatie van de AVG hiervan gebruik gemaakt voor verzekeringen. Er zijn verschillende lidstaten die daarin het voortouw hebben genomen. De Belgische wetgever kan hieraan een voorbeeld nemen.
| [1] | Advocaat aan de balie van Limburg en als assistent verbonden aan het instituut van verzekeringsrecht KULeuven. |
| [2] | Art. 8, 1. van het handvest van de grondrechten van de Europese Unie en art. 16, lid 1 van het verdrag betreffende de werking van de Europese Unie. |
| [3] | Pb. L. 23 november 1995, nr. 281, 31. |
| [4] | Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (Pb. L. 119, 4 mei 2016). |
| [5] | Art. 99, 2. AVG. |
| [6] | Voor meer informatie omtrent de impact van de AVG op de verzekeringssector, zie onder meer J. Amankwah, “Nieuwe technologische ontwikkelingen in verzekeringen” in C. Van Schoubroeck en I. Samoy (eds.), Themis 106 - Aansprakelijkheids- en verzekeringsrecht, Brugge, die Keure, 2018, 77-106; J.-F. Henrotte en F. Coton, “L'impact du R.G.P.D. dans le secteur des assurances: comment s'y conformer?”, For.ass. 2018, afl. 185, 107-111; C.-A. van Oldeneel (ed.), Dossier 2017. Data Protection. De impact van de GDPR in de verzekering, Mechelen, Wolters Kluwer 2017, 316 p.; D. De Bot, “De gevolgen van de Algemene Verordening Gegevensbescherming voor de verzekeringssector. Enkele kritische bedenkingen”, T.Verz.2016, afl. 2, 127-152; KPMG, The GDPR and key challenges faced by the insurance industry, februari 2018, 1-8; PWC, Stand out for the right reasons Getting insurers ready for the GDPR, mei 2016, 1-6. |
| [7] | Voor meer informatie, zie Article 29 Working Party, Opinion 4/2007 on the concept of personal data, 20 juni 2007, nr. 01248/07/EN-WP 136, 12. |
| [8] | Art. 4, 7) AVG definieert het begrip verwerkingsverantwoordelijke als “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijk recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen”. |
| [9] | Art. 5, 1., a) AVG. |
| [10] | Art. 5, 1., b) AVG; Article 29 Working Party, Opinion 03/2013 on purpose limitation, 2 april 2013, nr. 00569/13/EN-WP 203, 15-27. |
| [11] | Article 29 Working Party, Guidelines on consent under regulation 2016/679, 28 november 2017, nr. 17/EN-WP259, 22. |
| [12] | Overw. 45 AVG. |
| [13] | De toestemming moet begrijpelijk zijn en dient duidelijk en precies te verwijzen naar de omvang en de gevolgen van de gegevensverwerking. Voor meer informative, zie Article 29 Working Party, Opinion 15/2011 on the definition of consent, 13 juli 2011, nr. 01197/11/EN-WP187, 17. |
| [14] | De verzekeraar dient erover te waken dat: (i) de informatie verstaanbaar is voor een gemiddelde persoon en (ii) de informatie rechtstreeks aan de betrokkene wordt bezorgd op een duidelijk zichtbare, leesbare en begrijpelijke wijze. Zie ook overw. 42 AVG: “[…] Opdat toestemming met kennis van zaken wordt gegeven, moet de betrokkene ten minste bekend zijn met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens. […]” |
| [15] | De wijze waarop de betrokkene zijn toestemming verleent, dient duidelijk te zijn en niet vatbaar voor enige twijfel of interpretatie. Voor meer informatie, raadpleeg Article 29 Working Party, Opinion 15/2011 on the definition of consent, 13 july 2011, nr. 01197/11/EN-WP187, 21 en 25. |
| [16] | Art. 4, 11) AVG. |
| [17] | Overw. 43 AVG. |
| [18] | Ook Insurance Europe stelt deze vraag. Voor meer informatie zie Insurance Europe, Insurance Europe comments on consent, 1 juni 2017, 3. |
| [19] | Art. 7, .4 AVG; Article 29 Working Party, Guidelines on consent under regulation 2016/679, 28 november 2017, nr. 17/EN-WP259, 9. |
| [20] | Insurance Europe, Insurance Europe's contribution to the Article 29 Working Party consultation on draft guidelines on consent, 23 januari 2018, 2. |
| [21] | De Article 29 Working Party is een werkgroep opgericht in 1999 in uitvoering van art. 29 van de gegevensbeschermingsrichtlijn. Deze werkgroep heeft een adviserende rol en beoogde bij te dragen aan een uniforme interpretatie van de bepalingen van de gegevensbeschermingsrichtlijn. De werkgroep heeft in die zin adviezen en richtlijnen met betrekking tot gegevensbeschermingsrichtlijn en AVG uitgevaardigd. Hoewel deze adviezen niet-bindend zijn, verlenen zij een bijzonder inzicht in de wijze waarop de bepalingen van de AVG geïnterpreteerd kunnen worden. Inmiddels werd de Article 29 Working Party opgevolgd door de European Data Protection Board (“EDPB”). |
| [22] | Article 29 Working Party, Guidelines on consent under regulation 2016/679, 28 november 2017, nr. 17/EN-WP259, 8-10; Article 29 Working Party, Opinion 15/2011 on the definition of consent, 13 juli 2011, nr. 01197/11/EN-WP187, 12. |
| [23] | Article 29 Working Party, Guidelines on consent under regulation 2016/679, 10 april 2018, nr. 17/EN-WP259 rev. 01, 8. |
| [24] | Article 29 Working Party, Guidelines on consent under regulation 2016/679, 10 april 2018, nr. 17/EN-WP259 rev. 01, 9. |
| [25] | Article 29 Working Party, Guidelines on consent under regulation 2016/679, 10 april 2018, nr. 17/EN-WP259 rev. 01, 10-11. |
| [26] | Overw. 42 AVG; Article 29 Working Party, Guidelines on consent under regulation 2016/679, 10 april 2018, nr. 17/EN-WP259 rev. 01, 21. |
| [27] | Art. 7, 4. AVG; Article 29 Working Party, Guidelines on consent under regulation 2016/679, 28 november 2017, nr. 17/EN-WP259, 22. |
| [28] | Article 29 Working Party, Guidelines on consent under regulation 2016/679, 28 november 2017, nr. 17/EN-WP259, 20. |
| [29] | Article 29 Working Party, Guidelines on consent under regulation 2016/679, 28 november 2017, nr. 17/EN-WP259, 20. |
| [30] | Insurance Europe, Insurance Europe's contribution to the Article 29 Working Party consultation on draft guidelines on consent, 23 januari 2018, 5. |
| [31] | Overw. 8 AVG. |
| [32] | Art. 6, 1., c) AVG bepaalt het volgende: “de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust”. |
| [33] | Art. 6, 1., e) AVG bepaalt het volgende: “de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen”. |
| [34] | Zie BS 30 april 2019. |
| [35] | Art. 50 Ierse Data Protection Act 2018. |
| [36] | T. Leonardi, “What the GDPR means for the insurance industry”, 21 juni 2018, www.linkedin.com/pulse/what-gdpr-means-insurance-industry-thomas-leonardi. |
| [37] | Par. 20, Schedule 1 UK Data Protection Act 2018. |
| [38] | Par. 20, (5), Schedule 1 UK Data Protection Act 2018. |
| [39] | MvT, Kamerstukken II 2017-18, 34 851, nr. 3, p. 112-114. |
| [40] | Wet van 16 mei 2018 houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens en tot intrekking van richtlijn nr. 95/46/EG (algemene verordening gegevensbescherming) (Pb. 2016, L. 119) (uitvoeringswet algemene verordening gegevensbescherming, Staatsblad 2018, 144. |
| [41] | Art. 9, 2., h) AVG bepaalt: “de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen”. |
| [42] | Als bedoeld in art. 1:1 van de wet op het financieel toezicht of financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in art. 1:1 van die wet. |
| [43] | Deze bepaling regelt de situatie waarin iemand een aanvraag invult voor het verkrijgen van een bepaalde verzekering en in dat kader gegevens omtrent gezondheid verstrekt. Deze gegevens zijn nodig ter beoordeling van het door de verzekeraar te verzekeren risico. De aspirant-verzekerde dient voorafgaand aan de afsluiting van de overeenkomst de gelegenheid te worden geboden om tegen een zodanige verwerking bezwaar te maken. Voor meer informatie, zie MvT, Kamerstukken II 2017-18, 34 851, nr. 3, p. 113. |
| [44] | Deze bepaling gaat over situaties die zich vervolgens kunnen voordoen bij de uitvoering van de verzekeringsovereenkomst, waarbij verzekeraars gezondheidsgegevens verwerken. Daarvoor regelt deze bepaling dat de verwerking van gegevens over gezondheid geoorloofd is voor zover dat met het oog op dat doel noodzakelijk is. Deze norm zal toepassing kunnen vinden gedurende de periode dat de overeenkomst wordt uitgevoerd. Voor meer informatie, zie MvT, Kamerstukken II 2017-18, 34 851, nr. 3, p. 113. |
| [45] | F. Schram, “Belgische wetgevers en de AVG”, TPP 2018, afl. 2, 15-23. |
| [46] | www.fsma.be/nl/wat-de-fsma. |
| [47] | Art. 55, (1), (b), (i) Ierse Data Protection Act. |
| [48] | Art. 55, (1), (b), (i) Ierse Data Protection Act. |
| [49] | Par. 37, Schedule 1 UK Data Protection Act 2018. |
| [50] | Art. 32, a) uitvoeringswet AVG. |
| [51] | Art. 33, 2., a) uitvoeringswet AVG. |
| [52] | Art. 9, 2. AVG. |
| [53] | Art. 22, 4. AVG verwijst uitdrukkelijk naar art. 9, 2., a) en g) AVG. |
