Codex Privacy awareness

Het naleven van wet- en regelgeving, wordt voor de financiële ondernemingen steeds belangrijker. Het niet naleven van de wet- en regelgeving op het gebied van Privacy leidt tot twee soorten risico's: juridische risico's en integriteitsrisico's. Met deze e-learning willen wij jullie op de hoogte brengen hoe om te gaan met persoonsgegevens van klant en medewerker. Deze e-learning bevat ook een test waarbij we kunnen toetsen of de informatie voldoende is opgenomen. Voorafgaand van deze e-learning is het raadzaam om de codex Privacy te lezen en bij vragen te raadplegen.

In onderstaand filmpje willen we je laten zien waar Privacy awareness over gaat. Indien de link niet werkt, raden we je om de link in de adresbalk te plakken.
 

Link naar intranet voor de Codex Privacyregelingen:

https://univeservices.sharepoint.com/sites/USL/privacybeleid/Documents/Codex%20Privacy%20-%20Univé%20Onderlingen%20v1%200.pdf

 

1.Tell-a-friend. De doelgroepen van deze regeling zijn marketing en medewerkers met klantcontact.

welke van onderstaande voorwaarden zijn juist?

Tell-a-friend. De doelgroepen van deze regeling zijn marketing en medewerkers met klantcontact.

Hierna volgen de 6 voorwaarden waaronder deze tell-a-friend acties uitgevoerd kunnen worden.

  1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (de afzender).
  2. De afzender en ontvanger worden niet beloond voor het verzenden van het bericht. Ook een kans of vooruitzicht op een beloning is niet toegestaan. N.B. Een donatie aan een goed doel is 

    wel toegestaan als 'beloning'.

  3. Voor de ontvanger moet het duidelijk zijn wie de afzender van de e-mail is, zodat hij diegene erop kan aanspreken als hij bijvoorbeeld niet gediend is van dergelijke e-mails. Daartoe moeten een of meerdere velden met identiteitsinformatie (naam, e-mailadres) verplicht ingevuld worden voordat het bericht kan worden verzonden.
  4. De afzender moet het bericht te zien krijgen voordat het namens hem verstuurd wordt, zodat hij de verantwoordelijkheid kan nemen voor de inhoud ervan.
  5. Het e-mailadres van de ontvanger mag alleen gebruikt worden voor het eenmalig verzenden van een bericht namens de afzender en moet vervolgens vernietigd worden. Het adres mag wel korte tijd (bijvoorbeeld een etmaal) bewaard worden om te voorkomen dat dezelfde berichten in korte tijd meermaals verzonden worden.
  6. Het e-mailadres en eventuele andere persoonsgegevens (zoals de naam) die de afzender over zichzelf verstrekt, mogen alleen met uitdrukkelijke toestemming van de afzender gebruikt worden voor andere doeleinden dan het eenmalig verzenden van een bericht aan de ontvanger.

  • De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (de afzender).
  • Voor de ontvanger moet het duidelijk zijn wie de afzender van de e-mail is, zodat hij diegene erop kan aanspreken als hij bijvoorbeeld niet gediend is van dergelijke e-mails.
  • Het e-mailadres van de ontvanger mag alleen gebruikt worden voor het eenmalig verzenden van een bericht namens de afzender en moet vervolgens vernietigd worden. Het adres mag wel korte tijd (bijvoorbeeld een etmaal) bewaard worden om te voorkomen dat dezelfde berichten in korte tijd meermaals verzonden worden.
  • Antwoord a en b zijn juist.
  • antwoord a, b en c zijn juist.

2. Direct Marketing. De hoofddoelgroep van deze regeling is marketing.

Wat is een opt-in regime?

Direct Marketing. De hoofddoelgroep van deze regeling is marketing.


Marketing via e-mail en andere elektronische berichten

Onder e-mailmarketing verstaan we alle direct marketing waarbij gebruik gemaakt wordt van

elektronische berichten, zoals e-mail, sms, mms, voicemail en berichtuitwisseling via webpagina's

(bijvoorbeeld sociale netwerksites).

Voor e-mailmarketing geldt een strikt opt-in regime. Dat houdt in dat de klant vooraf actief zijn

toestemming moet geven. Actief betekent concreet meestal: door het aanvinken van deze optie. En

niet: door een al aangevinkte opties niet uit te zetten.

Er zijn twee uitzonderingen op het opt-in regime:

  •  De eerste uitzondering geldt als we in verband met het leveren van een product of dienst het e-mailadres van een klant hebben verkregen. We mogen dat dan gebruiken om hem vergelijkbare

         producten of diensten van onszelf aan te bieden, waarbij altijd wordt gewezen op het recht van

         verzet. Wat een gelijksoortig ander product is, hangt af van je core-business. Uitgangspunt is dat

         financiële verzekeringsproducten van Regionale Unive gelijksoortig zijn. Diensten als Mijn  Gemak,

         SlimRijden en loyaliteitsprogramma’s als Zoë’s groeiwereld vallen niet onder de noemer

         gelijksoortige producten. Makelaarsdiensten liggen ook te ver af van de verzekeraarstaken om te

         kunnen spreken van gelijksoortige producten.

  •  De tweede uitzondering geldt voor e-mailmarketing gericht aan zakelijke klanten. E-mailmarketing

         aan zakelijke klanten kan op basis van opt-out, mits het betreffende e-mailadres door het bedrijf of

         de medewerker in kwestie daarvoor is opengesteld. Het bedrijf geeft dit te kennen bijvoorbeeld

         door vermelding van het e-mailadres op de website van het bedrijf, met daarbij de aantekening dat

         er direct marketing aan gericht kan worden. Ook het afgeven van een visitekaartje met daarop een

         e-mailadres wordt beschouwd als het openstellen van het betreffende adres voor direct marketing,

         mits die in verhouding staat tot de context waarin het visitekaartje is afgegeven.


Bij e-mailmarketing hanteren we, naast wat er in het algemene deel van de regeling genoemd staat,

de volgende regels:

1. de e-mails moeten herkenbaar zijn als afkomstig van een Regionale Unive door de vormgeving van het

bericht en de tenaamstelling van het mailadres;

2. we letten erop dat we bij het versturen van de e-mails geen verstoringen of overlast veroorzaken.

  • Er wordt geen toestemming vooraf aan de klant gevraagd.
  • Er wordt vooraf aan de klant toestemming gevraagd.

3. Klant- en marktonderzoeken. De doelgroepen van deze regeling zijn marktonderzoekers en (database) marketeers.

Hoe lang mogen onderzoeksuitkomsten worden bewaard?

Klant- en marktonderzoeken

Klant- en marktonderzoeken zijn onderzoeken gericht op het doen van algemene uitspraken. Dat wil

zeggen: uitspraken die niet tot specifieke personen zijn te herleiden. Klantonderzoeken richten zich op

de ervaringen en wensen van bestaande klanten. Marktonderzoeken richten zich op de wensen van

mogelijke klanten. Wanneer de onderzoeksresultaten vast staan worden gegevens binnen vier weken vernietigd of anoniem gemaakt.


Hoe wordt een onderzoek uitgevoerd?

In deze regeling wordt uitgegaan van het onderstaande proces voor het uitvoeren van klant- en

marktonderzoeken.

  •  De basis voor het onderzoek vormt een verzameling persoonsprofielen. Deze kunnen bijvoorbeeld

          klantprofielen uit de klantenadministratie zijn of een van een externe bron afkomstig bestand met

         NAW-gegevens.

  •  Uit deze verzameling wordt een selectie gemaakt van profielen van personen die behoren tot de 

         doelgroep van het onderzoek. Dit levert een onderzoeksbestand op. Dat bevat in ieder geval

         contactinformatie van de betreffende personen en kan, indien dat voor het onderzoek noodzakelijk

          is, aanvullende informatie over die personen bevatten.

  •  De personen die voorkomen in het onderzoeksbestand worden benaderd voor deelname aan het

          onderzoek. Indien zij daarin toestemmen, worden zij respondenten.

  •  De onderzoeksresultaten bestaan primair uit de door de respondenten verschafte informatie,

          eventueel verrijkt met aanvullende reeds bekende gegevens over de betreffende personen.

  •  Op de onderzoeksresultaten wordt een bewerkingsslag uitgevoerd die leidt tot de

          onderzoeksuitkomsten: uitspraken op niet-individueel identificeerbaar niveau.

  • maximaal één jaar
  • maximaal vier weken
  • drie maanden

4. Klantauthenticatie. De hoofddoelgroep van deze regeling zijn medewerkers met direct klantcontact.

Wat is het verschil tussen authenticeren en identificeren van een klant?

Klantauthenticatie. De hoofddoelgroep van deze regeling zijn medewerkers met direct klantcontact.

Het is belangrijk om onderscheid te maken tussen het identificeren en het authenticeren van klanten.

Met identificeren bedoelen we dat je bijvoorbeeld voldoende gegevens van de klant opvraagt om die

te kunnen vinden in het CRM-systeem. Die gegevens kunnen bijvoorbeeld naam en adres zijn, of het

klantnummer. Met het identificeren weet je alleen wie iemand zegt te zijn. Door ook nog te

authenticeren krijg je voldoende zekerheid dat je ook werkelijk met die persoon te maken hebt.

De doelstellingen van deze regeling zijn:

  • inzicht geven in welke informatie wel en niet verstrekt mag worden bij klantvragen, afhankelijk van de mate van zekerheid over de identiteit van de klant;
  • praktische handvatten bieden voor de vragen die gesteld kunnen worden met het oog op klantauthenticatie;
  •  voorkomen dat persoonsgegevens met onbevoegden worden gedeeld.

  • Bij identificeren checken wij via legitimatiegegevens wie de klant is. Bij authenticeren checken wij de klantgegevens in ons CRM systeem.
  • Met identificeren bedoelen we dat je bijvoorbeeld voldoende gegevens van de klant opvraagt om die te kunnen vinden in het CRM-systeem. Die gegevens kunnen bijvoorbeeld naam en adres zijn, of het klantnummer.
  • Authenticeren, dat wil zeggen: wanneer we voldoende zeker weten met wie we te maken hebben.
  • B en C zijn juist

Wat doe je als een klant een vraag stelt over zijn polis via een ons onbekend e-mailadres?

Klantauthenticatie. De hoofddoelgroep van deze regeling zijn medewerkers met direct klantcontact.

Er moet voldoende zekerheid verkregen worden over de identiteit van de klant. Deze zekerheid wordt

verkregen door combinatie van de onderstaande twee methoden:

  • de communicatie verloopt over een kanaal dat met een bepaalde mate van zekerheid alleen door de klant gebruikt kan worden (bijvoorbeeld een e-mailadres dat de klant gebruikt);
  • de klant verstrekt een aantal gegevens waarover hij met een bepaalde mate van zekerheid alleen zelf de beschikking heeft;
  • de verbondenheid van het kanaal met de klant is de belangrijkste bron van zekerheid. Het door de klant verstrekken van niet zonder meer voor anderen toegankelijke gegevens is bij voorkeuraanvullend daarop;
  • de mate van zekerheid over de identiteit van de klant bepaalt in samenhang met de aard en gevoeligheid van de gegevens of deze wel of niet verstrekt mogen worden. (zie codex privacy voor )

  • Ik vraag per mail of ik het e-mailadres kan wijzigen in ons CRM systeem.
  • Ik vraag per mail of de klant via de e-mail andere gegevens zoals NAW gegevens wil geven zodat ik de klant kan identificeren.
  • Per email geef ik aan dat we de vraag van de klant alleen kunnen beatwoorden via het bij ons bekende e-mail adres. En Ik bel de klant om te controleren of de klant een e-mail heeft gestuurd.

5. Verstrekking klantgegevens aan naasten. De doelgroepen van de regeling zijn afdelingshoofden en alle medewerkers met klantcontacten.

Naastenverstrekking is het verstrekken van persoonsgegevens over een klant aan personen die daar voor of namens de klant om verzoeken. Wie kunnen dat zijn?

Verstrekking klantgegevens aan naasten. De doelgroepen van de regeling zijn afdelingshoofden en alle medewerkers met klantcontacten.


Wanneer geldt deze regeling?

Deze regeling beschrijft hoe Regionale Unive omgaan met een verzoek om informatieverstrekking door

“naasten” die de klant (zeggen te) vertegenwoordigen. Denk aan: gezinsleden, verzorgers, één van de

buren, advocaten, bewindvoerders of curatoren die aangeven ons te benaderen namens de klant. Ook

de situatie dat een verzekeringnemer vraagt om polisgegevens die (ook) de andere verzekerden

betreft, rekenen we tot informatieverstrekking aan naasten. 14


Wanneer geldt deze regeling niet?

  •  Deze regeling gaat niet over verstrekking van klantinformatie aan andere partijen, zoals

         bijvoorbeeld de belastingdienst, fraudecoördinatoren, opsporingsdiensten of de politie. Zie

         hiervoor de privacyregeling Informatieverstrekking aan derden.



Hoofdregel

Verzoekers kunnen gegevens opvragen indien Regionale Unive een document heeft ontvangen

(eventueel gescand via e-mail) waaruit blijkt:

  •  dat de klant de verzoeker daartoe schriftelijk gemachtigd heeft, of
  •  dat de verzoeker officieel bevoegd is om namens de klant te handelen.






  • Van personen die officieel bevoegd zijn om namens de klant te handelen zijn de bewindvoerder, de curator, de mentor en de voogd. En indien de klant de verzoeker daartoe schriftelijk gemachtigd heeft.
  • De kinderen van de klant, broer of zus van de klant, bewindvoerders of curatoren.

6. Informatieverstrekking aan derden. De doelgroepen van deze regeling is iedereen binnen de organisatie.

Welke twee eisen zijn van toepassing op het verstrekken van informatie aan derden?


Wanneer geldt deze regeling?


Deze regeling beschrijft hoe Regionale Unive moet omgaan met een verzoek om

informatieverstrekking door “derden’’. Met derden bedoelen we:

  •  een overheidsorganisatie (bijvoorbeeld toezichthouders, belastingdienst, opsporingsdienst of de politie);
  •  een bedrijf (bijvoorbeeld accountantskantoor, garagebedrijf, arbodienst); 
  •  privépersoon (bijvoorbeeld een journalist);
  •  de koper van een assurantieportefeuille;
  • een andere Regionale Unive dan Stad en Land
  •  een juridische entiteit van een Regionale Unive dan Stad en Land

Let op! Informatie aan derden is iets anders dan informatie aan naasten. Zie daarvoor vorig hoofdstuk.



Hoofdregel: de vijf eisen


Persoonsgegevens worden alleen verstrekt aan een derde als voldaan is aan de volgende vijf eisen:

1. Er is voldoende zekerheid dat de verzoeker is wie hij zegt te zijn en welke organisatie hij vertegenwoordigt      (authenticatie).

2. De verzoeker moet zijn verzoek voldoende motiveren en onderbouwen. Dit betekent het volgende voor overheidsorganen, bedrijven en privépersonen:

  • Overheidsorgaan De compliance officer beoordeelt of dit verzoek voldoet aan alle wettelijke eisen. Neem contact op met je compliance officer.
  • Bedrijf De verzoeker heeft een gerechtvaardigd belang bij het verwerken van de gegevens dat zwaarder weegt dan het belang van degene(n) over wie gegevens verstrekt worden.
  • Privépersoon Er worden geen persoonsgegevens verstrekt aan privépersonen.

3. Er worden niet meer gegevens verstrekt dan nodig is. Verstrek nooit zomaar een heel dossier.

4. Voor bijzondere gegevens (bijvoorbeeld medische of strafrechtelijke) gelden strengere eisen. Zie hiervoor de privacyregeling Bijzondere gegevens.

5. De verstrekking is verenigbaar met het doel waarvoor Regionale Unive de gegevens verkregen heeft. (Deze randvoorwaarde geldt niet als er sprake is van een wettelijke verplichting tot verstrekken.) Voor het beoordelen van verenigbaarheid is het van belang om volgende vragen te stellen:

  • Waarom hebben we de gegevens gekregen? Waarvoor heeft de derde ze nodig? 

bijvoorbeeld: verstrek personeelsgegevens niet voor direct marketing activiteiten.

  • Wat zijn de gevolgen als ik deze gegevens verstrek voor de betrokkene? Denk

bijvoorbeeld: aan het verstrekken van financiële gegevens.

  • Zijn er extra maatregelen genomen om de zorgvuldigheid richting de betrokkene te

waarborgen? Bijvoorbeeld een gevraagde toestemming of het raadplegen van de

ondernemingsraad.


  • 1. Er is voldoende zekerheid dat de verzoeker is wie hij zegt te zijn en welke organisatie hij vertegenwoordigt. 2. Er worden niet meer gegevens verstrekt dan nodig is.
  • 1. Aan een overheidsorgaan moeten wij altijd informatie verstrekken. 2. De verzoeker moet zijn verzoek voldoende motiveren en onderbouwen.

7. Burger Service Nummer. Doelgroep van deze regeling is iedereen die klantcontact heeft, P&O en relatiebeheerders van derden aanbieders.

In welke rollen bij Regionale Unive mag je een BSN verwerken?

5. Burger Service Nummer. Doelgroep van deze regeling is iedereen die klantcontact heeft, P&O en                       relatiebeheerders van derden aanbieders.


Wanner mag je BSN wel gebruiken en wanneer mag je BSN niet gebruiken?

Verzekeraar of bemiddelaar in schadeverzekeringen

Voor schadeverzekeringen mag het BSN niet verwerkt worden. In het aanvraagformulier mag dus

ook niet naar het BSN gevraagd worden.

Bemiddelaar in zorg- en inkomensverzekeringen

  • Bij zorgverzekering en AOV moeten verzekeraars het BSN verwerken. Indien het BSN verstrekt 

    wordt via de bemiddelaar, dan treedt deze daarvoor op als bewerker namens de verzekeraar. Dit moet vastgelegd worden. Dat kan in een bewerkersovereenkomst, maar mag ook op een andere manier. In ieder geval moet duidelijk zijn wat de bemiddelaar namens de verzekeraar mag en moet doen met het BSN (inclusief informatiebeveiliging).

Bemiddelaar in levensverzekeringen

  • Bij levensverzekeringen moeten verzekeraars het BSN verwerken. Indien het BSN verstrekt wordt

    via de bemiddelaar, dan treedt deze daarvoor op als bewerker namens de verzekeraar. Dit kan

    vastgelegd worden in een bewerkersovereenkomst.

  • Op grond van art. 3 Wwft hebben Onderlingen in de rol van bemiddelaar in levensverzekeringen

    de plicht om te vragen om een identiteitsbewijs indien de jaarpremie ten minste € 1000,- bedraagt 

    en de koopsom ten minste € 2500,-. Om aan te kunnen tonen dat aan deze verplichting voldaan is, mag een kopie van het identiteitsbewijs (met daarop het BSN) in de administratie worden opgeslagen.

Bemiddelaar in hypotheken

  • Bij hypotheken moet kredietverstrekker/hypotheeknemer het BSN verwerken. Indien het BSN 

            verstrekt wordt via de bemiddelaar, dan treedt deze daarvoor op als bewerker namens de         verzekeraar. Dit kan vastgelegd worden in een bewerkersovereenkomst.

Gevolmachtigd agent

  • In hun rol als gevolmachtigde agenten mogen Onderlingen het BSN gebruiken indien zij daartoe 

            wettelijk verplicht zijn, bijvoorbeeld bij de zorgverzekering (art. 86 Zorgverzekeringswet) of de AOV (ten behoeve van renseignering aan de Belastingdienst, art. 22 Uitvoeringsbesluit Inkomstenbelasting 2001).

Kortom:

Het BSN mag alleen worden gebruikt als dat op grond van de wet verplicht is en dus niet voor eigen

gemak. De Regionale Unive mogen in de rol van verzekeraar geen burgerservicenummers verwerken. In

de voorfase van een verzekering (eerste contact, offerte) is het niet toegestaan om het BSN te vragen.

Voor schadeverzekeringen mag het BSN niet verwerkt worden. Dat geldt uiteraard voor zowel de

Regionale Unive in de rol van verzekeraar als die van bemiddelaar. In het aanvraagformulier mag dus

ook niet naar het BSN gevraagd worden.

  • Bemiddelaar in zorg- en inkomensverzekeringen, bemiddelaar in levensverzekeringen, bemiddelaar in hypotheken.
  • Alleen als bemiddelaar in hypotheken.
  • Alleen als bemiddelaar in zorg- en levensverzekeringen.
  • Geen van bovenstaande drie zijn juist.

8. Bijzondere gegevens. Doelgroep van deze regeling is iedereen die betrokken is bij het verwerken bij deze persoonsgegevens.

In welke gevallen mag je wel bijzondere gegevens verwerken?

Bijzondere gegevens. Doelgroep van deze regeling is iedereen die betrokken is bij het verwerken bij deze persoonsgegevens.

Uitzonderingen

1. Generieke uitzonderingen (alle categorieën persoonlijke gegevens)

Bijzondere gegevens mogen worden verwerkt in de volgende gevallen:

  • de klant heeft daarvoor toestemming gegeven;
  • er bestaat een wettelijke verplichting tot het verwerken van de gegevens;
  • de klant heeft de gegevens duidelijk openbaar gemaakt;
  • de verwerking van de gegevens is noodzakelijk in verband met (de voorbereiding op) een gerechtelijke procedure of rechtszaak.


2. Specifieke uitzonderingen (per categorie bijzondere gegevens)

Gezondheidsgegevens

Regionale Unive's mogen gezondheidsgegevens enkel verwerken in de rol van bemiddelaar17, en wel voor

zover dit noodzakelijk is:

  • voor het beoordelen van het te verzekeren risico door de verzekeraar en de betrokkene geen bezwaar heeft gemaakt;
  • voor het uitvoeren van de verzekeringsovereenkomst;
  • voor medewerkers die gezondheidsgegevens verwerken moet een geheimhoudingsverplichting  gelden, in de arbeidsovereenkomst of anderszins.


Strafrechtelijke gegevens

Regionale Unive's mogen strafrechtelijke gegevens verwerken in de rol van verzekeraar, bemiddelaar en

gevolmachtigde18 voor zover dat noodzakelijk is:

  •  voor de beoordeling van een klant;
  •  in verband met de acceptatie van een klant (bijvoorbeeld de moraliteitsvragen);
  •  voor het uitvoeren van een overeenkomst met de klant;
  •  ter bescherming van Regionale Unive en haar personeelsleden;
  •  in het kader van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).


 Andere bijzondere gegevens

In sommige gevallen geldt een uitzondering voor het verwerken van andere bijzondere gegevens voor een Regionale Unive.

  • In aanvulling op het verwerken van strafrechtelijke gegevens mogen indien nodig ook andere bijzondere gegevens verwerkt worden.
  • Foto's en camerabeelden zijn aan te merken als bijzondere gegevens, aangezien iemands ras eruit kan blijken. Ze mogen verwerkt worden als dat echt nodig is om de persoon in kwestie te identificeren, bijvoorbeeld bij cameratoezicht en op toegangspasjes.

  • Alleen bij generieke uitzonderingen.
  • Alleen bij specifieke uitzonderingen.
  • Bij zowel generieke als specifieke uitzonderingen.

9. Klantselectie en profilering. Doelgroep van deze regeling is iedereen die klantselectie uitvoert.

Is onderstaande profilering toegestaan?

7. Klantselectie en profilering. Doelgroep van deze regeling is iedereen die klantselectie uitvoert.

Klantselectie is het op basis van bepaalde criteria insluiten, uitsluiten of verschillend behandelen van

bepaalde klanten. Voorbeelden van zulke criteria zijn: kindertal, inkomen, postcode of woonwijk.

Profilering is een vorm van klantselectie. Op basis van een aantal gegevens wordt (geautomatiseerd)

een beeld gevormd van een aspect van de persoonlijkheid van een persoon. Voorbeelden van zulke

persoonlijkheidsaspecten zijn beroepsprestatie, kredietwaardigheid, betrouwbaarheid of gedrag.

Het essentiële verschil tussen klantselectie in algemene zin en profilering is dat er bij klantselectie een

objectief onderscheid gemaakt wordt, terwijl de klant bij profilering een (mogelijk onjuist) etiket

opgeplakt krijgt.

Klantselectie en profilering zijn toegestaan als dat behoorlijk en zorgvuldig gebeurt (en wordt voldaan

aan de algemene eisen uit de Wet bescherming persoonsgegevens). Uitgangspunten hiervoor zijn:

 de klantselectie:

  • Is nodig voor het uitbrengen van een offerte of voor het uitvoeren van de (verzekerings- of andere) overeenkomst.
  •  Gebeurt met toestemming van de klant of, 
  •  Is voor de Regionale Unive van zodanig belang dat het privacybelang van de klant daarvoor moet wijken.
  • De geselecteerde gegevens, de profielen en de gebruikte methode moeten van goede kwaliteit zijn (actueel, correct en herleidbaar naar de bron).
  • Bijzondere gegevens worden slechts gebruikt bij klantselectie en profilering in de gevallen die staan beschreven in de privacyregeling Bijzondere gegevens.
  • Besluiten die voor klanten belangrijke gevolgen hebben worden niet enkel op basis van profilering genomen (bijvoorbeeld het afwijzen van een klant op basis van zijn postcode).

Mensen wonend in specifieke postcodegebieden worden

niet (of onder aanvullende voorwaarden) als nieuwe klant geaccepteerd. De aanvullende

voorwaarden zijn direct gekoppeld aan het betreffende postcodegebied.

Bij het benaderen van klanten met het doel om ze te verleiden een nieuw product af te

nemen wordt het klantenbestand gesegmenteerd in goede en slechte risico's, gebaseerd

op claim- en betalingsgedrag. de klanten die als een goed risico worden beschouwd

krijgen een gunstiger aanbod dan de klanten die als een slecht risico worden beschouwd. Is dit toegestaan?

  • Nee, want de klant deze klanten mogen niet op basis van postcode criteria worden afgewezen.
  • Ja, want gezien de hogere risico die Onderlinge loopt kunnen wij als verzekeraar bepalen wie we niet willen verzekeren.

10. Bewaartermijnen. Doelgroep van de regeling zijn managers, informatieanalisten en systeem ontwikkelaars.

Welke bewaartermijnen worden bij Regionale Unive gehanteerd?


Wat zijn bewaartermijnen?

De bewaartermijn is de termijn (minimaal of maximaal) gedurende welke bepaalde informatie bewaard

moet worden.

Onderlingen bewaren gegevens om zich te kunnen verantwoorden voor hun handelen en/of omdat

deze gegevens kennis en ervaring bevatten die op bepaalde wijze duurzaam toegankelijk moet blijven

voor henzelf en voor derden. Met regelmaat komt de vraag terug hoe lang bepaalde informatie

bewaard moet worden. Naast het bedrijfsbelang zijn diverse wettelijke verplichtingen bepalend voor

het antwoord op zulke vragen. Sommige wetten geven minimum bewaartermijnen (bijvoorbeeld de

belastingwetgeving), andere maximum bewaartermijnen (bijvoorbeeld de privacywetgeving).


BEWAARTERMIJNEN

  • Zeven jaar (administratie)
  • Twintig jaar (algemene verjaringstermijn)
  • Voor altijd

        Wanneer de termijn bewaren voor “altijd” geldt, is er sprake van stukken die voor het bedrijf én voor                   derden (medewerkers uit dienst, onderzoekers) op lange termijn waardevol kunnen zijn.

  • Tot twee jaar na vertrek (personeelsdossiers)

  • Drie en zeven jaar.
  • Zeven jaar en twintig jaar.
  • Zeven jaar, twintig jaar, voor altijd en tot twee jaar na vertrek.

Een sollicitant heeft gereageerd op een openstaande vacature van Univé Stad en Land, wat gebeurt er met deze sollicitatiebrief als hij wordt afgewezen?

Sollicitaties

Tijdens sollicitaties verzamelen werkgevers veel persoonsgegevens van sollicitanten. In de eerste plaats via hun sollicitatiebrieven en cv’s. Tijdens een sollicitatiegesprek kunnen aanwezige personen aantekeningen maken van de antwoorden die een sollicitant geeft, het verloop van het gesprek en de indruk die zij van diegene krijgen. Tot slot kunnen een screening, assessment, psychologisch onderzoek of medische keuring (aanstellingskeuring) deel uitmaken van de sollicitatieprocedure.

Bewaartermijn sollicitatiegegevens

Heeft een sollicitant de functie niet gekregen? Dan is het gebruikelijk dat de organisatie zijn gegevens uiterlijk 4 weken na het einde van de sollicitatieprocedure verwijdert.

Sollicitanten kunnen toestemming geven om hun gegevens langer te bewaren. Bijvoorbeeld omdat er op een later tijdstip mogelijk een passende functie komt. Een termijn van maximaal 1 jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk.

  • De sollicitatie wordt opgeslagen in de mailbox in de map afgewezen sollicitanten.
  • De sollicitatie wordt verwijdert uit de mail.
  • De sollicitatie wordt binnen 4 weken verwijdert uit alle digitale systemen en uitgeprinte versies worden versnippert, tenzij de sollicitant toestemming heeft gegeven om de sollicitatie een jaar te bewaren.

11. Melden verwerkingen persoonsgegevens. De doelgroep zijn verantwoordelijke managers/directie en uitvoerders.

Wat is het melden van verwerkingen?

Melden van verwerkingen van persoonsgegevens

Op grond van de Wet bescherming persoonsgegevens (Wbp) zijn bedrijven verplicht melding te doen

van de verwerking van persoonsgegevens aan het College Bescherming Persoonsgegevens (CBP).

De verplichting tot melden geldt voor alle Regionale Unive's. Niet melden betekent het risico op een boete

van het CBP of imagoschade als toezichthouders, klanten of consumentenorganisaties nagaan of

Univé voldoet aan wet- en regelgeving. Niet melden is bovendien een overtreding en als het bewust

gebeurt zelfs een misdrijf.


Doelstelling

Behalve om te voldoen aan de wettelijke verplichting, is melden ook van belang om de onderstaande

redenen:

  • Het geeft onze klanten en medewerkers de mogelijkheid om zich te informeren over de persoonsgegevens van hen die we verwerken, en om desgewenst hun rechten uit te oefenen op onder meer inzage en verwijdering.
  • Het geeft samenwerkingspartners, toezichthouders en andere belanghebbenden een duidelijk beeld van hoe we omgaan met de persoonsgegevens van onze klanten en medewerkers.
  • Om te kunnen melden is een goed inzicht vereist in de betreffende verwerking en de eisen die daaraan gesteld worden. Op die manier helpt het proces ook bij de behoorlijke en zorgvuldige omgang met persoonsgegevens in het algemeen.
  • Het interne toezicht door compliance officers op het naleven van de privacywetgeving wordt erdoor vergemakkelijkt


  • Op grond van de Wet bescherming persoonsgegevens (Wbp) zijn bedrijven verplicht melding te doen van de verwerking van persoonsgegevens aan het College Bescherming Persoonsgegevens (CBP).
  • Op grond van de Wet bescherming persoonsgegevens (Wbp) hoeven bedrijven alleen maar vast te leggen dat ze persoonsgegevens vastleggen in hun systemen

12. Samenwerking. Doelgroep zijn managers en medewerkers die samenwerkingen aangaan waarbij persoonsgegevens verwerkt worden.

Wat is er nodig om persoonsgegevens te verstrekken en verkrijgen in geval van samenwerking met andere onderdelen van Univé en of derden?

9. Samenwerking. Doelgroep zijn managers en medewerkers die samenwerkingen aangaan waarbij                persoonsgegevens verwerkt worden

Samenwerking

Het is toegestaan om persoonsgegevens uit te wisselen met de partij van samenwerking, waarbij

moet worden voldaan aan alle vereisten uit de Wbp:

  • er moet een rechtmatige grondslag zijn voor de verwerking van persoonsgegevens en het doel van de verwerking moet verenigbaar zijn met het doel waarvoor de gegevens zijn verzameld;
  • aan andere partijen worden alleen die gegevens verstrekt die nodig zijn met het oog op de samenwerking;
  • de gegevens worden alleen verstrekt indien het privacybelang van de betrokken klanten of medewerkers niet zwaarder weegt dan het belang van het met de samenwerking beoogde doel.

Er worden afspraken gemaakt over het gebruik van door of aan de Regionale Univé verstrekte gegevens.

Deze afspraken worden schriftelijk of elektronisch vastgelegd.

Bewerken

Alle soorten persoonsgegevens (dus ook bijzondere gegevens) die de bewerker (zie begrippenlijst codex privacyregelingen) nodig heeft om de werkzaamheden uit te voeren waarvoor hij gecontracteerd is, mogen verstrekt worden.

Wanneer de derde als bewerker is aan te wijzen, gelden volgende eisen:

  • met bewerkers wordt een bewerkersovereenkomst afgesloten, waarin wordt vastgelegd wat de bewerker met welke gegevens van de Regionale Univé doet, en hoe hij deze gegevens beveiligt;
  • er is een voorbeeld bewerkersovereenkomst beschikbaar;
  • als de omstandigheden daartoe noodzaken, kunnen de eisen aan de bewerker ook op een andere

(schriftelijke en bindende) manier geregeld worden, bijvoorbeeld met een bewerkersclausule in of

in aanvulling op de algemene voorwaarden van de bewerker of in de inkoopvoorwaarden van Univé.

  • Een bewerkersovereenkomst waarin wordt vastgelegd wat de bewerker met welke gegevens van de Regionale Univé doet, en hoe hij deze gegevens beveiligt
  • Gezien het allemaal onder Univé valt is er geen bewerkersovereenkomst nodig

13. Inzage, verbetering, verwijdering, afscherming of aanvulling. De doelgroepen van de regeling zijn  de medewerker die het verzoek krijgt, compliance officers en juristen.

Wat houdt Inzage in?


Wat is het recht op inzage, verbetering, verwijdering, afscherming of aanvulling? 

Het recht van inzage, verbetering, verwijdering, afscherming of aanvulling van persoonsgegevens is het recht van de betrokkene (meestal de klant, maar ook de medewerker) over wie persoonsgegevensverwerkt worden.


Met inzage, verbetering, verwijdering, afscherming en aanvulling wordt het volgende bedoeld.

Inzage is het verkrijgen van een volledig overzicht van de gegevens met inlichtingen over doel, aard, herkomst en ontvangers van de gegevens.

Verbetering is het verbeteren van onjuiste gegevens.

Verwijdering is het verwijderen van niet ter zake doende of anderszins onrechtmatig verwerkte gegevens.

Afscherming is het beperken van toegang tot (een deel van) de gegevens indien de bredere verwerking ervan onrechtmatig zou zijn. Bijvoorbeeld: een geheim adres.

Aanvulling is het aanvullen van de gegevens met eigen informatie of zienswijze van de betrokkene.


Hoofdregels

Wat geldt er bij inzage?

  •  Stel vast dat de verzoeker de betrokkene is. Zie de privacyregeling Klantauthenticatie.
  •  Stel vast wat de verzoeker precies wil hebben en (als hij dat wil vertellen) waarom hij het wil hebben.
  •  Binnen vier weken wordt een volledig (of het gevraagde) overzicht van de persoonsgegevens die verwerkt worden verstrekt (schriftelijk of per e-mail). Het kan gaan om zowel gegevens uit de computersystemen als om fysieke dossiers.  (Communicatie over) inzageverzoeken worden vastgelegd in het klantdossier.

Wat geldt bij verbetering, verwijdering, afscherming of aanvulling?

  •  Stel vast dat de verzoeker de betrokkene is. Zie de privacyregeling Klantauthenticatie.
  •  Stel vast wat gewijzigd moet worden en waarom.
  •  De dossierverantwoordelijke besluit of de wijziging doorgevoerd kan worden.  De verzoeker krijgt binnen vier weken reactie of en in hoeverre zijn verzoek ingewilligd wordt.  (Communicatie over) verzoeken tot verbetering, verwijdering, afscherming of aanvulling worden vastgelegd in het klantdossier.
  •  Als er gegevens verbeterd, verwijderd, afgeschermd of aangevuld worden die aan derden zijn verstrekt, dan moet die derde ook zo spoedig mogelijk van de wijzigingen op de hoogte worden gesteld.

Voor uitzonderingen verwijzen we je naar de Codex privacyregelingen

  • Inzage is het verkrijgen van een volledig overzicht van de gegevens met inlichtingen over doel, aard, herkomst en ontvangers van de gegevens.
  • Inzage houdt in dat de klant zijn totale dossier mag inzien

14. Opnemen telefoongesprekken. Doelgroep is iedereen die gesprekken opneemt of meeluistert.

In welke gevallen mogen we telefoongesprekken opnemen?

10. Opnemen telefoongesprekken. Doelgroep is iedereen die gesprekken opneemt of meeluistert.


Wanneer mogen we klantgesprekken opnemen?

Opleiding medewerkers

Voor de begeleiding of beoordeling van individuele medewerkers en voor algemeen gebruik in interne

opleidingen of trainingen mogen voor een beperkte periode gesprekken worden opgenomen.

Werknemers moeten vooraf weten (bijvoorbeeld door een geluidssignaal) dat een specifiek gesprek

wordt opgenomen. In het algemeen vertellen dat er opnames kunnen worden gemaakt, al dan niet in

een bepaalde periode, is niet voldoende. Ook de OR (ondernemingsraad) dient toestemming te geven

voor het opnemen van telefoongesprekken van werknemers. Als er geen OR is, zullen de werknemers

in ieder geval moeten worden geïnformeerd over de gevallen waarin, en de doeleinden waarvoor de

gesprekken worden opgenomen.

De klant wordt gemeld dat zijn telefoongesprek kan worden opgenomen voor opleidingsdoeleinden.

Bijvoorbeeld door middel van een voorloopscript of mondeling in het gesprek. Een klant mag

aangeven dat hij bezwaar heeft tegen het gebruik van het telefoongesprek voor opleidingsdoeleinden.

In dat geval zal het gesprek niet bewaard worden.

Codex Privacyregelingen Univé Onderlingen v1.0 juli 2011 82

Bovenstaande regels gelden voor individuele medewerkers. Voor algemene opleidingsdoeleinden

mogen gespreksopnames slechts gebruikt worden met toestemming van beide gesprekspartners.

Gespreksopnames worden verwijderd zodra dit mogelijk is. Bij het opnemen voor individuele

medewerkers worden gespreksopnames binnen drie weken verwijderd, en uiterlijk een week nadat ze

zijn beluisterd door de supervisor en zijn besproken met de medewerker.

Een alternatief voor het opnemen van telefoongesprekken is het meeluisteren van gesprekken.

Aan de medewerkers moet verteld worden dat er meegeluisterd gaat worden. Dit kan zowel per

individueel gesprek, als op generieke basis (bijvoorbeeld: “deze ochtend wordt er meegeluisterd”).

Zie verder ook de privacyregeling Omgang persoonsgegevens medewerkers


Vastleggen afspraken klanten

Van gedeelten van gesprekken waarin afspraken worden gemaakt kunnen incidenteel, indien daartoe

aanleiding bestaat, opnames gemaakt worden (bijvoorbeeld via een voicelog). Dit wordt altijd

voorafgaand aan de opname aan de klant gemeld.


Fraudebestrijding

Het opnemen van telefoongesprekken ter bestrijding van fraude dient in afstemming met de afdeling

Veiligheidszaken plaats te vinden. Op het moment van opstellen van deze regeling wordt de gang van

zaken rond Veiligheidszaken binnen Univé herzien. Zodra de uitkomsten daarvan bekend zijn, zal

deze regeling op dit punt zonodig worden aangevuld.

  • bij het opleiden van medewerker we en als we het idee hebben dat we de klant niet vertrouwen
  • alleen bij fraudebestrijding
  • bij opleiding van medewerkers, vastleggen van afspraken met klanten en fraudebestrijding

15. Omgang persoonsgegevens medewerkers. Doelgroep P&O en leidinggevenden die met medewerkersgegevens omgaan.

Ik wil mijn collega een kaartje sturen omdat ze ziek is. Het adres van deze collega geeft P&O wel aan me.

11. Omgang persoonsgegevens medewerkers. Doelgroep P&O en leidinggevenden die met  medewerkersgegevens omgaan.

Gegevens van medewerkers moeten behoorlijk en zorgvuldig worden verwerkt. De gegevens zijn

alleen toegankelijk voor bevoegde personen wanneer dit functioneel noodzakelijk is (denk aan

mensen van P&O en aan leidinggevende managers).

Het verwerken van bijzondere persoonsgegevens (bijvoorbeeld medische en strafrechtelijke

gegevens) van medewerkers is als uitgangspunt niet toegestaan. Voor dit verbod geldt een aantal

specifieke uitzonderingen, die verderop aan bod komen, samen met andere specifieke

uitgangspunten.

De Privacyregeling Omgang persoonsgegevens medewerkers is vrij uitgebreid en veelomvattend. Dit is te veel om in deze e-learning te weergeven. We verwijzen jullie naar de Codex Privacyregelingen en raden aan om dit door te lezen.

  • het adres mag P&O aan mij geven omdat het doeleinde onschuldig en attent is.
  • P&O mag het adres niet geven maar de leidinggevende van deze collega wel, we werken al enige tijd samen en kennen elkaar goed.
  • P&O mag het adres geven indien ze aan desbetreffende collega toestemming hebben gevraagd.

Je hebt je ziek gemeld vanwege de griep, wat mag je leidinggevende in de ziekmelding vermelden?

Ziekmelding

Een werkgever mag als een werknemer zich ziek meldt de volgende gegevens over zijn gezondheid vragen en registreren:

  • het telefoonnummer en (verpleeg)adres;
  • de vermoedelijke duur van het verzuim;
  • de lopende afspraken en werkzaamheden;
  • of de werknemer onder een van de vangnetbepalingen van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);
  • of de ziekte verband houdt met een arbeidsongeval;
  • of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid).

De werkgever mag in principe geen andere gegevens over de gezondheid verwerken dan de hierboven genoemde gegevens. Ook niet met toestemming van de werknemer. Gelet op de gezagsverhouding tussen werkgever en werknemer kan een werknemer zich namelijk gedwongen voelen toestemming te verlenen, zodat geen sprake is van een ‘vrije’ wilsuiting. Alleen wanneer een werknemer een ziekte heeft waarbij het noodzakelijk kan zijn dat directe collega’s in geval van nood weten hoe te handelen (bijvoorbeeld bij epilepsie of suikerziekte), mag de werkgever de vrijwillig door de werknemer verstrekte gegevens over zijn ziekte registreren.


  • Ziek
  • Heeft erge buikpijn vanwege de griep
  • Medewerker heeft griep, maar ik weet dat ze gister tot laat een feestje heeft gehad