Vragen van de leden Grashoff en Voortman (beiden GroenLinks) aan de Ministers van Financiën, van Volksgezondheid, Welzijn en Sport en van Veiligheid en Justitie inzake het bieden van premiekorting in ruil voor privédata door verzekeraar Achmea (ingezonden 15 oktober 2015).

Antwoord van Minister Dijsselbloem (Financiën), mede namens de Ministers van Volksgezondheid, Welzijn en Sport Minister en van Veiligheid en Justitie (ontvangen 5 november 2015).

Vraag 1

Bent u bekend met het bericht dat Achmea voornemens is premiekorting te bieden aan verzekerden, in ruil voor persoonlijke gedragsgegevens?1

Antwoord 1

Ja.

Vraag 2

Kunt u aangeven of er nu al verzekeringen worden aangeboden waarbij premiekorting wordt geboden in ruil voor bijvoorbeeld persoonlijke gedragsgegevens?

Antwoord 2

Verzekeraars hebben informatie nodig om een inschatting te maken van het risico dat zij verzekeren. Het is niet ongebruikelijk dat verzekeraars daarbij gebruik maken van persoonlijke gedragsgegevens. Zo wordt bijvoorbeeld al jaren gevraagd naar rookgedrag bij diverse verzekeringen. Uit het recente rapport «Berekende risico’s» van het Rathenau Instituut2 blijkt dat verschillende verzekeraars zich bezighouden met het meten van klantgedrag. Het is voorstelbaar dat verzekeraars dit kunnen gebruiken als instrument om risico’s te voorkomen of beperken.

Zolang verzekeraars zich aan de wet houden, is er geen reden op te treden. Het relevante wettelijke kader bestaat – voor wat betreft de verwerking van persoonsgegevens – uit de Wet bescherming persoonsgegevens (Wbp). Het is aan het Cbp om te beoordelen of de Wbp wordt nageleefd. Voorwaarden uit de Wbp zijn onder andere dat persoonsgegevens voor een bepaald vastgesteld doel moeten worden verzameld en dat degene van wie de persoonsgegevens zijn, daarover moet worden geïnformeerd. Ook mogen persoonsgegevens niet langer dan wettelijk toegestaan bewaard worden en is adequate beveiliging verplicht. Verder is een wettelijke grondslag voor de gegevensverwerking vereist.

Vraag 3

Mag Achmea persoonlijke gedragsgegevens die zijn verzameld voor de auto- of inboedelverzekering gebruiken voor het beoordelen van andere verzekeringen van dezelfde klant of voor het opstellen van risicoprofielen voor bijvoorbeeld (aanvullende) zorgverzekeringen of om bijvoorbeeld de hoogte van de premie per verzekerde te differentiëren op basis van het risicoprofiel?

Antwoord 3

Persoonsgegevens die zijn verzameld voor een bepaald doel mogen niet zondermeer gebruikt worden voor een ander doel. Het is afhankelijk van de overeenkomst of de verwerking van persoonsgegevens ten behoeve van de betreffende diensten mogelijk is gemaakt. De gebruiksvoorwaarden moeten voldoende duidelijk en specifiek omschrijven dat de gegevens kunnen worden verwerkt voor de onderhavige doeleinden. Voor zover de overeenkomst tekortschiet, moet er zijn voldaan aan een van de andere rechtvaardigingsgronden uit artikel 8 Wbp. Toestemming van de betrokkene kan dan een rechtvaardigingsgrond zijn (artikel 8, onder a).

Bij de basiszorgverzekering geldt overigens een verbod op premiedifferentiatie. Persoonsgegevens die verzameld zijn voor andere schadeverzekeringen mogen daarom niet worden gebruikt voor een premiekorting op de basiszorgverzekering.

Voor het gebruik van persoonsgegevens voor bijvoorbeeld premiedifferentiatie bij de aanvullende zorgverzekering geldt wat voor andere verzekeringen geldt.

Vraag 4

Op welke wijze wordt toegezien op voorlichting aan (aspirant)verzekerden over het gebruik van de gegevens en de mogelijke consequenties daarvan?

Antwoord 4

In het algemeen geldt dat de verantwoordelijke voor gegevensverwerking (in dit geval Achmea) verplicht is om de betrokkene te informeren over de doeleinden van de verwerking van persoonsgegevens, tenzij de betrokkene daarvan reeds op de hoogte is. Dit volgt uit artikel 33 en 34 van de Wbp. De verantwoordelijke dient bovendien nadere informatie te verstrekken voor zover dat nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen jegens de betrokkene, gelet op de aard van de gegevens, de omstandigheden waaronder de gegevens worden verkregen of het gebruik dat ervan wordt gemaakt (artikel 33, derde lid, en 34, derde lid, Wbp). De verantwoordelijken dienen dus aan hun informatieverplichtingen invulling te geven. Daaronder vallen ook de privacyrisico’s verbonden aan het delen van de privégegevens. Het CBP ziet toe op naleving van de Wet bescherming persoonsgegevens.

Vraag 5

Welke sancties staan op misbruik van de gegevens en wat zou onder misbruik worden verstaan?

Antwoord 5

Het gebruik van persoonsgegevens in strijd met de Wbp is aan te merken als misbruik. Overtreding van de Wbp kan worden gesanctioneerd met bestuurlijke boetes (vanaf 1 januari 2016) of een last onder dwangsom.

Vraag 6

Is het Achmea toegestaan om gedetailleerde persoonsgegevens te delen of door te verkopen aan andere bedrijven of derden of aan hen de mogelijkheid te geven gedetailleerde persoonlijke gedragsgegevens te verzamelen als bijproduct van een verzekering?

Antwoord 6

Het staat Achmea op grond van de Wbp niet vrij om persoonsgegevens op een later moment alsnog met derden te delen, indien zij daarvoor geen toestemming heeft van de verzekerden of een andere grondslag uit de Wbp daarin voorziet, zoals een overeenkomst die dit specifiek regelt. De Artikel 29 Werkgroep, waaronder alle nationale gegevensbeschermingsautoriteiten (zoals het Cbp) in de EU vallen, heeft in 2013 aangegeven dat een doel dat vaag of algemeen is omschreven – zoals het verbeteren van gebruikerservaring, of marketingdoelen – zonder verdere detaillering niet voldoet aan de eis van doelbinding. Dan zou niet zijn voldaan aan de eis van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor gegevensverwerking.3 Die eis is opgenomen in artikel 6, eerste lid, onder b, van de privacyrichtlijn4 en artikel 7 Wbp.

Vraag 7

Mag Achmea klanten weigeren als zij geen gebruik wensen te maken van de privacyschendende apparaten?

Antwoord 7

Achmea onderzoekt op dit moment alleen de mogelijkheden nog om gebruik te maken van nieuwe persoonlijke data. Het staat Achmea vrij om voorwaarden te stellen aan klanten. Dit is thans ook al mogelijk, denk bijvoorbeeld aan het weigeren van een persoon voor een aanvullende zorgverzekering of het differentiëren van de premie voor een levensverzekering naar rookgedrag. Achmea is vanzelfsprekend verplicht de wet na te leven. Een beding in de algemene voorwaarden bij de verzekering is bijvoorbeeld vernietigbaar, als dit onredelijk bezwarend is voor de verzekerde (artikel 6:233 BW). Een verzekeraar dient voorts te voldoen aan haar informatieplicht op grond van de Wbp. Klanten moeten worden geïnformeerd over de privacyrisico’s die verbonden zijn aan het delen van privégegevens. Is een klant het niet eens met de voorwaarden die de verzekeraar stelt, dan kan hij kiezen voor een andere verzekeraar.

Vraag 8

Welke maatschappelijke effecten kunnen naar uw verwachting optreden als grote delen van de bevolking kortingen bedingen op verzekeringen door toegang te bieden tot hun persoonlijke gedragsgegevens?

Antwoord 8

Als grote delen van de bevolking kortingen bedingen op hun verzekeringen door toegang te bieden tot hun persoonlijke gedragsgegevens kan dit allerlei maatschappelijke effecten hebben. In zijn algemeenheid zal binnen de contractsvrijheid vermoedelijk gezocht worden naar nieuwe evenwichten tussen het organiseren van solidariteit en het adequaat beprijzen van risico’s. De hoogte van de premie kan meer worden toegesneden op het daadwerkelijke risicoprofiel van de verzekerde. Dit zou kunnen leiden tot daling van de gemiddelde premie voor verzekeringen, maar tegelijkertijd tot het toenemen van verschillen in premie tussen klanten. Ook andere effecten zijn denkbaar, zoals die worden geïdentificeerd in het recente rapport «Berekende risico’s» van het Rathenau Instituut. Daaruit blijkt dat een eventueel toekomstig verzekeringsmodel dat is gedreven door persoonsgegevens over gedrag, gericht op preventie van risico, tot een sterkere, normatieve invloed van de verzekeraars kan leiden. Het Rathenau Instituut stelt dat om de mogelijkheden van big data op een verantwoorde manier te benutten, er ruimte moet zijn voor experimenten, maar tegelijkertijd ook voor reflectie en evaluatie, met inachtneming van publieke waarden als solidariteit.


X Noot
2

Timmer, T., I. Elias, L. Kool & R. van Est, Berekende risico’s. Verzekeren in de

datagedreven samenleving, Den Haag, Rathenau Instituut 2015, http://www.rathenau.nl/publicaties/publicatie/berekende-risicos-verzekeren-in-de-datagedreven-samenleving.html.

X Noot
3

Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation, blz. 15 en 16, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf.

X Noot
4

Richtlijn 95/46/EG van het Europees parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281).

Naar boven