Antwoord 1

Ja.

Antwoord 2

Verzekeraars hebben informatie nodig om een inschatting te maken van het risico dat zij verzekeren. Het is niet ongebruikelijk dat verzekeraars daarbij gebruik maken van persoonlijke gedragsgegevens. Zo wordt bijvoorbeeld al jaren gevraagd naar rookgedrag bij diverse verzekeringen. Uit het recente rapport «Berekende risico’s» van het Rathenau Instituut2 blijkt dat verschillende verzekeraars zich bezighouden met het meten van klantgedrag. Het is voorstelbaar dat verzekeraars dit kunnen gebruiken als instrument om risico’s te voorkomen of beperken.

Zolang verzekeraars zich aan de wet houden, is er geen reden op te treden. Het relevante wettelijke kader bestaat – voor wat betreft de verwerking van persoonsgegevens – uit de Wet bescherming persoonsgegevens (Wbp). Het is aan het Cbp om te beoordelen of de Wbp wordt nageleefd. Voorwaarden uit de Wbp zijn onder andere dat persoonsgegevens voor een bepaald vastgesteld doel moeten worden verzameld en dat degene van wie de persoonsgegevens zijn, daarover moet worden geïnformeerd. Ook mogen persoonsgegevens niet langer dan wettelijk toegestaan bewaard worden en is adequate beveiliging verplicht. Verder is een wettelijke grondslag voor de gegevensverwerking vereist.

Antwoord 3

Persoonsgegevens die zijn verzameld voor een bepaald doel mogen niet zondermeer gebruikt worden voor een ander doel. Het is afhankelijk van de overeenkomst of de verwerking van persoonsgegevens ten behoeve van de betreffende diensten mogelijk is gemaakt. De gebruiksvoorwaarden moeten voldoende duidelijk en specifiek omschrijven dat de gegevens kunnen worden verwerkt voor de onderhavige doeleinden. Voor zover de overeenkomst tekortschiet, moet er zijn voldaan aan een van de andere rechtvaardigingsgronden uit artikel 8 Wbp. Toestemming van de betrokkene kan dan een rechtvaardigingsgrond zijn (artikel 8, onder a).

Bij de basiszorgverzekering geldt overigens een verbod op premiedifferentiatie. Persoonsgegevens die verzameld zijn voor andere schadeverzekeringen mogen daarom niet worden gebruikt voor een premiekorting op de basiszorgverzekering.

Voor het gebruik van persoonsgegevens voor bijvoorbeeld premiedifferentiatie bij de aanvullende zorgverzekering geldt wat voor andere verzekeringen geldt.

Antwoord 4

In het algemeen geldt dat de verantwoordelijke voor gegevensverwerking (in dit geval Achmea) verplicht is om de betrokkene te informeren over de doeleinden van de verwerking van persoonsgegevens, tenzij de betrokkene daarvan reeds op de hoogte is. Dit volgt uit artikel 33 en 34 van de Wbp. De verantwoordelijke dient bovendien nadere informatie te verstrekken voor zover dat nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen jegens de betrokkene, gelet op de aard van de gegevens, de omstandigheden waaronder de gegevens worden verkregen of het gebruik dat ervan wordt gemaakt (artikel 33, derde lid, en 34, derde lid, Wbp). De verantwoordelijken dienen dus aan hun informatieverplichtingen invulling te geven. Daaronder vallen ook de privacyrisico’s verbonden aan het delen van de privégegevens. Het CBP ziet toe op naleving van de Wet bescherming persoonsgegevens.

Antwoord 5

Het gebruik van persoonsgegevens in strijd met de Wbp is aan te merken als misbruik. Overtreding van de Wbp kan worden gesanctioneerd met bestuurlijke boetes (vanaf 1 januari 2016) of een last onder dwangsom.

Antwoord 6

Het staat Achmea op grond van de Wbp niet vrij om persoonsgegevens op een later moment alsnog met derden te delen, indien zij daarvoor geen toestemming heeft van de verzekerden of een andere grondslag uit de Wbp daarin voorziet, zoals een overeenkomst die dit specifiek regelt. De Artikel 29 Werkgroep, waaronder alle nationale gegevensbeschermingsautoriteiten (zoals het Cbp) in de EU vallen, heeft in 2013 aangegeven dat een doel dat vaag of algemeen is omschreven – zoals het verbeteren van gebruikerservaring, of marketingdoelen – zonder verdere detaillering niet voldoet aan de eis van doelbinding. Dan zou niet zijn voldaan aan de eis van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor gegevensverwerking.3 Die eis is opgenomen in artikel 6, eerste lid, onder b, van de privacyrichtlijn4 en artikel 7 Wbp.

Antwoord 7

Achmea onderzoekt op dit moment alleen de mogelijkheden nog om gebruik te maken van nieuwe persoonlijke data. Het staat Achmea vrij om voorwaarden te stellen aan klanten. Dit is thans ook al mogelijk, denk bijvoorbeeld aan het weigeren van een persoon voor een aanvullende zorgverzekering of het differentiëren van de premie voor een levensverzekering naar rookgedrag. Achmea is vanzelfsprekend verplicht de wet na te leven. Een beding in de algemene voorwaarden bij de verzekering is bijvoorbeeld vernietigbaar, als dit onredelijk bezwarend is voor de verzekerde (artikel 6:233 BW). Een verzekeraar dient voorts te voldoen aan haar informatieplicht op grond van de Wbp. Klanten moeten worden geïnformeerd over de privacyrisico’s die verbonden zijn aan het delen van privégegevens. Is een klant het niet eens met de voorwaarden die de verzekeraar stelt, dan kan hij kiezen voor een andere verzekeraar.

Antwoord 8

Als grote delen van de bevolking kortingen bedingen op hun verzekeringen door toegang te bieden tot hun persoonlijke gedragsgegevens kan dit allerlei maatschappelijke effecten hebben. In zijn algemeenheid zal binnen de contractsvrijheid vermoedelijk gezocht worden naar nieuwe evenwichten tussen het organiseren van solidariteit en het adequaat beprijzen van risico’s. De hoogte van de premie kan meer worden toegesneden op het daadwerkelijke risicoprofiel van de verzekerde. Dit zou kunnen leiden tot daling van de gemiddelde premie voor verzekeringen, maar tegelijkertijd tot het toenemen van verschillen in premie tussen klanten. Ook andere effecten zijn denkbaar, zoals die worden geïdentificeerd in het recente rapport «Berekende risico’s» van het Rathenau Instituut. Daaruit blijkt dat een eventueel toekomstig verzekeringsmodel dat is gedreven door persoonsgegevens over gedrag, gericht op preventie van risico, tot een sterkere, normatieve invloed van de verzekeraars kan leiden. Het Rathenau Instituut stelt dat om de mogelijkheden van big data op een verantwoorde manier te benutten, er ruimte moet zijn voor experimenten, maar tegelijkertijd ook voor reflectie en evaluatie, met inachtneming van publieke waarden als solidariteit.