Aanhangsel van de Handelingen

Datum publicatieOrganisatieVergaderjaarNummerDatum ontvangst
Tweede Kamer der Staten-Generaal2015-2016499

Vragen van de leden Verhoeven en Pia Dijkstra (beiden D66) aan de Staatssecretaris van Veiligheid en Justitie en de Minister van Volksgezondheid, Welzijn en Sport over het bericht dat Achmea premiekorting biedt in ruil voor privédata. (ingezonden 2 oktober 2015).

Antwoord van Minister Van der Steur (Veiligheid en Justitie), mede namens de Minister van Volksgezondheid, Welzijn en Sport (ontvangen 5 november 2015). Zie ook Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 392.

Vraag 1 en 2

Hoe beoordeelt u het voornemen van Achmea om premiekorting te bieden aan verzekerden in ruil voor privégegevens? Vindt u het wenselijk dat een verzekeraar verzekerden verleidt met premiekortingen in ruil voor privegegevens die verzekerden anders niet met de verzekeraar zouden delen?1

Kunt u aangeven hoe ver private verzekeraars in uw ogen mogen gaan met het vergaren van privégegevens in ruil voor premieverlaging?

Antwoord 1 en 2

Verzekeraars hebben informatie nodig om een inschatting te maken van het risico dat zij verzekeren. Het is niet ongebruikelijk dat verzekeraars daarbij gebruik maken van persoonlijke gedragsgegevens. Zo wordt bijvoorbeeld al jaren gevraagd naar rookgedrag bij diverse verzekeringen. Uit het recente rapport «Berekende risico’s»2 van het Rathenau Instituut blijkt dat andere verzekeraars zich bezighouden met het meten van klantgedrag. Het is voorstelbaar dat verzekeraars dit kunnen gebruiken als instrument om risico’s te voorkomen of beperken.

Het ligt niet op mijn weg om een oordeel te geven over de manier waarop verzekeraars hun klanten tegemoet treden. Zolang verzekeraars zich aan de wet houden, is er geen reden daartegen op te treden. Het relevante wettelijke kader bestaat hier – voor wat betreft de verwerking van persoonsgegevens – uit de Wet bescherming persoonsgegevens (Wbp). Het is aan het Cbp om te beoordelen of de Wbp wordt nageleefd. Voorwaarden uit de Wbp zijn onder andere dat persoonsgegevens voor een bepaald vastgesteld doel moeten worden verzameld en dat degene van wie de persoonsgegevens zijn, daarover moet worden geïnformeerd. Ook mogen persoonsgegevens niet langer dan wettelijk toegestaan bewaard worden en is adequate beveiliging verplicht. Verder is een wettelijke grondslag voor de gegevensverwerking vereist.

Vraag 3

Is het voornemen van Achmea voorgelegd aan het College bescherming persoonsgegevens (CBP)? Zo ja, wat heeft de privacy waakhond hierover geoordeeld? Zo nee, heeft Achmea het voornemen om dit wel te laten toetsen aan de Wet bescherming persoonsgegevens?

Antwoord 3

Achmea heeft mij laten weten op dit moment alleen de mogelijkheden te onderzoeken voor nieuwe vormen van dienstverlening waarbij gebruik wordt gemaakt van privégegevens die tot op heden niet worden benut. Naar eigen zeggen heeft Achmea in dit stadium nog niets voorgelegd aan het Cbp voor toetsing.

Vraag 4

Kunt u aangeven in hoeverre verzekerden op de hoogte worden gesteld van de risico’s die verbonden zitten aan het delen van privégegevens in ruil voor premieverlaging? Zo ja, welke zijn dit? Zo nee, waarom niet?

Antwoord 4

In het algemeen geldt dat de verantwoordelijke voor gegevensverwerking (in dit geval Achmea) verplicht is om de betrokkene te informeren over de doeleinden van de verwerking van persoonsgegevens, tenzij de betrokkene daarvan reeds op de hoogte is. Dit volgt uit artikel 33 en 34 van de Wet bescherming persoonsgegevens. De verantwoordelijke dient bovendien nadere informatie te verstrekken voor zover dat nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen jegens de betrokkene, gelet op de aard van de gegevens, de omstandigheden waaronder de gegevens worden verkregen of het gebruik dat ervan wordt gemaakt (artikel 33, derde lid, en 34, derde lid). De verantwoordelijken dienen dus aan hun informatieverplichtingen invulling te geven. Daaronder vallen ook de privacyrisico’s verbonden aan het delen van de privégegevens.

Vraag 5

Op welke manier is Achmea voornemens de gegevens van klanten te beschermen en verdere verspreiding te voorkomen?

Antwoord 5

Achmea stelt zich bewust te zijn van de gevoeligheden rond de bescherming van de privacy en niet van plan te zijn relevante wetten of polisvoorwaarden te negeren. Zij stelt transparant te willen zijn en de gegevens van haar verzekerden niet te delen met derden.

Vraag 6

Wat is uw reactie op het feit dat Achmea zegt «geen plannen te hebben om gegevens van klanten te delen met derden», maar gelijktijdig samen met TomTom in overleg is voor de bouw van de kastjes in de auto’s? Deelt u de mening dat er op deze manier een private, derde, partij bij betrokken is? Hoe beschouwt u de plannen van Achmea tegen de achtergrond dat Google voorheen ook zei geen plannen te hebben om gegevens van klanten met derden te delen en dat nu inmiddels toch wil gaan doen en dus een risico bestaat dat gegevens op een later moment alsnog voor derden beschikbaar kunnen komen?

Antwoord 6

Het staat Achmea op grond van de Wbp niet vrij om persoonsgegevens op een later moment alsnog met derden te delen, indien zij daarvoor geen toestemming heeft van de verzekerden of een andere grondslag uit de Wbp daarin voorziet, zoals een overeenkomst die dit specifiek regelt. De Artikel 29 Werkgroep, waaronder alle nationale gegevensbeschermingsautoriteiten (zoals het Cbp) in de EU vallen, heeft in 2013 aangegeven dat een doel dat vaag of algemeen is omschreven – zoals het verbeteren van gebruikerservaring, of marketingdoelen – zonder verdere detaillering niet voldoet aan de eis van doelbinding. Dan zou niet zijn voldaan aan de eis van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor gegevensverwerking.3 Die eis is opgenomen in artikel 6, eerste lid, onder b, van de privacyrichtlijn4 en artikel 7 Wbp.

Achmea heeft aangegeven dat het delen van privégegevens van verzekerden met derden niet het oogmerk is en stelt ernaar te streven dat de verzekerde het eigendom en beheer van de gegevens in eigen hand houdt.

Vraag 7

Deelt u de mening dat door externe risico’s (die niet door het individu te voorkomen zijn) het meten van de snelheid in de auto niet de enige indicator is voor het rijgedrag? Zo ja, kunt u aangeven wat u in dat licht denkt van deze methode van Achmea? Zo nee, waarom niet?

Antwoord 7

Het is aan Achmea om te beoordelen op welke wijze zij de risico’s van rijgedrag inventariseert, en welke indicatoren zij daarbij betrekt. Vanzelfsprekend dient Achmea hierbij de wet te respecteren, waaronder de regels gesteld in de Wbp.

Vraag 8

In hoeverre heeft u zicht op de stappen die (bijvoorbeeld) Achmea zet om dit soort data ook in te zetten voor zorgverzekeringen? Kunt u aangeven in hoeverre u het onwenselijk vindt dat het beeld wordt geschetst dat mensen zich door dergelijke kastjes, zeker in de zorg, veiliger wanen voor risico’s?

Antwoord 8

Bij navraag heeft Zilveren Kruis (zorgtak van Achmea) te kennen gegeven dat zij niet van plan is om een dergelijke korting te hanteren voor de basis- of aanvullende zorgverzekering. Bij de basisverzekering zou dit ook niet mogelijk zijn vanwege het verbod op premiedifferentiatie. Uitzonderingen op het verbod op premiedifferentiatie zijn de collectiviteitskorting van maximaal 10% van de premiegrondslag en de premiekorting bij vrijwillig eigen risico.

Gezondheidsgegevens mogen bovendien alleen worden verwerkt als hiervoor een grondslag bestaat in artikel 21 of 23 Wbp. Zo kan bijvoorbeeld de uitvoering van de overeenkomst met de zorgverzekeraar (artikel 21, eerste lid, onder b) of uitdrukkelijke toestemming van de verzekerde (artikel 23, eerste lid, onder a) een rechtvaardiging zijn voor de zorgverzekeraar om gezondheidsgegevens van zijn verzekerden te verwerken.

Ik kan niet beoordelen in hoeverre het onwenselijk is dat het beeld wordt geschetst dat mensen zich door dergelijke kastjes, zeker in de zorg, veiliger wanen voor risico’s.


X Noot
1

NOS, «Achmea biedt premiekorting bij delen privédata», 1 oktober 2015

http://nos.nl/artikel/2060561-achmea-biedt-premiekorting-bij-delen-privedata.html

X Noot
2

Timmer, T., I. Elias, L. Kool & R. van Est, Berekende risico’s. Verzekeren in de

datagedreven samenleving, Den Haag, Rathenau Instituut 2015, http://www.rathenau.nl/publicaties/publicatie/berekende-risicos-verzekeren-in-de-datagedreven-samenleving.html

X Noot
3

Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation, blz. 15 en 16, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf

X Noot
4

Richtlijn 95/46/EG van het Europees parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281).