Ingediend | 2 oktober 2015 |
---|---|
Beantwoord | 5 november 2015 (na 34 dagen) |
Indieners | Kees Verhoeven (D66), Pia Dijkstra (D66) |
Beantwoord door | Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD), Klaas Dijkhoff (staatssecretaris justitie en veiligheid) (VVD) |
Onderwerpen | recht staatsrecht verzekeringen zorg en gezondheid |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2015Z18054.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20152016-499.html |
Verzekeraars hebben informatie nodig om een inschatting te maken van het risico dat zij verzekeren. Het is niet ongebruikelijk dat verzekeraars daarbij gebruik maken van persoonlijke gedragsgegevens. Zo wordt bijvoorbeeld al jaren gevraagd naar rookgedrag bij diverse verzekeringen. Uit het recente rapport «Berekende risico’s»2 van het Rathenau Instituut blijkt dat andere verzekeraars zich bezighouden met het meten van klantgedrag. Het is voorstelbaar dat verzekeraars dit kunnen gebruiken als instrument om risico’s te voorkomen of beperken.
Het ligt niet op mijn weg om een oordeel te geven over de manier waarop verzekeraars hun klanten tegemoet treden. Zolang verzekeraars zich aan de wet houden, is er geen reden daartegen op te treden. Het relevante wettelijke kader bestaat hier – voor wat betreft de verwerking van persoonsgegevens – uit de Wet bescherming persoonsgegevens (Wbp). Het is aan het Cbp om te beoordelen of de Wbp wordt nageleefd. Voorwaarden uit de Wbp zijn onder andere dat persoonsgegevens voor een bepaald vastgesteld doel moeten worden verzameld en dat degene van wie de persoonsgegevens zijn, daarover moet worden geïnformeerd. Ook mogen persoonsgegevens niet langer dan wettelijk toegestaan bewaard worden en is adequate beveiliging verplicht. Verder is een wettelijke grondslag voor de gegevensverwerking vereist.
Zie antwoord vraag 1.
Achmea heeft mij laten weten op dit moment alleen de mogelijkheden te onderzoeken voor nieuwe vormen van dienstverlening waarbij gebruik wordt gemaakt van privégegevens die tot op heden niet worden benut. Naar eigen zeggen heeft Achmea in dit stadium nog niets voorgelegd aan het Cbp voor toetsing.
In het algemeen geldt dat de verantwoordelijke voor gegevensverwerking (in dit geval Achmea) verplicht is om de betrokkene te informeren over de doeleinden van de verwerking van persoonsgegevens, tenzij de betrokkene daarvan reeds op de hoogte is. Dit volgt uit artikel 33 en 34 van de Wet bescherming persoonsgegevens. De verantwoordelijke dient bovendien nadere informatie te verstrekken voor zover dat nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen jegens de betrokkene, gelet op de aard van de gegevens, de omstandigheden waaronder de gegevens worden verkregen of het gebruik dat ervan wordt gemaakt (artikel 33, derde lid, en 34, derde lid). De verantwoordelijken dienen dus aan hun informatieverplichtingen invulling te geven. Daaronder vallen ook de privacyrisico’s verbonden aan het delen van de privégegevens.
Achmea stelt zich bewust te zijn van de gevoeligheden rond de bescherming van de privacy en niet van plan te zijn relevante wetten of polisvoorwaarden te negeren. Zij stelt transparant te willen zijn en de gegevens van haar verzekerden niet te delen met derden.
Het staat Achmea op grond van de Wbp niet vrij om persoonsgegevens op een later moment alsnog met derden te delen, indien zij daarvoor geen toestemming heeft van de verzekerden of een andere grondslag uit de Wbp daarin voorziet, zoals een overeenkomst die dit specifiek regelt. De Artikel 29 Werkgroep, waaronder alle nationale gegevensbeschermingsautoriteiten (zoals het Cbp) in de EU vallen, heeft in 2013 aangegeven dat een doel dat vaag of algemeen is omschreven – zoals het verbeteren van gebruikerservaring, of marketingdoelen – zonder verdere detaillering niet voldoet aan de eis van doelbinding. Dan zou niet zijn voldaan aan de eis van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor gegevensverwerking.3 Die eis is opgenomen in artikel 6, eerste lid, onder b, van de privacyrichtlijn4 en artikel 7 Wbp.
Achmea heeft aangegeven dat het delen van privégegevens van verzekerden met derden niet het oogmerk is en stelt ernaar te streven dat de verzekerde het eigendom en beheer van de gegevens in eigen hand houdt.
Het is aan Achmea om te beoordelen op welke wijze zij de risico’s van rijgedrag inventariseert, en welke indicatoren zij daarbij betrekt. Vanzelfsprekend dient Achmea hierbij de wet te respecteren, waaronder de regels gesteld in de Wbp.
Bij navraag heeft Zilveren Kruis (zorgtak van Achmea) te kennen gegeven dat zij niet van plan is om een dergelijke korting te hanteren voor de basis- of aanvullende zorgverzekering. Bij de basisverzekering zou dit ook niet mogelijk zijn vanwege het verbod op premiedifferentiatie. Uitzonderingen op het verbod op premiedifferentiatie zijn de collectiviteitskorting van maximaal 10% van de premiegrondslag en de premiekorting bij vrijwillig eigen risico.
Gezondheidsgegevens mogen bovendien alleen worden verwerkt als hiervoor een grondslag bestaat in artikel 21 of 23 Wbp. Zo kan bijvoorbeeld de uitvoering van de overeenkomst met de zorgverzekeraar (artikel 21, eerste lid, onder b) of uitdrukkelijke toestemming van de verzekerde (artikel 23, eerste lid, onder a) een rechtvaardiging zijn voor de zorgverzekeraar om gezondheidsgegevens van zijn verzekerden te verwerken.
Ik kan niet beoordelen in hoeverre het onwenselijk is dat het beeld wordt geschetst dat mensen zich door dergelijke kastjes, zeker in de zorg, veiliger wanen voor risico’s.
Hierbij bericht ik u, mede namens de Minister van Volksgezondheid, Welzijn en Sport, dat de schriftelijke vragen van de leden Verhoeven en Pia Dijkstra (beiden D66) over het bericht dat Achmea premiekorting biedt in ruil voor privédata (ingezonden 2 oktober 2015) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie ontvangen is. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.