Stap 1. Grondslagen voor verwerking
...
Wanneer mag je Persoonsgegevens verwerken?
Als adviseur moet je ervoor zorgen dat de verwerking van Persoonsgegevens rechtmatig is. Daarvoor moet je kunnen aantonen dat je verwerking van persoonsgegevens te allen tijde aan minimaal één van de onderstaande zes grondslagen voldoet.
Zes grondslagen voor gegevensverwerking:
Je mag persoonsgegevens verwerken als dit noodzakelijk is voor de uitvoering van een overeenkomst of voor een overeenkomst van opdracht tussen jou en de Betrokkene. Als een overeenkomst niet goed kan worden uitgevoerd zonder de verwerking van de Persoonsgegevens, is er sprake van een noodzakelijkheid.
Voorbeelden:
- het aangaan van een overeenkomst voor een financieel product of een financiële dienst (bijvoorbeeld service-abonnement voor onderhoud en begeleiding tijdens de looptijd van een financieel product).
- het assisteren bij de uitvoering van een financieel product of financiële dienst (bijvoorbeeld het begeleiden van de klant als hij een verzekering wil aanpassen aan een gewijzigde situatie of een schadeclaim indient).
- het noodzakelijk verwerken van gegevens in de precontractuele fase van het sluiten van een overeenkomst voor een financieel product, op initiatief van de Betrokkene.
Je mag persoonsgegevens verwerken als dit noodzakelijk is om te voldoen aan een wettelijke verplichting die op je rust.
Voorbeelden:
- Voor alle financiële producten die je hebt bemiddeld of die via jouw portefeuille lopen, heb je doorlopend de Wft-zorgplicht. Je bent verplicht de Betrokkene tijdig te informeren over relevante wijzigingen. Deze informatieplicht heb je doorlopend, tenzij je met de financiële aanbieder die het product aanbiedt bent overeengekomen dat deze partij de Betrokkene informeert. Onder revelante wijzigingen vallen: relevante wijzigingen in de productvoorwaarden. Of ook: relevante wijzigingen in wet- of regelgeving die betrekking hebben op het financiële product dat de Betrokkene heeft afgesloten via jouw bemiddeling.
- Voor adviesdossiers geldt een wettelijk bewaarplicht; op grond van de Wet op het financieel toezicht moeten deze dossiers tenminste vijf jaar worden bewaard.
Je mag persoonsgegevens verwerken als dit noodzakelijk is voor de behartiging van je eigen gerechtvaardigde belangen of die van een derde, tenzij de belangen, grondrechten of fundamentele vrijheden van de Betrokkene of een derde zwaarder wegen. Dit is een open norm, waarbij de afweging per omstandigheid moet worden gemaakt. Het gaat hier met name om de gegevensverwerking die nodig is om als (commercieel) bedrijf de activiteiten te kunnen uitvoeren. Voorbeelden van gerechtvaardigd belang zijn de uitvoering van fraudepreventie, direct-marketing acties of profilering.
Om een goede afweging te maken of dit een geldige grondslag is kun je voor jezelf verschillende vragen beantwoorden, zoals:
- Is er werkelijk een belang dat de verwerking van persoonsgegeven rechtvaardigt?
- Wordt met de verwerking een inbreuk gemaakt op belangen of fundamentele rechten van degene wiens gegevens worden verwerkt en zo ja, dient dan - afhankelijk van de ernst van de inbreuk- gegevensverwerking niet achterwege te blijven?
- Kan de Betrokkene redelijkerwijs verwachten dat zijn persoonsgegevens voor het gerechtvaardigde belang van de Financieel Adviseur worden gebruikt?
- Kan het doel dat met de verwerking wordt nagestreefd ook langs andere weg- zonder verwerking - worden bereikt?
- Is de verwerking in de mate die is beoogd evenredig aan het nagestreefde doel?
Let op! Als je persoonsgegevens verwerkt op basis van deze grondslag dan heeft de Betrokkene ‘recht van bezwaar’ (zie rechten Betrokkene). Dat maakt verwerking op alleen deze grondslag kwetsbaar.
Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet je stoppen met deze gegevens te verwerken. Tenzij je dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de Betrokkene. Zo lang nog niet duidelijk is of jouw gronden zwaarder wegen, mag je de betreffende gegevens niet verwerken. Je stelt dan een beperking van de verwerking in.
Extra spelregels bij direct marketing
Direct-marketing activiteiten kunnen gezien worden als een gerechtvaardigd belang dat je hebt om als bedrijf behoorlijk te kunnen functioneren. Wel gelden hier extra spelregels.
- Wanneer je persoonsgegevens gebruikt voor marketingdoeleinden, ben je verplicht de Betrokkene hier heel duidelijk over te informeren.
- Bij dit informeren dien je ook bij het eerste contact de mogelijkheid te bieden voor afmelding voor direct marketing.
- Als de Betrokkene bewaar maakt tegen verwerking van zijn gegevens op basis van direct marketing moet de verwerking meteen worden gestopt.
Aanvullende voorwaarden direct marketing aan niet-klanten
- Toestemming: Het uitvoeren van digitale marketing-activiteiten (bijv. e-mail, sms, whatsapp of fax) is alleen toegestaan als je vooraf toestemming vraagt en verkrijgt. (Voor andere direct marketing (bijv. post en telefoon) is vooraf geen toestemming van de ontvanger vereist
- Informatie: Je bent verplicht om bij het eerste contact heldere informatie te verstrekken over het doel waarmee je de persoonsgegevens verwerkt en met welke organisaties deze gegevens eventueel worden gedeeld.
- Bezwaar: Je moet de ontvanger duidelijk informeren over het recht van bezwaar. Dit betekent dat je bij het eerste contactmoment de mogelijkheid moet bieden voor afmelding van direct marketing. Dit afmelden moet even eenvoudig zijn als de manier waarop iemand zich aan kan aanmelden. Bij afmelding ben je verplicht dit te respecteren. Bij telefonische direct-marketing geld de verplichting om tijdens het telefoongesprek te wijzen opde afmeldmogelijkheid. Ook is het van belang te wijzen op en rekening te houden met algemene afmeldmogelijkheden als het Bel-Me-Niet register, het Postfilter of een NEE-sticker op de brievenbus.
Je mag persoonsgegevens verwerken als de Betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor een of meerdere specifieke doeleinden. Deze doeleinden heb je uitdrukkelijk kenbaar gemaakt bij het vragen om toestemming.
Let op! De toestemming moet aan voorwaarden voldoen, uit vrije wil zijn gegeven en aantoonbaar zijn (zie verder onder Voorwaarden toestemming).
Let op! Een Betrokkene kan zijn toestemming altijd intrekken. Dat maakt verwerking op alleen deze grondslag kwetsbaar. Wanneer een Betrokkene zijn toestemming voor de gegevensverwerking intrekt, betekent dit niet per definitie dat al zijn gegevens zo snel mogelijk moeten worden gewist. Het kan namelijk zijn dat er nog een overeenkomst met de klant bestaat (verzekeringsovereenkomst). Dit maakt dat er de gegevensverwerking toegestaan blijft op grond van de grondslag ‘Noodzakelijk voor de uitvoering van een overeenkomst’. Voor een goede uitvoering van de overeenkomst en/of het assisteren bij de uitvoering van de overeenkomst is het ook van belang dat de Financieel Adviseur de persoonsgegevens blijft verwerken.
De verwerking is noodzakelijke met het oog op humanitaire doeleinden die aan vitale belangen als de gezondheid raken.
Deze grondslag wordt volledigheidshalve benoemd, hoewel deze in praktijk ondergeschikt of niet relevant zal zijn voor de Financieel Adviseur/Bemiddelaar.
Bij deze grondslag moet worden gedacht aan verwerkingen op basis van een wettelijke regeling in het kader van volksgezondheidsdoeleinden, sociale beschermingstaken of de uitvoering van wettelijke taken vanuit een overheidsinstantie.
Deze grondslag wordt volledigheidshalve benoemd, hoewel deze in de praktijk ondergeschikt of niet relevant zal zijn voor de Financieel Adviseur/Bemiddelaar.
...
Welke voorwaarden gelden er voor het geven van toestemming?
Toestemming is aan voorwaarden verbonden. De toestemming moet:
- Aantoonbaar zijn: De manier waarop toestemming kan worden aangetoond is vormvrij. Dit kan zijn het ondertekenen van een schriftelijke verklaring of het aanvinken van een online hokje. Bij e-mail toestemming kan gewerkt worden met een email-bevestiging met het bericht het verzoek nogmaals te bevestigen.
- Expliciet, duidelijk en begrijpelijk zijn: bij het vragen en geven van toestemming moet specifiek worden aangegeven waarvoor toestemming wordt gevraagd. De toestemmingsvraag moet in begrijpelijke en gemakkelijk toegankelijke vorm en eenvoudige taal worden gesteld. Bij voorkeur in een duidelijke en concrete vraag, of een zin die expliciet geaccordeerd moet worden.
- In te trekken zijn: de toestemming moet te allen tijde weer kunnen worden ingetrokken. Het intrekken van de toestemming moet even eenvoudig zijn als het geven ervan. Een Betrokkene moet hier bij het geven van de toestemming op gewezen worden.
- Vrijwillig gegeven zijn: er moet echte vrije keuze zijn om toestemming te geven, de toestemming moet zonder nadelige gevolgen weer ingetrokken kunnen worden.
- Gegeven zijn door wettelijke vertegenwoordiger: voor een kind jonger van 16 jaar dient de toestemming gegeven te zijn via degene die de ouderlijke verantwoordelijk voor het kind draagt. Bij een persoon die onder curatele of mentorschap is gesteld, dient de toestemming uitdrukkelijk en aantoonbaar gegeven te zijn door de wettelijk vertegenwoordiger.