Privacyverklaring ASR Nederland N.V.
Zo gaan wij om met jouw gegevens
Als je bij ons een product of dienst afneemt, hebben we gegevens van je nodig om ervoor te zorgen dat we dat product of die dienst aan je kunnen leveren. Je mag erop vertrouwen dat wij op een zorgvuldige manier met je gegevens omgaan. We houden ons daarbij aan geldende wet- en regelgeving, de Gedragscode Verwerking Persoonsgegevens Verzekeraars en de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars.
Deze privacyverklaring is van toepassing op alle persoonsgegevens die ASR Nederland N.V. en haar bedrijfsonderdelen van jou verwerken. Dit kan het geval zijn: als je klant bent, als je geen klant bent maar contact met ons hebt opgenomen, als je werkgever klant is en je bent deelnemer aan zijn overeenkomst of als je begunstigde, benadeelde of borgsteller bent.
Bij onze zakelijke dienstverlening kunnen wij gegevens verwerken van contactpersonen, aandeelhouders, of UBO's van een bedrijf. UBO's zijn natuurlijke personen, die uiteindelijk eigenaar zijn van of de zeggenschap hebben in een onderneming of organisatie.
Als je onze websites bezoekt of onze apps gebruikt, zoals je a.s.r.-account, dan verwerken we een aantal gegevens van je om de functionaliteiten van deze onlinediensten te kunnen bieden en technisch te beheren. Ook kunnen we je gepersonaliseerde advertenties laten zien, als je daarvoor toestemming gaf. De verwerking van je persoonsgegevens hangt af van je instellingen. Zie hiervoor ons cookiestatement.
Als wij in deze privacyverklaring a.s.r. schrijven, bedoelen we daarmee ASR Nederland N.V. en de a.s.r. gelabelde bedrijfsonderdelen.¹
Sommige bedrijfsonderdelen hebben een eigen privacyverklaring. Dit zijn onder andere ASR Real Estate B.V., ASR Real Estate Investment Partners en de Raad van Doen. Zie voor meer informatie:
asrrealestate.nl/privacyverklaring
asrinvestmentpartners.nl/privacy-statement
asr.nl/klantpanel
¹ ASR Levensverzekering N.V., ASR Basis Ziektekostenverzekeringen N.V., ASR Aanvullende Ziektekostenverzekeringen N.V., ASR Schadeverzekering N.V., ASR Vermogensbeheer N.V., ASR Vitaliteit en Preventieve Diensten B.V., ASR Vooruit B.V., ASR Premiepensioeninstelling N.V., ASR Reïntegratie B.V., Advies van a.s.r.
Maar ook: Aegon Hypotheken B.V., Aegon Levensverzekering N.V., Aegon Cappital B.V., Aegon Bemiddeling B.V., Aegon Administratie B.V., Aegon Administratieve Dienstverlening B.V., Aegon Spaarkas N.V. en Loyalis.
Ook op de niet meer door a.s.r. gevoerde labels, voor zover a.s.r. in dat verband nog persoonsgegevens verwerkt, waaronder: Ardanta, Europeesche Verzekeringen, ZZP Pensioen, Axent, De Eendragt en Generali Nederland is de privacyverklaring van toepassing.
Een verwerkingsverantwoordelijke bepaalt hoe en waarom persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke bepaalt het doel en de middelen voor de verwerking van persoonsgegevens. En is aanspreekpunt voor jou als betrokkene.
ASR Nederland N.V. is met een aantal van haar bedrijfsonderdelen gezamenlijk verantwoordelijk voor het verwerken van je persoonsgegevens. Er zijn onderlinge afspraken gemaakt over de verdeling van onze verantwoordelijkheden. Dit zijn de volgende partijen:
ASR Schadeverzekering N.V., ASR Levensverzekering N.V., Aegon Levensverzekering N.V., Aegon Spaarkas N.V., ASR Basis Ziektekostenverzekeringen N.V., ASR Aanvullende Ziektekostenverzekeringen N.V., ASR Vermogensbeheer N.V., ASR Real Estate B.V., ASR Wlz Uitvoerder B.V., ASR Premiepensioeninstelling N.V., Aegon Cappital B.V., ASR Vooruit B.V., Aegon Hypotheken B.V., Loyalis en a.s.r. Vitality.
Met bovenstaande partijen is afgesproken dat ASR Nederland N.V. jouw eerste aanspreekpunt is.
Bezoekadres:
Archimedeslaan 10
3584 BA Utrecht
Postadres:
Postbus 2072
3500 HB Utrecht
Telefoon: (030) 257 9111
a.s.r. heeft een interne Functionaris Gegevensbescherming (e-mailadres: anl.compliance.fg@asr.nl). Deze functionaris ziet erop toe dat de verwerking van persoonsgegevens binnen a.s.r. in overeenstemming is met de Algemene Verordening Gegevensbescherming (AVG).
Wanneer jij of je werkgever een verzekering of ander (financieel) product of dienst aanvraagt bij a.s.r. of informatie opvraagt, vragen wij om je persoonsgegevens. Welke gegevens wij van jou verwerken is afhankelijk van welk product of dienst je afneemt.
a. NAW gegevens
Naam en adresgegevens en contactgegevens, zoals e-mailadressen en telefoonnummers. Deze gegevens gebruiken wij om je informatie te kunnen sturen, contact op te kunnen nemen en om (verzekerings)overeenkomsten te kunnen uitvoeren.
b. Financiële gegevens
We gebruiken je bankrekeningnummer om betalingen te doen en verschuldigde bedragen te incasseren (premie, fee, periodieke inleg of rente). Daarnaast kunnen wij beschikken over je inkomensgegevens, als dat voor één of meer van onze financiële producten noodzakelijk is.
c. Aanvullende gegevens
Voor sommige producten of diensten hebben wij aanvullende informatie nodig, zoals geboortedata, geslacht, beroep of kenteken om de premie vast te stellen en om de verzekering af te sluiten.
d. Gezondheidsgegevens
Voor het accepteren of uitvoeren van onze verzekeringen en andere (financiële) diensten, hebben wij in bepaalde gevallen informatie nodig over je gezondheid. Soms hebben wij informatie nodig van jouw arts. Als wij gegevens van jouw arts nodig hebben, dan vragen wij daarvoor altijd vooraf je toestemming. Voor gezondheidsgegevens geldt, dat deze alleen worden gedeeld met de medische dienst.
Zorgverzekering
Voor de aanvraag van je basisverzekering hebben we geen gezondheidsgegevens van je nodig voor het afsluiten van deze verzekering. Voor de acceptatie maken wij geen gebruik van risicoselectie, omdat voor de basisverzekering een wettelijke acceptatieplicht geldt. Wij gebruiken je persoonsgegevens om te controleren of je verzekeringsplichtig bent voor de basisverzekering. De overheid bepaalt welke dekking in de basisverzekering zit. Als je een aanvullende verzekering bij ons aanvraagt, dan kunnen wij wel gezondheidsgegevens van je opvragen om jouw aanvraag te beoordelen. Bij een aanvullende verzekering staat het ons vrij om jouw aanvraag, op basis van risicoselectie, wel of niet te accepteren.
Als zorgverzekeraar mogen wij gegevens over jouw gezondheid verwerken, voor zover dit noodzakelijk is voor de uitvoering van de basisverzekering, de aanvullende ziektekostenverzekering of de Wlz-verzekering. De verwerking van jouw gezondheidsgegevens vindt alleen plaats binnen een speciale afgescheiden eenheid (functionele eenheid), onder verantwoordelijkheid van onze medisch adviseur. Dat is een BIG-geregistreerde geneeskundig specialist. Bij de verwerking van gezondheidsgegevens houden wij ons aan de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars.
e. Strafrechtelijke gegevens
Bij het afsluiten van een schade- of individuele inkomensverzekering kunnen wij je vragen naar jouw strafrechtelijk verleden, of dat van je medeverzekerde(n). Wij beoordelen dan of dat verleden van invloed is op jouw aanvraag. Het gaat dan alleen om de feiten van de acht jaar voorafgaand aan de aanvraag van de verzekering. Wij doen dit om in te schatten hoe hoog het risico is als wij jou als klant accepteren.
Wij kunnen ook strafrechtelijke gegevens verwerken om fraude en misbruik te voorkomen en tegen te gaan. Wij houden ons bij de verwerking van strafrechtelijke gegevens aan het Protocol Incidentenwaarschuwingssytemen Financiële Instellingen (PIFI).
f. BSN
In sommige gevallen verwerken wij ook je burgerservicenummer (BSN). Wij verwerken jouw BSN alleen als wij dat op grond van wetgeving verplicht zijn.
We kunnen op verschillende manieren jouw persoonsgegevens ontvangen.
Gegevens die wij van jou ontvangen
In de meeste gevallen krijgen wij de gegevens rechtstreeks van jou. Wanneer je:
- een product bij ons afsluit of een dienst bij ons afneemt.
- contact met ons opneemt via de website (aanvraagformulier of chat) of het contactformulier invult.
Gegevens die wij van een derde partij ontvangen
Het kan ook voorkomen dat wij jouw gegevens ontvangen via een derde partij. Bijvoorbeeld wanneer:
- je adviseur, bemiddelaar of werkgever een product of offerte voor je bij ons aanvraagt.
- je werkgever jouw pensioen of verzuim bij ons heeft verzekerd.
Gegevens die wij uit externe bronnen halen
Voor de beoordeling van je aanvraag of (schade)melding verzamelen en verwerken we persoonsgegevens uit externe bronnen. De externe bronnen kunnen openbare bronnen zijn, zoals het kentekenregister, Handelsregister, Kadaster, Bureau Kredietregistratie (BKR) en kredietinformatiebureaus. Dit doen we onder andere om:
- de door jouw ingevulde gegevens te controleren.
- alvast gegevens voor je te kunnen klaarzetten.
- om te beoordelen of er risico's zijn op fraude, wanbetaling of claims.
Daarnaast heeft a.s.r., als uitvoerder van pensioenen en zorgverzekeringen, toegang tot de basisregistratie personen (BRP). Ook ontvangen wij maandelijks via het product Status Uitkering Arbeidsongeschiktheid (SUAG) van het UWV arbeidsongeschiktheidsgegevens van pensioendeelnemers.
Doeleinden voor de verwerking van persoonsgegevens zijn:
a. De uitvoering van onze dienstverlening
We hebben je persoonsgegevens onder andere nodig als je klant bij ons wilt worden, om een offerte uit te brengen of om je aanvraag te beoordelen. Als je klant bent: om informatie en advies te geven over de producten of diensten die jij bij ons afneemt.
We gebruiken je gegevens om de overeenkomsten en diensten te kunnen beheren en uitvoeren, zoals je claims, declaraties, schades, om klachten af te handelen of om je order te ontvangen, door te geven en te laten uitvoeren.
Als je de gegevens, die we van je vragen, niet met ons wilt delen, dan kunnen we geen overeenkomst met je aangaan.
b. Voldoen aan wet- en regelgeving
Er zijn wetten die ons verplichten om je persoonsgegevens op te vragen, te bewaren en soms aan andere partijen te verstrekken.
- We moeten je identiteit vaststellen op grond van belastingwetgeving en toezichtwetgeving.
- De Sanctiewet en de Wet ter voorkoming van witwassen en het financieren van terrorisme verplichten ons je identiteit vast te stellen en te controleren. Ook moeten we nagaan of je voorkomt op nationale en internationale risico- en sanctielijsten.
- Volgens de Wet op het financieel toezicht zijn we verplicht om een risicoprofiel op te stellen.
- Als je een hypotheek of lening aanvraagt, dan zijn wij verplicht om je kredietwaardigheid te toetsen bij het BKR. Bepaalde betalingsachterstanden melden we bij het BKR.
- We zijn verplicht om je persoonsgegevens door te geven aan een overheidsinstelling, een toezichthouder, een rechter of andere financiële instellingen. Bijvoorbeeld aan de Belastingdienst, AP, AFM, DNB of ACM, de Stichting Pensioenregister (www.mijnpensioenoverzicht.nl) of een opsporingsinstantie, zoals politie en de fiscale inlichtingen- en opsporingsdienst (FIOD).
- Wij verzamelen gegevens over je woning, zoals je energielabel, energieprestaties en eventueel klimaatrisico, om te voldoen aan onze rapportageverplichtingen op het gebied van ESG (Environmental, Social, and Governance). Deze gegevens worden verkregen uit openbare bronnen en worden vervolgens geaggregeerd opgenomen in onze rapportages.
c. Uitvoeren klantonderzoek
Om witwassen en financieren van terrorisme te voorkomen, zijn wij wettelijk verplicht onze klanten te kennen en geen relaties aan te gaan met personen die het vertrouwen in de financiële sector kunnen schaden. Daarom moeten wij, voordat wij een klantrelatie met je aangaan, kijken of we je kunnen accepteren als klant. Dat houdt in dat wij je kunnen vragen om je te identificeren en een onderzoek kunnen instellen als je een bepaald vermogen hebt, een ongebruikelijke aflossing doet op je hypotheek of als er een ongebruikelijke transactie op je rekening plaatsvindt. Ongebruikelijke transacties moeten we daarnaast doorgeven aan de bevoegde opsporingsinstanties en toezichthouders, zoals de FIU-Nederland. Daarnaast moeten we controleren of je voorkomt op nationale en internationale risico-en sanctielijsten. Tijdens onze klantrelatie moeten we blijven onderzoeken of we je als klant kunnen behouden.
Na het afronden van het klantenonderzoek krijg je een risicoprofiel toegekend. Het risicoprofiel bepaalt hoe vaak je en in welke mate je moet worden gemonitord. Afhankelijk van wat wij tijdens onze periodieke monitoring vinden, kan je risicoprofiel veranderen. Je risicoprofiel staat dus niet voor altijd vast.
d. Marketingactiviteiten uitvoeren
Als je klant bij ons bent, dan willen we je graag informeren over onze andere producten en diensten. Bijvoorbeeld met e-mails, of aanbiedingen op onze website of via social media. Ook daarvoor gebruiken wij jouw persoonsgegevens.
Dit doen we om je:
- algemene nieuwsbrieven te sturen met informatie en aanbiedingen over onze producten en diensten via je a.s.r.-account.
- aanbiedingen te kunnen doen, die inspelen op je persoonlijke situatie. Hiervoor bekijken we welke a.s.r.-producten en -diensten je al gebruikt en welke niet. Dit doen we bijvoorbeeld door het gebruik van cookies. Zie voor meer informatie hierover de cookieverklaring op specifieke websites en onze apps.
- op onze websites of op websites van andere bedrijven gerichtere advertenties te laten zien. We verzamelen en analyseren jouw keuzes en zoekopdrachten als je onze webpagina’s of apps bezoekt en e-mails opent. Dit doen we door het gebruik van cookies. Zie hiervoor de cookieverklaring.
Wil je liever geen persoonlijke aanbiedingen ontvangen? Laat het ons weten (zie verder onder 11f en 16).
e. Verbeteren en innoveren
We gebruiken jouw persoonsgegevens ook om onze producten en diensten te verbeteren en om ons aanbod af te stemmen op je wensen en behoeften.
Dat doen we door persoonsgegevens te combineren en te (laten) analyseren en te gebruiken voor innovaties. Zo komen we op nieuwe ideeën in het kader van innovaties ten behoeve van jezelf, je contact met ons en je producten of onze diensten en dus tot betere oplossingen. Zo kunnen we:
- de oorzaak van klachten oplossen, pagina’s en formulieren op de website verbeteren en processen verbeteren en versnellen.
- meten hoe klanten onze diensten gebruiken en wat het resultaat is van een campagne. En als dat nodig is: onze dienstverlening verbeteren.
- nieuwe toepassingen, producten en diensten ontwikkelen, waaronder het ontwikkelen (inclusief testen) van toepassingen op het gebied van Artificiële Intelligentie (AI).
- in het kader van het beheer, waaronder testen, van onze (nieuwe) (administratie)systemen/applicaties, ervoor zorgen dat deze naar behoren functioneren en daarmee de continuïteit van onze dienstverlening waarborgen.
- (statistische en/of wetenschappelijke) analyses en rapportages (laten) maken en inzichten op geaggregeerd niveau leveren, bijvoorbeeld om prijzen van onze producten en diensten goed te kunnen bepalen.
- Opnemen en terugluisteren van telefoongesprekken voor training- en coachingsdoeleinden.
Als we analyses uitvoeren, dan gebruiken we je gegevens zo veel mogelijk geanonimiseerd of gepseudonimiseerd. Dat betekent dat de gegevens niet meer direct naar jou herleidbaar zijn. We nemen passende maatregelen om je persoonsgegevens te beveiligen. Ook zorgen we ervoor dat slechts een kleine groep toegang heeft tot de analyses.
f. Voorkomen en opsporen van fraude en misbruik
De persoonsgegevens, die wij in het kader van het opsporen en bestrijden van fraude, misbruik en oneigenlijk gebruik verwerken, verkrijgen wij van jou en uit verschillende (openbare) bronnen (zie verder onder 4). Ook kunnen wij in dit kader informatie ontvangen van tipgevers of getuigen. Wij kunnen daarnaast informatie verzamelen, door bijvoorbeeld technisch, tactisch en persoonlijk onderzoek uit te (laten) voeren. Bij het uitvoeren van deze onderzoeken kunnen we onderzoeksbureaus inschakelen.
Bij de opsporing en bestrijding van fraude, misbruik en oneigenlijk gebruik leggen we ook persoonsgegevens vast in onze Centrale Gebeurtenissenadministratie, ons eigen incidentenregister (IVR) en in die van de financiële sector (EVR).
Centrale Gebeurtenissenadministratie
Om de veiligheid en integriteit van a.s.r. te bewaken, gebruiken wij een Centrale Gebeurtenissenadministratie. In deze database worden (persoons)gegevens opgeslagen ten aanzien van bepaalde gebeurtenissen, die onze speciale aandacht vragen. Gegevens uit de Centrale Gebeurtenissenadministratie zijn alleen toegankelijk voor daartoe geautoriseerde medewerkers.
EVR
Door middel van de gezamenlijke registers van de financiële sector (EVR), kunnen wij gegevens van a.s.r. uitwisselen met andere financiële instellingen of met externe onderzoekbureaus. Hierbij houden wij ons aan het Protocol Verzekeraars en Criminaliteit en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Bij het PIFI zijn o.a. betrokken:
- het Verbond van Verzekeraars,
- de Nederlandse Vereniging van Banken,
- de Stichting Fraudebestrijding Hypotheken,
- de Vereniging van Financieringsondernemingen in Nederland en
- Zorgverzekeraars Nederland.
IVR
Om de veiligheid en integriteit van a.s.r. te bewaken, gebruiken wij een eigen incidentenregister (IVR). In deze database worden (persoons)gegevens opgeslagen ten aanzien van bepaalde incidenten die onze speciale aandacht vragen. Gegevens uit dit incidentenregister zijn alleen toegankelijk voor daartoe geautoriseerde medewerkers.
Als we jouw gegevens vastleggen in deze registers (EVR of IVR) in het kader van fraude of andere vormen van verzekeringscriminaliteit, dan informeren we je daar specifiek over (welke gegevens, waarom en hoe lang). Behalve als dat niet is toegestaan of het onderzoek daardoor wordt geschaad, bijvoorbeeld omdat de politie ons vraagt je niet te informeren in het belang van hun onderzoek. Ben je het niet eens met deze vastlegging? Dan kun je hiertegen bezwaar maken of vragen om jouw gegevens te corrigeren of te wissen (zie verder onder 11). Let op dat je voor inzage in de op jouw betrekking hebbende registraties in EVR (een overzicht van registraties) een verzoek kunt doen bij de Stichting Centrale Informatie Systeem (Stichting CIS).
g. Bedrijfsvoering
Wij kunnen je persoonsgegevens verwerken als dit noodzakelijk is in het kader van de bedrijfsvoering van a.s.r. Denk bijvoorbeeld aan fusies, overnames, geheel of gedeeltelijke overdracht van activa (zoals vorderingen uit hypothecaire leningen), financiering, overwogen of daadwerkelijke juridische procedures, faillissement of herstructurering van alle of een deel van de bedrijfsactiviteiten.
Wij mogen je persoonsgegevens gebruiken omdat er een wettelijke grondslag is. Dit zijn:
- Je hebt toestemming gegeven.
Als wij jouw persoonsgegevens verwerken op basis van je toestemming, kan je je toestemming altijd weer intrekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking vóór de intrekking daarvan onverlet. - De verwerking is noodzakelijk voor de uitvoering van de overeenkomst.
We hebben je gegevens nodig voor het aangaan van een verzekeringsovereenkomst, maar ook als je begunstigde of verzekerde bent. Ook hebben we je persoonsgegevens nodig om een schadevergoeding te betalen. - De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting.
Voor financiële ondernemingen gelden diverse wettelijke verplichtingen. Zo zijn we bijvoorbeeld verplicht vanwege de Sanctiewet of de Wet ter voorkoming van witwassen en financiering van terrorisme een cliëntenonderzoek te doen. Hiervoor hebben we bepaalde persoonsgegevens nodig. - De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.
Wij verwerken je persoonsgegevens bijvoorbeeld om de veiligheid en betrouwbaarheid van ons bedrijf en de financiële sector te waarborgen. Wij willen dan ook (pogingen tot) strafbare of ontoelaatbare gedragingen gericht tegen de financiële sector, onze klanten en a.s.r. zelf en de medewerkers voorkomen, onderzoeken en bestrijden. Er is sprake van een gerechtvaardigd belang van a.s.r. om alleen betrouwbare klanten aan te nemen. Dit gerechtvaardigd belang is er ook voor het verwerken van je persoonsgegevens bij marketingactiviteiten.
a.s.r. maakt hierbij altijd een zorgvuldige afweging van alle belangen om te beoordelen of er een gerechtvaardigd belang is: van jouw belang, dat van anderen en dat van a.s.r. Bij de beoordeling wegen we mee of er andere manieren zijn om hetzelfde doel te bereiken of dat we minder gegevens nodig hebben.
Wij gaan zorgvuldig om met jouw persoonsgegevens. We hebben technische en organisatorische maatregelen genomen om een passend beschermingsniveau te waarborgen en jouw persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. We besteden veel aandacht aan een optimale beveiliging van onze systemen, waarin persoonsgegevens worden verwerkt. Denk daarbij aan maatregelen om onze websites en IT-systemen veilig te gebruiken en misbruik te voorkomen. Maar ook aan beveiliging van fysieke ruimtes waar persoonsgegevens zijn opgeslagen. De veiligheid van ons dataverkeer houden wij 24 uur per dag in de gaten. Wij hebben een Beleid voor InformatieVeiligheid en zorgen voor training van onze medewerkers op het gebied van de bescherming van persoonsgegevens.
Alleen geautoriseerde medewerkers, die toegang moeten hebben tot jouw gegevens, kunnen jouw gegevens inzien en verwerken. Al onze medewerkers zijn verplicht tot vertrouwelijkheid en mogen je persoonsgegevens niet onrechtmatig of onnodig verstrekken.
Wij bewaren jouw persoonsgegevens niet langer dan nodig. In sommige gevallen bepaalt de wet hoe lang wij gegevens mogen of moeten bewaren. In andere gevallen hebben wij zelf op basis van wet- en regelgeving bepaald hoe lang wij jouw gegevens nodig hebben. Wij hebben hiervoor een uitgebreid Databewaarbeleid opgesteld.
Polis-/klantdossiers bijvoorbeeld bewaren we minimaal 7 jaar na het beëindigen van de relatie met a.s.r. Voor meer informatie over de specifieke bewaartermijnen kun je contact met ons opnemen.
We verstrekken alleen persoonsgegevens aan derden als dit op grond van de wet is toegestaan en noodzakelijk is voor de bedrijfsvoering van a.s.r.
a. Binnen a.s.r.
Ben je klant van a.s.r.? Dan kunnen wij je persoonsgegevens uitwisselen met een van de andere bedrijfsonderdelen. We wisselen alleen persoonsgegevens binnen a.s.r. uit als we daar een gerechtvaardigd doel voor hebben. Zoals:
- voor een verantwoord acceptatiebeleid en om fraude, witwassen en financieren van terrorisme te voorkomen.
- om je vragen of inzageverzoeken over producten en diensten van de verschillende a.s.r. onderdelen te kunnen beantwoorden.
- om risico's en premies beter in te schatten.
- om je een goede en efficiënte dienstverlening te kunnen bieden.
- om de kwaliteit van je persoonsgegevens te waarborgen.
- voor onderzoek en innovatie.
- voor interne (management) rapportages.
b. De overheid en toezichthouders
Soms zijn wij wettelijk verplicht bepaalde persoonsgegevens door te geven aan de overheid. Denk daarbij aan de Belastingdienst, het Uitvoeringsinstituut Werknemersverzekeringen (UWV), Sociale Verzekeringsbank (SVB), CAK, Ministerie van Volksgezondheid, Welzijn en Sport (Centrum Indicatiestelling Zorg (CIZ), Zorginstituut), College van B&W, Politie/Justitie, de Kamer van Koophandel ten behoeve van het UBO-register of toezichthouders zoals De Nederlandsche Bank (DNB), de Autoriteit Financiële Markten (AFM), de Autoriteit Persoonsgegevens (AP), Nederlandse Zorgautoriteit (NZa) en de Autoriteit Consument & Markt (ACM).
c. Adviseur, bemiddelaar en gevolmachtigde
Als een adviseur/bemiddelaar of een gevolmachtigde voor jou een product bij ons afsluit of een schade bij ons meldt, wisselen wij persoonsgegevens met jouw bemiddelaar uit. Wij doen dit zolang je een overeenkomst met ons hebt. Soms hebben wij daarvoor je toestemming nodig. Jouw bemiddelaar is zelf verantwoordelijk voor het verwerken van jouw persoonsgegevens. Als je werkgever een bemiddelaar of adviseur heeft ingeschakeld, dan wisselen we ook met hen persoonsgegevens uit. Met als doel om je a.s.r.-account te activeren, kunnen we je e-mailadres ontvangen van jouw adviseur/bemiddelaar.
d. Andere verzekeraar(s) en herverzekeraars
Als (zorg-)verzekeraar wisselen wij soms gegevens uit om schade of kosten die wij vergoed hebben te verhalen, bijvoorbeeld op je reisverzekeraar als die óók dekking biedt naast je basis- of aanvullende verzekering of op de aansprakelijkheidsverzekeraar van een andere persoon, die de schade of kosten veroorzaakt heeft. Als pensioenuitvoerder wisselen wij ook gegevens uit om een waardeoverdracht te kunnen uitvoeren. Sommige grote risico's willen we en kunnen we niet zelf dragen en zijn daarom ondergebracht bij herverzekeraars. Deze herverzekeraar heeft voor haar verzekering gegevens nodig.
e. Bedrijven waar we mee (moeten) samenwerken
Wij schakelen andere bedrijven in om diensten voor ons uit te voeren, die te maken hebben met onze dienstverlening. Dit zijn bijvoorbeeld een incassobureau, een expertisebureau, een notaris, een hersteller, een re-integratiebureau, een arbodienst of een bereikbaarheidsdienst voor overlijdensmeldingen. Wij kunnen ook je persoonsgegevens delen met jouw advocaat of zaakwaarnemer, accountant, curator en bewindvoerder. Wij delen ook jouw gegevens met de Alarmcentrale als uitvoerder van (pech)hulpverlening. Wanneer je een rechtsbijstandverzekering bij a.s.r. hebt afgesloten, delen wij jouw gegevens met DAS als uitvoerder van de rechtsbijstand.
Wanneer je een hypotheek met Nationale Hypotheek Garantie (NHG) bij ons hebt afgesloten, delen we jouw persoonsgegevens met Stichting Waarborgfonds Eigen Woningen (WEW) voor borgstelling van de NHG. Verder kunnen wij, als je een hypotheek bij ons hebt afgesloten, je persoonsgegevens delen met het Bureau Kredietregistratie (BKR), bijvoorbeeld in geval van (aanhoudende) betalingsachterstand. Wanneer je een zorgverzekering bij a.s.r. hebt afgesloten, delen wij jouw persoonsgegevens met Zorgdomein, VECOZO, Vektis, zorgkantoren en zorgaanbieders. Met alle partijen leggen wij afspraken vast om jouw privacy te waarborgen.
a.s.r. verstrekt daarnaast persoonsgegevens aan het Verbond van Verzekeraars. Het Verbond ondersteunt a.s.r. en de branche ten behoeve van statistisch onderzoek in het kader van risico- en schadelastbeheersing. De resultaten van de onderzoeken zijn altijd geaggregeerd en niet op jou gericht.
De hierboven genoemde dienstverleners zijn er zelf verantwoordelijk voor dat zij je persoonsgegevens verwerken in overeenstemming met de wet.
Uitbesteding
Wij kunnen de verwerking van persoonsgegevens uitbesteden aan derde partijen voor onderhoud en supportfuncties, bijvoorbeeld (IT-)dienstverleners. Deze (IT-)dienstverleners worden in de meeste gevallen beschouwd als verwerker, omdat zij geen zelfstandige zeggenschap hebben over de persoonsgegevens, die a.s.r. in het kader van de dienstverlening aan de IT-leverancier ter beschikking stelt. a.s.r. blijft in die situaties verantwoordelijk voor een zorgvuldige verwerking van jouw persoonsgegevens.
f. Partijen die betrokken zijn bij de bedrijfsvoering
In verband met de bedrijfsvoering van a.s.r., zoals toegelicht onder 5.e., kunnen wij persoonsgegevens delen met derde partijen. Dit kan gaan om partijen die zelf ook betrokken zijn bij de bedrijfsvoering, zoals (potentiële) kopers van activa, een wederpartij in een juridische procedure of financiers bij een zakelijke transactie. Maar het kan ook gaan om professionele adviseurs van die partijen of bijvoorbeeld een deurwaarder, als dit noodzakelijk is voor de zakelijke transactie of de bedrijfsvoering.
g. Externe Frauderegisters
Voor een verantwoord acceptatie- en risicobeleid en om fraude op te sporen of te voorkomen, leggen wij jouw persoonsgegevens vast in en raadplegen we het Centraal Informatie Systeem van Stichting CIS. In dit register leggen wij onder meer jouw claims vast. Wij houden ons daarbij aan de regels van het CIS-gebruikersprotocol en het Protocol Verzekeraars en Criminaliteit en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Met verzekeraars die zijn aangesloten bij Stichting CIS kunnen we, onder strikte voorwaarden, onderling informatie uitwisselen. Wij raadplegen dit register in het acceptatieproces en bij een eventuele claimmelding. Meer informatie hierover en over het privacyreglement van Stichting CIS vind je op de website van Stichting CIS.
Daarnaast kunnen wij gegevens van jou opvragen bij de Stichting Fraudebestrijding Hypotheken (SFH) als je een hypotheek bij ons wilt afsluiten. SFH heeft een databank waar iedereen in staat, die in het verleden hypotheekfraude heeft gepleegd.
h. Derde partijen buiten de Europese Economische Ruimte (EER)
Jouw gegevens worden veelal verwerkt binnen de Europese Economische Ruimte (EER). Als we gegevens delen met partijen, die gevestigd zijn in een land buiten de EER of wanneer persoonsgegevens buiten de EER verwerkt worden, dan zorgen we ervoor dat de bescherming van jouw persoonsgegevens voldoende gewaarborgd blijft. Wij maken dan bijvoorbeeld gebruik van de Standard Contractual Clauses (Europese modelcontractbepalingen). We maken duidelijke afspraken met partijen, zodat verwerkingen volgens de Europese wetgeving plaatsvinden.
Jouw persoonsgegevens worden niet doorverkocht.
Bijzondere persoonsgegevens
Wanneer je deelneemt aan het a.s.r. Vitality-programma verwerken wij jouw gegevens. Dit doen wij om je te helpen om vitaler te leven. Hiervoor gebruiken wij ook gezondheidsgegevens. Deze gegevens verwerken wij onder andere bij het uitkeren van beloningen, wanneer je een tracker koppelt aan onze app, als je een a.s.r. Vitality Gezondheidscheck laat uitvoeren en wanneer je een van de vragenlijsten invult. Het gaat dan om de volgende gegevens: (sport)activiteiten, leefgewoonten, eetgewoonten, bloeddruk, hartslag, cholesterol, BMI & tailleomvang, jouw Vitality-status en of je wel of niet rookt en/of gerookt hebt.
Delen persoonsgegevens binnen a.s.r.
Vitality kan jouw persoonsgegevens uitwisselen met één van de andere entiteiten van a.s.r. om te kunnen vaststellen of je een verzekering hebt. Dit is een voorwaarde om lid te kunnen zijn van a.s.r. Vitality. Jouw Vitality-status wordt enkel gedeeld met andere entiteiten wanneer dit noodzakelijk is voor het uitkeren van de verzekeringscashback. De bijzondere persoonsgegevens waarover a.s.r. Vitality beschikt worden niet gedeeld met andere entiteiten. Deze gegevens worden zodoende nooit gebruikt voor de acceptatie van een verzekeringsaanvraag, de bepaling van de hoogte van de verzekeringspremie dan wel toegang tot zorg of de beoordeling van een declaratie.
Delen gegevens met derden
Door het koppelen van een app (zoals Apple Gezondheid of Samsung Health) of een activity tracker (zoals een Apple Watch of een Fitbit) aan de a.s.r. Vitality app, ontvangen wij informatie over jouw (sport)activiteiten. Deze gegevens gebruiken wij voor het toekennen van punten voor de door jouw geleverde prestatie.
Het gebruik van een app of een activity tracker is jouw eigen verantwoordelijkheid. Deze privacyverklaring is niet van toepassing op de wijze waarop deze apps of activity trackers omgaan met de door jou verstrekte gegevens. We wijzen je erop dat veel leveranciers van deze apps of activity trackers buiten de Europese Unie zijn gevestigd en gegevens opslaan buiten de Europese Unie. Daardoor is mogelijk andere privacywetgeving dan de AVG van toepassing. We raden je aan om de privacyverklaring van deze leveranciers te raadplegen voor meer informatie over de wijze waarop zij jouw gegevens verwerken en de rechten die je hebt.
Profilering
Op basis van jouw app-gebruik, geregistreerde activiteiten, geclaimde beloningen, status, leeftijd, geslacht en openbare of ingekochte data creëren wij een gebruikersprofiel. Hierbij nemen wij ook mee of je een vragenlijst hebt ingevuld of een health check hebt gedaan. Daarbij kijken wij enkel of je deze hebt ingevuld en dus niet naar de antwoorden of de uitkomst. Wij gebruiken jouw gebruikersprofiel om jou beter te helpen in beweging te komen, of te blijven, door een gepersonaliseerde ervaring aan te bieden. Zo kun je op basis van jouw profiel bijvoorbeeld andere notificaties krijgen, beloningen in een andere volgorde of extra uitgelicht zien of specifieke evenementen onder de aandacht gebracht krijgen. Het gebruikersprofiel heeft geen invloed op welke beloningen je recht hebt of hoeveel punten je krijgt voor activiteiten of vragenlijsten. Jouw profiel wordt niet met anderen gedeeld; niet met de andere entiteiten binnen a.s.r. en ook niet met externe partijen. Jouw rechten, zoals vermeld onder onderdeel 11, zijn ook van toepassing op het gebruikersprofiel bij Vitality.
Je hebt een aantal rechten, die gaan over jouw persoonsgegevens. Je kunt een verzoek indienen om deze rechten te kunnen uitoefenen via privacy@asr.nl.
Wij reageren binnen één maand op je verzoek. Hebben we meer tijd nodig om je verzoek te behandelen? Dan laten we dit binnen één maand weten en we vertellen waarom we meer tijd nodig hebben. Om een verzoek in behandeling te kunnen nemen, stellen we controlevragen om je te identificeren. Dit doen wij om te voorkomen dat je gegevens bij iemand anders terecht komen.
Wanneer toch iemand anders namens jou een verzoek indient, dan ontvangen wij graag ook een machtiging om te kunnen bevestigen dat diegene bevoegd is om dit verzoek namens jou te doen. Hieronder kun je lezen welke rechten dat zijn:
a. Gegevens inzien of verbeteren (inzage en rectificatie)
Je hebt het recht om ons te vragen welke persoonsgegevens wij van jou verwerken en om onjuiste gegevens te laten aanpassen. Kijk ook eens op je a.s.r.-account, daar kun je de meeste van jouw gegevens direct inzien.
b. Gegevens laten verwijderen en het recht om ‘vergeten te worden’.
In een aantal gevallen en onder voorwaarden heb je het recht om de persoonsgegevens, die wij van je hebben te laten wissen. Dit kan het geval zijn indien:
- de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt.
- je de toestemming voor het verwerken hebt ingetrokken.
- je gegrond bezwaar maakt tegen de verwerking.
- jouw persoonsgegevens door ons onrechtmatig zijn verwerkt.
- het persoonsgegevens betreft van jouw kind, die zijn verzameld in verband met een rechtstreeks aanbod van internetdiensten aan jouw kind.
Het recht om vergeten te worden, is geen absoluut recht. Wij kunnen besluiten niet aan je verzoek te voldoen en je gegevens niet te wissen, als je verzoek niet gebaseerd is op één van de bovenstaande gronden, of (i) om het recht op vrijheid van meningsuiting en informatie te kunnen uitoefenen; (ii) om een wettelijke verlichting na te komen; of (iii) voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
Als wij niet voldoen aan je verzoek om je persoonsgegevens te laten wissen, dan informeren wij je over de redenen waarom wij niet aan jouw verzoek kunnen voldoen.
c. Beperking van de verwerking
Als je van mening bent dat wij jouw persoonsgegevens onrechtmatig verwerken, dan kun je verzoeken om beperking van de verwerking. Dit betekent dat de gegevens voor een bepaalde tijd niet door ons worden verwerkt.
d. Overdracht van de gegevens (dataportabiliteit)
Je hebt het recht om een kopie te krijgen van de persoonsgegevens die je aan ons hebt verstrekt voor de uitvoering van een overeenkomst die je met ons hebt gesloten of op basis van jouw toestemming. Het gaat hier alleen om persoonsgegevens die wij van jou zelf hebben ontvangen en niet om gegevens die wij van derden hebben ontvangen. Het doel van dit recht is om je in staat te stellen deze gegevens eenvoudig over te dragen aan een andere partij.
e. Recht van bezwaar
Je hebt te allen tijde het recht om bezwaar te maken tegen de verwerking van jouw persoonsgegevens, die plaatsvindt op basis van ons gerechtvaardigd belang of het gerechtvaardigd belang van een derde. In dat geval zullen wij jouw gegevens niet langer verwerken, tenzij er dwingende gerechtvaardigde gronden zijn voor de verwerking, die zwaarder wegen of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
f. Afmelden voor persoonlijke aanbiedingen
Je hebt het recht om je af te melden voor nieuwsbrieven of persoonlijke aanbiedingen via verschillende kanalen (bijvoorbeeld via e-mail, telefoon en post) over onze verzekeringen en andere (financiële) diensten. In commerciële aanbiedingen vermelden wij altijd een afmeldmogelijkheid. Onze medewerkers kunnen je bellen voor commerciële doelen. Als je door ons wordt gebeld, kun je tijdens het telefoongesprek aangeven dat je niet meer gebeld wilt worden. Je kunt ook zelf contact met ons opnemen en doorgeven dat je niet meer gebeld wilt worden. Wanneer we profielen (zie hiervoor 13) maken om persoonlijke aanbiedingen te doen voor producten en diensten, die aansluiten bij jouw persoonlijke voorkeuren en interesses, kun je op ieder moment bezwaar maken tegen het gebruik van jouw gegevens voor dit doeleinde.
Op de gegevens, die wij van je krijgen via deze platforms, is deze privacyverklaring van toepassing. Het gebruik van social media is jouw eigen verantwoordelijkheid. Deze privacyverklaring is niet van toepassing op de wijze waarop social-mediaplatforms omgaan met de door jouw verstrekte persoonsgegevens. We wijzen erop dat veel social-mediaplatforms buiten de Europese Unie zijn gevestigd en gegevens opslaan buiten de Europese Unie. De privacywetgeving van de Europese Unie geldt dan meestal niet. We raden je aan om de privacyverklaring van deze social-mediakanalen te raadplegen voor meer informatie over de wijze waarop zij jouw persoonsgegevens verwerken.
Geautomatiseerde besluitvorming is volgens de AVG het geautomatiseerd verwerken van persoonsgegevens zonder 'menselijke blik'. Bij profilering is er ook sprake van automatische besluitvorming waarbij persoonsgegevens worden verwerkt met de bedoeling om ’persoonlijke aspecten’ zoals het gedrag van een mens te beoordelen of te voorspellen.
Profiling
Wij maken profielen van onze klanten op basis van de gegevens die we van jou hebben verkregen, soms aangevuld met informatie die we uit openbare bronnen hebben verzameld. Zo'n profiel gebruiken we om gegevens te analyseren en op die manier onder meer risico’s te beheersen, verbanden te leggen en inzicht te krijgen in (toekomstige) handelingen en voorkeuren. Wij maken deze profielen om onze dienstverlening en het producten- en dienstenaanbod te verbeteren en nader af te stemmen op jouw wensen en behoeften. Bijvoorbeeld door aan de hand van deze gegevens de premie in te schatten of klanten gerichte reclame/informatie te sturen. Maar ook om fraude tegen te gaan, witwassen en terrorismefinanciering te voorkomen.
Bij het gebruik van profilering zullen we eerst onderzoeken of en welke risico's er aan verbonden zijn, onder andere om te voorkomen dat er een verkeerd beeld van iemand kan ontstaan. Als we profilering gebruiken, dan heb je altijd het recht om bezwaar in te dienen en in een aantal gevallen moeten we om toestemming vragen.
Geautomatiseerde besluitvorming
Wij gebruiken geautomatiseerde processen, bijvoorbeeld voor het beoordelen van een aanvraag van een verzekering, declaratie, een schademelding of bij het doen van een uitkering. Zo worden bij een aanvraag de gegevens die je hebt ingevuld automatisch getoetst aan onze acceptatiecriteria. Wij kunnen zo een risico-inschatting maken van jouw aanvraag. Bij een schademelding worden de gegevens die je hebt ingevuld automatisch getoetst aan onze schadebeoordelingscriteria. Wij kunnen zo toetsen of een schade gedekt is. In beide processen controleren we of de gegevens juist zijn en wordt het besluit genomen op basis van onder andere de door jou ingevulde gegevens, risicogegevens, fraudegegevens en gegevens uit (openbare) bronnen zoals de CIS-databank.
Als de uitkomst is dat de aanvraag geaccepteerd kan worden of dat de schade uitgekeerd kan worden, dan kan de aanvraag automatisch geaccepteerd of de schadeclaim automatisch uitgekeerd worden. Je hebt het recht om een automatisch besluit voor te leggen aan een medewerker en uitleg te krijgen. Je hebt de mogelijkheid om te laten weten wat je ervan vindt en bezwaar te maken tegen een automatisch besluit.
Jouw gegevens worden in beginsel geautomatiseerd verwerkt als je een basis- of een aanvullende ziektekostenverzekering aanvraagt. Dit gebeurt aan de hand van de gegevens die je op het (elektronische) aanvraagformulier hebt ingevuld. Daarnaast doorlopen machtigingsaanvragen en declaraties een zorgvuldig proces, waarbij wordt beoordeeld of jouw aanvraag of declaratie onder de dekking valt van de verzekeringsvoorwaarden. Het toetsen van deze criteria kan geautomatiseerd plaatsvinden. Je krijgt altijd een bericht waarin de aanvraag of declaratie wordt toe- of afgewezen. Je hebt het recht om een automatisch besluit voor te leggen aan een medewerker en uitleg te krijgen. Je hebt de mogelijkheid om te laten weten wat je ervan vindt en bezwaar te maken tegen een automatisch besluit.
Hierbij kunnen we gebruik maken van Artificiële Intelligentie. Voordat we gebruik maken van AI beoordelen wij of de inzet van AI ethisch en maatschappelijk verantwoord en betrouwbaar is. Zie verder onder 14.
Wij gebruiken AI voor (het ontwikkelen en verbeteren van) onze processen en diensten. Bij de ontwikkeling of inzet van AI kunnen we persoonsgegevens gebruiken. Denk hierbij aan:
- persoonsgegevens die worden gebruikt om een AI-systeem te trainen door grote aantallen persoonsgegevens te analyseren. Die persoonsgegevens zijn nodig om bepaalde uitkomsten van het AI-systeem te kunnen valideren.
- persoonsgegevens die worden gebruikt door een AI-systeem om een beslissing te nemen. Bijvoorbeeld wanneer een AI-systeem besluit of de aanvraag voor een verzekering wordt geaccepteerd.
Bij de ontwikkeling of training van AI worden altijd controles ingebouwd om ongewenste uitkomsten te voorkomen voor jou als klant maar ook voor a.s.r., zoals het voorkomen van discriminatie, bias en oneerlijke behandeling. Daarnaast moet voor het gebruik van AI een onderzoek worden gedaan, waarin de noodzaak en de risico's worden beoordeeld die aan deze verwerking zitten.
Dit houdt onder andere in dat verwerking van persoonsgegevens moet voldoen aan de eisen van de AVG. Bij gebruik van persoonsgegevens in AI werken wij conform de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG (UAVG), AI Verordening en de Gedragscode Verwerking Persoonsgegevens Verzekeraars. Hiervoor voeren we voorafgaand aan de inkoop, ontwikkeling en/of ingebruikname van een AI-systeem waar dit noodzakelijk is een gegevensbeschermingseffectbeoordeling (een DPIA) uit. Wij kiezen voor een AI-systeem dat zo min mogelijk potentieel gevoelige data of persoonsgegevens verwerkt (dataminimalisatie) en/of waarbij de mogelijkheid bestaat om de privacy te vergroten via bijvoorbeeld encryptie, pseudonimisering/anonimisering of aggregatie. Wij zorgen voor gedegen bescherming van (trainings-)data tegen aantasting, vervuiling of hacking.
Binnen a.s.r. gebruiken we onder andere AI-systemen voor de volgende doeleinden:
- optimalisatie van de dienstverlening/klantbediening, bijvoorbeeld het automatisch analyseren en classificeren van e-mails om deze sneller en beter te behandelen.
- voor het maken van samenvattingen van chats, whats app- of telefoongesprekken. Hierdoor kunnen we onze klanten gerichter en pro-actiever helpen.
- interpreteren van de telefonische klantvraag en efficiëntere beantwoording daarvan.
De privacywetgeving is in beweging. Wij kunnen deze privacyverklaring dan ook aanpassen om actueel te blijven. Ook als er wijzigingen zijn in de manier waarop we met je gegevens omgaan, kunnen we onze privacyverklaring aanpassen. Wij raden je daarom aan deze privacyverklaring regelmatig opnieuw te bekijken bij een bezoek aan een van onze websites. Als er sprake is van een wezenlijke wijziging in deze privacyverklaring, dan volgt daarover een duidelijke kennisgeving (bijvoorbeeld op onze website).
Waar kun je terecht met een vraag?
Heb je een vraag over deze Privacyverklaring? Stuur dan een e-mail naar privacy.office@asr.nl.
Je kunt contact opnemen met de Functionaris Gegevensbescherming door een e-mail te sturen naar anl.compliance.fg@asr.nl of een brief naar:
a.s.r.
T.a.v. de Functionaris Gegevensbescherming
Postbus 2072
3500 HB Utrecht
Waar kun je terecht met een klacht?
Heb je een klacht over het gebruik van je persoonsgegevens?
Dan kun je dit aan ons melden via het klachtenformulier op onze website. Of neem contact op.
Heb je een Aegon-product, dan kun je gebruik maken van het klachtenformulier op de Aegon website.
Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens. Dit is in Nederland de onafhankelijke autoriteit, die is opgericht om toe te zien op de naleving van de Algemene Verordening Gegevensbescherming.
Website: www.autoriteitpersoonsgegevens.nl
Telefoon: +31 (0) 70 888 85 00
Deze privacyverklaring is voor het laatst aangepast op 2 januari 2025.
Voor mensen die werkzaam zijn (geweest) bij ASR Nederland N.V. is de Privacyverklaring medewerkers van toepassing.
Privacyverklaring downloaden
Wil je onze privacyverklaring op een later moment lezen, bijvoorbeeld wanneer je offline bent? Dat kan.
- Download privacyverklaring (Nederlands)
- Download privacyverklaring (Engels)