Betreft
De GBA onderzoekt of de privacyverklaring van een verzekeringsmaatschappij voldoende transparant is en of de verzekeringsmaatschappij de gezondheidsgegevens van haar cliënteel voor andere doeleinden aanwendt dan waarvoor zij oorspronkelijk werden verzameld.
Context
Verzekeringsmaatschappijen en GDPR
Rechtsgrond
Artikel 5.1.a) GDPR: “Persoonsgegevens moeten: worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”)”
Artikel 5.2 GDPR: “De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”)”
Artikel 6.1 GDPR: “De verwerking is alleen rechtmatig indien en voor zover aan ten
minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.”
Artikel 12.1 GDPR: “De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.”
Artikel 13.1.c) en d) GDPR: “Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene al bij de verkrijging van de persoonsgegevens de volgende informatie:
(…)
c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking;
d) de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd.”
Artikel 13.2. GDPR: “Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:
a) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
b) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
c) wanneer de verwerking op artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan.”
Feiten
In het kader van een hospitalisatieverzekering werden gezondheidsgegevens verzameld van tal van verzekeringnemers door een verzekeringsmaatschappij. Deze gezondheidsgegevens werden vervolgens verwerkt voor andere doeleinden en ook doorgegeven aan derden zoals gestipuleerd in de privacyverklaring van de verzekeringsmaatschappij.
Punt 4.3. van de privacyverklaring vermeldt dat persoonsgegevens worden verwerkt op basis van het gerechtvaardigd belang van de verzekeringsmaatschappij, voor de volgende doeleinden:
- “het uitvoeren van computertesten;
- het bewaken van de kwaliteit van de dienstverlening;
- het opleiden van personeel;
- monitoring en rapportage;
- het voorkomen van misbruik en fraude;
- de opslag van opnamen van videobewaking gedurende de wettelijke periode;
- het opstellen van statistieken van gecodeerde gegevens, inclusief big data;
- het verstrekken van informatie, ongeacht de communicatiemiddelen, over de commerciële acties, producten en diensten van de verzekeringsmaatschappij en van de groep waartoe het behoort.”
Één van de verzekeringnemers van de verzekeringsmaatschappij vraagt dan ook inspraak in de verwerking van zijn gezondheidsgegevens voor bovenstaande doeleinden. De verzekeringsmaatschappij laat op haar beurt weten niet verplicht te zijn om dergelijke keuze aan te bieden nu volgens haar geen gezondheidsgegevens, maar enkel ‘gewone’ gegevens worden verwerkt en zij zich kan beroepen op het gerechtvaardigd belang als rechtsgrond (artikel 6.1.f) GDPR).
Wanneer een verwerkingsverantwoordelijke zich steunt op het gerechtvaardigd belang om een verwerking als rechtmatig te bestempelen, moet overeenkomstig de rechtspraak van het Europees Hof van Justitie aan drie cumulatieve voorwaarden worden voldaan:
- de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt;
- de noodzakelijkheid van de verwerking van de persoonsgegevens voor de behartiging van het gerechtvaardigde belang;
- het feit dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren, en dit voor zover de belangen van de betrokkenen niet zwaarder doorwegen dan de belangen van de verwerkingsverantwoordelijke.
De Geschillenkamer gaat in haar beslissing alle doeleinden vermeld in punt 4.3. van de privacyverklaring na om te verifiëren of de verzekeringsmaatschappij zich kon beroepen op het gerechtvaardigd belang als rechtsgrond voor de verwerking.
Wat betreft de doelstelling “het voorkomen van misbruik en fraude” en “het verstrekken van informatie, ongeacht de communicatiemiddelen, over de commerciële acties, producten en diensten van de verzekeringsmaatschappij en van de groep waartoe het behoort”, ligt er een gerechtvaardigd belang voor.
Voor de overige doeleinden opgenomen in 4.3. van de privacyverklaring is de Geschillenkamer van oordeel dat er geen sprake is van een gerechtvaardigd belang in hoofde van de verzekeringsmaatschappij dat zwaarder zou wegen dan de belangen en de grondrechten van de verzekeringnemer tot bescherming van zijn persoonsgegevens.
Hierdoor is de inbreuk op artikel 6.1. GDPR bewezen aangezien voor deze andere doeleinden geen toestemming werd bekomen bij gebrek aan enige andere mogelijke toepasselijke rechtsgrond.
Wat betreft punt 6. van de privacyverklaring dat betrekking heeft op de doorgifte van persoonsgegevens aan derden stelt de verzekeringnemer ook hier dat hij niet de keuze aangeboden krijgt om al dan niet akkoord te gaan. Ook hier is de Geschillenkamer van oordeel dat de inbreuk op artikel 6.1. GDPR is bewezen om dezelfde reden dat er geen toestemming werd bekomen bij gebrek aan enige andere mogelijke toepasselijke rechtsgrond.
Bovendien is de verwerkingsverantwoordelijke verplicht om de betrokkene op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal te informeren (art. 5.1. a), art. 12.1. en art. 13.1. GDPR). De Geschillenkamer stelt vast dat, met betrekking tot 4.3. en 6. van de privacyverklaring, de verzekeringsmaatschappij tekort komt aan die verplichting:
- er wordt geen duidelijk onderscheid gemaakt tussen de verwerking van gezondheidsgegevens en de verwerking van “gewone” persoonsgegevens;
- de privacyverklaring vermeldt dat voor de in 4.3. vermelde doeleinden persoonsgegevens worden verwerkt op basis van het gerechtvaardigd belang van de verzekeringsmaatschappij zonder aan te geven waaruit dat gerechtvaardigd belang dan precies zou bestaan. (inbreuk op artikel 13.1.d) GDPR);
- er werd nergens in de privacyverklaring melding gemaakt van het feit dat de betrokkene de mogelijkheid heeft om zijn recht van bezwaar uit te oefenen (inbreuk op artikel 12.1 en 21.2 GDPR). Zeker in het kader van direct marketing vormt dit een ernstige inbreuk op artikel 13.2. b) GDPR.
Tot slot wenst de verzekeringnemer een gegevensbeschermingseffectbeoordeling (DPIA) te ontvangen van de verzekeringsmaatschappij daar er sprake is van het verwerken van persoonsgegevens met een hoog risico voor de betrokkenen. Een verplichting die volgens de verzekeringsmaatschappij niet op haar van toepassing is omdat zij al jaren gezondheidsgegevens verzamelt. Voor reeds bestaande verwerkingen is een DPIA in beginsel slechts vereist indien de risico’s voor de rechten en vrijheden voor natuurlijke personen na 25 mei 2018 veranderen.[1] Dit is volgens de verzekeringsmaatschappij niet aan de orde. De Geschillenkamer gaat mee in deze redenering en besluit dat er geen sprake is van een inbreuk op artikel 35 en/of 36 GDPR.
Conclusie:
Hoewel er geen gezondheidsgegevens van de betrokkenen worden verwerkt zonder de daartoe vereiste uitdrukkelijke toestemming en de verzekeringsmaatschappij zich beroept op een andere verwerkingsrechtsgrond voor wat betreft de gegevens die niet vallen onder een bijzonder beschermingsregime in de GDPR, is de Geschillenkamer van mening dat de relatief grote impact van de vastgestelde inbreuken die alle verzekerden betreffen die zich via een hospitalisatieverzekering aangesloten hebben bij de verzekeringsmaatschappij, in aanmerking moet worden genomen bij het bepalen van de administratieve geldboete.
Uitspraak
Met het oog op een krachtige handhaving van de regels van de GDPR en gelet op de jaaromzet van de laatste drie boekjaren van de verzekeringsmaatschappij die telkens tussen de € 500 en 600 miljoen lagen, besluit de Geschillenkamer de verzekeringsmaatschappij een administratieve geldboete op te leggen van € 50.000. De relatief grote impact van alle verzekerden die zich via een hospitalisatieverzekering hebben aangesloten bij de verzekeringsmaatschappij werd hierbij mee in overweging genomen. Ook moet de verwerking in overeenstemming worden gebracht met art. 5.1.a), art. 5.2., art. 6.1., art. 12.1. en 13.1. c) en d) en 13.2. b) GDPR.
Onze mening
Hoewel de rechtmatigheidsgrond van het gerechtvaardigd belang in de praktijk zeer vaak wordt ingeroepen, kan zij niet gebruikt worden om zomaar elk verwerkingsdoeleinde te verantwoorden. Iedere concrete verwerking moet in het licht van het toepasselijke doeleinde beoordeeld worden of dit verantwoord is, o.m. moet de belangafweging gemaakt worden.
Op dit moment is er nog geen specifieke wettelijke basis voor de verzekeringssector die toelaat om binnen bepaalde wettelijke grenzen gezondheidsgegevens te verzamelen.
Definitief?
Nee, deze beslissing werd eind 2020 voor het Marktenhof in Brussel aangevochten. Het Marktenhof is een specifieke kamer voor marktzaken binnen het Brusselse Hof van Beroep.
Artikel 108,§2 van de Wet tot oprichting van de Gegevensbeschermingsautoriteit geeft het Marktenhof de bevoegdheid om kennis te nemen van het beroep tegen beslissingen van de Geschillenkamer van de GBA: “Tegen de beslissingen van de geschillenkamer op grond van de artikelen 71 en 90 staat beroep open bij het Marktenhof die de zaak behandelt zoals in kort geding overeenkomstig de artikelen 1035 tot 1038, 1040 en 1041 van het Gerechtelijk Wetboek.”
De GDPR vereist dat tegen de juridisch bindende beslissingen van de nationale toezichthoudende autoriteiten beroep openstaat bij rechterlijke instanties: “volledige rechtsmacht [dienen] uit te oefenen waaronder rechtsmacht om alle feitelijke en juridische vraagstukken in verband met het bij hen aanhangige geschil te onderzoeken”[2]
Het Marktenhof kan niet enkel de beslissingen van de GBA vernietigen, maar kan ook zijn eigen beslissing in de plaats stellen van de vernietigde beslissing binnen de grenzen van het gerechtelijke debat. M.a.w. beperkt tot de door de verzoekende partij aangevoerde gronden en de middelen van verdediging van de wederpartij. Zij kan desgevallend de sanctie vervangen door een andere sanctie.
Het Marktenhof had in haar arrest van 2 september 2020 de beslissing van de GBA nietig verklaard en beval de GBA om binnen een redelijke termijn een nieuwe beslissing te treffen aangaande de neergelegde klacht.
Intussen besliste de Geschillenkamer op 6 mei 2021[3] om de beslissing van 24/2020 van 14 mei 2020 te herzien.
Integrale beslissing
[1]https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_01_2018_0.pdf
[2] Zie preambule bij de GDPR, overw. 143. Zie ook art. 78 GDPR.
[3] https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-57-2021.pdf