De AP heeft na ontvangst van de uitgebreide klacht ‘globaal bureau­onderzoek’ gedaan. Alle stukken die er van de zaak zijn, worden bekeken. Hieruit blijkt onder meer dat mevrouw X meermalen betrokken is geweest bij schadeclaims van de heer Y. Over de schadeclaims van de heer Y zijn diverse gerechtelijke en Kifid-procedures gevoerd omdat er mogelijk sprake is van fraude. Mevrouw X is zelf geen klant bij a.s.r., meneer Y wel.

Op het inzageverzoek heeft a.s.r. me­vrouw X geïnformeerd hoe we aan de persoonsgegevens van haar zijn gekomen, waarvoor deze gegevens worden verwerkt, aan wie ze verstrekt worden en hoe lang de gegevens bewaard worden. En mevrouw krijgt een overzicht van haar verwerkte persoons­gegevens. Het verzoek om verklaringen over de herkomst van uitingen in de procedures wordt door a.s.r. afgewezen omdat dit niet onder het inzageverzoek van de AVG valt.

De AP legt uit dat het inzagerecht van de AVG niet gaat over het afleggen van verklaringen of inzage in dossierstukken die tot bepaalde uitingen hebben geleid. a.s.r. heeft juist gehandeld door hier geen informatie over te verstrekken. Vervolgens oordeelt de AP dat a.s.r. vergaande persoonsgegevens mocht verwerken, gezien de mogelijke fraude.

In de AVG is vastgelegd dat we een volledig overzicht van alle persoonsge­gevens moeten verstrekken als hierom wordt gevraagd. Het zogenaamde inzageverzoek. Iemand moet kunnen controleren dat de gegevens die we van die persoon verwerken juist zijn, zorgvuldig verwerkt worden en hoe we daaraan komen. Dit houdt niet in dat iemand er recht op heeft om de originele documenten waarin de gegevens staan, te ontvangen.

Verder mogen persoonsgegevens alleen worden verwerkt als dat rechtmatig is. Dat betekent dat er een grondslag voor moet zijn, bijvoorbeeld een (verzekerings) overeenkomst, wettelijke plicht of gerechtvaardigd belang. Zoals verdedi­ging in een gerechtelijke procedure. Ook mogen niet meer gegevens worden verwerkt dan nodig voor het doel. Zo mag je bijvoorbeeld niet standaard een medisch onderzoek doen en vastleggen als iemand een autoverzekering sluit. Maar je mag bijvoorbeeld wel verdachte transacties monitoren (verwerken) in geval van verdenking van fraude. De AP toetst of voldaan wordt aan deze criteria.

In dit geval mocht a.s.r. meer gegevens vastleggen dan gebruikelijk omdat er sprake was van mogelijke fraude. En de AP was duidelijk dat verklaringen in de gerechtelijke stukken of andere docu­menten niet onder het inzagerecht vallen. Als de AP had geconcludeerd dat we in strijd met de AVG hadden gehandeld, dan had de AP tot handhaving over kunnen gaan. Dit kan bestaan uit onderzoek doen, het geven van aan­wijzingen of het opleggen van een boete. Tot 20 miljoen euro!

Het belang van (bescherming van) privacy in de samenleving neemt toe, in ieder geval het bewustzijn over privacy is mede door de invoering van de AVG toegenomen. Je ziet dit bij de AP terug in een stijging van het aantal meldingen van (vermeende) schendingen van de privacy. Ook bij a.s.r. zie je dat klanten wat vaker verzoeken om inzage of om verwijdering van hun gegevens. Binnen a.s.r. hebben we regels opgesteld om zorgvuldig en volgens de AVG met persoonsgegevens om te gaan. Deze regels staan op Infonet: Integriteit en JZ / Compliance / Privacy en Gegevens­bescherming.

De Functionaris Gegevensbescherming (FG) is bij a.s.r. de toezichthouder op het gebied van privacy. Dit is Juliette Koemans. Met vragen over privacy kun je terecht bij de privacy expert van je bedrijfsonderdeel, de compliance officer of de FG.