Een lezer vroeg me:
Mijn verzekeraar heeft zonder mijn toestemming persoonsgegevens gebruikt voor een nieuwe dienst waarbij ik voortaan online via een ‘Mijn [naam verzekeraar]’ mijn verzekeringszaken kan afhandelen. Ik heb mijn verzekeraar een jaar geleden al laten weten dat ik hiervoor geen toestemming geef en dat ik geen gebruik wil maken van deze nieuwe dienst. De verzekeraar zegt nu dat ze mijn gegevens niet offline hoeven te halen en dat ik alleen de verzekering kan opzeggen.
Toestemming is de hoofdregel uit de privacywet, maar er zijn uitzonderingen. Eén zo’n uitzondering is als de verwerking “nodig is voor een goede uitvoering van de overeenkomst”. Ze hoeven bijvoorbeeld geen toestemming te vragen om je een pasje te geven met je naam erop. Dat pasje is nodig om elders te bewijzen dat je verzekerd bent. Net zoals een bank geen toestemming nodig heeft om mijn rekeningnummer te verwerken als iemand geld naar me overmaakt.
De vraag is dus of deze dienst “nodig” is voor het leveren van de verzekering. Zij zeggen van wel natuurlijk. Er is maar rechtspraak over dit onderdeel, dus dat wordt een moeilijke discussie. In de OV-chipkaartdiscussie was bijvoorbeeld de vraag of de NS studenten mocht verplichten om in- en uit te checken, onder meer met het argument dat dat een onterechte verwerking van hun persoonsgegevens opleverde. Maar dat mocht van de rechter. Dit had een redelijk doel en paste daarmee binnen de uitvoering van de vervoersovereenkomst:
Het niet inchecken maar het slechts laten uitlezen van de OV-chipkaart door de conducteur is dan ook niet meer voldoende omop basis van een geldig vervoersbewijs met het studentenreisrecht te kunnen reizen. (…) Een conducteur moet [], bijvoorbeeld op de dagen waarin de vrij reizenperiode overgaat in de 40%-reductieperiode en vice versa, middels het moment (tijdstip) van inchecken kunnen vaststellen of de reis de vrij reizen periode of de 40%-reductie periode betreft. Het uitlezen van het type studentenreisrecht door de conducteur is dan onvoldoende.
Bij een verzekeringsportal zie ik de noodzaak iets minder. Het is immers goed mogelijk om de producten op papier te blijven leveren en telefonisch contact te onderhouden met de verzekerden. Maar aan de andere kant, het is een brede wens om dingen online te doen, dus redelijkerwijs is online aanbieden van verzekeringsinformatie wel een normale manier van levering van die dienst. En als je als grote verzekeraar dit voor veel mensen uitrolt, dan moet je het wel voor iedereen doen eigenlijk.
Wat denken jullie? Is een verplicht “Mijn [insert verzekeraar]”-portaal normaal en redelijk? Of moet je kunnen eisen dat alles op papier en telefoon gaat?
Arnoud