Persoonsgegevens zijn zeer belangrijk voor de verzekeringssector. Verzekeraars verzamelen en gebruiken enorme hoeveelheden persoonlijke gegevens van klanten of anderen. Sommige van die gegevens kunnen zelfs gevoelig van aard zijn (bijvoorbeeld gezondheidsgegevens). Verzekeraars hebben immers gegevens nodig voor risicobeheer, acceptatie, claimbeheer, fraudepreventie en -detectie en marketingdoeleinden.
Gezondheidsgegevens worden beschouwd als een speciale categorie van persoonsgegevens. Gezondheidsgegevens zijn van nature bijzonder gevoelig, aangezien de verwerking ervan aanzienlijke risico’s kan opleveren voor de fundamentele rechten en vrijheden van de betrokkene. De Algemene Verordening Gegevensbescherming (AVG of GDPR) bepaalt dat bijzondere categorieën van persoonsgegevens, waaronder gezondheidsgegevens, alleen onder strikte voorwaarden mogen worden verwerkt. Een verzekeraar mag gezondheidsgegevens van de verzekeringnemer, verzekerde of anderen alleen verwerken op grond van een van de tien rechtsgronden die in de GDPR zijn voorzien (artikel 9, lid 2 GDPR).
Uit de praktijk blijkt dat er een grote mate van onzekerheid heerst rond de juiste rechtsgrond voor de verwerking van gezondheidsgegevens door verzekeraars. Dit blijkt eens te meer uit een recente uitspraak van de Belgische Gegevensbeschermingsautoriteit (Data Protection Authority – Autorité de protection des données) van 29 augustus 2024.
De onderliggende feiten zijn als volgt. Een verzekeringnemer van een schuldsaldoverzekering (assurance solde restant dû) heeft een klacht ingediend bij de Gegevensbeschermingsautoriteit (afgekort als “GBA”) in het kader van een kredietaanbod voor de aankoop van een woning. Het kredietaanbod voorziet in een voorwaardelijke rentekorting indien de verzekeringnemer een schuldsaldoverzekering afsluit voor het bedrag van het krediet. De verzekeringnemer stelt dat bij het aanvragen van een schuldsaldoverzekering via een tussenpersoon in maart 2022 blijkt dat het ondertekenen van een toestemmingsformulier voor het verwerken van gezondheidsgegevens noodzakelijk is. Volgens de verzekeringnemer zou deze toestemming echter niet alleen gelden voor de acceptatie van de betreffende schuldsaldoverzekering, maar voor alle verwerkingen van gezondheidsgegevens, zoals schadeafhandeling, uitwerking van prijszetting, verfijning van toetredings- en dekkingsvoorwaarden, geautomatiseerde besluitvorming en fraudedetectie en -preventie. De makelaar verduidelijkte dat het onmogelijk is om met een specifiekere toestemming te werken. Bovendien merkt de verzekeringnemer op dat de website van de verzekeraar het invullen van de vragenlijst verhindert als er geen toestemming is gegeven. Gezien het risico de rentekorting mis te lopen, stemt verzekeringnemer in met het toestemmingsformulier en vult de medische vragenlijst op de website in. Vervolgens trekt de verzekeringnemer zijn toestemming gedeeltelijk in.
De verzekeringnemer verzoekt de GBA standpunt in te nemen over de rechtsgrond, namelijk of er een voldoende specifieke rechtsgrond is voor de verwerking van zijn gezondheidsgegevens of dat toestemming de toepasselijke rechtsgrond is. De verzekeringnemer stelt dat de toestemming niet vrij en specifiek is gegeven. Met betrekking tot het vrije karakter van de toestemming wijst de verzekeringnemer erop dat het weigeren van de toestemming een duidelijk nadeel met zich meebrengt, dat verder gaat dan het niet kunnen verkrijgen van een verzekering. De verzekeringnemer hekelt ook het feit dat door het bundelen van toestemmingen voor verschillende doeleinden in één toestemming, de toestemming niet vrij te verkrijgen is en niet specifiek van aard is.
De GBA wijst erop dat de Belgische wetgeving geen specifieke bepalingen bevat met betrekking tot de verwerking van gezondheidsgegevens door verzekeraars. Daarom zijn de algemene bepalingen van de GDPR van toepassing. Volgens artikel 9.2, a) GDPR is de verwerking van gezondheidsgegevens mogelijk indien de verzekeraar de uitdrukkelijke toestemming van de betrokkene verkrijgt (voorafgaand aan de verwerking). Toestemming moet vrij worden gegeven. Dit betekent dat toestemming alleen geldig is als de betrokkene een echte keuze kan maken en er geen risico is op misleiding, intimidatie, dwang of aanzienlijke negatieve gevolgen als de betrokkene geen toestemming geeft.
De GBA is van mening dat de toestemming die de verzekeringnemer in de onderliggende zaak heeft gegeven niet vrij is. Het betreffende kredietaanbod voorziet namelijk in een voorwaardelijke rentekorting indien de verzekeringnemer een schuldsaldoverzekering afsluit bij de verzekeraar. De rentekorting vervalt als er geen schuldsaldoverzekering bij de verzekeraar wordt afgesloten. Daarnaast wijst de GBA ook op de maatschappelijke wenselijkheid van een schuldsaldoverzekering, namelijk de voordelen voor en de bescherming van partners of erfgenamen. Bijgevolg is er sprake van een inbreuk op artikel 4, 11) GDPR en artikel 9.2 GDPR.
De GBA wijst er echter op dat deze inbreuk niet aan de verzekeraar kan worden verweten. De GBA wil de aandacht vestigen op de bredere kwestie die verband houdt met de klacht, namelijk het verzamelen van gezondheidsgegevens door verzekeraars van potentiële verzekeringnemers met hun uitdrukkelijke toestemming (art. 9, lid 2, onder a), GDPR) in het kader van het afsluiten en uitvoeren van een verzekeringsovereenkomst, in dit geval een schuldsaldoverzekering, en de daarmee samenhangende vraag in hoeverre de toestemming van die verzekeringnemers vrij kan zijn. De GBA is van mening dat deze situatie onwenselijk is voor alle actoren die betrokken zijn bij het afsluiten van dergelijke verzekeringscontracten en dringt erop aan dat een oplossing wordt gevonden, bij voorkeur op Europees niveau. De GBA informeert dan ook de EDPB (European Data Protection Board) en, in overleg met het Directiecomité van de GBA, andere bevoegde autoriteiten op nationaal en Europees niveau.
De beslissing van de GBA benadrukt de uitdagingen waarmee verzekeraars worden geconfronteerd bij het verwerken van gezondheidsgegevens. Deze uitdagingen kunnen als volgt worden samengevat:
- Volgens het verantwoordingsbeginsel moet de verzekeraar kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens. Het wordt aanbevolen dat verzekeraars schriftelijke toestemming verkrijgen.
- Het verkrijgen van (schriftelijke) toestemming van personen die niet direct betrokken zijn bij het verzekeringscontract (derden, verzekerden die geen polishouders zijn, begunstigden, enz) kan een uitdaging zijn.
- Toestemming in een verzekeringscontext zal vaak worden beschouwd als voorwaardelijk voor de uitvoering van het contract. Voorwaardelijke toestemming is per definitie niet vrijwillig gegeven. De geldigheid van uitdrukkelijke toestemming in de context van een verzekeringscontract staat dus ter discussie.
- De betrokkene heeft het recht om zijn of haar toestemming te allen tijde in te trekken. Het is belangrijk om op te merken dat een verzekeraar niet kan overstappen van toestemming naar een andere rechtsgrond. Dit zou het voor verzekeraars onmogelijk kunnen maken om de verzekeringsovereenkomst voort te zetten en na te komen.
Daarom juicht Amankwah Law de beslissing van de GBA toe. Hopelijk zal deze beslissing aanslaan en de basis leggen voor duidelijke wetgevende initiatieven op Europees of nationaal niveau.
Amankwah Law kan u de nodige begeleiding bieden om u door het delicate landschap van de verwerking van persoonsgegevens in een verzekeringscontext te loodsen.