phishing

Phishing is een groeiende bedreiging. Laat je niet vangen! Leer de tekenen te herkennen en je persoonlijke informatie te beschermen. Jouw veiligheid is onze prioriteit. Wees steeds waakzaam en kies voor veiligheid. Meer weten

Privacy

Inhoudstafel

Inleiding: een juist beheer van uw gegevens is onze prioriteit

In 2016 keurde de Europese Commissie de Algemene Verordening Gegevensbescherming (hierna: "GDPR") goed. Zij voorziet dus in een uniform wetgevingskader voor de gehele Europese Unie met betrekking tot de verwerking van persoonsgegevens. De GDPR heeft twee hoofddoelstellingen: de instanties die de gegevens verwerken meer verantwoordelijk maken en de rechten versterken van de personen van wie de gegevens worden verwerkt. 

De GDPR is op 25 mei 2018 in werking getreden en is van toepassing op elke organisatie of onderneming die al dan niet voor eigen rekening persoonsgegevens verwerkt, zolang zij in de Europese Unie is gevestigd of haar activiteit rechtstreeks op Europese ingezetenen is gericht. De GDPR is dus van toepassing op Ethias nv.

Bij Ethias nv (hierna "Ethias" of "wij"), stellen wij alles in het werk om ervoor te zorgen dat uw privacy wordt gerespecteerd en dat uw persoonsgegevens worden beschermd. Gegevensbescherming door ontwerp (hierna “privacy by design”) is ook een prioriteit binnen onze onderneming. Dit beginsel houdt in dat er rekening wordt gehouden met gegevensbescherming vanaf de beginfase van de ontwikkeling van onze projecten en producten, maar ook tijdens de evolutie ervan.

Wij verwerken uw persoonsgegevens om u een optimale dienstverlening op maat van uw behoeften te kunnen bieden. Deze informatie wordt volledig transparant verwerkt in overeenstemming met de doeleinden waarvoor u ze aan ons hebt toevertrouwd.

Om onze inzet voor de persoonlijke levenssfeer te onderstrepen, hebben wij dit Privacy Charter (hierna het "Charter") opgesteld. Het doel van dit document is u te informeren over de gegevens die Ethias via haar verschillende merken (Ethias en Flora) verwerkt, over de manier waarop Ethias uw persoonsgegevens beschermt en over de rechten die u hebt.

Wij nodigen u uit dit Charter aandachtig te lezen, waarin ook onze fundamentele waarden, met name Menselijkheid en Klanttevredenheid, worden onderstreept. Hebt u nog vragen, dan kunt u ons uiteraard steeds contacteren. DPO@ethias.be of privacy_request@ethias.be als u de rechten wilt uitoefenen die de GDPR u toekent.

Wij wijzen u erop dat onze websites soms links bevatten naar websites van derden (sociale media, organisatoren van door ons gesponsorde evenementen, enz.) waarvan de gebruiksvoorwaarden niet binnen het toepassingsdomein van dit Charter of onder onze verantwoordelijkheid vallen. Wij raden u daarom aan hun Privacy Charter zorgvuldig te lezen om te weten hoe zij uw privacy respecteren.

Privacy Charter

Hieronder vindt u een overzicht van de verschillende hoofdstukken in dit Charter.

Voor snelle toegang tot een hoofdstuk, klik op de link van het hoofdstuk. Als u het Charter in zijn geheel wilt raadplegen, scroll naar beneden.  

Algemene Verordening Gegevensbescherming
Voor wie is dit Charter bestemd?
Verwerkingsverant - woordelijke
Ons engagement
Verwerkte gegevens
Hoe worden uw persoonsgegevens verzameld?
Rechtsgrond en doeleinden van de gegevensverwerking
Gegevensverwerking voor prospectiedoeleinden
Gegevensverwerking: profilering
Minimale gegevensverwerking en proportionaliteit
Transparantie
Uw rechten
Gegevensbewaring
Doorgifte van gegevens en ontvangers
Cookies
Opleiding en Sensibilisering
Veiligheid en Governance
Wijziging van het Charter
Definities

1. Algemene Verordening Gegevensbescherming

De GDPR is een Europese verordening die tot doel heeft een uniform kader voor gegevensbescherming tot stand te brengen. Zij is sinds 25 mei 2018 van toepassing in alle Lidstaten van de Europese Unie.

In het Belgische recht is er een wet die een aantal bepalingen van de GDPR aanvult en verduidelijkt. Het gaat om de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. 

Aan het eind van dit Charter (zie “Hoofdstuk 19” hieronder) vindt u een lijst van definities die nuttig zijn om de gebruikte termen te begrijpen. Wij nodigen u uit deze lijst te raadplegen en kennis te nemen van de inhoud ervan. 

2. Voor wie is dit Charter bestemd?

Dit Charter is bestemd voor natuurlijke personen van wie Ethias persoonsgegevens moet verwerken, zoals:

  • prospects of kandidaat-verzekeringnemers;
  • personen die betrokken zijn door een verzekeringsovereenkomst (verzekeringnemers, verzekerden, begunstigden);
  • personen die betrokken zijn bij een schadegeval (benadeelde partijen, getuigen en hun eventuele vertegenwoordigers);
  • verschillende personen die betrokken zijn bij de sluiting van een verzekeringsovereenkomst of de behandeling van een schadegeval (verzekeringstussenpersonen, medische deskundigen, herstellers, pechverhelpers, zorgverleners, enz.);
  • personen die zich kandidaat stellen voor een functie bij Ethias;
  • personen die een band hebben met onze klanten, zoals hun personeelsleden of hun aandeelhouders.

De gegevens van de rechtspersonen als zodanig vallen niet onder de GDPR of onder dit Charter.

3. Verwerkingsverantwoordelijke

Ethias nv (hierna "Ethias" of "wij") is de verwerkingsverantwoordelijke van uw persoonsgegevens die zij via haar verschillende merken (Ethias en Flora) verwerkt.  Ethias is een vennootschap naar Belgisch recht, met maatschappelijke zetel gevestigd in Rue des Croisiers 24, 4000 Liège, België, ingeschreven bij de Kruispuntbank voor Belgische Ondernemingen onder nummer 0404.484.654.

Als verwerkingsverantwoordelijke bepalen we de doeleinden (het "waarom") en de middelen (het "hoe") voor de verwerking van uw persoonsgegevens en zijn we uw eerste aanspreekpunt (alsook dat van de toezichthoudende autoriteiten) voor alle vragen in verband met de verwerking van uw gegevens. Het doel van dit Privacy Charter is u te informeren over de verwerking van uw gegevens waarvoor wij verantwoordelijk zijn. 

Onze functionaris gegevensbescherming (hierna “FG”, “Data Protection Officer” of “DPO”) is verantwoordelijk voor het toezicht op het gegevensbeschermingsbeleid. (hoofdstuk 4  gaat over de invoering van een privacygovernancestructuur binnen Ethias). U kunt contact met hem opnemen:

  • per post naar het volgende adres:
    Ethias nv - Data Protection Officer
    Rue des Croisiers 24
    4000 Liège
  • per e-mail naar DPO@ethias.be.  

4. Ons engagement

We vinden het belangrijk om uw privacy te respecteren en uw persoonlijke gegevens strikt vertrouwelijk en in overeenstemming met de geldende wetgeving te verwerken. Daarom beschikken we over solide praktijken op het vlak van privacy governance. Ons engagement vertaalt zich in de volgende maatregelen:

  • het bijhouden van een verwerkingsregister van persoonsgegevens wanneer wij optreden als verwerkingsverantwoordelijke;
  • het invoeren van een privacygovernancestructuur binnen Ethias. We hebben een Data Protection Officer aangesteld. Zoals hierboven uitgelegd is die het unieke aanspreekpunt voor alle vragen over gegevensbescherming. We hebben ook een netwerk opgezet van "GDPR-medewerkers" die speciaal opgeleid zijn in privacykwesties. Zij worden ingezet in de directies en departementen: zij treden op als tussenpersoon tussen de DPO en de directies/departementen, zorgen voor de naleving van de GDPR en beantwoorden specifieke vragen over gegevensbescherming;
  • de uitvoering van een projectbeheersproces dat het "privacy by design"-beginsel waarborgt. Het doel hiervan is ervoor te zorgen dat de projecten in ontwikkeling en de bestaande verwerkingen voldoen aan de huidige wetgeving en best practices inzake privacy. Het GDPR-netwerk wordt vanaf het begin betrokken bij alle nieuwe Ethias-projecten of -producten. Bovendien oefent de DPO controle uit;
  •  de uitvoering van een gegevensbeschermingseffectbeoordeling (hierna “Data Protection Impact Assessment” of “DPIA” genoemd) voor alle verwerkingen die een groot risico inhouden voor uw rechten en vrijheden en, als dit risico is vastgesteld, de uitwerking en uitvoering van maatregelen om dit risico te beperken. Het doel van deze DPIA's is ervoor te zorgen dat Ethias de risico's van "risicovolle" verwerkingen voor de gegevens- en privacybescherming adequaat beheert. Door een gestructureerde gedachtewisseling aan te bieden over de risico's voor de betrokkenen en hoe die te beperken, helpt de DPIA ons te voldoen aan de “privacy by design”-vereiste.

5. Verwerkte gegevens

We verwerken uw gegevens op transparante wijze voor de doeleinden die bij het verzamelen van de gegevens zijn aangegeven.

De verwerkte persoonsgegevens behoren tot de hieronder beschreven categorieën. 

a. Persoonsgegevens

Deze categorie omvat gegevens die u direct (bijvoorbeeld uw voor- of achternaam) of indirect (bijvoorbeeld uw telefoonnummer of kentekennummer) kunnen identificeren.

Afhankelijk van het soort verzekering dat u afsluit, kunnen de volgende gegevens worden verzameld:

  • identificatiegegevens (naam, voornaam, adres, enz.);
  • contactgegevens (adres, e-mailadres, telefoonnummer, enz.);
  • gezinssamenstelling (burgerlijke staat, aantal kinderen, enz.);
  • globaal financieel overzicht (uw onroerende goederen, loon, verzekeringscontracten, enz.);
  • kenmerken van de woning, van het voertuig;
  • beroep (beklede functie, opleiding, enz.);
  • hobby's en interesses; en
  • beeldopnames zoals films, foto's en video-opnames

b. Gevoelige gegevens

Bepaalde persoonsgegevens genieten bijzondere bescherming wegens hun uiterst gevoelige karakter. Het gaat met name over gegevens waaruit ras of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakbond blijken, en ook de genetische gegevens, de biometrische gegevens, de gezondheidsgegevens of de gegevens over het seksueel gedrag of de seksuele geaardheid van een natuurlijk persoon.

Uw gevoelige gegevens worden in geen geval verwerkt zonder uw uitdrukkelijke voorafgaande toestemming, als die vereist is. Ze worden nooit voor prospectiedoeleinden verwerkt. 

c. Gegevens over strafrechtelijke veroordelingen en overtredingen

Wij verwerken gegevens over strafrechtelijke veroordelingen en overtredingen alleen in de volgende gevallen:

  • wanneer een wet die adequate waarborgen biedt dit toestaat;
  • wanneer we het nodig hebben om onze eigen geschillen te beheren;
  • wanneer u ons uw uitdrukkelijke toestemming hebt gegeven;
  • bij juridische adviezen, voor zover de verdediging van onze klanten dit vereist. 

6. Hoe worden uw persoonsgegevens verzameld?

We verzamelen uw persoonsgegevens rechtstreeks bij u of via een derde partij. 

a. Rechtstreeks bij u verzamelde gegevens

We verzamelen uw persoonsgegevens rechtstreeks bijvoorbeeld wanneer:

  • u klant wordt;
  • u de formulieren invult die wij u voorleggen;
  • u gebruikmaakt van onze diensten en producten;
  • u inschrijft op onze nieuwsbrieven, reageert op onze uitnodigingen (conferenties, enz.), deelneemt aan onze wedstrijden, enz.;
  • u contact met ons opneemt via de verschillende communicatiekanalen die u ter beschikking staan;
  • uw gegevens worden doorgegeven door personen die u daartoe opdracht hebt gegeven (verzekeraars, advocaten, experten, familieleden enz.) of die daartoe wettelijk gemachtigd zijn;
  • u gefilmd wordt door onze bewakingscamera's in en rond onze gebouwen. De beelden worden uitsluitend opgenomen met als doel de veiligheid van goederen en personen te handhaven en misbruik, fraude en andere strafbare feiten waarvan wij en onze klanten het slachtoffer kunnen worden te voorkomen (de aanwezigheid ervan wordt aangegeven door stickers met onze contactgegevens);
  • u gegevens verstrekt bij het gebruik van onze websites (met inbegrip van onze sociale netwerkpagina's) en mobiele toepassingen, bijvoorbeeld wanneer:
    • u ons uw gegevens geeft als u zich inschrijft op onze nieuwsbrief;
    • u online een verzekeringsofferte aanvraagt;
    • u online uw gegevens invult om te solliciteren naar een vacature bij Ethias;
    • u een schadegeval meldt of bijstand vraagt;
    • u een ziekenhuisopname aangeeft;
    • u online contracten afsluit;
    • u uw gegevens invult in de "privé-gedeelten" van de websites;
    • u uw Ethias-figuurtje creëert;
  • u een van onze websites bezoekt of een van onze mobiele applicaties gebruikt die cookies en andere soortgelijke technologieën bevatten. Voor meer informatie over de cookies die wij gebruiken, verwijzen wij u naar ons Cookiebeleid: https://www.ethias.be/part/nl/wettelijk/cookie-infopage.html.

 

Wanneer wij u vragen om persoonsgegevens te verstrekken, hebt u het recht om niet te antwoorden. Een dergelijke weigering zou echter het ontstaan van een contractuele relatie kunnen verhinderen, de aard ervan kunnen veranderen of het beheer ervan kunnen beïnvloeden. 

b. Gegevens verzameld via derden

We verzamelen uw persoonsgegevens via derden die ons deze hebben verstrekt bij het afsluiten of het beheer van een polis of bij het beheer van een schadegeval, of in het kader van onze promotieactiviteiten die worden georganiseerd overeenkomstig de toepasselijke regelgeving inzake e-privacy en de bescherming van persoonsgegevens.

Dit is met name het geval:

  • wanneer een werkgever voor zijn werknemers een groepsverzekering, een arbeidsongevallenverzekering of een collectieve ziektekostenverzekering afsluit;
  • wanneer een onderwijsinstelling ons de identiteit meedeelt van de personen die gewond werden of betrokken waren bij een ongeval;
  • wanneer een sportfederatie of sportclub ons de identiteit meedeelt van de verzekerde leden en de personen die gewond werden of betrokken waren bij een ongeval; en
  • wanneer de partijen die betrokken waren bij een ongeval ons de identiteit meedelen van de tegenpartijen of getuigen; en
  • van de commerciële partners van Ethias in het kader van de promotieactiviteiten van Ethias.

 

We verzamelen ook uw gegevens die gepubliceerd worden (Belgisch Staatsblad). 

7. Rechtsgrond en doeleinden van de gegevensverwerking

Overeenkomstig de GDPR is elke gegevensverwerking gebaseerd op een rechtsgrondslag en voldoet zij aan (een) specifiek(e) doeleinde(n).

Ze is gebaseerd op één enkele rechtsgrondslag. Deze laatste wordt bepaald op basis van de volgende elementen:

  • de aard van de persoonsgegevens; en
  • het specifieke doeleinde (het doel of het "waarom") waarvoor wij uw gegevens willen verwerken.

a. Rechtsgrond: Voor het sluiten, uitvoeren en/of beheren van een overeenkomst op uw verzoek

Uw gegevens kunnen worden verzameld voor:

  • het beheer van de klantrelatie;
  • de beoordeling of er een verzekeringsovereenkomst moet worden gesloten en/of welke voorwaarden daaraan moeten worden verbonden;
  • de dienstverlening;
  • het beheer en de behandeling van klachten;
  • de opstelling en inning van facturen;
  • de opvolging van commerciële besprekingen en geschillen met onze klanten en het beantwoorden van eventuele vragen;
  • het verlenen van technische bijstand;
  • het beheer van de contracten en schadegevallen.

b. Rechtsgrond: Om te voldoen aan onze wettelijke, reglementaire en administratieve verplichtingen als verzekeraar

Uw gegevens kunnen worden verzameld voor:

  • het beheer van arbeidsongevallen, groeps- of pensioenverzekeringen, hypothecaire kredieten, de voorkoming van het witwassen van geld en de financiering van terrorisme;
  • de uitvoering van de wetgeving betreffende de Insurance Distribution Directive;
  • de bestrijding van fiscale fraude;
  • de nakoming van de sociale en fiscale verplichtingen van Ethias;
  • de nakoming van onze verplichting om de vragen te beantwoorden van de toezichthoudende of overheidsinstanties, zoals de Gegevensbeschermingsautoriteit (GBA), de Autoriteit voor Financiële Diensten en Markten (FSMA), de Nationale Bank van België (NBB), de sector- of consumentenorganisaties (bv. de Ombudsman van de Verzekeringen), enz.

c. Rechtsgrond: Wanneer het in ons rechtmatig belang is of in dat van derden (zoals onze verzekerden en schuldeisers)

In dat geval maken wij een zorgvuldige afweging tussen ons rechtmatig belang of dat van de derde en uw privacy.

Uw gegevens kunnen worden verzameld voor: 

  • opsporing en voorkoming van misbruik en fraude en het beheer van het verhaal dat Ethias kan uitoefenen;
  • bescherming van de goederen van de onderneming;
  • veiligheid van goederen en personen, alsook van onze netwerken en IT-systemen;
  • bescherming van onze eigen belangen en die van onze verzekerden;
  • onthulling van enig misbruik dat onze financiële status, onze resultaten en/of onze reputatie ernstig schaadt of zou kunnen schaden;
  • bewijsvergaring;
  • opvolging van onze activiteiten en administratieve kennis van de verschillende personen waarmee Ethias contacten onderhoudt, die het mogelijk maken de dossiers, makelaars en andere betrokkenen te identificeren;
  • uitvoering van tevredenheidsonderzoeken;
  • online sollicitatie waarbij u uw gegevens aan Ethias meedeelt; 
  • beheer van klantenbestanden met het oog op een meer globale visie (bijvoorbeeld het opstellen van statistieken om te weten wie onze klanten zijn en hoe we ze beter kunnen leren kennen);
  • uitvoeren van tests voor risicobeoordeling, vereenvoudiging, optimalisering en/of automatisering;
  • implementatie van louter interne Ethias-processen om deze efficiënter te maken;
  • implementatie van onlinesystemen om uw gebruikerservaring te verbeteren (bijv. oplossen van bugs op onze websites en mobiele applicaties, contact met u opnemen om technische problemen op te lossen wanneer we opmerken dat u online uw gegevens bent beginnen in te vullen om een dienst te ontvangen, maar dit proces niet hebt kunnen voortzetten, enz.);
  • optimalisering en beheer van de distributiekanalen van Ethias.

Op basis van ons rechtmatig belang kunnen we uw persoonsgegevens verwerken voor prospectiedoeleinden. 

Tenzij u zich daartegen verzet, kunnen we u aanbiedingen sturen

  • per gewone post, per telefoon
  • langs elektronische weg voor onze producten en diensten die gelijken op de producten en diensten waarvoor u bij ons al klant bent. 

We zorgen ervoor dat deze commerciële aanbiedingen een meerwaarde zijn in vergelijking met de producten en diensten waarvoor u al klant bent, om zo een eerlijk evenwicht tussen uw en onze belangen te waarborgen.

We gebruiken uw gevoelige gegevens (d.w.z. de gegevens bedoeld in hoofdstuk 5, punt b) en c), zoals uw gezondheidsgegevens) nooit voor prospectiedoeleinden. Zonder uw voorafgaande toestemming zullen we uw gegevens bovendien niet aan derden doorgeven of meedelen voor hun eigen prospectiedoeleinden.

We sturen geen reclame voor verzekeringsproducten rechtstreeks naar kinderen jonger dan 16 jaar, tenzij de persoon die de ouderlijke verantwoordelijkheid draagt, daarmee instemt. 

d. Rechtsgrond: Wanneer wij om uw toestemming hebben gevraagd en u (of uw wettelijke vertegenwoordiger) ons die heeft gegeven

In dat geval worden uw persoonsgegevens verwerkt voor het(de) specifieke doeleinde(n) waarmee u via onze contractuele documenten, standaardformulieren of verzekeringstussenpersonen hebt ingestemd.

U kunt uw toestemming op ieder ogenblik intrekken.

We vragen uw toestemming:

  • om uw verzekeringsportefeuille te optimaliseren;
  • om de meest voordelige tarieven te genieten;
  • om u verzekeringsproducten aan te bieden die beter op uw gezins- of beroepssituatie zijn afgestemd dankzij een meer geavanceerde profilering waardoor we beter op uw gedrag en behoeften kunnen anticiperen.
  • voor elektronische aanbiedingen van producten of diensten die niet gelijken op die waarvoor u al klant bent.
  • om uw gegevens voor commerciële doeleinden aan derden door te geven 

e. Rechtsgrond - Wanneer wij u om uw uitdrukkelijke toestemming hebben gevraagd

Uw gevoelige gegevens kunnen worden verzameld om:

  • verzekeringscontracten (levensverzekering, hospitalisatieverzekering, verzekering gezondheidszorg, verzekering gewaarborgd inkomen, ...), een schadegeval met lichamelijk letsel of uw medisch dossier (verkeersongeval, arbeidsongeval, sportongeval, ...) met betrekking tot de gezondheidsgegevens te beheren; en/of
  • u te vertegenwoordigen in het kader van verzekeringen die verband houden met uw beroepsactiviteit (bv. groepsverzekering, arbeidsongevallenverzekering, enz.) wanneer u een vakbondsafgevaardigde mandateert;
  • te beoordelen of er een autoverzekeringsovereenkomst moet worden gesloten en/of welke voorwaarden daaraan moeten worden verbonden. 

f. Rechtsgrond - Wanneer de verwerking van gegevens nodig is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering / Beheer van onze eigen geschillen

Het is mogelijk dat wij uw persoonsgegevens, met inbegrip van gezondheidsgegevens en/of persoonsgegevens in verband met strafrechtelijke veroordelingen en overtredingen, in de volgende gevallen moeten verwerken: hetzij voor de vaststelling, de uitoefening of de onderbouwing van eventuele rechtsvorderingen, hetzij voor het beheer van onze eigen geschillen, in het kader van juridische adviezen, voor zover de verdediging van onze klanten dit vereist.

8. Minimale gegevensverwerking en proportionaliteit

Er worden alleen persoonsgegevens verzameld die passend, relevant en beperkt zijn tot hetgeen noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (beginsel van minimale verwerking). Voor elke gegevensverwerking gaan we na of zij noodzakelijk is om het beoogde doel te bereiken en of zij de minst ingrijpende maatregel is in vergelijking met de andere middelen om hetzelfde doel te bereiken. 

9. Transparantie

We stellen alles in het werk om u beknopte en duidelijke informatie te verstrekken over de uitgevoerde gegevensverwerking en de doeleinden ervan. We passen de taal alsook de gebruikte termen en communicatiemiddelen aan het doelpubliek aan. 

10. Uw rechten

Behalve in gevallen waarin de GPDR of een in België geldende wettelijke bepaling zich hiertegen verzet, heeft u de volgende rechten:

  • recht van inzage;
  • recht op rectificatie;
  • recht op gegevenswissing (“recht op vergetelheid”);
  • recht op beperking van de verwerking;
  • recht op overdraagbaarheid van gegevens;
  • recht van bezwaar, meer bepaald tegen commerciële prospectie;
  • recht om niet te worden onderworpen aan een uitsluitend op een geautomatiseerde verwerking, met inbegrip van profilering, gebaseerde beslissing die rechtsgevolgen voor u heeft of die u op vergelijkbare wijze aanmerkelijk treft;
  • recht om uw toestemming in te trekken.

 

We implementeren procedures die u in staat stellen uw rechten met betrekking tot de verwerking van persoonsgegevens op doeltreffende wijze uit te oefenen. Deze procedures moeten er ook voor zorgen dat uw verzoeken zo snel mogelijk worden behandeld. Als verzekeraar kan Ethias niet het risico nemen in te gaan op een verzoek dat niet van een bevoegd persoon komt. Daarom moeten we de identiteit van onze contactpersoon controleren en vragen we u ons een kopie van beide zijden van uw identiteitskaart te bezorgen.

Om uw rechten uit te oefenen  kunt u uw gedateerd en ondertekend verzoek, samen met een kopie van beide zijden van uw identiteitskaart, per post naar het volgende adres sturen: Ethias SA, DIM-Spoc GDPR, Rue des Croisiers 24 te 4000 Liège of mailen naar: privacy_request@ethias.be

a. Recht van inzage

U hebt het recht om uw persoonsgegevens die in ons bezit zijn in te kijken. Dit recht geeft u ook het recht om informatie te bekomen die kenmerkend is voor de verwerking, namelijk:

  • het doeleinde van de gegevensverwerking;
  • de categorieën van verwerkte persoonsgegevens;
  • de ontvangers aan wie uw gegevens worden meegedeeld;
  • indien mogelijk, de bewaartermijn ervan of, in voorkomend geval, de criteria die zijn gebruikt om die termijn te bepalen;
  • het bestaan van een geautomatiseerde beslissing (met inbegrip van profilering) en, in dat geval, de logica die daaraan ten grondslag ligt, en ook de betekenis en de gevolgen van deze beslissing.

Voor de inzage van medische gegevens geldt een termijn van één maand vanaf de ontvangst van het verzoek of van twee maanden indien de gevraagde gegevens meer dan 5 jaar oud zijn. 

b. Recht op rectificatie

Het is belangrijk dat u de controle over uw gegevens behoudt. Indien u dus vaststelt dat de gegevens waarover wij beschikken onjuist zijn, kunt u ons op ieder ogenblik verzoeken deze aan te vullen of te corrigeren.

Nadat u de wijzigingen hebt bevestigd, worden uw gegevens binnen een termijn van maximaal een maand, te rekenen vanaf het moment dat uw identiteit gecontroleerd is, bijgewerkt. 

c. Recht op gegevenswissing (“recht op vergetelheid”)

U hebt het recht om de verwijdering te vragen van de persoonsgegevens in ons bezit. In bepaalde specifieke gevallen laat de wetgeving u toe uw persoonsgegevens te verwijderen. Dit is het geval indien:

  • uw persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor we ze verzameld hebben;
  • de verwerking van uw gegevens enkel berust op uw toestemming en u beslist deze in te trekken;
  • u bezwaar maakt tegen de verwerking van uw gegevens en er aan onze kant geen gerechtvaardigde gronden zijn die zwaarder wegen dan de uwe;
  • u van mening bent dat de verwerking onrechtmatig is en voor zover dat inderdaad het geval is;

Dit recht is echter niet absoluut. Wij kunnen uw gegevens bewaren wanneer dat nodig is voor onder andere:

  • de nakoming van een wettelijke verplichting;
  • de uitvoering van onze contractuele verplichtingen;
  • statistische doeleinden, met dien verstande dat we in dergelijke gevallen alle technische en organisatorische maatregelen nemen om ervoor te zorgen dat het beginsel van minimale gegevensverwerking in acht wordt genomen;
  • voor de vaststelling, uitoefening of verdediging van rechten in rechte.

Nadat u de verwijdering van uw gegevens hebt bevestigd, worden ze binnen een termijn van maximaal een maand, te rekenen vanaf het moment dat uw identiteit gecontroleerd is, verwijderd. 

d. Recht op beperking van de verwerking

De wet bepaalt de gevallen waarin u de beperking van de verwerking van uw persoonsgegevens kunt vragen. Het betreft de volgende hypothesen:

  • u betwist de juistheid van de persoonsgegevens, gedurende een periode die we nodig hebben om de juistheid van de gegevens te controleren;
  • de verwerking is onwettig en u maakt bezwaar tegen het wissen ervan en eist in plaats daarvan een beperking van het gebruik ervan;
  • u stelt vast dat uw persoonsgegevens niet langer noodzakelijk zijn voor ons en wenst de verwerking ervan te beperken tot de vaststelling, uitoefening of onderbouwing van uw rechtsvordering;
  • u hebt bezwaar gemaakt tegen de verwerking van uw persoonsgegevens bij de controle of onze gerechtvaardigde redenen voor de verdere verwerking zwaarder wegen dan de uwe.
  • In deze gevallen wordt u erop attent gemaakt dat uw gegevens nog steeds kunnen worden verwerkt indien:
    • u met deze verwerking instemt; of
    • de verwerking van uw gegevens noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van rechten in rechte; of
    • de verwerking noodzakelijk is voor de bescherming van de rechten van een andere natuurlijke of rechtspersoon; of
    • de verwerking noodzakelijk is om zwaarwegende redenen van algemeen belang.

e. Recht op overdraagbaarheid

Wanneer uw persoonsgegevens worden verwerkt op basis van uw toestemming of omdat zij noodzakelijk zijn voor de uitvoering van een overeenkomst, hebt u een recht op overdraagbaarheid. Met dit laatste kunt u een deel van uw persoonsgegevens recupereren in een gestructureerde, algemeen gebruikte en machineleesbare vorm. Bovendien kunt u ons op grond van dit recht vragen om uw gegevens aan een andere verwerkingsverantwoordelijke door te geven, indien dit technisch mogelijk is. 

f. Recht van bezwaar

Wanneer we uw persoonsgegevens verwerken op grond van ons rechtmatig belang, hebt u het recht bezwaar te maken tegen deze verwerking om redenen die verband houden met uw specifieke situatie. Wij kunnen uw bezwaar afwijzen wanneer er dwingende gerechtvaardigde redenen voor verdere verwerking zijn of wanneer de verwerking gerechtvaardigd is voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering.

U hebt steeds het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens voor profilering of voor prospectie- of direct marketingdoeleinden. 

g. Recht om niet te worden onderworpen aan een uitsluitend op een geautomatiseerde verwerking, met inbegrip van profilering, gebaseerde beslissing die rechtsgevolgen voor u heeft of die u op vergelijkbare wijze aanmerkelijk treft

Om u een kwaliteitsvolle dienstverlening te kunnen aanbieden, automatiseren wij bepaalde gegevensverwerkingen om de besluitvorming te vergemakkelijken. Deze geautomatiseerde verwerkingen moeten aan strikte voorwaarden voldoen, zij moeten ofwel:

  • noodzakelijk zijn voor het sluiten of uitvoeren van een overeenkomst;
  • gebaseerd zijn op uw uitdrukkelijke toestemming;
  • wettelijk toegestaan zijn.

In het kader van deze geautomatiseerde beslissing heeft u het recht:

  • om ervan in kennis te worden gesteld dat er over u een volledig geautomatiseerde beslissing is genomen die rechtsgevolgen voor u heeft of die u op vergelijkbare wijze aanmerkelijk treft;
  • om te vragen en geïnformeerd te worden over de logica achter een dergelijke beslissing, de betekenis ervan en de gevolgen die eruit voortvloeien;
  • om de beslissing aan te vechten en uw zienswijze te geven;
  • om menselijke inmenging te vragen om de beslissing te herbekijken.

h. Recht om uw toestemming in te trekken

Als de verwerking van uw persoonsgegevens uitsluitend berust op uw toestemming, kunt u deze op ieder ogenblik intrekken. We zullen ervoor zorgen dat de gegevens worden gewist, tenzij er een andere wettelijke reden is om ze te verwerken (bv. wanneer de verwerking noodzakelijk is om een contract na te komen).

Indien de gewiste gegevens voor verschillende doeleinden worden verwerkt, mogen wij die gegevens niet gebruiken voor het deel van de verwerking waarvoor uw toestemming is ingetrokken, of voor alle doeleinden, afhankelijk van de aard van de intrekking van de toestemming.

Wanneer uw verzoek echter betrekking heeft op gezondheidsgegevens, dan zijn deze gegevens noodzakelijk om de omvang van de schadevergoeding in het kader van een verzoek tot tussenkomst vast te stellen. Als gevolg daarvan kunnen we misschien geen gevolg geven aan uw verzoek of het contract niet uitvoeren.

Het uitoefenen van dit recht doet geen afbreuk aan de rechtmatigheid van de verwerking van persoonsgegevens in de periode die aan uw verzoek voorafgaat. 

i. Recht om een klacht in te dienen

Indien u van mening bent dat de verwerking van uw persoonsgegevens een inbreuk vormt op uw privacy, hebt u ook het recht om een klacht in te dienen bij de Gegevensbeschermingsautoriteit (hierna “GBA”):

j. Uitzonderingen op de uitoefening van uw rechten: bijzondere bepalingen inzake het witwassen van geld

Krachtens de bepalingen inzake het witwassen van geld, is Ethias verplicht witwasoperaties te voorkomen, op te sporen en te melden aan de overheden. Daartoe verwerken wij zowel persoonsgegevens die wij van u ontvangen hebben, als deze afkomstig van andere kanalen zoals World-Check van Thomson Reuter of andere internetzoekmachines. Na deze verschillende controles, kunnen we bepaalde transacties blokkeren en deze melden bij de Cel voor Financiële Informatieverwerking (CFI). De hierboven vermelde rechten kunnen dan niet worden uitgeoefend en u kunt dan contact opnemen met de GBA. 

11. Gegevensbewaring

Uw persoonsgegevens worden niet langer bewaard dan nodig is om deze doeleinden te verwezenlijken; in het algemeen worden uw gegevens bewaard tot het einde van de uitvoering van uw contract of vordering en soms daarna, zoals hieronder uitgelegd. De bewaringstermijn varieert naargelang het soort gegevens en de ter zake geldende wetgeving. Na deze periode worden uw gegevens gewist.

Sommige van uw gegevens worden echter bewaard om:

  • te voldoen aan onze wettelijke bewaarplicht;
  • te voldoen aan onze verplichtingen die voortvloeien uit de sociale wetgeving;
  • de uitvoering van contractuele vorderingen tot het verstrijken van de toepasselijke verjaringstermijn te garanderen;
  • te reageren op potentiële of feitelijke geschillen.

Het opslaan van uw gegevens brengt risico's met zich mee. Er kunnen bepaalde middelen worden aangewend om de bewaring ervan te beperken, namelijk:

  • de normale toegangsrechten tot de opgeslagen gegevens beperken; 
  • middelen voor het opslaan/archiveren van gegevens;
  • scheiding van gegevens;
  • door het gebruik van versleutelingstechnieken of cryptografie zijn de opgeslagen gegevens ontoegankelijk via de standaardinstellingen van de toegangsrechten van de gebruiker en voor alle verwerkingsverrichtingen.

We zien erop toe dat onze partners en leveranciers die namens ons persoonsgegevens verwerken (onze gegevensverwerkers) deze bewaringsvereisten eveneens naleven. 

Voor meer informatie over hoe lang wij uw persoonsgegevens bewaren, kunt u mailen naar het volgende e-mailadres: DPO@ethias.be.

12. Doorgifte van gegevens en ontvangers

Als verzekeraar zijn wij verplicht uw persoonsgegevens aan derden mee te delen om onze opdrachten uit te voeren, om te reageren op vorderingen van schadelijders, om te voldoen aan onze wettelijke verplichtingen of in het kader van onze promotionele activiteiten. Deze derden kunnen gevestigd zijn binnen de Europese Economische Ruimte (hierna "EER" genoemd), maar ook daarbuiten.

a. Doorgifte van gegevens binnen de EER - Ontvangers

Binnen de EER kunnen uw persoonsgegevens worden meegedeeld aan:

  • onze medewerkers en adviseurs;
  • de andere entiteiten van de groep, hun medewerkers en adviseurs;
  • andere verzekeringsondernemingen die betrokken zijn bij het beheer van contracten of schadegevallen, hun vertegenwoordigers in België en hun correspondenten in het buitenland;
  • "Datassur";
  • herverzekeringsondernemingen;
  • banken;
  • schaderegelingskantoren (nationaal of internationaal);
  • in sommige gevallen, de verzekeringstussenpersonen met wie wij samenwerken;
  • alle medische of technische deskundigen, advocaten, technische adviseurs, herstellers, die optreden in het kader van het beheer van een contract of een schadegeval;
  • privédetectives voor eventuele onderzoeken in fraudezaken;
  • onze IT-dienstverleners (NRB, AssurCard, enz.);
  • onze commerciële partners (onder voorbehoud van uw toestemming) zoals bv. consumentenverenigingen, verzekeringen.be, Ethias Services, enz.;
  • marketing- en communicatiebureaus;
  • bedrijven die belast zijn met het beheer van documenten (scannen, archiveren, verzenden van poststukken, enz.);
  • de bij wet bepaalde sociale, fiscale en administratieve autoriteiten;
  • de toezichthoudende autoriteiten en de Ombudsman van de Verzekeringen.

Overeenkomstig de standaardpraktijken inzake gegevensbescherming en -beveiliging zorgen wij ervoor dat wij alleen gegevens doorgeven die noodzakelijk zijn voor de uitvoering van hun taken, voor het nakomen van een contractuele/wettelijke verplichting, of voor het rechtmatige belang dat deze doorgifte rechtvaardigt. Deze derden hebben zich er tevens toe verbonden deze gegevens vertrouwelijk te behandelen en binnen de grenzen van het doeleinde waarvoor zij zijn doorgegeven.

Wat onze gegevensverwerkers betreft, sluiten wij systematisch met elk van hen een gegevensverwerkingsovereenkomst. Zij moeten de beginselen van dit Charter naleven. Wij voeren audits uit om ervoor te zorgen dat de toepasselijke contractuele en wettelijke verplichtingen worden nageleefd. Onze gegevensverwerkers zijn ook verplicht deze nalevingsverplichtingen aan hun eigen onderaannemers op te leggen.

Uw gegevens kunnen niet zonder uw toestemming worden doorgegeven voor commerciële doeleinden. 

b. Doorgifte van gegevens aan derden buiten de EER - Ontvangers

Indien wij uw persoonsgegevens buiten de EER doorgeven, zullen wij nagaan of in het betrokken land hetzelfde beschermingsniveau geldt als binnen de EER, of er passende waarborgen zijn ingebouwd (encryptie, pseudonimisering, standaard contractclausules, enz.), of dat er afwijkingen kunnen worden ingeroepen.

In het geval van schadebeheer kan het, afhankelijk van de situatie, nodig zijn dat wij persoonsgegevens buiten de EER doorgeven met het oog op de juiste uitvoering van ons contract met de klant.

13. Cookies

Wij gebruiken cookies op onze websites.

Voor meer informatie over ons cookiebeleid verwijzen we u naar de volgende pagina: https://www.ethias.be/part/nl/wettelijk/cookie-infopage.html.

14. Opleiding en sensibilisering

We vinden het belangrijk om ons personeel bewust te maken van gegevensbescherming en de GDPR-beginselen. Daarom is er voor onze medewerkers een opleidingsprogramma dat is afgestemd op hun functies en de gegevensverwerkingsactiviteiten die zij verrichten.

Bovendien zorgt ons netwerk van GDPR-medewerkers (zie "Hoofdstukken 3 en 4") voor de bewustmaking van het personeel en voor de bevordering van de privacybescherming binnen al onze departementen. 

15. Beveiliging en governance: technische en organisatorische maatregelen

Op het vlak van beveiliging implementeren we passende technische en organisatorische maatregelen om ons te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van of toegang tot doorgezonden, opgeslagen of verwerkte persoonsgegevens. 

Om het passende beveiligingsniveau voor onze organisatie te bepalen, beoordelen wij de risico's die verbonden zijn aan elk van de gegevensverwerkingsverrichtingen die wij uitvoeren naargelang hun context (aard, doel, reikwijdte, categorieën van verwerkte gegevens) en de beschikbare technologische middelen. 

Op het vlak van governance hanteren wij de nodige procedures om ervoor te zorgen dat aan de verplichtingen en vereisten van de GDPR wordt voldaan, namelijk:

  • gegevensbeschermingseffectbeoordelingen (GBE) of Data Protection Impact Assessment (DPIA)
  • methodologieën voor risicobeoordeling, met name in het kader van doorgiften buiten de EER ("Transfer Impact Assessments" of "TIA");
  • methoden voor gegevensbescherming door ontwerp en door standaardinstellingen (“Privacy by design and Privacy by default”).

Deze procedures stellen ons in staat te bepalen of de verwerking van de gegevens rechtmatig is, of er risico's aan verbonden zijn en, zo ja, welke technische en organisatorische maatregelen moeten worden genomen om deze risico's te beperken. 

16. Wijziging van het Charter

Dit Charter kan op ieder ogenblik en zonder voorafgaande kennisgeving van wijziging worden bijgewerkt. Raadpleeg het regelmatig op onze website.

Laatste update: 02/04/2024. 

17. Definities

Termen

Definities

Gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment - DPIA) Een gegevensbeschermingseffectbeoordeling is een onderzoek dat moet worden uitgevoerd wanneer een verwerking van persoonsgegevens waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van de betrokkenen.
Gevoelige gegevens

Gevoelige gegevens omvatten informatie waaruit vermeend ras of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakbond blijken, en ook de verwerking van genetische gegevens, van biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, van gezondheidsgegevens, of van gegevens met betrekking tot het seksueel gedrag of de seksuele geaardheid van een natuurlijke persoon.

Gegevensbeschermingsautoriteit

(GBA)

De onafhankelijke overheidsinstantie die belast is met het toezicht op de toepassing van de toepasselijke wet- en regelgeving inzake gegevensbescherming

Cookies

Een cookie is een klein bestand dat door een server wordt opgeslagen in de terminal van een gebruiker (computer, telefoon, enz.) en dat wordt geassocieerd met een webdomein (d.w.z. in de meeste gevallen met alle pagina's van dezelfde website).

Dit bestand wordt automatisch teruggestuurd wanneer later contact wordt opgenomen met hetzelfde domein. Het kan een natuurlijke persoon identificeren op basis van de persoonsgegevens die het verzamelt.

Functionaris gegevensbescherming (FG)

Data Protection Officer (DPO)

De functionaris gegevensbescherming, Data Protection Officer of “DPO” is verantwoordelijk voor de tenuitvoerlegging van de naleving van de GDPR binnen de organisatie die de DPO heeft aangesteld voor alle verwerkingsactiviteiten die door die organisatie worden uitgevoerd. In sommige gevallen is de benoeming van de DPO verplicht.

Persoonsgegevens of persoonlijke gegevens

Persoonsgegevens zijn gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon door een combinatie van informatie. 

Gevoelige gegevens

Gevoelige gegevens omvatten informatie waaruit vermeend ras of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakbond blijken, en ook de verwerking van genetische gegevens, van biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, van gezondheidsgegevens, of van gegevens met betrekking tot het seksueel gedrag of de seksuele geaardheid van een natuurlijke persoon.

Rechtmatig belang Het rechtmatig belang is een van de rechtsgrondslagen van de GDPR waarop de verwerking van persoonsgegevens kan worden gebaseerd. Het gebruik van deze rechtsgrondslag veronderstelt dat de belangen (commerciële, veiligheid van goederen, enz.) die worden nagestreefd door de instantie die de gegevens verwerkt, niet leiden tot een verstoring van het evenwicht ten nadele van de rechten en belangen van de personen van wie de gegevens worden verwerkt.
Minimale gegevensverwerking (Beginsel van) Het beginsel van de minimale gegevensverwerking bepaalt dat persoonsgegevens toereikend, ter zake dienend en beperkt moeten zijn tot wat noodzakelijk is voor het doeleinde waarvoor de gegevens worden verwerkt.
Betrokkene (betrokken persoon) Alle natuurlijke personen van wie Ethias de gegevens verwerkt.
Profilering Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij deze gegevens worden gebruikt om bepaalde persoonlijke aspecten van een individu te beoordelen, met name om diens gedrag te analyseren of te voorspellen.
Verwerkingsverantwoordelijke Een natuurlijke of rechtspersoon (zoals Ethias) die, alleen of samen met andere, de doeleinden van en de middelen voor de verwerking vaststelt. 
Derden  Een derde is elke persoon (natuurlijke of rechtspersoon), overheids- of andere instantie die gemachtigd is persoonsgegevens te verwerken.