Skip to main content

Privacybeleid

Marsh, onderdeel van de Marsh & McLennan Companies, Inc (MMC) groep, streeft ernaar de privacy en de vertrouwelijkheid van Persoonsgegevens die het bedrijf verwerkt in verband met de diensten die zij levert aan klanten te beschermen. De diensten van Marsh bestaan hoofdzakelijk uit risicoadvisering en verzekeringsbemiddeling om klanten en potentiele klanten in staat te stellen informatie over verzekeringsdiensten in te winnen, deze te gebruiken, te beheren en in verband daarmee claims in te dienen.

Verzekeren is het groeperen en delen van risico’s tegen een mogelijke gebeurtenis. Daartoe moeten gegevens, waaronder de Persoonsgegevens van verschillende categorieën personen, worden gedeeld tussen verschillende partijen op de verzekeringsmarkt gedurende de looptijd van de verzekering.

Ter verduidelijking van de termen die in deze Kennisgeving worden gebruikt, hebben we hieronder de rollen van de belangrijkste partijen op de verzekeringsmarkt beschreven:

  • Verzekeringnemers: vragen verzekeringen aan om zich te beschermen tegen risico's die ze kunnen lopen. Ze kunnen een tussenpersoon (zoals Marsh) benaderen om verzekeringen te kopen of een verzekeraar rechtstreeks of via een prijsvergelijkingswebsite benaderen.
  • Tussenpersonen: helpen verzekeringnemers en verzekeraars om verzekeringsdekking te regelen.  Ze kunnen adviseren en claims afhandelen. Veel verzekerings- en herverzekeringspolissen worden verkregen via tussenpersonen.
  • Verzekeraars: (of assuradeurs) bieden verzekeringsdekking aan verzekeringnemers tegen betaling (van premie).
  • Herverzekeraars: leveren verzekeringsdekking aan andere verzekeraars of aan herverzekeraars.  Een dergelijke verzekering wordt herverzekering genoemd.

Gedurende de looptijd van een verzekering kan Marsh Persoonsgegevensontvangen betreffende (potentiële) verzekeringnemers, Begunstigden onder een polis, hun familieleden, eisers en/of andere partijen die betrokken zijn bij een claim. Verwijzingen naar 'personen' in deze Kennisgeving omvatten daarom levende personen uit bovengenoemde lijst, van wie Marsh Persoonsgegevens ontvangt in verband met de diensten die Marsh levert op grond van haar overeenkomsten met klanten. Deze Kennisgeving beschrijft op welke manieren Marsh gebruikmaakt van deze Persoonsgegevens en in hoeverre Marsh deze deelt met andere partijen op de verzekeringsmarkt en/of overige derden.

Een verklarende woordenlijst met belangrijke termen die in deze Kennisgeving worden gebruikt is [hier] te vinden.

IDENTITEIT VAN VERANTWOORDELIJKE EN CONTACTGEGEVENS

Marsh B.V./Marsh Risk Consulting B.V., Conradstraat 18, 3013 AP Rotterdam (Marsh of wij) is de verantwoordelijke betreffende de Persoonsgegevens die Marsh verwerkt in verband met de geleverde diensten uit hoofde van de betreffende overeenkomst met de klant.  

In bepaalde gevallen en voor het uitvoeren van bepaalde diensten, kunnen Marsh en de klant overeengekomen zijn dat Marsh verwerker is. Als Marsh als verwerker optreedt dan zal Marsh zich houden aan de verplichtingen zoals opgenomen in de overeenkomst met de klant.

Persoonlijke gegevens die kunnen worden verwerkt

Wij kunnen de volgende Persoonsgegevens verzamelen en verwerken:

  • Persoonlijke informatie: naam, adres (en bewijs van adres), andere contactgegevens (zoals e-mail- en telefoongegevens), geslacht, burgerlijke staat, familiegegevens, datum en plaats van geboorte, werkgever, functie en arbeidsverleden, relatie met de verzekeringnemer, verzekerde, begunstigde of eiser.
  • Identificatiegegevens: identificatienummers afgegeven door overheidslichamen of -instanties (bijv., afhankelijk van het land waarin u zich bevindt, sociaal-fiscaal nummer of socialezekerheidsnummer, paspoortnummer, ID-nummer, fiscaal nummer, rijbewijsnummer).
  • Financiële informatie: betaalkaartnummer, bankrekeningnummer en rekeninggegevens, inkomen en andere financiële informatie.
  • Verzekerd risico: informatie over het verzekerde risico, waaronder Persoonsgegevens en voor zover relevant voor het verzekerde risico ook:
    • Gezondheidsgegevens: huidige of vroegere lichamelijke of geestelijke medische aandoeningen, gezondheidstoestand, informatie over letsel of invaliditeit, verrichte medische handelingen, relevante persoonlijke gewoonten (zoals roken of alcoholgebruik), receptgegevens, medische geschiedenis;
    • Strafbladgegevens: strafrechtelijke veroordelingen, inclusief verkeersovertredingen; en
    • Andere speciale categorieën van Persoonsgegevens: raciale of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, vakbondslidmaatschap, genetische gegevens, biometrische gegevens, gegevens betreffende iemands seksleven of seksuele geaardheid.
  • Polisinformatie: informatie over de offertes die personen ontvangen en de polissen die ze verkrijgen.
  • Gegevens over kredietwaardigheid en fraudebestrijding: kredietverleden en kredietwaardigheidsscore, informatie over  veroordelingen wegens fraude, beschuldigingen van misdrijven en sanctiegegevens verkregen uit verschillende fraudebestrijdings- en sanctiedatabases, of van toezichthouders of wetshandhavingsinstanties.
  • Eerdere claims: informatie over eerdere claims, waaronder bijvoorbeeld gezondheidsgegevens, strafbladgegevens en andere speciale categorieën van Persoonsgegevens (zoals beschreven in bovenstaande definitie van Verzekerd risico).
  • Huidige claims: informatie over huidige claims, waaronder bijvoorbeeld gezondheidsgegevens, strafbladgegevens en andere speciale categorieën van Persoonsgegevens (zoals beschreven in bovenstaande definitie van Verzekerd risico).
  • Marketinggegevens: of de persoon al dan niet toestemming heeft gegeven voor het ontvangen van marketingberichten van ons en van derden.

Ingeval we dergelijke gegevens direct van personen vragen, zullen wij hen informeren of de gegevens verplicht zijn en wat de gevolgen zijn van het niet verstrekken van die gegevens op het daartoe bestemde formulier.

Bronnen van persoonsgegevens

Wij verzamelen Persoonsgegevens uit verschillende bronnen, zoals (afhankelijk van het land waarin u zich bevindt):

  • Personen en hun familieleden, online of telefonisch, of in schriftelijke correspondentie
  • Werkgevers van personen
  • In het geval van een claim, derden, waaronder de tegenpartij in de claim (eiser/gedaagde), getuigen, deskundigen (waaronder medische experts), schade-experts, advocaten en schadebehandelaars
  • Andere partijen op de verzekeringsmarkt, zoals verzekeraars, herverzekeraars en andere tussenpersonen
  • Kredietinformatiebureaus (voor zover Marsh kredietrisico’s loopt)
  • Fraudebestrijdingsdatabases en andere externe databases, waaronder sanctielijsten
  • Overheidsinstanties, zoals voertuigregistratie- en belastingdiensten
  • Schadeformulieren

Hoe we uw persoonsgegevens gebruiken en delen

In dit onderdeel bespreken we de doelen waarvoor we Persoonsgegevens gebruiken, leggen we uit hoe we de gegevens delen en geven we aan op welke rechtsgronden we de gegevensverwerking baseren.

Deze 'rechtsgronden' staan beschreven in de General Data Protection Regulation (GDPR), op grond waarvan bedrijven alleen Persoonsgegevens mogen verwerken als de verwerking op grond van de in de verordening beschreven 'rechtsgronden' is geoorloofd [hier].

Wij wijzen erop dat wij, in aanvulling op de in onderstaande tabel genoemde gevallen, Persoonsgegevens voor de in deze kennisgeving beschreven doeleinden delen met dienstverleners, contractpartijen, agenten en MMC-groepsmaatschappijen die namens ons (als verwerker) activiteiten verrichten.

Toestemming

Om de levering van verzekeringsdekking te faciliteren en schadeclaims te beheren, hebben we toestemming nodig van de betrokkene om speciale categorieën van Persoonsgegevens en strafbladgegevens te verwerken, zoals criminele antecedenten, zoals genoemd in bovenstaande tabel en voor profilering, zoals beschreven in het volgende onderdeel. In uitzonderlijke gevallen is ook voor de verwerking van medische gegevens toestemming vereist. Deze toestemming stelt ons in staat de gegevens te delen met andere verzekeraars, tussenpersonen en herverzekeraars die de informatie mogelijk moeten verwerken ten behoeve van hun rol in de verzekeringsmarkt (en om risicodeling en stabiele tarifering van risico’s te faciliteren).

De toestemming van de betreffende persoon voor deze verwerking van speciale categorieën van Persoonsgegevens en strafbladgegevens is een noodzakelijke voorwaarde voor Marsh om de klant de gewenste diensten te kunnen leveren.

Als u ons informatie over een andere persoon dan uzelf verstrekt, stemt u ermee in om die persoon te informeren over het gebruik van zijn/haar Persoonsgegevens en om voor ons een dergelijke toestemming te verkrijgen.

Personen mogen hun toestemming voor een dergelijke verwerking te allen tijde intrekken. Dit kan er echter wel toe leiden dat Marsh de diensten niet meer kan leveren. Als een persoon de toestemming voor verwerking van zijn/haar speciale categorieën van Persoonsgegevens en strafbladgegevens aan een verzekeraar of herverzekeraar intrekt, kan dat er bovendien toe leiden dat de verzekeringsdekking niet kan worden voortgezet.

Profilering en geautomatiseerde besluitvorming

Verzekeringspremies worden berekend op basis van analyses door partijen op de verzekeringsmarkt van de kenmerken van klanten en begunstigden ten opzichte van die van andere klanten en begunstigden en op basis van de waarschijnlijkheid dat verzekerde voorvallen zich voordoen. Voor deze zogenaamde benchmarking is het noodzakelijk dat Marsh en andere marktpartijen gegevens die zij hebben ontvangen van alle verzekerden, begunstigden of eisers analyseren en compileren om dergelijke waarschijnlijkheden te modelleren. Om deze reden vergelijken wij Persoonsgegevens enerzijds met de gegevens in de modellen, en anderzijds om modellen te maken die de hoogte van de premies bepalen, zowel in het algemeen als voor andere verzekerden. Marsh en andere marktpartijen kunnen speciale categorieën van Persoonsgegevens en strafbladgegevens gebruiken voor dergelijke modellering voor zover dat noodzakelijk is, zoals medische geschiedenis voor levensverzekeringen of vroegere verkeersovertredingen voor motorrijtuigenverzekeringen.

Marsh en andere marktpartijen gebruiken soortgelijke voorspellende technieken om door klanten en personen verstrekte gegevens te beoordelen en inzicht te krijgen in fraudepatronen, de waarschijnlijkheid van toekomstige verliezen door schadeafhandeling, zoals hieronder in meer detail beschreven.

Wij gebruiken deze modellen uitsluitend voor de in deze privacyverklaring genoemde doeleinden. In de meeste gevallen beslissen onze medewerkers op basis van de modellen.

Geautomatiseerd assurantieplatform

Waar klanten een geautomatiseerd assurantieplatform gebruiken, worden verzekeringsoffertes volledig gebaseerd op vergelijking van de door de klant aangeleverde kenmerken met de door de verzekeraars gehanteerde criteria. Op die manier wordt bepaald of (a) al dan niet een offerte wordt aangeboden; (b) onder welke voorwaarden; en (c) tegen welke prijs. Elke verzekeraar gebruikt eigen algoritmen om deze beoordeling te maken en hun prijzen vast te stellen, en klanten dienen de privacyverklaring van elke verzekeraar te raadplegen voor meer informatie. Ons platform onderzoekt alleen of kenmerken van potentiële verzekerden voldoen aan de modellen van verzekeraars en produceert vervolgens de resultaten daarvan. Als de kenmerken van de potentiële verzekerde niet voldoen aan de modellen van verzekeraars, wordt de offerteaanvraag doorverwezen voor beoordeling door een team met verzekeringsbevoegdheid. We passen ook fraudevoorspellingsalgoritmen toe op de door klanten verstrekte informatie om ons te helpen fraude op te sporen en te voorkomen. Wij onderzoeken alle profileringen en bijbehorende algoritmen regelmatig op onjuistheden en afwijkingen.

Deze gedeeltelijk geautomatiseerde processen kunnen ertoe leiden dat een klant geen verzekering wordt aangeboden of kunnen de prijs of voorwaarden van de verzekering beïnvloeden.

Klanten kunnen ons verzoeken om informatie te verstrekken over de wijze van besluitvorming en ons vragen om te verifiëren dat de geautomatiseerde beslissing juist is genomen. We kunnen het verzoek afwijzen, zoals toegestaan volgens toepasselijk recht, bijvoorbeeld wanneer het verstrekken van de informatie het openbaar maken van vertrouwelijke bedrijfsinformatie tot gevolg zou hebben of in de weg zou staan van het voorkomen of opsporen van fraude of andere misdrijven. [Over het algemeen kunnen wij echter in dergelijke gevallen bevestigen dat het algoritme en de brongegevens naar verwachting functioneren, zonder fouten of afwijkingen.]

Beveiliging

We hebben fysieke, elektronische en procedurele beveiligingsmaatregelen geïmplementeerd die zijn afgestemd op de gevoeligheid van de informatie die we bewaren. Deze maatregelen kunnen verschillen, afhankelijk van de gevoeligheid, indeling, locatie, hoeveelheid, verspreiding en opslag van de Persoonsgegevens en omvatten specifieke maatregelen om Persoonsgegevens te beschermen tegen onbevoegde toegang. Wij gebruiken onder andere codering van communicatie via SSL, codering van gegevens tijdens opslag, firewalls, toegangscontroles, functiescheiding en soortgelijke beveiligingsprotocollen om Persoonsgegevens te beschermen. We beperken de toegang tot Persoonsgegevens tot personeel en derden die toegang moeten hebben tot dergelijke informatie voor legitieme, relevante bedrijfsdoeleinden.

Beperking van verzameling en opslag van persoonlijke gegevens

We verzamelen, gebruiken, verstrekken en verwerken Persoonsgegevens voor zover dat noodzakelijk is voor de in deze privacyverklaring genoemde doeleinden en altijd in overeenstemming met de wet. Als we Persoonsgegevens nodig hebben voor een doeleinde dat niet strookt met de in deze privacyverklaring genoemde doeleinden, informeren wij klanten over het nieuwe doeleinde en vragen wij de betrokkenen, zo nodig, om toestemming (of vragen andere partijen om dit namens Marsh te doen) om Persoonsgegevens voor de nieuwe doeleinden te verwerken.

Onze bewaartermijnen voor Persoonsgegevens zijn gebaseerd op bedrijfsbehoeften en wettelijke voorschriften. We bewaren Persoonsgegevens zo lang als nodig is voor het verwerkingsdoeleinde of de verwerkingsdoeleinden waarvoor de gegevens zijn verzameld, en elk ander toegestaan, gerelateerd doeleinde of indien wettelijk voorgeschreven. Wij kunnen bijvoorbeeld bepaalde transactiegegevens en correspondentie bewaren tot de verjaringstermijn voor claims die voortvloeien uit de transactie is verlopen, of om te voldoen aan de wettelijke voorschriften betreffende de opslag van dergelijke gegevens. Wanneer Persoonsgegevens niet langer nodig zijn, anonimiseren wij de gegevens onomkeerbaar (en kunnen we de geanonimiseerde gegevens blijven bewaren en gebruiken) of vernietigen wij de gegevens op veilige wijze.

Export van persoonlijke gegevens buiten de eer

Marsh exporteert Persoonsgegevens naar, of staat toegang tot Persoonsgegevens toe vanuit, landen buiten de Europese Economische Ruimte (EER). De wetgeving in deze landen inzake gegevensbescherming biedt niet altijd dezelfde mate van bescherming van Persoonsgegevens als geboden in de EER. Wij zullen Persoonsgegevens in alle gevallen beveiligen zoals beschreven in deze privacyverklaring.

Bepaalde landen buiten de EER zijn door de Europese Commissie goedgekeurd als zijnde landen die in wezen dezelfde bescherming van gegevens bieden als op grond van de wetgeving in de EER inzake gegevensbescherming. Op grond van EU-wetgeving inzake gegevensbescherming mag Marsh Persoonsgegevens vrijelijk exporteren naar deze landen. 

Als wij Persoonsgegevens exporteren naar andere landen buiten de Europese Economische Ruimte, zullen wij dit uitsluitend doen op basis van een rechtsgrond die een dergelijke export rechtvaardigt, zoals de Binding Corporate Rules van MMC, de EC Model Clauses, de toestemming van personen of andere rechtsgronden, zoals toegestaan volgens toepasselijk recht.

Personen kunnen vragen om aanvullende informatie over de specifieke beveiligingen die gelden voor de export van hun Persoonsgegevens door contact op te nemen met de Compliance Officer op het onderstaande adres.

JUISTHEID, VERANTWOORDING, TRANSPARANTIE EN UW RECHTEN

Wij streven ernaar om Persoonsgegevens te verwerken die juist, volledig en actueel zijn. Personen kunnen contact met ons op te nemen op privacy.nederland@marsh.com om hun gegevens bij te werken.

Vragen betreffende de privacypraktijken van Marsh dienen in eerste instantie te worden gericht aan de Compliance Officer van Marsh.

Onder bepaalde voorwaarden hebben personen het recht om Marsh te verzoeken om:

  • meer informatie te verstrekken over hoe we hun Persoonsgegevens gebruiken en verwerken;
  • een kopie te verstrekken van de Persoonsgegevens die we van die persoon bewaren;
  • eventuele onjuistheden in de Persoonsgegevens die wij hebben te corrigeren;
  • persoonsgegevens te verwijderen die wij niet langer gerechtigd zijn te verwerken;
  • waar verwerking is gebaseerd op toestemming, deze toestemming in te trekken;
  • bezwaar te maken tegen verwerking van Persoonsgegevens die Marsh rechtvaardigt op basis van de rechtsgronden van 'gerechtvaardigde belangen', tenzij onze redenen voor het uitvoeren van die verwerking opwegen tegen een eventuele inbreuk op de privacyrechten van de persoon; en
  • te beperken hoe wij de Persoonsgegevens verwerken terwijl wij uw verzoek in behandeling hebben.

Deze rechten zijn onderworpen aan bepaalde vrijstellingen ter bescherming van het algemene belang (bijv. de preventie of opsporing van criminaliteit) en onze belangen (bijv. het behoud van geheimhoudingsrecht). Wij reageren op binnen 30 dagen op de meeste verzoeken.

Als we een verzoek of klacht niet naar tevredenheid kunnen afhandelen, dan hebben personen het recht een klacht in te dienen bij contact opnemen met de Autoriteit Persoonsgegevens.

VRAGEN, VERZOEKEN OF KLACHTEN

Vragen of verzoeken met betrekking tot deze privacyverklaring of het privacybeleid van Marsh kunt u richten aan de  Compliance Officer op het volgende adres:

Compliance Officer
Marsh B.V./ Marsh Risk Consulting B.V.
Conradstraat 18, 3013 AP Rotterdam
privacy.nederland@marsh.com

WIJZIGINGEN IN DEZE PRIVACYVERKLARING

Deze privacyverklaring kan te allen tijde worden gewijzigd. De laatste wijziging dateert van 23-03-18. Als wij wijzigingen aanbrengen in deze privacyverklaring, werken we de datum bij waarop deze voor het laatst werd gewijzigd.  Wijzigingen die wij aanbrengen in deze privacyverklaring worden onmiddellijk van kracht wanneer u daarover per e-mail bericht van ons ontvangt op het in de overeenkomst genoemde adres.

Privacy Notice