1. Verantwoordelijke voor de verwerking
Santander Consumer Finance, bijkantoor in België, met zetel gevestigd in België, te 9820 Merelbeke, Guldensporenpark, 81 en Santander Consumer Finance SA, met zetel gevestigd in Spanje, te 28660 Boadilla del Monte, Avenida de Cantabria s/n zijn gezamenlijk verantwoordelijk voor uw persoonsgegevens.
Santander Consumer Finance SA heeft geen toegang tot uw persoonsgegevens, behalve in geval van verwerking van bijzondere persoonsgegevens zoals beschreven onder de titel De Santander Groep. De twee entiteiten (Santander Consumer Finance, bijkantoor in België en Santander Consumer Finance SA) nemen echter gezamenlijk de besluiten over de doelstellingen van de gegevensverwerking.
Dit beleid informeert u over de verwerking die Santander Consumer Finance, bijkantoor in België en Santander Consumer Finance (hierna samen “de Bank” genoemd) vooropgesteld hebben met betrekking tot uw persoonlijke gegevens wanneer u op haar website surft, een aanvraag opstart om een rekening te openen, klant wordt of een rekening afsluit, en over uw rechten op de verzamelde en gebruikte informatie.
De Bank waardeert het vertrouwen dat u in haar stelt en belooft alles in het werk te stellen om de vertrouwelijkheid van de informatie die u haar verstrekt te bewaren.
De Bank ziet er ook op toe dat uw persoonsgegevens beheerd worden op een wettige, evenredige en transparante manier en blijft zich inzetten om haar diensten verder te verbeteren.
Als houder van deze persoonsgegevens kunt u uw recht van bezwaar, toegang, verbetering en overdraagbaarheid uitoefenen jegens iedere verwerkingsverantwoordelijke, op de in dit beleid vastgestelde wijze (zie titel Hoe kunt u uw rechten uitoefenen?). U kunt al uw vragen over de bescherming van uw persoonsgegevens doorsturen naar het volgende e-mailadres: dataprotection@santanderconsumerbank.be.
De Spaanse Gegevensbeschermingsautoriteit treedt op als de belangrijkste toezichthoudende autoriteit. In geval van raadpleging of klacht, kunt u uw verzoeken rechtstreeks richten aan de Belgische Gegevensbeschermingsautoriteit of bij de Spaanse Gegevensbeschermingsautoriteit.
2. Functionaris voor gegevensbescherming (‘Data Protection Officer’)
De Bank heeft een functionaris voor gegevensbescherming aangesteld die als volgt kan worden gecontacteerd: dataprotection@santanderconsumerbank.be of per brief naar het volgende adres: Santander Consumer Finance SA, Avenida de Cantabria s/n, 28660 Boadilla del Monte (Spanje).
Deze functionaris voor gegevensbescherming heeft de bevoegdheid om:
- de Bank, haar bestuurders en de leden van de bij het beheer en de uitvoering van haar activiteiten ingestelde raadgevende comités te informeren en te adviseren aangaande hun verplichtingen uit hoofde van de wet- en regelgeving inzake gegevensbescherming;
- toezicht te houden op de naleving van de wet- en regelgeving inzake gegevensbescherming en het beleid inzake gegevensverwerking en -bescherming bij het beheer en de uitvoering van de activiteiten van de Bank, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het personeel dat betrokken is bij de gegevensverwerkende handelingen en de daarmee verband houdende audits;
- op verzoek advies te geven over de impactanalyse inzake gegevensbescherming en de uitvoering ervan te verifiëren;
- om samen te werken met de Gegevensbeschermingsautoriteit;
- om als aanspreekpunt op te treden voor:
- klanten die contact willen opnemen met de functionaris voor gegevensbescherming voor alle zaken die verband houden met de verwerking van hun persoonsgegevens en de uitoefening van hun rechten;
- klanten of andere personen die een incident of overtreding vaststellen in verband met de verwerking van persoonsgegevens bij het beheer en de uitvoering van de activiteiten van de Bank en die onder andere de functionaris voor gegevensbescherming hierover moeten informeren;
- de Gegevensbeschermingsautoriteit inzake alle vragen die verband houden met de verwerking;
- naar behoren rekening te houden met het aan de verwerkingsactiviteiten verbonden risico, rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking.
De functionaris voor gegevensbescherming is onderworpen aan het beroepsgeheim en hij heeft een geheimhoudingsplicht met betrekking tot de uitoefening van zijn taken.
3. Door de Bank verzamelde en verwerkte informatie
De Bank verzamelt en gebruikt verschillende soorten gegevens die u vrijwillig doorgeeft of die tijdens de contractuele relatie worden gegenereerd. De Bank gebruikt ook gegevens die worden verzameld op basis van uw voorafgaande toestemming (bijvoorbeeld door commerciële cookies te accepteren wanneer u de website van de Bank bezoekt).
4. Verzamelen van navigatiegegevens
Deze gegevens worden automatisch verkregen.
In principe kunnen navigatiegegevens individueel zijn (enkel u alleen betreffend) of geaggregeerd (betrekking hebbend op een groep gebruikers) en kunnen ze automatisch worden verkregen door het gebruik van “cookies” en door IP-adressen te verwerken.
Cookies zijn blokken van gegevens die op uw computer zijn opgeslagen, die de Bank gebruikt om uw toekomstige bezoeken te vergemakkelijken op basis van raadplegingen die tijdens uw vorige bezoeken zijn waargenomen. De cookies die door de Bank worden gebruikt, zijn gecodeerd en bevatten een unieke digitale handtekening om wijzigingen te voorkomen.
De Bank gebruikt deze gegevens in gebundelde vorm om de geschiedenis en de bezoekpatronen op haar website te onderzoeken. We gebruiken de Google-service (meer specifiek Google Analytics) voor statistische doeleinden (niet-nominatieve geaggregeerde gegevens).
Google Analytics gebruikt zogenaamde “cookies”, tekstbestanden die op uw computer worden opgeslagen om de website te helpen uw gebruik te analyseren. De door de cookie verzamelde informatie over uw gebruik van de website (inclusief uw IP-adres) wordt rechtstreeks verzonden en door Google gearchiveerd op servers in de Verenigde Staten.
Bij het ontwerp van het systeem heeft de Bank een bewaartermijn ingevoerd voor informatie die door Google is opgeslagen en heeft het de versleuteling van haar gegevens geselecteerd, zodat Google Analytics uw gegevens alleen in een versleutelde vorm kan zien.
Google gebruikt deze informatie voor eigen doeleinden om uw gebruik van de website bij te houden, verslagen op te stellen over websiteactiviteiten en andere diensten te verlenen met betrekking tot websiteactiviteit en internetgebruik. Google kan deze informatie doorgeven aan derden wanneer dit wettelijk verplicht is of wanneer deze derden deze informatie namens Google verwerken. Google koppelt uw IP-adres niet aan andere gegevens waarover het beschikt.
U kunt zich afmelden voor het verwerken van gegevens of informatie door in de instellingen van uw webbrowser te weigeren cookies te gebruiken. Google Analytics heeft een browserextensie waarmee gebruikers tracering kunnen aanvaarden of uitschakelen, de “Aanvullende browsermodule voor het deactiveren van Google Analytics”.
Bovendien moeten we u informeren dat Google Signals hebben geactiveerd in onze Google Analyticsaccount. Google Signals is een programma dat is geïntegreerd in Google Analytics dat sessiegegevens gebruikt van sites en apps die Google associeert met gebruikers die zich hebben aangemeld bij hun Google-accounts en die Ads Personalization hebben ingeschakeld.
Dit betekent dat Google Analytics de sessiegegevens die het verzamelt, kan koppelen aan informatie van aangemelde Google-gebruikers om geaggregeerd en geanonimiseerd inzicht te bieden in het gedrag van gebruikers op verschillende apparaten en in hun demografische gegevens. De Googleinformatie die kan worden verzameld, omvat zoekgeschiedenis, locatie van de eindgebruiker en gegevens van sites die samenwerken met Google, waardoor het meer specifieke en uitgebreidere inzichten verschaft over de gebruiker dan Google Analytics.
Als gevolg daarvan ontvangen we betere rapporten en meer bruikbare informatie over het gedrag, de interesses en de demografische kenmerken van een gebruiker op verschillende apparaten. Deze omvatten uw leeftijd, de taal die u spreekt, waar u woont of wat uw geslacht is.
Deze rapporten helpen ons ook om het gedrag van onze gebruikers beter in te schatten, evenals hun wensen en interesses. Daardoor kunnen wij onze producten en diensten voor hen optimaliseren en aanpassen. Standaard vervallen deze gegevens na 26 maanden. Houd er rekening mee dat deze gegevens alleen worden verzameld als een gebruiker in zijn Google-account heeft ingestemd met gepersonaliseerde reclame. De bewaarde informatie is altijd uitsluitend samengevat en anoniem, en nooit gegevens over individuele personen. U kunt deze gegevens beheren of verwijderen in uw Googleaccount.
Meer informatie over Google Signals: https://support.google.com/analytics/answer/9445345?hl=en#zippy=%2Cin-this-article
Google heeft haar eigen privacybeleid. Wij raden u aan de tijd te nemen om dit aandachtig te lezen.
Voor meer informatie verzoekt de Bank u om haar cookiebeleid te raadplegen.
5. Verzamelen van uw persoonsgegevens en doelstellingen van de gegevens-verwerking
De definitie van persoonsgegevens verwijst naar numerieke, alfabetische, grafische, fotografische, akoestische of andere informatie over geïdentificeerde of identificeerbare personen (zoals biometrische gegevens). Anonieme gegevens worden nooit als persoonsgegevens beschouwd.
Persoonsgegevens worden op verschillende manieren verzameld en verwerkt:
- Om de contractuele relatie uit te voeren, rekening houdend met het feit dat uw gegevens noodzakelijk zijn om een spaarrekening te openen en te beheren. De benodigde gegevens zijn dewelke die zijn opgenomen in het contract: voor- en achternaam, adres, e-mailadres, gsm-nummer, geboortedatum, geslacht, taal, identiteitskaartnummer (en geldigheidsdatum), rijksregisternummer, referentie-rekeningnummer, beveiligingsvraag en beveiligingsantwoord. Evenzo zullen gegevens uit de contractuele relatie noodzakelijk worden geacht, te weten: verrichtingen op rekeningen, rekeninguittreksels, renteberekening, nadere gegevens betreffende overschrijvingen, enz.
- Voor de mensen die getracht hebben een rekening te openen zonder stap 2 (mijn bankrekeninggegevens) te voltooien en die ermee hebben ingestemd om hulp te ontvangen om het proces voor het openen van de bankrekening voort te zetten, zullen we hun e-mail gebruiken om hen ondersteuning te bieden om voornoemd proces voor het openen van de bankrekening af te ronden.
- In het kader van een aanvraag tot het openen van een rekening is de Bank wettelijk verplicht om u te vragen een aantal persoonsgegevens aan te vullen die uw volledige identificatie mogelijk maken. Daarna, moet u de Bank de documenten verstrekken waaruit de echtheid van deze persoonsgegevens blijkt (bijvoorbeeld met behulp van een kaartlezer voor authenticatie aan de hand van een Belgische elektronische identiteitskaart).
Financiële instellingen dienen alle mogelijke middelen te gebruiken om witwassen van geld of financiering van terrorisme te voorkomen en op te sporen en dit, overeenkomstig de wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme, aan de autoriteiten te melden. De Bank moet u als klant, vertegenwoordiger/gemachtigde of uiteindelijke begunstigde identificeren; uw identiteit controleren; uw profiel bepalen (met betrekking tot het risico van witwassen van geld), waarbij verschillende persoonlijke en zakelijke gegevens worden verzameld, zoals het controleren of u een politiek prominente persoon bent.
Daarbij gebruikt de Bank de door u verstrekte persoonsgegevens, evenals persoons-gegevens afkomstig uit andere bronnen (zoals Dow Jones, Identifin of zelfs het internet) die uw identificatie indien nodig aanvullen.
De persoonsgegevens die u vrijwillig aan ons verstrekt wanneer u het proces voor het openen van een rekening voltooid zijn: voor- en achternaam, adres, e-mailadres, gsm-nummer, geboorteplaats, geboortedatum, geboorteland, nationaliteit, geslacht, burgerlijke staat, beroep, bedrijfssector, politiek mandaat of prominente publieke functie (PEP), identiteitskaartnummer (en geldigheidsdatum), rijksregisternummer, referentierekeningnummer, fiscale woonplaats en belastingvrijstelling van roerende voorheffing.
In samenhang met het gebruik van uw spaarrekening verifieert de Bank uw handelingen en verrichtingen en onderzoekt zij bepaalde transacties in het kader van het voorkomen en opsporen van witwassen van geld. Banken zijn ook verplicht om de persoonsgegevens van klanten te vergelijken met sanctielijsten. In sommige gevallen kunnen aanvullende documenten worden opgevraagd (bijvoorbeeld loonbrieven) en kunnen betalingen worden ingehouden.
Banken moeten ook een algemeen beeld hebben van het risico per klant op het hoogste niveau, daarom moet de Bank uw gegevens op intragroepniveau doorgeven om te kunnen controleren of u andere rekeningen binnen de Santander Groep hebt en om u het juiste risiconiveau te kunnen toewijzen (meer informatie onder titel De Santander Groep).
Op dezelfde manier worden uw gegevens verwerkt in overeenstemming met de wet van 16 december 2015 tot regeling van de mededeling van inlichtingen betreffende financiële rekeningen, door de Belgische financiële instellingen en de FOD Financiën (FATCA en CRS regelgeving).
De persoonsgegevens die voor deze doeleinden worden gebruikt, zijn: naam, adres, fiscaal identificatienummer, geboortedatum en -plaats, rekeningnummer, saldo of waarde aan het einde van het betreffende kalenderjaar en het totale brutobedrag aan gestorte of bijgeschreven rente.
- Gedurende de contractuele relatie verwerkt de Bank uw gegevens om uw spaarrekeningen en onze klantrelatie goed te beheren; die verwerking gebeurt op basis van een rechtmatig belang met het oog op een efficiënter intern beheer en om een algemeen beeld te hebben van de klantrelatie. Hiertoe wordt een dossier gemaakt met betrekking tot iedere klant waarin alle stappen vermeld staan die de klant ondernomen heeft tijdens de contractuele relatie. De Bank beschikt ook over klantrelatiebeheersystemen en kan uw gegevens verwerken in e-mails en interne verslagen.
De persoonsgegevens die worden verzameld en geraadpleegd, zijn dezelfde als de gegevens die u ons hebt verstrekt bij het openen van een rekening, evenals de gegevens die verzameld werden om het witwassen van geld te voorkomen (zoals uitgelegd in punt a) en b)). We beschikken ook over een overzicht van alle stappen die u ondernomen heeft tijdens de contractuele relatie (oproepen naar de helpdesk, verzonden berichten, verrichtingen op uw rekeningen, uw intrestberekeningen evenals alle informatie die u met ons heeft willen delen).
De Bank behoudt zich het recht voor om, op basis van een rechtmatig belang, telefoongesprekken van haar klantendienst op te nemen, met dien verstande dat die opnames worden bewaard met het oog op de kwaliteitscontrole van haar klantenservice en als bewijsmateriaal in geval van betwisting. Bovendien gaat aan de opname een bericht vooraf waarin de klant wordt gewaarschuwd dat het telefoongesprek kan worden opgenomen.
Uw gegevens worden alleen verwerkt door geautoriseerde personen zolang dit nodig is. Meer informatie hierover vindt u onder de titel Toegangsbeveiliging.
We maken geanonimiseerde verslagen om de minst opdringerige techniek te gebruiken om het gedrag van onze klanten op een niet-nominatieve gebundelde basis te analyseren. De geanonimiseerde gegevens zijn de gegevens die worden weergegeven in uw klantendossier tijdens de verschillende verwerkingen die onder deze titel worden beschreven.
Mogelijk wordt u aangeboden om deel te nemen aan enquêtes die over het algemeen bedoeld zijn om algemene informatie te verstrekken over de producten of diensten van de Bank. Voor zover de informatie die via deze enquêtes wordt verkregen, betrekking heeft op uzelf, is deelname aan deze enquêtes facultatief. Uw gegevens worden echter opgenomen in geanonimiseerde verslagen en verwerkt op een niet-nominatieve geaggregeerde basis.
Voor mensen die hun rekening nog niet hebben geactiveerd, gebruiken we uw gegevens om u ondersteuning te bieden om het proces voor het openen van een rekening af te ronden;
Om de werking van de activiteit alsook de controle daarop te evalueren, kan de Bank ook kwaliteitscontroles uitvoeren met betrekking tot de verleende dienst.
De Bank registreert ook beveiligingskopieën van de beschikbare gegevens, zodat in geval van verlies, om welke reden dan ook, de informatie kan worden teruggehaald en zij u de dienst kan blijven verlenen terwijl de integriteit van uw gegevens gewaarborgd blijft.
- Wij stellen een klachtendienst tot uw beschikking. Om op uw klacht te kunnen reageren, zijn wij wettelijk verplicht om toegang te krijgen tot de hiervoor vereiste informatie en die te verwerken. De verwerkte gegevens zijn de gegevens die worden weergegeven in uw klantendossier en die verzameld werden tijdens de verschillende verwerkingsactiviteiten zoals hierboven beschreven.
- De Bank stuurt u ook commerciële informatie per e-mail op basis van de uitdrukkelijke toestemming die u ons desgevallend geeft. Hiervoor gebruiken we uw e-mailadres.
De Bank geeft uw gegevens ook door binnen de Santander Groep en aan verschillende overheidsinstanties zoals beschreven onder de titels De Santander Groep en Partners. Deze gegevensoverdrachten geschieden op basis van een wettelijke verplichting.
6. Naleving van de beginselen inzake gegevensbescherming
U kunt erop vertrouwen dat de Bank vastbesloten is de beginselen van de Belgische en Europese wetgeving na te leven:
- legaliteitsbeginsel: persoonsgegevens worden verkregen overeenkomstig de vereisten gesteld door de toepasselijke regelgeving.
- evenredigheidsbeginsel: persoonsgegevens worden alleen verwerkt voor noodzakelijke, passende en relevante doeleinden.
- transparantiebeginsel: de te verstrekken informatie inzake de bescherming van uw persoonsgegevens dient duidelijk, beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk te zijn, in duidelijke en eenvoudige en ondubbelzinnige taal, met andere woorden, gemakkelijk te begrijpen voor u.
- handhaving van de doelbeperking van de gegevensverzameling: de verwerking van persoonsgegevens is beperkt tot de specifieke, expliciete en legitieme doeleinden van die gegevensverzameling.
- beginsel van gegevensminimalisatie en nauwkeurigheid: de verwerking van persoonsgegevens zal adequaat, relevant en beperkt zijn tot wat nodig is met betrekking tot de specifieke doeleinden waarvoor persoonsgegevens worden verwerkt. Evenzo moeten alle redelijke maatregelen worden genomen om persoonsgegevens die onjuist of onvolledig kunnen zijn, te verwijderen of te verbeteren met betrekking tot de doeleinden waarvoor zij worden verwerkt.
- bewaartermijn van gegevens: persoonsgegevens worden opgeslagen op een manier die uw identificatie mogelijk maakt, in overeenstemming met het doel van hun verwerking en voor de tijd die hiervoor strikt noodzakelijk is.
- beginselen van integriteit, vertrouwelijkheid, beschikbaarheid en veerkracht: aan alle personen wier persoonsgegevens door de Bank worden verzameld waarborgen dat die gegevens met het gepaste beveiligingsniveau worden behandeld, met inbegrip van bescherming tegen ongeoorloofde of onwettige verwerkingsactiviteiten en hun onbedoelde verlies, vernietiging of beschadiging, door middel van organisatorische maatregelen, zoals het pseudonimiseren of versleutelen van persoonsgegevens.
7. De Santander Groep
Uw persoonsgegevens worden overgedragen aan andere entiteiten van de Santander Groep en in het bijzonder aan Santander Consumer Finance SA, waarvan de maatschappelijke zetel gevestigd is in te Spanje, Avenida de Cantabria s/n - Ciudad Grupo Santander, Boadilla del Monte (Madrid), in het kader van de normale activiteiten van de Bank, met inachtneming van de doeleinden van de verwerking van uw persoonsgegevens.
Indien de Bank echter persoonsgegevens zou doorgeven binnen een entiteit van de Santander Groep die gevestigd is in een land buiten de Europese Unie dat geen adequaat beschermingsniveau biedt, zou de Bank dit alleen doen in de bij wet voorziene gevallen, bijvoorbeeld door de persoonsgegevens te beschermen door passende contractuele bepalingen te waarborgen.
De overdracht van uw persoonsgegevens aan het gegevensbestand van de Santander Groep wordt uitgevoerd om aan de wettelijke verplichtingen te voldoen. Met name het delen van persoonsgegevens en alle relevante informatie met betrekking tot transacties, stelt Santander Groep in staat om te voldoen aan haar wettelijke verplichtingen met betrekking tot i) voorschriften ter bestrijding van het witwassen van geld en terrorismefinanciering; ii) wettelijke rapportage aan toezichthoudende autoriteiten en iii) fiscale consolidatie.
De persoonsgegevens die hiervoor met de Santander Groep worden gedeeld zijn: uw identificatiegegevens en informatie over uw transacties.
8. Partners
Zonder uw voorafgaande toestemming mogen uw persoonsgegevens niet worden overgedragen aan derden voor andere doeleinden dan dewelke die verband houden met de verwerking van uw gegevens door de Bank. De enige overdrachten die worden verricht zijn die aan de Spaanse Nationale Bank (overeenkomstig de wetgeving betreffende het Depositogarantiefonds), de Belgische Cel voor Financiële Informatieverwerking (om te voldoen aan de regelgeving ter voorkoming van het witwassen van geld), de Federale Overheidsdienst Financiën (om te voldoen aan de FATCA- en CRS-regelgeving) en de Santander Groep (zoals hierboven uiteengezet onder de titel De Santander Groep).
De Bank sluit schriftelijke overeenkomsten met haar onderaannemers die ten minste de informatie bevatten die vereist is door de wet- en regelgeving inzake gegevensbescherming en die voldoen aan het uitbestedingsbeleid van de Bank. In de overeenkomsten wordt uitdrukkelijk bepaald dat de onderaannemer persoonsgegevens uitsluitend op basis van de schriftelijke instructies van de Bank mag verwerken, en laatstgenoemde bepaalt dat de onderaannemer ervoor zorgt dat de personen die zijn aangewezen om de persoonsgegevens te verwerken het vertrouwelijke karakter van die gegevens in acht nemen. Als een onderaannemer op zijn beurt met zijn eigen onderaannemers mag werken, wordt dit bovendien uitdrukkelijk bepaald in de overeenkomsten, samen met de voorwaarden waaraan in dit geval moet worden voldaan.
Onderaannemers binnen de Santander Groep
Voor de verwerking van bepaalde persoonsgegevens gebruikt de Bank de Santander Groep als onderaannemer.
Bepaalde verwerkingsactiviteiten van persoonsgegevens omvatten toezichts- en ondersteuningsfuncties (op groepsniveau), zoals:
- financiële diensten;
- interne auditfunctie;
- ondersteunende diensten voor facturering, betalingen en kredietverwerking;
- IT en andere software toepassingen voor bankdiensten;
- marketingondersteuning.
Onderaannemers in de financiële sector
De Bank gebruikt gespecialiseerde derden in België om bepaalde verwerkingsactiviteiten uit te voeren, zoals bijvoorbeeld voor betalingen:
- SWIFT voor de uitwisseling van berichten op wereldwijde schaal;
- ING Groep voor betalingen en transacties.
Andere onderaannemers
De Bank werkt samen met externe leveranciers zoals:
- Sopra Banking Software, een digitale dienstverlener, leverancier van technologiediensten;
- bedrijven voor advies- en externe auditdiensten (zoals bijvoorbeeld PwC);
- bedrijven die gespecialiseerd zijn in archivering en toegang tot digitale informatie zoals Iris Solutions SA, Systemat Digital Hub SA of Iron Mountain;
- Nordcall, voor onze klantenservice via dewelke u contact met ons kunt opnemen;
- We are Digital, Everis of Maileon voor reclamediensten.
9. Beveiliging/privacy
De Bank verbindt zich ertoe passende technische, fysieke en organisatorische maatregelen te treffen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, onrechtmatige behandeling, onopzettelijke beschadiging of verlies en ongeoorloofde vernietiging.
9.1. Beveiliging van apparatuur en informatie
Alle elektronische persoonsgegevens die in het bezit zijn van de Bank worden opgeslagen op systemen die worden beschermd door beveiligde netwerkarchitectuur met periodieke updates, die firewalls en inbraakdetectiemodules bevatten, om ongeoorloofde toegang tot persoonsgegevens door derden te voorkomen. Er is een "back-upbeleid” voor gegevens die zijn opgeslagen op de servers om de gevolgen van onopzettelijke verwijdering, vernietiging of verlies te voorkomen. De servers bevinden zich in sterk beveiligde faciliteiten, die beschermd worden tegen ongeoorloofde toegang via een branddetectiesysteem en andere reactieve systemen.
9.2. Toegangsbeveiliging
Het belang van de beveiliging van alle persoonlijke klantgerelateerde gegevens die worden verzameld, bewaard en verwerkt in het kader van het beheer en de uitvoering van onze activiteit is één van de grootste prioriteiten voor de Bank en de Santander Groep. De Bank verbindt zich ertoe de integriteit van persoonlijke gegevens te beschermen en ongeoorloofde toegang tot deze gegevens te voorkomen.
Er zijn maatregelen getroffen en voorzien om gegevensbeschadiging te voorkomen, om onbekende en ongeoorloofde toegang tot ons computersysteem en onze informatie te blokkeren en om redelijke bescherming te bieden aan de persoonsgegevens waarover de Bank beschikt. Alle dossiers worden vertrouwelijk bewaard in beveiligde en vergrendelde archiefkasten of kamers. De toegang tot geautomatiseerde databases wordt beheerd door een inlogvolgorde en vereist dat geautoriseerde gebruikers zich identificeren en een wachtwoord opgeven voordat toegang wordt verleend. Geautoriseerde gebruikers hebben enkel toegang tot de gegevens die nodig zijn om hun functie in het kader van het beheer en de uitvoering van onze activiteit uit te voeren.
De beveiligingsfuncties van de ontwikkelde software en procedures worden gebruikt om persoonlijke informatie te beschermen tegen verlies, misbruik en ongeoorloofde toegang, openbaarmaking, wijziging en vernietiging.
9.3. Opleiding
De Bank organiseert de nodige trainingen voor geautoriseerde gebruikers betreffende onder andere de rechtmatige, opgesomde en beoogde doeleinden voor de verwerking van persoonsgegevens, de noodzaak om de informatie te beschermen en juist en up-to-date te houden, de rechtmatige doeleinden voor het verzamelen en de noodzaak om de vertrouwelijkheid te bewaren van de gegevens waartoe geautoriseerde gebruikers toegang hebben.
De geautoriseerde gebruikers verbinden zich ertoe de vertrouwelijkheid van de persoonsgegevens in acht te nemen en dit Beleid na te leven. De Bank zal de nodige maatregelen treffen overeenkomstig de wet- en regelgeving op het gebied van gegevensbescherming, indien persoonsgegevens worden geraadpleegd, of indien deze worden verwerkt of gebruikt op een wijze die niet voldoet aan de vereisten van dit Beleid.
9.4. Algemene instructies
Alle geautoriseerde gebruikers zijn er krachtens dit Beleid verplicht toe gehouden om het nodige te doen voor de naleving van de in dit Beleid vastgestelde regels, zodat de Bank als verwerkingsverantwoordelijke voldoet aan de wet- en regelgeving inzake gegevensbescherming. De Bank verbindt zich ertoe de persoonsgegevens van de klant te zullen beschermen wanneer deze worden gebruikt of verwerkt. Om deze reden dienen geautoriseerde gebruikers overeenkomstig dit Beleid het belang te erkennen van een juiste en rechtmatige omgang met persoonsgegevens en dienen zij persoonsgegevens met de grootst mogelijke zorg te beheren.
9.5. Beveiligingsincidenten
Met een beveiligingsincident dat van invloed is op persoonsgegevens, bedoelt de Bank:
- toegang, mededeling en/of ongeoorloofd gebruik van uw persoonsgegevens;
- onopzettelijke of onwettige wijziging, vernietiging, verlies of aanpassing van uw persoonsgegevens die door een of meer niet-geautoriseerde personen worden verstuurd, opgeslagen of verwerkt;
- onmogelijkheid om toegang te krijgen tot uw persoonsgegevens.
Financiële entiteiten worden dagelijks geconfronteerd met bedreigingen die van invloed kunnen zijn op de integriteit en vertrouwelijkheid van uw persoonsgegevens.
Het is belangrijk op te merken dat alleen geautoriseerde personen toegang hebben tot uw persoonlijke gegevens en dat ze worden opgeslagen op een beperkt aantal servers. De Bank en haar onderaannemers beschikken alleen over de persoonsgegevens die nodig zijn om hun taken uit te voeren.
De Bank heeft instrumenten en interventieprocedures ingevoerd om te reageren op inbreuken op de beveiliging van haar systemen, die kunnen leiden tot onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of ongeoorloofde toegang door niet-geautoriseerde personen tot persoonsgegevens die anders worden verstuurd, opgeslagen of behandeld.
In het geval van een gegevenslek zal de Bank hiervan melding maken bij de Gegevensbeschermingsautoriteit in Spanje en u desgevallend ook op de hoogte houden.
De Bank maakt deel uit van de Santander Groep, een van de grootste financiële groepen ter wereld. Cybersecurity is een van haar grootste prioriteiten.
De opdracht van de Bank bestaat erin om in partnerschap te werken met alle sectoren van de Santander Groep om de klanten en hun persoonsgegevens en de werknemers en systemen te beschermen tegen huidige en imminente dreigingen voor de cyberveiligheid.
10. Bewaartermijn van uw gegevens
Persoonlijke informatie, die u vrijwillig doorgeeft wanneer u een beroep doet op een van onze diensten en informatie die tijdens de contractuele relatie wordt verzameld, wordt door de Bank bewaard voor de duur die nodig is om de doeleinden te bereiken die worden nagestreefd voor hun behandeling of de duur die wordt opgelegd door de toepasselijke wetgeving (zie Verzamelen van persoonsgegevens).
Aan het einde van de contractuele relatie worden uw gegevens versleuteld en verwijderd. Voor boekhoudkundige verplichtingen zal de encryptie een jaar na het einde van de contractuele relatie worden uitgevoerd en zal de verwijdering worden uitgevoerd 10 jaar na het einde van de contractuele relatie voor uw identificatiegegevens en 10 jaar na de laatste verrichting op de rekening voor de informatie met betrekking tot uw transacties, zoals bepaald door de wet tot voorkoming van het witwassen van geld. De Bank is wettelijk verplicht om de gegevens op te slaan van potentiële klanten die een rekening hebben geopend, maar hun rekening nooit hebben geactiveerd (d.w.z. die het proces nooit afgerond hebben). De bewaartermijn voor deze gegevens is dezelfde als die voor de geactiveerde klanten.
Na het einde van de contractuele relatie kunnen uw persoonsgegevens alleen voor juridische doeleinden worden gebruikt.
Als u ermee hebt ingestemd reclame te ontvangen en uw recht om vergeten te worden niet hebt uitgeoefend, bewaart de Bank uw contactgegevens zodat zij u reclame kan blijven sturen. Als u uw toestemming wilt intrekken, stuurt u eenvoudigweg een e-mail naar dataprotection@santanderconsumerbank.be. Op eenvoudig verzoek worden uw persoonsgegevens verwijderd en worden de overige gegevens gebruikt voor statistische doeleinden (niet-nominatieve geaggregeerde gegevens).
Bij de mensen die zijn aangevangen met het openen van een rekening zonder stap 2 (mijn bankrekeninggegevens) te voltooien en die ermee hebben ingestemd om hulp te ontvangen om het proces voor het openen van de bankrekening voort te zetten, zal alle verstrekte informatie gedurende 30 dagen opgeslagen worden en na die periode worden de persoonsgegevens verwijderd en worden de resterende gegevens gebruikt voor statistische doeleinden (niet-nominatieve gebundelde gegevens). Als u uw toestemming wilt intrekken, stuurt u gewoon een e-mail naar dataprotection@santanderconsumerbank.be.
Indien u niet akkoord bent gegaan met het ontvangen van reclame, worden er geen persoonsgegevens geregistreerd.
In sommige gevallen kan de Bank echter weigeren deze gegevens te verwijderen, bijvoorbeeld voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
11. Bescherming en vertrouwelijkheid
Enkel de personen die daartoe gemachtigd zijn, hebben toegang tot de persoonsgegevens die relevant zijn voor het vervullen van hun taak. Deze personen kunnen deze persoonsgegevens enkel gebruiken indien die noodzakelijk zijn om hun taak uit te voeren. Zij zijn gebonden aan het beroepsgeheim en dienen alle technische voorschriften na te leven die tot doel hebben de vertrouwelijkheid van de persoonsgegevens en de veiligheid van de systemen die deze gegevens bevatten te waarborgen.
De Bank neemt intern technische en organisatorische maatregelen om te voorkomen dat persoonsgegevens in handen van onbevoegden vallen of onopzettelijk gewijzigd of vernietigd worden. Gebouwen, servers, netwerken, overdrachten en persoonsgegevens worden beschermd door de toepassing van interne regels. De controle van deze beveiligingen zal op zijn beurt worden uitgevoerd door een gespecialiseerde dienst.
12. Uitoefening van uw rechten
Wanneer de Bank uw persoonsgegevens verwerkt, heeft u de volgende rechten:
- het recht om toegang te krijgen tot uw persoonsgegevens;
- in voorkomend geval, het recht om onjuiste persoonsgegevens te verbeteren;
- het recht van bezwaar tegen de verwerking van uw persoonsgegevens en het recht om vergeten te worden;
- het recht op overdraagbaarheid van uw persoonsgegevens.
Het recht op toegang
Het recht op toegang geeft u het recht om kosteloos te verkrijgen wat volgt:
- bevestiging dat uw persoonsgegevens worden verwerkt, informatie over het doel van de verwerking, categorieën van verwerkte persoonsgegevens en categorieën ontvangers;
- mededeling, in begrijpelijke vorm, van verwerkte persoonsgegevens en alle beschikbare informatie over de oorsprong ervan;
- beschikbare informatie over de herkomst van persoonsgegevens, alsmede al gedane of komende mededelingen.
Het recht op verbetering
Het recht op verbetering geeft u het recht om kosteloos alle onjuiste persoonsgegevens die op u betrekking heeft te laten verbeteren.
De behandeling van de aanvraag zal voornamelijk neerkomen op een verbetering van uw persoonsgegevens of een weigering dit verzoek in te willigen in de gevallen voorzien door de geldende Belgische of Europese wetgeving.
Het recht van bezwaar en recht om vergeten te worden
Het recht van bezwaar geeft u het recht om kosteloos bezwaar te maken tegen de verwerking van uw persoonsgegevens, bijvoorbeeld voor direct marketingdoeleinden.
Het recht om vergeten te worden bestaat erin bij de Bank de verwijdering van uw persoonsgegevens te verkrijgen, rekening houdend met de periode van bewaring die wordt toegepast.
Het recht van bezwaar kan niet worden ingeroepen bij verwerkingen die noodzakelijk zijn om de overeenkomst voor het openen van een rekening te sluiten of uit te voeren of bij verwerkingen ingevolge wettelijke of regelgevende verplichtingen.
Wanneer uw persoonsgegevens voor direct marketingdoeleinden zijn verzameld, zullen deze in het kader van het recht van bezwaar verwijderd worden en zullen de resterende gegevens gebruikt worden voor statistische doeleinden (niet-nominatieve gebundelde gegevens).
Voor meer informatie over het recht om vergeten te worden, verwijzen wij naar de titel Bewaartermijn van uw persoonsgegevens.
Het recht op overdraagbaarheid
U heeft het recht om de persoonsgegevens die op u betrekking hebben, die u aan de Bank hebt verstrekt, te ontvangen in een gestructureerd, algemeen gebruikt en machineleesbaar formaat. U kunt de Bank ook vragen deze door te geven aan een derde partij.
13. Hoe kunt u uw rechten uitoefenen?
Het verzoek kan gericht worden aan de Bank:
- via het e-mailadres dataprotection@santanderconsumerbank.be;
- door onze klantenservice te bellen;
- per brief naar het volgende adres:
Santander Consumer Finance SA (Spanje), Bijkantoor in België, Guldensporenpark 81, 9820 Merelbeke, Belgie.
Santander Consumer Finance SA, Monte, Avenida de Cantabria s/n. 28660 Boadilla del Monte, Spanje.
Alle reacties worden verzonden naar uw beveiligde persoonlijke ruimte om veiligheids- en identificatieredenen. Als u een antwoord wilt ontvangen via een ander communicatiemiddel, moet u de Bank een tweezijdige kopie van uw identiteitskaart sturen. Als u moeilijkheden ondervindt bij de uitoefening van uw wettelijke rechten of als niet voldaan is aan wettelijke verplichtingen, kunt u een klacht indienen bij de Bank op het volgende adres:
klachten@santanderconsumerbank.be (NL) of plaintes@santanderconsumerbank.be) (FR)
De Bank verstrekt de klant zo spoedig mogelijk en, in ieder geval, binnen een maand na ontvangst van de aanvraag informatie over de acties die zijn ondernomen naar aanleiding van een verzoek dat ingediend werd in het kader van deze clausules. Indien nodig kan deze termijn met twee maanden worden verlengd, rekening houdend met de complexiteit en het aantal aanvragen. De Bank stelt de klant binnen een maand na ontvangst van de aanvraag op de hoogte van deze verlenging en de redenen daarvoor.