Privacy

Obvion N.V. (hierna genoemd “Obvion”) verwerkt persoonsgegevens. Je deelt allerlei persoonsgegevens met ons. Zoals door het aanvragen van een hypotheek via de onafhankelijke tussenpersoon, als je contact met ons opneemt of als je MijnObvion gebruikt. Met deze gegevens gaan we uiteraard zorgvuldig om. In dit privacy statement vind je informatie over hoe we omgaan met het verwerken van je persoonsgegevens. Uiteraard verduidelijkt met voorbeelden, zodat je het makkelijker kan begrijpen. In dit privacy statement geven we antwoord op de belangrijkste vragen over de verwerking van persoonsgegevens door Obvion. Heb je vragen hierover? Dan lees je bij punt 14 hoe je daarover contact met ons kunt opnemen.

Wat bedoelt Obvion met het verwerken van persoonsgegevens?

  • Persoonsgegevens: Dit zijn gegevens die direct of indirect iets over jou zeggen. Denk aan je naam en adres of je inkomen. Ook gegevens van een eenmanszaak, VOF of maatschap zijn persoonsgegevens. Dit geldt niet voor de gegevens van een rechtspersoon zoals een BV of NV. Gegevens van de contactpersoon of vertegenwoordiger van een rechtspersoon zijn dat wel.

  • Verwerken: Alles wat met je persoonsgegevens kan worden gedaan. Bijvoorbeeld het verzamelen, maar ook het opslaan, gebruiken, doorgeven en verwijderen van uw gegevens.

We verwerken persoonsgegevens als we een zakelijke relatie hebben, willen krijgen of met je hebben gehad. Of als we contact met je hebben gehad.

Zoals:

  • klanten en hun vertegenwoordigers

  • iedereen die interesse toont in Obvion of onze producten en diensten

    • iedereen die op een andere manier aan een bedrijf of organisatie verbonden is waar we een zakelijke relatie mee hebben, willen krijgen of hebben gehad

      • zekerheidsgevers, zoals iemand die borg staat

    • toekomstige en voormalige klanten

    Geeft je bedrijf of organisatie persoonsgegevens van medewerkers, bestuurders of Uiteindelijk Belanghebbenden (UBO) aan ons door? Dan verwachten we van jou dat je hen hierover informeert. Zelf verzamelen we ook gegevens, bijvoorbeeld doordat we deze uit het Handelsregister opvragen. Deze leggen we ook vast. We verwachten dat je jouw medewerkers en bestuurders hierover informeert. Je kunt dit privacy statement aan hen geven. Zodat zij kunnen zien hoe we met hun persoonsgegevens omgaan.

    Dit privacy statement gaat over verwerkingen van persoonsgegevens door Obvion. Obvion maakt deel uit van de Rabobank Groep. Waar we in dit privacy statement spreken over de Rabobank, bedoelen we de Rabobank Groep.

    Als de wet ons dat toestaat, kunnen gegevens ook worden uitgewisseld binnen de Rabobank Groep. In Nederland vallen daaronder bijvoorbeeld de Coöperatieve Rabobank U.A, groepsonderdelen zoals Rabo Financieringsmaatschappij, Rabo Krediet Maatschappij, Rabo Hypotheekbank, Rabo Vastgoedgroep en andere dochterondernemingen zoals Obvion, Freo en DLL.

    We houden ons daarbij aan de spelregels die we binnen de Rabobank Groep hebben afgesproken, de Rabobank Privacy Codes. Deze spelregels beschrijven hoe onderdelen van de Rabobank Groep op wie deze Rabobank Privacy Codes van toepassing zijn, omgaan met persoonsgegevens.

    Doe, deed of ga je zaken doen met Obvion? Dan is Obvion verantwoordelijk voor de verwerking van je persoonsgegevens.

    Heb je een ABP hypotheek? Dan is Stichting Pensioenfonds ABP je geldgever. Obvion vertegenwoordigt Stichting Pensioenfonds ABP in het kader van je ABP hypotheek. En is in die hoedanigheid verantwoordelijk voor de verwerking van je persoonsgegevens, zoals in dit privacy statement wordt uitgelegd. Stichting Pensioenfonds ABP verwerkt als je geldgever ook persoonsgegevens en is voor die verwerkingen zelf verantwoordelijk.

    We ontvangen je gegevens omdat je deze zelf aan ons geeft. Bijvoorbeeld wanneer je je gegevens achterlaat op onze website om contact met je op te nemen. En gegevens die ontstaan door onze dienstverlening, bijvoorbeeld omdat je ons digitaal vragen stelt over je hypotheek.

    Ook kunnen we je gegevens ontvangen van groepsonderdelen binnen de Rabobank. Of van andere financiële instellingen (zie punt 6b) in het kader van fraude-, witwas- of terrorismebestrijding.

    We kunnen daarnaast gegevens ontvangen van anderen. Bijvoorbeeld omdat je deze aan je onafhankelijke adviseur hebt gegeven om een hypotheek bij ons aan te vragen. Ook kunnen we gegevens ontvangen van bijvoorbeeld leveranciers of andere partijen waar we mee samenwerken. Als je een lening aanvraagt ontvangen we bijvoorbeeld gegevens van BKR. We kunnen ook gebruik maken van openbare bronnen zoals openbare registers, kranten en het internet. Soms ontvangen we gegevens omdat je toestemming aan een andere partij hebt gegeven om gegevens met ons te delen.

    Voor iedere verwerking van persoonsgegevens is volgens de wet een grondslag nodig. We verwerken je gegevens voor de volgende doelen en grondslagen.

    Onderdeel Welk doel voor de verwerking van persoonsgegevens wordt hier beschreven?
    6a Om een relatie en overeenkomst met jou te kunnen aangaan en deze uit te voeren
    6b Voor de veiligheid en integriteit van jou, Obvion, de Rabobank en de financiële sector
    6c Voor de ontwikkeling en verbetering van producten en diensten
    6d Voor relatiebeheer, promotie- en marketingdoelen
    6e Om overeenkomsten met leveranciers en andere partijen waar we mee samenwerken aan te gaan en uit te voeren
    6f Om wettelijke verplichtingen na te komen
    6g Voor de uitvoering van bedrijfsprocessen, managementrapportages en intern management
    6h Voor archivering, wetenschappelijk of historisch onderzoek of voor statistische doeleinden

    6a. Om een relatie en overeenkomst met je te kunnen aangaan en deze uit te voeren


    Doelen
    : Als je klant wilt worden, hebben we persoonsgegevens nodig. Dit geldt ook wanneer je een nieuw product of nieuwe dienst wilt gaan gebruiken of contact met ons opneemt.

    Zo moeten we onderzoek doen om te beoordelen of we jou als klant kunnen accepteren. Bij het klant worden moeten we – voor bijna al onze producten – je identiteit vaststellen en voldoen aan onze wettelijke verplichtingen. Hiervoor hebben we een kopie van je identiteitsbewijs nodig. De kopie van je identiteitsbewijs gebruiken we alleen voor identificatie en verificatie. 

    We raadplegen ons intern verwijsregister (het intern verwijsregister/ IVR) en incidentenregisters van de financiële sector (het extern Verwijzingsregister/EVR en het register van de Stichting Fraudebestrijding Hypotheken). Ook toetsen we je aan nationale en internationale sanctielijsten.

    We beoordelen of het gewenste product of dienst passend is voor je. Bijvoorbeeld of we je een lening kunnen verstrekken. Hiervoor maken we ook gebruik van gegevens die we van anderen krijgen. Bijvoorbeeld van het Bureau Krediet Registratie (BKR) of Calcasa.

    Om te beoordelen of we je een krediet of een ander product kunnen geven, maken we analyses. Soms zijn we daartoe ook verplicht. Bijvoorbeeld omdat Nederlandse of Europese wet- en regelgeving dat van ons verlangt.

    Als dat nodig is berekenen we een kredietscore van je. Deze score wordt op basis van volledig geautomatiseerde besluitvorming berekend en gebruikt om te bepalen of we je een krediet kunnen geven. De score wordt vervolgens gebruikt door bevoegde medewerkers om te bepalen of je wel of geen lening krijgt. Dit wordt niet volledig geautomatiseerd beoordeeld.

    Om ervoor te zorgen dat een product goed bij je past, kan Obvion een profiel gebruiken. Bijvoorbeeld bij het aanvragen van een hypotheek. Doordat we onderzoek hebben gedaan naar de kenmerken van klanten met betalingsachterstanden, kunnen we een model ontwikkelen. Dit model kunnen we gebruiken als je een hypotheek aanvraagt. Blijkt op basis van dat model dat je een hoger risico loopt? Dan kunnen we besluiten je geen hypotheek te geven.

    Als je klant bij ons bent, zijn we je graag goed van dienst. En voeren we de ontvangen opdrachten en gesloten overeenkomsten uit. Dit hebben we immers met jou afgesproken. Hiervoor verwerken we persoonsgegevens.

    Voeren we een betaling voor je uit? Dan geven we je gegevens door aan de bank die betrokken is bij de betaling. Ook de begunstigde van de betaling kan dan je gegevens inzien en vastleggen, zoals je naam.

    We informeren je over de transacties van je hypotheek, maar ook over je bouwdepot of bankspaarrekening. Of we nemen contact met je op om te zoeken naar een oplossing als een betalingsachterstand dreigt.  

    Je kunt ons ook vragen om je gegevens kenbaar te maken aan een derde. Dan geven we je gegevens door.

    Als tussenpersoon voor een andere dienstverlener zoals Interpolis of ASR geven we gegevens door om onze werkzaamheden als tussenpersoon uit te kunnen voeren. Ook leggen we soms je voorkeuren vast voor bijvoorbeeld bijeenkomsten. 

    Grondslagen: We verwerken je gegevens vaak, omdat we dat wettelijk verplicht zijn. Bijvoorbeeld omdat we gegevens aan de Belastingdienst moeten doorgeven. Maar als deze wettelijke verplichting niet direct voor Obvion geldt, hebben we een gerechtvaardigd belang bij het verwerken van uw gegevens voor deze doelen. Ook kunnen we de gegevens verwerken omdat dit noodzakelijk is voor het sluiten van de overeenkomst. Als je sommige gegevens niet aan ons verstrekt, kunnen we de overeenkomst niet uitvoeren.

    b. Voor de veiligheid en integriteit van jou, Obvion, de Rabobank en de financiële sector

    Doelen: We verwerken je persoonsgegevens voor het beschermen van je en onze veiligheid en van de financiële sector. Doel is ook het voorkomen van fraude, witwassen en het financieren van terrorisme.

    Klantonderzoek: Niet alleen bij het aangaan van de klantrelatie onderzoeken we of we je als klant kunnen accepteren. Ook tijdens de klantrelatie moeten we onderzoek doen of je nog klant van ons kunt blijven. Hiervoor verwerken we persoonsgegevens. Bijvoorbeeld het transactieverloop op je rekening kan aanleiding zijn voor nader onderzoek. Of de personen met wie je zaken doet.  

    Incidentenregisters en waarschuwingssystemen: Als je klant bij ons wil worden, maar ook als je al klant van ons bent, raadplegen we de incidentenregisters en waarschuwingssystemen van de Rabobank (het intern verwijsregister/ IVR) en de financiële sector (het extern Verwijzingsregister/EVR en het register van de Stichting Fraudebestrijding Hypotheken).

    Het raadplegen van deze registers gebeurt niet door alle medewerkers zelf. Doet een medewerker een toets in het intern verwijsregister of extern verwijsregister? Dan ziet de medewerker alleen of er wel of niet een aantekening in het register staat. Iedere financiële instelling heeft een eigen veiligheidsafdeling. Deze afdeling beoordeelt als er een aantekening is opgenomen in het register of de klant een product mag hebben of dienst mag gebruiken op basis van de informatie die zij in haar eigen administratie of het Incidentenregister heeft.  

    Informatie zoals opgenomen in het Incidentenregister kunnen we delen met andere financiële instellingen. Dat doen we alleen als dat toegestaan is op basis van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).

    Ook ontvangen we van overheden lijsten van personen die we vast moeten leggen in onze waarschuwingsregisters. Met deze personen mogen financiële instellingen geen zaken doen of vragen extra aandacht van de financiële sector.

    De incidentenregisters en waarschuwingssystemen kunnen we raadplegen, maar we kunnen je persoonsgegevens ook in deze registers vastleggen. Leggen we je gegevens vast in deze registers, dan informeren we je daarover. Behalve als dat niet toegestaan is, bijvoorbeeld omdat de politie ons vraagt je niet te informeren in het belang van hun onderzoek. Ben je het niet eens met deze vastlegging? Dan kun je hiertegen bezwaar maken of vragen je gegevens te corrigeren of te wissen (zie punt 13). 

    BKR
    : We moeten een BKR-toets doen voordat we je een krediet geven. Of voor het beheren van onze portefeuille. Heb je enige tijd een betalingsachterstand of restschuld bij ons? Dan moeten we dit doorgeven aan het BKR.

    Openbare bronnen: We raadplegen openbare bronnen zoals openbare registers, kranten en het internet om fraude te voorkomen en de bank te beschermen.

    Fraude: Om fraude te voorkomen en om je en ons te beschermen, kunnen we analyses maken. Zo kunnen we bijvoorbeeld een profiel maken van je betaalgedrag om fraude te verminderen.

    We kunnen gebruik maken van gegevens die je niet in het kader van fraudebestrijding aan ons hebt verstrekt. Bijvoorbeeld het transactieverloop op je rekening. De toezichthouder verlangt dit ook van ons.

    Bij het bestrijden van cybercrime en hacks, zoals botnets, geven we gegevens van je door aan partijen die zich bezighouden met cybercrime. Dit doen we als we zien dat de veiligheid van je of de financiële sector mogelijk in gevaar is. We doen dat bovendien alleen als we met deze partijen afspraken hebben gemaakt over het zorgvuldige gebruik van je gegevens.

    We maken opnamen en kunnen deze vastleggen, bijvoorbeeld van telefoongesprekken, e-mail verkeer, camera’s en chatsessies. We doen dit in het kader van fraudeonderzoek. Zo maken we camerabeelden voor de bewaking van ons kantoor. We kunnen dit ook doen  als we daartoe wettelijk verplicht zijn, voor het leveren van bewijs, voor kwaliteitsbewaking en voor training, coaching en beoordelingsdoeleinden.

    Grondslagen: We verwerken je gegevens omdat dit nodig is om te voldoen aan een wettelijke verplichting. Als we geen directe wettelijke verplichting hebben om je gegevens te verwerken, baseren we ons op het gerechtvaardigd belang van Obvion, de Rabobank, de financiële sector of onze klanten en medewerkers. In een aantal gevallen hebben we een gerechtvaardigd belang om je gegevens te verwerken. Zoals bij het maken van telefoonopnamen.

    c. Voor de ontwikkeling en verbetering van producten en diensten

    Doelen: Om je goed van dienst te kunnen zijn en te kunnen innoveren, ontwikkelen en verbeteren we producten en diensten voortdurend. Dit doen we voor jou, onszelf, onze zakelijke partners of andere partijen.

    Daarbij combineren we soms databronnen, bijvoorbeeld welke producten je bij ons hebt en het saldo van je hypotheek of Bankspaarrekening. We voeren ook ‘benchmarkonderzoeken’ uit. Op die manier krijgen wij en onze zakelijke partners, zoals de onafhankelijke adviseurs, meer informatie over hoe zij presteren ten opzichte van concurrenten. We krijgen daarbij uitkomsten van een groep adviseurs of klanten, dus nooit op individueel niveau (we noemen dit op geaggregeerd niveau).

    Ook bij het analyseren van je bezoek aan onze website verwerken we gegevens. Dit doen we om onze website te verbeteren. Dit doen we door middel van cookies en vergelijkbare technieken. Cookies zijn kleine, eenvoudige tekstbestanden die op je computer, tablet of mobiele telefoon (kunnen) worden geplaatst bij bezoek aan een website. In het Cookie Statement van Obvion, dat je onder meer kunt terugvinden op Obvion.nl onder “Cookies”, lees je alles over het gebruik van cookies door Obvion.

    We maken opnamen en kunnen deze vastleggen, bijvoorbeeld van telefoongesprekken, e-mailverkeer en chatsessies. Dit doen we ook om de kwaliteit van onze dienstverlening te verbeteren. Bijvoorbeeld door onze medewerkers te trainen. Sommige gegevens die we loggen, gebruiken we ook om analyses voor onze bedrijfsvoering te maken, zodat we bijvoorbeeld beter kunnen inschatten hoeveel medewerkers we nodig hebben om je telefonisch van dienst te kunnen zijn.

    Door persoonsgegevens te analyseren, zien we hoe onze producten en diensten door jou worden gebruikt. Maar we gebruiken de uitkomsten van analyses ook om klanten in te delen in groepen. Hiermee kunnen we klantprofielen en interesseprofielen maken. Bij het maken van deze analyses gebruiken we soms ook informatie van andere partijen en openbare bronnen. 

    We doen ook onderzoek om onze producten en diensten te verbeteren. Zo kunnen we je vragen een reactie te geven op een product. Of een product te beoordelen. Je hoeft niet mee te werken aan zo’n onderzoek.

    We gebruiken voor het verwerken je gegevens voor dit doel soms andere partijen. Bijvoorbeeld om te meten of bij je na te vragen op welke manier we onze dienstverlening kunnen verbeteren. Deze andere partijen handelen dan in opdracht van Obvion.

    Grondslagen: We verwerken je gegevens omdat we daar een gerechtvaardigd belang bij hebben. We kunnen je ook om toestemming vragen om je gegevens voor de ontwikkeling en verbetering van onze producten en diensten te verwerken. Geef je geen toestemming voor het ontwikkelen en verbeteren van onze producten en diensten? Dan heeft dat geen gevolgen voor onze dienstverlening aan jou. Je kunt je gegevens toestemming altijd intrekken bijvoorbeeld door een e-mail te sturen naar info@obvion.nl.

    d. Voor relatiebeheer, promotie- en marketingdoeleinden

    Doelen: We verwerken je persoonsgegevens voor relatiebeheer, promotie en marketing. We maken hierbij gebruik van gegevens die we van je hebben, zoals je hypotheekgegevens en klikgedrag op onze website. Maar ook van gegevens die niet rechtstreeks van jou zijn verkregen, zoals openbare registers (denk aan het KvK), openbare bronnen (denk aan het internet) en andere partijen (zoals databrokers).

    We kunnen je gegevens gebruiken om je te informeren over een product of dienst die mogelijk interessant voor je is. Een voorbeeld: zien we op internet dat je woning te koop staat? Dan kunnen we je benaderen met informatie over onze verschillende hypotheeksoorten.

    Voor marketing en relatiebeheer maken we analyses en profielen. Zo kunnen we je huidige producten bij Obvion combineren met gegevens over je bezoek aan onze website zodat we voor je relevante informatie kunnen tonen. Bijvoorbeeld om je meer gepersonaliseerde informatie te kunnen geven via banners op onze website.

    Ook maken we gebruik van diensten van adverteerders om advertenties te plaatsen die bestemd zijn voor een bepaalde doelgroep. We laten weten voor welke doelgroep of soort profiel onze advertentie bestemd is. De adverteerder plaatst de advertentie dan bij de mensen die in die doelgroep vallen of aan dat profiel voldoen. Hierbij delen we nooit gegevens van individuele klanten met zo’n adverteerder.

    We kunnen analyses ook gebruiken om inzicht te geven aan onze zakelijke partners, zoals de onafhankelijke adviseurs ten behoeve van benchmarkonderzoek. Zodat we en onze zakelijke partners kunnen bepalen hoe hij presteert ten opzichte van concurrenten. Gebruiken we je gegevens voor deze analyses? Of maken we profielen? Dan zorgen we er voor dat deze gegevens zo veel mogelijk gepseudonimiseerd worden. En maar voor een beperkt aantal medewerkers binnen Obvion beschikbaar zijn.

    Ook kunnen we je persoonsgegevens verwerken om onze zakelijke relatie met je te beheren, bijvoorbeeld door je voorkeur vast te leggen wanneer je naar een bijeenkomst komt.

    Wil je niet dat we je gegevens gebruiken voor ‘direct marketing’ via bijvoorbeeld post, mail of telefoon? Dan kun je dit laten weten door bijvoorbeeld een e-mail te sturen naar info@obvion.nl.

    Grondslagen: We verwerken je gegevens, omdat we daar een gerechtvaardigd belang bij hebben. We kunnen ook je toestemming vragen om je gegevens voor promotie- en marketing te verwerken. Geef je geen toestemming? Dan heeft dat geen gevolgen voor onze dienstverlening aan jou. Je kunt je toestemming intrekken door bijvoorbeeld een e-mail te sturen naar info@obvion.nl.

    e. Om overeenkomsten met leveranciers en andere partijen waar we mee samenwerken aan te gaan en uit te voeren

    Doelen: Als je voor je werk contact hebt met Obvion, kunnen we je persoonsgegevens verwerken. Bijvoorbeeld om je te identificeren, zodat we kunnen vaststellen of je je bedrijf mag vertegenwoordigen. Of om je toegang te kunnen geven tot ons kantoor. Als dat nodig is, kunnen we voorafgaand, maar ook tijdens de overeenkomst in het kader van screening incidentenregisters en waarschuwingssystemen raadplegen (zie punt 6b).

    We kunnen je persoonsgegevens ook verwerken om onze zakelijke relatie met jou te beheren als we je bijvoorbeeld uitnodigen voor een bijeenkomst of om je mening te vragen over onze diensten en producten.

    Grondslagen: We verwerken je gegevens om de overeenkomst die we hebben gesloten uit te voeren, omdat we dat wettelijk verplicht zijn. Of omdat we daar een gerechtvaardigd belang bij hebben.

    f. Om wettelijke verplichtingen na te komen

    Doelen:

    Wetgeving: We moeten op basis van (internationale) wet- en regelgeving veel gegevens over je verzamelen, analyseren en soms ook doorgeven aan (Europese) overheidsinstanties. We moeten ons houden aan wetgeving om je financiële producten en diensten aan te mogen bieden, zoals de Wet op het financieel toezicht. Ook om te voldoen aan onze zorgplicht verwerken we persoonsgegevens.

    Ook moeten we ons houden aan wetgeving om fraude, criminaliteit en terrorisme tegen te gaan, zoals de Wet ter voorkoming van witwassen en financieren van terrorisme. Zo moeten we bijvoorbeeld klantonderzoek doen, een (nader) onderzoek instellen als je een bepaald vermogen hebt of bij een ongebruikelijke transactie op je rekening. Zien we een ongebruikelijke transactie? Dan moeten we dat doorgeven aan de bevoegde opsporingsinstantie. Ook moeten we op basis van deze wet vaststellen wie de uiteindelijke belanghebbende  (UBO) van een bedrijf of organisatie is waar we een relatie mee hebben.

    De Belastingdienst, de politie en het openbaar ministerie, maar bijvoorbeeld ook inlichtingendiensten kunnen gegevens bij ons opvragen. We hebben dan de wettelijke verplichting mee te werken aan onderzoeken en gegevens over je door te geven.

    Risicomodellen: Europese regels verplichten ons risicomodellen te maken als je een lening of krediet aanvraagt of heeft gekregen van ons. Zodat we kunnen bepalen welke risico’s Obvion en de Rabobank hierbij lopen en hoe groot de buffer is die we moeten aanhouden. Daarvoor verwerken we je persoonsgegevens.

    Deze modellen moeten we ook gebruiken om te voorkomen dat je je financiering niet of niet op tijd kunt terugbetalen. Hierbij kunnen we gebruik maken van profilering en technieken om besluiten (bijna) volledig geautomatiseerd te nemen. Dit doen we omdat we dat wettelijk verplicht zijn.

    Deze risicomodellen voorspellen ook de kans dat je een betalingsachterstand gaat krijgen. Hierdoor kunnen we, bijvoorbeeld in overleg met jou, eventuele betalingsproblemen voorkomen of sneller aanpakken. We verwerken hiervoor dan je persoonsgegevens. Dit doen we om verschillende redenen. Namelijk omdat we zo uitvoering geven aan onze overeenkomst met jou, maar ook omdat we dit wettelijk verplicht zijn.

    Gegevens verstrekken aan de overheid: Wet- en regelgeving kan ons er ook toe verplichten om (geanalyseerde) gegevens over je aan een overheidsinstelling, een belastingautoriteit of aan een toezichthouder binnen of buiten Nederland door te geven. Bijvoorbeeld aan de Autoriteit Financiële Markten, de Europese Centrale Bank of De Nederlandsche Bank. Omdat we moeten voldoen aan wettelijke verplichtingen en verdragen, moeten we soms gegevens van je verstrekken aan de Nederlandse of een buitenlandse belastingautoriteit.

    Grondslagen: We verwerken je gegevens omdat dat wettelijk verplicht is. Of omdat we anders geen uitvoering kunnen geven aan een overeenkomst met je. Of als we gerechtvaardigd belang hebben om je gegevens te verwerken om aan een wettelijke of andere juridische verplichting te kunnen voldoen.

    g. Voor de uitvoering van bedrijfsprocessen, managementrapportages en intern management

    Doelen:

    Ken je klant: Als dienstverlener vinden we het belangrijk en is het noodzakelijk dat we een goed overzicht hebben van onze klant- en zakelijke relaties. Daar hoort ook bij dat we weten met wie je samenwerkt. Ook daarvoor verwerken we gegevens.

    Vaststellen kredietrisico bij leningen en kredieten: Aan het geven van leningen en kredieten zit een kredietrisico. We moeten vaststellen wat dat risico is, zodat we kunnen vaststellen welke buffer we moeten aanhouden. Daarvoor verwerken we je lening- en kredietgegevens.

    Overdracht van vorderingen: Soms dragen we vorderingen op je over aan een ander. Bijvoorbeeld je hypothecaire lening. Bij zulke overdrachten worden persoonsgegevens verwerkt. Als de vorderingen overgedragen zijn, verwerkt ook die andere partij je persoonsgegevens. We spreken met zo’n andere partij af dat deze voldoet aan wet- en regelgeving over bescherming van persoonsgegevens. Dit geldt ook bij contractoverneming. Mocht sprake zijn van een fusie of splitsing, dan wordt uiteraard ook de wetgeving over de bescherming van persoonsgegevens gevolgd.

    Interne audits en onderzoeken: We gebruiken je gegevens ook om interne audits en onderzoeken te doen bijvoorbeeld om te onderzoeken of nieuwe regels goed zijn ingevoerd. Of om risico’s in kaart te brengen.

    Verbeteren van onze eigen bedrijfsprocessen: Ook gebruiken we gegevens om onze bedrijfsprocessen in kaart te brengen en te verbeteren. Zodat we je beter kunnen helpen of onze processen efficiënter kunnen maken. Als dat mogelijk is, anonimiseren of pseudonimiseren we dan eerst je gegevens.

    Sommige gegevens die we loggen, gebruiken we ook om analyses voor onze bedrijfsvoering te maken, zodat we bijvoorbeeld beter kunnen inschatten hoeveel medewerkers we nodig hebben om je telefonisch van dienst te kunnen zijn.

    Grondslagen: We verwerken je gegevens omdat dat wettelijk verplicht is, of omdat we een gerechtvaardigd belang hebben. Ook kan de verwerking van je gegevens noodzakelijk zijn voor de uitvoering van onze overeenkomst met je.

    h. Voor archivering, wetenschappelijk of historisch onderzoek of voor statistische doelen

    Doelen: We mogen je persoonsgegevens ook verwerken als dit nodig is voor archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doelen. In die gevallen zullen we, als dat mogelijk is, je gegevens ook eerst anonimiseren of pseudonimiseren.

    Grondslag: Bij de verwerken voor persoonsgegevens voor archivering, wetenschappelijk of historisch onderzoek of voor statistische doelen baseren we ons op het gerechtvaardigd belang van Obvion, de Rabobank, de financiële sector of onze klanten en medewerkers.

    We bewaren je gegevens niet langer dan we deze nodig hebben voor de doelen waarvoor we ze hebben verzameld of de doelen waarvoor we deze hergebruiken. Obvion hanteert een bewaarbeleid. Daarin is vastgesteld hoe lang we gegevens bewaren. Dit zal in Nederland in de meeste gevallen 7 jaar na het einde van de overeenkomst of je relatie met Obvion zijn. Soms is deze termijn langer. Bijvoorbeeld als de toezichthouder in het kader van risicomodellen van ons vraagt bepaalde gegevens langer te bewaren. Soms hanteren we afwijkende bewaartermijnen. Cameraopnamen bewaren we bijvoorbeeld maar 1 maand, terwijl we andere gegevens weer langer bewaren.

    We kunnen gegevens ook in specifieke situaties langer bewaren dan de door ons vastgestelde bewaartermijn voorschrijft. Bijvoorbeeld als justitie camerabeelden opvraagt, dan bewaren we de beelden langer dan 1 maand. Of als je een klacht heeft ingediend waardoor het nodig is om de onderliggende gegevens langer te bewaren.

    Als we de gegevens niet langer nodig hebben voor de doelen zoals omschreven in 6 a. tot en met g., kunnen we de gegevens wel nog bewaren voor archivering, bij juridische procedures of voor historische of wetenschappelijke onderzoek of statistische doeleinden.

    Bijzondere persoonsgegevens, strafrechtelijke gegevens en het BSN zijn gevoelige gegevens. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over gezondheid, biometrische gegevens, etnische gegevens of gegevens betreffende ras. We verwerken deze gegevens alleen als dat noodzakelijk is.

    Voor identificatie en authenticatie kunnen we ook biometrische gegevens, zoals je vingerafdruk, gebruiken.

    Je BSN gebruiken we alleen als dat wettelijk is toegestaan. Bijvoorbeeld om de hoogte van je lening door te geven aan de Belastingdienst.

    Obvion neemt deel aan incidentenregisters en waarschuwingssystemen van de financiële sector en kan hiervoor strafrechtelijke gegevens verwerken. Het doel van een incidentenregister en waarschuwingssysteem is om de belangen van financiële instellingen en hun klanten te beschermen. Bijvoorbeeld door fraude op te sporen en gevallen van fraude vast te leggen.

    We verwerken bijzondere persoonsgegevens als dat wettelijk toegestaan is, omdat je deze gegevens zelf openbaar heeft gemaakt of met je toestemming. Bijvoorbeeld als je ons vraagt vast te leggen dat je slechthorend bent, zodat we je beter schriftelijk benaderen in plaats van telefonisch. We vragen je toestemming om deze gegevens vast te leggen. Geef je ons toestemming om bijzondere persoonsgegevens over vast te leggen? Of maak je deze gegevens zelf openbaar? Dan verwerken we deze gegevens alleen als dit noodzakelijk is voor onze dienstverlening. Heb je ons toestemming gegeven om bijzondere persoonsgegevens vast te leggen? Dan kun je die toestemming altijd intrekken. Je kunt hiervoor contact opnemen met Obvion.

    Automatische besluiten zijn beslissingen over jou die gemaakt worden door computers, en niet (meer) door mensen. Obvion mag van de wet gebruik maken van geautomatiseerde beslissingen inclusief profilering. Maar daar gelden wel bepaalde regels voor. Heeft een beslissing juridische gevolgen voor jou? Of kun je daar last van hebben? Dan mogen we geen automatische besluit over je nemen. Tenzij dit plaatsvindt in het kader van een overeenkomst die je met Obvion wilt sluiten of de wet dat toestaat. Of als je toestemming geeft. In die situaties heb je recht op overleg met iemand van Obvion. En je hebt het recht om bezwaar te maken. Ook kun je ons vragen om het besluit niet meer door computers te laten nemen.

    In de volgende situatie kunnen we gebruik maken van volledige automatische besluiten die voor jou gevolgen hebben of waar je last van kunt hebben.

    -       Bij de berekening van je kredietscore als je een krediet bij ons aanvraagt. We zijn verplicht om deze kredietscores te gebruiken bij het besluit om je wel of geen krediet te verlenen. Het besluit om je wel of geen krediet toe te kennen wordt niet volledig geautomatiseerd gemaakt.

    Binnen Obvion hebben alleen personen toegang tot je persoonsgegevens die deze gelet op hun functie nodig hebben. Al deze personen hebben een geheimhoudingsplicht.

    Willen we gegevens voor andere doel gebruiken dan waarvoor we ze gekregen hebben zijn? Dan mogen we dat wanneer er tussen beide doelen een nauwe samenhang bestaat.

    Ben je klant bij ons en geef je je e-mail adres door om op de hoogte te worden gehouden over je hypotheek? Dan gebruiken we dit e-mailadres ook om je te voorzien van relevante informatie over Obvion of onze producten. Bijvoorbeeld om je uit te nodigen om deel te nemen aan een online seminar over vervroegd aflossen. Tussen het je op de hoogte houden van je hypotheek en het geven van relevante informatie over onze hypotheken bestaat namelijk een nauwe samenhang.

    Is er onvoldoende verband tussen het doel waarvoor we de gegevens hebben verkregen en het nieuwe doel? Dan vragen we je om toestemming. Je kunt die toestemming ook altijd weer intrekken. Je kunt hiervoor contact opnemen met Obvion.

    a. Binnen de Rabobank: Je persoonsgegevens kunnen tussen onderdelen van de Rabobank worden uitgewisseld. Bijvoorbeeld omdat je dat van ons vraagt. Of omdat je ook een product afneemt bij een ander onderdeel van Rabobank. Gegevens waar je identiteit mee is vastgesteld, kunnen bijvoorbeeld ook gebruikt worden door een ander onderdeel van de Rabobank waar je zaken mee wilt gaan doen.

    Deze onderdelen van Rabobank kunnen zich ook bevinden in landen buiten de Europese Unie die minder strenge privacyregels hebben. Delen we je gegevens met onderdelen van de Rabobank, waarin de Rabobank een meerderheidsbelang heeft? Dan doen we dat alleen als zij zich aan de spelregels van de Rabobank houden, de Rabobank Privacy Code. In deze Rabobank Privacy Code is beschreven aan welke spelregels al deze onderdelen van de Rabobank moeten voldoen. De Rabobank Privacy Code waarborgt een passend niveau van bescherming van persoonsgegevens. 

    b. Buiten de Rabobank: Je gegevens worden ook doorgegeven aan andere partijen buiten de Rabobank als we daar wettelijk toe verplicht zijn, om een overeenkomst met je uit te voeren of omdat we een andere dienstverlener inzetten.

    We geven je persoonsgegevens aan derden door als we daartoe verplicht zijn. Bijvoorbeeld aan (Europese) toezichthouders, zoals de AFM, DNB of de ECB of de Belastingdienst.

    We geven ook gegevens door als dat nodig is om de afspraken met je na te komen. Bijvoorbeeld voor je NHG aan de Stichting WEW, zodat zij kan beoordelen of zij de garantie wil verstrekken.  

    Als je persoonsgegevens worden verwerkt in een land met een ander beschermingsniveau kan dit bijvoorbeeld tot gevolg hebben dat je persoonsgegevens voorwerp zijn van onderzoek door bevoegde nationale autoriteiten van de landen waar dergelijke gegevens zich bevinden.

    Als we optreden als tussenpersoon wisselen we persoonsgegevens uit. Bijvoorbeeld met een verzekeraar waarbij je via ons een verzekering heeft afgesloten. Ook wisselt Obvion gegevens uit met je onafhankelijke adviseur bij het aangaan, maar ook tijdens de looptijd van de hypotheek.

    Als we je een krediet of een lening geven, moeten we in bepaalde gevallen ook gegevens doorgeven aan het BKR. Bijvoorbeeld hoe groot het krediet of de lening is. Of als je niet op tijd betaalt.

    We verstrekken je gegevens ook aan andere partijen die we nodig hebben in het kader van onze dienstverlening. Bijvoorbeeld deurwaarders en advocaten.

    Soms schakelen we andere partijen/zakelijke partners in die in onze opdracht persoonsgegevens bewerken. Bijvoorbeeld een drukkerij die voor ons een klantmailing verzorgt en je naam en adresgegevens op enveloppen drukt. Of partijen die namens Obvion een marktonderzoek doen. Of partijen die gegevens voor ons opslaan. Deze partijen moeten eerst door ons voldoende betrouwbaar worden geacht. We kunnen alleen andere partijen inschakelen als dit past bij het doel waarvoor we je persoonsgegevens hebben verwerkt. Bijvoorbeeld voor promotie- en marketingdoeleinden. Daarnaast kan deze andere partij alleen onze opdracht krijgen als hij bepaalde afspraken met ons maakt en aantoonbaar passende beveiligingsmaatregelen heeft genomen en geheimhouding garandeert. Je persoonsgegevens kunnen ook worden uitgewisseld met andere partijen die we inschakelen bij onze bedrijfsvoering of de uitvoering van onze diensten.

    c. Buiten de Europese Unie: Als we je gegevens zelf doorgeven aan andere partijen buiten de Europese Unie, nemen we extra maatregelen om je gegevens te beschermen. Niet in alle landen buiten de Europese Unie gelden dezelfde regels om je gegevens te beschermen zoals dat binnen Europa verplicht is. Gebruiken we derde partijen buiten de EU? En biedt het land waar deze partij zich bevindt volgens de Europese Commissie onvoldoende bescherming bij de verwerking van persoonsgegevens? Dan geven we alleen persoonsgegevens door als er andere passende waarborgen zijn, zoals door de Europese Commissie goedgekeurde contractuele afspraken of op basis van het ‘Privacy Shield’ (Verenigde Staten).

    Soms kun je zelf het initiatief nemen om je gegevens door te geven aan een andere partij. Bijvoorbeeld als je je wil laten identificeren bij een derde partij via IDIN. Of als je een andere partij toegang wil geven tot je gegevens. Bijvoorbeeld een rekeninginformatiedienstverlener.

    a. recht op informatie: Met dit privacy statement informeert Obvion je over wat zij doet met je gegevens. Soms geven we meer of andere informatie. Bijvoorbeeld als Obvion je gegevens vastlegt in haar incidentenregisters. Dan zal zij je daarover – als dat is toegestaan – apart informeren. Ook als er andere redenen zijn om je naast het privacy statement te informeren, zullen we dat doen. We kunnen dat doen door middel van een brief, door je te informeren in MijnObvion of op een andere door ons gekozen wijze.

    b. recht op inzage en rectificatie: Je kunt ons vragen of en welke we gegevens van je verwerken (zie punt 14 voor contactgegevens). Is dat het geval, dan kunnen we je inzage geven in de gegevens die we van je hebben verwerkt. Vind je dat je persoonsgegevens onjuist of onvolledig zijn verwerkt? Dan kun je ons vragen om de gegevens te wijzigen of aan te vullen (rectificatie).

    c. recht op gegevenswissing: Je kunt ons soms vragen om gegevens die we van je hebben vastgelegd te wissen (zie punt 14 voor contactgegevens). Bijvoorbeeld als je bezwaar hebt tegen de verwerking van je gegevens. Ook moet jouw belang gaan boven het belang van Obvion om de gegevens te verwerken.

    d. recht op beperking: Je kunt ons vragen de persoonsgegevens die we van je verwerken te beperken (zie punt 14 voor contactgegevens). Dat betekent dat we je gegevens minder verwerken.

    e. recht op dataportabiliteit: Je heeft het recht ons te vragen (zie punt 14 voor contactgegevens) om gegevens die je in het kader van een contract met ons of die je op grond van jouw toestemming aan ons heeft verstrekt in een gestructureerde en machineleesbare vorm te verkrijgen of over te dragen naar een andere partij. Vraag je om gegevens rechtstreeks over te dragen naar een andere partij? Dan kan dat alleen als dat technisch mogelijk is.

    f. recht van bezwaar tegen verwerking op basis van een gerechtvaardigd belang: Verwerken we je gegevens omdat we daar een gerechtvaardigd belang bij hebben? Bijvoorbeeld bij het maken van opnamen van telefoonopnamen zonder dat dat wettelijk verplicht is? Dan kun je daar bezwaar tegen maken (zie punt 14 voor contactgegevens). We zullen dan een nieuwe afweging maken om te bepalen of je gegevens daar inderdaad niet meer voor gebruikt mogen worden. We staken de verwerking als je belang zwaarder weegt dan ons belang. We laten je gemotiveerd weten wat onze beslissing is.

    g. recht van bezwaar tegen direct marketing: Je hebt het recht ons te vragen je gegevens niet langer te gebruiken voor direct marketing. Het kan zijn dat je bezwaar alleen ziet op benadering via een specifiek kanaal. Bijvoorbeeld als je niet meer telefonisch benaderd wil worden, maar nog wel onze nieuwsbrieven wil ontvangen. We zullen er dan voor zorgen dat je niet langer wordt benaderd via dat betreffende kanaal.

    Heb je één van de hiervoor beschreven verzoeken aan ons gedaan? Dan zullen we zo’n verzoek binnen één maand nadat we dit verzoek hebben ontvangen beantwoorden.

    We kunnen je vragen je verzoek om inzage verder te preciseren. Bijvoorbeeld als je ons vraagt om inzage in gespreksopnamen. We kunnen we je dan vragen naar zoeksleutels zoals tijdstip en nummer van waar gebeld is. In zeer specifieke gevallen, kunnen we de termijn waar binnen we reageren verlengen tot maximaal drie maanden. We houden je dan op de hoogte over de voortgang van je verzoek.

    We kunnen je vragen zich te identificeren als je bij ons een verzoek doet. Bijvoorbeeld bij een verzoek om inzage en dataportabiliteit willen we zeker weten dat we je gegevens aan de juiste persoon verstrekken.

    Het kan zijn dat we niet aan je verzoek tegemoet komen. Bijvoorbeeld omdat dan de rechten van anderen worden geschaad, of omdat dit niet mag van de wet of de politie, het openbaar ministerie of een andere overheidsinstantie. Of omdat we een belangenafweging hebben gemaakt waarbij het belang van Obvion of anderen om de gegevens te verwerken voor gaat. Dan laten we je dat ook weten.

    Passen we je gegevens aan? Of wissen we je gegevens op jouw verzoek? Dan zullen we je dat laten weten. En daar waar mogelijk ook de ontvangers van je gegevens hierover informeren.

    Voor vragen over de verwerking van persoonsgegevens door ons kun je terecht bij:

    • de functionaris voor de gegevensbescherming van Obvion via privacy@obvion.nl of

    • je kunt contact met Obvion opnemen via:
      Postbus 3005
      6401 DM Heerlen
      Telefoonnummer: 088 1470 200
      E-mail: info@obvion.nl als het gaat om de uitoefening van je rechten (zie punt 13) en andere vragen over de verwerking van je persoonsgegevens

    Heb je een klacht over de verwerking van je persoonsgegevens door Obvion, dan kun je terecht bij:

    • de functionaris voor de gegevensbescherming van Obvion via privacy@obvion.nl of telefonisch via telefoonnummer: 088 1470 200.

    • de Nederlandse toezichthouder Autoriteit Persoonsgegevens, met als postadres:
      Postbus 93374
      2509 AJ Den Haag

      Je kunt ook op andere manieren contact opnemen met de toezichthouder. Meer informatie kunt je terugvinden op de website van de toezichthouder: www.autoriteitpersoonsgegevens.nl.

    Ja, ons privacy statement kan van tijd tot tijd wijzigen. Als er nieuwe gegevensverwerkingen zijn, dan passen we het privacy statement daarop aan. We houden je daar uiteraard van op de hoogte. De meest actuele versie van ons privacy statement kun je steeds terugvinden op obvion.nl. Eerdere versies kun je inzien via ons archief.