Privacybeleid
Laatste update 7/10/2021
De bescherming van de persoonlijke levenssfeer, en meer bepaald de bescherming van de persoonsgegevens ongeoorloofde openbaarmaking of verwerking, is voor Keytrade Bank (hierna 'de Bank') van cruciaal belang.
Dit Privacybeleid ('Beleid') heeft tot doel u duidelijk en eenvoudig uit te leggen hoe de Bank uw persoonsgegevens verzamelt, verwerkt, wijzigt, overdraagt, bewaart, archiveert, raadpleegt en verwijdert.
Onder persoonsgegevens wordt alle informatie verstaan over een natuurlijke persoon die geïdentificeerd of identificeerbaar is, met name aan de hand van een identificator (kan een nummer zijn). Zodra een persoon kan worden geïdentificeerd op basis van de elementen waarover de verantwoordelijke voor de verwerking beschikt, is elk gegeven over die persoon (tegoeden, leeftijd, bankrekeningnummer, adres, enz.) een persoonsgegeven.
Dit Beleid is zowel van toepassing op de persoonsgegevens die aanvankelijk worden verzameld wanneer u de Website van de Bank bezoekt en/of een relatie aangaat met de Bank, als op de gegevens die de Bank later verkrijgt (bijvoorbeeld bij de inschrijving op aanvullende producten of diensten of bij een update van de oorspronkelijk meegedeelde gegevens).
De behandeling van uw persoonsgegevens is onderworpen aan de Europese verordening nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, de zogenaamde GDPR (of AVG), en aan alle voorschriften die van toepassing zijn op persoonsgegevens*.
Voor meer informatie over de gegevensbescherming kunt u terecht bij de Gegevensbeschermingsautoriteit (https://www.gegevensbeschermingsautoriteit.be).
Dit Beleid wordt regelmatig bijgewerkt. De Bank verzoekt u regelmatig haar Website te raadplegen om kennis te nemen van de meest recente versie.
Alle termen die niet in dit Beleid zijn gedefinieerd en met een hoofdletter zijn geschreven, hebben de betekenis zoals bepaald in de Algemene Voorwaarden van de Bank.
*Onder andere:
- Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens
- Wet van 13 juni 2005 betreffende de elektronische communicatie
- Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie)
1. Wie is verantwoordelijk voor de verwerking van uw persoonsgegevens?
Keytrade Bank, Belgisch bijkantoor van Arkéa Direct Bank SA (Frankrijk), gevestigd Vorstlaan 100, 1170 Brussel, ingeschreven in de KBO onder het nummer BE 0879.257.191, is de verwerkingsverantwoordelijke van uw persoonsgegevens.
Als bijkantoor van Arkéa Direct Bank SA (Frankrijk), zelf dochteronderneming van Crédit Mutuel Arkéa, maakt de Bank deel uit van de groep Crédit Mutuel Arkéa.
Binnen Keytrade Bank is het DPO Team verantwoordelijk voor de dagelijkse opvolging van problemen in verband met de GDPR (eerste aanspreekpunt) en de naleving van de regelgeving die van toepassing is op de persoonsgegevens.
Als u vragen hebt, een verzoek wilt indienen om een van uw GDPR-rechten uit te oefenen of als u geconfronteerd wordt met een probleem met uw persoonsgegevens, kunt u contact opnemen met ons DPO Team via e-mail naar dpo@keytradebank.com of per brief naar Vorstlaan 100, 1170 Brussel.
Keytrade Bank heeft een functionaris voor gegevensbescherming ('DPO' - Data Protection Officer) aangesteld die met name tot taak heeft de Bank te informeren en te adviseren over alle kwesties in verband met de bescherming van de persoonsgegevens. U kunt contact opnemen met de functionaris voor gegevensbescherming:
- Per post: Mevrouw de functionaris voor gegevensbescherming – Crédit Mutuel Arkéa – 1 rue Louis Lichou, 29808 Brest Cedex 9, France
- Via e-mail: protectiondesdonnees@arkea.com
2. Welke categorieën van persoonsgegevens worden behandeld?
Dit zijn de verschillende categorieën persoonsgegevens die de Bank verzamelt in het kader van de bankrelatie of wanneer u met haar in contact komt:
- Identificatiegegevens: uw naam, voornamen, adres, identiteitskaartnummer, rijksregisternummer, e-mailadres, telefoonnummer, login.
- Transactiegegevens: alle gegevens over uw bank- en beurstransacties, zoals uw rekeningnummers, kaartnummers, bankmededelingen, geldopnames, overschrijvingen via uw rekeningen, eventuele niet-terugbetalingen van uw krediet bij de Bank, enz.
- Financiële gegevens: uw facturen, loonfiches, inkomsten, de waarde van uw roerende of onroerende goederen, uw terugbetalingscapaciteit, de herkomst van uw kapitaal of vermogen.
- Gegevens over uw burgerlijke stand: uw naam, voornamen, leeftijd, geslacht, geboortedatum, geboorteplaats, burgerlijke staat en nationaliteit.
- Gegevens over uw gezinssamenstelling: uw gezinstoestand, informatie over de andere gezinsleden.
- Gegevens over uw kennis- en ervaringsniveau of uw beleggersprofiel: uw kennis en ervaring op het gebied van financiële instrumenten en uw financiële situatie, inclusief uw vermogen om verliezen te dragen, uw beleggingsdoelstellingen en uw risicotolerantie.
- De gegevens van de tevredenheidsenquêtes of die afkomstig zijn van uw interacties met de Bank.
- Audiovisuele en elektronische gegevens: beelden van de bewakingscamera's in onze kantoren, telefoonopnames van de cliëntendienst of registraties van uw communicaties per e-mail.
- Gegevens over uw rechtsbekwaamheid om bepaalde contracten af te sluiten of bepaalde handelingen te stellen: in collectieve schuldenregeling, faillissement, onbekwaam, geregistreerd in het negatieve luik van de Centrale voor Kredieten aan Particulieren van de Nationale Bank van België.
- Gegevens verkregen via cookies en andere gelijkaardige technologieën: IP-adres, de versie van uw browser, uw gedrag op de website, het aantal keren dat u de Transactiesite hebt bezocht (logs). Lees onze Cookies Policy voor meer informatie.
3. Wanneer verzamelt de Bank uw persoonsgegevens?
De Bank verzamelt persoonsgegevens die op u betrekking hebben op basis van de verschillende, hieronder vermelde bronnen.
3.1 Aangiftegegevens
Dit zijn alle gegevens die u of een derde uitdrukkelijk en rechtstreeks aan de Bank verstrekt (naam, voornamen, postadres, telefoonnummer, e-mailadres, sociaal statuut (zelfstandige, werknemer, enz.)).
- Die gegevens kunnen worden doorgegeven bij de opening van de bankrelatie, wanneer u ze bijwerkt of wanneer ze nodig zijn om in te schrijven op nieuwe diensten of producten.
- Wanneer u deelneemt aan seminars, tutorials, wedstrijden, evenementen, enz. die de Bank organiseert, moet u gegevens doorgeven die het aan de Bank mogelijk maken u te identificeren of met u contact op te nemen.
- Gegevens die op u betrekking hebben, kunnen door een derde aan de Bank worden doorgegeven en dit voor zover dat noodzakelijk is (bijvoorbeeld indien u de uiteindelijke begunstigde bent van een rechtspersoon).
3.2 Openbare of voor de Bank toegankelijke bronnen
Bij de behandeling van uw aanvraag voor de opening van een rekening of de inschrijving op een product kan de Bank genoodzaakt zijn om bepaalde gegevens aan te vullen of na te kijken in openbare registers of registers die voor haar toegankelijk zijn (bv. Kruispuntbank van Ondernemingen, publicaties in het Belgisch Staatsblad, Rijksregister, Centrale voor Kredieten aan Particulieren (raadpleeg voor meer informatie hierover het deel 'Centrale voor Kredieten aan Particulieren – ‘CKP’)).
3.3 Gebruik van software
Wanneer u de door Keytrade Bank ontwikkelde toepassing gebruikt of op de Transactiesite inlogt, worden er gegevens over u verzameld (loggegevens in de computersystemen, gegevens over de elektronische handtekeningen, enz.).
3.4 Gegevens die tijdens interacties worden onthuld
Wanneer u een vragenlijst beantwoordt, een e-mail verstuurt, een bericht beantwoordt, een telefoontje doet, enz. verzamelt en bewaart de Bank de gegevens van die bestanden.
3.5 Gegevens verzameld door derden
Voor bepaalde diensten doet de Bank een beroep op derden die gegevens over u verzamelen en aan de Bank meedelen (bv. het gebruik van uw VISA-kaart, de recuperatie van schuldvorderingen, enz.). De Bank zal deze gegevens voor specifieke doeleinden verwerken.
4. In welke gevallen bent u verplicht om uw persoonsgegevens aan de Bank mee te delen?
De Bank verbindt zich ertoe u enkel de gegevens te vragen, zowel bij de opening van de bankrelatie als bij de inschrijving op een dienst en/of product, die zij nodig heeft om uw aanvraag naar behoren te analyseren (Privacy by default). Om ervoor te zorgen dat het principe van Privacy by default wordt nageleefd, dient elke vraag naar informatie gericht aan cliënten en prospects (bv. bij de inschrijving op een onlineproduct) te worden nagezien door het DPO Team, dat zich sterk maakt te kunnen verantwoorden waarom elk gevraagd gegeven noodzakelijk is voor het doel waarvoor het wordt verzameld.
Het merendeel van die gegevens wordt gevraagd opdat de Bank de geldende regelgeving inzake persoonsgegevens (wet tot voorkoming van het witwassen van geld, MiFID, verordening betreffende marktmisbruik, verordening nr. 596/2014, enz.) zou kunnen naleven.
U hebt uiteraard het recht om te weigeren die informatie mee te delen, maar als die weigering de Bank belet om haar wettelijke verplichtingen na te komen, zal ze u de dienst en/of het product moeten ontzeggen.
Aangezien de Bank een onlinebank is, heeft ze een e-mailadres nodig om u informatie toe te sturen die ze verplicht is u te bezorgen. Zonder e-mailadres en gsm-nummer om de opening van de bankrelatie te valideren, kan de Bank geen bankrelatie openen.
Als een gegeven wettelijk niet vereist is, geeft de Bank dat aan en kunt u uw aanvraag voor producten en/of diensten voortzetten zonder dat gegeven mee te delen. Die gegevens zijn vooral bedoeld om uw ervaring als cliënt te verbeteren (personalisatie van uw cliëntomgeving: een foto toevoegen, een naam geven aan uw rekeningen, aanpassing van de visualisatie van uw cliëntruimte, enz.).
5. Voor welke doeleinden en op welke wettelijke basis verwerkt de Bank uw persoonsgegevens?
In het deel hierna verduidelijkt de Bank welke verschillende behandelingen van persoonsgegevens zij uitvoert. In het algemeen verwerkt de Bank uw gegevens op de volgende wettelijke basissen:
- om alle wettelijke en reglementaire bepalingen na te leven die de Bank worden opgelegd;
- in het kader van de uitvoering van de overeenkomst of het nemen van precontractuele maatregelen;
- om redenen waarvoor de Bank een gerechtvaardigd belang heeft, met behoud van het evenwicht tussen dat gerechtvaardigd belang en uw privacy;
- wanneer u toestemming hebt gegeven voor een of meer specifieke doeleinden.
5.1 Wettelijke verplichtingen
De Bank heeft heel wat wettelijke en reglementaire verplichtingen waarvoor zij uw persoonsgegevens moet verwerken. Deze verplichtingen behoren voornamelijk tot de volgende domeinen:
5.1.1 Identificatie en Know Your Customer (KYC)
Bij de opening van uw bankrelatie en zolang deze open blijft, moet de Bank haar verplichtingen inzake identificatie en kennis van haar cliënten naleven (KYC – opgenomen in de wet van 18 september 2017 tot voorkoming van het witwassen van geld en de financiering van terrorisme en tot beperking van het gebruik van contanten (hierna 'SWG/FT')). Daartoe zal de Bank uw gegevens meermaals verwerken en kan ze u aanvullende informatie vragen.
5.1.2 Strafrechtelijke onderzoeken – vorderingen
In het kader van strafrechtelijke onderzoeken kan de overheid de Bank verzoeken haar bepaalde informatie over de bankrelatie mee te delen. Mits strikte naleving van de reglementering zal de Bank uw gegevens meedelen aan de autoriteiten die gemachtigd zijn om deze aanvragen te doen.
5.1.3 De rechterlijke beslissingen naleven
De Bank is wettelijk verplicht zich te schikken naar de beslissingen en rechtshandelingen die haar tegenstelbaar zijn. Als u onbekwaam werd verklaard, in staat van faillissement verkeert, enz. is de Bank verplicht om uw gegevens te verwerken om een nuttig gevolg te geven aan de genomen beslissing, en dat zodra zij daarvan kennis neemt. De Bank kan ook verplicht zijn om informatie mee te delen aan de tussenkomende partijen (advocaten, notarissen, voogden, voorlopige bewindvoerders, enz.). De Bank deelt enkel de gegevens mee waarop de tussenkomende partij recht heeft, hetzij krachtens een vonnis, hetzij krachtens de reglementering.
5.1.4 Beslag op rekeningen
Wanneer een (uitvoerend of bewarend) beslag wordt gelegd op uw rekeningen met inachtneming van de reglementering, is de Bank verplicht bepaalde informatie over uw rekeningen mee te delen zodat het beslag rechtsgevolgen kan hebben. U wordt op de hoogte gebracht van het beslag door de instrumenterende deurwaarder of elke andere autoriteit die bevoegd is om beslag te leggen.
5.1.5 Nalatenschappen en echtscheidingen
In het kader van nalatenschappen hebben de erfgenamen het recht om rekeningafschriften te verkrijgen van de bankrekeningen van de overledene om een eventuele heling van de nalatenschap te controleren en te voorkomen. De Bank kan genoodzaakt zijn uw persoonsgegevens over te dragen als deze op de rekeningafschriften staan.
In het kader van een echtscheiding kan de instrumenterende notaris vragen om hem op de echtscheidingsdatum een staat van de rekeningen van de partijen te bezorgen om de vereffening van de tegoeden te kunnen uitvoeren.
5.1.6 SWG/FT
De Bank heeft de verplichting om bij te dragen tot de voorkoming van het witwassen van geld en de financiering van terrorisme en dit door identificatie van de cliënten, vertegenwoordigers en uiteindelijke begunstigden, door bepaling van het profiel en door controle van de verrichtingen en transacties. Als de Bank van oordeel is dat de reglementaire voorwaarden zijn vervuld, zal zij uw gegevens ook moeten doorgeven aan de Cel voor Financiële Informatieverwerking (CFI).
5.1.7 Marktmisbruik (Verordening marktmisbruik)
De Bank heeft de verplichting om bij te dragen tot de bestrijding van marktmisbruik door bepaalde informatie aan de bevoegde overheden te melden, of aan partners met wie de Bank samenwerkt op de financiële markten.
Zo kan de Bank genoodzaakt zijn om uw persoonsgegevens over te dragen aan de FSMA in het kader van verklaringen van de Bank, onderzoeken van de FSMA of een samenwerkingsverdrag met een buitenlandse administratie, en dit met naleving van de reglementering.
Voor de opsporing van marktmisbruik bezorgt de Bank bepaalde gepseudonimiseerde persoonsgegevens met betrekking tot financiële transacties aan LiquidMetrix.
In een aantal bijzondere gevallen kan de Bank genoodzaakt zijn om informatie door te geven aan een derde land waarvoor geen adequaatheidsbesluit werd genomen. Daartoe zal de Bank zich ervan vergewissen dat de Modelcontractbepalingen (cao – art. 46 GDPR) zijn ondertekend, dat er passende technische en organisatorische maatregelen zijn genomen en dat er een gegevensbeschermingseffectbeoordeling werd verricht vóór elke overdracht. U kunt altijd een kopie vragen van de documenten op basis waarvan een specifieke overdracht plaatsvindt.
5.1.8 Markten voor financiële instrumenten (MiFID)
De Bank heeft de verplichting om consumenten van financiële producten en diensten te beschermen door voor bepaalde diensten het kennis- en ervaringsniveau, het beleggersprofiel en de beleggerscategorie, hun mogelijkheden en hun beleggingsdoelstellingen te identificeren.
5.1.9 Shareholder Rights Directive (SRD II)
Om te voldoen aan de Shareholder Rights Directive heeft de Bank onder meer de verplichting om persoonsgegevens van de aandeelhouders van een beursgenoteerde vennootschap bekend te maken zodat deze laatste, of een door haar daartoe gemachtigde derde, contact kan opnemen met haar aandeelhouders voor de organisatie van hun deelneming aan en hun stemming op de algemene vergadering.
5.1.10 Schending van persoonsgegevens (GDPR)
Bij schending van uw persoonsgegevens, met risico voor uw rechten en vrijheden, zal de Bank gegevens – in principe anoniem – doorgeven aan de Gegevensbeschermingsautoriteit om haar op de hoogte te brengen van de schending van persoonsgegevens, om haar de nodige elementen te bezorgen om de ernst van de schending te beoordelen en om haar de genomen herstelmaatregelen toe te lichten.
Als de schending een hoog risico inhoudt voor uw rechten en vrijheden, zal de Bank u daarvan op de hoogte brengen en u een samenvatting bezorgen van de maatregelen die werden genomen om de risico's voor uw rechten te beperken.
Dossiers over schendingen van persoonsgegevens worden gedurende vijf jaar bewaard (voor meer informatie over de verschillende bewaartermijnen die van toepassing zijn, zie het deel 'Bewaartermijn').
5.1.11 Uitoefening van uw GDPR-rechten
Wanneer u een van de rechten uitoefent die de GDPR u toekent, moet de Bank uw aanvraag analyseren en, als er geen reden is om ze te weigeren, er een nuttig gevolg aan geven.
Het dossier met betrekking tot uw aanvraag wordt gedurende vijf jaar bewaard (zie 'Bewaartermijn').
5.1.12 Centraal aanspreekpunt ('CAP')
Om te voldoen aan het Koninklijk Besluit van 17 juli 2013 betreffende het centraal aanspreekpunt, deelt de Bank jaarlijks uw gegevens (identificatie, bankrekeningen, lopende contracten) mee aan de Nationale Bank van België.
De bewaartermijn van het verslag dat aan de Nationale Bank van België wordt bezorgd, bedraagt acht jaar overeenkomstig artikel 8 van voormeld Koninklijk Besluit.
5.1.13 Centrale voor Kredieten aan Particulieren ('CKP')
Wanneer u een krediet aangaat, is de Bank wettelijk verplicht om die informatie te registreren in de Centrale voor Kredieten aan Particulieren (Koninklijk Besluit tot regeling van de Centrale voor Kredieten aan Particulieren). Hetzelfde geldt wanneer u in gebreke blijft, ook dan moet de Bank de wanbetaling melden aan de Nationale Bank van België. U wordt per brief op de hoogte gebracht van deze registratie in het negatieve luik van de NBB.
5.1.14 Hypothecair krediet en consumentenkrediet
5.1.14.1 Wetboek van Economisch Recht
Het Wetboek van Economisch Recht verplicht de Bank om o.a. de juistheid van de verstrekte informatie te controleren, om u bij te staan bij uw kredietaanvraag en om u te adviseren. Om haar wettelijke verplichtingen na te komen, moet de Bank uw gegevens verwerken. Wanneer er documenten (ESIS, Bijzondere voorwaarden, enz.) moeten worden opgemaakt in het kader van uw aanvraag voor een hypothecair krediet, sturen wij uw gegevens door naar Crefius (voor meer informatie over de rol en de tussenkomst van Crefius, raadpleeg het deel 'KEYHOME – Crefius').
5.1.14.2 Beheer van financiële risico's
De Bank is wettelijk verplicht om haar financiële risico's en haar risicoblootstelling te beheren. Hiervoor bepaalt de Bank risicoscores en maakt ze gebruik van statistische risicomodellen die steunen op uw persoonsgegevens. Zo kan zij haar risico's inschatten.
5.1.14.3 AnaCredit – Bazel III
Zowel de AnaCredit-verordening als de Bazel III-akkoorden zijn van toepassing op de kredietactiviteiten van de Bank. Om aan die reglementeringen te voldoen, bezorgt de Bank gepseudonimiseerde persoonsgegevens van cliënten die een krediet hebben afgesloten aan de Nationale Bank van België (AnaCredit) en aan Crédit Mutuel Arkéa. Deze laatste consolideert de gegevens over de kredieten met die van de andere entiteiten van de groep Crédit Mutuel Arkéa voordat ze haar verslag overmaakt aan de Europese Centrale Bank (Bazel III).
5.1.15 Common Reporting Standard (CRS)
Als u fiscaal ingezetene bent van een andere lidstaat van de Common Reporting Standard dan België, is de Bank wettelijk verplicht om u aan te geven bij de Belgische belastingadministratie die op haar beurt de gegevens over uw tegoeden meedeelt aan de bevoegde buitenlandse belastingautoriteit.
De reportings die de Bank opstelt in het kader van CRS worden gedurende acht jaar bewaard. U kunt aan de Bank een kopie vragen van de informatie die zij in het kader van CRS aan de fiscale overheid heeft meegedeeld.
5.1.16 Foreign Account Tax Compliance Act (FATCA) & Qualified Intermediary (QI)
Als u het statuut van 'US Person' hebt volgens de Amerikaanse regelgeving, is de Bank verplicht om u als rekeninghouder of uiteindelijke begunstigde te melden bij de Amerikaanse belastingadministratie en om de tegoeden op uw rekening te preciseren. Als de Bank meent dat aan de reglementaire voorwaarden is voldaan, zal ze u opnemen in haar QI-reporting voor de Internal Revenue Service (IRS).
De reportings die de Bank opstelt in het kader van de FATCA- en QI-regelgeving worden gedurende zes jaar bewaard.
5.1.17 DAC 6
Op basis van de regelgeving en de informatie die Febelfin daarover publiceert, kan de Bank uw gegevens doorgeven en verwerken om aan DAC 6 te voldoen.
5.1.18 Fonds de Garantie des dépôts et de résolution ('FGDR', Frans depositogarantiestelsel)
Het FGDR is bedoeld om uw tegoeden tot 100.000 euro te beschermen als de Bank in gebreke blijft. Aangezien de Bank een bijkantoor is van Arkéa Direct Bank (Frankrijk), moeten uw tegoeden worden opgeteld bij de tegoeden die u aanhoudt op een rekening bij Arkéa Direct Bank (commerciële naam Fortuneo). De Bank en Arkéa Direct Bank leggen een gemeenschappelijk verslag neer bij het Franse FGDR.
De rapporten die de Bank aanmaakt en in het kader van het FGDR aan Arkéa Direct Bank bezorgt, worden gedurende een lopende maand bewaard (ze worden dagelijks aangemaakt).
Meer informatie over het FGDR vindt u in het informatiedocument over de bescherming van uw deposito's: https://www.keytradebank.be/files/documentcenter/docsProtectionOfDeposits_nl.pdf.
5.1.19 Slapende rekeningen
Vallen uw bankrekeningen onder de wetgeving op de slapende tegoeden, dan moeten wij uw gegevens verwerken om te proberen contact met u op te nemen alvorens de tegoeden over te dragen aan de Deposito- en Consignatiekas.
Zodra de tegoeden op de rekening zijn overgedragen aan de Deposito- en Consignatiekas wordt uw bankrelatie afgesloten en worden uw gegevens niet meer verwerkt, tenzij u contact met ons opneemt.
5.1.20 Controles van de overheid
Bij controle door de bevoegde autoriteiten, zowel Belgische, Europese als niet-Europese, moeten de Bank en de andere entiteiten van de groep die uw persoonsgegevens bezitten, bepaalde informatie doorgeven en toegang verschaffen aan de autoriteiten zodat zij de hun opgedragen reglementaire controle kunnen uitvoeren. Tijdens deze controles kunnen uw persoonsgegevens worden overgedragen of geraadpleegd.
De lijst van wettelijke en reglementaire domeinen waarvoor de Bank uw gegevens moet beschikbaar stellen, doorgeven of verwerken, is onderhevig aan veranderingen.
5.2 Contractuele relatie
5.2.1 Vóór de opening van een bankrelatie
Alvorens de bankrelatie te openen of de inschrijving op door de Bank gecommercialiseerde producten of diensten te aanvaarden, kan en moet de Bank in bepaalde gevallen een aantal persoonsgegevens verzamelen en verwerken, met name om:
- op uw verzoek te reageren;
- u te helpen wanneer u problemen ondervindt bij het online-inschrijvingsproces van een product of dienst;
- gevolg te geven aan een verzoek, een opportuniteit te evalueren en de risico's van eventuele producten of diensten in te schatten;
- de kredietwaardigheid van uzelf of eventueel van de met u verbonden personen te beoordelen bij een kredietaanvraag.
Meer specifiek behandelt de Bank uw persoonsgegevens in het precontractuele kader als volgt:
- Als u uw onlinebankrelatie opent met behulp van een identiteitskaartlezer, worden uw gegevens ingelezen door een softwareprogramma dat op de servers van de Bank is geïnstalleerd. Deze software verzamelt de gegevens van uw identiteitskaart en wijzigt ze zodat ze leesbaar zijn voor het informaticasysteem van de Bank.
- In de loop van 2021 zal de Bank u de mogelijkheid bieden om uw bankrelatie te openen via een app. Uw persoonsgegevens worden aan de Bank overgedragen door de onderneming die de app heeft ontwikkeld.
- Wanneer deze dienst beschikbaar is en u uw bankrelatie opent via het papieren formulier, zal de Bank uw aanvraag behandelen en de papieren documenten voor scanning doorsturen naar Merak.
Bij de behandeling van uw aanvraag voor het openen van een bankrelatie raadpleegt de Bank de volgende databases:
- het Rijksregister als uw woonplaats in België (Belgische ID kaart) is via de vzw Identifin (als u geen Belgische ingezetene bent, moet u ons de nodige documenten, en meerbepaald uw paspoort, bezorgen zodat de Bank haar reglementaire verplichtingen kan nakomen);
- World-Check van de vennootschap Refinitiv om haar verplichtingen inzake Know Your Customer ('KYC') na te komen alvorens de bankrelatie te openen;
- elke andere publieke bron die zij nodig acht om eventueel de juistheid van de meegedeelde gegevens te controleren.
5.2.2 Opening van de bankrelatie
Bij aanvaarding van uw aanvraag voor de opening van een bankrelatie stuurt de Bank de nodige persoonsgegevens door aan Onespan nv om het (de) door u gekozen verbindingsmiddel(en) (sofkey en/of hardkey) te genereren en aan u te bezorgen.
Om uw bankrelatie te openen, maakt de Bank uw profiel aan in haar informaticasysteem en neemt ze concrete maatregelen voor de opening van de bankrelatie (aanmaak van rekeningnummers, uw login, wachtwoord, enz.).
Als u de dienst Bankswitching gebruikt om uw bankgegevens van uw vorige financiële instelling aan de Bank over te dragen, worden uw gegevens aan de Bank doorgestuurd via de vzw UCV (Uitwisselingscentrum en Verrekening).
5.3 Contractuele relatie – producten
5.3.1 Rekeningenbeheer
Het beheer van uw verschillende rekeningen (berekening van de interesten, overzicht van de rekeningen en transacties, terbeschikkingstelling van de documenten, berekening beurstaks (TOB), informatiedienst over de rekeningen, enz.) gebeurt volledig intern bij de bank. Uw persoonsgegevens worden hiervoor dus niet overgedragen aan derden.
Als er zich een specifiek probleem voordoet, kan de Bank uw gegevens doorgeven aan tussenkomende partijen om informatie uit te wisselen over het beheer van uw rekening. Dat is bijvoorbeeld het geval als u een overschrijving hebt ingevoerd naar een verkeerde geadresseerde en deze wilt annuleren of het slachtoffer bent geworden van oplichting. De Bank zal enkel de gegevens doorgeven die nodig zijn opdat de interveniënt de aanvraag kan behandelen.
5.3.2 Bankkaarten (krediet & debet)
5.3.2.1 Kredietkaarten
Uw aanvraag voor een kredietkaart wordt in eerste instantie automatisch geanalyseerd (zie punt 8.3 van dit Privacybeleid). Als het systeem een reden vindt voor automatische uitsluiting, wordt uw aanvraag onmiddellijk geweigerd. In dat geval kunt u altijd vragen om de weigering manueel te analyseren. Als er geen reden tot automatische uitsluiting wordt vastgesteld, wordt uw aanvraag manueel geanalyseerd door een dossierbeheerder. Bij goedkeuring van uw kredietkaartaanvraag worden uw gegevens doorgestuurd naar:
- Oberthur Technologies, The Netherlands BV – voor de fysieke aanmaak van de kaart en de verzending.
- Monext, eenvoudige vennootschap onder Frans recht – voor de elektronische aanmaak van de kaart en om de pincode te genereren. Bij wijziging van uw kaart (wijziging pincode, vernieuwing of vervanging van de kaart, enz.) worden uw gegevens ook naar Monext doorgestuurd.
- VISA Belgium CVBA draagt aan de Bank gegevens over met betrekking tot uw kaartverrichtingen.
- De verzekering gekoppeld aan uw kredietkaart werd afgesloten bij Inter Partner Assistance nv. Als u een schadegeval aangeeft, zal er een informatie-uitwisseling zijn tussen de Bank en Inter Partner Assistance over het schadegeval.
- Als u uw kaart blokkeert via de dienst Cardstop van equensWorldline in plaats van via de Transactiesite, worden uw gegevens door equensWorldline verwerkt en doorgegeven.
5.3.2.2 Debetkaart
Aanvragen voor debetkaarten worden automatisch aanvaard. Uw gegevens worden doorgegeven aan:
- Oberthur Technologies, The Netherlands BV voor de fysieke aanmaak van de kaart en de verzending.
- equensWorldline SE voor de elektronische aanmaak van de kaart. Bij wijziging van uw kaart (wijziging pincode, vernieuwing of vervanging van de kaart, enz.) worden uw gegevens ook naar equensWorldline doorgestuurd.
- Bancontact of Maestro: bij elke betaling met de debetkaart worden uw gegevens verwerkt via Bancontact of Maestro en aan de Bank bezorgd. Het feit dat uw persoonsgegevens worden doorgegeven aan Bancontact of Maestro staat vermeld op uw debetkaart.
- Als u uw kaart blokkeert via de Cardstop-dienst van Worldline in plaats van via de Transactiesite, worden uw gegevens verwerkt en doorgestuurd via Worldline.
5.3.3 Dienst voor rekeningaggregatie
De Bank deelt de gegevens die noodzakelijk zijn voor de tussenkomst van bepaalde betalingsdienstaanbieders, zoals betalingsinitiatiediensten en rekeningaggregatoren, pas mee nadat u de dienst hebt aanvaard.
De gegevens met betrekking tot betalingsinitiatiediensten en rekeningaggregatoren in het kader van PSD2 worden bewaard in de 'Cloud' van Amazon Web Services. Voor deze gegevensoverdracht heeft de Bank, in samenwerking met Amazon Web Services, alle technische en organisatorische maatregelen getroffen om de veiligheid van de gegevens te garanderen. Deze maatregelen beantwoorden aan de regels van goed vakmanschap en worden regelmatig herzien om de bruikbaarheid ervan te garanderen.
5.3.4 Cashback-service – Paylead
De Bank zal in samenwerking met Paylead een Cashback-service aanbieden. Als u intekent op deze dienst, worden uw gepseudonimiseerde gegevens doorgestuurd naar Paylead. Deze laatste heeft de informatie over uw kaartbetalingen (krediet en debet) nodig om te bepalen op welke Cashback u recht hebt. Uw gegevens worden niet meer doorgegeven zodra u zich uitschrijft voor de Cashback-dienst.
Meer informatie over de verwerking van uw persoonsgegevens door Paylead vindt u in het Privacybeleid van Paylead, in de Cashback-ruimte van de applicatie.
5.3.5 Beursorders – bewaarnemers
Voor het plaatsen en uitvoeren van beursorders worden uw persoonsgegevens niet overgedragen aan een tussenpersoon (Euronext, Euroclear, enz.). Hetzelfde geldt voor de bewaarnemers met wie de Bank samenwerkt.
In het kader van reglementaire informatieaanvragen kan de Bank evenwel genoodzaakt zijn uw persoonsgegevens aan tussenpersonen of bewaarnemers mee te delen.
5.3.6 KEYPLAN & KEYPRIVATE
Als u een KEYPLAN of KEYPRIVATE opent, neemt de Bank de nodige maatregelen om de effectenrekening gekoppeld aan uw KEYPLAN of KEYPRIVATE te openen en de nodige informatie in te voeren in haar informaticasysteem om u de dienst te kunnen aanbieden waarop u hebt ingeschreven.
Er worden geen persoonsgegevens doorgegeven aan derden om u deze diensten aan te bieden.
5.3.7 Keytrade Pro – Saxo Bank
Als u op de dienst Keytrade Pro inschrijft, worden uw persoonsgegevens aan Saxo Bank doorgegeven voor de uitvoering van het contract, waaronder de plaatsing van uw orders, en om de reglementering na te leven.
5.3.8 Betaling van facturen – Zoomit
Als u op de dienst Zoomit (CodaBox nv) hebt ingeschreven voor de betaling van uw facturen, zullen de Bank en Zoomit uw persoonsgegevens verwerken voor de uitvoering van het contract dat u met Zoomit hebt afgesloten.
Meer informatie vindt u in het Privacybeleid van Zoomit: https://www.zoomit.be/nl/privacy/.
5.3.9 Recuperatie van schuldvorderingen
Wanneer de Bank een schuldvordering (overschrijding, niet-toegestane overdisponering, enz.) aanhoudt tegen u die niet binnen een bepaalde termijn werd terugbetaald, bezorgt zij uw gegevens aan haar partner met het oog op de recuperatie van de schuldvordering en dit met inachtneming van de geldende reglementering.
Bij overdracht van uw gegevens aan de partner wordt u hiervan per brief op de hoogte gebracht.
5.3.10 KEYHOME – Crefius
Zodra u een aanvraag voor een hypothecair krediet indient, bezorgt de Bank uw gegevens aan Crefius met wie zij samenwerkt voor het opstellen van de documenten betreffende uw aanvraag voor een hypothecair krediet (ESIS, Kredietaanbod, enz.). Als u een hypothecaire kredietovereenkomst met de Bank ondertekent, worden de betalingen en de risico's van uw krediet beheerd door Crefius (heropneming, eenmalige terugbetaling, opname per schijf, enz.).
5.3.11 KEYHOME – partners
Keytrade Bank heeft partnerships gesloten voor de commercialisering van het KEYHOME-product bij de cliënten van bepaalde partners. Deze partners treden op in hun hoedanigheid van kredietbemiddelaar of zaakaanbrenger. Zij geven uw gegevens door aan de Bank, ofwel om contact met u op te nemen naar aanleiding van uw interesse in het product, ofwel om uw aanvraag voor een hypothecair krediet concreet te analyseren.
U wordt door de partner op de hoogte gebracht vóór elke overdracht van persoonsgegevens aan de Bank.
Voor meer informatie kunt u het Privacybeleid van de partner in kwestie raadplegen.
5.3.12 Verzekering Tak 21 en 23
De Bank zal haar cliënten in de loop van 2021 de door een partner gecommercialiseerde verzekeringsproducten Tak 21 en 23 aanbieden. Indien u via de Bank op dit product wenst in te schrijven, is de Bank verplicht uw gegevens over te dragen aan haar partner in het kader van het afsluiten van de verzekeringsovereenkomst Tak 21 en 23.
5.3.13 Klachten
In het kader van het klachtenbeheer moet de Bank persoonsgegevens behandelen en eventueel doorgeven aan de tussenkomende partijen (de persoon die klacht indient, de personen die in het dossier zijn tussengekomen, Test-Aankoop, Ombudsfin, enz.) om te kunnen reageren op de klacht en om haar belangen te verdedigen. De Bank zal enkel de persoonsgegevens verwerken en verspreiden die zij nodig acht om de klacht naar behoren af te handelen.
5.4 Contractuele relatie – communicatiemiddelen
5.4.1 Telefonische oproepen
De opnames worden niet aan derden meegedeeld tenzij een wettelijke bepaling dit voorziet of dit noodzakelijk is in het kader van het beheer van uw contractuele relatie (bv. u hebt een klacht ingediend).
Elke telefonische interactie van de Bank met haar cliënten en prospects wordt gedurende een termijn van minstens één jaar bewaard voor bewijsdoeleinden en kwaliteitsanalyse. De wettelijke basis voor het opnemen van telefoongesprekken is het nemen van precontractuele maatregelen of het uitvoeren van het contract indien de bankrelatie reeds geopend is.
Indien het doel dit vereist, wordt een langere bewaartermijn voorzien. Het gaat in het bijzonder om de volgende doeleinden (zie 'Bewaartermijn'):
- indien uw oproep gebeurt in het kader van een klacht of gerechtelijke procedure;
- indien we de opname moeten bewaren in het kader van één van onze wettelijke verplichtingen (SWG/FT, Marktmisbruik, MiFID).
5.4.2 E-mails en elektronische schriftelijke uitwisselingen
De Bank gebruikt verschillende software voor het versturen, verwerken en ontvangen van e-mails. Voor de verzending van e-mails gebruikt de Bank transport- en encryptiemethoden die worden toegepast volgens de software die de e-mail verstuurt en volgens de inhoud van de e-mail en dit voor zover de server die de e-mail ontvangt de encryptie ondersteunt.
Om de optimale veiligheid van de informatie-uitwisseling te garanderen, heeft de Bank een 'Secure Message Box' geïnstalleerd op de applicatie en op de Transactiesite waarmee ze rechtstreeks en gemakkelijk met haar cliënten kan communiceren (corporate actions, problemen met de uitvoering van orders, enz.). Het versturen van communicatie via de Secure Message Box maakt het mogelijk om, in tegenstelling tot e-mail, de tussenkomst van derden in het proces van versturen en ontvangen aanzienlijk te beperken. Er wordt enkel een beroep gedaan op Amazon Web Services voor datahosting.
Voor e-mails en andere elektronische uitwisselingen (Secure Message Box) geldt een algemene bewaartermijn, op voorwaarde dat er geen reglementaire verplichting is om de informatie gedurende een langere periode te bewaren (zie 'Bewaartermijn').
5.4.3 Papieren briefwisseling
In het algemeen verkiest de Bank elektronische uitwisselingen boven papieren uitwisselingen. Toch kan de cliënt aangeven dat hij bepaalde informatie op papier wenst te ontvangen (bv. zijn rekeningafschriften).
Voor de verzending van papieren briefwisseling die geautomatiseerd gebeurt (bv. rekeningafschriften, informatie die naar alle cliënten moet worden gestuurd in het kader van een specifiek product, enz.) doet de Bank een beroep op de diensten van Publimail.
Wat betreft de inkomende briefwisseling, doet de Bank een beroep op de diensten van Merak voor de scanning. Zodra de briefwisseling gescand is, wordt de gescande versie bezorgd aan de Bank die deze vervolgens behandelt. De papieren briefwisseling wordt vernietigd tenzij de Bank wettelijk verplicht is het origineel te bewaren.
Een algemene bewaartermijn van één jaar is van toepassing op alle papieren post en dit voor zover een langere bewaring wettelijk niet gerechtvaardigd is.
5.5 Gerechtvaardigd belang
De Bank verwerkt uw gegevens ook voor de verwezenlijking van haar gerechtvaardigde belangen. Daartoe streeft de Bank bij elke verwerking naar een juist evenwicht tussen de noodzaak om de gegevens te verwerken en de naleving van uw rechten en vrijheden.
Voor verwerkingen op grond van gerechtvaardigd belang hebt u altijd het recht om bezwaar te maken tegen de verwerking. In dat geval zal de Bank uw gegevens niet langer voor dit doel verwerken, tenzij haar rechten zwaarder wegen dan uw fundamentele rechten en vrijheden.
Zo worden persoonsgegevens verwerkt voor de onderstaande doeleinden.
5.5.1 Modellen, statistieken
Voor de productie van modellen (risicomodellen, marketing, voorspellingen en dergelijke) en statistieken gebruikt de Bank steeds anonimiseringstechnieken.
Voor de productie van modellen en statistieken verwerkt de Bank tal van gegevens zoals:
- de transactiegegevens om het gebruik van haar diensten beter te begrijpen en deze zodoende te kunnen verbeteren; de follow-up van de activiteiten van de Bank, met name het meten van de verkopen, het aantal oproepen en het aantal bezoekers van de Transactiewebsite van de Bank, de aard van de veelgestelde vragen van cliënten, enz.;
- de extractie van gegevens uit geproduceerde documenten om de blootstelling aan de risico's van de Bank te analyseren en te voorspellen en indien nodig maatregelen te nemen om deze blootstelling te verminderen.
5.5.2 Reclameboodschappen
Het promoten van producten en diensten die door de Bank worden gecommercialiseerd, met inachtneming van de reglementering (zie 'Reclameboodschappen'). De Bank heeft een zorgvuldige analyse uitgevoerd om zowel de producten en diensten te bepalen die het voorwerp kunnen uitmaken van een reclameboodschap als de cliënten aan wie deze boodschap kan worden gericht. U kunt op elk moment een kopie vragen van de door de Bank uitgevoerde analyse.
5.5.3 Opleiding van het personeel
Uw interacties met de Bank die worden bewaard, kunnen voor opleidingsdoeleinden van het personeel (telefoonoproepen, e-mailverkeer, enz.) worden geanonimiseerd. De door de bewakingscamera's opgenomen beelden worden enkel bewaard om de veiligheid van goederen en personen te vrijwaren en om misbruiken, fraude en andere inbreuken waarvan de cliënten of de Bank het slachtoffer zouden kunnen worden, te voorkomen.
5.6 Toestemming
In sommige gevallen verwerkt de Bank uw persoonsgegevens alleen als zij daarvoor uw specifieke toestemming heeft gekregen.
5.6.1 Cookies
Enkel functionele cookies (verbindingscookies) en andere gelijkaardige technologieën die noodzakelijk zijn voor de goede werking van de Website van de Bank, zullen automatisch geactiveerd worden tijdens uw bezoek. Andere cookies (voor gebruiksvriendelijkheid, statistische, advertentie- of trackingcookies) worden pas geactiveerd nadat u uw toestemming hebt gegeven. Meer informatie over de werking van cookies en de mogelijkheden om cookies te beperken en te verwijderen, vindt u in onze Cookies Policy (https://www.keytradebank.be/nl/gebruik-cookies/).
5.6.2 Wedstrijden, spelletjes, evenementen en seminars (KEYPRIVATE & KEYPLAN)
De deelname aan door de Bank georganiseerde spelletjes, wedstrijden, seminars en evenementen vereist ook de verwerking van uw persoonsgegevens. De Bank verbindt zich ertoe uw gegevens uitsluitend te verwerken in het kader van de organisatie van de wedstrijden, spelletjes, evenementen of seminars. Uw gegevens worden achteraf niet gebruikt voor marketingdoeleinden.
Als de wedstrijden, spelletjes, evenementen of seminars door een derde worden georganiseerd of als de Bank een beroep doet op de diensten van een derde voor de organisatie ervan, wordt u op de hoogte gebracht van de overdracht van uw persoonsgegevens wanneer u deze meedeelt.
5.6.3 Enquêtes
De Bank analyseert de resultaten van de enquêtes bij haar cliënten en prospects en de adviezen die de cliënten/prospects geven om de cliëntrelatie en haar diensten en producten te verbeteren.
Voordat u aan een enquête deelneemt, vragen wij u om uw toestemming en laten wij u eventueel een document ondertekenen voor het gebruik van beelden en opnames.
Het is mogelijk dat de Bank een beroep doet op de diensten van een derde voor de organisatie van de enquête. In dat geval heeft deze laatste zich contractueel ertoe verbonden om de reglementaire bepalingen na te leven en heeft de Bank maatregelen genomen om zich daarvan te vergewissen (zie 'Ons veiligheidssysteem').
5.6.4 Reclameboodschappen
Voor de cliënten die de mogelijkheid hebben gekregen om hun toestemming te geven bij de opening van de bankrelatie, baseert de Bank zich op die toestemming om hun reclameboodschappen toe te sturen (opt-in/opt-out – zie 'Reclameboodschappen').
5.6.5 Keyhome – Cardif en Ethias
Wat betreft de verzekeringen gekoppeld aan uw hypothecair krediet, is de Bank partnerships aangegaan met Cardif voor de schuldsaldoverzekering en met Ethias voor de brandverzekering. Als u uw toestemming geeft, kunnen Cardif en Ethias vooraf het verzekeringsformulier invullen met de gegevens die u al aan de Bank hebt meegedeeld.
6. Reclameboodschappen
Afhankelijk van de datum waarop u de bankrelatie hebt geopend, hebt u al dan niet uw toestemming kunnen geven voor de ontvangst van reclameboodschappen.
Als u bij de relatieopening toestemming hebt gegeven voor de ontvangst van reclameboodschappen, verwerkt de Bank uw persoonsgegevens, en in het bijzonder uw contactgegevens, om u dergelijke berichten te bezorgen (opt-in). Als u geen toestemming hebt gegeven bij de opening van de bankrelatie, zal de Bank u geen reclameboodschappen sturen en uw gegevens daartoe niet verwerken (opt-out).
Als de Bank u bij de relatieopening niet om uw toestemming heeft gevraagd, baseert ze zich op het gerechtvaardigde belang voor de verzending van reclameboodschappen (soft opt-in). U kunt een kopie vragen van de analyse van het gerechtvaardigde belang uitgevoerd door de Bank.
Concreet betekent dit dat u bijvoorbeeld in de volgende gevallen kunt worden gecontacteerd:
- voor producten of diensten waarvoor u belangstelling hebt getoond (bijvoorbeeld door voor een infosessie in te schrijven of door een simulatie van het product of de dienst te maken);
- wanneer de Bank producten of diensten commercialiseert die volgens haar analyses beantwoorden aan uw behoeften; de Bank analyseert de resultaten van haar marketingactiviteiten om de doeltreffendheid van haar campagnes te meten en u als cliënt bijgevolg relevantere diensten en producten te kunnen aanbieden.
In het kader van haar reclameboodschappen kan de Bank u contacteren via e-mail, telefoon (sms en oproep) of de gewone post. De Bank kiest de meest geschikte en minst intrusieve communicatiemethode op basis van het doel van de communicatie. Om u te informeren over (nieuwe) producten en diensten verkiest de Bank e-mail.
Elke reclameboodschap die de Bank verstuurt, bevat een link waarmee u gemakkelijk uw toestemming kunt intrekken of specifieke voorkeuren kunt ingeven.
U kunt ook op elk moment aangeven dat u geen reclameboodschappen meer wilt ontvangen door in te loggen op de Transactiesite > Voorkeuren > Persoonsgegevens > Communicatie. Als u uw toestemming hebt ingetrokken, zal de Bank in geen geval uw gegevens verwerken.
De Bank verstuurt geen reclameboodschappen als u geen actieve bankrelatie met haar hebt (prospects en cliënten van wie de rekeningen zijn afgesloten zijn dus uitgesloten).
7. Cookies en andere soortgelijke technologieën
Algemeen genomen zijn cookies kleine gegevensbestanden die op uw toestel worden opgeslagen. Ze kunnen verschillende functies hebben. De Bank gebruikt cookies op haar Website en in haar App om deze beter te laten werken, om ze uw voorkeuren te laten onthouden of om u informatie te geven waarvan de Bank denkt dat ze interessant of nuttig kan zijn voor u. De Bank gebruikt de door de cookies geregistreerde gegevens ook om statistieken over haar Website aan te maken en de prestaties en inhoud ervan te verbeteren.
Lees de Cookies Policy (https://www.keytradebank.be/nl/gebruik-cookies/) van de Bank voor meer informatie over het gebruik van cookies.
8. Profilering en geautomatiseerde beslissingen
Profilering bestaat erin uw persoonsgegevens automatisch te verwerken om bepaalde persoonlijke aspecten te beoordelen, zoals uw interesses, uw persoonlijke voorkeuren, enz.
Om u bepaalde producten en diensten snel en efficiënt aan te bieden, kunnen uw persoonsgegevens af en toe gedeeltelijk of volledig geautomatiseerd worden verwerkt, wat een beslissing met juridische gevolgen voor u kan meebrengen of een aanzienlijke impact op u kan hebben. Het gaat dan om geautomatiseerde beslissingen.
Er moet een onderscheid worden gemaakt tussen drie vormen van profilering:
- profilering in het algemeen (zonder juridische gevolgen voor u);
- menselijke besluitvorming op basis van de resultaten van een profilering (zonder juridische gevolgen voor u);
- een volledig geautomatiseerde beslissing (met juridische of andere belangrijke gevolgen voor u).
8.1 Profilering in het algemeen
De Bank commercialiseert een uitgebreid gamma financiële producten en diensten (spaarrekeningen, beleggingsdiensten, pensioensparen, verzekeringen, hypothecaire kredieten, consumentenkredieten, enz.). Om de producten en diensten te identificeren die werkelijk aan uw behoeften beantwoorden, past de Bank profilering toe op basis van bepaalde van uw persoonsgegevens.
Dankzij profilering is de Bank in staat om reclameboodschappen op maat op te stellen en de verzending te beperken tot berichten waarvan zij stellig overtuigd is dat ze voor u relevant zijn. De producten en diensten blijven toegankelijk voor alle cliënten van de Bank, behalve bij wettelijke uitsluiting, zelfs als er bij de profilering niet werd vastgesteld dat de producten overeenstemmen met de behoeften of interesses van bepaalde categorieën van cliënten.
U kunt zich te allen tijde verzetten tegen profilering voor marketingdoeleinden door in te loggen op de Transactiesite > Voorkeuren > Persoonsgegevens > Communicatie. Elke reclameboodschap bevat ook een link waarmee u zich gemakkelijk kunt verzetten tegen profilering voor marketingdoeleinden.
De Bank doet ook aan anonieme profilering voor andere doeleinden zoals:
- statistische doeleinden;
- om het gedrag en de behoeften van de cliënten van de Bank beter te begrijpen en de diensten te verbeteren;
- om het surfgedrag van de bezoekers van de Website van de Bank te analyseren.
Wanneer de Bank zich baseert op het gerechtvaardigde belang voor de profilering, beoordeelt zij vooraf en aandachtig het gerechtvaardigde belang om te bepalen of het verdedigbaar is om de profilering door te voeren en neemt zij in alle gevallen de nodige maatregelen om de eventuele impact op uw rechten en vrijheden te beperken.
8.2 Menselijke beslissing gebaseerd op profileringsresultaten
Dat is het geval wanneer een aanvraag wordt ingediend voor een hypothecair krediet of een kredietkaart. De beslissing van de dossierbeheerder om u al dan niet een lening of krediet toe te kennen, zal deels gebaseerd zijn op het resultaat van de profilering die door een algoritme wordt gerealiseerd. Dat algoritme maakt gebruik van de gegevens die u aan de Bank meedeelt in het kader van uw kredietaanvraag en van externe gegevens (Centrale voor Kredieten aan Particulieren). Het beoordeelt uw terugbetalingscapaciteit voor de lening of het krediet die/dat u aanvraagt en is bedoeld om de dossierbeheerder in staat te stellen snel en niet-discriminerend te beslissen.
8.3 Geautomatiseerde besluitvorming met juridische of andere belangrijke gevolgen voor u
Een volledig geautomatiseerde beslissing is een beslissing die wordt genomen ten aanzien van een persoon, via een algoritme dat wordt toegepast op zijn persoonsgegevens, zonder dat er mensen bij het proces betrokken zijn (overweging 71 en art. 22 van de GDPR).
Dat is het geval voor de simulaties KEYHOME en KEYPRIVATE die beschikbaar zijn op de Website van de Bank. In geval van weigering door het algoritme, om welke reden ook, is dit een beslissing die voor u rechtsgevolgen kan hebben.
In sommige gevallen gebeurt de beslissing om geen kredietkaart toe te kennen ook op basis van een volledig geautomatiseerd proces. Het algoritme houdt rekening met verschillende elementen van uw aanvraag en raadpleegt het bestand van de Centrale voor Kredieten aan Particulieren om te bepalen of het de aanvraag moet weigeren.
Wanneer het om een volledig geautomatiseerde beslissing gaat, krijgt u onmiddellijk een antwoord op uw aanvraag.
In alle gevallen waarin een geautomatiseerde beslissing juridische of andere belangrijke gevolgen voor u heeft, hebt u het recht om een menselijke tussenkomst te vragen en uitleg te krijgen over de beslissing die na een dergelijke evaluatie wordt genomen en kunt u deze beslissing eventueel betwisten.
9. Bewaartermijn
Wat de bewaartermijnen betreft, moet er een onderscheid worden gemaakt tussen actief en gearchiveerd. De gegevens van de cliënten met betrekking tot hun bankrelatie en de producten waarop ze hebben ingetekend, worden op actieve basis bewaard en dit zolang ze het product gebruiken of de bankrelatie niet is afgesloten. Zodra alle bankrelaties van een cliënt zijn beëindigd, worden al zijn gegevens overgebracht naar de gearchiveerde database. Wanneer een cliënt niet langer een product geniet, worden alleen de gegevens over dat product gearchiveerd. Wanneer de gegevens in een gearchiveerde database worden geplaatst, verwerkt de Bank deze gegevens niet meer, behoudens reglementaire verplichting in die zin, en beperkt ze zich tot de bewaring ervan.
De Bank ziet erop toe dat ze uw persoonsgegevens niet langer bewaart dan noodzakelijk is voor de verwerking waarvoor ze werden verzameld.
Bij de beoordeling van de bewaartermijn van uw gearchiveerde persoonsgegevens houdt de Bank rekening met de toepasselijke reglementaire vereisten (bv. de vereisten die voortvloeien uit de SWG/FT-wet).
9.1 Prospects
Uw persoonsgegevens (informatie over uw rekeningopening en de schriftelijke en mondelinge uitwisselingen) als prospect worden maximaal één jaar bewaard. Daarna worden uw gegevens automatisch uit onze database verwijderd.
9.2 Cliënten
De Bank past verschillende bewaartermijnen toe op de persoonsgegevens afhankelijk van de toepasselijke reglementaire bepaling en de betrokken documenten. Wanneer op een document een bijzondere bewaartermijn van toepassing is, wordt die bewaartermijn verduidelijkt in het punt over dat document (reportings).
In dit deel vindt u een uiteenzetting van de verschillende bewaartermijnen die de Bank heeft aangenomen en van de gegevens waarop de bewaartermijn van toepassing is.
9.2.1 Bewaartermijn van de identificatiegegevens
Uw identificatiegegevens worden bewaard gedurende tien jaar vanaf de datum van beëindiging van al uw bankrelaties met de Bank (art. 60 SWG/FT-wet). Die termijn kan in sommige gevallen worden verlengd, bijvoorbeeld als u uw bankrelatie beëindigt maar een lopend hypothecair krediet hebt of bij een geschil (tot na afloop van het geschil).
9.2.2 Algemene bewaartermijn voor mondelinge en schriftelijke uitwisselingen
De Bank past een algemene bewaartermijn van één jaar toe voor alle uitwisselingen (telefoon, elektronische en papieren briefwisseling) die ze met haar cliënten heeft en dit voor bewijsdoeleinden en voor zover geen enkele reglementering een langere bewaring van het gegeven rechtvaardigt (zie hierna).
De Bank baseert zich op artikel 5.1 c) van de GDPR en op overweging 39 van diezelfde verordening en op het feit dat de eerste uitwisselingen over een specifiek probleem een beter inzicht geven in de oorsprong en de eventuele oplossingen die de Bank voorstelt om de algemene termijn van een jaar te rechtvaardigen.
U kunt op elk moment een kopie vragen van de telefonische en schriftelijke uitwisselingen die u met de bank hebt gevoerd, op voorwaarde dat u uw aanvraag indient binnen de bewaartermijn die in dit beleid is vermeld. De Bank kan niet verplicht worden om een document voor te leggen dat zij heeft verwijderd met inachtneming van de toepasselijke reglementaire termijn.
9.2.3 Bewaartermijn van de informatie over de verrichtingen
Overeenkomstig artikel 60 van de SWG/FT-wet wordt de informatie over een specifieke verrichting bewaard gedurende een termijn van tien jaar vanaf de verrichtingsdatum.
Concreet: als uw telefonische of schriftelijke oproep in ons informaticasysteem wordt geclassificeerd als gekoppeld aan een specifieke verrichting in de zin van artikel 60 van voormelde wet, wordt niet de algemene termijn van een jaar toegepast, maar wel de termijn van tien jaar.
9.2.4 Bewaartermijn van beursorders
Alle informatie die onder de Verordening Marktmisbruik en de MiFID-richtlijn valt, wordt gedurende een termijn van vijf jaar bewaard.
Concreet: als u een order telefonisch of schriftelijk op de beurs plaatst, bewaart de Bank de gegevens van dat order gedurende een termijn van vijf jaar vanaf de invoeging van het order op de beurs (en niet de algemene termijn van een jaar).
9.2.5 Bewaartermijn van de gegevens in verband met een klacht of gerechtelijke procedure
Als u officieel een klacht indient bij de afdeling Quality Care, bij Ombudsfin of bij een advocaat of als uw klacht het voorwerp uitmaakt van een gerechtelijke of arbitrageprocedure, bewaart de Bank de gegevens over de klacht en/of gerechtelijke procedure gedurende een termijn van tien jaar vanaf de afsluiting van de klacht of de gerechtelijke procedure.
9.2.6 Bewaartermijn van de door de Bank geproduceerde gegevens (modellen, statistieken, enz.)
Voor statistieken, modellen, inschrijvingslijsten voor seminars en andere informatie die de Bank op basis van de gegevens van haar cliënten aanmaakt, wordt een algemene termijn van twee jaar toegepast. De termijn van twee jaar is gerechtvaardigd omdat de modellen en statistieken het voorwerp moeten uitmaken van een empirische controle en eventueel moeten worden verfijnd op basis van de gedane vaststellingen zodat de Bank haar diensten voortdurend kan verbeteren en beter kan inspelen op de verwachtingen van haar cliënten.
9.2.7 Bewaartermijn van de video's van de bewakingscamera's
De gegevens verzameld via de bewakingscamera's worden gedurende een kortere periode bewaard (voortschrijdende periode van een maand voor de beelden van de bewakingscamera's, behalve als de inhoud van het beeld een langere bewaartermijn rechtvaardigt).
10. Veiligheidsmaatregelen rond de gegevens
10.1 Ons veiligheidssysteem
10.1.1 Controle van de veiligheid van de informaticasystemen
De Bank neemt de nodige maatregelen om ervoor te zorgen dat de vertrouwelijkheid van uw gegevens is gewaarborgd. Daartoe controleert de Bank op geregelde tijdstippen of haar informaticasystemen een passend beschermingsniveau garanderen. Daarnaast machtigt de Bank bepaalde derden om tevens de veiligheid van haar informaticasystemen te controleren.
10.1.2 Privacy by design
Bij elk project waarbij persoonsgegevens worden behandeld, controleert het DPO Team of de GDPR-beginselen worden nageleefd (o.a. enkel de gegevens verwerken die nodig zijn om het doel te bereiken – Privacy by default) en vergewist zich ervan dat de passende technische en organisatorische maatregelen, conform de geldende internationale regels en normen en die welke door de Groupe Crédit Mutuel Arkéa worden aanbevolen, werden ingevoerd (Privacy by design). Het project kan pas gecommercialiseerd en toegankelijk zijn voor klanten nadat het gevalideerd is door het DPO Team.
Elke wijziging in de behandeling van de persoonsgegevens maakt ook het voorwerp uit van een beknoptere analyse van het DPO Team.
Zo zorgt de Bank ervoor dat passende technische en organisatorische maatregelen worden genomen om uw persoonsgegevens op passende wijze te beveiligen tegen verlies, wijzigingen of openbaarmaking aan onbevoegden.
Als de Bank evenwel een incident vaststelt met een impact op uw rechten en vrijheden, zorgt zij ervoor dat, volgens het door de regelgeving opgelegde kader, de Gegevensbeschermingsautoriteit (GBA) hiervan zo snel mogelijk op de hoogte wordt gebracht, dat de betrokkenen worden ingelicht en dat de nodige maatregelen worden getroffen opdat de gevolgen voor de betrokkenen zo beperkt mogelijk blijven.
10.1.3 Overdracht naar partners (afzonderlijke verwerker en verwerkingsverantwoordelijke)
Zoals u in dit Beleid hebt gelezen, doet de Bank voor bepaalde diensten een beroep op gespecialiseerde partners die optreden als afzonderlijke verwerkers of verwerkingsverantwoordelijken. De Bank ziet erop toe dat uw persoonsgegevens worden beschermd door het opnemen van passende bepalingen in haar contracten met deze partners en doet enkel een beroep op partners die passende technische en organisatorische maatregelen treffen. Zo nodig vult de Bank de contracten en documentatie van de partner aan met andere passende maatregelen (jaarlijkse vragenlijst, controle ter plaatse, enz.).
Wanneer persoonsgegevens aan een partner moeten worden overgedragen, dient het DPO Team de overdracht te analyseren vóór de uitvoering ervan en erop toe te zien dat de Bank de partner alleen de persoonsgegevens ter beschikking stelt die noodzakelijk zijn om zijn opdracht tot een goed einde te brengen (Privacy by default).
De Bank deelt uw persoonsgegevens in geen geval mee aan derden zonder dat er een specifiek doel is dat de overdracht ervan rechtvaardigt.
Wanneer de Bank werkt met verwerkers buiten de Europese Economische Ruimte (EER), neemt zij passende maatregelen (Modelcontractbepalingen, technische en organisatorische maatregelen en gegevensbeschermingseffectbeoordeling – art. 35 en 46 GDPR) om te garanderen dat uw persoonsgegevens in het land van bestemming naar behoren beschermd zijn. In dat geval stelt de Bank (bv. door contractuele maatregelen en controles op de geïmplementeerde technische en organisatorische maatregelen) zeker dat de persoonsgegevens worden verwerkt volgens hetzelfde veiligheidsniveau als vereist door de Europese regelgeving.
10.1.4 Interne toegang tot uw gegevens
Overeenkomstig de reglementering heeft de Bank procedures uitgewerkt om ervoor te zorgen dat alleen de gegevens die nodig zijn om de taken van de medewerker uit te voeren, voor hem toegankelijk zijn.
Zo zijn bijvoorbeeld de gegevens over hypothecaire kredieten enkel toegankelijk voor de medewerkers van de departementen die met deze dienst belast zijn.
10.1.5 Opleiding en sensibilisering van het personeel
Alle medewerkers van de Bank worden via een jaarlijkse opleiding gesensibiliseerd voor de bescherming van de persoonsgegevens. De Bank ziet erop toe dat haar medewerkers de deontologische code met de richtlijnen voor de behandeling van persoonsgegevens naleven.
10.2 De maatregelen die u kunt nemen
Gegevensbeveiliging is een zaak van iedereen.
U kunt zelf ook bijdragen aan de beveiliging van uw persoonsgegevens door de onderstaande tips te volgen:
- Gebruik het recentste besturingssysteem op uw toestel en installeer alle veiligheidsupdates.
- Gebruik de recentste versie van uw browser en installeer alle veiligheidsupdates.
- Installeer een antivirus-, antispyware- en firewall-toepassing en stel uw voorkeuren zo in dat ze regelmatig worden geüpdatet.
- Laat uw toestel en uw inlogmiddelen niet onbewaakt achter.
- Log uit als u de Transactiesite of app niet meer gebruikt.
- Zorg ervoor dat uw codes geheim blijven.
- Log alleen in via een toestel dat u vertrouwt en vermijd om gedeelde toestellen te gebruiken voor gevoelige transacties.
De Bank zal u nooit per e-mail of telefoon (sms/app's, enz.) vragen naar nummers van rekeningen, krediet- of debetkaarten, wachtwoorden of codes. Geef deze informatie dus nooit op enige manier en onder geen enkel voorwendsel door! Als u naar de Bank belt, moet zij u mogelijk identificeren. Zij zal dit doen door bepaalde persoonlijke vragen te stellen.
11. Wat zijn uw rechten?
11.1 Recht op inzage
U hebt recht op inzage in de persoonsgegevens die op u betrekking hebben en die door de Bank worden verwerkt.
De Bank neemt alle nodige maatregelen om ervoor te zorgen dat uw persoonsgegevens correct, up-to-date, volledig en relevant zijn. Daarom vraagt de Bank u om haar elke wijziging (verhuizing, nieuwe identiteitskaart, toevoeging van een nieuwe nationaliteit, enz.) mee te delen. Als u vaststelt dat uw gegevens onjuist of onvolledig zijn, kunt u ons om een rectificatie vragen (zie 'Hoe oefent u uw rechten uit?').
11.2 Recht op rectificatie
U kunt bepaalde persoonsgegevens zelf wijzigen door in te loggen op de Transactiesite > Mijn voorkeuren > Persoonsgegevens > Communicatie. Voor bepaalde wijzigingen van persoonsgegevens die u invoert, raadpleegt de Bank het Rijksregister omdat de Bank zich ervan moet vergewissen dat de ingevoerde wijziging overeenstemt met de officiële databases.
Voor de gegevens die u niet zelf kunt wijzigen op de Transactiesite beschikt u ook over een recht op rectificatie in geval van vergissing of weglating. Stuur in dat geval een e-mail naar dpo@keytradebank.com met duidelijke vermelding van de redenen waarom u vindt dat de gegevens moeten worden rechtgezet en met toevoeging van eventuele bewijsstukken.
Als de Bank uw gegevens corrigeert en ze eerder met een derde had gedeeld, zal zij die laatste ook op de hoogte brengen.
11.3 Recht op vergetelheid
In welbepaalde gevallen biedt de wetgeving u de mogelijkheid om uw persoonsgegevens uit de database van de Bank te laten verwijderen.
Dat is met name het geval als de gegevens niet meer nodig zijn voor de doeleinden waarvoor de Bank ze heeft verzameld, als de verwerking van uw gegevens uitsluitend op uw toestemming berust en u beslist om deze in te trekken of als u zich verzet tegen de verwerking van uw gegevens en als er voor de Bank geen wettige redenen zijn die voorrang hebben op die van u (bijvoorbeeld omdat u uw persoonsgegevens hebt meegedeeld om een hypothecair krediet aan te vragen dat u uiteindelijk niet hebt afgesloten).
De Bank kan uw persoonsgegevens echter bewaren wanneer zij nodig zijn voor de instelling, uitoefening of onderbouwing van een rechtsvordering of voor de naleving van haar wettelijke verplichtingen (zie 'Bewaartermijn').
11.4 Recht op beperking van de verwerking
Met dit recht van bezwaar kunt u de Bank vragen om de verwerking van uw persoonsgegevens tijdelijk stop te zetten in welbepaalde gevallen zoals vastgelegd in de regelgeving.
Die blokkering kan worden aangevraagd:
- wanneer de betrokken gegevens onjuist, onvolledig, dubbelzinnig of verstreken zijn, gedurende de tijd die de Bank nodig heeft om de juistheid van uw gegevens na te kijken;
- wanneer u van mening bent dat de verzameling, verwerking, mededeling of bewaring van de gegevens verboden is;
- wanneer de gegevens niet meer nodig zijn voor de verwezenlijking van de doelstellingen van de verwerking;
- tijdens de periode die de Bank nodig heeft om de gegrondheid van een verzoek tot bezwaar te onderzoeken.
Als u van dat recht hebt gebruikgemaakt, mag de Bank uw gegevens bewaren maar niet meer verwerken, tenzij met uw toestemming of voor de vaststelling, uitoefening of verdediging van haar rechten (of die van een andere persoon) of in de door de regelgeving bepaalde gevallen.
11.5 Recht op overdraagbaarheid van gegevens
Krachtens dit recht kunt u de Bank vragen dat ze uw persoonsgegevens aan u overmaakt of rechtstreeks doorstuurt naar een andere verwerkingsverantwoordelijke, wanneer dat voor de Bank technisch mogelijk is. Dit recht betreft alleen de gegevens die u zelf aan de Bank hebt verstrekt en die automatisch zijn verwerkt op basis van het contract of uw toestemming.
U kunt een aanvraag doen via het volgende formulier
11.6 Recht om uw toestemming in te trekken
Wanneer de verwerking van uw gegevens op uw toestemming berust, hebt u het recht om uw toestemming te allen tijde in te trekken. Die intrekking heeft echter geen invloed op de rechtmatigheid van de verwerking die plaatsvond in de periode voorafgaand aan de intrekking van uw toestemming.
11.7 Recht op bezwaar
U hebt bovendien ook het recht om vanwege redenen die verband houden met uw specifieke situatie bezwaar te maken tegen elke verwerking van uw persoonsgegevens op basis van het gerechtvaardigd belang van de Bank. Er wordt echter geen gevolg gegeven aan uw verzoek als er legitieme en dwingende redenen zijn die zwaarder wegen dan uw belangen, rechten en vrijheden of als de verwerking van uw gegevens vereist is voor de vaststelling, uitoefening of verdediging van de rechten van de Bank voor de rechtbanken.
Bovendien hebt u altijd het recht om u kosteloos en zonder verantwoording te verzetten tegen de verwerking van uw persoonsgegevens voor marketingdoeleinden (zie 'Reclameboodschappen'). In dat geval worden uw gegevens niet meer voor dat doel gebruikt.
12. Hoe oefent u uw rechten uit?
Cliënten kunnen hun aanvraag via hun geauthenticeerde e-mailadres (dus het e-mailadres dat ze bij de opening van hun rekening hebben opgegeven of elk e-mailadres dat ze later hebben meegedeeld en dat door de Bank werd gevalideerd) richten aan dpo@keytradebank.com, zonder dat er een kopie van hun identiteitskaart moet worden meegestuurd.
Als u geen toegang meer hebt tot uw geauthenticeerde e-mailadres of geen cliënt bent, moet u om uw rechten uit te oefenen uw aanvraag samen met een leesbare kopie van de voor- en achterkant van uw identiteitskaart aan de Bank bezorgen op het e-mailadres dpo@keytradebank.com.
Na ontvangst van uw volledige aanvraag zal de Bank de gegrondheid ervan analyseren en, indien u gemachtigd bent om het ingeroepen recht uit te oefenen, zo snel mogelijk de nodige maatregelen treffen.
De Bank zal u in elk geval binnen een termijn van een maand antwoorden. Als uw aanvraag complex blijkt te zijn, zal de Bank u daarover binnen een termijn van een maand informeren en zal ze u binnen maximaal twee bijkomende maanden de gevraagde elementen bezorgen.
Voor elke extra kopie of bijkomende informatie die wordt gevraagd in het kader van de uitoefening van uw recht op inzage in uw persoonsgegevens, is de Bank gemachtigd om u een redelijk bedrag aan te rekenen voor de administratiekosten.
13. Bij wie kunt u terecht bij klachten?
Bij een klacht over de verwerking van uw persoonsgegevens kunt u een bemiddelingsverzoek indienen bij de Gegevensbeschermingsautoriteit op het volgende adres:
Gegevensbeschermingsautoriteit Drukpersstraat 35 1000 Brussel Tel. +32 2 274 48 00 E-mail: contact@apd-gba.be