Privacy statement

Achmea Bank is statutair gevestigd in Den Haag (onder KVK-nummer 27154399). Zij heeft een bankvergunning van De Nederlandsche Bank en is opgenomen in het register van de Autoriteit Financiële Markten onder nummer 12000011. Achmea Bank kent de volgende merken:

• Achmea Bank (spaarproducten aangeboden via Raisin)
• Centraal Beheer (spaarproducten, PSD2 en beleggingsdiensten)
• Centraal Beheer (hypotheken met geldgever Achmea Bank N.V. en hypotheken met geldgever Achmea Hypotheken B.V.)
• Acier Financieringen (hypotheken met geldgever Achmea Bank N.V.)
• Attens Hypotheken (hypotheken met geldgever Attens Hypotheken B.V.)
• Overige merken die aan Syntrus Achmea Hypotheekdiensten B.V. zijn uitbesteed (Tellius Hypotheken en Syntrus Achmea Hypotheken).

Achmea Bank is onderdeel van Achmea B.V. Achmea Bank N.V. en Achmea B.V. zijn gezamenlijk verantwoordelijk voor de goede verwerking van uw persoonsgegevens.

Vraagt u een offerte aan, sluit u een spaar- of hypotheekproduct af, bezoekt u onze website, schrijft u zich in voor een nieuwsbrief, bent u bestaande klant of heeft u op een andere manier contact met ons? Dan hebben wij uw gegevens nodig. Deze gegevens vertellen vaak iets over u of deze gegevens zijn op verschillende manieren in verband te brengen met u als persoon.

Meestal vragen wij uw naam, adres, e-mailadres, telefoonnummer en geboortedatum. Soms vragen wij ook andere gegevens. Afhankelijk van het product dat u afsluit. Bijvoorbeeld uw financiële gegevens en gegevens over het onderpand bij het aangaan van een hypotheek of uw bankrekeningnummer voor het automatisch afschrijven van de maandelijkse hypotheeklasten.
Ook kunnen wij gegevens vragen om uw identiteit vast te stellen. Dit gebeurt vaak via iDIN of persoonlijke identificatie op locatie.

Meestal geeft u uw gegevens zelf aan ons door. Bijvoorbeeld bij het afsluiten van een product en de inschrijving voor een nieuwsbrief. Soms ontvangen wij uw gegevens op een andere manier. Als u een onafhankelijk adviseur heeft, dan ontvangen wij uw gegevens via uw adviseur. Ook kunnen wij uw gegevens opvragen bij (semi-)openbare externe bronnen of registers, bijvoorbeeld bij de Stichting Bureau Krediet Registratie (BKR).

Wij kunnen de volgende categorieën persoonsgegevens van u verwerken.

Categorie Persoonsgegevens	Bijvoorbeeld
Accountgegevens	Gebruikersnaam, user-id en avatar
Audiovisuele gegevens	Camera- en beeldopnamen, opgenomen chat- en telefoongesprekken
Beroepsgegevens	Beroep, functie, werkgever, bedrijfslocatie
Contactgegevens	Adres, e-mailadres, telefoonnummer
Due Diligence gegevens	PEP-, Sanctielijst-, IVR-en EVR-toetsing
Financiële gegevens	Bankrekeningnummer, transacties, inkomen, saldogegevens, vermogen, lening gegevens, betalingsachterstanden, schulden/achterstanden
Gegevens over apparaten, besturingssystemen, online gedrag en voorkeuren	IP-adres, MAC-adres, besturingssysteem, apparaat soort, versie en/of merk en cookie-instellingen
(Persoonlijke) Identificatiegegevens	Naam, adres, woonplaats, postcode, geboortedatum, geboorteplaats, BSN/TIN, klantnummer en nationaliteit
Juridische status	Relatiestatus, burgerlijke staat en gezinssamenstelling
Onderpandgegevens	Adres onderpand, koop- en aanneemsom, marktwaarde
Opleidingsgegevens	Genoten opleidingen en opleidingsniveau
Bijzondere persoonsgegevens	Gezondheidsgegevens
Strafrechtelijke gegevens	Strafrechtelijke veroordelingen en strafbare feiten

Onze producten zijn in principe niet bedoeld voor minderjarigen. Om die reden hebben de website en app ook niet de intentie gegevens te verzamelen van website-/appbezoekers die minderjarig zijn. We kunnen niet controleren of een bezoeker ouder dan 16 jaar is of toestemming heeft van zijn ouders of voogd. Wij raden ouders dan ook aan betrokken te zijn bij de online activiteiten van hun kinderen, om zo te voorkomen dat er gegevens over kinderen verzameld worden zonder toestemming.

U leest in ons cookie statement wat cookies zijn en hoe wij met cookies omgaan. Met cookies zorgen wij dat informatie op onze website snel en eenvoudig terug is te vinden, maar wij kunnen u hiermee ook informatie, aanbiedingen en advertenties laten zien of sturen die mogelijk bij u passen. Het kan ook noodzakelijk zijn voor de beveiliging van onze website. Ook kunnen wij uw bezoek aan de website en eventuele app bijhouden. Hierbij kunnen wij ook persoonsgegevens verwerken.

Bezoekt u een website van een van onze merken? Bijvoorbeeld centraalbeheer.nl, syntrusachmeahypotheken.nl of acierfinancieringen.nl. Dan vindt u in het cookie statement op die website meer informatie over het gebruik van cookies die op die website of app geplaatst worden.

Heeft u een product bij ons? Dan kunt u e-mailberichten ontvangen en kunnen onze merken uw klikgedrag in onze e-mails registreren. Bijvoorbeeld om te zien of een e-mail is geopend en op welke linkjes en artikelen u heeft geklikt. Zo kunnen wij onze e-mailberichten relevanter voor u maken. Wilt u dit niet? Dan kunt u dit meestal via het online klantportaal uitschakelen of kunt u zich onderaan een nieuwsbrief altijd afmelden.

Wij verwerken alleen uw gegevens, wanneer wij daarvoor een rechtmatige grondslag hebben. Uw persoonsgegevens worden bij ons op basis van de volgende grondslagen verwerkt:

• afsluiten en uitvoeren van een overeenkomst. Bijvoorbeeld als u een spaarrekening bij ons wilt openen of een hypotheek wilt afsluiten.
• voldoen aan een wettelijke verplichting. Bijvoorbeeld voor de uitvoering van onze wettelijke zorgplicht (Wft), voorkomen van fraude, voorkomen van belastingontduiking, voorkomen van witwassen en financieren van terrorisme (Wwft) of het delen van uw gegevens met de Belastingdienst of andere toezichthouders.
• als u (uitdrukkelijke) toestemming heeft gegeven (intrekken van toestemming kan op ieder moment). Bijvoorbeeld om uw gegevens door te laten sturen naar een externe partij. 
• de behartiging van onze gerechtvaardigde belangen of die van een derde. Dit gebeurt alleen wanneer wij na een afweging vinden dat een verwerking noodzakelijk is, er geen minder ingrijpende manier is om het doel te bereiken en onze belangen of die van een derde zwaarder wegen dan uw privacybelang. Bijvoorbeeld de IBAN Naam Check, het uitvoeren van een toets bij Bureau Kredietregistratie (BKR) bij een hypotheekaanvraag, als de toezichthouder de verwerking van ons verlangt maar dit nog niet in een wet is vastgelegd, om onze administratie op een efficiënte manier uit te voeren of om u relevante tips en aanbiedingen te kunnen doen.

Wij verwerken bepaalde persoonsgegevens omdat wij daartoe wettelijk verplicht zijn. Bijvoorbeeld op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Daarnaast hebben wij gegevens nodig om een overeenkomst met u aan te gaan en uit te voeren. Indien u deze gegevens niet verstrekt, kunnen wij geen overeenkomst met u sluiten of uitvoeren.

We gebruiken soms gegevens voor een ander doel dan waarvoor we ze gekregen hebben. Dat mag alleen als er tussen beide doelen een nauwe samenhang bestaat.

Wij verwerken uw gegevens altijd met een doel en uitsluitend als dit noodzakelijk is om dat doel te bereiken. Zo kunnen wij uw gegevens gebruiken om:

• u een online berekening uit te laten voeren op onze website. Deze gegevens worden dan alleen voor die berekening gebruikt, tenzij u besluit het product af te sluiten. 
• contact met u te onderhouden en uw vragen te kunnen beantwoorden.
• bij te houden hoe en wanneer wij contact met u hebben.
• te beoordelen of het gewenste product passend is. Dit kan ook een kredietscore zijn als dat noodzakelijk is.
• u een (passend) product aan te bieden (hieronder ook begrepen: relatiebeheer, promotie en marketing).
• met u een overeenkomst aan te gaan en uit te voeren.
• uw producten bij Achmea, behoeften, tevredenheid en voorkeuren in kaart te brengen.
• onze producten beter op uw behoeften aan te laten sluiten.
• producten te ontwikkelen en/of te verbeteren.
• IT systemen te managen, beheren, ontwikkelen en te testen.
• uw bezoek aan de website en eventuele app bij te houden. 
• u gebruik te kunnen laten maken van uw persoonlijke omgeving (zoals Centraal Beheer en Acier Financieringen).
• u rekeninginformatiediensten en betaalinitiatiediensten te verlenen (PSD2).
• financiële en balanstransacties uit te voeren.
• een (in)schatting te maken van onze (financiële) risico’s om onze financiële positie te beschermen, waaronder via ons risico-model Advanced Internal Ratings-Based model (AIRB) voor het bepalen van financiële reserve en stresstesting.
• uw financiële weerbaarheid te vergroten en betalingsachterstanden te beperken. Bijvoorbeeld door vroegtijdig te signaleren dat er mogelijke betalingsproblemen dreigen. Dit doen wij met behulp van modellen.
• uw en onze belangen te beschermen tegen fraude en andere vormen van criminaliteit.
• de veiligheid van onze klanten, onszelf en van de financiële sector te waarborgen. Door risico’s te verkleinen en fraude op te sporen en te voorkomen. Hiervoor voeren we voorafgaand en tijdens de klantrelatie een klantonderzoek uit en monitoren we uw transacties. Hiervoor maken wij gebruik van gegevens die door u zijn aangeleverd of die wij vanuit externe bronnen raadplegen. Daarbij kunnen wij gebruikmaken van analyses, risicoparameters, risicoprofielen of andere indicatoren. Daarvoor kunnen wij ook gebruik van onze gebeurtenissenadministratie en het Interne Verwijzingsregister. Ook het Incidentenregister en het Externe Verwijzingsregister (EVR) in het kader van het PIFI-protocol. Meer informatie kunt u verderop in deze verklaring lezen onder ‘Gebeurtenissenadministratie/Incidentenregister/IVR/EVR’.
• te voldoen aan onze poortwachtersfunctie en om witwassen en de financiering van terrorisme tegen te gaan.
• de duurzaamheid en klimaatrisico’s van de door ons gefinancierde onderpanden in kaart te brengen voor interne doeleinden en toezichthouders(rapportages), of om hulp aan te bieden aan klanten of aanbiedingen te doen met betrekking tot verduurzaming van gefinancierde onderpanden.
• klachten en geschillen te kunnen behandelen.
• een product ná overlijden van een klant af te wikkelen.
• overeenkomsten aan te gaan en uit te voeren met leveranciers en andere partijen waarmee we samenwerken.
• deze aan de overheid te verstrekken, als wij daartoe verplicht worden.
• audits, accountantscontrole en onderzoeken uit te kunnen (laten) voeren.
• materiële, formele controles en horizontaal toezicht te verrichten.
• markt, wetenschappelijk of historisch onderzoek, onderzoek voor statistische doeleinden en archivering uit te kunnen voeren.
• bedrijfsprocessen en de kwaliteitscontrole daarop uit te voeren en te verbeteren.
• (financiële) risico’s voor de bank te beheersen.
• managementrapportages op te stellen.
• voor de ontwikkeling en validatie van (risico)modellen. 
• onze medewerkers te kunnen trainen, coachen, ontwikkelen en beoordelen.
• onze algemene strategie en het beleid te bepalen.
• benchmarking (bijvoorbeeld een vergelijking te (laten) maken met andere organisaties). 
• uw sollicitatie te verwerken.
• het elektronisch ondertekenen van documenten.
• ons aan de wet- en regelgeving te houden.

De complete lijst vindt u in het privacy statement van Achmea.

Vraagt u een ander product bij ons aan? Dan kunnen we bij het beoordelen van die aanvraag ook rekening houden met informatie over andere producten die u bij ons heeft.

Wij leggen vast wat wij met u afspreken. En we gebruiken onze contactmomenten om onze communicatie te verbeteren. Dit zijn bijvoorbeeld contactmomenten die we vastleggen:

• brieven en e-mailberichten die wij sturen en van u ontvangen.
• telefoongesprekken, e-mailberichten en chatberichten.
• wat u op onze websites en apps doet en bekijkt.
• wanneer u hebt ingelogd op het online klantportaal of gebruik hebt gemaakt van de hypotheekcheckmodule.
• in een (persoonlijk) onderzoek kunnen wij – als daar concrete aanleiding voor is – ook gegevens gebruiken van camerabeelden, van gegevens die wij over u op het internet vinden en van telefoongesprekken of (video) chatgesprekken met onze collega’s.
• ons contact via social media, zoals WhatsApp.

Wij kunnen gebruikmaken van social media. Op sommige websites staan bijvoorbeeld social media buttons. Ook kunt u contact opnemen via social media. Dit privacy statement geldt niet voor deze social media-aanbieders. Zij zijn zelf verantwoordelijk voor de verwerking van persoonsgegevens en zullen u in hun eigen privacy statement over de verwerking informeren.  

Doordat veel social media-aanbieders buiten de Europese Economische Ruimte (EER) gevestigd zijn, zijn persoonsgegevens mogelijk niet goed genoeg beschermd. We raden u daarom aan de privacyregels van die social mediakanalen altijd goed te lezen vóórdat u er gebruik van maakt. Zo weet u wat er met uw gegevens gebeurt. 

Achmea Bank heeft geen invloed op de manier waarop deze social media-aanbieders uw persoonsgegevens beveiligen en gebruiken. En dragen daarom geen verantwoordelijkheid voor de content die social media-aanbieders plaatsen of hoe zij omgaan met persoonsgegevens.

Meestal geeft u uw gegevens zelf aan ons door. Soms krijgen wij uw gegevens op een andere manier. 
Soms geven wij uw gegevens door. En soms controleren wij uw gegevens bij andere bedrijven. Dit hangt af van het product dat u afsluit. Wij verkopen uw gegevens niet door. 

Wij kunnen gegevens uitwisselen met:

• andere entiteiten, onderdelen en merken van Achmea, zoals Centraal Beheer.
• andere financiële instellingen,
• onze leveranciers en zakelijke partners, zoals:
• Quion en Stater voor de verwerking van de hypotheekadministratie.
• Topicus voor de verwerking van spaar- en beleggingsadministratie.
• Equens en Currence IDEAL B.V. (Wero) voor de afwikkeling van het (online) betalingsverkeer.
• iDIN voor identificatie en verificatie van (nieuwe) klanten en gebruik van Veilig Inloggen (2FA) op het online klantportaal.
• AMP Groep voor identificatie en verificatie van (nieuwe) klanten op locatie (fysiek).
• Ockto(ID) of I-Wise voor het aanleveren van informatie of documenten bij ons ten behoeve van een hypotheekaanvraag (inclusief identificatie).
• SurePay voor controle tenaamstelling (tegen)rekeningen (IBAN Naam Check).
• Aryza (CreditNavigator) voor preventief- en bijzonder beheer.
• I-Tek voor veiligheidszaken en preventief- en bijzonder beheer.
• Calcasa voor de waardering van onderpanden.
• DM Interface - Impress B.V., Koninklijke Kampert en Helm Rotaform B.V. en PostNL voor het afdrukken en verzending van poststukken.
• Raisin, indien u via het Raisin platform een product bij ons heeft afgesloten.
• investeerders in onze hypotheekportefeuilles (zoals pensioenfondsen).
• Cloudaanbieders.
• openbare en/of externe registers, zoals:
  • Stichting Bureau Krediet Registratie (BKR) voor onder andere inzage in of eventuele registratie in uw BKR/kredietregistraties (Centraal Krediet Informatiesysteem), de BKR-score en het gezamenlijke fraudepreventiesysteem genaamd het Extern Verwijzingsregister (EVR) voor het signaleren en communiceren van fraudeurs met andere Nederlandse financiële instellingen.
  • Stichting Fraudebestrijding Hypotheken (SFH).
  • Verificatie Identificatie Systeem (BKR) voor de controle op de geldigheid van een identiteitsdocument.
  • Verwijzingsportaal Bankgegevens, voor de geautomatiseerde verstrekking van gegevens die opgevraagd worden door opsporingsinstanties of de Belastingdienst.
  • WOZ-register (Ministerie van Financiën).
  • Kadaster voor de raadpleging van onderpandgegevens.
  • de brancheorganisatie Nederlandse Vereniging van Banken (NVB) en het Verbond van Verzekeraars (VvV).
  • Kamer van Koophandel (KVK) voor het algemene KVK-register (Handelsregister) en UBO-register.
• intermediairs, hypotheekadviseurs, serviceproviders, taxateurs, makelaars, juridisch dienstverleners, bewindvoerders, deurwaarders, incassobureaus, kredietbemiddelaars en/of notarissen.
• Belastingdienst.
• In sommige gevallen zijn wij verplicht uw gegevens met een buitenlandse belastingdienst te delen. Dit zijn wij verplicht op grond van de Wet op de internationale bijstandsverlening bij de heffing van belastingen (WIB) of Foreign Account Tax Compliance Act (FATCA). Als dat het geval is, worden uw rekeninggegevens naar de Nederlandse belastingdienst gestuurd, die ze vervolgens doorstuurt naar de buitenlandse belastingdienst. Meer informatie over de WIB of FATCA.
• opsporingsinstanties, zoals de politie en Openbaar Ministerie en inlichtingendiensten.
• toezichthouders, zoals:
• de Autoriteit Financiële Markten (AFM).
• De Nederlandsche Bank (DNB).
• de Europese Centrale Bank (ECB).
• de Autoriteit Consument en Markt (ACM).
• de Autoriteit Persoonsgegevens (AP).
• klachtinstanties, zoals het Kifid en gerechtelijke instanties of advocaten in het kader van een geschil.
• onze interne en externe accountant(s) en auditors.
• Stichting Waarborgfonds Eigen Woningen (WEW), in verband met Nationale Hypotheek Garantie (NHG).
• Centraal Bureau voor de Statistiek (CBS) voor statistische analyses en werkzaamheden.
• Stichting Centraal Informatiesysteem (CIS) voor de PEP en sanctielijstcontrole.
• openbare bronnen, zoals openbare registers, kranten, het internet en (openbare) sociale media.
• gemeenten bij betalingsachterstanden (Pilot Vroegsignalering).
  Wij nemen deel aan een landelijke pilot waarin geldverstrekkers en gemeenten samenwerken om betalingsachterstanden op hypotheken vroegtijdig te signaleren. Het doel is om te voorkomen dat achterstanden uitgroeien tot problematische schulden en om u tijdig ondersteuning te kunnen aanbieden. Wij kunnen beperkte informatie aan uw gemeente doorgeven. Dit zijn geen gegevens over andere financiële producten of uw volledige financiële situatie. U wordt over deze verstrekking voortijdig geïnformeerd en kunt hiertegen op dat moment bezwaar maken.
• NVVK-leden in het kader van schuldhulpverlening bij restschuld op uw hypotheek.
• bedrijven ten behoeve van benchmarking.
• erfgenamen en executeurs die u in uw rechten en uw plichten opvolgen als u overlijdt.
• andere partijen waarvoor u toestemming hebt gegeven, zoals dienstverleners uit de Centraal Beheer Klimaatwinkel.

Wanneer u geld overmaakt vanuit een Achmea Bank product naar een andere (betaal)rekening van een andere financiële instelling, dan komen uw gegevens ook bij deze financiële instelling terecht.

Wij slaan uw gegevens op in verschillende systemen en databases. Dit kunnen ook clouddiensten zijn. Dat betekent dat wij uw gegevens op een online locatie opslaan en verwerken. Ook kunnen wij gegevens in situaties met eerdergenoemde partijen delen.

Op deze databases zijn strenge beveiligingsmaatregelen ingesteld. Zo doen wij alleen zaken met betrouwbare dienstverleners, versleutelen wij onze data zoveel als mogelijk en slaan wij uw gegevens in beginsel alleen op in databases binnen de Europese Economische Ruimte (EER) of delen wij deze gegevens alleen met partijen binnen de EER. Doordat binnen de EER dezelfde privacyregels als in Nederland gelden, zorgen wij ervoor dat uw privacy goed beschermd is.

In uitzonderlijke situaties kan het noodzakelijk zijn dat uw gegevens ook buiten de EER worden opgeslagen of noodzakelijkerwijs worden gedeeld. In dat geval doen wij dat zeer zorgvuldig. Wij en onze verwerker(s) toetsen voorafgaand en zorgen dan dat passende afspraken zijn gemaakt, zodat uw privacy beschermd is. Daarbij kunnen we een Data Transfer Impact Assessment uitvoeren. Voorbeelden van zulke afspraken zijn het overeenkomen van een door de Europese Commissie goedgekeurde modelovereenkomst (Standard Contractual Clauses) en het EU-US Data Privacy Framework. 

Onze websites, apps en IT-systemen zijn goed beveiligd. Ook maken we hierover duidelijke afspraken met onze verwerkers.

Wij nemen daarvoor steeds passende technische en organisatorische (beveiligings)maatregelen om verlies of onrechtmatige verwerking van uw gegevens te voorkomen. Zo houden we de veiligheid van ons dataverkeer 24 uur per dag in de gaten. We hebben een informatiebeveiligingsbeleid. En wij houden bij het ontwikkelen van nieuwe producten en processen rekening met uw privacy en de beveiliging van uw gegevens. Een voorbeeld is dat uw gegevens alleen toegankelijk zijn voor medewerkers waarvoor het noodzakelijk is dat zij daarmee werken. Ook hebben onze medewerkers duidelijke instructies gekregen hoe zij om moeten gaan met uw gegevens. Zij hebben allen een geheimhoudingsplicht.

Ontdekt u toch een kwetsbaarheid in onze internetdiensten? Via Responsibe Disclosure van Achmea kunt u een melding maken. Het is fijn als u ons dit laat weten. Dan kunnen we maatregelen treffen en werken we samen aan het verbeteren van de veiligheid van onze gegevens en systemen.

Onder gevoelige gegevens verstaan wij bijvoorbeeld: 

• Uw Burgerservicenummer (BSN)
• Wij zijn wettelijk verplicht om uw identiteit vast te stellen als u klant bij ons wordt. Wij vragen u daarom soms om een kopie van uw identiteitsbewijs. Daar staat ook uw BSN op.
• Wij zijn ook wettelijk verplicht om jaarlijks informatie over uw financieel product (bijvoorbeeld uw spaarrekening) aan de Belastingdienst door te geven. Daarvoor moeten we uw BSN gebruiken (art. 47b en 53 Algemene wet inzake rijksbelastingen (AWR). De Belastingdienst gebruikt uw BSN als uniek identificatienummer om informatie op een effectieve en correctie wijze te kunnen gebruiken gedurende het uitvoerings- en toezichtsproces.
• Voor de producten van Achmea Bank die onder de Nederlandse Depositogarantie vallen, zijn wij verplicht uw BSN te communiceren naar De Nederlandsche Bank (art. 3:17 Wet op het financieel toezicht (Wft).
• Wanneer u bij ons een Nederlandse IBAN-rekening heeft, zijn wij in het kader van het Verwijzingsportaal bankgegevens in bepaalde situaties verplicht om uw gegevens door te geven. Hiervoor mogen wij gebruikmaken van uw BSN (art. 3:267i Wet op het financieel toezicht (Wft).
• Uw bankgegevens (incl. schulden en betalingsachterstanden)
• Uw kredietwaardigheidscheck
• Wij zijn ook verplicht om uw kredietwaardigheid te controleren bij het aanvragen van een lening.
• Gegevens uit het strafrecht
• Wij kunnen vragen of u een strafrechtelijk verleden heeft als wij het risico voor een financieel product moeten bepalen. Bent u langer dan 8 jaar geleden verdacht geweest of veroordeeld? Dan hoeft u dat niet te melden.
• Wij kunnen uw strafrechtelijke gegevens ook in het kader van het PIFI-protocol verwerken.
• Uw gezondheidsgegevens
• In beginsel verwerken wij geen gezondheidsgegevens. Wij verwerken uw gezondheidsgegevens alleen wanneer dit noodzakelijk is en met uw toestemming.

Wij bewaren uw gegevens niet langer dan noodzakelijk is voor het (de) doel(en) waarvoor deze zijn verzameld of worden verwerkt of volgens de wet verplicht zijn. We hanteren daarvoor een bewaarbeleid. Daarin is vastgelegd hoe lang we gegevens bewaren. Dit is in de meeste gevallen minimaal 7 jaar na het einde van de overeenkomst of uw relatie met Achmea Bank (of een van onze merken). Daarna verwijderen, aggregeren, pseudonimiseren of anonimiseren wij uw gegevens. Als wij uw gegevens pseudonimiseren zijn de gegevens niet meer naar u herleidbaar. De gegevens worden daarna gebruikt voor onze risicobeheersing (historische dataset).

We kunnen (persoons)gegevens in specifieke situaties langer bewaren dan de door ons vastgestelde bewaartermijn voorschrijft. Bijvoorbeeld als de toezichthouder dat van ons vraagt in het kader van risicomodellen of het ontwikkelen en reviewen daarvan, risicomanagement, u een klacht hebt ingediend waardoor het nodig is om de onderliggende gegevens langer te bewaren of voor juridische procedures. Maar ook voor historische of wetenschappelijke onderzoek of statistische doeleinden.

Als persoonsgegevens langer bewaard worden, dan nemen wij maatregelen om ervoor te zorgen dat die gegevens alleen worden gebruikt voor de doelen waarvoor een langere bewaartermijn noodzakelijk is.

In sommige gevallen maken wij gebruik van geautomatiseerde besluitvorming en maken we een profiel van u op basis van de gegevens die wij van u hebben (profilering). Hieronder leest u daar meer over.

Sluit u direct online (via één van onze merken) een spaarproduct of beleggingsdienst af?
Dan verwerken wij automatisch uw persoonsgegevens om zo bepaalde persoonlijke aspecten te evalueren. Op basis van deze informatie toetsen we automatisch of u voldoet aan onze acceptatiecriteria, wat direct tot geautomatiseerde afwijzing kan leiden. Ook halen we gegevens uit externe bronnen of registers. Wij bekijken dan onder meer of de door u opgegeven gegevens over uzelf juist zijn en of dat u niet extern geregistreerd staat (zoals in Sanctielijsten). Wij toetsen daarbij ook aan fraude-indicatoren en maken op basis van uw gegevens en uit andere (openbare) bronnen en registers een risico-inschatting. Deze risico-inschatting kan gevolgen hebben voor de acceptatie. Daarbij kunnen we gebruikmaken van profilering, waarbij wij bepaalde persoonlijke aspecten van u analyseren, zoals uw voorkeuren, gedrag of financiële situatie. Na het aanvragen van een product kan de acceptatie geautomatiseerd, zonder menselijke tussenkomst, plaatsvinden. Voordat wij besluiten om u geen product aan te bieden, wordt eerst door tenminste één medewerker inhoudelijk een beoordeling gemaakt, waarna de medewerker het daadwerkelijke besluit neemt.

Dient uzelf of via uw adviseur een hypotheekaanvraag bij ons in?
Dan zijn wij verplicht een accurate en actuele inschatting van uw kredietrisico te maken, oftewel een inschatting dat een hypotheek passend voor u is en u een hypotheek (blijvend) kunt (terug)betalen. Dit doen wij op basis van gegevens die wij van u hebben ontvangen en uit externe (openbare) bronnen en registers (zoals het BKR). Op basis van deze informatie proberen we een risico-inschatting te maken. Zodat we kunnen beoordelen of wij u een hypotheek kunnen aanbieden. Hierbij wordt ook gebruikgemaakt van (risico)modellen, die geautomatiseerd een risico-inschatting maken en u een kredietscore toekennen. Daarbij kunnen we gebruikmaken van profilering. De kredietscore is slechts een indicatie voor ons. De uiteindelijke beoordeling of het besluit wordt altijd door tenminste één bevoegde medewerker genomen, zodat er altijd sprake is van menselijke tussenkomst om een verstandig, eerlijk en onbevooroordeeld besluit te nemen. In dit proces is dan ook alleen sprake van profilering en geen sprake van geautomatiseerde besluitvorming. Blijkt op basis van deze beoordeling dat u bijvoorbeeld een hoger risico loopt, dan kunnen we besluiten om u geen hypotheek te verstrekken.

Bent u klant bij ons?
Dan zijn we (net zoals bij de aanvraag van een product) verplicht maatregelen te nemen om fraude en witwassen en financiering van terrorisme te voorkomen. Ook zijn wij wettelijk verplicht om onze klanten goed te kennen en controleren wij regelmatig of de informatie nog actueel is. We willen zeker weten wie onze klanten zijn en ook voorkomen dat onze producten worden misbruikt voor fraude, witwassen of andere illegale activiteiten. Zo monitoren we het betalingsverkeer en aflossingen geautomatiseerd. Voor de effectiviteit maken we hierbij risicoprofielen (profilering) van onze klanten,  die we periodiek onderhouden. Bij een vermoeden van een ongebruikelijke transactie of wanneer uw gegevens mogelijk niet meer up-to-date zijn, kunnen medewerkers contact met u opnemen. In geval van een vermoeden van fraude moeten we dit direct bij de autoriteiten melden. Ook controleren we periodiek of u op een sanctielijst staat. Er worden hierbij nooit automatische besluiten over u genomen.

Wij maken ook gebruik van profilering om onze marketingcommunicatie af te stemmen op uw persoonlijke voorkeuren, gedrag en interacties op onze website. Hiervoor verwerken wij onder andere uw persoonsgegevens, klikgedrag en opgegeven interesses. Wij doen dit op basis van gerechtvaardigd belang om u relevantere aanbiedingen te kunnen doen en onze dienstverlening te verbeteren. U kunt zich altijd uitschrijven voor een marketingboodschap.

Als u een hypotheek bij ons heeft, dan kunnen onze (risico)modellen het risico van uw lening en de kans dat u een betalingsachterstand krijgt, geautomatiseerd inschatten. Daarbij kunnen we gebruikmaken van profilering. Dit doen wij om uw en ons risico zoveel mogelijk vroegtijdig te signaleren en te beperken. Om dit risico zoveel mogelijk te beperken kan een medewerker van Preventief en Bijzonder Beheer dit beoordelen en contact met u opnemen.

Informatieverstrekking bij een geautomatiseerd besluit
Wij informeren u altijd voorafgaand aan een geautomatiseerd besluit. Wanneer u het niet eens bent met een automatisch genomen besluit, dan kunt u hierover altijd navraag doen of in bezwaar gaan. U kunt dan ook naar de redenen vragen en ons verzoeken om een nieuw besluit te nemen. Vanwege veiligheidsredenen kan het betekenen dat we niet alle of geen nadere details kunnen geven over de manier waarop we genoemde onderzoeken uitvoeren.

Voor de bescherming van de belangen van Achmea Bank, haar medewerkers, klanten en ook andere financiële instellingen verwerken we uw persoonsgegevens. Soms zijn dit ook strafrechtelijke gegevens. Deze (persoons)gegevens zijn nodig voor risicobeheersing en het voorkomen en bestrijden van fraude. Daarom houdt Achmea Bank een Gebeurtenissenadministratie bij. De afdeling Veiligheidszaken kan besluiten de persoonsgegevens uit de Gebeurtenissenadministratie in een Intern Verwijzingsregister (IVR) te zetten. Ook andere onderdelen van Achmea kunnen de gegevens in dit IVR raadplegen. 

Wanneer een gebeurtenis voldoet aan de voorwaarden uit het Protocol Incidenten Waarschuwingssysteem Financiële Instellingen (PIFI), zet Achmea Bank de relevante persoonsgegevens in een Incidentenregister (IR), en als het nodig is, een beperkt aantal persoonsgegevens in het Extern Verwijzingsregister (EVR). Ook andere Nederlandse financiële instellingen kunnen het EVR beperkt en onder zeer strikte voorwaarden uit het PIFI-protocol, raadplegen.

Door uw gegevens in deze registers te zetten, kunnen wij en soms ook andere Achmea onderdelen of andere Nederlandse financiële instellingen onder andere controleren of u ooit fraudeerde of dit heeft geprobeerd. 

U krijgt een bericht als uw gegevens in een van de registers wordt gezet. Dit gebeurt in de meeste gevallen voordat uw gegevens in de registers komen, tenzij openbaarmaking het onderzoek schaadt. In dat geval krijgt u na afloop van het onderzoek bericht dat wij doorgaan met uw registratie in het IVR, IR of EVR.

Achmea Bank heeft voor de verwerking van strafrechtelijke persoonsgegevens in het kader van het PIFI-protocol een vergunning van de Autoriteit Persoonsgegevens ontvangen.

Achmea Bank kan gebruikmaken van AI (kunstmatige intelligentie). Hierbij kunnen ook persoonsgegevens verwerkt worden. Dit gebeurt alleen wanneer dit noodzakelijk en ethisch verantwoord is en voldoet aan het Achmea AI-beleid. Bijvoorbeeld in processen om medewerkers te ondersteunen tijdens werkzaamheden of om documenten in te scannen. Zo kan met behulp van AI herkend worden of documenten voldoen aan de vereisten, waardoor de inhoud van het document door AI ‘gelezen’ kan worden. Tot slot kunnen we dit ook toepassen bij onze (risico)modellen en klantonderzoeken.

Sinds 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). U heeft hiermee rechten gekregen om controle te houden over uw persoonsgegevens. Het AVG-loket is een Achmea breed initiatief. Hier kunt u een vraag of verzoek rondom privacy indienen. Het loket behandelt vervolgens uw vraag. En neemt daarover contact met u op. Hieronder leest u wat uw rechten zijn.

Wanneer wij uw persoonsgegevens verwerken, dan willen wij transparant met uw persoonsgegevens omgaan. Hiervoor kunt u gebruikmaken van uw wettelijke rechten. U mag:

• uw persoonsgegevens bij ons opvragen of inzien.
• Zodat u uw persoonsgegevens kunt controleren.
• uw persoonsgegevens laten wijzigen als die niet kloppen.
• Zodat u ons kunt vragen om uw persoonsgegevens te laten wijzigen of aanvullen, wanneer deze onjuist of onvolledig zijn.
• uw persoonsgegevens laten verwijderen.
• Het komt vaak voor dat wij uw persoonsgegevens niet kunnen verwijderen. Bijvoorbeeld omdat wij uw persoonsgegevens nog nodig hebben. Of om ons aan een wet te houden.
• bezwaar maken tegen bepaald gebruik van uw persoonsgegevens.
• Als u bijvoorbeeld geen e-mails met aanbiedingen meer van ons wilt ontvangen. In onze e-mails staat een link waarmee u zich kunt afmelden. U mag ook bellen.
• Of wanneer u niet wilt dat wij uw persoonsgegevens doorgeven aan SurePay ten behoeve van de IBAN Naam Check. Die doen wij zodat u bij het overboeken naar uw spaarrekening kunt controleren of u het juiste rekeningnummer heeft ingevoerd.
• In alle gevallen geeft u duidelijk aan waarom u bezwaar maakt, zodat wij dit kunnen beoordelen.
• uw toestemming intrekken of afmelden.
• Gaf u ons toestemming om uw persoonsgegevens te gebruiken? Bijvoorbeeld voor persoonlijke aanbiedingen of nieuwsbrieven. Dan mag u uw toestemming later weer intrekken. Wij gebruiken uw persoonsgegevens vanaf dat moment niet meer. Voor het uitschrijven van de nieuwsbrief gebruikt u de link onderaan de nieuwsbrief. U zult dan geen nieuwsbrief meer ontvangen.
• uw persoonsgegevens overdragen.
Wanneer u persoonsgegevens aan ons heeft gegeven op basis van onze overeenkomst of met uw toestemming. Overdragen kan aan een andere partij of aan uzelf.
• het gebruik van uw persoonsgegevens tijdelijk beperken.
• Bijvoorbeeld als u bezwaar heeft gemaakt tegen gebruik van uw persoonsgegevens. Dit zullen wij altijd inhoudelijk beoordelen.

We kunnen niet altijd meewerken aan uw verzoek of als we meer informatie nodig hebben om aan uw verzoek te kunnen voldoen, dan nemen we contact met u op.

Stuur dan alstublieft een e-mail of een brief. Om ervoor te zorgen dat we de gegevens van de juiste persoon gebruiken en misbruik te voorkomen, moeten we de identiteit kunnen vaststellen van degene die gebruik wil maken van zijn of haar rechten. Dit kunnen we doen met klant- of contractnummers, geboortedatum, of naam-, adres-, woonplaatsgegevens. Geef deze gegevens door wanneer u van uw rechten gebruik wilt maken. In sommige gevallen, bijvoorbeeld wanneer de identiteit niet vastgesteld kan worden aan de hand van de gegevens die we hebben, kunnen we vragen om een kopie van uw paspoort of identiteitskaart. Dit kunnen we ook vragen wanneer het gaat om zeer gevoelige gegevens, zoals over uw gezondheid. Wanneer we vragen om een kopie van uw paspoort of identiteitskaart, wilt u dan uw pasfoto, Burgerservicenummer (BSN) en ook de cijferreeks onderaan het paspoort of identiteitskaart alstublieft onleesbaar maken? U kunt hiervoor de KopieID-app van de Rijksoverheid gebruiken.

Wij reageren binnen één maand na ontvangst van uw e-mail of brief. In sommige gevallen kunnen wij u vragen om uw verzoek verder te preciseren of kunnen wij onze reactie termijn verlengen naar maximaal drie maanden. 

U kunt veel van uw gegevens bekijken of veranderen via uw persoonlijke online klantomgeving van het betreffende merk.

Stuur een e-mail naar: avgloket@achmea.nl
Gebruikt u e-mail, doe dat dan op een veilige manier.

U kunt ook een brief sturen naar:
Achmea B.V.
T.a.v. AVG-Loket
Postbus 9150
7300 HZ Apeldoorn 

Stuur een e-mail naar de Functionaris Gegevensbescherming van Achmea: privacymanager@achmea.nl

U kunt ook een brief sturen naar:
Achmea B.V.
Compliance & Operational Risk Management
T.a.v. Privacy Manager
Postbus 866
3700 AW Zeist

Leg uw klacht dan voor aan de Autoriteit Persoonsgegevens.

Het gaat dan onder andere om:

• De Algemene Verordening Gegevensbescherming (AVG).
• De Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).
• De Telecommunicatiewet (Tw).
• Het Protocol Incidenten Waarschuwingssysteem Financiële Instellingen.
• Gedragscode Persoonlijk Onderzoek.

Voortdurend zijn wij op zoek naar een betere dienstverlening die wij zoveel als mogelijk op uw persoonlijke wensen proberen af te stemmen. Daarvoor zijn nieuwe of aangepaste verwerkingen soms noodzakelijk. Maar ook als wij nieuwe producten ontwikkelen. Ook is de (privacy)wet- en regelgeving voortdurend in beweging. Dan kunnen wij ons privacy statement aanpassen. 

Deze laatste versie is van 9 januari 2026. Op onze website vindt u altijd de laatste versie. Wij raden u aan om dit privacy statement bij een bezoek aan onze website regelmatig opnieuw te bekijken.

U kunt ook een schriftelijk exemplaar opvragen door een e-mailbericht te sturen naar: privacymanager@achmea.nl