Beveiliging 6.1. Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
6.2. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
6.3. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.
De beoordeling Welke vraag moet de commissie beantwoorden?
3.1 Alhoewel het partijdebat zich met name heeft toegespitst op de externe registraties, vat de commissie de klacht van de consument ook zo op dat zij ook de vraag moet beantwoorden of de verzekeraar de persoonsgegevens van de consument in de interne registers mocht registreren.1 Daarmee hangt ook samen de vraag of de verzekeraar de verschillende verzekeringen mocht beëindigen en daarvan melding mocht maken in de verschillende registers.
3.2 De commissie is van oordeel dat de verzekeraar de persoonsgegevens van de consument ten onrechte in de verschillende registers heeft opgenomen. Dat betekent dat de verzekeraar de registraties uit de registers moet verwijderen. Het oordeel van de commissie zal hierna worden toegelicht. Eerst zal het juridisch kader worden geschetst waarna de zaak aan de hand van dit toetsingskader zal worden beoordeeld.
3.3 Omdat deze registraties grote gevolgen hebben voor consumenten, is de commissie van oordeel dat verzekeraars niet zonder goede reden persoonsgegevens mogen opnemen in de genoemde registers. Er worden dan ook terecht hoge eisen gesteld aan die reden(en). De eisen voor registratie in het Incidentenregister en het EVR zijn opgenomen in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen 2021 (hierna: ‘het Protocol’, zie bijlage).
3.4 Artikel 5.2.1 van het Protocol bepaalt onder welke voorwaarden persoonsgegevens mogen worden opgenomen in het EVR. Vereist is dat er een zwaardere verdenking tegen de consument bestaat dan alleen maar een redelijk vermoeden van schuld aan de fraude, in die zin dat de te verwerken strafrechtelijke persoonsgegevens in voldoende mate moeten vaststaan. Een strafrechtelijke veroordeling van de betrokkene is niet vereist.2 Het uitgangspunt is dat de verzekeraar moet kunnen aantonen dat in voldoende mate vaststaat dat de gedraging van de consument de kwalificatie strafbaar feit kan dragen. Dit betekent dat alleen een verdenking van fraude niet genoeg is, hier moet ook enig bewijs voor zijn. De verzekeraar moet dus goede redenen hebben de gegevens te registreren en hij moet dat ook voldoende kunnen onderbouwen. Het is aan de verzekeraar te bewijzen dat hiervan sprake is.
1 Er is bij het invullen van het klachtformulier immers geen sprake van ‘het formuleren van een vordering’. Door het indienen van dat formulier wordt een klacht in volle omvang aan de Geschillencommissie voorgelegd, zie HR 17 november 1995, NJ 0000/000 (Xxxxx/Xxxxx) en art. 47 lid 2 onder h van het reglement. 2 Zie Hoge Raad 29 mei 2009, ECLI:NL:HR:2009:BH4720, overweging 4.4 (te vinden op xxx.xxxxxxxxxxx.xx).
3.5 De verzekeraar stelt zich op het standpunt dat de consument hem opzettelijk heeft misleid door te proberen een dubbele uitkering te verkrijgen voor het verlies van één en dezelfde verlovingsring, terwijl hij daar geen recht op had. De consument heeft een uitvoerige verklaring gegeven, zoals weergegeven bij de nummers 2.5 t/m 2.12, voor de door de verzekeraar geconstateerde merkwaardigheden. De consument ontkent dat hij betrokken is geweest bij het indienen van de claim bij de reisverzekeraar.
3.6 De verzekeraar is er op basis van de aangevoerde argumenten niet in geslaagd de commissie ervan te overtuigen dat de consument heeft geprobeerd ter zake de verlovingsring een dubbele uitkering te krijgen. De commissie is van oordeel dat de verzekeraar onvoldoende naar voren heeft gebracht om vast te kunnen stellen dat de consument wist dat zijn verloofde al een claim bij de reisverzekeraar had ingediend. Evenmin is vast komen te staan dat de consument zelf de claim bij de reisverzekeraar heeft ingediend. In het licht van de consistente verklaringen van de consument, met name daar waar het gezamenlijke gebruik van de computer en de periode van ziekte en rouw betreft, acht de commissie niet in voldoende mate vaststaan dat de consument betrokken was bij of wetenschap had van de eerdere claim. De commissie neemt daarbij mee dat de consument ook ter zitting desgevraagd het een en ander op een consistente wijze heeft opgehelderd, niet is gebleken dat de consument tegenstrijdig heeft verklaard en niet valt uit te sluiten dat het is gegaan zoals de consument heeft verklaard.
3.7 Dat de consument in eerste instantie stellig heeft verklaard dat hij aan het sterfbed van zijn vader de verlovingsring had gezien, maakt het voorgaande niet anders. Gelet op de situatie waarin de consument zich destijds bevond, is het denkbaar dat hij ook daadwerkelijk in die veronderstelling verkeerde. De commissie kan zich voorts voorstellen dat de houding van de verzekeraar in deze kwestie voor de consument reden is geweest om zijn verloofde geen verklaring te laten afleggen. Niet weersproken is dat dit ook het advies is geweest van zijn rechtsbijstandsverzekeraar. Daarbij acht de commissie van belang dat de consument ter zitting heeft aangegeven bereid te zijn om erover na te denken zijn verloofde alsnog een verklaring te laten afleggen.
3.8 De verzekeraar stelt zich tot slot op het standpunt dat de consument bij e-mail van 14 januari 2022 heeft erkend dat hij heeft gefraudeerd. Gelet op de context waarin voornoemde e-mail door de consument is verstuurd, is de commissie echter van oordeel dat hierin geen erkenning van de consument besloten ligt.
3.9 De commissie is dan ook van oordeel dat niet is vast komen te staan dat de consument heeft gefraudeerd. Dit brengt mee dat niet is voldaan aan de vereisten die het Protocol stelt om tot registratie in het EVR over te gaan. De verzekeraar is dan ook onterecht overgegaan tot het registreren van de persoonsgegevens van de consument in het EVR en dient die registratie te verwijderen.
3.10 Vervolgens is de vraag aan de orde of de registratie in het Incidentenregister wel mag worden gehandhaafd. De commissie oordeelt dat ook de registratie in het Incidenten- register moet worden doorgehaald. Er is niet langer voldaan aan artikel 3.1.1 van het Protocol. Nu niet is vast komen te staan dat de consument heeft gefraudeerd, zijn de geregistreerde gegevens niet langer ter zake dienend. De registratie draagt niet langer bij aan het onderkennen, voorkomen, onderzoeken en bestrijden van strafbare gedragingen, en ook niet kan worden gezegd dat de registratie anderszins nog kan bijdragen aan de in artikel 4.1.1 Protocol omschreven doelen.
3.11 Op grond van artikel 4.2.3 van het Protocol worden de gegevens in het Incidenten- register uitgewisseld met functionarissen werkzaam bij de daartoe ingerichte coördinatiefuncties van het Verbond van Verzekeraars, te weten het fraudeloket. Dit is het CBV. Gelet op hetgeen hiervoor is overwogen dient de verzekeraar de melding van de incidentenregistratie aan het CBV in te trekken.
Totstandkoming, bevestiging en beveiliging Een overeenkomst komt tot stand op het moment van aanbod en aanvaarding. (Daarmee wordt bedoeld dat de ene partij iets voor een bepaalde prijs aanbiedt ("deze laptop kost € 350,00") en de ander daar ja tegen zegt.) Een bestelling wordt geplaatst (het aanbod wordt aanvaard) als u het bestelproces doorloopt en uiteindelijk door de definitieve bestelknop te activeren de bestelling plaatst. Zodra u een bestelling heeft geplaatst, krijgt u van ons een bevestiging. Dit kan per e-mail, sms of op een andere manier zijn. Zolang dit niet is gebeurd, kunt u nog afzien van de koop door de overeenkomst te ontbinden. Als u via internet bestelt, zorgen wij voor beveiliging van de uitgewisselde data en voor een veilige webomgeving.
Privacy, gegevensverwerking en beveiliging 5.1 Indien leverancier dit van belang acht voor de uitvoering van de overeenkomst, zal cliënt leverancier desgevraagd onverwijld schriftelijk informeren over de wijze waarop cliënt uitvoering geeft aan zijn verplichtingen op grond van wetgeving op het gebied van de bescherming van persoonsgegevens.
5.2 Cliënt vrijwaart leverancier voor aanspraken van personen van wie persoonsgegevens zijn geregistreerd of worden verwerkt in het kader van een persoonsregistratie die door cliënt wordt gehouden of waarvoor cliënt op grond van de wet anderszins verantwoordelijk is, tenzij cliënt bewijst dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan leverancier toegerekend moeten worden.
5.3 De verantwoordelijkheid voor de gegevens die met gebruikmaking van een door leverancier verleende dienst worden verwerkt, ligt uitsluitend bij cliënt. Cliënt staat er jegens leverancier voor in dat de inhoud, het gebruik en/of de verwerking van de gegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde. Cliënt vrijwaart leverancier tegen elke rechtsvordering van derden, uit welke hoofde dan ook, in verband met deze gegevens of de uitvoering van de overeenkomst.
5.4 Indien leverancier op grond van de overeenkomst gehouden is tot het voorzien in een vorm van informatiebeveiliging, zal die beveiliging beantwoorden aan de specificaties betreffende beveiliging zoals tussen partijen schriftelijk overeengekomen. Leverancier staat er nimmer voor in dat de informatiebeveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de overeenkomst ontbreekt, zal de beveiliging voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de gegevens en de aan het treffen van de beveiliging verbonden kosten niet onredelijk is.
5.5 Indien bij de uitvoering van de overeenkomst of anderszins gebruik wordt gemaakt van computer-, data- of telecommunicatiefaciliteiten is leverancier gerechtigd cliënt toegangs- of identificatiecodes toe te wijzen. Leverancier is gerechtigd toegewezen toegangs- of identificatiecodes te wijzigen. Cliënt behandelt de toegangs- en identificatiecodes vertrouwelijk en met zorg en maakt deze slechts aan geautoriseerde personeelsleden kenbaar. Leverancier is nimmer aansprakelijk voor schade of kosten die het gevolg zijn van gebruik of misbruik dat van toegangs- of identificatiecodes wordt gemaakt, tenzij het misbruik mogelijk is geweest als rechtstreeks gevolg van een handelen of nalaten van leverancier.
Opdrachtbevestiging a. Nadat door de aannemer de inhoud van de overeenkomst is bevestigd door toezending aan de opdrachtgever van de opdrachtbevestiging plus het werkprogramma, mag de aannemer er van uitgaan, dat de opdrachtgever zich met opdrachtbevestiging en werkprogramma volledig akkoord heeft verklaard, tenzij de opdrachtgever binnen 8 dagen na ontvangst van de opdrachtbevestiging en het werkprogramma de aannemer middels aangetekend schrijven van het tegendeel bericht.
b. Uitsluitend de voorwaarden, gesteld op de opdrachtbevestiging en het daarbij behorende werkprogramma, zijn bepalend voor de inhoud van de tussen partijen geldende overeenkomst.
c. Bij eenmalige werkzaamheden wordt de opdrachtgever geacht met de opdrachtbevestiging en het werkprogramma te zijn akkoord gegaan, doordat hij deze heeft ondertekend, of doordat hij heeft toegestaan dat met de uitvoering der werkzaamheden wordt begonnen.
Beveiligingsmaatregelen 6.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treft Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De beveiligingsmaatregelen die thans zijn genomen, zijn in Annex 2 bepaald.
6.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
6.3 De Gegevens worden uitsluitend opgeslagen en verwerkt binnen de Europese Economische Ruimte.
Prijswijziging Indien tijdens de duur van de Overeenkomst kostprijsverhogende wijzigingen optreden waaronder tenminste te beschouwen verhogingen ten gevolge van wijzigingen in de lonen en andere arbeidsvoorwaarden, toeslagen op de lonen en andere CAO-kosten of premieverhoging, premieverhogingen voor de sociale wetten, verhoging van onkostenvergoedingen, alsmede stijgingen van directe en indirecte (externe) kosten, is opdrachtnemer gerechtigd de met opdrachtgever overeengekomen prijs tussentijds te verhogen, met inachtneming van in dit verband door de overheid gestelde en nog te stellen regels. Deze bevoegdheid ontstaat eerst nadat drie maanden zijn verstreken sedert het tijdstip waarop opdrachtnemer en opdrachtgever de Overeenkomst hebben gesloten.
Wijziging De Reiziger die de Reis heeft geboekt kan de Organisator Schriftelijk verzoeken de Overeenkomst te wijzigen. De Organisator is hier niet toe gehouden. De Organisator stelt de Reiziger op de hoogte van de nieuwe reissom. Indien de Reiziger akkoord gaat met de kosten van de wijziging zijn de nieuwe reissom en wijzigingskosten verschuldigd. Indien de nieuwe reissom lager uitvalt dan de oorspronkelijke reissom, wordt het verschil verrekend met de verschuldigde wijzigingskosten.
Wetswijziging Verzekeraars hebben het recht, indien gedurende de geldigheidsduur van de verzekering het aansprakelijkheidsrisico wordt of zal worden verzwaard door wetgeving in formele of materiële zin, de verzekering te herzien met ingang van een door verzekeraars te bepalen datum, met inachtneming van een termijn van ten minste twee (2) maanden. De verzekeringnemer heeft het recht de herziening van de overeenkomst te weigeren binnen dertig (30) dagen nadat hem daarvan mededeling is gedaan.
Overige bepalingen met betrekking tot Werken 39.1. Er kan van Opdrachtnemer een direct opeisbare (‘on demand’-) bankgarantie worden verlangd. Het bedrag van de bankgarantie alsmede de modeltekst daarvan zullen in de overeenkomst worden geregeld.
39.2. Onverminderd de aansprakelijkheid in artikel 14 van deze Inkoopvoorwaarden en onverminderd de aansprakelijkheid van de bij het Werk betrokken partijen, sluit de Opdrachtnemer een Construction All Risks (CAR)-verzekering af voor het Werk of zorgt Opdrachtnemer ervoor dat het Werk onder zijn doorlopende CAR-verzekering wordt gedekt. Op verzoek verstrekt Opdrachtnemer een kopie van de polis aan Opdrachtgever. Indien het Werk wordt uitgevoerd door meerdere nevenaannemers dient het afsluiten van de CAR-verzekering door Opdrachtnemer in goed overleg tezamen met de betrokken nevenaannemers te geschieden, maar onder verantwoordelijkheid van Opdrachtnemer.
39.3. Opdrachtnemer zal bij de uitvoering van de Overeenkomst de voor hem als werkgever geldende wettelijke bepalingen (ketenaansprakelijkheid, Arbeidsomstandighedenwet, Wet Arbeid Vreemdelingen et cetera), XXX’x en andere op hem als werkgever rustende verplichtingen nakomen, zoals de aanpak van schijnconstructies. Opdrachtnemer vrijwaart Opdrachtgever voor aanspraken van derden ten gevolge van het niet nakomen door Opdrachtnemer van voornoemde verplichtingen.
39.4. Opdrachtnemer staat er jegens Opdrachtgever voor in dat bij de uitvoering van de Overeenkomst door Opdrachtnemer of door hem ingeschakelde derden slechts arbeidskrachten in worden gezet die bevoegd zijn de uit de Overeenkomst voortvloeiende werkzaamheden te verrichten, ten aanzien waarvan sociale premies en loonbelasting stipt zijn voldaan en waarvan de identiteit door Opdrachtgever kan worden vastgesteld. Onverminderd zijn aansprakelijkheid verplicht Opdrachtnemer zich jegens Opdrachtgever om voorafgaand aan de aanvang van de werkzaamheden, zulks naar het oordeel van Opdrachtgever, voldoende bescheiden c.q. bewijsmiddelen aan Opdrachtgever te overleggen, waaruit voornoemde bevoegdheid, voldoening en identiteit blijken. Opdrachtnemer vrijwaart Opdrachtgever voor aanspraken van derden ten gevolge van het niet nakomen door Opdrachtnemer van voornoemde verplichtingen.
