Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2021-0747
Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2021-0747
(mr. F.H.E. Xxxxxx, voorzitter, X. xxx Xxxxxx-Xxxxxxxx, mr. dr. M.D.H. Nelemans, leden en mr. F.M.M.L. Fleskens, secretaris)
Klacht ontvangen op : 20 oktober 2020 Ingediend door : De consument
Tegen : ASR Schadeverzekering N.V., gevestigd te Utrecht, verder te noemen ‘verzekeraar’ Datum uitspraak : 20 augustus 0000
Xxxx uitspraak : Niet-bindend advies
Uitkomst : Vordering afgewezen
Bijlage : Relevante bepalingen uit de verzekeringsvoorwaarden, het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 en de Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018
Samenvatting
WAM-verzekering. EVR-registratie. In een kort geding is een advocaat als contactpersoon namens de verzekeraar aangesteld, omdat de consument zich onder ander beledigend en bedreigend tegen de medewerkers van de verzekeraar gedroeg. Vervolgens heeft de consument twee doods- bedreigingen tegen de advocaat geuit. Hierop heeft de verzekeraar de persoonsgegevens van de consument zowel intern als extern geregistreerd. De commissie is van oordeel dat het gedrag van de consument de interne en externe registraties van zijn persoonsgegevens rechtvaardigt.
Vordering afgewezen.
1. De procedure
1.1 De commissie beslist op basis van haar reglement en op basis van de door partijen aan Kifid ingestuurde documenten inclusief bijlagen. Het gaat om: 1) de klachtbrief van de consument;
2) het verweerschrift van de verzekeraar; 3) de repliek van de consument; 4) de dupliek van de verzekeraar; 5) het aanvullende bericht van de consument en 6) de aanvullende stukken van de verzekeraar die de commissie ter zitting heeft opgevraagd.
1.2 Partijen zijn opgeroepen voor een digitale hoorzitting op 21 juni 2021. De consument nam telefonisch deel aan de hoorzitting. De verzekeraar werd vertegenwoordigd door
[naam advocaat], advocaat.
1.3 De consument heeft gekozen voor een niet-bindend advies. Dit betekent dat partijen elkaar niet aan de uitspraak kunnen houden.
2. Het geschil
Wat is er gebeurd?
2.1 De consument is betrokken geweest bij meerdere verkeersongevallen. De verzekeraar treedt in één of meerdere van die zaken als de verzekeraar van de tegenpartij op.
2.2 De voorzieningenrechter van de rechtbank Rotterdam heeft op 18 april 2018 vonnis gewezen in een kort geding tegen de consument, die door de verzekeraar en twee andere verzekeraars (hierna ‘de verzekeraars’) was aangespannen. De voorzieningenrechter heeft kort samengevat geoordeeld dat het handelen van de consument tegen de verzekeraars onrechtmatig was doordat hij veelvuldig contact opnam met hun medewerkers en hen doelbewust beledigde, beschuldigde en bedreigde, terwijl hij zich er bewust van was dat zijn manier van handelen diep ingreep op de persoonlijke en professionele integriteit van de medewerkers van de verzekeraars. De voorzieningenrechter heeft de consument daarom voor de duur van twee jaar verboden om op welke manier dan ook contact op te nemen met (medewerkers van) de verzekeraars met uitzondering van een door de verzekeraars aangewezen contactpersoon, een advocaat. Ook mag de consument zich, al dan niet publiekelijk, gedurende twee jaar op geen enkele beschadigende wijze jegens (medewerkers van) de verzekeraars uiten. Hieronder vallen onder andere bedreigingen, ongefundeerde verdachtmakingen, beledigingen en dreigementen.
2.3 De verzekeraars hebben de heer mr. [naam advocaat] (hierna ‘de advocaat’) aangewezen als hun vertegenwoordiger in de procedures met de consument.
2.4 Medio 2019 heeft mevrouw [naam] (hierna ‘mevrouw A’), bijgestaan door de consument, bij de Raad van Discipline een klacht ingediend tegen de advocaat. Nadat de klacht ongegrond werd verklaard is mevrouw A hiertegen in verzet gekomen. De behandeling van het verzet heeft op 4 november 2019 plaatsgevonden en hiervan is proces-verbaal opgemaakt. Het proces-verbaal vermeldt – voor zover van belang – het volgende:
“(…)
GEMACHTIGDE KLAAGSTER
Het is nogal wat dat klaagster in elke zaak opnieuw beschadigd wordt.
Ze hadden die advocaat van onlangs niet dood moeten schieten, maar verweerder.
VOORZITTER
U gaat hiermee echt een grens over. Ik stel u in de gelegenheid uw woorden terug te nemen.
GEMACHTIGDE KLAAGSTER
Ik neem mijn woorden niet terug. Ik beroep mij op mijn vrijheid van meningsuiting.
VOORZITTER
Dat recht is niet onbeperkt en ik sta niet tot dat u dergelijke bewoordingen hier gebruikt.
GEMACHTIGDE KLAAGSTER
(terwijl hij opstaat en wegloopt) Als verweerder zo door gaat dan is hij de volgende die wordt neergeschoten.
(…)”
2.5 Naar aanleiding van wat de consument bij de Raad van Discipline heeft gezegd, heeft de advocaat op 26 november 2019 bij de politie aangifte van bedreiging gedaan. Hiervan is een proces-verbaal opgemaakt. Vervolgens heeft de politie de consument vanwege de bedreiging aangehouden. Hierna heeft de advocaat een aanvullende aangifte van bedreiging gedaan waarvan eveneens een proces-verbaal is opgetekend. De consument had namelijk bij zijn aanhouding tegen de politie gezegd: “als ik in Amsterdam word los gelaten haal ik benzine, giet deze over advocaat [naam van het bedrijf waar de advocaat werkt] heen en steek hem in brand”.
2.6 Bij brief van 4 december 2019 heeft de verzekeraar aan de consument meegedeeld dat de bedreiging die hij bij de Raad van Raad van Discipline tegen de advocaat heeft geuit een bedreiging tegen verzekeraar vormt, omdat de advocaat als contactpersoon is aangesteld. De verzekeraar heeft daarom de persoonsgegevens van de consument in het Incidentenregister en het Extern Verwijzingsregister (EVR) geregistreerd voor de duur van acht jaar. Daarnaast heeft de verzekeraar de incidentenregistratie bij het Centrum Bestrijding Verzekerings- criminaliteit (CBV) gemeld.
2.7 De consument is zowel in eerste instantie (op 13 juli 2020) als in hoger beroep (op 16 maart 2021) strafrechtelijk veroordeeld voor de bedreiging(en) van de advocaat.
De klacht en vordering
2.8 De consument vindt dat de door de verzekeraar genomen maatregelen buitenproportioneel zijn en vordert van hem dat hij de registraties ongedaan maakt. Daarnaast vordert hij een schadevergoeding van € 1.000.000,00 vanwege de criminele praktijken van de verzekeraar. De consument heeft kort en bondig weergegeven de volgende argumenten aangevoerd.
2.9 De consument heeft nooit iemand (ernstig) bedreigd en dus ook de advocaat niet. Dat de consument de advocaat niet heeft bedreigd blijkt uit de omstandigheid dat de advocaat de consument op zijn kantoor heeft uitgenodigd. Daarnaast heeft de advocaat de consument ook nog na een ongeval dat in maart 2021 heeft plaatsgevonden aangeschreven. Dit zou de advocaat niet hebben gedaan als hij zich bedreigd voelde.
2.10 De advocaat maakt geen onderdeel uit van de verzekeraar en hij behoort ook niet tot het personeelsbestand van de verzekeraar. De advocaat is niet aangesteld als contactpersoon en daartoe is ook geen enkele reden. De verzekeraar is slechts de cliënt van de advocaat. De registraties kunnen daarom niet in stand blijven. Daarnaast heeft de verzekeraar geen schade uitgekeerd en derhalve is er geen sprake van een financieel aspect. Ook vanwege deze reden dienen de registraties te worden verwijderd.
2.11 De verzekeraar is bezig met georganiseerde misdaad. Dit blijkt uit alle onwaarheden die de advocaat over eerdere ongevallen van de consument beweert. De advocaat fraudeert. Ook heeft de advocaat samen met de verzekeraar geprobeerd om mevrouw A en mevrouw [naam] (hierna ‘mevrouw B’) door smaad en laster kapot te maken. De consument heeft hier bewijs van.
De verweren
2.12 De verzekeraar heeft de volgende verweren gevoerd.
2.13 Verzekeraars, waaronder de verzekeraar, hebben al jaren problemen met de consument. Vanaf 2012 heeft hij met grote regelmaat verzekerden van vele verzekeringsmaatschappijen aansprakelijk gesteld voor schades die zij in het verkeer zouden hebben veroorzaakt. De verzekerden gaven steeds expliciet aan dat de consument de betreffende aanrijdingen zelf had veroorzaakt, dan wel had geënsceneerd. De consument opereerde meestal op dezelfde wijze waarbij hij onder andere de verzekeraar, al dan niet onder valse naam, veelvuldig bestookte met brieven, e-mails en telefoonoproepen. Soms belde hij tientallen malen per dag. De inhoud van de gesprekken en de correspondentie was vaak langdurig en de strekking meestal intimiderend en bedreigend. Ook diende de consument veelvuldig klachten in tegen medisch adviseurs, schadebehandelaren, onderzoekers en advocaten. Daarnaast heeft hij diverse websites online gezet om de verzekeraar en de met hem samenwerkende organisaties onder druk te zetten door hen publiekelijk zwart te maken.
2.14 Om de medewerkers van de verzekeraar te beschermen tegen de vele bedreigingen en intimidaties heeft de verzekeraar samen met twee andere verzekeraars er op enig moment voor gekozen om een vaste externe contactpersoon aan te wijzen. Dat is de advocaat. De advocaat is derhalve als verlengde arm van de verzekeraars te beschouwen. Dit is in overeenstemming met een tweetal kort geding uitspraken, waaronder die van 18 april 2018. In beide zaken is bepaald dat de consument voor verzekeraars uitsluitend contact mag hebben met de advocaat om de medewerkers van de verzekeraars uit de wind te houden. Een bedreiging tegen de advocaat wordt hierdoor door de verzekeraar als een bedreiging jegens de verzekeraar beschouwd. Het gedrag van de consument is een bedreiging voor de belangen en de integriteit van de verzekeraar.
2.15 De door de consument niet betwiste bedreigingen van het personeel van de verzekeraar zouden al lang voldoende aanleiding zijn geweest voor de interne en externe registraties. De consument heeft de advocaat met de dood bedreigd en daarbij gerefereerd aan de brute moord op advocaat Xxxx Xxxxxxx. De ernstige bedreiging van de advocaat heeft de verzekeraar doen besluiten om tot registratie over te gaan en dit is de reden dat de verzekeraar de persoonsgegevens van de consument voor de duur van acht jaar intern (Gebeurtenissenadministratie en Intern Verwijzingsregister (IVR)) en extern (Incidenten- register en EVR) heeft geregistreerd. De consument is tweemaal strafrechtelijk veroordeeld voor bedreiging van de advocaat. Hij mag gedurende twee jaar geen contact opnemen met de advocaat of binnen een straal van 500 meter van het kantoor van de advocaat komen. Per overtreding krijgt de consument twee weken gevangenisstraf. Ook heeft hij 80 uur taakstraf gekregen. De consument heeft zowel de bedreiging als de strafrechtelijk veroordeling niet betwist. Ten tijde van de bedreigingen trad de advocaat op als de contactpersoon van de verzekeraar en dat doet hij nu nog steeds. De consument suggereert dat de advocaat zich niet bedreigd heeft gevoeld door hem nadien nog op kantoor uit te nodigen. Dit is niet juist. De advocaat heeft de consument vóór de bedreigingen op kantoor uitgenodigd om verdere escalatie te voorkomen. Daarna is dit niet meer gebeurd.
2.16 De interne en externe registraties van de persoonsgegevens van de consument zijn proportioneel omdat de doodsbedreiging van de advocaat door de consument niet algemeen was, maar een specifieke en gerichte verwijzing naar een brute moord op een andere advocaat, namelijk Xxxx Xxxxxxx. Daarbij is het van belang dat de voorzitter van de Raad van Discipline de consument ter zitting de kans gaf zijn woorden terug te nemen. Dit deed hij niet. De registraties doen recht aan de ernst van de situatie en eerder door de consument geuite bedreigingen tegen medisch adviseurs, onderzoekers, schadebehandelaren en ingeschakelde advocaten. De gedragingen van de consument vormen een bedreiging voor de (financiële) belangen van cliënten en/of medewerkers van financiële instellingen. Gelet op het dreigende en agressieve gedrag, prevaleren de belangen van financiële instellingen boven die van de consument. Financiële instellingen moeten tegen (het gedrag van) de consument worden beschermd.
2.17 Wederom uit de consument stevige beschuldigingen aan het adres van de verzekeraars. Deze beschuldigingen zijn niet onderbouwd, ongefundeerd, onbehoorlijk en onrechtmatig. De consument doet dit al vele jaren.
3. De beoordeling
Inleiding
3.1 De commissie moet beoordelen of de verzekeraar de persoonsgegevens van de consument in het EVR, het Incidentenregister, het IVR en de Gebeurtenissenadministratie mocht registreren en of hij van de incidentenregistratie melding mocht maken aan het CBV. Daarnaast zal de commissie een beslissing nemen over de vordering van de consument. Hij vindt dat de verzekeraar een bedrag aan hem moet vergoeden vanwege criminele praktijken van de verzekeraar. De consument stelt dat hij hierdoor voor een bedrag van
€ 1.000.000,00 schade lijdt.
Heeft de verzekeraar de persoonsgegevens op juiste gronden geregistreerd?
3.2 Allereerst bespreekt de commissie de registratie in het EVR door te beginnen met het uiteenzetten van het juridisch kader.
XXX - xxxxxxxxx xxxxx
3.3 Artikel 5.2.1 van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 (het ‘Protocol’) (zie bijlage) bepaalt onder welke voorwaarden persoonsgegevens mogen worden opgenomen in het EVR. In voldoende mate moet vaststaan dat de gedraging van de betreffende persoon een bedreiging voor de continuïteit en integriteit van de financiële sector vormt. Uit een uitspraak van de Hoge Raad volgt dat voor het registreren van persoonsgegevens op grond van artikel 5.2.1 onder a en b, vereist is dat sprake is van een zwaardere verdenking dan een redelijk vermoeden van schuld ten aanzien van de te verwerken strafrechtelijke persoonsgegevens.1 Ten slotte moet het proportionaliteitsbeginsel in acht worden genomen.2 Vastgesteld moet worden dat en waarom het belang van opname in het EVR prevaleert boven de mogelijk nadelige gevolgen daarvan voor de betreffende persoon.
EVR – zwaardere verdenking
3.4 De commissie is het met de verzekeraar eens dat de doodsbedreigingen die de consument jegens de advocaat heeft geuit, de registratie in het EVR rechtvaardigden. Dat de consument de advocaat tot tweemaal toe met de dood heeft bedreigd staat in voldoende mate vast, omdat deze bedreigingen in het bijzijn van de Raad van Discipline en de politie zijn geuit en deze instanties hier proces-verbaal van hebben opgemaakt. De consument heeft ook niet betwist dat hij de betreffende bedreigingen heeft geuit. Hij stelt enkel in het algemeen dat hij nooit iemand heeft bedreigd. Gezien voornoemde processen-verbaal kan de commissie de consument in deze stelling niet volgen. Daarbij komt dat de consument zowel in eerste instantie als in hoger beroep strafrechtelijk is veroordeeld voor (de) bedreiging(en).
1 Zie Hoge Raad 29 mei 2009, ECLI:NL:HR:2009:BH4720, overweging 4.4, via xxx.xxxxxxxxxxx.xx.
2 Zie art. 5.2.1 onder c van het Protocol in de bijlagen van deze uitspraak.
Weliswaar heeft de consument op de zitting gezegd dat hij hiertegen xxxxxxxx heeft ingesteld, maar voor registratie in het EVR is een daadwerkelijke strafrechtelijke veroordeling niet vereist. Wel is vereist dat de gedragingen op grond waarvan geregistreerd is, in voldoende mate vaststaan. En dat is het geval. Het feit dat de consument cassatie heeft ingesteld, maakt dat niet anders. Alles overziend is de commissie van oordeel dat sprake is van een zwaardere verdenking dan een redelijk vermoeden van schuld aan het doen van doods- bedreigingen gericht tegen de advocaat. De vraag of de advocaat zich ook daadwerkelijk bedreigd heeft gevoeld is daarbij niet relevant en laat de commissie daarom onbeantwoord.
3.5 De gedragingen van de consument vormen een bedreiging voor de continuïteit en de integriteit van de verzekeraar. Uit het onder 2.2 beschreven oordeel van 18 april 2018 volgt immers dat de voorzieningenrechter de advocaat juist had aangewezen om namens de verzekeraar als spreekbuis richting de consument op te treden. Dit had tot doel om de medewerkers van de verzekeraar tegen de beledigende, beschuldigende en bedreigende uitlatingen van de consument te beschermen. Omdat de advocaat in deze dus als verlengstuk van de verzekeraar dient te gelden, zijn de bedreigingen jegens de advocaat in deze context bezien een bedreiging voor de verzekeraar.
EVR-proportioneel
3.6 Vervolgens moet worden beoordeeld of het belang van de verzekeraar bij opname in het EVR zwaarder weegt dan de (mogelijk) nadelige gevolgen daarvan voor de consument.
3.7 De commissie is van oordeel dat de registratie in het EVR gerechtvaardigd is. De verzekeraar heeft er een gerechtvaardigd belang bij om haar medewerkers en andere maatschappijen te waarschuwen voor de gedragingen van de consument. Dit belang weegt zwaarder dan de nadelige gevolgen die de consument hierdoor ondervindt bij het eventueel afsluiten van nieuwe verzekeringen. De commissie acht de duur van de registratie van acht jaar proportioneel vanwege de ernst van de bedreigingen, namelijk doodsbedreigingen. Hierbij speelt mee dat de consument bij de Raad van Discipline de kans heeft gekregen om op zijn doodsbedreiging terug te komen. Dit heeft hij niet gedaan. Ook acht de commissie de registratie en de duur daarvan proportioneel omdat uit het onder 2.2 beschreven kort geding volgt dat de consument medewerkers van de verzekeraar bedreigde en daarnaast intimiderend en beledigend gedrag jegens hen vertoonde. De bedreigingen van de consument tegen de advocaat van de verzekeraar staan dus niet op zichzelf.
Incidentenregistratie en melding aan het CBV - gerechtvaardigd
3.8 Gelet op het bovenstaande dient ook de registratie in het Incidentenregister te worden gehandhaafd. Het EVR is gekoppeld aan het Incidentenregister (artikel 5.1.1 van het Protocol). Dit brengt mee dat zolang registratie in het EVR terecht en proportioneel is, de gegevens ook in het Incidentenregister blijven staan.
3.9 Op grond van artikel 4.2.3 van het Protocol worden de gegevens in het Incidentenregister uitgewisseld met functionarissen werkzaam bij de daartoe ingerichte coördinatiefuncties van het Verbond van Verzekeraars, te weten het fraudeloket. Dit is het CBV. Omdat de incidentenregistratie terecht is, mag daarvan ook een melding aan het CBV worden gedaan. Voor het toewijzen van de vordering tot intrekking van de melding van de incidenten- registratie aan het CBV is derhalve geen grond aanwezig.
Gebeurtenissenadministratie en IVR - gegrond
3.10 De verzekeraar heeft de gegevens ook opgenomen in zijn interne registers, namelijk de Gebeurtenissenadministratie en het IVR, voor de duur van acht jaar. Deze registers vormen het interne waarschuwingssysteem van de verzekeraar en de groep financiële onderneming- en waar de verzekeraar deel van uitmaakt. De Gebeurtenissenadministratie is een register van (persoons)gegevens, die daarin zijn verwerkt omdat zij van belang zijn voor de veiligheid en integriteit van de financiële instelling en om die reden speciale aandacht behoeven (artikel
4.5.3 en artikel 10 Gedragscode Verwerking Persoonsgegevens Verzekeraars, hierna: GVPV; zie bijlage). In het IVR zijn de verwijzingsgegevens opgenomen. De verzekeraar heeft de gegevens opgenomen omdat de consument (onder andere vanwege zijn gedrag) een risico vormt voor de veiligheid en/of integriteit van (medewerkers van) de verzekeraar. Hierboven is overwogen dat de feiten en omstandigheden de opname in de registers met externe werking rechtvaardigen. Nu aan de registratie in de interne registers hetzelfde feitencomplex ten grondslag ligt en deze registratie minder vergaand is, heeft de verzekeraar de gegevens ook in de Gebeurtenissenadministratie en het IVR mogen opnemen.
3.11 De verzekeraar heeft de gegevens opgenomen voor de duur van acht jaar. De consument heeft geen omstandigheden naar voren gebracht die maken dat de interne registratie eerder moet worden doorgehaald. Naar het oordeel van de commissie is de duur van acht jaar terecht en proportioneel. De commissie neemt daarbij in aanmerking dat de gevolgen van vermelding in deze registers beperkt zijn, omdat zij uitsluitend werkt binnen de organisatie van de desbetreffende financiële instelling.
Vordering van € 1.000.000,00 - ongefundeerd
3.12 De consument stelt dat de verzekeraar er criminele praktijken op nahoudt en dat hij hierdoor € 1.000.000,00 schade lijdt, maar uit de motivering en de stukken die de consument heeft aangeleverd kan de commissie zowel de vermeende criminele praktijken als de schade niet vaststellen. Als de advocaat onwaarheden over eerdere ongevallen van de consument heeft geuit – wat de commissie niet is gebleken – dan volgt hieruit (nog) niet dat sprake is van criminele praktijken. Dat de verzekeraar een valse aangifte heeft gedaan zoals de consument op de zitting heeft gesteld, is bovendien gelet op de overwegingen hiervoor geenszins gebleken.
Daarnaast kan de commissie niet volgen waarom de consument schade lijdt door de vermeende smaad en laster van de verzekeraar tegen mevrouw A en B.
De vordering van de consument van € 1.000.000,00 is derhalve ongegrond.
Slotsom
3.13 De slotsom is dat de verzekeraar de persoonsgegevens van de consument voor de duur van acht jaar mocht opnemen in het Incidentenregister en het EVR en van de incidenten- registratie melding aan het CBV mocht maken. Daarnaast mocht de verzekeraar de persoonsgegevens voor de duur van acht jaar opnemen in de Gebeurtenissenadministratie en het IVR. De vordering van de consument van € 1.000.000,00 is onvoldoende onderbouwd en daardoor ongegrond. De commissie zal de vorderingen van de consument daarom afwijzen.
4. De beslissing
De commissie wijst de vorderingen af.
Deze uitspraak is een niet-bindend advies. Tegen deze uitspraak staat geen hoger beroep open bij de Commissie van Beroep Financiële Dienstverlening. U kunt de zaak nog wel aan de rechter voorleggen.
Bijlage - Relevante artikelen uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 en de Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018
Relevante artikelen uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013
In het toepasselijke Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 zijn de volgende relevante bepalingen opgenomen:
2. Begripsbepalingen
In dit protocol wordt verstaan onder:
Incident: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.
3.1 Incidentenregister en Extern Verwijzingsregister
3.1.1 Iedere Deelnemer heeft een Incidentenregister, waarin door de betreffende Deelnemer gegevens van (rechts)personen worden vastgelegd ten behoeve van het in artikel 4.1.1 Protocol genoemde doel, naar aanleiding van of betrekking hebbend op een (mogelijk) Incident. (…)
3.1.2 Aan het Incidentenregister is een Extern Verwijzingsregister gekoppeld. (…)
4 Incidentenregister
4.1 Doel Incidentenregister
4.1.1 Met het oog op het kunnen deelnemen aan het Waarschuwingssysteem is iedere Deelnemer gehouden de volgende doelstelling voor het vastleggen van gegevens in het Incidentenregister te hanteren:
“Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:
- op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers;
- op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;
- op het gebruik van en de deelname aan waarschuwingssystemen.”
4.2 Toegang tot het Incidentenregister
(…)
4.2.3 De gegevens uit het Incidentenregister van de Deelnemer mogen tevens worden uitgewisseld met functionarissen werkzaam bij de daartoe ingerichte, coördinatiefuncties van de NVB, Verbond, VFN, ZN, FOV en SFH (de fraudeloketten).
(…)
4.3 Verwijdering van gegevens uit het Incidentenregister
(…)
4.3.2 Verwijdering van gegevens uit het Incidentenregister moet plaatsvinden uiterlijk 8 jaar na opname van het betreffende gegeven in het Incidentenregister, tenzij zich ten aanzien van de betreffende (rechts)persoon een nieuwe aanleiding heeft voorgedaan die opnamen in het Incidentenregister rechtvaardigt.
5 Extern Verwijzingsregister
(…)
5.2 Vastlegging van gegevens in het Extern Verwijzingsregister
5.2.1 De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en na toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister.
a) De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële instelling, alsmede de (Organisatie van de) Financiële instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector.
b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klachten wordt gedaan bij een opsporingsambtenaar.
c) Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister.
5.3 Verwijdering van gegevens uit het Extern Verwijzingsregister
(…)
5.3.2 Verwijdering van Verwijzingsgegevens uit het Extern Verwijzingsregister moet plaatsvinden uiterlijk 8 jaar na opname van het betreffende gegeven in het Incidentenregister, tenzij zich ten aanzien van de betreffende (rechts)persoon een nieuwe aanleiding heeft voorgedaan en opname in het Extern Verwijzingsregister conform artikel 5.2.1 Protocol heeft plaatsgevonden.
Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018
In de Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018 zijn de volgende relevante artikelen opgenomen:
3. Beginselen
3.1 Algemeen
3.1.1 Verzekeraars verwerken Persoonsgegevens in overeenstemming met geldende wet- en regelgeving. Zij respecteren de beginselen van proportionaliteit, subsidiariteit en vertrouwelijkheid en verwerken Persoonsgegevens op een transparante, behoorlijke en zorgvuldige wijze.
3.2 Grondslagen verwerking
3.2.1 Verzekeraars baseren iedere Verwerking van Persoonsgegevens op een in geldende wet- en regelgeving opgenomen grondslag. De Gedragscode bevat een nadere uitwerking van rechtmatige grondslagen uit wet- en regelgeving voor Verwerkingen van Persoonsgegevens door Verzekeraars.
3.3 Verzameling Persoonsgegevens
3.3.1 Verzekeraars verzamelen Persoonsgegevens voor welbepaalde en uitdrukkelijk omschreven doeleinden. In de Gedragscode staat een aantal van deze doeleinden verder uitgewerkt in artikel 4. Daarnaast kunnen Verzekeraars in overeenstemming met geldende wet- en regelgeving Persoonsgegevens Verwerken op grond van andere doeleinden. Verzekeraars omschrijven de doeleinden van Verwerkingen en de bronnen van Persoonsgegevens in een privacybeleid.
4. Doeleinden
4.1 Algemeen
4.1.1 Verzekeraars beschrijven de doeleinden voor de Verwerking van Persoonsgegevens in hun privacybeleid. Artikel 4 werkt veelvoorkomende doeleinden voor de Verwerking van Persoonsgegevens door Verzekeraars nader uit.
4.1.2 Verzekeraars voeren een gegevensbeschermingseffectbeoordeling (hierna DPIA) uit als bedoeld in artikel 7.4, zodra zij Persoonsgegevens verder verwerken voor andere doeleinden dan
beschreven in het privacybeleid en deze verdere verwerking, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze verdere Verwerking van Persoonsgegevens is alleen geoorloofd als het nieuwe doel verwant is aan het oorspronkelijke doel van de Verwerking en als de aard van de Persoonsgegevens en de gevolgen voor de Betrokkene zich niet tegen verdere Verwerking verzetten. Verzekeraars informeren de Betrokkene over de nieuwe Verwerking van Persoonsgegevens in overeenstemming met afdeling 6 van de Gedragscode.
(…)
4.5 Integriteit en veiligheid dienstverlening
4.5.1 Verzekeraars verwerken Persoonsgegevens om de integriteit en veiligheid van (de dienstverlening van) de Verzekeraar, de Groep waartoe de Verzekeraar behoort en van de verzekeringsbranche te waarborgen. Zij treffen daartoe maatregelen, waaronder het (laten) uitvoeren van een interne audit en het inrichten van een Incidentenregister en eventuele deelname aan andere waarschuwingssystemen.
4.5.2 Een audit richt zich op het handelen van Verzekeraars of ingeschakelde Derden. De Verzekeraars treffen passende waarborgen ter bescherming van Persoonsgegevens van de Betrokkene gedurende het onderzoek van de Verzekeraar of ingeschakelde Derden. Een auditverslag bevat geen Persoonsgegevens. 4.5.3 Verzekeraars houden een Gebeurtenissenadministratie bij ter waarborging van de veiligheid en integriteit van de dienstverlening en de sector. Verzekeraars informeren Betrokkenen over het bestaan en de mogelijkheid tot Verwerking van Persoonsgegevens in dit verband. De afdeling Veiligheidszaken of een andere daartoe aangewezen afdeling bij een Verzekeraar kan besluiten de Persoonsgegevens uit de Gebeurtenissenadministratie op te nemen in een Intern Verwijzingsregister (IVR). In het IVR nemen Verzekeraars uitsluitend Persoonsgegevens op van (rechts)personen die een risico vormen voor de veiligheid en/of integriteit van de Verzekeraar of de Groep waartoe de Verzekeraar behoort. Indien een gebeurtenis voldoet aan de criteria uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI), nemen Verzekeraars de relevante Persoonsgegevens op in een Incidentenregister en, in voorkomende gevallen, het Extern Verwijzingsregister (EVR). In overeenstemming met artikel 2.2.2 van de Gedragscode is het PIFI van toepassing op deze Verwerking.
10. Definities
Gebeurtenis is een voorval dat de aandacht verlangt van een Verzekeraar vanwege een mogelijk effect op de veiligheid en integriteit van de bedrijfsvoering, werknemers, klanten, overige relaties en de verzekeringsbranche. Hieronder valt bijvoorbeeld mogelijke fraude of ander laakbaar of onrechtmatig gedrag, potentiële en daadwerkelijke vorderingen, onder meer ten aanzien van een met een Verzekeraar gesloten overeenkomst en het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen;
Gebeurtenissenadministratie is de Verwerking van Persoonsgegevens in verband met een Gebeurtenis;
In de toelichting bij artikel 4.5.3 is het volgende opgenomen:
Eén van de veiligheidsmaatregelen die Verzekeraars nemen is het vastleggen van Gebeurtenissen die van belang kunnen zijn voor de veiligheid en integriteit van de onderneming en de sector. Deze Gebeurtenissen worden door Verzekeraars vastgelegd in een administratie. Dit deel van de administratie wordt de Gebeurtenissenadministratie genoemd. In deze administratie worden gegevens bijgehouden die naar het oordeel van de Verzekeraar van belang kunnen zijn voor de kwaliteit, veiligheid en integriteit van de Verzekeraar, de Groep waartoe de Verzekeraar behoort en de verzekeringsbranche. Het kan daarbij gaan om uiteenlopende gebeurtenissen. Denk aan uitkomsten van screeningsverzoeken, klachten van klanten, (mogelijke) verzekeringsfraude of het niet naleven van afspraken waaronder structureel wanbetalingsgedrag of faillissementen. De Gebeurtenissenadministratie is een verzameling van gegevens en vormt het geheugen van de Verzekeraar. Verzekeraars hebben geen inzage in elkaars Gebeurtenissenadministraties, tenzij ze deel uitmaken van dezelfde Groep. Ondernemingen die behoren tot een Groep kunnen ook een gezamenlijke Gebeurtenissenadministratie voeren.
De afdeling Veiligheidszaken of een daartoe aangewezen afdeling van de Verzekeraar kan besluiten de verwijzingsgegevens van personen waarvan gegevens zijn vastgelegd in de Gebeurtenissenadministratie op te nemen in een Intern Verwijzingsregister (IVR). Een klein deel van de informatie uit de Gebeurtenissenadministratie wordt zo toetsbaar.
Het IVR bestaat ter voorkoming van toegang tot Persoonsgegevens van een brede groep medewerkers en om veilig gebruik binnen de Groep waartoe de Verzekeraar behoort te faciliteren. Dit register kan dus, net zoals de Gebeurtenissenadministratie, niet door andere verzekeraars worden geraadpleegd.
Een IVR bevat verwijzingsgegevens. Dit zijn identificerende gegevens (naw-gegevens en geboortedatum) van personen die een zeker risico vormen. Het IVR bevat dus geen aanvullende informatie over de persoon of de Gebeurtenis. De Verzekeraar maakt steeds een zorgvuldige afweging voordat verwijzingsgegevens worden opgenomen, waarbij het gewicht van de Gebeurtenis een belangrijke rol speelt (direct of voor de
toekomst). Om een Gebeurtenis op deze wijze binnen maatschappij of Groep te delen, kan onder meer een rol spelen of een redelijk vermoeden bestaat van opzettelijke benadeling door de Betrokkene. Het kan bijvoorbeeld gaan om oneigenlijk gebruik van producten, diensten en voorzieningen van een Verzekeraar of pogingen daartoe. Denk ook aan het intern signaleren van een redelijke vermoeden van het plegen van strafbare of laakbare gedragingen of (een poging tot) overtredingen van (wettelijke) voorschriften gericht tegen de Verzekeraar, haar klanten of medewerkers.
Voor zover relevant voor zijn werkzaamheden kan een medewerker van de Verzekeraar het IVR raadplegen. Bijvoorbeeld als een persoon klant wil worden of bij sollicitatieprocedures. Er vindt een toets plaats aan de hand van de naw-gegevens en geboortedatum van de betreffende persoon. Het systeem van de toetsing werkt op basis van hit-no hit. De medewerker die de toets uitvoert ziet bij een hit niet waarom, maar wel dat een (rechts)persoon is opgenomen. In het geval van een hit moet de medewerker altijd de afdeling Veiligheidszaken of een daartoe aangewezen afdeling van de Verzekeraar inschakelen die de medewerker vervolgens adviseert. Het advies kan bijvoorbeeld zijn om wel of geen contract met de sollicitant aan te gaan. Met betrekking tot een klant kunnen bijvoorbeeld speciale voorwaarden worden afgesproken, zoals aanvullende polisvoorwaarden of dekkingsbeperkingen. Relevante afdelingen of medewerkers kunnen zo op de hoogte worden gesteld dat bepaalde personen of zaken extra aandacht nodig hebben.
Naast het hebben van een Gebeurtenissenadministratie en een IVR dient een Verzekeraar ook een branchewaarschuwingssysteem te voeren. Dit is een systeem dat het mogelijk maakt voor Verzekeraars om elkaar te waarschuwen. Omdat Persoonsgegevens in dit geval buiten de Groep worden gedeeld, gelden hiervoor bijzondere aanvullende regels. De regels met betrekking tot het branchewaarschuwingssysteem zijn vastgelegd in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).
In bepaalde gevallen kunnen Verzekeraars Persoonsgegevens in verband met royementen, vorderingen, het indienen van een claim en andere Gebeurtenissen mede vastleggen in registers die worden onderhouden door een onafhankelijke rechtspersoon, bijvoorbeeld de Stichting Centraal Informatiesysteem die optreedt als Verantwoordelijke voor het Centraal Informatie Systeem in de verzekeringsbranche. Op het verstrekken en raadplegen van Persoonsgegevens in deze systemen is deze Gedragscode van toepassing. De Verwerking van de Persoonsgegevens in de systemen zelf valt buiten de Gedragscode. De Stichting Centraal Informatie Systeem hanteert daarvoor een eigen privacy- en gebruikersreglement, dat is te raadplegen via de website: xxxxx://xxx.xxxxxxxxxxxx.xx/xx-xx/xxxxxxxxxxx.xxxx.