Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2021-0189
Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2021-0189
(mr. drs. X.X. xxx Xxxxxxx, voorzitter, mr. dr. S.O.H. Xxxxxxxx, mr. R.L.H. IJzerman, leden en mr. I.M.L. Xxxxxx, secretaris)
Klacht ontvangen op : 20 mei 2020 Ingediend door : Consument
Tegen : Unigarant N.V., gevestigd te Hoogeveen, verder te noemen Verzekeraar
Datum uitspraak : 1 maart 0000
Xxxx uitspraak : Bindend advies
Uitkomst : Vordering afgewezen
Bijlage : Relevante bepalingen uit relevante regelgeving
Samenvatting
Reisverzekering. Persoonlijk onderzoek. De consument heeft bij de melding van een diefstalclaim op zijn reisverzekering valse nota’s ingediend. De verzekeraar heeft in het onderzoek naar de juistheid van de nota’s navraag gedaan bij de winkels waarvan de nota’s afkomstig zouden zijn. Hij heeft hiermee een persoonlijk onderzoek uitgevoerd in de zin van de Gedragscode Persoonlijk onderzoek maar hij heeft de verplichtingen uit die gedragscode niet nageleefd. Dit brengt evenwel niet mee dat hij onrechtmatig heeft gehandeld en de door de consument gevorderde immateriële schade moet vergoeden. De registraties in het EVR en de interne registers van de verzekeraar zijn terecht en proportioneel. Er is geen reden de verzekeraar te verbieden zijn interne kosten op de consument te verhalen. Vordering afgewezen.
1. De procedure
1.1 De commissie beslist op basis van haar Reglement en op basis van de door partijen aan Kifid ingestuurde documenten inclusief bijlagen. Het gaat hierbij om: 1) het klachtformulier van de consument; 2) het verweerschrift van de verzekeraar; 3) de aanvullende reactie van de verzekeraar; 4) de repliek van de consument; 5) de dupliek van de verzekeraar; en 6) de
e-mail met bijlage van de verzekeraar van 16 december 2020.
1.2 Partijen zijn opgeroepen voor de hoorzitting op 17 december 2020. Partijen zijn aldaar verschenen. Na de hoorzitting heeft de consument, per e-mail van 18 december 2020 nog schriftelijk commentaar gegeven op de aanvullende stukken van de verzekeraar van
16 december 2020.
1.3 De consument en de verzekeraar hebben gekozen voor een bindend advies. Dit betekent dat partijen elkaar aan de uitspraak kunnen houden.
2. Het geschil
Wat is er gebeurd?
2.1 De consument heeft spullen geclaimd bij de verzekeraar, waar hij een doorlopende reisverzekering had. Tijdens een busreis van Frankfurt naar Berlijn, op 8 februari 2020, zou de rugtas van de consument zijn gestolen. De rugtas zou in het bagagerek boven de zitplaatsen hebben gelegen. Bij aankomst was de rugtas volgens de consument verdwenen. De consument heeft aangifte van diefstal gedaan bij de politie in Berlijn. Het ging hierbij onder meer om een camera ter waarde van € 1.849,00, een MacBook ter waarde van
€ 1.770,00 en een bril. Hiervan heeft de consument aankoopnota’s overgelegd.
2.2 In opdracht van de verzekeraar is een expertise uitgevoerd en daarvan is op 3 maart 2020 een rapport opgesteld. De verzekeraar heeft de door de consument ingediende nota’s onderzocht omdat de verzekeraar daarop onregelmatigheden had vastgesteld. In het kader van dit onderzoek heeft hij de nota van de bril en de Macbook telefonisch geverifieerd bij Citybril en Amac. In de door de verzekeraar overgelegde telefoonnotitie staat het volgende:
“De nota van Xxxx is onjuist. De factuurdatum is van 2016 en niet van 2019.
De nota van City Bril is onjuist. De voorletter is aangepast en ook de geboortedatum. Daarnaast is ook de factuurdatum aangepast.”
2.3 De verzekeraar heeft de nota van de camera van Coolblue per e-mail aan Cooblue gestuurd. Deze nota stond op naam van de consument. De verzekeraar heeft Coolblue op 13 maart 2020 de volgende vraag voorgelegd:
“Naar aanleiding van een schadeclaim ontvingen wij bijgaande nota van onze verzekerde.
Kunnen jullie nakijken of de nota daadwerkelijk door jullie is afgegeven met genoemde product en prijs.
Mocht de nota juist zijn, zijn de producten niet geretourneerd?”
Coolblue heeft daarop als volgt gereageerd:
“De opgegeven factuurgegevens komen niet overeen met dit product of de genoemde prijs. Dit is dus geen geldige factuur van ons. We kunnen verder geen gedetailleerde gegevens verstrekken vanwege de privacy wetgeving.”
2.4 Bij brief van 19 maart 2020 heeft de verzekeraar de consument geconfronteerd met de onregelmatigheden die hij bij het behandelen van de claim heeft geconstateerd en aan hem meegedeeld dat deze de conclusie rechtvaardigen dat sprake is van een frauduleuze claim. De consument is in de gelegenheid gesteld te reageren. Bij brief van 23 april 2020 heeft de verzekeraar de consument geïnformeerd over zijn definitieve standpunt. Hij heeft de claim met een beroep op artikel 7:941 lid 5 van het Burgerlijk Wetboek (BW) en artikel 20 van de verzekeringsvoorwaarden afgewezen omdat hij van mening is dat de consument de verzekeraar opzettelijk heeft misleid en daarbij meegedeeld dat de consument er ook niet in is geslaagd de schade aan te tonen. De verzekeraar heeft de kosten van de interne werkzaamheden van € 532,00 teruggevorderd, de persoonsgegevens van de consument voor de duur van vijf jaar opgenomen in het EVR en voor de duur van acht jaar in zijn interne Incidentenregister. Hij heeft het Centrum Bestrijding Verzekeringscriminaliteit (CBV) over deze registratie geïnformeerd. De verzekeraar heeft de verzekering van de consument per direct beëindigd.
2.5 De consument heeft tegen het standpunt van de verzekeraar bezwaar gemaakt. Hij heeft daarbij laten weten dat de verzekeraar naar zijn mening zijn persoonsgegevens onrechtmatig heeft gedeeld met derden. De verzekeraar heeft geantwoord dat dat naar zijn mening niet het geval is en de consument gewezen op de mogelijkheid een klacht in te dienen bij Kifid.
De klacht en vordering
2.6 De consument vordert doorhaling van de registratie van zijn persoonsgegevens, een schadevergoeding van € 5.320,00 vermeerderd met wettelijke rente en hij vordert dat de verzekeraar de claim voor vergoeding van de interne onderzoekskosten van € 532,00 intrekt.
2.7 De verzekeraar heeft een persoonlijk onderzoek uitgevoerd door persoonsgegevens van de consument te delen met derden. Bij het uitvoeren van dit persoonlijk onderzoek heeft hij de consument niet voorafgaand aan de notacontrole hierover geïnformeerd. Hiertoe was de verzekeraar, gelet op de “normuitleg grondslag ‘gerechtvaardigd belang’” van de Autoriteit Persoonsgegevens en artikel 9.1 van de GPO, wel verplicht. Daarmee heeft hij ook
artikel 9.2 GPO overtreden. De verzekeraar heeft ook in strijd met artikel 4.2 en artikel 4.3 van de GPO gehandeld. De verzekeraar is onzorgvuldig omgegaan met de persoonsgegevens van de consument en dit duidt ook op een onzorgvuldige afweging van belangen. Bovendien heeft de verzekeraar het subsidiariteitsbeginsel geschonden door ten onrechte meteen te kiezen voor een bijzondere onderzoeksmethode.
2.8 Het delen van de persoonsgegevens met derden was onrechtmatig. En daardoor was ook de informatie die de verzekeraar op deze manier had ingewonnen over de consument onrechtmatig verkregen. Die moet buiten beschouwing worden gelaten.
De consument heeft door de onrechtmatige verwerking van zijn persoonsgegevens door de verzekeraar immateriële schade, te weten imagoschade, geleden. De verzekeraar dient ter vergoeding van deze schade een bedrag van € 5.320,00 te betalen.
2.9 De consument stelt ook dat de verzekeraar bij de belangenafweging in het kader van de duur van de opname in het EVR geen juiste afweging heeft gemaakt. Tot slot stelt hij dat de geclaimde interne kosten niet zijn onderbouwd.
Het verweer
2.10 De verzekeraar heeft de volgende verweren gevoerd.
2.11 De consument heeft de verzekeraar opzettelijk misleid door het indienen van valse nota’s en dit is door hem ook niet betwist. Opname van zijn gegevens in het interne Incidentenregister en het EVR en melding daarvan aan het CBV is daarom gerechtvaardigd. Het belang van deze registratie prevaleert boven de mogelijk nadelige gevolgen voor de consument. De onjuiste voorstelling van zaken die de consument heeft gegeven is een toerekenbare tekortkoming in de zin van artikel 6:74 BW, dan wel een onrechtmatige daad in de zin van artikel 6:162 BW. Op grond van artikel 6:96 lid 2 sub b is de consument gehouden de redelijke kosten ter vaststelling van de schade en aansprakelijkheid, van € 532,00, te vergoeden.
2.12 Het onderzoek naar de nota’s was gericht op de juistheid van de gepresenteerde feiten, niet op gedragingen. Dit was een feitenonderzoek waarbij geen gebruik is gemaakt van bijzondere onderzoeksmethoden of -middelen die inbreuk (kunnen) maken op de persoonlijke levenssfeer van de betrokkene. Hiervoor geldt ook geen voorafgaande informatieplicht. Het feit dat informatie is ingewonnen bij derden, brengt niet mee dat het onderzoek als een persoonlijk onderzoek kwalificeert.
2.13 Indien en voor zover het onderzoek als persoonlijk onderzoek moet worden aangemerkt, geldt dat dit onderzoek rechtmatig was. De verzekeraar heeft een gerechtvaardigd belang bij het onderzoeken van een vermoeden van fraude. Op basis van deze grondslag mag hij persoonsgegevens verwerken. Dit is opgenomen in het privacy statement. De verzekeraar heeft de beginselen van proportionaliteit en subsidiariteit in acht genomen. De consument heeft terecht opgemerkt dat in dit geval niet aan de informatieplicht van artikel 9 GPO is voldaan en evenmin aan artikel 4.2, omdat zij het onderzoek als feitenonderzoek kwalificeerde. Van een onrechtmatige inbreuk op de privacy van de consument is evenwel geen sprake, nu een gerechtvaardigd belang aanwezig was en ook is voldaan aan de eisen van proportionaliteit en subsidiariteit. Voor bewijsuitsluiting bestaat geen aanleiding. Het belang dat de waarheid aan het licht komt weegt zwaarder.
2.14 Niet is gebleken dat de naam van de consument is geschaad door het verifiëren van de nota’s. Voor zover komt vast te staan dat de verzekeraar een verwijt kan worden gemaakt, is een bedrag van € 5.320,- niet billijk. De consument heeft zijn individuele nadelige gevolgen niet aangetoond (HR 15 maart 2019, ECLI:NL:HR:2019:3761).
3. De beoordeling
Inleiding
3.1 De consument heeft schade geclaimd op zijn verzekering met de mededeling dat zijn bagage was gestolen. Vast staat inmiddels, en de consument heeft na enig doorvragen op de zitting ook erkend, dat hij valse nota’s heeft ingediend. De consument heeft dus geprobeerd te frauderen. Hij vindt echter dat het door de verzekeraar uitgevoerde onderzoek, met name door het ter zake inwinnen van informatie bij derden, onrechtmatig is en dat hij door de onrechtmatige inbreuk op zijn privacy immateriële schade heeft geleden. De consument vordert daarom doorhaling van de registratie van zijn persoonsgegevens, vergoeding van schade en dat hij de onderzoekskosten niet hoeft terug te betalen. De commissie zal deze vordering afwijzen. Zij is ongegrond. Hierna licht de commissie dit oordeel toe.
Feitenonderzoek of persoonlijk onderzoek?
3.2 Voor het antwoord op de vraag of de verzekeraar onrechtmatig heeft gehandeld, is van belang of het onderzoek een feitenonderzoek of een persoonlijk onderzoek is en of is voldaan aan de eisen van proportionaliteit en subsidiariteit.
3.3 De commissie stelt voorop dat het instellen van een persoonlijk onderzoek een inbreuk vormt op de privacy van de betrokkene waar het onderzoek op ziet. Een dergelijke inbreuk is in beginsel onrechtmatig, maar de aanwezigheid van een rechtvaardigingsgrond kan aan een inbreuk het onrechtmatige karakter ontnemen. Of een dergelijke rechtvaardigingsgrond zich voordoet, kan slechts worden beoordeeld in het licht van de omstandigheden van het geval, door tegen elkaar af te wegen enerzijds de ernst van de inbreuk op eerbiediging van de persoonlijke levenssfeer en anderzijds de belangen die met de inbreuk makende handelingen redelijkerwijs kunnen worden gediend. Zie Hoge Raad 31 mei 2002, ECLI:NL:HR:AD9609. Met de Gedragscode Persoonlijk Onderzoek (hierna: GPO, zie bijlage), waarin is aangesloten op de Wet Bescherming Persoonsgegevens (thans: de Algemene Verordening Gegevensbescherming, hierna: AVG), heeft het Verbond van Verzekeraars beoogd invulling te geven aan de hiervoor genoemde belangenafweging. De relevante bepalingen uit deze regelgeving zijn in de bijlage bij deze uitspraak opgenomen.
1 Deze uitspraak is te vinden op xxx.xxxxxxxxxxx.xx onder uitspraken.
3.4 De GPO maakt onderscheid tussen het feitenonderzoek en het hierop volgende persoonlijk onderzoek en geeft uitsluitend regels voor dat laatste onderzoek. In geval van een feiten- onderzoek wordt onderzoek ingesteld naar de feiten, omstandigheden en gedragingen van de betrokkene die nodig zijn voor de beoordeling van de verzekeringsaanvraag, lopende verzekeringsovereenkomst, schademelding of andere aanspraak op uitkering of prestatie. Dit onderzoek richt zich op informatiebronnen waarvoor de verzekeraar geen bijzondere moeite hoeft te doen om ze te raadplegen, zoals algemeen toegankelijk informatie zijnde informatie die zich in het publieke domein bevindt en informatie uit eigen bronnen. Zie
Xxx Xxxxxx-Xxxxxxxxxx 0 februari 2016, ECLI:NL:GHARL:2016:1004 en 15 september
2015, ECLI:NL:GHARL:2015:6816.
Het persoonlijk onderzoek daarentegen volgt op het feitenonderzoek en is gericht op gedragingen van betrokkene waarbij bijzondere onderzoeksmethoden en of bijzondere onderzoeksmiddelen worden gebruikt. Dit onderzoek maakt inbreuk, of kan dat maken, op de persoonlijke levenssfeer van de betrokkene. Het persoonlijk onderzoek richt zich primair op de persoon van de betrokkene. Daarbij wordt in meer of mindere mate in de persoonlijke levenssfeer van de betrokkene getreden. Het persoonlijk onderzoek kan worden ingesteld wanneer het feitenonderzoek dat is gedaan geen of onvoldoende uitsluitsel geeft voor de te nemen beslissing of wanneer gerede twijfel is ontstaan over de juistheid of volledigheid van de uitkomst van het feitenonderzoek, zodanig dat een redelijk vermoeden van fraude is ontstaan.
De grens tussen feitenonderzoek en persoonlijk onderzoek is niet altijd duidelijk te bepalen en ook in het geschil tussen de consument en de verzekeraar houdt deze vraag partijen verdeeld.
3.5 Met het verifiëren van de door de consument ingediende nota heeft de verzekeraar een persoonlijk onderzoek in de zin van de GPO heeft verricht. De verzekeraar heeft uitgelegd dat bij de behandeling van de claim door de schadebehandelaar was geconstateerd dat de ingediende nota een afwijking vertoonde ten aanzien van het lettertype. Dit was aanleiding voor verificatie van de ingediende nota’s. Omdat notacontrole niet door schadebehandelaren wordt gedaan, is het dossier aan Speciale Zaken overgedragen. De afdeling Speciale Zaken heeft contact opgenomen met de betreffende winkels. Zij heeft telefonisch contact met de opticien en met Xxxx opgenomen en aan de hand van het notanummer en het bedrag van de nota gevraagd of die nota’s in zijn systeem voorkwamen. De nota van Citybril bleek in het systeem voor te komen, maar niet op naam van de consument te staan. In dit gesprek is de naam van de consument niet gedeeld en ook de medische gegevens op de nota zijn niet gedeeld. De naam van de consument is wel gedeeld bij de verificatie van de nota van Coolblue. De verzekeraar heeft ook toegelicht dat zij niet alleen bij een verdenking van fraude overgaat tot het doen van notacontroles maar dat zij dit ook steekproefsgewijs doet.
De aanleiding om in dit dossier de nota’s te controleren was, zo is naar het oordeel van de commissie gebleken, dat twijfel was ontstaan over de juistheid van de ingediende nota’s. De verzekeraar heeft het onderzoek gedaan vanaf het moment waarop een verdenking was ontstaan. De verzekeraar heeft de nota’s geverifieerd door navraag te doen bij derden, een methode die in artikel 7.1 sub b GPO als bijzondere onderzoeksmethode is aangemerkt.
Anders dan de verzekeraar heeft aangevoerd gaat het hier niet meer uitsluitend om het vaststellen van feiten maar om een onderzoek naar gedragingen, te weten het indienen van valse nota’s door de consument (zie ook de uitspraak van de Tuchtraad Financiële Dienstverlening van 17 januari 2020, TFD 20-0012). De verzekeraar heeft bij dit onderzoek in ieder geval met Coolblue de persoonsgegevens van de consument gedeeld. Deze wijze van onderzoek maakt inbreuk, of kan inbreuk maken, op de persoonlijke levenssfeer van de consument. Onder deze omstandigheden is, in ieder geval ten aanzien van de verificatie van de nota van Coolblue, naar het oordeel van de commissie sprake van een persoonlijk onderzoek.
De beginselen van proportionaliteit en subsidiariteit
3.6 Omdat het onderzoek dat de verzekeraar heeft gedaan moet worden aangemerkt als een persoonlijk onderzoek, moest hij daarbij de regels van de GPO naleven. Dit houdt onder meer in dat hij bij de uitvoering van het onderzoek de beginselen van proportionaliteit (art. 2 GPO) en subsidiariteit (art. 3 GPO) in acht moet nemen.
3.7 De consument vindt dat de verzekeraar een onjuiste afweging van belangen heeft gemaakt doordat hij er bij het instellen van het onderzoek vanuit ging dat het een feitenonderzoek zou zijn. Door navraag te doen bij winkels waar de consument vaste klant is, is zijn imago bij die winkels geschaad. De verzekeraar had ook kunnen volstaan met het doen van navraag bij de consument maar zij heeft ten onrechte gekozen voor een verdergaande, bijzondere onderzoeksmethode. De verzekeraar stelt dat zijn belang om het vermoeden van fraude te onderzoeken zwaarder weegt dan de belangen van de consument en dat het doen van navraag hierover bij de consument niet tot hetzelfde resultaat had geleid.
3.8 Dit verweer van de verzekeraar slaagt. De consument heeft vervalste nota’s ingediend met de stelling dat die echt zijn. De verzekeraar had aanleiding te onderzoeken of die stelling van de consument juist is. De verzekeraar had geen andere reële mogelijkheid dan na te gaan bij de winkels waar de nota’s vandaan komen of de ingediende nota’s juist zijn. De consument had er onder deze omstandigheden geen beschermenswaardig belang bij dat de verzekeraar de juistheid van die nota’s niet rechtstreeks bij de betreffende winkels nagaat. Ook het proportionaliteitsbeginsel is niet geschonden.
2 Deze uitspraak is te vinden op xxx.xxxxxxxxxxx.xx onder uitspraken.
De inbreuk op de persoonlijke levenssfeer is beperkt gebleven, terwijl aan de zijde van de verzekeraar een gerechtvaardigd belang bestond de juistheid van de nota’s te onderzoeken en zichzelf daarmee te beschermen tegen pogingen tot misleiding met als gevolg dat hij uitkering zou doen voor een onware claim.
3.9 De commissie is gelet op het bovenstaande van oordeel dat de verzekeraar niet tegenover de consument onrechtmatig heeft gehandeld door bepaalde persoonsgegevens van de consument op de voormelde wijze met derden te delen.
De informatieplicht bij het inwinnen van informatie bij derden
3.10 In artikel 9 van de GPO staat ook dat een verzekeraar, die informatie gaat inwinnen bij derden als bedoeld in artikel 7.1 sub b van de GPO, de betrokkene daarover zal informeren. De consument stelt dat de verzekeraar aan deze verplichting niet heeft voldaan en dat hij door het onderzoek is benadeeld en immateriële schade heeft geleden. De verzekeraar heeft erkend dat zij die verplichting, en de verplichting genoemd in artikel 4.2 van de GPO, niet heeft nageleefd. Hij heeft daarbij uitgelegd dat hij de consument niet over de notacontrole bij derden heeft geïnformeerd omdat hij ervan uitging dat het om een feitenonderzoek ging. De verzekeraar heeft ook het standpunt ingenomen dat, als hij artikel 9 GPO wel had nageleefd, de situatie voor de consument niet anders zou zijn geweest. Het niet naleven van artikel 9 GPO heeft niet geleid tot benadeling van de consument in de door hem gestelde zin en ook aan de overige eisen voor het toekennen van een schadevergoeding op grond van onrechtmatige daad is niet voldaan, aldus de verzekeraar.
3.11 De verzekeraar heeft erkend dat hij, indien de commissie van oordeel is dat zijn onderzoek een persoonlijk onderzoek was, de informatieplicht heeft geschonden. Gelet op het oordeel dat sprake is van een persoonlijk onderzoek, is de vraag of het niet naleven van deze verplichting ook gevolgen heeft gehad voor de consument en of dit leidt tot een verplichting voor de verzekeraar om schade aan de consument te vergoeden. De consument heeft op de zitting uitgelegd dat door het handelen van de verzekeraar bij winkels waar hij klant is de indruk wordt gewekt dat de consument fraudeert. De klantrelatie met Amac en Coolblue is minder persoonlijk maar de consument komt wel regelmatig bij zijn opticien. Nadat de verzekeraar over de nota bij de opticien navraag heeft gedaan, zijn medewerkers zich volgens de consument anders tegenover hem gaan gedragen. De commissie merkt op dat uit het onderzoek op de zitting is gebleken dat de verzekeraar met de opticien geen persoons- gegevens van de consument heeft gedeeld en dat de opticien uit zichzelf heeft aangegeven op welke persoonsgegevens de betreffende nota stond geregistreerd, niet zijnde persoons- gegevens van de consument. Mede tegen die achtergrond is de commissie van oordeel dat door de consument onvoldoende is gesteld om te komen tot de conclusie dat hij door het achterwege laten van het informeren door de verzekeraar over de notacontrole schade heeft geleden en dat die vermeende schade overigens ook onvoldoende is onderbouwd.
Dit brengt mee dat de vordering van de consument tot vergoeding van immateriële schade ook op die gronden moet worden afgewezen.
De registratie van de persoonsgegevens van de consument
3.12. De verzekeraar heeft de persoonsgegevens van de consument voor de duur van vijf jaar opgenomen in het EVR. Artikel 5.2.1 van het Protocol (zie bijlage) bepaalt onder welke voorwaarden persoonsgegevens mogen worden opgenomen in het EVR. Uit een uitspraak van de Hoge Raad volgt dat voor het registreren van persoonsgegevens op grond artikel
5.2.1 onder a en b, een strafrechtelijke veroordeling van de betrokkene niet is vereist. Wel is een zwaardere verdenking dan een redelijk vermoeden van fraude door de betrokkene vereist. Zie Hoge Raad 29 mei 2009, ECLI:NL:HR:2009:BH4720, overweging 4.4. Bovendien moet worden beoordeeld of op grond van deze gedragingen het opnemen in het Incidenten- register en het EVR gerechtvaardigd was en of de duur daarvan proportioneel is. (Zie
art. 5.2.1 onder c van het Protocol en de uitspraak van de Geschillencommissie Kifid van 5 juli 2016, 2016, 302, onder 4.9.3). De consument die verwijdering van een registratie wenst, zal moeten onderbouwen op grond waarvan hij te zwaar wordt geraakt in zijn belangen en waarom zijn belang zwaarder moet wegen dan het belang van de verzekeraar bij voortduring van de registratie.
3.13 De verzekeraar heeft in zijn onderzoek vastgesteld dat de door de consument ingestuurde nota’s zijn vervalst en de consument heeft dit ook erkend. Hiermee is aan de vereisten voor registratie in het EVR genoemd in artikel 5.2.1 onder a en b van het Protocol voldaan. De verzekeraar heeft gemotiveerd dat haar belang bij registratie zwaarder weegt dan de mogelijke nadelige gevolgen hiervan voor de consument. De consument heeft geen omstandigheden aangevoerd op grond waarvan hij onevenredig hard wordt geraakt in zijn belangen. De commissie is daarom van oordeel dat de melding in het EVR proportioneel is. De verzekeraar heeft ook de duur van de registratie van vijf jaar gemotiveerd. Hij heeft meegewogen dat de consument valse politieaangifte heeft gedaan nu uit de nota is gebleken dat deze niet van de consument is, waardoor ook niet kan worden aangenomen dat hij aangifte heeft gedaan van diefstal van zijn bril. De consument heeft in reactie op de bevindingen van de verzekeraar niet inhoudelijk gereageerd. Verder is in het voordeel van de consument meegewogen dat hij langere tijd bij de verzekeraar verzekerd is geweest en in de drie voorgaande jaren geen andere schade werd geclaimd. De commissie is van oordeel dat ook de duur van de registratie proportioneel is. De consument heeft valse nota’s geclaimd en op de bevindingen van de verzekeraar niet gereageerd. Hij heeft zich in reactie op de bevindingen van de verzekeraar uitsluitend gericht op mogelijke fouten in het proces van de verzekeraar. Pas op de zitting heeft hij op de verdenking gereageerd en erkend dat de nota’s vals waren.
3 Deze uitspraak is te vinden op xxx.xxxxx.xx onder uitspraken.
De verzekeraar heeft een gemotiveerde afweging gemaakt voor de beperkte (niet maximale) duur van de registratie. De door de consument aangevoerde argumenten baten hem niet en hij heeft ook geen omstandigheden aangevoerd die maken dat zijn belang bij een kortere duur zwaarder wegen dan het belang van de verzekeraar om andere maatschappijen gedurende deze periode te waarschuwen voor het gedrag van de consument.
3.14 Het EVR is gekoppeld aan het Incidentenregister (artikel 5.1.1 van het Protocol). Dit brengt mee dat zolang registratie in het EVR terecht en proportioneel is, de gegevens ook in het Incidentenregister blijven staan. De commissie gaat ervan uit dat de verzekeraar deze registratie eveneens na vijf jaar zal verwijderen, na afloop van de duur van de registratie in het EVR, nu de verzekeraar over de duur van de opname in het Incidentenregister niets naar voren heeft gebracht.
3.15 Op grond van artikel 4.2.3 van het Protocol worden de gegevens in het Incidentenregister uitgewisseld met functionarissen werkzaam bij de daartoe ingerichte coördinatiefuncties van het Verbond van Verzekeraars, te weten het fraudeloket. Dit is het Centrum Bestrijding Verzekeringscriminaliteit. Gelet op het hiervoor onder 3.14 overwogene is voor het toewijzen van de vordering tot intrekking van de melding van de incidentenregistratie aan het CBV derhalve geen grond aanwezig.
3.16 De verzekeraar heeft de gegevens ook opgenomen in zijn intern incidentenregister, voor de duur van acht jaar. Hij heeft toegelicht dat deze registratie als doel heeft dat een eventuele verzekeringsaanvraag uitvalt bij de beoordeling door de afdeling Acceptatie. De commissie begrijpt uit deze omschrijving van het doel van de registratie dat de gegevens zijn opgenomen in de Gebeurtenissenadministratie en het daaraan gekoppelde Intern Verwijzingsregister (‘IVR’). Deze registers vormen het interne waarschuwingssysteem van de verzekeraar en de groep financiële ondernemingen waar de verzekeraar deel van uitmaakt. De Gebeurtenissenadministratie is een register van (persoons)gegevens, die daarin zijn verwerkt omdat zij van belang zijn voor de veiligheid en integriteit van de financiële instelling en om die reden speciale aandacht behoeven (artikel 4.5.3 en artikel 10 Gedragscode Verwerking Persoonsgegevens Verzekeraars, hierna: GVPV; zie bijlage). In het IVR zijn de verwijzingsgegevens opgenomen. De verzekeraar heeft de gegevens opgenomen omdat de consument valse nota’s heeft ingediend bij het claimen van zijn schade. De consument heeft dit erkend. Hierboven is overwogen dat deze feiten en omstandigheden de opname in de registers met externe werking rechtvaardigen. Nu aan de registratie in de interne registers hetzelfde feitencomplex ten grondslag ligt en deze registratie minder vergaand is, heeft de verzekeraar de gegevens ook in de Gebeurtenissenadministratie en het IVR mogen opnemen. De verzekeraar heeft de gegevens opgenomen voor een duur van acht jaar. De consument heeft geen omstandigheden naar voren gebracht die maken dat de interne registratie eerder moet worden doorgehaald.
Naar het oordeel van de commissie is de duur van acht jaar terecht en proportioneel. De commissie neemt daarbij in aanmerking dat de gevolgen van vermelding in deze registers beperkt zijn, omdat zij uitsluitend werkt binnen de organisatie van de desbetreffende financiële instelling en deze de consument, na afloop van de duur van de registratie in het EVR, niet belet een relatie aan te gaan met andere financiële instellingen.
De onderzoekskosten
3.17 De verzekeraar heeft de consument een bedrag van € 532,00 in rekening gebracht voor vergoeding van de interne kosten. De consument vordert dat hij deze kosten niet hoeft te betalen.
3.18 De door de consument gegeven onjuiste voorstelling van zaken is een toerekenbare tekortkoming van de consument als bedoeld in artikel 6:74 BW (zie GC Kifid 2016-368 onder 4.3.). De consument is verplicht de schade te vergoeden die de verzekeraar als gevolg hiervan heeft geleden. Interne onderzoekskosten komen op grond van artikel 6:96 lid 2 BW voor vergoeding in aanmerking als de verzekeraar op enigerlei wijze aantoont dat deze kosten daadwerkelijk zijn gemaakt als gevolg van de aan de consument verweten tekort- koming. Zie bijvoorbeeld de uitspraak GC Kifid 2019-575. De verzekeraar zal concreet moeten onderbouwen dat en hoe de kosten samenhangen met het fraudeonderzoek naar de consument.
3.19 De verzekeraar heeft toegelicht dat hij voor de behandeling van het dossier bureau- onderzoek heeft verricht en nota’s heeft gecontroleerd op juistheid door contact op te nemen met de verkopende partijen. Daarna is over de bevindingen met de consument gecorrespondeerd. Hij heeft ter onderbouwing van de door hem gemaakte onderzoeks- kosten een overzicht overgelegd. Concreet heeft de verzekeraar aangegeven hoeveel tijd is besteed aan het onderzoek naar de fraude en wat het uurtarief is. De totale onderzoeks- kosten komen uit op € 912,45. De verzekeraar heeft deze kosten vervolgens gematigd naar een bedrag van € 532,00, waarbij zij aansluiting heeft gezocht bij de abstracte berekenings- methode van het Verbond van Verzekeraars.
3.20 De commissie is van oordeel dat de verzekeraar voldoende heeft onderbouwd welke werkzaamheden zijn verricht, hoeveel uren daaraan is besteed en hoe de verzekeraar komt tot het bedrag van € 532,00. Er is dus geen grond om te oordelen dat de verzekeraar deze kosten niet op de consument mag verhalen. De door de consument naar voren gebrachte argumenten brengen hierin, ook gelet op de reeds toegepaste matiging van de kosten, geen verandering.
Slotsom
3.21 De slotsom is dat de vordering van de consument zal worden afgewezen.
4. De beslissing
De commissie wijst de vordering af.
Deze uitspraak is een bindend advies. Tegen deze uitspraak kunt u beroep instellen bij de Commissie van Beroep Financiële Dienstverlening wanneer wordt voldaan aan de vereisten van artikel 2 van het Reglement van de Commissie van Beroep Financiële Dienstverlening. Voor het instellen van beroep geldt een termijn van zes weken na verzending van deze uitspraak. Het Reglement van de Commissie van Beroep en meer informatie over het instellen van beroep kunt u vinden op de website xxx.xxxxx.xx/xx-xxxxxx-xxxx-xxx-xxxxx.
Binnen twee weken na de verzenddatum van deze uitspraak kunt u een verzoek indienen tot herstel van vergissingen in de uitspraak, zoals schrijffouten, een verkeerde naam/datum of rekenfouten. De beslissing van de Geschillencommissie in de uitspraak kan hiermee niet ter discussie worden gesteld. Meer informatie hierover staat in artikel 40 van het Reglement Geschillencommissie Financiële Dienstverlening, te vinden op de website xxx.xxxxx.xx/xxxxxxxxxxx-xx-xxxxxxxx.
Bijlage - Relevante bepalingen uit regelgeving
Relevante artikelen uit de Gedragscode persoonlijk onderzoek van 21 december 2011
In de toepasselijke Gedragscode persoonlijk onderzoek van 21 december 2011 zijn de volgende relevante bepalingen opgenomen:
Definities en begrippen
(…)
Persoonlijk onderzoek Het onderzoek, volgend op een feitenonderzoek, naar gedragingen van betrokkene waarbij bijzondere onderzoeksmethoden en of bijzondere onderzoeksmiddelen worden gebruikt, dat inbreuk maakt of kan maken op de persoonlijke levenssfeer van betrokkene.
Artikel 1 Persoonlijk onderzoek
o Een persoonlijk onderzoek kan worden ingesteld nadat:
Het ingestelde feitenonderzoek geen of onvoldoende uitsluitsel geeft voor het nemen van een beslissing bij een verzekeringsaanvraag, lopende verzekeringsovereenkomst, schademelding of andere aanspraak op uitkering of prestatie;
Of:
Gerede twijfel is ontstaan over de juistheid of volledigheid van de resultaten van het feitenonderzoek, zodanig dat bij de verzekeraar een redelijk vermoeden van verzekeringsfraude of andere vormen van oneigenlijk gebruik van verzekeringsproducten of diensten is ontstaan.
Artikel 2 Belangenafweging betrokkene en verzekeraar (Proportionaliteit)
2.1. De verzekeraar maakt bij het instellen van een persoonlijk onderzoek steeds een zorgvuldige afweging tussen de belangen van de verzekeraar bij het uitvoeren van het onderzoek en het recht op bescherming van de persoonlijke levenssfeer van betrokkene.
2.2. Bij deze belangenafweging moeten alle relevante aspecten betrokken worden, zoals het recht op bescherming van de persoonlijke levenssfeer van betrokkene, het financiële belang, het belang bij waarheidsvinding, het belang bij snelle en zorgvuldige besluitvorming of de mate van inbreuk op integriteit of veiligheid.
Artikel 3 Belangenafweging onderzoeksmiddel (Subsidiariteit)
3.1. De verzekeraar beoordeelt of persoonlijk onderzoek het enige hem ten dienste staande middel is dan wel of er andere mogelijkheden van onderzoek zijn die tot minder inbreuk op de persoonlijke levenssfeer van betrokkene leiden maar wel hetzelfde resultaat kunnen opleveren.
3.2. De verzekeraar maakt daarbij de afweging of het doel van het persoonlijk onderzoek (en de daarbij te hanteren bijzondere onderzoeksmethoden en -middelen) in redelijkheid niet op een andere, voor de bescherming van de persoonlijke levenssfeer van de betrokkene minder nadelige, wijze kan worden bereikt.
Artikel 4 Besluit persoonlijk onderzoek
4.1. De verantwoordelijkheid voor het besluit tot het instellen van een persoonlijk onderzoek en de wijze waarop dit onderzoek wordt uitgevoerd ligt bij de verzekeraar.
4.2. Omdat een persoonlijk onderzoek invloed kan hebben op de persoonlijke levenssfeer van betrokkene moet de beslissing over het onderzoek, waaronder de te hanteren methode, gemotiveerd worden genomen. In ieder geval moet worden vastgelegd, door wie en op welke gronden het besluit genomen is.
4.3. Het is niet toegestaan dat deze beslissing uitsluitend wordt genomen door de dossierbehandelaar of onderzoeker zelf. De beslissing tot het instellen van een persoonlijk onderzoek moet worden genomen door leidinggevende van de betrokken dossierbehandelaar of door de afdeling Veiligheidszaken. Als de dossierbehandelaar/onderzoeker werkzaam is op de afdeling Veiligheidszaken moet zijn leidinggevende beslissen.
Artikel 9 Informatieplicht
9.1. Voordat de verzekeraar informatie gaat inwinnen bij derden, als bedoeld in artikel 7.1.b. zal hij de betrokkene daarover informeren.
9.2. De verzekeraar maakt daarbij melding van het doel en de globale aard van dit persoonlijke onderzoek.
9.3. Als het onderzoek zal plaatsvinden ten behoeve van meerdere verzekeraars moet de betrokkene geïnformeerd worden door elke verzekeraar afzonderlijk. Als een verzekeraar aanhaakt bij een lopend persoonlijk onderzoek moet de betrokkene daarover door deze verzekeraar worden geïnformeerd.
9.4. Het melden aan betrokkene dat een persoonlijk onderzoek wordt ingesteld, blijft achterwege als dit noodzakelijk is in het belang van een of meer van de gevallen die worden genoemd in artikel 43 onder a. tot en met
e. van de Wet bescherming persoonsgegevens.
9.5. De verzekeraar zal de betrokkene informeren over de resultaten van het persoonlijk onderzoek.
9.6. Betrokkene wordt geïnformeerd dat observatie als bedoeld in artikel 7.1.c. heeft plaatsgevonden.
9.7. De informatieplicht in artikel 9.5. en 9.6 blijft achterwege als dit noodzakelijk is in het belang van een of meer van de gevallen die worden genoemd in artikel 43 onder a. tot en met e. van de Wet bescherming persoonsgegevens.
Relevante artikelen uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013
In het toepasselijke Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 zijn de volgende relevante bepalingen opgenomen:
2. Begripsbepalingen
In dit protocol wordt verstaan onder:
Incident: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.
3.1 Incidentenregister en Extern Verwijzingsregister
3.1.1 Iedere Deelnemer heeft een Incidentenregister, waarin door de betreffende Deelnemer gegevens van (rechts)personen worden vastgelegd ten behoeve van het in artikel 4.1.1 Protocol genoemde doel, naar aanleiding van of betrekking hebbend op een (mogelijk) Incident. (…)
3.1.2 Aan het Incidentenregister is een Extern Verwijzingsregister gekoppeld. (…)
4 Incidentenregister
4.1 Doel Incidentenregister
4.1.1 Met het oog op het kunnen deelnemen aan het Waarschuwingssysteem is iedere Deelnemer gehouden de volgende doelstelling voor het vastleggen van gegevens in het Incidentenregister te hanteren:
“Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:
- op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers;
- op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;
- op het gebruik van en de deelname aan waarschuwingssystemen.”
4.2 Toegang tot het Incidentenregister
(…)
4.2.3 De gegevens uit het Incidentenregister van de Deelnemer mogen tevens worden uitgewisseld met functionarissen werkzaam bij de daartoe ingerichte, coördinatiefuncties van de NVB, Verbond, VFN, ZN, FOV en SFH (de fraudeloketten).
(…)
4.3 Verwijdering van gegevens uit het Incidentenregister
(…)
4.3.2 Verwijdering van gegevens uit het Incidentenregister moet plaatsvinden uiterlijk 8 jaar na opname van het betreffende gegeven in het Incidentenregister, tenzij zich ten aanzien van de betreffende (rechts)persoon een nieuwe aanleiding heeft voorgedaan die opnamen in het Incidentenregister rechtvaardigt.
5 Extern Verwijzingsregister
(…)
5.2 Vastlegging van gegevens in het Extern Verwijzingsregister
5.2.1 De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en na toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister.
a) De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële instelling, alsmede de (Organisatie van de) Financiële instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector.
b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klachten wordt gedaan bij een opsporingsambtenaar.
c) Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister.
5.3 Verwijdering van gegevens uit het Extern Verwijzingsregister
(…)
5.3.2 Verwijdering van Verwijzingsgegevens uit het Extern Verwijzingsregister moet plaatsvinden uiterlijk 8 jaar na opname van het betreffende gegeven in het Incidentenregister, tenzij zich ten aanzien van de betreffende (rechts)persoon een nieuwe aanleiding heeft voorgedaan en opname in het Extern Verwijzingsregister conform artikel 5.2.1 Protocol heeft plaatsgevonden.
Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018
In de Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018 zijn de volgende relevante artikelen opgenomen:
4. Doeleinden
(…)
4.5 Integriteit en veiligheid dienstverlening
4.5.1 Verzekeraars verwerken Persoonsgegevens om de integriteit en veiligheid van (de dienstverlening van) de Verzekeraar, de Groep waartoe de Verzekeraar behoort en van de verzekeringsbranche te waarborgen. Zij treffen daartoe maatregelen, waaronder het (laten) uitvoeren van een interne audit en het inrichten van een Incidentenregister en eventuele deelname aan andere waarschuwingssystemen.
4.5.2 Een audit richt zich op het handelen van Verzekeraars of ingeschakelde Derden.
De Verzekeraars treffen passende waarborgen ter bescherming van Persoonsgegevens van de Betrokkene gedurende het onderzoek van de Verzekeraar of ingeschakelde Derden. Een auditverslag bevat geen Persoonsgegevens. 4.5.3 Verzekeraars houden een Gebeurtenissenadministratie bij ter waarborging van de veiligheid en integriteit van de dienstverlening en de sector. Verzekeraars informeren Betrokkenen over het bestaan en de mogelijkheid tot Verwerking van Persoonsgegevens in dit verband. De afdeling Veiligheidszaken of een andere daartoe aangewezen afdeling bij een Verzekeraar kan besluiten de Persoonsgegevens uit de Gebeurtenissenadministratie op te nemen in een Intern Verwijzingsregister (IVR). In het IVR nemen Verzekeraars uitsluitend Persoonsgegevens op van (rechts)personen die een risico vormen voor de veiligheid en/of integriteit van de Verzekeraar of de Groep waartoe de Verzekeraar behoort. Indien een gebeurtenis voldoet aan de criteria uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI), nemen Verzekeraars de relevante Persoonsgegevens op in een Incidentenregister en, in voorkomende gevallen, het Extern Verwijzingsregister (EVR). In overeenstemming met artikel 2.2.2 van de Gedragscode is het PIFI van toepassing op deze Verwerking.