Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2021-0162
Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2021-0162
(mr. E.C. Xxxxxxxx, voorzitter, mr. R.L.H. IJzerman, mr. A.M.T. Wigger, leden en mr. S.J.A. Xxxxxx, secretaris)
Klacht ontvangen op : 24 januari 2020 Ingediend door : Consument
Tegen : ABN AMRO Schadeverzekering N.V., gevestigd te Zwolle, verder te noemen Verzekeraar Datum uitspraak : 19 februari 0000
Xxxx uitspraak : Bindend advies
Bijlagen : Relevante artikelen uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 en de relevante artikelen uit de Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018
Samenvatting
Registratie persoonsgegevens in externe en interne verwijzingsregisters. De Commissie oordeelt dat voldoende is komen vast te staan dat Consument onjuiste gegevens heeft verstrekt met het doel een uitkering te verkrijgen waarop hij geen recht had. Verzekeraar mocht uitkering van de waterschade weigeren en de persoonsgegevens van Consument opnemen in de Gebeurtenissen- administratie, het IVR, het Incidentenregister en het EVR. De vordering wordt afgewezen.
1. Procesverloop
De Commissie beslist met inachtneming van haar Reglement en op basis van de volgende stukken:
• het door Consument (digitaal) ingediende klachtformulier met aanvulling;
• het verweerschrift van Verzekeraar;
• de aanvulling op het verweerschrift van Verzekeraar;
• de repliek van Consument;
• de dupliek van Verzekeraar;
• de aanvulling op de dupliek van Verzekeraar.
De Commissie stelt vast dat partijen hebben gekozen voor bindend advies.
Partijen zijn opgeroepen voor een hoorzitting op 26 november 2020. Op de hoorzitting was Consument aanwezig, samen met zijn vertegenwoordiger de heer mr. F.T. Xxxxxx. Ook Verzekeraar was aanwezig.
2. Feiten
De Commissie gaat uit van de volgende feiten.
2.1 Consument heeft per 11 februari 2008 een inboedelverzekering (hierna: de Verzekering) bij Verzekeraar afgesloten. Op de verzekering zijn de voorwaarden inboedelverzekering 0218 (hierna: de Voorwaarden) van toepassing verklaard. In de Voorwaarden staat – voor zover relevant – het volgende:
“Wij mogen uw verzekering ook beëindigen in de volgende situaties:
(…)
⮚ bij fraude door u. Wij mogen dan ook andere verzekeringen beëindigen die u bij ons heeft;”
2.2 In mei 2018 heeft Consument een waterschade bij Verzekeraar gemeld. Deze schade, waaronder schade aan het laminaat in de keuken, is toen vastgesteld op € 2.592,00. Dit bedrag is onder aftrek van het eigen risico van € 250,00 aan Consument uitgekeerd.
2.3 Op 4 juni 2019 heeft Consument bij Verzekeraar opnieuw een schadeclaim ingediend in verband met hemelwater dat bij hevige regenval de woning is binnengedrongen.
2.4 Het door Verzekeraar ingeschakelde expertisebureau CED Nederland heeft in haar rapport van 8 juli 2019 de schade aan het sauswerk en de laminaatvloer vastgesteld op respectievelijk
€ 1.350,00 en € 3.250,00, in totaal derhalve € 4.600,00.
2.5 Per brief van 8 augustus 2019 heeft Verzekeraar Consument als volgt bericht:
“Onderzoek en conclusie
Uit het onderzoek is gebleken dat u voor de tweede keer dezelfde laminaatvloer claimt. U stelt dat u na de schade van mei 2018 de laminaatvloer in de hele woning door soortgelijk laminaat heeft laten vervangen. U hebt dit niet kunnen bewijzen met een aankoopnota. Uit vergelijking van de
foto’s van 2018 en 2019 blijkt, dat het legpatroon beide jaren exact overeenkomt. We kunnen dan ook niet anders, dan concluderen dat u na de waterschade van mei 2018 de laminaatvloer in de keuken niet hebt (laten) vervangen. Door de betreffende vloer voor een tweede keer te claimen hebt u getracht een uitkering te krijgen waar u geen recht op heeft. Dit merken wij aan als
verzekeringsfraude. (…) “
Verzekeraar heeft Consument meegedeeld dat hij geen uitkering ontvangt en dat de verzekeringsrelatie per direct wordt beëindigd. Verzekeraar heeft de (persoons)gegevens van Consument geregistreerd in de Gebeurtenissenadministratie, en in het Intern Verwijzingsregister (hierna: het IVR) van NN Group voor de duur van acht jaar. Daarnaast heeft Verzekeraar de (persoons)gegevens van Consument voor de duur van twee jaar geregistreerd in het Incidentenregister en in het Extern verwijzingsregister (hierna: het EVR).
2.6 Consument heeft bezwaar gemaakt tegen de getroffen maatregelen, waarbij hij ter onderbouwing van zijn schade Verzekeraar een factuur heeft laten zien gedateerd
4 september 2018 van Projectservice [X] voor de levering en plaatsing van een AGT Conceptline Dorino laminaatvloer met bijpassende plakplinten.
2.7 Daarnaast heeft Consument een handgeschreven verklaring van zijn buurman F. (hierna: de Buurman) met datum 8 september 2019 aan Verzekeraar gezonden. In deze verklaring staat onder meer:
“hier bij wil ik mijn verklaring legen als getuig over mij buurman.
[naam Consument] die boven mij woont dat ergens in september 2018 veel lawaai hoorde ik toen ging ik kijken bij hem waar vandaan die lawaai komt toen blijkt mensen bij hem met laminaat aan het inleggen”
2.8 In de procedure bij Kifid heeft Consument een verklaring in gebracht, gedateerd 18 juni 2020, van een hulppersoon van Projectservice [X] (hierna: de Xxxxxxxxxxx) overgelegd, die luidt als volgt:
“Hier bij verklaar ik De heer [naam de Stoffeerder] de vloer bij [naam Consument] op de [adres
Consument] te hebben gestoffeerd met een laminaatvloer.
Dit heb ik zonder teveel ervaring gelegt”
2.9 Onderzoeksbureau I-TEK heeft in haar in opdracht van Xxxxxxxxxxx opgestelde rapport van 10 september 2020 onder meer het volgende opgenomen:
“2 RESUMÉ
Aan de hand van het hierboven omschreven onderzoek is het navolgende vastgesteld:
• De vloeren op de foto’s van de schade-expert van zowel het jaar 2018 als het jaar 2019, komen voor wat betreft de wijze van ligging (leggen) en kleur met elkaar overheen.
• De kleur van de vloer die door de schade-expert is gefotografeerd na de geclaimde schade van 2019, komt niet overeen met de vloer die op de factuur van Projectservice [X] is vermeld.
(…)
• De [naam de Stoffeerder] gaf op een vloer te hebben gelegd bij verzekerde, maar weigerde zijn verdere medewerking aan het onderzoek.
(…)
4.8 Onderzoek vloer AGT Conceptline Dorino
Vanwege het feit dat [naam eigenaar Projectservice [X]] tijdens het bezoek van rapporteur niet kon aantonen waar hij de op de factuur vermelde vloer (AGT Conceptline Dorino) had gekocht en hij dit per e-mail later bevestigde, ontstond de indruk bij rapporteur dat de onderhavige vloer niet is geleverd aan verzekerde en derhalve niet kan zijn vervangen na de schade van 2018.
Derhalve is via het internet onderzoek verricht naar de vloer AGT Conceptline Dorino en zijn de foto's vergeleken met de foto's die door de schade-expert zijn gemaakt in 2018 en 2019.
Uit de foto's die op het internet zijn aangetroffen van de vloer AGT Conceptline Dorino blijkt dat deze vloer bestaat uit enkelvoudige plankdelen (zie foto's 1 t/m 3). De kleur is crème met een grijs motief.
Uit de foto's van de schade-expert blijkt dat in de woning van verzekerde verschillende laminaatvloeren aanwezig waren; in zowel 2018 als in 2019 was in een niet nader door de schade-expert aangeduide ruimte een laminaatvloer aanwezig die bestaat uit meerdere plankdelen (zie foto's 4 en 5). De kleur van die vloer komt niet overeen met de vloer AGT Conceptline Dorino.
Uit de foto's van de schade-expert blijkt tevens dat de vloer(en) in de overige gefotografeerde ruimten in 2018 en 2019 overeenkomen met elkaar voor wat de betreft de wijze van leggen en tevens komen de kleuren van die vloeren met elkaar overeen.
De vloeren zijn echter geelachtig van kleur met een bruin motief (zie foto 6 en 7) en komen niet overeen met de kleur van de vloer op de factuur van Projectservice
[X] (AGT Conceptline Dorino).”
2.10 Op de registratie van de persoonsgegevens van Consument in het EVR en het daaraan gekoppelde Incidentenregister is het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 (hierna: het Protocol) van toepassing. De relevante bepalingen uit deze regelgeving zijn als bijlage bij deze uitspraak gevoegd.
2.11 Van belang voor de beoordeling van de registratie van de persoonsgegevens van Consument in de Gebeurtenissenadministratie en het daaraan gekoppelde IVR is de Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018 (hierna: ‘GVPV’) dat ten tijde van de registratie van toepassing was. De relevante bepalingen uit deze regelgeving zijn als bijlage bij deze uitspraak gevoegd.
3. Vordering, klacht en verweer
Vordering Consument
3.1 Consument vordert uitkering van de schade van € 4.600,00, verwijdering/doorhaling van de registratie van zijn persoonsgegevens uit de Gebeurtenissenadministratie en het daaraan gekoppelde IVR, verwijdering/doorhaling van de registratie van zijn persoonsgegevens uit het Incidentenregister en het daaraan gekoppelde EVR en intrekking van de melding aan het CBV.
Grondslagen en argumenten daarvoor
3.2 Deze vordering steunt, kort en zakelijk weergegeven, op de volgende grondslagen. Verzekeraar heeft Consument ten onrechte beticht van fraude.
• Na de eerdere waterschade in mei 2018 is het laminaat wel degelijk hersteld. Na de waterschade uit 2018 moest de laminaatvloer door het opbollen hiervan wel vervangen worden. Het was niet mogelijk de vloer te laten liggen. Consument heeft dan ook niet tweemaal de vervangingskosten van dezelfde laminaatvloer geclaimd.
• Dat de in 2018 beschadigde laminaatvloer is vervangen kan worden afgeleid uit de nota van Projectservice [X], de verklaring van de Buurman en de verklaring van de Stoffeerder.
• De Stoffeerder heeft in het telefoongesprek met Verzekeraar wél gezegd het laminaat in de keuken te hebben vervangen. Alleen over het al dan niet leggen van laminaat in een zijkamer was hij niet zeker.
Verweer Verzekeraar
3.3 Verzekeraar heeft de stellingen van Consument gemotiveerd weersproken. Voor zover nodig zal de Commissie bij de beoordeling daarop ingaan.
4. Beoordeling
4.1 De Commissie ziet zich voor de vraag gesteld 1) of consument recht op uitkering onder de verzekeringsvoorwaarden heeft en 2) of Verzekeraar de persoonsgegevens van Consument mocht registreren en van de registratie in het Incidentenregister melding mocht maken bij het CBV.
Het weigeren van uitkering
4.2 Consument vordert dat Verzekeraar overgaat tot vergoeding van zijn schade. Verzekeraar heeft zich op het standpunt gesteld dat Consument hem opzettelijk onjuiste informatie heeft verstrekt om een uitkering te krijgen waarop hij bij de ware stand van zaken geen recht zou hebben. Om die reden heeft Verzekeraar de schade die Consument claimt niet vergoed. Hiermee doet Verzekeraar een beroep op artikel 7:941 lid 5 Burgerlijk Wetboek (hierna: BW).
4.3 Op grond van artikel 7:941 BW is - kort gezegd - de verzekeringnemer verplicht de verzekeraar alle gegevens te verschaffen die van belang zijn om zijn uitkeringsplicht te beoordelen (lid 2) en vervalt het recht op volledige uitkering indien de verzekeringnemer die verplichting niet is nagekomen met het opzet verzekeraar te misleiden (lid 5).
4.4 Voorop staat dat het op de weg van Verzekeraar ligt om te stellen, en zo nodig te bewijzen, dat Consument opzettelijk een onjuiste voorstelling van zaken heeft gegeven. De Commissie is van oordeel dat Verzekeraar hierin is geslaagd. Voor dit oordeel acht de Commissie het volgende redengevend.
4.5 Verzekeraar betoogt dat uit de door hem ingebrachte foto’s en het rapport van onderzoeks- bureau I-TEK is gebleken dat de in 2019 als beschadigd geclaimde laminaatvloer nog voor ten minste een deel, in ieder geval in de keuken en de gang, dezelfde is als de vloer waarvoor Verzekeraar in 2018 tot uitkering is overgegaan. De foto’s van het in 2019 beschadigde laminaat tonen exact dezelfde tekening van nerven, knoesten en hetzelfde legpatroon als de foto’s van het laminaat dat in 2018 beschadigd is geraakt. Ook is op de foto’s uit 2019 te zien dat er in de woning verschillende soorten laminaat liggen, terwijl Consument stelt dat na de waterschade die zich in 2018 voordeed het laminaat in de volledige woning is vervangen. De door Consument overgelegde factuur van Projectservice [X] kan bovendien geen betrekking hebben op de vloer zoals die in 2019 door de CED Nederland is aangetroffen. De op de factuur genoemde ‘AGT Conceptline Dorino’ heeft een andere kleur dan de door CED Nederland in de woning aangetroffen vloer. Op grond van het vorenstaande is de Commissie van oordeel dat het vermoeden van Verzekeraar dat de in 2019 geclaimde laminaat vloer dezelfde is als de reeds in 2018 door Verzekeraar vergoede laminaatvloer gerechtvaardigd is.
4.6 Consument heeft onvoldoende tegenbewijs geleverd om dit vermoeden te ontkrachten. Uit de verklaring van de Buurman kan hooguit worden geconcludeerd dat hij heeft waar-
genomen dat in de woning van Consument aan het laminaat werd gewerkt, maar hieruit kan niet worden afgeleid dat de laminaatvloer in de keuken en gang vernieuwd is. Dit blijkt evenmin uit de verklaring van de Stoffeerder. In deze verklaring valt namelijk niet te lezen in welke delen van de woning de Stoffeerder nieuw laminaat heeft gelegd. Daarbij wordt de stelling van Consument dat de Stoffeerder telefonisch aan Verzekeraar heeft verklaard het laminaat in de keuken te hebben vervangen en dat hij alleen niet zeker was of in een zijkamer het laminaat eveneens is vervangen, door Verzekeraar gemotiveerd betwist. Verzekeraar heeft in dit kader aangevoerd dat de Stoffeerder in het bewuste telefoongesprek heeft gezegd zich niet meer te kunnen herinneren in welke ruimtes van de woning hij de laminaatvloer had vervangen.
4.7 Uit het gegeven dat Consument in 2019 een reeds in 2018 vergoede laminaatvloer claimt en blijft volharden dat de in 2018 beschadigde laminaatvloer volledig is vervangen, leidt de Commissie bovendien af dat Consument opzettelijk een onjuiste voorstelling van zaken heeft gegeven teneinde een schade-uitkering te ontvangen waarop hij (deels) geen recht had.
4.8 Concluderend is de Commissie dan ook van oordeel dat Consument Verzekeraar opzettelijk heeft misleid als bedoeld in artikel 7:941 lid 5 BW, zodat geen recht op dekking dan wel uitkering van vergoeding voor de in 2019 ontstane waterschade bestaat.
Registratie in het Incidentenregister en EVR
4.9 Verzekeraar heeft de persoonsgegevens van Consument geregistreerd in het EVR en het Incidentenregister. Opname van persoonsgegevens in deze registers, en met name de registratie in het EVR, kan voor de betrokkene verstrekkende negatieve consequenties hebben. Alle deelnemende financiële instellingen kunnen immers door toetsing in het EVR vaststellen dat sprake is van opname in het Incidentenregister van (een) andere deelnemer(s). Het gevolg hiervan kan zijn dat niet alleen de deelnemer die tot opname in het EVR is overgegaan, maar ook andere deelnemers hun (financiële) diensten aan de betrokkene zullen weigeren. Tegen deze achtergrond is de Commissie van oordeel dat hoge eisen moeten worden gesteld aan de grond(en) van Verzekeraar voor opname van de persoonsgegevens van Consument in de genoemde registers.1
4.10 Artikel 5.2.1 van het Protocol (zie bijlage) bepaalt onder welke voorwaarden persoons- gegevens mogen worden opgenomen in het EVR. Uit een uitspraak van de Hoge Raad volgt dat voor het registreren van persoonsgegevens op grond artikel 5.2.1 onder a en b, een strafrechtelijke veroordeling van de betrokkene niet is vereist. Wel is een zwaardere verdenking dan een redelijk vermoeden van fraude door de betrokkene vereist.2 Ten slotte moet het proportionaliteitsbeginsel in acht worden genomen (zie art. 5.2.1 onder c van het Protocol). Vastgesteld moet worden dat het belang van opname in het EVR prevaleert boven de mogelijk nadelige gevolgen daarvan voor de betreffende persoon. In dit verband is met name de door Verzekeraar gekozen duur van de opname van de persoonsgegevens in het EVR van belang.
4.11 Hiervoor onder 4.5 tot en met 4.8 is uiteengezet dat de Commissie van oordeel is dat sprake is van opzettelijke misleiding door Consument van Verzekeraar. Dit brengt mee dat aan de vereisten voor registratie in het EVR genoemd in artikel 5.2.1 onder a en b van het Protocol is voldaan. Op grond van artikel 5.2.1 onder c van het Protocol dient Verzekeraar bij registratie van persoonsgegevens in het EVR een proportionaliteitsafweging te maken.
1 Zie o.a. Xxx Xxxxxx-Xxxxxxxxxx 00 januari 2016, ECLI:NL:GHARL:2016:494, rechtsoverweging 4.3, te vinden op xxx.xxxxxxxxxxx.xx, en GC Kifid 2017-717 onder 4.2., te vinden op xxx.xxxxx.xx.
2 Zie Hoge Raad 29 mei 2009, ECLI:NL:HR:2009:BH4720, overweging 4.4.
Voor registratie in het EVR en de duur daarvan dient het belang van Verzekeraar, en dat van de andere verzekeraars, bij de registratie te worden afgewogen tegen de mogelijk nadelige gevolgen van de registratie voor Consument. De gevolgen van opname in het EVR moeten in verhouding staan tot de gewraakte gedraging en de overige omstandigheden van het geval. (Zie GC Kifid 2016-302, onder 4.9.) De Consument die verwijdering van zijn persoons- gegevens verlangt, zal moeten onderbouwen op grond waarvan hij meent disproportioneel in zijn belangen te zijn geschaad en waarom zijn belang dient te prevaleren boven het belang van Verzekeraar c.q. de financiële sector bij handhaving van de registratie.
4.12 Verzekeraar heeft de persoonsgegevens van Consument voor de duur van twee jaar in het Incidentenregister en het EVR geregistreerd. Verzekeraar heeft geen inzicht gegeven aan de hand van welke omstandigheden hij tot deze registratieduur is gekomen. De maximale registratieduur is acht jaar. Uit het feit dat Verzekeraar de persoonsgegevens van Consument voor twee jaar heeft geregistreerd leidt de Commissie af dat er een afweging heeft plaatsgevonden. Op zijn beurt heeft Consument geen omstandigheden aangevoerd die een kortere registratieduur rechtvaardigen. Gelet hierop en gelet op het verwijt dat Consument wordt gemaakt ziet de Commissie geen aanleiding om te oordelen dat de duur van de registratie in het EVR en het daaraan gekoppelde Incidentenregister verkort moet worden.
4.13 Gelet op het bovenstaande dient ook deze registratie in het Incidentenregister te worden gehandhaafd. Het EVR is gekoppeld aan het Incidentenregister (artikel 5.1.1 van het Protocol). Dit brengt mee dat zolang registratie in het EVR terecht en proportioneel is, de gegevens ook in het Incidentenregister blijven staan.
De melding aan het CBV
4.14 Op grond van artikel 4.2.3. van het Protocol mogen de gegevens in het Incidentenregister uitgewisseld worden met functionarissen werkzaam bij de daartoe ingerichte coördinatie- functies van het Verbond van Verzekeraars, te weten het fraudeloket. Dit is het CBV. Gelet op hetgeen hiervoor is overwogen mocht Verzekeraar het CBV van de registratie van de persoonsgegevens van Consument in kennis stellen. Verzekeraar hoeft de melding aan het CBV niet in te trekken.
Registratie in de Gebeurtenissenadministratie en IVR NN Group
4.15 Vervolgens is de vraag aan de orde of Verzekeraar de persoonsgegevens van Consument mocht opnemen in de Gebeurtenissenadministratie en het IVR van NN Group. Deze registers vormen het interne waarschuwingssysteem van de Verzekeraar en de groep financiële ondernemingen waar Verzekeraar deel van uitmaakt.
De Gebeurtenissenadministratie is een register van (persoons)gegevens die daarin zijn verwerkt omdat zij van belang zijn voor de veiligheid en integriteit van de financiële instelling en om die reden speciale aandacht behoeven (zie artikel 10 GVPV in de bijlage). Door opname van verwijzingsgegevens in het IVR van NN Group, kan de overkoepelende organisatie waarvan Verzekeraar onderdeel uitmaakt op deze informatie opmerkzaam worden gemaakt.
4.16 De Commissie heeft hiervoor onder 4.5 tot en met 4.8 overwogen dat de feiten en omstandigheden de conclusie rechtvaardigen dat sprake is van fraude door Consument en onder 4.10 tot en met 4.14 dat opname in de registers met externe werking is toegestaan. Nu aan de registratie in de interne registers hetzelfde feitencomplex ten grondslag ligt en deze registraties minder vergaand zijn, heeft Verzekeraar naar het oordeel van de Commissie de gegevens ook in de Gebeurtenissenadministratie en het IVR van NN Group mogen opnemen voor de duur van acht jaar. De Commissie neemt daarbij in aanmerking dat de gevolgen van vermelding in de Gebeurtenissenadministratie en het IVR van NN Group beperkt zijn, omdat zij uitsluitend werken binnen de organisatie van de desbetreffende financiële instelling en deze interne registraties Consument niet beletten een relatie aan te gaan met andere financiële instellingen.
5. Beslissing
De Commissie wijst de vordering af.
U kunt, binnen twee weken na de verzenddatum van deze uitspraak, bij de Voorzitter van de Geschillencommissie Financiële Dienstverlening schriftelijk een verzoek indienen tot herstel van kennelijke vergissingen in de uitspraak. U moet daarbij met name denken aan correctie van reken- of schrijffouten en verbetering van namen en data. De volledige procedure met de termijnen die daarbij in acht moeten worden genomen staat beschreven in artikel 40 van het Reglement.
Bijlage
Relevante artikelen uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013
In het toepasselijke Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 zijn de volgende relevante bepalingen opgenomen:
2. Begripsbepalingen
In dit protocol wordt verstaan onder:
Incident: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.
3.1 Incidentenregister en Extern Verwijzingsregister
3.1.1 Iedere Deelnemer heeft een Incidentenregister, waarin door de betreffende Deelnemer gegevens van (rechts)personen worden vastgelegd ten behoeve van het in artikel 4.1.1 Protocol genoemde doel, naar aanleiding van of betrekking hebbend op een (mogelijk) Incident. (…)
3.1.2 Aan het Incidentenregister is een Extern Verwijzingsregister gekoppeld. (…)
4 Incidentenregister
4.1 Doel Incidentenregister
4.1.1 Met het oog op het kunnen deelnemen aan het Waarschuwingssysteem is iedere Deelnemer gehouden de volgende doelstelling voor het vastleggen van gegevens in het Incidentenregister te hanteren:
“Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:
- op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers;
- op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;
- op het gebruik van en de deelname aan waarschuwingssystemen.”
4.2 Toegang tot het Incidentenregister
(…) 4.2.3 De gegevens uit het Incidentenregister van de Deelnemer mogen tevens worden uitgewisseld met functionarissen werkzaam bij de daartoe ingerichte, coördinatiefuncties van de NVB, Verbond, VFN, ZN, FOV en SFH (de fraudeloketten).
(…)
4.3 Verwijdering van gegevens uit het Incidentenregister
(…)
4.3.2 Verwijdering van gegevens uit het Incidentenregister moet plaatsvinden uiterlijk 8 jaar na opname van het betreffende gegeven in het Incidentenregister, tenzij zich ten aanzien van de betreffende (rechts)persoon een nieuwe aanleiding heeft voorgedaan die opnamen in het Incidentenregister rechtvaardigt.
5 Extern Verwijzingsregister
5.1. Functie van het Extern Verwijzingsregister
5.1.1 Volledige en ongecontroleerde toegang tot het Incidentenregister van een Deelnemer door de overige Deelnemers is niet wenselijk. Daarom is er voor gekozen aan het Incidentenregister een Extern Verwijzingsregister te koppelen. In het Extern Verwijzingsregister zijn uitsluitend Verwijzingsgegevens opgenomen. Het Extern Verwijzingsregister is raadpleegbaar door de (Organisaties van de) Deelnemers. Nadat door een Deelnemer wordt vastgesteld dat een (rechts)persoon is opgenomen in het Externe Verwijzingsregister, zijn volgens het bepaalde in artikel 4.2 Protocol gegevens uit het Incidentenregister voor de Deelnemer beschikbaar. Op deze wijze worden gegevens uit het Incidentenregister op een zorgvuldige en gecontroleerde wijze beschikbaar voor de (Organisaties van de) Deelnemers.
5.2 Vastlegging van gegevens in het Extern Verwijzingsregister
5.2.1 De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en na toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister. a) De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële instelling, alsmede de (Organisatie van de) Financiële instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector.
b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klachten wordt gedaan bij een opsporingsambtenaar.
c) Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister.
5.3 Verwijdering van gegevens uit het Extern Verwijzingsregister
(…)
5.3.2 Verwijdering van Verwijzingsgegevens uit het Extern Verwijzingsregister moet plaatsvinden uiterlijk 8 jaar na opname van het betreffende gegeven in het Incidentenregister, tenzij zich ten aanzien van de betreffende (rechts)persoon een nieuwe aanleiding heeft voorgedaan en opname in het Extern Verwijzingsregister conform artikel 5.2.1 Protocol heeft plaatsgevonden.
Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018
In de Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018 zijn de volgende relevante artikelen opgenomen:
3. Beginselen
3.1 Algemeen
3.1.1 Verzekeraars verwerken Persoonsgegevens in overeenstemming met geldende wet- en regelgeving. Zij respecteren de beginselen van proportionaliteit, subsidiariteit en vertrouwelijkheid en verwerken Persoonsgegevens op een transparante, behoorlijke en zorgvuldige wijze.
3.2 Grondslagen verwerking
3.2.1 Verzekeraars baseren iedere Verwerking van Persoonsgegevens op een in geldende wet- en regelgeving opgenomen grondslag. De Gedragscode bevat een nadere uitwerking van rechtmatige grondslagen uit wet- en regelgeving voor Verwerkingen van Persoonsgegevens door Verzekeraars.
3.3 Verzameling Persoonsgegevens
3.3.1 Verzekeraars verzamelen Persoonsgegevens voor welbepaalde en uitdrukkelijk omschreven doeleinden. In de Gedragscode staat een aantal van deze doeleinden verder uitgewerkt in artikel 4. Daarnaast kunnen Verzekeraars in overeenstemming met geldende wet- en regelgeving Persoonsgegevens Verwerken op grond van andere doeleinden. Verzekeraars omschrijven de doeleinden van Verwerkingen en de bronnen van Persoonsgegevens in een privacybeleid.
4. Doeleinden
4.1 Algemeen
4.1.1 Verzekeraars beschrijven de doeleinden voor de Verwerking van Persoonsgegevens in hun privacybeleid. Artikel 4 werkt veelvoorkomende doeleinden voor de Verwerking van Persoonsgegevens door Verzekeraars nader uit.
4.1.2 Verzekeraars voeren een gegevensbeschermingseffectbeoordeling (hierna DPIA) uit als bedoeld in artikel 7.4, zodra zij Persoonsgegevens verder verwerken voor andere doeleinden dan
beschreven in het privacybeleid en deze verdere verwerking, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze verdere Verwerking van Persoonsgegevens is alleen geoorloofd als het nieuwe doel verwant is aan het oorspronkelijke doel van de Verwerking en als de aard van de Persoonsgegevens en de gevolgen voor de Betrokkene zich niet tegen verdere Verwerking verzetten. Verzekeraars informeren de Betrokkene over de nieuwe Verwerking van Persoonsgegevens in overeenstemming met afdeling 6 van de Gedragscode.
(…)
4.5 Integriteit en veiligheid dienstverlening
4.5.1 Verzekeraars verwerken Persoonsgegevens om de integriteit en veiligheid van (de dienstverlening van) de Verzekeraar, de Groep waartoe de Verzekeraar behoort en van de verzekeringsbranche te waarborgen. Zij treffen daartoe maatregelen, waaronder het (laten) uitvoeren van een interne audit en het inrichten van een Incidentenregister en eventuele deelname aan andere waarschuwingssystemen.
4.5.2 Een audit richt zich op het handelen van Verzekeraars of ingeschakelde Derden. De Verzekeraars treffen passende waarborgen ter bescherming van Persoonsgegevens van de Betrokkene gedurende het onderzoek van de Verzekeraar of ingeschakelde Derden. Een auditverslag bevat geen Persoonsgegevens. 4.5.3 Verzekeraars houden een Gebeurtenissenadministratie bij ter waarborging van de veiligheid en integriteit van de dienstverlening en de sector. Verzekeraars informeren Betrokkenen over het bestaan en de mogelijkheid tot Verwerking van Persoonsgegevens in dit verband. De afdeling Veiligheidszaken of een andere daartoe aangewezen afdeling bij een Verzekeraar kan besluiten de Persoonsgegevens uit de Gebeurtenissenadministratie op te nemen in een Intern Verwijzingsregister (IVR). In het IVR nemen Verzekeraars uitsluitend Persoonsgegevens op van (rechts)personen die een risico vormen voor de veiligheid en/of integriteit van de Verzekeraar of de Groep waartoe de Verzekeraar behoort. Indien een gebeurtenis voldoet aan de criteria uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI), nemen Verzekeraars de relevante Persoonsgegevens op in een Incidentenregister en, in voorkomende gevallen, het Extern Verwijzingsregister (EVR). In overeenstemming met artikel 2.2.2 van de Gedragscode is het PIFI van toepassing op deze Verwerking.
10. Definities
Gebeurtenis is een voorval dat de aandacht verlangt van een Verzekeraar vanwege een mogelijk effect op de veiligheid en integriteit van de bedrijfsvoering, werknemers, klanten, overige relaties en de verzekeringsbranche. Hieronder valt bijvoorbeeld mogelijke fraude of ander laakbaar of onrechtmatig gedrag, potentiële en daadwerkelijke vorderingen, onder meer ten aanzien van een met een Verzekeraar gesloten overeenkomst en het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen;
Gebeurtenissenadministratie is de Verwerking van Persoonsgegevens in verband met een Gebeurtenis;
In de toelichting bij artikel 4.5.3 is het volgende opgenomen:
Eén van de veiligheidsmaatregelen die Verzekeraars nemen is het vastleggen van Gebeurtenissen die van belang kunnen zijn voor de veiligheid en integriteit van de onderneming en de sector. Deze Gebeurtenissen worden door Verzekeraars vastgelegd in een administratie. Dit deel van de administratie wordt de Gebeurtenissenadministratie genoemd. In deze administratie worden gegevens bijgehouden die naar het oordeel van de Verzekeraar van belang kunnen zijn voor de kwaliteit, veiligheid en integriteit van de Verzekeraar, de Groep waartoe de Verzekeraar behoort en de verzekeringsbranche. Het kan daarbij gaan om uiteenlopende gebeurtenissen. Denk aan uitkomsten van screeningsverzoeken, klachten van klanten, (mogelijke) verzekeringsfraude of het niet naleven van afspraken waaronder structureel wanbetalingsgedrag of faillissementen. De Gebeurtenissenadministratie is een verzameling van gegevens en vormt het geheugen van de Verzekeraar. Verzekeraars hebben geen inzage in elkaars Gebeurtenissenadministraties, tenzij ze deel uitmaken van dezelfde Groep. Ondernemingen die behoren tot een Groep kunnen ook een gezamenlijke Gebeurtenissenadministratie voeren.
De afdeling Veiligheidszaken of een daartoe aangewezen afdeling van de Verzekeraar kan besluiten de verwijzingsgegevens van personen waarvan gegevens zijn vastgelegd in de Gebeurtenissenadministratie op te nemen in een Intern Verwijzingsregister (IVR). Een klein deel van de informatie uit de Gebeurtenissenadministratie wordt zo toetsbaar. Het IVR bestaat ter voorkoming van toegang tot Persoonsgegevens van een brede groep medewerkers en om veilig gebruik binnen de Groep waartoe de Verzekeraar behoort te faciliteren. Dit register kan dus, net zoals de Gebeurtenissenadministratie, niet door andere verzekeraars worden geraadpleegd.
Een IVR bevat verwijzingsgegevens. Dit zijn identificerende gegevens (naw-gegevens en geboortedatum) van personen die een zeker risico vormen. Het IVR bevat dus geen aanvullende informatie over de persoon of de Gebeurtenis. De Verzekeraar maakt steeds een zorgvuldige afweging voordat verwijzingsgegevens worden opgenomen, waarbij het gewicht van de Gebeurtenis een belangrijke rol speelt (direct of voor de
toekomst). Om een Gebeurtenis op deze wijze binnen maatschappij of Groep te delen, kan onder meer een rol spelen of een redelijk vermoeden bestaat van opzettelijke benadeling door de Betrokkene. Het kan bijvoorbeeld gaan om oneigenlijk gebruik van producten, diensten en voorzieningen van een Verzekeraar of pogingen daartoe. Denk ook aan het intern signaleren van een redelijke vermoeden van het plegen van strafbare of laakbare gedragingen of (een poging tot) overtredingen van (wettelijke) voorschriften gericht tegen de Verzekeraar, haar klanten of medewerkers.
Voor zover relevant voor zijn werkzaamheden kan een medewerker van de Verzekeraar het IVR raadplegen. Bijvoorbeeld als een persoon klant wil worden of bij sollicitatieprocedures. Er vindt een toets plaats aan de hand van de naw-gegevens en geboortedatum van de betreffende persoon. Het systeem van de toetsing werkt op basis van hit-no hit. De medewerker die de toets uitvoert ziet bij een hit niet waarom, maar wel dat een (rechts)persoon is opgenomen. In het geval van een hit moet de medewerker altijd de afdeling Veiligheidszaken of een daartoe aangewezen afdeling van de Verzekeraar inschakelen die de medewerker vervolgens adviseert. Het advies kan bijvoorbeeld zijn om wel of geen contract met de sollicitant aan te gaan. Met betrekking tot een klant kunnen bijvoorbeeld speciale voorwaarden worden afgesproken, zoals aanvullende polisvoorwaarden of dekkingsbeperkingen. Relevante afdelingen of medewerkers kunnen zo op de hoogte worden gesteld dat bepaalde personen of zaken extra aandacht nodig hebben.
Naast het hebben van een Gebeurtenissenadministratie en een IVR dient een Verzekeraar ook een branchewaarschuwingssysteem te voeren. Dit is een systeem dat het mogelijk maakt voor Verzekeraars om elkaar te waarschuwen. Omdat Persoonsgegevens in dit geval buiten de Groep worden gedeeld, gelden hiervoor bijzondere aanvullende regels. De regels met betrekking tot het branchewaarschuwingssysteem zijn vastgelegd in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).
In bepaalde gevallen kunnen Verzekeraars Persoonsgegevens in verband met royementen, vorderingen, het indienen van een claim en andere Gebeurtenissen mede vastleggen in registers die worden onderhouden door een onafhankelijke rechtspersoon, bijvoorbeeld de Stichting Centraal Informatiesysteem die optreedt als Verantwoordelijke voor het Centraal Informatie Systeem in de verzekeringsbranche. Op het verstrekken en raadplegen van Persoonsgegevens in deze systemen is deze Gedragscode van toepassing.
De Verwerking van de Persoonsgegevens in de systemen zelf valt buiten de Gedragscode. De Stichting Centraal Informatie Systeem hanteert daarvoor een eigen privacy- en gebruikersreglement, dat is te raadplegen via
de website: xxxxx://xxx.xxxxxxxxxxxx.xx/xx-xx/xxxxxxxxxxx.xxxx.