Uitspraak Geschillencommissie Kifid nr. 2023-0106
Uitspraak Geschillencommissie Kifid nr. 2023-0106
(mr. dr. D.P.C.M. Xxxxxxxxx, voorzitter, mr. A.M.T. Wigger, mr. P.G. Salvadori, leden en xx. X. Xxxxxx, secretaris)
Klacht ontvangen op | 15 september 2022 |
Ingediend door | De consument |
Tegen | Nationale-Nederlanden Schadeverzekering Maatschappij N.V., gevestigd te ‘s-Gravenhage, verder te noemen de verzekeraar |
Datum uitspraak | 8 februari 2023 |
Aard uitspraak | Bindend advies |
Uitkomst | Vordering toegewezen |
Bijlage | Relevante bepalingen uit wet- en regelgeving |
Samenvatting
De verzekeraar beschuldigt de consument ervan dat hij een dubbele claim inzake het verlies van een verlovingsring heeft ingediend, omdat vast is komen te staan dat niet alleen bij de verzekeraar, maar ook bij de reisverzekeraar een claim is ingediend vanwege het verlies van dezelfde verlovingsring. De commissie is van oordeel dat niet is vast komen te staan dat de consument betrokken is geweest bij het indienen van de claim bij de reisverzekeraar.
Hierdoor is dus niet vast komen te staan dat de consument heeft gefraudeerd. De verzekeraar dient alle door hem geplaatste registraties ongedaan te maken.
1. Procedure
1.1 De behandelend commissie, verder te noemen de commissie, beslist op basis van het reglement en op basis van de door partijen aan Kifid ingestuurde documenten inclusief bijlagen. Het gaat om: 1) het klachtformulier van de consument; 2) de aanvullende stukken van de consument; 3) het verweerschrift van de verzekeraar en; 4) de repliek van de consument.
1.2 Partijen zijn opgeroepen voor een hoorzitting op 16 januari 2023. Op de hoorzitting was de consument aanwezig. Namens de verzekeraar waren aanwezig mevrouw [naam 1], advocaat en heer [naam 2], fraude coördinator.
1.3 De consument en de verzekeraar hebben gekozen voor een bindend advies. Dit betekent dat partijen elkaar aan de uitspraak kunnen houden.
2. Het geschil
2.1 De consument heeft bij de verzekeraar een inboedelverzekering afgesloten. Nadat de consument op 14 juli 2021 heeft geconstateerd dat zijn verloofde haar verlovingsring niet meer om haar vinger had, heeft hij op 9 augustus 2021 een claim bij de verzekeraar ingediend.
2.2 Op 2 september 2021 heeft de verzekeraar de consument geïnformeerd dat uit onderzoek is gebleken dat de consument zowel op zijn reisverzekering als op zijn inboedelverzekering bij de verzekeraar het verlies van één en dezelfde verlovingsring heeft geclaimd, maar onder opgave van verschillende data en locaties. Tevens heeft de verzekeraar aan de consument medegedeeld dat uit een vergelijking van de bij de reisverzekeraar en de verzekeraar ingediende facturen is gebleken dat hij valsheid in geschrifte heeft gepleegd.
2.3 De verzekeraar heeft de schadeclaim van de consument afgewezen en de lopende verzekeringen van de consument beëindigd. Ook heeft de verzekeraar de persoons- gegevens van de consument voor de duur van 5 jaar geregistreerd in het Incidenten- register en het daaraan gekoppelde Extern verwijzingsregister (hierna ‘EVR’) en voor de duur van 8 jaar in de Gebeurtenissenadministratie en het daaraan gekoppelde Intern Verwijzingsregister (hierna “IVR”). Tot slot heeft de verzekeraar het Centrum Bestrijding Verzekeringscriminaliteit (hierna ‘CBV’) van het Verbond van Verzekeraars op de hoogte gebracht van de registratie in het Incidentenregister.
2.4 De consument heeft bezwaar gemaakt tegen het standpunt van de verzekeraar. Omdat de verzekeraar bij zijn standpunt is gebleven, heeft de consument een klacht bij Kifid ingediend.
2.5 De commissie begrijpt de klacht van de consument zo dat hij vordert dat de verzekeraar de door hem geplaatste registraties ongedaan maakt. Ter onderbouwing van zijn vordering heeft de consument het volgende aangevoerd.
2.6 Volgens de consument heeft de verzekeraar hem ten onrechte beschuldigd van fraude. De consument was in eerste instantie niet op de hoogte van het feit dat zijn verloofde de verlovingsring was verloren en ook niet van het feit dat zijn verloofde al bij de reisverzekeraar een claim had ingediend.
2.7 De mededeling van de verzekeraar dat sprake was van een dubbele claim, kon de consument destijds dan ook niet plaatsen. De consument heeft toen het een en ander met zijn verloofde besproken en vernam op dat moment pas dat zijn verloofde haar ring reeds eerder op vakantie was verloren en dat zij dit niet heeft durven te vertellen.
2.8 De verloofde van de consument heeft op de gezamenlijke computer in de huiskamer toegang tot zijn mailbox en heeft vanuit deze mailbox aan een aantal partijen mail- berichten gezonden met melding van het verlies van de verlovingsring. Omdat de claim op de reisverzekering door de verzekeringsnemer gedaan moest worden, heeft de verloofde van de consument haar broer gevraagd de claim bij de reisverzekeraar in te dienen en zich daarbij voor te doen als de consument. In het verdere verloop van de schademelding bij de reisverzekeraar is er dus vanuit de mailbox van de consument gecorrespondeerd. De consument heeft dit allemaal niet opgemerkt, net zomin als de schriftelijke correspondentie die is gevoerd en de uitbetaling op de bankrekening van de consument. De consument heeft dit allemaal niet opgemerkt omdat zijn vader na een ziekbed net was overleden en hij midden in het regelen van de uitvaart zat. Bovendien ontving hij zijn e-mail niet op zijn telefoon, maar alleen op de computer in de huiskamer.
2.9 Er is sprake geweest van een zeer ongelukkige samenloop van omstandigheden en een zeer impactvolle periode als gevolg van opname, operatie en het overlijden van de vader van de consument. Dientengevolge heeft zijn verloofde hem niet willen belasten met het verlies van de verlovingsring. Er is geen sprake van opzet en bewuste handelingen met de intentie de verzekeraar te misleiden. De consument heeft niet gefraudeerd. De consument verwijst naar de uitspraken met de nummers 2018-377, 2020-198 en 2021-032.
2.10 De consument betwist ook dat hij ter zake van de ingediende facturen valsheid in geschrifte heeft gepleegd. Dat er een andere datum op de factuur die naar de reisverzekeraar is gestuurd stond, komt omdat de verloofde van de consument een kopie heeft opgevraagd. De consument heeft bij de verzekeraar de originele factuur ingediend.
2.11 Gelet op de discussie die tussen de consument en de verzekeraar was ontstaan, heeft de consument er op advies van zijn rechtsbijstandsverzekeraar voor gekozen zijn verloofde geen verklaring te laten afleggen. Hij vond het risico te groot dat ook de persoonsgegevens van zijn verloofde zouden worden geregistreerd, nu de verzekeraar in de gehele discussie een behoorlijk starre houding had aangenomen.
2.12 De registraties belemmeren de consument in de mogelijkheid om op basis van een reguliere maandpremie verzekeringen af te sluiten. Zijn belangen worden dan ook ernstig geschaad. Daarbij komt dat de moeder van de consument een specifieke zorgbehoefte op grond van haar gezondheidssituatie heeft. Op grond van het feit dat zij ingeschreven staat op het adres van de consument maakt dat ook zijn moeder door de EVR van de consument wordt getroffen. Een gevaar voor recidive kan ook uitgesloten worden. De opname van zijn persoonsgegevens in de registers is dan ook niet langer terecht. De reisverzekeraar heeft de registraties wel doorgehaald.
2.13 De verzekeraar heeft verweer gevoerd tegen de stellingen van de consument.
2.14 De verzekeraar is van mening dat in voldoende mate vast is komen te staan dat de consument heeft gefraudeerd door een dubbele claim ter zake één en dezelfde verlovingsring in te dienen. Uit beide schadeclaims en met name uit de correspondentie die vanuit de mailbox van de consument met de reisverzekeraar is gevoerd, blijkt uitsluitend betrokkenheid van de consument. De verzekeraar verwijst hierbij nog specifiek naar de wijze waarop met de reisverzekeraar is gecorrespondeerd. Deze wijze van corresponderen komt overeen met die van de consument.
2.15 Daarbij komt dat eenvoudig te leveren bewijs van de stellingname van de consument, zoals een verklaring van zijn verloofde, niet is overgelegd. Xxxxxxx schreef de consument in zijn e-mail van 18 augustus 2021 dat hij zeker wist dat zijn verloofde haar verlovingsring op 10 juli 2021 nog had, omdat hij toen op het sterfbed van zijn vader de verlovingsring aan haar hand nog had gekust. Dit terwijl de vermissing van de ring 4 dagen eerder al telefonisch bij de reisverzekeraar was gemeld. Op diezelfde dag heeft de consument een e-mail naar Xxxxxxxxxxxxxxxx.xx gestuurd met het bericht dat zijn verloofde haar ring was verloren (samen met verzoek om een duplicaat nota). De
e-mail van de consument 14 januari 2022 waarin hij schreef “Nogmaals het is een levensles die ik geleerd heb, ben nooit betrokken geweest bij fraude zaken etc, de feiten liggen er met de enige door u te trekken conclusie. Ik wil u alleen vragen is de opgelegde straf in verhouding met het geheel” samen met de bereidheid van de consument om de schade- uitkering en de kosten van de reisverzekeraar terug te betalen kan de verzekeraar niet anders uitleggen dan als een schuldbekentenis.
2.16 Alles overziend kan niet anders worden geconcludeerd dan dat de consument stelselmatig onwaarheden is blijven verkondigen, om zodoende de verzekeraar te misleiden. Hij heeft geprobeerd een dubbele uitkering te verkrijgen voor het verlies van één en dezelfde verlovingsring. De verzekeraar mocht dan ook overgaan tot het registreren van de persoonsgegevens van de consument in de verschillende registers en het melden van deze registraties aan het CBV.
2.17 Met name de herhaaldelijke leugens, het indienen van een dubbele claim na de eerdere vergoeding door de reisverzekeraar en de valse aangifte van vermissing hebben een negatieve invloed op de registratieduur.
3. De beoordeling
Welke vraag moet de commissie beantwoorden?
3.1 Alhoewel het partijdebat zich met name heeft toegespitst op de externe registraties, vat de commissie de klacht van de consument ook zo op dat zij ook de vraag moet beantwoorden of de verzekeraar de persoonsgegevens van de consument in de interne registers mocht registreren.1 Daarmee hangt ook samen de vraag of de verzekeraar de verschillende verzekeringen mocht beëindigen en daarvan melding mocht maken in de verschillende registers.
3.2 De commissie is van oordeel dat de verzekeraar de persoonsgegevens van de consument ten onrechte in de verschillende registers heeft opgenomen. Dat betekent dat de verzekeraar de registraties uit de registers moet verwijderen. Het oordeel van de commissie zal hierna worden toegelicht. Eerst zal het juridisch kader worden geschetst waarna de zaak aan de hand van dit toetsingskader zal worden beoordeeld.
Wanneer mag de verzekeraar persoonsgegevens opnemen in de externe registers?
3.3 Omdat deze registraties grote gevolgen hebben voor consumenten, is de commissie van oordeel dat verzekeraars niet zonder goede reden persoonsgegevens mogen opnemen in de genoemde registers. Er worden dan ook terecht hoge eisen gesteld aan die reden(en). De eisen voor registratie in het Incidentenregister en het EVR zijn opgenomen in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen 2021 (hierna: ‘het Protocol’, zie bijlage).
3.4 Artikel 5.2.1 van het Protocol bepaalt onder welke voorwaarden persoonsgegevens mogen worden opgenomen in het EVR. Vereist is dat er een zwaardere verdenking tegen de consument bestaat dan alleen maar een redelijk vermoeden van schuld aan de fraude, in die zin dat de te verwerken strafrechtelijke persoonsgegevens in voldoende mate moeten vaststaan. Een strafrechtelijke veroordeling van de betrokkene is niet vereist.2 Het uitgangspunt is dat de verzekeraar moet kunnen aantonen dat in voldoende mate vaststaat dat de gedraging van de consument de kwalificatie strafbaar feit kan dragen. Dit betekent dat alleen een verdenking van fraude niet genoeg is, hier moet ook enig bewijs voor zijn. De verzekeraar moet dus goede redenen hebben de gegevens te registreren en hij moet dat ook voldoende kunnen onderbouwen. Het is aan de verzekeraar te bewijzen dat hiervan sprake is.
1 Er is bij het invullen van het klachtformulier immers geen sprake van ‘het formuleren van een vordering’. Door het indienen van dat formulier wordt een klacht in volle omvang aan de Geschillencommissie voorgelegd, zie HR 17 november 1995, NJ 0000/000 (Xxxxx/Xxxxx) en art. 47 lid 2 onder h van het reglement. 2 Zie Hoge Raad 29 mei 2009, ECLI:NL:HR:2009:BH4720, overweging 4.4 (te vinden op xxx.xxxxxxxxxxx.xx).
De registraties in het EVR en het Incidentenregister zijn niet terecht
3.5 De verzekeraar stelt zich op het standpunt dat de consument hem opzettelijk heeft misleid door te proberen een dubbele uitkering te verkrijgen voor het verlies van één en dezelfde verlovingsring, terwijl hij daar geen recht op had. De consument heeft een uitvoerige verklaring gegeven, zoals weergegeven bij de nummers 2.5 t/m 2.12, voor de door de verzekeraar geconstateerde merkwaardigheden. De consument ontkent dat hij betrokken is geweest bij het indienen van de claim bij de reisverzekeraar.
3.6 De verzekeraar is er op basis van de aangevoerde argumenten niet in geslaagd de commissie ervan te overtuigen dat de consument heeft geprobeerd ter zake de verlovingsring een dubbele uitkering te krijgen. De commissie is van oordeel dat de verzekeraar onvoldoende naar voren heeft gebracht om vast te kunnen stellen dat de consument wist dat zijn verloofde al een claim bij de reisverzekeraar had ingediend. Evenmin is vast komen te staan dat de consument zelf de claim bij de reisverzekeraar heeft ingediend. In het licht van de consistente verklaringen van de consument, met name daar waar het gezamenlijke gebruik van de computer en de periode van ziekte en rouw betreft, acht de commissie niet in voldoende mate vaststaan dat de consument betrokken was bij of wetenschap had van de eerdere claim. De commissie neemt daarbij mee dat de consument ook ter zitting desgevraagd het een en ander op een consistente wijze heeft opgehelderd, niet is gebleken dat de consument tegenstrijdig heeft verklaard en niet valt uit te sluiten dat het is gegaan zoals de consument heeft verklaard.
3.7 Dat de consument in eerste instantie stellig heeft verklaard dat hij aan het sterfbed van zijn vader de verlovingsring had gezien, maakt het voorgaande niet anders. Gelet op de situatie waarin de consument zich destijds bevond, is het denkbaar dat hij ook daadwerkelijk in die veronderstelling verkeerde. De commissie kan zich voorts voorstellen dat de houding van de verzekeraar in deze kwestie voor de consument reden is geweest om zijn verloofde geen verklaring te laten afleggen. Niet weersproken is dat dit ook het advies is geweest van zijn rechtsbijstandsverzekeraar. Daarbij acht de commissie van belang dat de consument ter zitting heeft aangegeven bereid te zijn om erover na te denken zijn verloofde alsnog een verklaring te laten afleggen.
3.8 De verzekeraar stelt zich tot slot op het standpunt dat de consument bij e-mail van 14 januari 2022 heeft erkend dat hij heeft gefraudeerd. Gelet op de context waarin voornoemde e-mail door de consument is verstuurd, is de commissie echter van oordeel dat hierin geen erkenning van de consument besloten ligt.
3.9 De commissie is dan ook van oordeel dat niet is vast komen te staan dat de consument heeft gefraudeerd. Dit brengt mee dat niet is voldaan aan de vereisten die het Protocol stelt om tot registratie in het EVR over te gaan. De verzekeraar is dan ook onterecht overgegaan tot het registreren van de persoonsgegevens van de consument in het EVR en dient die registratie te verwijderen.
De registratie in het Incidentenregister en de melding aan het CBV
3.10 Vervolgens is de vraag aan de orde of de registratie in het Incidentenregister wel mag worden gehandhaafd. De commissie oordeelt dat ook de registratie in het Incidenten- register moet worden doorgehaald. Er is niet langer voldaan aan artikel 3.1.1 van het Protocol. Nu niet is vast komen te staan dat de consument heeft gefraudeerd, zijn de geregistreerde gegevens niet langer ter zake dienend. De registratie draagt niet langer bij aan het onderkennen, voorkomen, onderzoeken en bestrijden van strafbare gedragingen, en ook niet kan worden gezegd dat de registratie anderszins nog kan bijdragen aan de in artikel 4.1.1 Protocol omschreven doelen.
3.11 Op grond van artikel 4.2.3 van het Protocol worden de gegevens in het Incidenten- register uitgewisseld met functionarissen werkzaam bij de daartoe ingerichte coördinatiefuncties van het Verbond van Verzekeraars, te weten het fraudeloket. Dit is het CBV. Gelet op hetgeen hiervoor is overwogen dient de verzekeraar de melding van de incidentenregistratie aan het CBV in te trekken.
Tussenconclusie registratie EVR, Incidentenregister en melding aan het CBV
3.12 De verzekeraar heeft ten onrechte de persoonsgegevens van de consument geregistreerd in het Incidentenregister en het daaraan gekoppelde EVR. De registraties in deze registers dienen te worden doorgehaald. Ook de melding aan het CBV dient te worden ingetrokken.
Over de registratie in de Gebeurtenissenadministratie en het IVR
3.13 De verzekeraar heeft aangegeven de persoonsgegevens van de consument te hebben opgenomen in de Gebeurtenissenadministratie en het IVR.
3.14 Deze registers vormen het interne waarschuwingssysteem van de verzekeraar en de groep financiële ondernemingen waar de verzekeraar deel van uitmaakt. De Gebeurtenissenadministratie is een register van (persoons)gegevens die daarin zijn verwerkt omdat een voorval dat de aandacht verlangt van een de verzekeraar een mogelijk effect heeft op de veiligheid en integriteit van de financiële instelling (artikel 10 Gedragscode Verwerking Persoonsgegevens Verzekeraars, verder ‘GVPV’). Op grond van artikel 4.5.3 GVPV kunnen persoonsgegevens die betrekking hebben op (onder meer) gebeurtenissen die aandacht behoeven van de financiële instelling, worden opgenomen in de Gebeurtenissenadministratie ten behoeve van het waarborgen van de veiligheid en integriteit. Gegevens kunnen ook in het IVR worden opgenomen wanneer de betrokkene een risico vormt voor de veiligheid en/of integriteit van de verzekeraar of de groep waartoe de verzekeraar behoort. De Gebeurtenissenadministratie wordt beheerd en is - uitsluitend - in te zien door de Afdeling Veiligheidszaken van de betrokken financiële instelling. In het IVR kunnen de verwijzingsgegevens van de betrokkene worden opgenomen zodat de eigen organisatie opmerkzaam wordt gemaakt op de persoon die was betrokken bij een ‘gebeurtenis’.
De registraties in de Gebeurtenissenadministratie en het IVR zijn niet terecht
3.15 De commissie is van oordeel dat de verzekeraar niet heeft mogen overgaan tot het registreren van de persoonsgegevens in de Gebeurtenissenadministratie en het IVR. De door de verzekeraar aangevoerde grondslag voor deze registraties is opzettelijke misleiding c.q. fraude. Omdat niet is komen vast te staan dat hiervan sprake is, is de door de verzekeraar aangevoerde grondslag van deze registraties weggevallen. Het is aan de verzekeraar om het doel van de registratie in het IVR en de Gebeurtenissen- administratie te onderbouwen. Nu de verzekeraar geen andere grondslag heeft aangedragen, is de commissie van oordeel dat ook de registratie in de Gebeurtenissen- administratie en het IVR niet gehandhaafd kan blijven.
De beëindiging van de verzekeringen
3.16 De consument heeft gesteld dat hij ernstige hinder ondervindt van de verschillende registraties. Het is voor de consument lastig om zich tegen een enigszins reguliere premie te verzekeren. In dit kader heeft de consument ook last van eventuele registraties die zien op de beëindiging van de verschillende verzekeringen, zodat de commissie ook zal beoordelen of de verzekeraar de verschillende verzekeringen wel mocht beëindigen.
3.17 De verzekeraar heeft de consument bij brief van 6 januari 2021 laten weten dat al zijn verzekeringen die hij op dat moment bij de verzekeraar had lopen per 7 januari 2021 werden beëindigd. De grondslag hiervoor was dat de consument de verzekeraar opzettelijk misleid zou hebben en valsheid in geschrift zou hebben gepleegd. Tevens was er volgens de verzekeraar een gebrek aan vertrouwen.
3.18 Hiervoor is overwogen dat niet is vast komen te staan dat de consument de verzekeraar opzettelijk heeft misleid en er ook geen sprake is van valsheid in geschrifte. Hiermee is de grondslag voor beëindiging van de verschillende verzekeringen komen te vervallen. Op grond hiervan en op basis van de door de verzekeraar overgelegde stukken in de procedure, is niet vast komen te staan dat de verzekeraar gerechtigd was de verzekeringen op grond van artikel 7:940 lid 3 BW tussentijds te beëindigen.
3.19 Dit brengt met zich, voor zover de verzekeraar deze eenzijdige beëindigingen heeft geregistreerd in zijn interne registers dan wel het Centraal Informatie Systeem, dit doorgehaald dient te worden, zodat de consument daarvan geen eventuele nadelige gevolgen meer van kan ondervinden.
4. De beslissing
De commissie beslist dat de verzekeraar binnen twee weken na de uitspraakdatum:
- de melding aan het CBV dient in te trekken;
- eventuele registraties ter zake de beëindiging van de verzekeringen dient door te halen.
Deze uitspraak is bindend. Of u tegen deze uitspraak beroep kunt instellen, kunt u nalezen in regel 7 van het Reglement Commissie van Beroep Kifid – vanaf 1 april 2022, te vinden op de website xxx.xxxxx.xx/xxxxxxxxxxx-xx- statuten. In regel 18.1 van dat reglement is bepaald dat beroep kan worden ingesteld tot 6 weken na de dag van deze uitspraak. Meer informatie over het instellen van beroep kunt u vinden op de website xxx.xxxxx.xx/xx-xxxxxx-xxxx-xxx- kifid.
Binnen 2 weken na verzending van de uitspraak kunt u schriftelijk verzoeken een overduidelijke vergissing in de uitspraak zoals een schrijffout, een verkeerde naam/datum of een rekenfout te herstellen. De beslissing in de uitspraak kan hiermee niet ter discussie worden gesteld. Ook kunt u binnen 2 weken na verzending van de uitspraak schriftelijk verzoeken de uitspraak aan te vullen als u vindt dat niet op alle onderdelen van uw vordering is beslist. Dit ziet niet op de situatie waarin u meent dat de Geschillencommissie Kifid niet op al uw argumenten is ingegaan. Meer informatie hierover staat onder vraag 58 en 59 van het Reglement Geschillencommissie Kifid – vanaf 1 april 2022, te vinden op de website xxx.xxxxx.xx/xxxxxxxxxxx-xx-xxxxxxxx.
Contactgegevens Klachteninstituut Financiële Dienstverlening
Telefoonnummer: 070 - 333 8 999 Website: xxx.xxxxx.xx
Bijlage:
Protocol Incidentenwaarschuwingssysteem Financiële Instellingen 2021 (PIFI)
2 Begripsbepalingen
In dit Protocol wordt verstaan onder:
Incident: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding;
3.1 Incidentenregister en Extern Verwijzingsregister
3.1.1 Iedere Deelnemer heeft een Incidentenregister. In het Incidentenregister worden door de betreffende Deelnemer gegevens van (rechts)personen vastgelegd ten behoeve van het in artikel 4.1.1 Protocol genoemde doel, naar aanleiding van of betrekking hebbend op een Incident.
(…)
3.1.3 Aan het Incidentenregister is het Extern Verwijzingsregister gekoppeld. Het Extern Verwijzingsregister bevat uitsluitend Verwijzingsgegevens die onder strikte voorwaarden conform artikel 5.2 Protocol door de Deelnemers mogen worden opgenomen. Het Extern Verwijzingsregister is raadpleegbaar door de Deelnemers, alsmede de Organisatie van de Deelnemers via een Verwijzingsapplicatie. De Verwijzingsgegevens worden ontsloten door de Verwijzingsapplicatie
4.1 Doel Incidentenregister en vastlegging van gegevens in het Incidentenregister
4.1.1 Met het oog op het kunnen deelnemen aan het Waarschuwingssysteem is iedere Deelnemer gehouden de volgende doelstelling voor het vastleggen van gegevens in het Incidentenregister te hanteren: ‘Het geheel aan Verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:
• op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de Financiële Instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de Financiële Instelling behoort, van de Financiële Instelling zelf, alsmede van haar cliënten en medewerkers;
• op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de Financiële Instelling deel van uitmaakt, de economische eenheid (groep) waartoe de Financiële Instelling behoort, de Financiële Instelling zelf, alsmede haar cliënten en medewerkers;
• op het gebruik van en de deelname aan waarschuwingssystemen.’
4.1.2 Bij de vastlegging in het Incidentenregister moeten het proportionaliteitsbeginsel en het subsidiariteitsbeginsel in acht worden genomen.
4.2 Toegang tot het Incidentenregister
(…)
4.2.3 De gegevens in het Incidentenregister van de Deelnemer mogen tevens worden uitgewisseld met functionarissen werkzaam bij de daartoe ingerichte, coördinatiefuncties van de NVB, Verbond, VFN, ZN en SFH (de Fraudeloketten).
4.3 Verwijdering van gegevens uit het Incidentenregister
4.3.1 Indien niet langer aan de voorwaarden van artikel 3.1.1 en 3.4.7 Protocol wordt voldaan draagt de Deelnemer zorg voor verwijdering van dit gegeven uit het Incidentenregister. De Deelnemer doet dit ook op basis van een gehonoreerd verzoek tot wissing van gegevens conform artikel 9.4 Protocol.
4.3.2 Onverminderd het bepaalde in artikel 4.3.1 Protocol beoordeelt de Deelnemer na afloop van een onderzoek of opname van Persoonsgegevens in het Incidentenregister nog steeds voldoet aan de doelomschrijving van artikel 4.1.1 Protocol en de toets van artikel 4.1.2 Protocol.
4.3.3 Verwijdering van gegevens uit het Incidentenregister moet plaatsvinden uiterlijk 8 jaar na opname van het betreffende gegeven in het Incidentenregister, tenzij zich ten aanzien van de betreffende (rechts)persoon een nieuwe aanleiding heeft voorgedaan die opname in het Incidentenregister rechtvaardigt. Ten aanzien van de duur wordt getoetst aan het proportionaliteitsbeginsel.
5.1 Functie van het Extern Verwijzingsregister
5.1.1 Volledige en ongecontroleerde toegang tot het Incidentenregister van een Deelnemer door de overige Deelnemers is niet wenselijk. Daarom is er voor gekozen aan het Incidentenregister een Extern Verwijzingsregister te koppelen. In het Extern Verwijzingsregister zijn uitsluitend Verwijzingsgegevens opgenomen. Het Extern Verwijzingsregister is raadpleegbaar door de (Organisaties van de) Deelnemers. Nadat door een Deelnemer wordt vastgesteld dat een (rechts)persoon is opgenomen in het Extern Verwijzingsregister, zijn volgens het bepaalde in artikel 4.2 Protocol gegevens uit het Incidentenregister voor Veiligheidszaken van de Deelnemer beschikbaar. Op deze wijze worden gegevens uit het Incidentenregister op een zorgvuldige en gecontroleerde wijze beschikbaar voor de (Organisaties van de) Deelnemers.
5.2 Vastlegging van gegevens in het Extern Verwijzingsregister
5.2.1 De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en onder toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister.
a. De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële Instelling, alsmede de (Organisatie van de) Financiële Instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector.
b. In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klachte wordt gedaan bij een opsporingsambtenaar.
c. Het proportionaliteitsbeginsel wordt in acht genomen.
Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018
In de Gedragscode Verwerking Persoonsgegevens Verzekeraars van 20 juni 2018 zijn de volgende relevante artikelen opgenomen:
3. Beginselen
3.1 Algemeen
3.1.1 Verzekeraars verwerken Persoonsgegevens in overeenstemming met geldende wet- en regelgeving. Zij respecteren de beginselen van proportionaliteit, subsidiariteit en vertrouwelijkheid en verwerken Persoonsgegevens op een transparante, behoorlijke en zorgvuldige wijze.
3.2 Grondslagen verwerking
3.2.1 Verzekeraars baseren iedere Verwerking van Persoonsgegevens op een in geldende wet- en regelgeving opgenomen grondslag. De Gedragscode bevat een nadere uitwerking van rechtmatige grondslagen uit wet- en regelgeving voor Verwerkingen van Persoonsgegevens door Verzekeraars.
3.3 Verzameling Persoonsgegevens
3.3.1 Verzekeraars verzamelen Persoonsgegevens voor welbepaalde en uitdrukkelijk omschreven doeleinden. In de Gedragscode staat een aantal van deze doeleinden verder uitgewerkt in artikel 4. Daarnaast kunnen Verzekeraars in overeenstemming met geldende wet- en regelgeving Persoonsgegevens Verwerken op grond van andere doeleinden. Verzekeraars omschrijven de doeleinden van Verwerkingen en de bronnen van Persoonsgegevens in een privacybeleid.
4. Doeleinden
4.1 Algemeen
4.1.1 Verzekeraars beschrijven de doeleinden voor de Verwerking van Persoonsgegevens in hun privacybeleid. Artikel 4 werkt veelvoorkomende doeleinden voor de Verwerking van Persoonsgegevens door Verzekeraars nader uit.
4.1.2 Verzekeraars voeren een gegevensbeschermingseffectbeoordeling (hierna DPIA) uit als bedoeld in artikel 7.4, zodra zij Persoonsgegevens verder verwerken voor andere doeleinden dan
beschreven in het privacybeleid en deze verdere verwerking, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze verdere Verwerking van Persoonsgegevens is alleen geoorloofd als het nieuwe doel verwant is aan het oorspronkelijke doel van de Verwerking en als de aard van de Persoonsgegevens en de gevolgen voor de Betrokkene zich niet tegen verdere Verwerking verzetten. Verzekeraars informeren de Betrokkene over de nieuwe Verwerking van Persoonsgegevens in overeenstemming met afdeling 6 van de Gedragscode.
(…)
4.5 Integriteit en veiligheid dienstverlening
4.5.1 Verzekeraars verwerken Persoonsgegevens om de integriteit en veiligheid van (de dienstverlening van) de Verzekeraar, de Groep waartoe de Verzekeraar behoort en van de verzekeringsbranche te waarborgen. Zij treffen daartoe maatregelen, waaronder het (laten) uitvoeren van een interne audit en het inrichten van een Incidentenregister en eventuele deelname aan andere waarschuwingssystemen.
4.5.2 Een audit richt zich op het handelen van Verzekeraars of ingeschakelde Derden. De Verzekeraars treffen passende waarborgen ter bescherming van Persoonsgegevens van de Betrokkene gedurende het onderzoek van de Verzekeraar of ingeschakelde Derden. Een auditverslag bevat geen Persoonsgegevens.
4.5.3 Verzekeraars houden een Gebeurtenissenadministratie bij ter waarborging van de veiligheid en integriteit van de dienstverlening en de sector. Verzekeraars informeren Betrokkenen over het bestaan en de mogelijkheid tot Verwerking van Persoonsgegevens in dit verband. De afdeling Veiligheidszaken of een andere daartoe aangewezen afdeling bij een Verzekeraar kan besluiten de Persoonsgegevens uit de Gebeurtenissenadministratie op te nemen in een Intern Verwijzingsregister (IVR). In het IVR nemen Verzekeraars uitsluitend Persoonsgegevens op van (rechts)personen die een risico vormen voor de veiligheid en/of integriteit van de Verzekeraar of de Groep waartoe de Verzekeraar behoort. Indien een gebeurtenis voldoet aan de criteria uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI), nemen Verzekeraars de relevante Persoonsgegevens op in een Incidentenregister en, in voorkomende gevallen, het Extern Verwijzingsregister (EVR). In overeenstemming met artikel 2.2.2 van de Gedragscode is het PIFI van toepassing op deze Verwerking.
10. Definities
Gebeurtenis is een voorval dat de aandacht verlangt van een Verzekeraar vanwege een mogelijk effect op de veiligheid en integriteit van de bedrijfsvoering, werknemers, klanten, overige relaties en de verzekeringsbranche. Hieronder valt bijvoorbeeld mogelijke fraude of ander laakbaar of onrechtmatig gedrag, potentiële en daadwerkelijke vorderingen, onder meer ten aanzien van een met een Verzekeraar gesloten overeenkomst en het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen;
Gebeurtenissenadministratie is de Verwerking van Persoonsgegevens in verband met een Gebeurtenis;
In de toelichting bij artikel 4.5.3 is het volgende opgenomen:
Eén van de veiligheidsmaatregelen die Verzekeraars nemen is het vastleggen van Gebeurtenissen die van belang kunnen zijn voor de veiligheid en integriteit van de onderneming en de sector. Deze Gebeurtenissen worden door Verzekeraars vastgelegd in een administratie. Dit deel van de administratie wordt de Gebeurtenissenadministratie genoemd. In deze administratie worden gegevens bijgehouden die naar het oordeel van de Verzekeraar van belang kunnen zijn voor de kwaliteit, veiligheid en integriteit van de Verzekeraar, de Groep waartoe de Verzekeraar behoort en de verzekeringsbranche. Het kan daarbij gaan om uiteenlopende gebeurtenissen. Denk aan uitkomsten van screeningsverzoeken, klachten van klanten, (mogelijke) verzekeringsfraude of het niet naleven van afspraken waaronder structureel wanbetalingsgedrag of faillissementen. De Gebeurtenissenadministratie is een verzameling van gegevens en vormt het geheugen van de Verzekeraar. Verzekeraars hebben geen inzage in elkaars Gebeurtenissenadministraties, tenzij ze deel uitmaken van dezelfde Groep. Ondernemingen die behoren tot een Groep kunnen ook een gezamenlijke Gebeurtenissenadministratie voeren.
De afdeling Veiligheidszaken of een daartoe aangewezen afdeling van de Verzekeraar kan besluiten de verwijzingsgegevens van personen waarvan gegevens zijn vastgelegd in de Gebeurtenissenadministratie op te nemen in een Intern Verwijzingsregister (IVR). Een klein deel van de informatie uit de Gebeurtenissenadministratie wordt zo toetsbaar. Het IVR bestaat ter voorkoming van toegang tot Persoonsgegevens van een brede groep medewerkers en om veilig gebruik binnen de Groep waartoe de Verzekeraar behoort te faciliteren. Dit register kan dus, net zoals de Gebeurtenissenadministratie, niet door andere verzekeraars worden geraadpleegd.
Een IVR bevat verwijzingsgegevens. Dit zijn identificerende gegevens (naw-gegevens en geboortedatum) van personen die een zeker risico vormen. Het IVR bevat dus geen aanvullende informatie over de persoon of de Gebeurtenis. De Verzekeraar maakt steeds een zorgvuldige afweging voordat verwijzingsgegevens worden opgenomen, waarbij het gewicht van de Gebeurtenis een belangrijke rol speelt (direct of voor de
toekomst). Om een Gebeurtenis op deze wijze binnen maatschappij of Groep te delen, kan onder meer een rol spelen of een redelijk vermoeden bestaat van opzettelijke benadeling door de Betrokkene. Het kan bijvoorbeeld gaan om oneigenlijk gebruik van producten, diensten en voorzieningen van een Verzekeraar of pogingen daartoe. Denk ook aan het intern signaleren van een redelijke vermoeden van het plegen van strafbare of laakbare gedragingen of (een poging tot) overtredingen van (wettelijke) voorschriften gericht tegen de Verzekeraar, haar klanten of medewerkers.
Voor zover relevant voor zijn werkzaamheden kan een medewerker van de Verzekeraar het IVR raadplegen. Bijvoorbeeld als een persoon klant wil worden of bij sollicitatieprocedures. Er vindt een toets plaats aan de hand van de naw-gegevens en geboortedatum van de betreffende persoon. Het systeem van de toetsing werkt op basis van hit-no hit. De medewerker die de toets uitvoert ziet bij een hit niet waarom, maar wel dat een (rechts)persoon is opgenomen. In het geval van een hit moet de medewerker altijd de afdeling Veiligheidszaken of een daartoe aangewezen afdeling van de Verzekeraar inschakelen die de medewerker vervolgens adviseert. Het advies kan bijvoorbeeld zijn om wel of geen contract met de sollicitant aan te gaan. Met betrekking tot een klant kunnen bijvoorbeeld speciale voorwaarden worden afgesproken, zoals aanvullende polisvoorwaarden of dekkingsbeperkingen. Relevante afdelingen of medewerkers kunnen zo op de hoogte worden gesteld dat bepaalde personen of zaken extra aandacht nodig hebben.
Naast het hebben van een Gebeurtenissenadministratie en een IVR dient een Verzekeraar ook een branchewaarschuwingssysteem te voeren. Dit is een systeem dat het mogelijk maakt voor Verzekeraars om elkaar te waarschuwen. Omdat Persoonsgegevens in dit geval buiten de Groep worden gedeeld, gelden hiervoor bijzondere aanvullende regels. De regels met betrekking tot het branchewaarschuwingssysteem zijn vastgelegd in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).