News - Bescherming van persoonsgegevens beteugelt de googelende verzekeraar

Bescherming van persoonsgegevens beteugelt de googelende verzekeraar

Meer weten over dit onderwerp? In 2015 organiseren wij een gratis ontbijtsessie rondom het thema 'digitale risico's'. Meld u aan zodat wij u op de hoogte houden van de data.

Het recht op privacy is een grondrecht. Betekent dit dat er geen inbreuk op mag worden gemaakt? Of zijn gegevens op internet openbaar en mogen ze door iedereen worden ingezien? In dat geval zouden verzekeraars op persoonsgegevens mogen googelen nadat iemand een verzekering heeft aangevraagd of een claim heeft ingediend. Toch zitten hier haken en ogen aan: behoorlijk veel zelfs.

Wie op Facebook of Linkedin zit, twittert en tweets leest, weblogs volgt en veelvuldig zoekmachines gebruikt, weet natuurlijk dat sommige mensen ongeremd persoonsgegevens via websites en sociale media naar buiten brengen. Dit roept de vraag op of deze gegevens, doordat ze op internet openbaar zijn gemaakt, vrij mogen worden verzameld en verwerkt. Dit is niet het geval. 

De bescherming van persoonsgegevens is gebaseerd op de Grondwet, het Europees Verdrag voor de Rechten van de Mens, het Handvest Grondrechten van de EU en de Europese Richtlijn bescherming persoonsgegevens. De voorschriften hierin zijn in Nederland in de Wet bescherming persoonsgegevens (Wbp) opgenomen. De wet is niet van toepassing op de geautomatiseerde verwerking van persoonsgegevens voor persoonlijk en huishoudelijk gebruik, maar wel als die verwerking professioneel gebeurt. En alleen al het intypen in een zoekmachine op internet valt onder zo'n geautomatiseerde verwerking.

Risico's en sancties

De vraag is vervolgens aan welke voorwaarden zo'n geautomatiseerde verwerking van persoonsgegevens dan moet voldoen. Deze vraag is behandeld door mr. Hester de Vries, advocaat en partner bij advocatenkantoor Kennedy van der Laan in Amsterdam. Het is volgens haar één van de basisuitgangspunten dat er altijd een vooraf bepaald, nadrukkelijk omschreven en gerechtvaardigd doel moet zijn. Mogelijke doelen zijn direct marketing, fraudebestrijding en customer due diligence, dat wil zeggen het accepteren, identificeren, verifiëren en monitoren van cliënten en overeenkomsten.

Noodzakelijk is dat aan het criterium van proportionaliteit wordt voldaan: de inbreuk in privacy moet in verhouding staan tot het belang van degene die de inbreuk pleegt. Ook moet aan het criterium van subsidiariteit worden voldaan: hetzelfde doel moet niet op een manier kunnen worden bereikt waarbij geen of minder inbreuk op privacy wordt gepleegd.

Er zitten ook risico's en sancties aan de geautomatiseerde verwerking van persoonsgegevens, bijvoorbeeld als dit niet volgens de regels plaatsvindt. Het College Bescherming Persoonsgegevens (CBP) kan dan bestuursdwang uitoefenen, bijvoorbeeld een last onder dwangsom opleggen. De boetebevoegdheid van het CBP is nu nog miniem, maar in een voorstel tot wijziging van de Wbp is de boete verhoogd tot € 740.000,- per overtreding. In de Europese Algemene Verordening Gegevensbescherming wordt zelfs, als het aan het Europees Parlement ligt, een boetebevoegdheid opgenomen van maar liefst 5% van de wereldwijde omzet van een bedrijf voor elke incidentele overtreding. Bovendien kan de rechter, als de geautomatiseerde verwerking van persoonsgegevens niet volgens de regels heeft plaatsgevonden, tot het oordeel komen dat het aldus verkregen bewijs onrechtmatig is verkregen. 

Niet absoluut

Juist dit onrechtmatig verkregen bewijs is een thema dat prof. mr. Mop van Tiggele-van der Velde, hoogleraar Verzekeringsrecht aan de Erasmus Universiteit Rotterdam en aan de Radboud Universiteit Nijmegen heeft onderzocht. Zij gaf aan dat jaarlijks voor bijna één miljard euro wordt gefraudeerd, waarvan slechts zo'n 30 à 35 miljoen euro wordt gedetecteerd. 

Wordt echter eenmaal fraude vastgesteld, dan zijn de gevolgen niet gering. De wet zegt immers dat het recht op schade-uitkering in zijn geheel kan vervallen, ook als slechts partieel bedrog is gepleegd, dus op een enkel onderdeel van de schade. Hieraan is toegevoegd 'behoudens voor zover de misleiding het verval van het recht op uitkering niet rechtvaardigt', om de rechter de mogelijkheid te geven rekening te houden met de bijzonderheden van elk geval.

Van Tiggele bespreekt vervolgens hoe ver een verzekeraar bij een vermoeden van fraude in een onderzoek mag gaan. Zij benadrukt dat de aanspraak op bescherming van de persoonlijke levenssfeer niet absoluut is, maar steeds zal moeten worden afgewogen tegen het belang dat anderen kunnen hebben bij kennis van gegevens die tot de persoonlijke levenssfeer behoren.

Casuïstiek van fraude

Over het onrechtmatig verkregen bewijs voert Van Tiggele aan dat dit een begrip uit het strafrecht is, dat in het civiel recht nog maar weinig is ontwikkeld en dus van geval tot geval moet worden beoordeeld. Zij wijst erop dat de inhoud van onrechtmatig verkregen bewijs in sommige gevallen wel degelijk als bewijs mag worden gebruikt, waarbij ook weer de afweging moet plaatsvinden tussen een bescherming van belangen enerzijds en waarheidsvinding anderzijds. Wel zal volgens haar zulk bewijs in elk geval buiten beschouwing worden gelaten bij een flagrante en disproportionele schending van privacy.

In het verlengde hiervan vraagt zij u de stelling in overwegen dat een benadeelde die een duur fraudeonderzoek 'uitlokt' door onjuiste of onvolledige verklaringen af te leggen, aansprakelijk is voor de schade die de verzekeraar daardoor lijdt (de kosten van het onderzoek). Dat deze stelling in de praktijk wel degelijk standhoudt, blijkt uit een uitspraak van de Rechtbank Assen (25 juli 2007, LJN: BH6215). Hierin werd geoordeeld dat een gedaagde onrechtmatig had gehandeld door de verzekeraar onjuist te informeren en dat hij uit dien hoofde aansprakelijk was voor de geleden schade.

Volgens Van Tiggele is de casuïstiek van fraude in drie situaties te vangen:

  • de verzekerde doet alsof een ongeval heeft plaatsgevonden;
  • de verzekerde veroorzaakt zelf een voorval;
  • de verzekerde levert onjuiste of onvolledige informatie aan nadat een verzekerd voorval zich heeft voorgedaan.
Zij stelt dat in de eerste twee situaties over de opzet tot misleiding niet lang hoeft te worden nagedacht, terwijl in de derde situatie het verzekerde voorval zich wel degelijk heeft voorgedaan en er daarom een hoge drempel is voor het bewijs van opzet tot misleiding. 

De toekomst van privacy

Trendwatcher Adjiedj Bakas denkt dat het gebruik van 'big data' de komende decennia alleen nog maar toenemen, met alle gevolgen van dien. Per minuut worden momenteel 204 miljoen e-mails en 100.000 tweets verstuurd en komen er 571 nieuwe websites bij. De iPhones die hiervoor worden gebruikt, laten een digitaal spoor van de gebruiker na. Met daarbij de beelden van camera's die overal hangen en de gegevens die mensen zelf op internet zetten, komt de privacy van mensen zeer onder druk te staan.

Tegelijkertijd geven al die data ongekende mogelijkheden om het ontstaan van ziekten en letsels te analyseren en om preventie en herstel te ondersteunen. De fabricage van zelfsturende auto's, van een schedel met behulp van een 3D-printer en van kunstbenen en -armen die op zenuwprikkels reageren, zijn daar sprekende voorbeelden van. Toch kent digitalisering ook zijn grenzen. "Een computer heeft nog nooit een mop bedacht", aldus Bakas. "We blijven daarom behoefte hebben aan menselijke creativiteit en menselijke interpretatiekracht. Daarom ook blijft de mens persoonlijk onderzoek doen, met menselijk vernuft zaken beoordelen en met menselijke warmte ingaan op wat er aan de hand is."

Dit artikel is tot stand gekomen in samenwerking met het SchadeMagazine.

Datum van publicatie: 15 augustus 2014