22 maart Voorbeelden Communicatie register Zakelijke Relaties

Transcriptie

1 22 maart 2013 Voorbeelden Communicatie register Zakelijke Relaties Inleiding Momenteel voeren verzekeraars periodiek controle uit op de integriteit van hun zakelijke relaties. Deze controles waarschuwen verzekeraars als een relatie een bedreiging vormt of kan vormen voor de veiligheid en integriteit van de financiële instelling, haar klanten, medewerkers of de financiële sector als geheel. Het Centrum Bestrijding Verzekeringscriminaliteit (CBV) heeft, als aanvulling op de controles door individuele verzekeraars, het register Zakelijke Relaties ontwikkeld. Vastlegging van gegevens van zakelijke relaties van verzekeraars bij het CBV heeft tot doel verzekeraars nog sneller te informeren als hun relaties bij incidenten betrokken zijn. Door toepassing van het register Zakelijke Relaties verplaatst het waarschuwingssignaal zich van het moment van de periodieke controle naar het moment van de incidentmelding. Registratie van de bedrijfsgegevens van zakelijke relaties van verzekeraars in een centraal bestand bij het CBV vereenvoudigt de controle op betrokkenheid bij een incident. Zodra het CBV een incidentmelding ontvangt volgens de regels van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen vindt controle van het bestand plaats. Als de relatie uit de incidentmelding ook bij andere deelnemende verzekeraars bekend is, worden de Veiligheidsafdelingen van die maatschappijen met elkaar in contact gebracht. Voorbeeld: een bedrijf voor archiefvernietiging werkt voor meerdere verzekeraars. De verzekeraars weten dat niet van elkaar. Eén verzekeraar stelt vast dat het bedrijf de te vernietigen klantdossiers van de verzekeraar niet vernietigt maar gegevens doorverkoopt aan een derde partij. Door het incidentonderzoek van Veiligheidszaken te melden bij het CBV, en vervolgens te koppelen aan het register Zakelijke Relaties, kunnen betrokken maatschappijen op het incident geattendeerd worden. Zij kunnen zelf onderzoek gaan doen en voorkomen dat ook hun klantdossiers gevaar lopen. Het register Zakelijke Relaties is alleen bestemd voor partijen waar de verzekeraar, anders dan in de rol van verzekeringnemer of verzekerde, zaken mee doet. Is een bedrijf uitsluitend aan te merken als verzekerde / verzekeringnemer dan worden de bedrijfsgegevens niet in het register opgenomen. Voorbeeld Artikel samenwerkingsovereenkomst: Om de zakelijke relatie te informeren over de verwerking van zijn bedrijfsgegevens en het doel daarvan, is het mogelijk in de overeenkomst met die relatie de volgende bepaling toe te passen. 1. Identificerende gegevens van de (organisatie van de) contractant XXXX worden na totstandkoming van deze overeenk omst door de verzekeringsmaatschappij gemeld in het register Zakelijke Relaties; 2. Dit register wordt beheerd door het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond van Verzekeraars en is uitsluitend toegankelijk voor geautoriseerd personeel van het Verbond van Verzekeraars; 3. In geval de verzekeringsmaatschappij in het kader van een incident op het gebied van veiligheid of integriteit, als bedoeld in het Protocol Incidentenwaarschuwingssysteem /RVISS

2 Financiële Instellingen, een onderzoek instelt naar contractant XXXX wordt hiervan melding gemaakt bij het CBV; 4. Na melding van het incident wordt het register Zakelijke Relaties door het CBV benut om Veiligheidsfunctionarissen van andere verzekeringsmaatschappijen, waar contractant XXXX een relatie mee onderhoudt, te attenderen op het betreffende onderzoek. Ongeacht het gebruik van deze bepaling in een contract is vermelding van bedrijfsgegevens in het register Zakelijke Relaties in principe beperkt tot vastlegging van de gegevens van rechtspersonen. De gegevens van zakelijke relaties die geen rechtspersoon zijn (denk bijvoorbeeld aan eenmansbedrijven) worden alleen in het register Zakelijke Relaties opgenomen als de relatie daar op is gewezen en mee instemt. De relatie kan in dat geval door ondertekening van de overeenkomst met verwerking van zijn gegevens, als bedoeld in de bovengenoemde voorbeeldbepaling, akkoord gaan. Voorbeeld Algemene informatie Incidentenregistratie Als algemene informatie over het gebruik van een incidentenregistratie kan, via het openbaar maken van het fraudebeleid aan zakelijke relaties, de volgende voorbeeldtekst worden gebruikt. Als sprake is van activiteiten die een bedreiging vormen of kunnen vormen voor de veiligheid en de integriteit van de financiële sector en/of {naam verzekeraar} alsmede voor de (financiële) belangen van onze cliënten en/of medewerkers, kunnen wij gegevens van zakelijke relaties, personen die bij deze partijen werkzaam en (rechts)personen die anderszins betrokken zijn bij deze activiteiten, opnemen in het incidentenregister. Onder voorwaarden kunnen wij ook verwijzingsgegevens van de betrokken (rechts)personen opnemen in het Extern Verwijzingsregister. Dit register kan getoetst worden door andere financiële instellingen. Op de vastlegging en informatiedeling van incidentgegevens is het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van toepassing. U vindt dit protocol op Voorbeeld Algemene informatie Registratie Zakelijke Relaties Als algemene informatie aan een zakelijke relatie, bijvoorbeeld in het geval nog geen aanpassing van de samenwerkingsovereenkomst is uitgevoerd, kan de volgende voorbeeldtekst worden gebruikt. In het kader van toezicht op de veiligheid en integriteit zijn wij, op grond van (financiële) wet- en regelgeving, verplicht periodiek onze zakelijke relaties te controleren. Deze regels komen onder meer uit de Wet op het financieel toezicht maar ook uit de bindende zelfregulering van het Protocol Verzekeraars & Criminaliteit van het Verbond van Verzekeraars (zie Onderdeel van de periodieke controle is de raadpleging van het landelijke waarschuwingssysteem conform het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen. Om deze controle efficiënt uit te voeren, leggen wij bedrijfsgegevens van onze zakelijke relaties vast in een bestand bij het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond van Verzekeraars. De bij het CBV verzamelde bedrijfsgegevens zijn niet toegankelijk voor ons of voor /RVISS 2.

3 verzekeraars en worden alleen gebruik t om de veiligheid- en integriteitcontrole te kunnen uitvoeren. Vastlegging van bedrijfsgegevens van zakelijke relaties bij het CBV heeft tot doel verzekeraars snel te informeren als een van de eigen relaties bij een incident betrokken is. Doordat het CBV een incidentmelding over een zakelijke relatie koppelt aan haar register met bedrijfsgegevens kan een waarschuwingssignaal afgegeven worden aan iedere aangesloten verzekeraars die met diezelfde relatie samenwerken. De informatie wordt daardoor alleen uitgewisseld met geautoriseerde veiligheidsfunctionarissen en hoeft niet uitgezet te worden bij verzekeraars die geen relatie met betrokkene hebben. In het register Zakelijke Relaties komen alleen bedrijfsgegevens van partijen waar wij, anders dan in de rol van verzekeringnemer of verzekerde, zaken mee doen /RVISS 3.

4 Veelgestelde vragen Incidentenregistratie Zakelijke Relaties: 1. Waarom worden bedrijfsgegevens vastgelegd in een register Zakelijke Relaties? Het centraal vastleggen van de gegevens van (rechts)personen en het creëren van de mogelijkheid om relevante bedrijfsgegevens te kunnen raadplegen, heeft als doel de veiligheid en integriteit van de financiële sector, financiële instellingen, haar medewerk ers en klanten te bewaken. Risico s van (mogelijk) onoorbaar gebruik van diensten en producten van de financiële instelling of activiteiten die de instelling, haar medewerkers, relaties of cliënten kunnen schaden, moeten zoveel mogelijk worden voorkomen, onderkend, verkleind en beperkt. Via het register Zakelijke Relaties kunnen verzekeraars efficiënter en eerder geïnformeerd worden over mogelijk schadelijke praktijken van hun zakelijke relaties. 2. Met wie worden deze gegevens over Zakelijke Relaties uitgewisseld? Deze gegevens worden opgeslagen bij het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond van Verzekeraars. De gegevens kunnen alleen door medewerkers van het CBV worden geraadpleegd. Dit gebeurt naar aanleiding van een incident dat door een Verbondslid is gemeld bij het CBV op grond van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen. Wanneer er aanleiding is om de Veiligheidsafdeling van andere verzekeringsmaatschappijen te attenderen op een onderzoek naar een bij hen bekende zakelijke relatie kan het CBV daar een coördinerende rol in spelen. 3. Mogen dergelijke bedrijfsgegevens en informatie over onderzoeken gedeeld worden? De centraal vast te leggen gegevens van zakelijke relaties mogen alleen betrekking hebben op rechtspersonen en zonder toestemming van betrokkene geen persoonsgegevens bevatten. Het register is niet toegankelijk voor de verzekeraars zelf. De vastgelegde informatie wordt alleen op basis van relevantie gedeeld. Wat betreft het delen van informatie over incidenten moeten verzekeraars voldoen aan het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen. Hierin zijn strikte regels opgesteld over de wijze waarop over lopende en afgeronde onderzoeken door financiële instellingen onderling mag worden gecommuniceerd. 4. Hoe wordt de vertrouwelijkheid van het register Zakelijke Relaties geborgd? Het centrale verzamelpunt van deze informatie is ondergebracht bij het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond van Verzekeraars. De individuele verzekeringsmaatschappijen hebben zelf geen toegang tot deze dataopslag. Als een incident gemeld is volgens het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen kijkt het CBV met welke maatschappijen het betreffende bedrijf ook een zakelijke relatie heeft. Alleen de Veiligheidsfunctionarissen van die maatschappij(en) worden dan geattendeerd op het feit dat hun zakelijke relatie bij een incident betrokken is. 5. Hebben maatschappijen afspraken gemaakt over wat er met een incidentmelding gedaan mag worden? De regels over registratie van incidenten zijn vastgelegd in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen. Alle aangesloten maatschappijen moeten volgens de regels van dit protocol handelen /RVISS 4.

5 6. Wanneer is sprake van een incident? Een incident is een gebeurtenis die als gevolg heeft, kan hebben of heeft gehad dat belangen, integriteit of veiligheid van de klanten of medewerkers van een maatschappij, de maatschappij zelf of de financiële sector als geheel in het geding zijn of kunnen zijn (artikel 2 Protocol Incidentenwaarschuwingssysteem Financiële Instellingen). Uitsluitend de Veiligheidsafdeling van een maatschappij is bevoegd vast te stellen dat sprake is van een incident en moet daarbij binnen de omschrijving van het protocol blijven. 7. Wat als blijkt dat een melding onterecht is? Dat hangt er vanaf om welke melding het gaat en in welk register. Het register Zakelijke Relaties: Als gegevens van een zakelijke relatie bij het Centrum Bestijding Verzekeringscriminaliteit (CBV) zijn opgenomen in haar register en er treedt een wijziging op in de verhouding met de meldende maatschappij, moet de maatschappij de mutatie direct doorgeven aan het CBV. De gegevens worden dan aangepast of verwijderd. Als voor een bedrijf geen zakelijke relatie met een verzekeraar meer bestaat, zullen de gegevens niet meer in de referentielijst voorkomen. Het incidentenregister van een verzekeraar: Als iemand van mening is dat ten onrechte een registratie van zijn bedrijfs- of persoonsgegevens is opgenomen in het incidentenregister van de maatschappij, moet men daar de maatschappij zelf op aanspreken. Als doorhaling van de registratie uit het incidentenregister volgt, zal dit ook worden doorgegeven aan het CBV en de maatschappijen die over het incident zijn geïnformeerd. 8. Staan mijn bedrijfs- of persoonsgegevens in een incidentenregister Dit gebeurt alleen als er sprake is van een incident waar u of uw bedrijf bij betrokken is. Als uw persoonsgegevens in een incidentenregister van een maatschappij worden opgenomen, moet u daar over zijn of worden geïnformeerd op grond van de Wet bescherming persoonsgegevens en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen. Voor de registratie van gegevens van een rechtspersoon geldt de informatieverplichting uit de wet strikt genomen niet. Om te weten of uw gegevens in een incidentenregister van een maatschappij zijn opgenomen, kunt u daar een verzoek tot inzage indienen. Wilt u weten of uw gegevens bij het Centrum Bestrijding Verzekeringscriminaliteit zijn vastgelegd, dient u het verzoek tot inzage daar in. 9. Staan mijn bedrijfs- of persoonsgegevens in het register Zakelijke Relaties? Uw bedrijfsgegevens worden door de verzekeraar in het centraal register Zakelijke Relaties bij het Centrum Bestrijding Verzekeringscriminaliteit opgenomen. Uw persoonsgegevens worden niet in dit register opgenomen. 10. Is het register Zakelijke Relaties een soort waarschuwingslijst voor verzekeraars? Neen, het centrale register met gegevens van zakelijke relaties is alleen bedoeld als referentielijst en is alleen in te zien door het Centrum Bestrijding Verzekeringscriminaliteit (CBV) Aan de hand van dit register kan het CBV vaststellen met welke verzekeraar(s) een bedrijf dat betrokken is bij een incident nog meer een zakelijke relatie heeft. De betrokken maatschappij(en) worden vervolgens geïnformeerd dat hun relatie in het incidentenregister van een andere maatschappij voorkomt. Verzekeraars kunnen het register zelf niet bevragen. Dit gebeurt alleen door het CBV en alleen als een Zakelijke Relatie in het incidentenregister van een verzekeraar is opgenomen /RVISS 5.

6 11. Is het incidentenregister een soort waarschuwingslijst voor verzekeraars? Ja, het incidentenregister is bedoeld als waarschuwingssysteem voor Veiligheidsafdelingen van financiële instellingen. Aan dit incidentenregister is het Extern Verwijzingsregister gekoppeld. Hierin staan de gegevens van partijen die aantoonbaar onrechtmatig hebben gehandeld tegen een financiële instelling, haar medewerkers of klanten en volgens de regels van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen in het EVR mogen worden gezet. Dit landelijk waarschuwingssysteem is te toetsten door bevoegd personeel van financiële instellingen. Een registratie in het incidentenregister en in het Extern Verwijzingsregister is op zichzelf geen reden om het aangaan of voortzetten van een relatie door een maatschappij te weigeren of te beëindigen. Dat soort keuzes behoort tot de individuele besluitvorming en verantwoordelijkheid van de betrokken maatschappij(en). 12. Door opname van mijn bedrijfsgegevens in deze registers kan ik misschien nergens meer een aanstelling krijgen, mag dat wel i.v.m. de mededingingsregels? De registraties in het incidentenregister zijn geen zwarte lijst registraties. Iedere maatschappij bepaalt zelf of hij met uw bedrijf zaken wil doen of niet. Een vermelding in het incidentenregister of het Extern Verwijzingsregister moet desgevraagd door u gemeld worden. Controle van uw informatie en uw gegevens in het incidentenregister geeft de raadplegende maatschappij alleen een signaal meer informatie in te gaan winnen voordat ze een besluit neemt om wel of niet met u en uw bedrijf in zee te gaan. Het landelijk waarschuwingssysteem en het referentiebestand met gegevens van zakelijke relaties van verzekeraars bij het Centrum Bestrijding Verzekeringscriminaliteit zijn bedoeld om een bijdrage te leveren aan het waarborgen van de veiligheid en integriteit van de financiële sector in het belang van alle daarin werkzame partijen. 13. Mijn gegevens zijn onterecht in het incidentenregister opgenomen, hoe kom ik er weer uit? Nadat u eerst een formeel verzoek tot inzage heeft gedaan, heeft u het recht om een verzoek tot correctie voor te leggen aan de maatschappij die uw gegevens heeft vastgelegd. Daarbij moet u aangegeven welke gegevens onjuist of onterecht zijn vastgelegd en waarom u dat vindt. De maatschappij moet dan een oordeel vellen over uw correctieverzoek. 14. Waar kan ik bezwaar maken tegen het gebruik van het incidentenregister of register Zakelijke Relaties? Bij een geschil over juistheid of rechtmatigheid van het gebruik van het incidentenregister of bezwaar tegen de toepassing van de verzameling van zakelijke relaties bij het Centrum Bestrijding Verzekeringscriminaliteit kunt u een klacht sturen aan de directie van de betreffende maatschappij die de registratie heeft uitgevoerd. 15. Waarom doen niet alle maatschappijen mee aan het register Zakelijke Relaties? Alleen de maatschappijen die beschikken over een incidentenregister en een afdeling Veiligheidszaken conform het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen kunnen deelnemen. Deze maatschappijen hebben verklaard zich te houden aan de regels van het protocol. Dit biedt een aanvullende garantie dat de gegevens verwerkt worden binnen de grenzen van de toepasselijke wet- en regelgeving. 16. Kan ik over het incidentenregister een klacht indienen bij de AFM? De AFM heeft niets met het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van doen. De geschillenregeling van het protocol geeft aan dat u een klacht kunt indienen bij /RVISS 6.

7 de directie van de betrokken maatschappij. Mocht dat niet tot een oplossing leiden, kunt u bij het College Bescherming Persoonsgegevens of de bevoegde rechter terecht. 17. Is het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen afgestemd met Adfiz? Neen, het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen staat onder de verantwoordelijkheid van een aantal brancheverenigingen en is ter beoordeling voorgelegd aan het College Bescherming Persoonsgegevens. Adfiz behoort niet tot de organisaties die zijn aangesloten bij het protocol. 18. Is het register Zakelijke Relaties afgestemd met Adfiz? Neen, het register is een praktische oplossing voor een verplichting die verzekeraars met elkaar hebben afgesproken in het Protocol Verzekeraars & Criminaliteit. Daarin is voorgeschreven dat verzekeraars regelmatig hun personeel en relaties toetsen op integriteit. Door toepassing van het register bij het Centrum Bestrijding Verzekeringscriminaliteit en de signaalfunctie bij incidenten wordt deze integriteittoetsing efficiënter geregeld. Bovendien is het register niet gericht op de intermediairs maar op alle voorkomende zakelijke relaties van een financiële instelling. 19. De gebruikte gegevens kunnen privacygevoelig zijn, weet het CBP dit wel? In het register Zakelijke Relaties worden alleen bedrijfsgegevens (rechtspersoongegevens) vastgelegd. Verwerking van deze gegevens valt niet onder de Wet bescherming persoonsgegevens en dus ook niet onder het toezicht van het College Bescherming Persoonsgegevens (CBP). Zodra sprake is van verwerking van persoonsgegevens in een incidentenregister moet dat plaatsvinden aan de hand van de regels van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen. Dit protocol is beoordeeld en goedgekeurd door het CBP en de verzekeraars hebben het eigen incidentenregister aangemeld bij het CBP. 20. Is het incidentenregister hetzelfde als de fraudelijst? Als met fraudelijst het Extern Verwijzingsregister (EVR) uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen wordt bedoeld, gaat het om het register waar EVR een onderdeel van uit maakt. De registraties in het incidentenregister en het daaraan verbonden EVR beperken zich niet tot fraude maar kunnen ook registraties bevatten van personen en bedrijven die op een andere wijze onrechtmatig hebben gehandeld tegen een financiële instelling, haar medewerkers of klanten en die daarmee de veiligheid en integriteit van de instelling of andere betrokkenen (mogelijk) hebben geschaad. 21. Er mogen toch alleen fraudemeldingen geregistreerd en gedeeld worden? Neen, de meldingen die in een incidentenregister mogen worden opgenomen, moeten vallen binnen de doelomschrijving van het incidentenregister. Deze doelomschrijving is verplicht voorgeschreven in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen en door de verzekeraar ook gemeld bij het CBP Het gaat dan niet alleen om fraudezaken maar om alle zaken die gericht zijn op activiteiten om de veiligheid en integriteit van de financiële sector te waarborgen. Daaronder vallen alle zaken die kunnen leiden tot benadeling van de branche, de (economische eenheid van de) instelling, haar medewerkers en klanten en zaken die zijn aan te merken als strafbaar of laakbaar gedrag. 22. Wat gebeurt er bij een melding over mij als Zakelijke Relatie? Als een melding van een onderzoek naar een incident betreffende uw bedrijf wordt doorgegeven aan het Centrum Bestrijding Verzekeringscriminaliteit (CBV) wordt vanuit de /RVISS 7.

8 coördinerende rol van het CBV beoordeeld met welke andere maatschappijen uw bedrijf een relatie heeft. De Veiligheidsafdelingen van deze maatschappijen worden geïnformeerd over het feit dat een verzekeraar een onderzoek is gestart. De Veiligheidsfunctionarissen van de betrokken maatschappijen kunnen vervolgens binnen de regels van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen detailinformatie over het incident uitwisselen. Is het een melding op uw persoon dan vindt geen actieve koppeling plaats met andere maatschappijen. Deze komen uw gegevens in dat geval alleen tegen als zij uit zichzelf bij een periodieke controle van het landelijk waarschuwingssysteem een gerichte toetsing op uw persoonsgegevens uitvoeren. 23. Hoe melden jullie een integriteit- of veiligheidincident? Als het incident in behandeling is genomen door Veiligheidszaken en verder is voldaan aan de voorschriften uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen worden meldingen aangeleverd bij het Centrum Bestrijding Verzekeringscriminaliteit. Integriteitissues die door andere afdelingen binnen een maatschappij, zoals compliance of relatiebeheer, worden behandeld, kunnen niet gemeld worden. Alleen incidenten, zoals gedefinieerd in het protocol, mogen door Veiligheidszaken gemeld worden. 24. Wie zien dit soort meldingen? De detailgegevens uit de meldingen van incidenten mogen uitsluitend gedeeld worden met medewerkers van afdelingen Veiligheidszaken van de deelnemende financiële instellingen en de fraudeloketten van de betrokken brancheverenigingen. Heeft een incident geleid tot een Externe Verwijzing dan kunnen alle geautoriseerde medewerkers van de aangesloten financiële instelling (inclusief gevolmachtigd agenten) toetsen of een persoon of bedrijf is geregistreerd. Deze toetsing beperkt zich tot verwijzingsgegevens om de persoon of het bedrijf te kunnen identificeren. Inhoudelijke informatie over een incident is alleen bestemd voor Veiligheidszaken /RVISS 8.