L E E R G A N G V E R Z E K E R I N G S R E C H T

Transcriptie

1 L E E R G A N G V E R Z E K E R I N G S R E C H T SPREKER Mr. M.M.R. van Ardenne-Dick, juridisch adviseur Aon 31 januari 2017 Kasteel Waardenburg GEH Tutein Noltheniuslaan AS Waardenburg T F

2 Inhoudsopgave Mr. M.M.R. van Ardenne-Dick Jurisprudentie Kantonrechter Rechtbank Midden-Nederland 6 april 2016, ECLI:NL:RBMNE:2016:1857 p. 2 Literatuur Gedragscode persoonlijk onderzoek Convenant inzake toetsing mededelingsplicht gezondheidsgegevens Mr. M.M.R. van Ardenne, Privacy en de uitwerking van persoonlijk onderzoek in de rechtspraak Registratieperikelen bij verzekeringen (opgenomen ter illustratie) Mr. M.M.R. van Ardenne, Redlining. Over discriminatie op grond van postcodegebieden p. 8 p. 15 p. 27 p. 37 p. 55

3 2

4 3

5 4

6 5

7 6

8 7

9 Gedragscode Persoonlijk Onderzoek 21 december

10 Gedragscode Persoonlijk Onderzoek Inleiding Verzekeraars leggen gegevens vast die nodig zijn voor het sluiten van de verzekeringsovereenkomst en die van belang zijn voor het nakomen van de verplichtingen uit die overeenkomst. In een aantal gevallen is het noodzakelijk om aanvullende gegevens te verzamelen of te verifiëren. Voor daarmee gepaard gaande onderzoek(en), die de persoonlijke levenssfeer van de betrokkenen kunnen raken, is de Gedragscode Persoonlijk Onderzoek opgesteld. Deze Gedragscode 1 is geformuleerd door het Verbond van Verzekeraars en is bestemd voor haar leden bij het uitvoeren van persoonlijke onderzoeken. Tevens is deze Gedragscode van toepassing op particuliere onderzoeksbureaus die deze onderzoeken in opdracht van een verzekeraar uitvoeren. Zorgverzekeraars Nederland heeft verklaard dat ook haar leden deze Gedragscode zullen naleven voor zover dit niet strijdig is met de onderzoeksbevoegdheden en -vereisten op grond van de Zorgverzekeringswet. Bij het aangaan en uitvoeren van een verzekeringsovereenkomst kan spanning bestaan tussen: enerzijds het belang van verzekeraars om activiteiten te ondernemen die gericht zijn op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik gericht op het verkrijgen van verzekeringsdekking, uitkering of prestatie; anderzijds de belangen van betrokkenen tegen ongerechtvaardigde inbreuken op de persoonlijke levenssfeer. Deze Gedragscode draagt bij aan de transparantie van door verzekeraars gehanteerde onderzoeksmethoden en in te zetten onderzoeksmiddelen. Ook geeft deze code aan wanneer de betrokkene op de hoogte gesteld wordt van het feit dat tegen hem/haar een onderzoek is/wordt ingesteld. De Gedragscode beschrijft de uitgangspunten voor het instellen van een persoonlijk onderzoek in het kader van activiteiten die gericht zijn op onder meer het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik gericht op het verkrijgen van verzekeringsdekking, uitkering of prestatie. De Gedragscode geeft aan welke beginselen hierbij door de verzekeraar in acht worden genomen, waarbij proportionaliteit en subsidiariteit belangrijke uitgangspunten zijn. De Gedragscode sluit aan bij de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars, de Privacygedragscode sector particuliere onderzoeksbureaus van de Vereniging van Particuliere Beveiligingsorganisaties en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen. Naast deze gedragscodes geldt uiteraard de bestaande wetgeving op het gebied van de privacy, zoals de Wet bescherming persoonsgegevens (WBP) en wetgeving over het (heimelijk) gebruik van camera s. De Gedragscode is niet van toepassing op interne onderzoeken bij een verzekeraar, tenzij het onderwerp van onderzoek een medewerker is in zijn rol als verzekeringnemer of verzekerde die aanspraak maakt op een uitkering uit een bij zijn verzekeraar, tevens werkgever, afgesloten polis. 1 De voorgaande versie uit januari 2004 is met invoering van deze versie van de Gedragscode Persoonlijk Onderzoek komen te vervallen. 2 9

11 Gedragscode Persoonlijk Onderzoek Gedragscode Persoonlijk Onderzoek Definities en begrippen In deze Gedragscode wordt onder de opgenomen begrippen het volgende verstaan. Betrokkene De natuurlijke persoon op wie het onderzoek betrekking heeft. Feitenonderzoek Onderzoeksbureau Het onderzoek dat wordt ingesteld naar de feiten, omstandigheden en gedragingen van betrokkene die nodig zijn voor de beoordeling van een verzekeringsaanvraag, lopende verzekeringsovereenkomst, schademelding of andere aanspraak op uitkering of prestatie. Een bureau als bedoeld in artikel 1 lid 1 onder f van de Wet particuliere beveiligingsorganisaties en recherchebureaus. Persoonlijk onderzoek Het onderzoek, volgend op een feitenonderzoek, naar gedragingen van betrokkene waarbij bijzondere onderzoeksmethoden en of bijzondere onderzoeksmiddelen worden gebruikt, dat inbreuk maakt of kan maken op de persoonlijke levenssfeer van betrokkene. Proportionaliteit Subsidiariteit Verzekeringsfraude Veiligheidszaken Afweging dat de inbreuk op de persoonlijke levenssfeer van betrokkene niet onevenredig mag zijn in relatie tot het doel van de beoogde verwerking van persoonsgegevens. Afweging of het doel van het persoonlijk onderzoek (en de daarbij te hanteren bijzondere onderzoeksmethoden en -middelen) in redelijkheid niet op een andere voor betrokkene minder nadelige wijze kan worden bereikt. Het opzettelijk misleiden van een verzekeraar bij de totstandkoming en/of uitvoering van een verzekeringsovereenkomst met de bedoeling om onrechtmatig verzekeringsdekking, -uitkering, - prestatie of dienstverlening te krijgen. De afdeling of de persoon die binnen een Financiële instelling verantwoordelijk is voor de verwerking van persoonsgegevens in het kader van het waarborgen van de veiligheid en integriteit. Artikel 1 Persoonlijk onderzoek 1.1. Een persoonlijk onderzoek kan worden ingesteld nadat: Het ingestelde feitenonderzoek geen of onvoldoende uitsluitsel geeft voor het nemen van een beslissing bij een verzekeringsaanvraag, lopende verzekeringsovereenkomst, schademelding of andere aanspraak op uitkering of prestatie; Of: Gerede twijfel is ontstaan over de juistheid of volledigheid van de resultaten van het feitenonderzoek, zodanig dat bij de verzekeraar een redelijk vermoeden van verzekeringsfraude of andere vormen van oneigenlijk gebruik van verzekeringsproducten of diensten is ontstaan Een persoonlijk onderzoek kan gelijktijdig worden uitgevoerd ten behoeve van meerdere verzekeraars In geval zorgverzekeraars op grond van wet- en regelgeving specifieke bevoegdheden ten aanzien van een persoonlijk (medisch) onderzoek hebben bijvoorbeeld in het kader 3 10

12 Gedragscode Persoonlijk Onderzoek van beoordeling van een aanvraag voor een verstrekking gaan deze regels voor op de Gedragscode. Artikel 2 Belangenafweging betrokkene en verzekeraar (Proportionaliteit) 2.1. De verzekeraar maakt bij het instellen van een persoonlijk onderzoek steeds een zorgvuldige afweging tussen de belangen van de verzekeraar bij het uitvoeren van het onderzoek en het recht op bescherming van de persoonlijke levenssfeer van betrokkene Bij deze belangenafweging moeten alle relevante aspecten betrokken worden, zoals het recht op bescherming van de persoonlijke levenssfeer van betrokkene, het financiële belang, het belang bij waarheidsvinding, het belang bij snelle en zorgvuldige besluitvorming of de mate van inbreuk op integriteit of veiligheid. Artikel 3 Belangenafweging onderzoeksmiddel (Subsidiariteit) 3.1. De verzekeraar beoordeelt of persoonlijk onderzoek het enige hem ten dienste staande middel is dan wel of er andere mogelijkheden van onderzoek zijn die tot minder inbreuk op de persoonlijke levenssfeer van betrokkene leiden maar wel hetzelfde resultaat kunnen opleveren De verzekeraar maakt daarbij de afweging of het doel van het persoonlijk onderzoek (en de daarbij te hanteren bijzondere onderzoeksmethoden en -middelen) in redelijkheid niet op een andere, voor de bescherming van de persoonlijke levenssfeer van de betrokkene minder nadelige, wijze kan worden bereikt. Artikel 4 Besluit persoonlijk onderzoek 4.1. De verantwoordelijkheid voor het besluit tot het instellen van een persoonlijk onderzoek en de wijze waarop dit onderzoek wordt uitgevoerd ligt bij de verzekeraar Omdat een persoonlijk onderzoek invloed kan hebben op de persoonlijke levenssfeer van betrokkene moet de beslissing over het onderzoek, waaronder de te hanteren methode, gemotiveerd worden genomen. In ieder geval moet worden vastgelegd, door wie en op welke gronden het besluit genomen is Het is niet toegestaan dat deze beslissing uitsluitend wordt genomen door de dossierbehandelaar of onderzoeker zelf. De beslissing tot het instellen van een persoonlijk onderzoek moet worden genomen door leidinggevende van de betrokken dossierbehandelaar of door de afdeling Veiligheidszaken. Als de dossierbehandelaar/onderzoeker werkzaam is op de afdeling Veiligheidszaken moet zijn leidinggevende beslissen. Artikel 5 Aanvang en duur van persoonlijk onderzoek 5.1. Een persoonlijk onderzoek moet worden ingesteld binnen een redelijke termijn, nadat verzekeraar hier overeenkomstig artikel 4 toe heeft besloten De verzekeraar zal zich inspannen om het persoonlijk onderzoek zo snel mogelijk af te ronden. Artikel 6 Doel van het persoonlijk onderzoek 6.1. Het persoonlijk onderzoek richt zich op de beantwoording van vragen die van belang kunnen zijn voor het nemen van een zorgvuldige beslissing over een verzekeringsaanvraag, lopende verzekeringsovereenkomst, aanspraak op uitkering of prestatie of de beantwoording van onderzoeksvragen met betrekking tot (een vermoeden van) verzekeringsfraude of andere vormen van oneigenlijk gebruik van verzekeringsproducten of diensten. Artikel 7 Onderzoeksmethoden 7.1. Bij het persoonlijk onderzoek kan worden gebruikgemaakt van de verschillende onderzoeksmethoden zoals: 4 11

13 Gedragscode Persoonlijk Onderzoek a. interview van betrokkene; b. inwinnen van informatie bij derden; c. observeren van betrokkene Als bij het uitvoeren van een persoonlijk onderzoek informatie bij derden wordt ingewonnen, verstrekt de verzekeraar niet meer gegevens aan deze derden over betrokkene dan noodzakelijk is voor het uitvoeren van dit onderzoek Als bij het uitvoeren van een persoonlijk onderzoek sprake is van het observeren van de betrokkene geldt dat situaties waarin personen een gerechtvaardigde verwachting hebben dat zij onbevangen zichzelf moeten kunnen zijn, worden ontzien Als voor observatie gebruik gemaakt wordt van een camera geldt bovendien dat: a. het cameragebruik zo gericht mogelijk plaats vindt; b. de periode waarin een camera wordt gebruikt zo beperkt mogelijk wordt gehouden; c. als de beelden daartoe aanleiding geven, een evaluatie plaatsvindt met betrokkene voor zover het belang van het onderzoek dat toelaat. Artikel 8 Inschakelen van onderzoeksbureaus 8.1. De verzekeraar kan het persoonlijk onderzoek uitbesteden aan een onderzoeksbureau De verzekeraar verstrekt uitsluitend een opdracht aan een onderzoeksbureau als dit bureau over alle ter zake wettelijk voorgeschreven vergunningen beschikt In de opdrachtverstrekking door de verzekeraar aan het onderzoeksbureau worden het doel en de aard van het onderzoek vastgelegd In de opdrachtverstrekking door de verzekeraar aan het onderzoeksbureau worden de volgende voorwaarden gesteld: a. de (door de verzekeraar ter beschikking gestelde) gegevens en onderzoeksresultaten mogen alleen worden verwerkt in overeenstemming met het doel van de opdracht; b. de onderzoeksgegevens en onderzoeksresultaten mogen door het onderzoeksbureau niet worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor de gegevens zijn verkregen, als bedoeld in artikel in artikel 5.4 van de Privacygedragscode sector particuliere onderzoeksbureaus van de Vereniging van Particuliere Beveiligingsorganisaties; c. in het geval dat onderzoeksgegevens of onderzoeksresultaten ter inzage moeten worden gegeven of worden verstrekt aan een derde partij wordt opdrachtgever door het onderzoeksbureau hiervan per omgaande in kennis gesteld tenzij het onderzoeksbureau op grond van wet- en regelgeving niet bevoegd is de opdrachtgever op dat moment te informeren; d. het onderzoeksbureau zal de nodige voorzieningen van technische en organisatorische aard treffen ter beveiliging van de onderzoeksgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan; e. het onderzoeksbureau handelt conform de regels van deze gedragscode. 8.5 Als de verzekeraar de opdracht tot onderzoek uitbesteedt aan een onderzoeksbureau wordt betrokkene, door of namens de verzekeraar, geïnformeerd over de inzet van het onderzoeksbureau en over eventuele organisatorische of juridische verbondenheid tussen het onderzoeksbureau en de verzekeraar. 8.6 Het informeren van betrokkene dat in opdracht van de verzekeraar een persoonlijk onderzoek wordt ingesteld, blijft achterwege als dit noodzakelijk is in het belang van een of 5 12

14 Gedragscode Persoonlijk Onderzoek meer van de gevallen die worden genoemd in artikel 43 onder a. tot en met e. van de Wet bescherming persoonsgegevens. Artikel 9 Informatieplicht 9.1. Voordat de verzekeraar informatie gaat inwinnen bij derden, als bedoeld in artikel 7.1.b. zal hij de betrokkene daarover informeren De verzekeraar maakt daarbij melding van het doel en de globale aard van dit persoonlijke onderzoek Als het onderzoek zal plaatsvinden ten behoeve van meerdere verzekeraars moet de betrokkene geïnformeerd worden door elke verzekeraar afzonderlijk. Als een verzekeraar aanhaakt bij een lopend persoonlijk onderzoek moet de betrokkene daarover door deze verzekeraar worden geïnformeerd Het melden aan betrokkene dat een persoonlijk onderzoek wordt ingesteld, blijft achterwege als dit noodzakelijk is in het belang van een of meer van de gevallen die worden genoemd in artikel 43 onder a. tot en met e. van de Wet bescherming persoonsgegevens De verzekeraar zal de betrokkene informeren over de resultaten van het persoonlijk onderzoek Betrokkene wordt geïnformeerd dat observatie als bedoeld in artikel 7.1.c. heeft plaatsgevonden De informatieplicht in artikel 9.5. en 9.6 blijft achterwege als dit noodzakelijk is in het belang van een of meer van de gevallen die worden genoemd in artikel 43 onder a. tot en met e. van de Wet bescherming persoonsgegevens. Artikel 10 Bewaren van de onderzoeksgegevens De verzekeraar bewaart de verzamelde onderzoeksgegevens en onderzoeksresultaten niet langer dan strikt noodzakelijk is voor het bereiken van het doel waarvoor de gegevens zijn verzameld, rekening houdend met de wederzijdse belangen van verzekeraar en betrokkene De onderzoeksgegevens in het kader van het persoonlijk onderzoek worden opgenomen in de zogenoemde Gebeurtenissenadministratie conform de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen / de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars of in het Incidentenregister conform het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen De verzekeraar treft de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de onderzoeksgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Artikel 11 Inzage en correctie 11.1 Met inachtneming van de regelgeving als genoemd in artikel 10.2 verleent de verzekeraar betrokkene op zijn verzoek inzage in de over hem voor het onderzoek verwerkte persoonsgegevens. Het verzoek wordt binnen vier weken na ontvangst beantwoord Nadat inzage is verstrekt, heeft betrokkene het recht om de verzekeraar gemotiveerd te verzoeken de persoonsgegevens te corrigeren indien deze feitelijk onjuist zijn, onvolledig of niet ter zake dienend zijn, of in strijd met een wettelijk voorschrift zijn verwerkt. 6 13

15 Gedragscode Persoonlijk Onderzoek Artikel 12 Klachtenregeling 12.1 Indien betrokkene een klacht heeft over de naleving van deze gedragscode kan hij deze voorleggen aan de klachtencommissie van de betrokken verzekeraar Indien afhandeling van de klacht door de klachtencommissie, als bedoeld in het voorgaande lid, voor betrokkene niet tot een aanvaardbaar resultaat heeft geleid, en betrokkene voldoet aan de toelatingsvoorwaarden van het Stichting Klachteninstituut Financiële Dienstverlening (Kifid) te Den Haag of, in het geval het een zorgverzekeraar betreft, van de Stichting Klachten en Geschillen Zorgverzekeringen (SKGZ) te Zeist, kan betrokkene zijn klacht over de naleving van deze gedragscode voorleggen aan Kifid dan wel SKGZ. 7 14

16 15

17 16

18 17

19 18

20 19

21 20

22 21

23 22

24 23

25 24

26 25

27 26

28 27

29 28

30 29

31 30

32 31

33 32

34 33

35 34

36 35

37 36

38 344 Pagina Sdu Uitgevers Trema nr Registratieperikelen bij verzekeringen Over de verwerking van persoonsgegevens door verzekeraars en het belang voor het leerstuk van verzwijging Wanneer word ik om welke reden waar geregistreerd in het kader van verzekeringen? Wie zich verdiept in de wereld van de registratie, stelt vast dat het antwoord op die vraag zich laat vatten in een woud van afkortingen en daar achter schuil gaand bijna evenveel informatie-uitwisselingssystemen. De auteur geeft een overzicht van die verwerking van informatie en gaat in op de vraag of en zo ja, hoe deze registratie (zo deze ten onrechte blijkt te zijn gedaan) ongedaan gemaakt kan worden, alsook op de vraag of registratie (en daarmee kennis aan de kant van de verzekeraar) als hier aan de orde een rol van betekenis dient te spelen bij de invulling van het verschoonbaarheidsvereiste bij verzwijging. N. van Tiggele-van der Velde Inleiding Met de invoering van de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen 1 is voor de verzekeringsbranche 2 een door het College bescherming persoonsgegevens (CBP) als juist verklaarde uitwerking gegeven aan de Wet bescherming persoonsgegevens en andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens. 3 Als bijlage bij die Gedragscode Verwerking Persoonsgegevens Financiële Instellingen (hierna: de gedragscode) is onder meer gevoegd het Protocol Incidentenwaar 1 Op 13 april 2010 heeft het College bescherming persoonsgegevens (CBP) een goedkeurende verklaring op de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen afgegeven. Het besluit is op 26 april in de Staatscourant gepubliceerd. De thans geldende Gedragscode is hierna per 1 mei 2010 door de besturen van het Verbond van Verzekeraars en Nederlandse Vereniging van Banken vastgesteld. De Gedragscode vervangt daarmee een eerdere versie uit de Gedragscode is behalve voor verzekeraars die lid zijn van het Verbond van Verzekeraars, evenzeer van toepassing op kredietinstellingen die lid zijn van de Nederlandse Vereniging van Banken, alsook op de bij Rabobank Nederland aangesloten banken (vandaar de verzamelnaam: financiële instellingen), maar in deze bijdrage zal ik mij richten op de verzekeraars. Verder zal ik mij richten op de gegevens die verwerkt worden in het kader van ongekleurde en gekleurde claimmeldingen. De verwerking van persoonsgegevens betreffende iemands gezondheid (6.1) en die omtrent cameratoezicht/opnemen telefoongesprekken (8.4 en 8.5) laat ik daarmee buiten beschouwing. 3 de eerder opgestelde Gedragscode Verwerking van Persoonsgegevens Verzekeringsbedrijf (Stcrt. 44 van 5 maart 1998) is daarmee aangepast en geïntegreerd in deze Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. De Gedragscode die ik in voorliggende bijdrage bespreek, is door het Verbond van Verzekeraars en de Nederlandse Vereniging van Banken vastgesteld op 1 mei 2010 (rapportnummer: 2010/bl/13170/mblom d.d. 16 maart 2010). schuwingssysteem Financiële Instellingen. Beide regelingen geven richtlijnen voor de verwerking van persoonsgegevens. Daarnaast bestaat het Protocol Fraude en Informatie Systeem Holland, het zgn. FISH-protocol, dat van toepassing is op databanken die vallen onder de verantwoordelijkheid van de Stichting Centraal Informatiesysteem van in Nederland werkzame verzekeringsmaatschappijen (CIS). 4 Om de beide protocollen in een verkorte aanduiding uit elkaar te kunnen houden wordt het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen in de branche aangeduid als het PIFI. Ik zal dat in deze bijdrage ook doen. Regelingen dus voor de verwerking van persoonsgegevens. Het PIFI van 3 maart 2011 verwoordt de noodzaak van registratie in zijn preambule als volgt: Financiële instellingen worden voortdurend geconfronteerd met (rechts)personen die een Financiële instelling willen schaden of op oneigenlijke gronden gebruik maken van diensten van de Financiële instel- 4 Meest recent is de via te verkrijgen versie 3.0, opgemaakt op 28 mei De Stichting CIS kent als doelstelling de verwerking van de informatie die tot doel heeft het leveren van een bijdrage aan de behartiging van de gemeenschappelijke belangen van de deelnemers inzake: - inschatten en beheersen van risico s in het algemeen; - schadelastbeperking, in het bijzonder door een verantwoord acceptatiebeleid; - ontdekken, voorkomen en bestrijden van verzekeringsfraude; - het uitwisselen van feitelijke gegevens tussen deelnemers onderling, tussen verzekeraars en politie/justitie en andere door de verantwoordelijken erkende instellingen; - statistische analyses ten behoeve van fraude en criminaliteitsbestrijding en risicoanalyses. 37

39 Trema nr Sdu Uitgevers Pagina 345 ling. Dit vormt een gevaar voor de continuïteit en de integriteit van de financiële sector. Ook kunnen de belangen van een financiële instelling en van cliënten en medewerkers van Financiële instellingen hierdoor worden geschaad. Financiële instellingen hebben daarom ter bescherming maatregelen genomen. Ongekleurd lijkt gezet te kunnen worden tegenover een gekleurde melding. claim op enig verzekeringsproduct, een feitelijke weergave wordt opgenomen in de FISH-databank. Dat gebeurt op grond van art van het FISH-protocol, dat spreekt over de zgn. ongekleurde claimmelding. Ongekleurd lijkt gezet te kunnen worden tegenover een gekleurde melding. Het FISH-protocol gebruikt die terminologie niet, maar geeft wel aan dat claims evenzeer kunnen worden geregistreerd als zgn. speciale meldingen, 6 of (aangeduid onder van het FISH-protocol) als zgn. vertrouwelijke mededelingen en malusregistraties. 7 Het FISH geeft gedetailleerd inzicht in de schadegegevens van ongeveer 13 miljoen personen en bedrijven. 8 Schematisch is het aldus: Registraties te kennen uit het FISH-protocol ongekleurd gekleurd Het PIFI bevat, vanuit deze gevoelde noodzaak, regels ten aanzien van de gegevensuitwisseling tussen de financiële instellingen en voorziet zo is in de Overwegingen onder 1.5 aangegeven tegelijkertijd in waarborgen tegen het ongeautoriseerd gebruik van het stelsel van gegevensuitwisseling. 5 De registratie van gegevens van verzekeringnemers kan grote gevolgen hebben. Dat is zowel in de fase van de acceptatie ( Als je op een zwarte lijst staat, kun je je dan nog gewoon verzekeren? ) als in de fase van de schadeafwikkeling ( Deze verzekeringnemer heeft al veel claims ingediend, daar moeten we even goed naar kijken. ). In deze bijdrage zal een overzicht gegeven worden van de bestaande registratie- en informatie-uitwisselingssystemen en hun onderlinge verhouding, het soort meldingen/systemen dat onderscheiden wordt, alsook van de partijen die die gegevens (kunnen) verstrekken en/of onttrekken. Ter afronding van deze onderwerpen, die alle behandeld worden in deel I, ga ik in op de bewijsrechtelijke aspecten van de registratie. Maar ook zal in deel ii de vraag aan de orde komen of de informatiesystemen en de daarmee aan de verzekeraar verstrekte kennis nog een rol van betekenis speelt bij de invulling van het verschoonbaarheidsvereiste, zoals dit geldt bij de beoordeling van de vraag of de mededelingsplicht bij het aangaan van de verzekeringsovereenkomst geschonden is. I. REGISTRATIE 1. Meldingen en de bestaande registratie- en informatieuitwisselingssystemen Op het moment dat een verzekerde melding maakt van een schadeclaim, treedt het registratie- en informatie-uitwisselingsmechanisme in werking Verzekeraars vullen de registers Het mechanisme houdt eerst en vooral in dat van een claim, iedere 5 De beide protocollen zijn een vorm van zelfregulering, waarbij voorzien is in een geschillenregeling: een organisatie die een gedragscode niet naleeft, kan uiteindelijk worden geroyeerd als lid van de brancheorganisatie. S. Nouwt, Privacy voor doe-het-zelvers, Over zelfregulering en het verwerken van persoonsgegevens via internet, Den Haag: Sdu Uitgevers 2005, p. 114, wijst erop dat negatieve publiciteit ook een effectief middel kan zijn om een verantwoordelijke onder druk te zetten om de gedragscode na te leven. i. speciale meldingen: -EVR, - 9, 10 -volgmelding - -- schadeafwikkeling op basis van totaal verlies -Waarborgfondsmelding - -bevragingsmelding - II. vertrouwelijke mededelingen: bij weigering/opzegging door de verzekeraar op grond van de in art Protocol FISH genoemde gronden 12 -malusregistratie - -OBM - 6 Als speciale meldingen worden genoemd de vastlegging in het externe verwijzingsregister (EVR), de volgmelding (dat wil zeggen een registratie van een te verwachten claim die uitsluitend in te brengen is door Bureau Justitiële Zaken van het Verbond van Verzekeraars), registratie van schadeafwikkeling op basis van totaal verlies (een melding conform bedrijfsregeling 16 van het Verbond van Verzekeraars genoemd), de Waarborgfondsmeldingen (dat is een registratie van gegevens van onverzekerde bestuurders/bezitters/kentekenhouders indien het Waarborgfonds een door deze onverzekerde veroorzaakte schade registreert en in behandeling neemt) en de bevragingsmelding (de registratie van een bevraging door geautoriseerde personen in de FISH-databank). 7 Onder de categorie vertrouwelijke mededelingen valt ingevolge in de hoofdtekst genoemd art de registratie van een weigering of een opzegging van een verzekeringsovereenkomst door verzekeraar om reden (1) dat een verzekering opgezegd wordt op initiatief van de verzekeraar, op grond van een, aan de verzekerde of verzekeringnemer toe te rekenen tekortkoming in de contractuele verplichtingen (code 2), (2) dat individuele beperkende bepalingen door de verzekeraar aan verzekerde worden voorgesteld, die door verzekerde geweigerd zijn, waarna de verzekering is opgezegd door de verzekeraar (code 3), (3) van een ontzegging rijbevoegdheid (alleen te gebruiken voor/door de afdeling Motorrijtuigen) (code 6) en (4) dat een verzekering door de verzekeraar wordt opgezegd in verband met schadeverloop (code 9). Malusregistratie is de vastlegging van de maluspositie bij royementen of schorsing van een motorrijtuigenverzekering in het kader van Bedrijfsregeling nummer 1. De laatste registratievorm onder de vertrouwelijke mededelingen is de zgn. OBM, de ontzegging van de bevoegdheid motorrijtuigen te besturen evr staat voor Extern VerwijzingsRegister en is een vastlegging van een deelverzameling van het incidentenregister van de deelnemer, die slechts verwijzingsgegevens bevat met betrekking tot de (rechts)personen. Zie nader onder 1.2 van deze bijdrage. 10 Op 3 maart 2011 is het Landelijk Protocol gewijzigd en maakt het IVR, het Interne Verwijzingsregister, niet langer deel uit van de Speciale Meldingen. Zie hierover nader onder Zie noot art bespreekt de vertrouwelijke mededelingen en Malusregistratie; zie noot 7. 38

40 346 Pagina Sdu Uitgevers Trema nr De toets door het CBP De registratie van gegevens die over een (bepaalde of bepaalbare) persoon informatie verstrekken in (deelverzamelingen van) een register, raakt aan de informationele privacy, zoals deze voor Nederland onder meer juridische erkenning en uitwerking heeft gekregen in de Wet bescherming persoonsgegevens, Wbp. 13 Daarin geeft art. 8 het antwoord op de vraag wanneer registratie van gegevens in beginsel toelaatbaar is. Dat zou als meest eenvoudige vorm zijn indien door de betrokkene ondubbelzinnige toestemming vooraf gegeven is. 14 Het door de verzekeraar eenzijdig in de polisvoorwaarden opnemen van de bepaling dat in voorkomende gevallen en onder omstandigheden overgegaan zal worden tot registratie van bepaalde gegevens, kan als een zodanige ondubbelzinnige toestemming niet opgevat worden. Het enkele van toepassing verklaren van voorwaarden is voor een dergelijk gekwalificeerde vorm van toestemming immers onvoldoende. Wat daar verder ook van zij, persoonsgegevens mogen ook worden verwerkt zonder die toestemming, indien daar een goede reden voor is. Een centrale rol voor de invulling van de vraag wanneer een goede reden bestaat voor de verwerking van persoonsgegevens speelt het bepaalde in art. 8 onder f Wbp, waarin is weergegeven: Tot zover is het helder: er is een zogeheten gebeurtenissenadministratie waarin intern informatie verwerkt wordt. Art. 8. Persoonsgegevens mogen slechts worden verwerkt indien: ( ) f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. Dat de gegevensverwerking binnen het verzekeringsbedrijf vanwege het belang bij bescherming van die bedrijfstak in beginsel als een zodanige noodzakelijke verwerking heeft te gelden, mag blijken uit het feit dat zowel de Gedragscode als het PIFI door het in de wet aangegeven toetsingsorgaan Wbp-proof zijn verklaard. 15 Wat overblijft is, gelet op de genoemde tenzij-bepaling, dat de betrokkene (lees: de verzekerde) steeds weer in een concreet geval kan aanvoeren dat zijn belang bij privacybescherming zwaarder heeft te wegen dan dat van de bedrijfstak. Hierna, onder 3, kom ik daar nader op terug Welke registers zijn er en hoe verhouden die zich tot elkaar? Alvorens in te gaan op de vraag wanneer welke gegevens geregistreerd mogen worden op grond van de onderscheiden protocollen (zie hierna onder 3), is het goed om de registers als zodanig nader te duiden. Gegevens kunnen op grond van het bepaalde in art van de Gedragscode worden opgenomen in het incidentenregister, in het EVR, in de (bredere) FISH-databank, maar ook in de Gebeurtenissenadministratie van de afdeling Veiligheidszaken. Daarnaast is registratie mogelijk bij het Bureau Juridische Zaken (hierna: BJZ) van het Centrum Bestrijding Verzekeringsfraude van het Verbond van Verzekeraars. Het BJZ-register Om met het laatste register te beginnen: in het Centrum Bestrijding Verzekeringsfraude, CBV, zijn blijkens de te raadplegen portal van het Verbond van Verzekeraars sinds 1 april 2007 alle beleidsmatige en operationele activiteiten op het gebied van fraudebeheersing ondergebracht. Het CBV geldt als kenniscentrum voor de verzekeringsbranche en is het centrale aanspreekpunt voor de partijen die betrokken zijn bij de bestrijding van fraude. 16 Maar bij de link wetten en regels 17 wordt helaas niet meer vermeld dan de mededeling: Het verzekeringsrecht is sinds 1 januari 2006 geregeld in titel 7.17 van het Burgerlijk Wetboek (Nederland) en de lijfrente in titel 7.18 van het Burgerlijk Wetboek. Een waarheid als een koe, maar wel een waarheid die er in dit verband niet toe doet. Een grondslag voor en controle op de registratie in het BJZ-register is in titel 7.17 BW immers in ieder geval niet terug te vinden. Evenmin zijn die aspecten geregeld in de Gedragscode zelf (daarin wordt BJZ geheel niet genoemd), noch in het FISH-protocol. Navraag bij het CBV leert dat het Centrum zelf art van het PIFI als grondslag voor de registratie duidt. 18 Het CBV als fraudeloket is er daarmee zo blijkt uit de mondeling gegeven toelichting voor de registratie van lopende zaken, waarvan nog niet vaststaat of zij (uiteindelijk) in het incidentenregister of in het extern verwijzingsregister zullen worden opgenomen. Ondanks dat de achtergrond invoelbaar is (het kan bepaald nuttig zijn om bepaalde signalen van buitenaf met elkaar te delen) is daarmee mijns inziens nog steeds niet zonder meer een deugdelijke basis voor registratie gegeven. 13 Deze wet bevat regels voor een behoorlijke en zorgvuldige omgang met persoonsgegevens. Zie S. Nouwt, t.a.p., p art. 8 onder a Wbp bepaalt dat persoonsgegevens mogen worden verwerkt indien door de betrokkene voor de verwerking ondubbelzinnig toestemming is verleend. 15 de Gedragscode is vooraf getoetst door het CBP, dat heeft verklaard dat de Gedragscode, gelet op de bijzondere kenmerken van de sector, een juiste uitwerking vormt van de Wbp en andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens. Zie besluit CBP van 26 april 2010, Stcrt. 2010, Ook de verwerking van persoonsgegevens zoals beschreven in het PIFI dat als bijlage bij de Gedragscode is gevoegd, is door het CBP rechtmatig verklaard. Zie besluit CBP van 26 april 2010, Stcrt. 2010, Zie art van het PIFI luidt: De gegevens uit het Incidentenregister van de Deelnemer mogen tevens worden uitgewisseld met functionarissen werkzaam bij de daartoe ingerichte coördinatiefuncties van de NVB (Nederlandse Vereniging van Banken, NvT), Verbond (Verbond van Verzekeraars, NvT), VFN (Vereniging van Financieringsondernemingen in Nederland, NvT), ZN (Zorgverzekeraars Nederlands, NvT) en SFH (Stichting Fraudebestrijding Hypotheken, NvT) (de fraudeloketten). 39

41 Trema nr Sdu Uitgevers Pagina 347 van betrokkene in het EVR (vgl. art van het PIFI). 21 Waarom moet een verzekerde uit de toelichting op een Gedragscode voor het eerst opmaken dat er van hem persoonsgegevens kunnen voorkomen in een Intern Verwijzingsregister? Het incidentenregister en het EVR Gegevens kunnen daarnaast, zoals hiervoor werd aangegeven, worden opgenomen in het incidentenregister. Het begrip incidentenregister is in het PIFI gedefinieerd als: de gegevensverzameling(en) van de Deelnemer, waarin gegevens zijn vastgelegd voor het in art Protocol genoemde doel, naar aanleiding van of betrekking hebbend op een (mogelijk) Incident. Een voorbeeld: bij de aanvraag van een motorrijtuigverzekering bij verzekeraar A door dhr. F.J. van der Velde, geboren 1 juli 1941, kunnen diens gegevens door A in het EVR ingevoerd worden. Indien in het verleden door verzekeraar B een verzekering van Van der Velde is opgezegd in verband met verzekeringsfraude, dan volgt een hit. Een dergelijk verleden is bij verzekeraar B immers in het voor verzekeraar A ontoegankelijk incidentenregister opgenomen. Een beslissing op de (huidige) aanvraag mag door verzekeraar A eerst genomen worden indien hij bij verzekeraar B informeert naar (de achtergrond van) de registratie. 22 De FISH-databank Ik gaf hiervoor aan: het EVR is een deelverzameling van het incidentenregister. Maar het is eveneens, getuige art. 3.5 van het FISH-protocol, een meldingscategorie in de FISH-databank. 23 De categorieën in de FISH-databank zijn weergegeven in het onder 1.1 opgenomen kader. De samenhang tussen de rubrieken laat zich als volgt weergeven: Op het doel en de voorwaarden voor registratie ga ik hierna onder 2.1 in; voor nu is relevant dat het incidentenregister dus een databank van de verzekeraar zelf is. Niet een landelijke databank, maar een register van gebeurtenissen van de financiële instelling zelf, waar hij alleen zelf bij kan. 19 Dat is anders bij het EVR, dat deel uitmaakt van de zgn. FISHdatabank. Het EVR betreft: incidentenregister van de individuele verzekeraar EVR claimmeldingen 'ongekleurd' speciale meldingen vertrouwelijke mededelingen Een vastlegging van een deelverzameling van het incidentenregister van de deelnemer, die slechts verwijzingsgegevens bevat met betrekking tot de (rechts)personen. En daarmee is de gekozen structuur op zich helder: vanuit het uitgangspunt dat volledige en ongecontroleerde toegang tot het incidentenregister van een deelnemer door de overige deelnemers (lees: andere verzekeraars) niet wenselijk is, is ervoor gekozen aan het incidentenregister een extern verwijzingsregister te koppelen. Een geautoriseerd functionaris van een deelnemer kan het ( gedeeld ) EVR bevragen door middel van het invoeren van de hem ter beschikking staande persoonsgegevens, waarna het systeem terugkoppeling geeft door aan te geven of de ingevoerde gegevens overeenstemmen met gegevens die in het EVR voorkomen ( hit) of niet ( no hit ). Pas indien er een hit is, komt het incidentenregister van een andere verzekeraar in beeld: de afdeling Veiligheidszaken van de bevragende deelnemer benadert de afdeling Veiligheidszaken van de zgn. primaire bron 20 voor een toelichting op de registratie 19 Het begrip incident is gedefinieerd als: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding. 20 De (primaire) bron is de deelnemer die (als eerste) gegevens met betrekking tot een (rechts)persoon in het EVR heeft opgenomen. (ovaal geldt op basis van het PIFI) (cirkel geldt op basis van het FISH-protocol) Nog voor de volledigheid: het interne verwijzingsregister (IVR) Tot de datum van wijziging daarvan per 3 maart 2011 kende het PIFI een bepaling die aangaf dat binnen het incidentenregister eveneens een deelverzameling bestond die slechts verwijzingsgegevens bevatte met betrekking tot (rechts)personen en die uitsluitend bestemd was voor gebruik door (de eigen organisatie van) de deelnemer, het zgn. interne verwijzingsregister IVR. Net als bij het EVR dus een verwijzingsregister, maar een die niet voor (de 21 Verwerking van persoonsgegevens in verband met het EVR vallen buiten de werking van de Gedragscode, aldus art van die Gedragscode. 22 Ik spreek hier bewust erover dat eerst een beslissing mag worden genomen na het informeren bij verzekeraar B, de primaire bron in mijn voorbeeld. Art van het PIFI geeft namelijk aan dat voorkomen dient te worden dat door een verzekeraar uitsluitend wordt geoordeeld aan de hand van een hit, zonder na te gaan wat de reden voor opname is. Veiligheidszaken controleert of door de bevrager naar aanleiding van een hit ook inderdaad navraag is gedaan. Dat is mogelijk zie genoemd artikel omdat Veiligheidszaken, alsmede Veiligheidszaken van de (primaire) bron, op de hoogte worden gesteld van een hit via een door de verwijzingsapplicatie aangemaakt automatisch bericht. 23 In de branche is veel gehoord dat FISH de naam is van het softwarepakket dat gebruikt wordt door de Stichting CIS. Dat is juist, maar FISH kent ook een bredere duiding, getuige de definiëring onder art. 3.1 van het FISH-protocol: In opdracht van de stichting CIS beheert ABZ (de naam waar deze afkorting op gebaseerd is, wordt niet weergegeven, NvT) een databank met (historische) gegevens over verzekerden van Nederlandse verzekeringsmaatschappijen. Deze databank is FISH (Fraude en Informatie Systeem Holland) genoemd. Om verwarring te voorkomen, werk ik in deze bijdrage, daar waar ik de databank bedoel, met de term FISH-databank. 40

42 348 Pagina Sdu Uitgevers Trema nr organisaties van) alle deelnemers heeft te gelden, maar alleen voor (de eigen organisatie van) de deelnemer zelf. Het IVR is in het thans geldende PIFI niet meer teruggekomen. In de periode dat het IVR als zodanig nog in het PIFI opgenomen en gedefinieerd was, is deze vorm van registratie in een aantal zaken (mede) getoetst door de rechter. Een van de in het oog springende punten in de rechtspraak hing samen met de stelling die door verzekeraars wel ingenomen werd dat registratie in het IVR slechts een beperkte impact zou hebben nu zij toch alleen maar voor de eigen organisatie is. Met andere woorden: waarom zou zo n interne registratie naar buiten toe relevant zijn als zij uitsluitend voor eigen gebruik van de verzekeraar is? Het is een standpunt dat Nationale Nederlanden als verzekeraar ook inneemt, waar zij ter zake (onder meer) stelt dat het niet aan de rechtbank is zich in haar bedrijfsvoering te mengen. De rechtbank ziet dit anders: Daaromtrent wordt overwogen dat Nationale Nederlanden niet heeft aangevoerd, laat staan onderbouwd, dat zij op grond van de vigerende regelgeving met betrekking tot het intern verwijzingsregister bevoegd is daarin een signalering op te nemen in een geval als het onderhavige, waarin geen sprake is van een redelijk vermoeden van opzettelijke benadeling als bedoeld in het protocol. Weliswaar is sprake van een interne signalering, maar [verzekerde] heeft recht en belang dat zij onder deze omstandigheden niet intern wordt gesignaleerd. 24 De vraag die daarmee nog niet beantwoord is, is wie, waar, wanneer mag/kan kijken. Een uitspraak die ik kan toejuichen. Als signalering niet toegestaan is, dan dient zij ook niet plaats te vinden. Daar komt bij dat de toegankelijkheid van zo n intern verwijzingsregister wel degelijk een groter gevolg kan hebben dan uitsluitend in de verhouding tot de verzekeraar die tot registratie in het interne register overgaat. De rechtbank Rotterdam wijst daar op in haar vonnis van 1 december 2010, waarin zij overweegt: De rechtbank begrijpt de stellingen van Aegon aldus dat zij ten aanzien van de onder het Protocol vallende registraties (uitsluitend) de registratie in het EVR heeft verwijderd. De vaststelling van [verzekerde] dat daarmee de registraties in het incidentenregister en het IVR niet on- 24 Zelfs gaat de rechtbank in een later tussenvonnis van 12 augustus 2009, (LJN BI4800) nog verder, waar zij Nationale-Nederlanden in de gelegenheid stelt stukken in het geding te brengen waaruit kan blijken dat verzekerden noch extern, noch intern staan geregistreerd althans dat eventuele registraties ongedaan zijn gemaakt. Aan een dergelijk verzoek kan voldaan worden door aan het CIS ex art van het PIFI een zgn. inzageverzoek te doen. De betreffende bepaling is een uitwerking van art. 35 Wbp. Mondelinge navraag bij het CBV leert dat in geval tot schrapping van registratie is overgegaan, aan eenieder die gedurende een jaar ervoor de betreffende (thans: geschrapte) registratie heeft bekeken de mededeling wordt gedaan dat deze registratie verwijderd is. De grondslag hiervoor is art. 38 van het Wbp; een borging voor deze (in de Wbp in beginsel verplicht gestelde melding) in het PIFI is evenwel niet terug te vinden. De bepalingen in art. 9.6 van het PIFI zijn daarvoor te vrijblijvend van redactie. gedaan zijn gemaakt, is dan ook juist. Partijen discussiëren over de vraag of Aegon hiertoe gehouden is. Aegon heeft aangevoerd dat zij de interne registraties in het IVR niet hoeft door te halen omdat zij als verzekeraar vrij is om een haar ter verzekering aangeboden risico al dan niet te accepteren, waarbij interne registraties haar desbetreffende beslissing kunnen ondersteunen, zodat de interne registraties onderdeel uitmaken van Aegons eigen acceptatiebeleid. Daarnaast stelt Aegon dat deze registraties niet zichtbaar zijn (geweest) voor andere verzekeraars. De rechtbank oordeelt hierover als volgt: Uit de begripsomschrijvingen volgt dat onder de organisatie van de deelnemer naast de deelnemer zelf, ook kunnen worden begrepen de dochter- en groepsmaatschappijen, als ook de bij Rabobank Nederland aangesloten banken, alsmede de door de deelnemer geautoriseerde gevolmachtigde tussenpersonen. Tegen deze achtergrond bezien, heeft Aegon naar het oordeel van de rechtbank geen toereikende motivering en onderbouwing gegeven voor haar stelling dat de hier bedoelde registraties uitsluitend voor intern gebruik zijn en de registraties niet zichtbaar zijn (geweest) voor andere verzekeraars. Het uitsluitend interne karakter ten behoeve van het acceptatiebeleid is, gelet op de mogelijkheid van kennisneming door veiligheidsfunctionarissen van andere verzekeraars en gelet op het ruime begrip organisatie van de deelnemer, niet gewaarborgd. Reeds om deze reden gaat het betoog van Aegon niet op en zal zij worden veroordeeld tot het doorhalen van deze registraties, zoals door [verzekerde] gevorderd. 25 Een overweging die mijns inziens juist is, maar ook los daarvan: een verzekerde heeft er recht op en belang bij om niet te worden geregistreerd, ook niet intern, wanneer dat niet (langer) nodig is. Met die vaststelling is de opmaat naar het volgende onderwerp gegeven. De gebeurtenissenadministratie Met het niet langer opnemen van (waarborgen voor) registratie in het IVR in het PIFI zij overigens niet gezegd dat op maatschappijniveau geen interne verwijzingsregistratie meer plaatsvindt. 26 Sterker nog, zij is er wel degelijk, zij het dat de grondslag daarvoor nog uitsluitend in de toelichting bij art. 5.5 van de Gedragscode te vinden is. Onder het kopje Veiligheid en integriteit (art. 5.5) is opgenomen: Binnen een Financiële instelling vormt Veiligheidszaken, die zich bezig houdt met de bestrijding van fraude en criminaliteit, vaak een afgezonderde eenheid. Deze afdeling legt onder meer gebeurtenissen vast die van belang zijn voor de veiligheid en integriteit van de Financiële sector en om die reden speciale aandacht behoeven. Het kan daarbij gaan om uiteenlopende gebeurtenissen als de melding van een gestolen laptop tot het vermoeden dat een bepaald persoon betrokken is bij een vorm van fraude of criminaliteit. Deze Persoonsgegevens worden vastgelegd in een zogeheten Gebeurtenissenadministratie. 27 De Persoonsgegevens 25 LJN BP de preambule van het huidige PIFI spreekt niet over het niet langer terugkeren van het IVR en verwijst evenmin naar de (toelichting van de) Gedragscode. 27 Het begrip Gebeurtenissenadministratie is in art. 2 onder k gedefinieerd als Verwerking van Persoonsgegevens die van belang kunnen zijn voor de veiligheid en integriteit van de Financiële instelling en om die reden speciale aandacht behoeven. 41

43 Trema nr Sdu Uitgevers Pagina 349 opgenomen in de Gebeurtenissenadministratie mogen in beginsel alleen gebruikt worden binnen de Financiële instelling of de Groep waartoe de Financiële instelling behoort. Tot zover is het helder: er is een zogeheten gebeurtenissenadministratie waarin intern informatie verwerkt wordt. De gedachte die opkomt, is dat dat mogelijk in plaats van het intern verwijzingsregister zou zijn gekomen, maar dat is niet juist, want de toelichting vervolgt: Om een oncontroleerbaar gebruik van deze Persoonsgegevens te voorkomen wordt een beperkte set aan gegevens (naam, adres, woonplaats en geboortedatum) opgenomen in een Intern Verwijzingsregister (IVR) dat in het kader van onder meer acceptatie en schadeafhandeling door de betreffende afdelingen geraadpleegd mag worden. Indien blijkt dat een Betrokkene in dit IVR voorkomt moet contact worden opgenomen met Veiligheidszaken, die vervolgens adviseert over de beslissing die moet worden genomen Registratie: voorwaarden en waarborgen Bij het in kaart brengen van de waarborgen voor registratie valt een onderscheid te maken tussen de voorwaarden voor opname, de voorwaarden voor kennisname en in het verlengde daarvan de waarborgen voor uitwisseling van geregistreerde gegevens. In de (gepubliceerde) rechtspraak komt het veelvuldig voor dat een vordering tot het schrappen van de registratie ingesteld wordt. Daarmee bestaat het IVR (in een nieuwe vorm) kennelijk toch nog steeds, zij het dat zij niet langer onderdeel uitmaakt van het incidentenregister en dat zij niet langer gebaseerd is op het PIFI, maar dat zij deel uitmaakt van de gegevensadministratie van de deelnemer en haar grondslag vindt in de toelichting op een artikel in de Gedragscode. Wanneer we de eerdere figuur met deze informatie aanvullen, dan wordt zij als volgt: Gebeurtenissenadministratie verzekeraar IVR (vierkant gebaseerd op (de toelichting van) de Gedragscode) incidentenregister van de individuele verzekeraar (ovaal geldt op basis van het PIFI) EVR claimmeldingen 'ongekleurd' speciale meldingen vertrouwelijke mededelingen (cirkel geldt op basis van het FISH-protocol) 2.1. Voorwaarden voor opname Allereerst de voorwaarden voor opname. Ook hier een onderscheid en wel tussen de gegevens zoals deze worden geregistreerd in het ( besloten ) incidentenregister en in het (daarvan uit makend) ( openstaande ) EVR. Zowel voor opname van gegevens in het incidentenregister als voor opname in het EVR heeft het PIFI als grondslag te gelden. In de Gedragscode worden de beide registers wel genoemd, maar dat is vooral om aan te geven dat zij niet van toepassing is. 29 Opname in het incidentenregister In het PIFI zet art de eerste paaltjes: iedere deelnemer heeft een incidentenregister, waarin door de betreffende deelnemer gegevens van (rechts)personen worden vastgelegd ten behoeve van het in art van het protocol genoemde doel, naar aanleiding van of betrekking hebbend op een (mogelijk) incident. Onder incident wordt daarbij verstaan: Wat ik aan deze constructie op zijn minst verwarrend vind, is dat zij het registratiemechanisme dat in werking kan treden bepaald niet overzichtelijk(er) maakt. Waarom moet een verzekerde uit de toelichting op een Gedragscode voor het eerst opmaken dat er van hem persoonsgegevens kunnen voorkomen in een Intern Verwijzingsregister, terwijl dat register als zodanig in de Gedragscode geïntroduceerd noch gedefinieerd is? Het (nieuwe) IVR is een deelverzameling van de gebeurtenissenregistratie ten behoeve van het eigen personeel en gelet op de bewoordingen, gehanteerd in de toelichting, is zij mede aangelegd om de betrokkene te beschermen (de deelverzameling is immers aangelegd om een oncontroleerbaar gebruik van de persoonsgegeven te voorkomen ). Maar als dat dan zo is, waarom niet wat duidelijker en met waarborgen omkleed gepresenteerd? De stap naar de volgende paragraaf is daarmee meteen gemaakt. Een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding. Als doelstelling voor het vastleggen van gegevens in het incidentenregister wordt in genoemd art de volgende gehanteerd: Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn: 28 Toelichting bij de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, p Zie art van de Gedragscode. De bijlage waarnaar daarin verwezen wordt, is het ter informatie bij de Gedragscode opgenomen PIFI. In de toelichting op de Gedragscode wordt dat herhaald, waar op p. 28 aangegeven wordt dat op de verwerking in het incidentenregister en, wanneer aan aanvullende voorwaarden is voldaan, in het EVR niet de Gedragscode, maar het PIFI van toepassing is. 42

44 350 Pagina Sdu Uitgevers Trema nr op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers; op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of over treding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers; op het gebruik van en de deelname aan waarschuwingssystemen. Geen echte voorwaarden dus voor opname in het incidentenregister; wel geldt dat de vastlegging in het register in samenhang gelezen met het bepaalde in art alleen toegestaan is zolang de doelen van daarmee gediend worden. Opname in het EVR Scherper zijn de voorwaarden voor opname in het EVR omschreven: in art van het PIFI wordt de koppeling van het EVR (aan het incidentenregister) geregeld en is bepaald dat het EVR uitsluitend verwijzingsgegevens bevat die onder strikte voorwaarden conform art. 5.2 door de deelnemers mogen worden opgenomen: 5.2 Vastlegging van gegevens in het Extern Verwijzingsregister De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en na toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister. a) De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de ( financiële) belangen van cliënten en/of medewerkers van een Financiële instelling, almede de (Organisatie van de) Financiële instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector. b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klacht wordt gedaan bij een opsporingsambtenaar. c) Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister. 30 De beslissing tot vastlegging van verwijzingsgegevens in het EVR wordt genomen door de afdeling Veiligheidszaken. Andermaal een voorbeeld ter illustratie: dhr. Van der Velde heeft sinds 2009 een kostbaarhedenverzekering lopen bij verzekeraar C. Bij de aanvraag van die verzekering heeft hij een aankoopnota van een fraai horloge gevoegd, waarna de verzekering gesloten wordt tot een bedrag van 2.130,-. Nadat Van der Velde het horloge als gestolen opgeeft, blijkt aan de verzekeraar dat Van der Velde het horloge ten tijde van het aangaan van de overeenkomst niet langer in zijn bezit had. De verzekeraar vult zowel het incidentenregister als ook het EVR. De ruime omschrijving voor opname in het incidentenregister, waarbij een proportionaliteitsafweging niet is voorgeschreven, staat in ieder geval de opname daarin toe. Voor die in het EVR dient een proportionaliteitsafweging wel plaats te vinden, maar deze hoeft in casu aan opname in het EVR niet in de weg te staan. 31 Het is ook aan Veiligheidszaken om de proportionaliteitsafweging te maken, oftewel om in de beoordeling van de opnamevraag te wegen of het belang van opname in het EVR groter is dan de mogelijk nadelige gevolgen voor de verzekerde. Daarmee is de facto aan de orde een uitwerking van de hiervoor (onder 1.1) besproken tenzijbepaling van art. 8 onder f van de Wbp. 32 Ondanks dat de bepaling onder van het PIFI door het CBP als Wbp-proof is aangeduid (zie hiervoor onder noot 15) vind ik de voorwaarden voor registratie als hier weergegeven bepaald ruim te noemen. Is het niet ingrijpend om in het EVR geregistreerd te worden omdat in voldoende mate vast staat dat ik als persoon even de lichtste varianten uit de bepalingen kiezend betrokken ben bij een gedraging die een bedreiging kán vormen voor een medewerker van een financiële instelling? Natuurlijk kan de verzekeraar aanvoeren dat een enkele vermelding in het EVR nog niet tot nadelige gevolgen hoeft te leiden, maar is het daar geregistreerd zijn al niet inbreuk makend? Hoe ruimer een door de verzekeraar geformuleerde en door het CBP goedgekeurde mogelijkheid tot registratie, hoe eerder een verzekerde in het registratiesysteem komt. En hoe eerder hij dus in een positie komt dat het aan hem is met alle inspanning en kosten van dien om die registratie ongedaan te maken. 33 De achtergrond van al deze registratieperikelen is steeds geweest het belang om fraude en criminaliteit die tegen financiële instellingen is gericht, tijdig te ontdekken en te bestrijden. 30 Voor de beantwoording van de vraag hoe zo n verwijzingsgegeven er nu uitziet, dient te worden teruggegrepen naar de begripsbepalingen: een verwijzingsgegeven is het gegeven dat van een (rechts)persoon in het EVR overeenkomstig het bepaalde in hiervoor weergegeven art. 5.2 is opgenomen. Dat is getuige diezelfde begripsbepalingen bijvoorbeeld de volledige naam van de (rechts)persoon en geboortedatum (of KvK-nummer). 31 inspiratie voor dit voorbeeld is ontleend aan Rb. Arnhem 16 februari 2011, LJN BP6166, waarin de rechter oordeelt dat de verzekeraar gelet op de criteria opname in het incidentenregister waarbij een proportionaliteitsafweging niet is voorgeschreven tot registratie mocht overgaan. Ook de opname in het EVR was toegestaan. 32 Zie over de afweging en met name de door de rechter getoetste proportionaliteit ook hierna onder Op de mogelijkheden tot deregistratie ga ik onder 3 nader in. 43

45 Trema nr Sdu Uitgevers Pagina 351 Verdere opname in de FISH-databank Zoals uit de figuren onder 1.2 naar voren komt, zijn er binnen de FISH-databank nog vormen van registratie die niet onder de Gedragscode, noch onder het PIFI vallen, maar die bij uitsluiting geregeld zijn in het FISH-protocol. 34 Aan de orde is daarmee art. 3.4 van het FISH-protocol: 3.4 Invoervalidatie De persoonsgegevens van de in de FISH databank opgenomen personen dienen in overeenstemming met de wet te zijn verkregen en dienen bij de (primaire) bron gedocumenteerd herleidbaar te zijn. De in de databank opgenomen (claim)meldingen zijn en blijven eigendom van de deelnemer die de betreffende melding heeft ingezonden. Deze deelnemer is verantwoordelijk voor de juistheid en volledigheid van de gegevens. In de databank worden ten hoogste de volgende soorten van gegevens verwerkt: Gegevens (rechts)personen Objectgegevens Meldinggegevens Speciale meldingen Vertrouwelijke mededelingen en Malusregistratie, waaronder ontzegging rijbevoegdheid. De gegevens worden verkregen van de deelnemers met uitzondering van het gegeven Ontzegging Rijbevoegdheid, dat rechtstreeks wordt verkregen van de Rijksdienst voor het Wegverkeer (RDW). Voorop staat bij dit alles het uitvoeren van de doelstelling van de stichting CIS, die ingevolge art. 3.1 van het FISH-protocol luidt: De verwerking van informatie heeft tot doel het leveren van een bijdrage aan de behartiging van de gemeenschappelijke belangen van de deelnemers inzake: het inschatten en beheersen van risico s in het algemeen; schadelastbeperking, in het bijzonder door een verantwoord acceptatiebeleid; het ontdekken, voorkomen en bestrijden van verzekeringsfraude; het uitwisselen van feitelijke gegevens tussen deelnemers onderling, tussen verzekeraar en politie/justitie en andere door de verantwoordelijken erkende instellingen; statistische analyses ten behoeve van fraude en criminaliteitsbestrijding en risicoanalyses. Geen scherpe omschrijving dus van de randvoorwaarden waaraan moet worden voldaan voor het opnemen van gegevens in deze registers, maar in samenhang met het overzicht van categorieën in art. 3.5 van het FISH-protocol naar mijn mening wel een voldoende werkbaar systeem Waarborgen voor kennisname en uitwisseling van persoonsgegevens De vraag die daarmee nog niet beantwoord is, is wie, waar, wanneer mag/kan kijken. Zoals hiervoor had te gelden dat de voorwaarden voor opname in de verschillende (categorieën) van registers op meerdere plaatsen werden gegeven, geldt dat evenzeer voor de voorwaarden voor kennisname en uitwisseling. Ook hier spelen weer het FISH-protocol, de Gedragscode en het PIFI. De Gedragscode heeft tot doel regels te stellen aan de financiële instellingen voor het verwerken van persoonsgegevens, maar ook om informatie te verschaffen aan personen van wie persoonsgegevens door financiële instellingen verwerkt (zullen) worden en bij te dragen aan de transparantie van de regels die worden gehanteerd met betrekking tot het verwerken van persoonsgegevens. De Gedragscode geeft daarmee geen regels over de vraag wie tot de gegevens toegang heeft. 35 Dat doen wel het genoemde FISH-protocol en het PIFI. Toegang tot de gegevens in de FISH databank hebben naast een aantal uit hoofde van hun functie aangewezen medewerkers 36 bevoegde medewerkers van de deelnemers. Een vage en vooral brede groep, waarmee de toegang breder lijkt te zijn dan die voor het PIFI geldt (zie hierna). Dat zou met name op bezwaren kunnen stuiten voor de gegevens die in het externe verwijzingsregister EVR opgenomen zijn. Voor die gegevens kent het PIFI immers beschermende maatregelen (zie eveneens hierna). Een echte aanscherping van de tot de gegevens toegankelijken wordt niet gegeven, wel kent het FISH-protocol een soort vangnet, waar onder art. 3.8 is bepaald: Met het oog op het traceren van misbruik van het systeem wordt iedere bevraging vastgelegd. Daarbij wordt vastgelegd wie, waar vandaan en wanneer heeft getoetst. In geval van een hit vanuit de EVR databank dient vervolgens de procedure, zoals omschreven in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen gevolgd te worden. Daarmee sluiten de geledingen zich de facto in die zin dat net als in het PIFI een volledige en ongecontroleerde toegang tot de incidentenregisters door alle functionarissen (uit de organisatie) van de deelnemers niet wenselijk is. Dat is ook logisch, want juist om die reden is ervoor gekozen om uitsluitend verwijzingsgegevens op te nemen in het EVR. En dus? Het te volgen pad is niet zonder meer overzichtelijk te noemen, maar uit de (structuur van de) beide protocollen valt te concluderen dat bevoegde medewerkers van de deelnemers het FISH-register kunnen raadplegen en dat bij een hit op het EVR het PIFI in werking treedt. Vanaf dat moment wordt er nog uitsluitend gewerkt op het niveau van de veiligheidsfunctionaris/de afdeling Veiligheidszaken van de (primaire) bron en de bevrager Ik spreek daarom in de aanhef van deze subparagraaf over verdere opname in de FISHdatabank : voor het incidentenregister en de EVR-meldingen geldt immers dat strikt het PIFI nageleefd dient te worden. Maar wat heeft te gelden voor de andere categorieën die de FISH-databank kent, bespreek ik in deze subparagraaf. 35 Ik heb ze in ieder geval niet kunnen vinden. Wel wordt aangegeven dat en onder welke omstandigheden de verzekerde zelf recht heeft op kennisneming en correctie; zie art. 7.1 van de Gedragscode. 36 Toegang hebben verder de secretariaatsmedewerkers die aan degenen op wie de persoonsgegevens betrekking heeft ( betrokkenen ) gegevens dienen te verstrekken, de helpdeskmedewerkers en ontwikkelaars/programmeurs. 37 de afdeling Veiligheidszaken is de afdeling of persoon die binnen een financiële instelling verantwoordelijk is voor de verwerking van persoonsgegevens in het kader van het waarborgen van de veiligheid en integriteit. De (primaire) bron is volgens de begripsbepalingen van het PIFI de deelnemer die (als eerste) gegevens met betrekking tot een (rechts)per 44

46 352 Pagina Sdu Uitgevers Trema nr Na registratie: hoe kom je er weer uit? Op het moment dat een verzekerde in een van de registers is opgenomen, krijgt hij hiervan in beginsel bericht. 38 Ook kan hij zichzelf het PIFI voegt daar fijntjes aan toe: met redelijke tussenpozen tot een deelnemer wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens in het incidentenregister en/of het EVR (art. 7.1 Gedragscode en art van het PIFI), dan wel in de overige registers zijn opgenomen (art. 6.1 FISH-protocol). De mededeling van opname volgt dus in beginsel vanzelf en in beginsel verdwijnt deze ook weer vanzelf : indien niet langer aan de voorwaarden van art van het PIFI resp. aan de voorwaarden van art is voldaan, draagt de deelnemer op grond van het bepaalde in art. 4.3 resp. art. 5.3 zorg voor verwijdering van de gegevens uit het incidentenregister resp. het EVR. 39 Voorzien is vervolgens in een regeling bij geschillen voor het geval dat niet naar tevredenheid loopt. 40 In een groot aantal zaken blijkt een en ander evenwel niet zo vanzelf te gaan als het systeem doet vermoeden: in de (gepubliceerde) rechtspraak komt het veelvuldig voor dat een vordering tot het schrappen van de registratie ingesteld wordt. In de regel is dat als nevenvordering. Het registreren, immers, zal doorgaans plaatsvinden na een weigering van een uitkering of opzegging van een verzekeringsovereenkomst, al dan niet gekoppeld aan de verdenking van een registerwaardig feit. In die gevallen volgt het oordeel over de vraag of de registratie al dan niet ongedaan gemaakt dient te worden de beslissing over het basisgeschil tussen de verzekerde en de verzekeraar. 41 Ter illustratie een aantal voorbeelden: (in een zaak waarin de verzekeraar met een beroep op verzwijging de overeenkomst had beëindigd en tot registratie was overgegaan:) Nu [verzekerde] gezien het voorgaande niet aan zijn mededelingsplicht heeft voldaan en Ohra op goede gronden de overeenkomst heeft beëindigd, is de registratie van [verzekerde] in het incidentenregister eveneens op juiste gronden verricht. Ook de vordering tot het verwijderen en verwijderd houden van [verzekerde] uit het incidentenregister of een soortgelijk register moet daarom worden afgewezen. 42 (in een vergelijkbare zaak waarin de verzekeraar met een beroep op verzwijging de overeenkomst had beëindigd en tot registratie was overgegaan:) ( ) soon in het EVR heeft opgenomen. 38 aldus art. 9.1 van het PIFI (terzake van opname in het Incidentenregister resp. het EVR) en art. 5.3 van het FISH-protocol (melding overige (schade)gegevens). Ik spreek in de hoofdtekst erover dat hij in beginsel bericht krijgt omdat de mededeling aldus art achterwege blijft indien sprake is van een uitzonderingssituatie ex art. 34 WBP of voor zover dat noodzakelijk is in het belang van de voorkoming, opsporing en vervolging van strafbare feiten of de bescherming van de betrokkene of de rechten en vrijheden van anderen. 39 Het FISH-protocol kent op dit punt geen specifieke regeling. Dat lijkt ook niet te hoeven, nu voor een deel van de FISH-data geldt dat zij gewoon kunnen blijven staan omdat het kleurloze gegevens zijn. 40 Zie art. 11 van de Gedragscode, 10.1 van het PIFI en 7 van het FISH-protocol. 41 ik spreek in de hoofdtekst over het basisgeschil. Ik bedoel daarmee niet meer dan aan te geven welke vordering in een reeks de belangrijkste is. Dat is doorgaans vanzelfsprekend de vordering tot nakoming van de verzekeringsovereenkomst. De vordering tot het schrappen van de registratie is in dat groter geheel te zien als een sequeel, een gevolg of aanhangsel, van de vordering die ik als basisgeschil duid. Ik ga op dit punt nader in onder 4, bij de behandeling van de bewijsrechtelijke aspecten van de registratie. 42 rb. Arnhem 21 april 2010, NJF 2010, 210. Gelet op alle genoemde omstandigheden is de rechtbank van oordeel dat het bewijs dat sprake is van een onjuiste of onvolledige mededeling door [eiseres sub 2] met betrekking tot de regelmatige bestuurder van de auto voorshands geleverd is. De rechtbank laat [eiser sub 1] en [eiseres sub 2] toe tot het leveren van tegenbewijs tegen het vermoeden dat [eiser sub 1] regelmatige bestuurder was en er derhalve sprake is van een onjuiste of onvolledige mededeling Indien [eiser sub 1] en [eiseres sub 2] slagen in het leveren van dit tegenbewijs had de verzekering door OVZ niet beëindigd mogen worden en zijn de registraties in het Incidentenregister OVZ, in het FISH, bij de Stichting CIS en bij het Bureau Justitiële Zaken van het Verbond van Verzekeraars onrechtmatig. 43 (eveneens in een verzwijgingszaak:) 4.10 De vordering tot ongedaanmaking van de interne registratie bij Nationale Nederlanden en de externe registratie bij de Stichting CIS is, naar de rechtbank begrijpt, gegrond op de stelling dat Nationale Nederlanden onrechtmatig jegens [A] heeft gehandeld. Nationale Nederlanden heeft ten verwere aangevoerd dat zij heeft gehandeld conform de regels die het Protocol Incidentenwaarschuwingssysteem financiële instellingen haar voorschrijft. Uit het hiervoor onder 4.2 t/m 4.9 overwogene volgt dat sprake is geweest van verzwijging als bedoeld in art. 7:930 lid 1 BW en dat terecht is geweigerd om tot uitkering van het schadebedrag over te gaan. De registraties zijn daarmee op juiste gronden verricht. 44 De nevenvordering volgt daarmee als gezegd doorgaans de basisbeslissing, maar als vaste regel geldt dat niet. Een zelfstandige toets aan het PIFI en daarmee aan het proportionaliteitsbeginsel dient immers gemaakt te kunnen blijven worden. Registratie in het EVR uitsluitend na proportionaliteitsweging Zoals hiervoor onder 3.1 is aangegeven dient de (afdeling Veiligheidszaken van de) verzekeraar een eigen afweging te maken bij de vraag of registratie van een bepaald feit al dan niet dient plaats te vinden. De proportionaliteitsweging zoals deze in art. 5.3 van het PIFI is opgenomen, is te zien als een uitwerking van het bepaalde in art. 8, onder f, Wbp, dat de grondslag vormt voor het incidentenwaarschuwingssysteem. 45 Dit onderdeel vereist dat een verwerking noodzakelijk is voor de verwezenlijking van een gerechtvaardigd belang van de verantwoordelijke dat prevaleert boven het recht van betrokkene op bescherming van zijn persoonlijke levenssfeer. 46 Op specifiek verzekeraarsniveau wordt het proportionaliteitsbeginsel in art onder c) van het PIFI als volgt geduid: c) Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister. 43 Rb. Rotterdam 27 mei 2009, LJN BJ rb. Den Haag 27 augustus 2008, LJN BF Besluit CBP van 18 mei 2011 met nr , p. 5 onder nr Besluit CBP van 18 mei 2011 met nr , p. 5 onder nr

47 Trema nr Sdu Uitgevers Pagina 353 Het is lastig om te beoordelen of de bedoelde proportionaliteitsweging, de door de wet geboden waarborg, door de afdeling Veiligheidszaken in voldoende mate gemaakt wordt: waar registratie niet plaatsvindt, komt dit niet naar buiten en wordt de afweging (vanzelfsprekend) ook niet inzichtelijk. Waar registratie wél plaatsvindt, wordt geen inzicht verkregen in de door de afdeling (al dan niet gemaakte) proportionaliteitsweging. Meegedeeld wordt immers uitsluitend dát er geregistreerd is, waarmee duidelijk wordt dat het individuele belang (kennelijk) niet opwoog tegen dat van de financiële instellingen. Maar de afweging als zodanig wordt niet nader geëxpliciteerd en dat is jammer, vooral omdat in het annex bij het PIFI (p. 16) is aangegeven dat de gevolgen van de opname in verhouding moeten staan tot de gewraakte gedraging en de overige omstandigheden van het geval. Juist als geregistreerde verzekerde in wiens nadeel de afweging kennelijk is uitgevallen bestaat aan een concrete invulling van de afweging grote behoefte. Dat de afweging ook binnen de bedrijfstak als een lastige ervaren kan worden, blijkt uit het bestaan van een begeleidingscommissie. Zij adviseert op grond van het bepaalde in art. 6 van het PIFI de deelnemers over de toepassing van de vastleggingscriteria onder van het PIFI indien daartoe aanleiding bestaat. Of, in de woorden van de bepaling zelf: 6.2 Indien daartoe aanleiding bestaat adviseert de begeleidingscommissie de Deelnemers over de toepassing van de onder art Protocol genoemde vastleggingcriteria. De Deelnemer dient op verzoek van de begeleidingscommissie alle relevante informatie over de uitleg en toepassing van de vastleggingcriteria aan de begeleidingscommissie te verstrekken. De Deelnemer is gebonden aan de door de begeleidingscommissie gevolgde uitleg. ( ) De instelling van een dergelijke commissie lijkt me zinvol, ondanks dat ik me afvraag of de toetsing niet te vrijblijvend is ( indien daartoe aanleiding bestaat ) en ondanks dat ik me afvraag of de begeleidingscommissie niet juist ook toegankelijk zou moeten zijn voor de verzekerde zelf. Het zal toch vaak de verzekerde zijn die van oordeel is dat de afweging van zijn belang dient te prevaleren boven dat van de bedrijfstak. De verzekerde heeft nu uitsluitend de mogelijkheid om zich tot het KiFiD of de burgerlijke rechter te wenden. In een aantal zaken is de stap naar de civiele rechter inderdaad gemaakt. Illustratief is de uitspraak van de rechtbank Den Haag. In de casus die daaraan ten grondslag ligt, speelt een motorrijtuigverzekering, die tot stand is gekomen nadat de betrokken tussenpersoon [B] teneinde de klant, de latere verzekeringnemer [A], voor zich te winnen in het aanvraagformulier opzettelijk een andere dan de regelmatig bestuurder [D] heeft genoemd: 4.11 Ten overvloede wordt het volgende overwogen. De verzekeraar dient bij registratie wel een eigen afweging te maken. De gegevens worden slechts geregistreerd indien naar het oordeel van de verzekeraar sprake is van een gerede aanleiding. Het registreren van een verzekeringnemer kàn daarom naar het oordeel van de rechtbank onder omstandigheden die hier overigens gesteld noch gebleken zijn onzorgvuldig zijn. In dat verband wordt er ten overvloede op gewezen dat Nationale Nederlanden ter comparitie heeft verklaard dat [B] zich pas op een later moment in de procedure heeft gemeld en inhoudelijk op de zaak is De waarschuwing via een hit in het Extern Verwijzingsregister betekent dat de fraudeur zich mag verheugen in extra aandacht van de (zorg)verzekeraar. ingegaan, hetgeen voor Nationale Nederlanden een ander licht heeft geworpen op de registratie van [A]. Nationale Nederlanden heeft gezegd de uitkomst van deze procedure af te willen wachten en naar aanleiding daarvan de registratie opnieuw te zullen bezien. 47 De eigen afweging die van de verzekeraar verwacht wordt, komt verder aan de orde in de zaak die heeft geleid tot het oordeel van de rechtbank Utrecht van 9 december In deze zaak geen verzwijging, maar de vraag of door de verzekerde, AB Cars, ná een schadevoorval opzettelijk onvolledige informatie is verschaft. Ik geef eerst een aantal overwegingen waaruit de stellingname over en weer op dit punt kan blijken: Naar AB Cars omtrent zijn vordering op deze punten bij dagvaarding heeft gesteld zijn het doorgeven van de opzegging van de verzekeringen aan het CIS en opname van AB Cars in het IVR en het EVR onbegrijpelijk, onvoldoende gemotiveerd en buiten proportie. Tijdens de comparitie van partijen is in dit verband nog aangevoerd dat er geen reden is tot melding in de genoemde registers omdat er geen sprake is van opzettelijke benadeling van ASR Door ASR is gemotiveerd aangegeven dat deze maatregelen naar haar mening gerechtvaardigd zijn. Het onderhavige geval valt binnen de werkingssfeer van het Fraudeprotocol, het Deltaplan Aanpak Fraude bij Schadeverzekeringen en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen, waaraan zij zich strikt dient te houden De rechtbank stelt vast dat in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen criteria zijn vastgelegd voor opname in het Incidentenregister (art. 4.2), het IVR (art. 5.2) en het EVR (art. 6.2) Met ASR is de rechtbank van oordeel dat er (gezien de in 4.1 genoemde doelstellingen) gerede aanleiding bestond AB Cars in het Incidentenregister op te nemen waarmee aan het in 4.2 genoemde criterium is voldaan. ( ) Naar het oordeel van de rechtbank is tevens voldaan het 1e en het 3e in art. 6.2 (thans: 5.2, NvT) opgenomen vereiste voor opname in het EVR, nu er sprake is van (1) activiteiten van AB Cars die een bedreiging kunnen zijn voor de financiële belangen van ASR en (3) be- 47 Rb. Den Haag 27 augustus 2008, LJN BF ljn BK de genoemde artikelnummers zijn met de invoering van het huidig PIFI gewijzigd; het incidentenregister kent niet langer het IVR als deelverzameling, hetgeen art. 5.2 doet vervallen. Het hier genoemde art. 6.2 is daarmee thans (in een op punten gewijzigde versie) vervangen door art

48 354 Pagina Sdu Uitgevers Trema nr trokkenheid van AB Cars bij een (poging tot) benadeling van ASR van zodanige aard dat ASR de relatie met AB Cars heeft opgezegd of het besluit daartoe heeft genomen. Na deze vaststelling gaat de rechtbank in op de (daarnaast zelfstandig te maken) proportionaliteitsafweging: Ingevolge het bepaalde in art. 6.2 (thans: 5.2, NvT) dient evenwel voorts een proportionaliteitsafweging plaats te vinden waarbij wordt vastgesteld dat het belang van opname prevaleert boven de mogelijke nadelige gevolgen voor betrokkene als gevolg van de opname ASR heeft omtrent deze proportionaliteitseis gewezen op het bij haar geschonden vertrouwen, de maatschappelijke onaanvaardbaarheid van fraude en het feit dat [A] (enig aandeelhouder/bestuurder van AB Cars, NvT) zodanig verwijtbaar heeft gehandeld dat hij wist dat daaraan het risico was verbonden van zeer zware consequenties. De rechtbank kan de (impliciete) stelling van ASR dat vast is komen te staan dat sprake is van fraude evenwel niet onderschrijven. Zoals hiervoor geoordeeld, is komen vast te staan dat AB Cars haar opzettelijk onvolledige informatie heeft verschaft door desgevraagd geen duidelijkheid te verschaffen over openstaande vragen aangaande de Mercedes en het schadevoorval maar of dat het doel had ASR te misleiden of fraude te Op het moment dat een verzekerde melding maakt van een schadeclaim, treedt het registratie- en informatie-uitwisselingsmechanisme in werking. plegen is niet vast komen te staan. Daarvan zou sprake zijn indien AB Cars ASR opzettelijk onjuist of onvolledig had geïnformeerd omdat er een ander schadevoorval heeft plaatsgevonden dan door AB Cars aan ASR voorgesteld maar dat is niet komen vast te staan. Zoals hiervoor bepaald heeft ASR de exacte toedracht van het gemelde ongeval en de geclaimde schade niet nader kunnen onderzoeken en daarmee is haar tevens de mogelijkheid ontnomen om te onderzoeken of de schade aan de Mercedes inderdaad op een wijze is ontstaan als door AB Cars gemeld of dat deze schade op een andere wijze is ontstaan. Dát de schade daadwerkelijk op de wijze als door AB Cars voorgesteld is ontstaan, is op grond van hetgeen thans voorligt immers niet uit te sluiten zodat evenmin kan worden aangenomen dat sprake is van fraude. Mede gelet op de zeer grote gevolgen die opname voor AB Cars heeft is de rechtbank dan ook van oordeel dat van een juiste proportionaliteitsafweging geen sprake is Omtrent de vereisten voor opname in het CIS heeft ASR niets aangevoerd. Dit terwijl een nadere toelichting op dat punt door haar, gezien de stellingen van AB Cars bij dagvaarding, wel op haar weg had gelegen. De verwijzing door ASR naar het Fraudeprotocol, het Deltaplan Aanpak Fraude bij Schadeverzekeringen en het Protocol Incidentenwaarschuwingssysteem financiële instellingen kan niet als nadere toelichting dienen nu zonder nadere toelichting, die ontbreekt, niet valt in te zien op grond waarvan deze stukken als rechtvaardiging voor opname in het CIS kunnen gelden. De vordering van AB Cars zal op dit punt dan ook worden toegewezen Uit het vorenstaande volgt dat de vordering van AB Cars met betrekking tot haar opname in het IVR zal worden afgewezen en die met betrekking tot haar opname in het EVR en het CIS zal worden toegewezen. De stelling van AB Cars dat er geen reden is tot melding in de genoemde registers omdat er geen sprake is van opzettelijke benadeling van ASR kan aan het vorenstaande oordeel (omtrent opname in het IVR) niets afdoen reeds omdat hiervoor al is geoordeeld dat er van opzettelijke benadeling, wel degelijk sprake is. De proportionaliteitsweging wordt juist ten faveure van de verzekeraar gemaakt in de uitspraak van de rechtbank Arnhem van 16 februari 2011, waarin wordt overwogen: Tot slot brengt voormelde opzettelijke misleiding mee dat Delta Lloyd bij de afweging van het gerechtvaardigde belang van het verzekeringswezen om daarvan voor nieuw te sluiten overeenkomsten op de hoogte te geraken enerzijds en het tegengestelde belang van privacy van [eiseres] anderzijds, het belang van het verzekeringswezen heeft mogen laten prevaleren. ( ) Gelet op de drie criteria vermeld onder art. 6.2 (thans: 5.2, NvT) van het Protocol, mocht Delta Lloyd derhalve ook tot externe registratie overgaan. 50 Al te kort door de bocht acht ik het advies van de Geschillencommissie van het KiFiD waar zij na de overweging dat de consument ten aanzien van een door hem geleden schade opzettelijk een onjuiste voorstelling van zaken heeft gegeven over de registratie oordeelt: 4.4 ( ) De voorgenomen registratie in het Extern Verwijzingsregister van het CIS is naar het oordeel van de Commissie onder deze omstandigheden gerechtvaardigd en is ook niet buitenproportioneel. 51 In deze paragraaf over registratie en de mogelijkheden tot deregistratie nog een creatieve vondst van de rechtbank Utrecht tot slot. Alvorens tot het weergeven van de overwegingen over te gaan, allereerst de casus. Eiser, de verzekeringnemer, heeft met ASR als verzekeraar een tweetal verkeersverzekeringen afgesloten door tussenkomst van Moritz als tussenpersoon. Met ingang van 19 juni 2007 was onder één van deze verkeersverzekeringen een personenauto, merk Volkswagen, verzekerd, onder meer tegen diefstal. De Volkswagen is in augustus 2008 als gestolen opgegeven, maar ASR vergoedt de schade niet op de grond dat verzekeringnemer bij het aangaan van de overeenkomst geen melding heeft gemaakt van het feit dat hij in de periode meerdere malen met justitie in aanraking is geweest in verband met het besturen van een auto onder invloed van alcohol. In de procedure stelt de verzekeringnemer zich op het standpunt dat bij de totstandkoming van de overeenkomst nimmer een vraag naar strafrechtelijk verleden aan de orde geweest. Uit de onderbouwing van dit standpunt blijkt dat de verzekering tot stand is gekomen via Cockpit, één van de geautomatiseerde systemen van ASR, waarbij Moritz langs elektroni 50 LJN BP geschillencommissie KiFiD 8 december 2009, BA 2009/

49 Trema nr Sdu Uitgevers Pagina 355 sche weg het aanvraagformulier invult. Verzekeringnemer stelt dat de vraag naar een strafrechtelijk verleden niet gesteld is en dat de handtekening die uiteindelijk onder het aanvraagformulier is gezet niet de zijne is. Juridisch inhoudelijk een punt dat ASR uiteindelijk niet regardeert. Voor haar geldt gewoon dat eventuele fouten en/ of verzuimen van Moritz begaan rond het invullen van aanvraagen/of wijzigingsformulieren in de relatie tussen verzekeringnemer en ASR aan eerstgenoemde te worden toegerekend nu fouten van een zelfstandig tussenpersoon aan zijn opdrachtgever toegerekend dienen te worden. Vermeldenswaard in het verband van dit artikel is evenwel de overweging die ingaat op de registratieperikelen op dit punt: De vordering met betrekking tot de door ASR gedane meldingen 4.7. Met betrekking tot de vorderingen tot het ongedaan maken van de door ASR gedane meldingen zoals omschreven onder 2.5 van dit vonnis overweegt de rechtbank het volgende. Grondslag voor deze vordering is onrechtmatig handelen door ASR. Uit het onder 4.6 gegeven oordeel vloeit voort dat er sprake is geweest van verzwijging ten opzichte van ASR en dat door ASR terecht geweigerd is om tot uitkering onder de verkeersverzekering over te gaan. Onder die omstandigheden kan het door ASR doen van de betrokken meldingen niet als onrechtmatig worden gezien en de vorderingen van [eiser] ter zake zullen dan ook worden afgewezen. Indien en voorzover uit hetgeen overwogen en beslist gaat worden in het geding tussen [eiser] en Moritz voortvloeit dat aan [eiser] geen verwijt te maken zou zijn met betrekking tot de gepleegde verzwijging zal [eiser] zich opnieuw tot ASR kunnen wenden omdat onder die omstandigheden de redelijkheid en billijkheid met zich kunnen brengen dat het laten voortduren van de registraties ten opzichte van [eiser] niet gerechtvaardigd zou zijn. 52 De vraag die wat mij betreft hier nog opkomt, is of de redelijkheid en billijkheid dragend dienen te zijn, dan wel of de ratio als doorslaggevend argument zou hebben te gelden, maar in de kern is dit mijns inziens hoe dan ook een fraaie uitspraak. Juist immers bij zoiets persoonlijks als de registratie dient het over de moraliteit/ achtergrond van de verzekerde zelf te gaan (en niet over die van diens tussenpersoon). 4. Tot slot: bewijsrechtelijke aspecten, klevende aan de registratie Onderzoek van de uitspraken op het terrein van de registratie en met name die op het terrein van de (beslissing op een vordering tot) deregistratie leert dat de grondslag van de vordering tot deregistratie doorgaans wordt gezocht en door de rechter wordt gevonden in de samenhang met wat ik hiervoor heb aangeduid als de basisvordering. De vraag of dat terecht is, beantwoord ik aan de hand van een voorbeeld. Dhr. Van der Velde heeft een dispuut met zijn brandverzekeraar D. Er heeft een brand gewoed in de woning van Van der Velde, zoveel staat wel vast, maar D weigert tot uitkering van de schade over te gaan omdat hij Van de Velde verdenkt van brandstichting. Van de verdenking doet D aangifte bij de politie, maar ook vult hij de registers: Van der Velde wordt opgenomen in het incidentenregister van D alsook in het EVR en het IVR. Van der Velde betwist de brandstichting gemotiveerd. Omdat de verzekeraar volhardt in zijn standpunt ziet Van der Velde zich genoodzaakt om een vordering tot nakoming van de verzekeringsovereenkomst in te stellen. Hij vraagt uitkering onder de polis, maar ook vraagt hij de rechter om verzekeraar D te gebieden om de registraties ongedaan te (laten) maken. Van der Velde vraagt daarmee dus (in ieder geval) een beslissing op twee punten, te weten de veroordeling van de verzekeraar om (alsnog) tot uitkering onder de polis over te gaan en de ongedaanmaking van de registratie (door verzekeraar). Aan het eerste deel van de vordering zal Van der Velde ten grondslag (moeten) leggen dat er een verzekeringsovereenkomst is gesloten tegen het risico van brand, dat die brand zich heeft verwezenlijkt, dat hij daardoor schade heeft geleden en dat hij die (dus) vergoed wil krijgen. De bij de rechtbank op deze grondslag te voeren procedure is er een die ten aanzien van de basisvordering langs de reguliere lijnen van art. 150 Rv loopt. Op het moment, immers, dat een verzekeraar zich ter bevrijding van zijn betalingsverplichtingen erop beroept dat de brand door merkelijke schuld aan de zijde van de verzekerde is veroorzaakt, rust de bewijslast ter zake in lijn met de redactie van de meeste polisvoorwaarden, alsook in lijn met de wettelijke bepalingen in beginsel op de verzekeraar. 53 Hoe zit het met het tweede deel van de vordering? Ook hier zal Van der Velde feiten en omstandigheden moeten aandragen en dat doet hij door te verwijzen naar de door hem ingenomen stellingen in de basisprocedure, met als conclusie dat tot deregistratie overgegaan dient te worden. Op het moment nu dat de verzekeraar aanvoert dat de registratie op de juiste gronden is verricht ( ik verdenk jou van brandstichting, daarom heb ik je geregistreerd. Ik mocht dat ook op grond van het FISH-protocol en het PIFI, want daarvoor is genoeg Tekening: Jesse van Muijlwijck 52 Rb. Utrecht 26 mei 2010, LJN BM Zie voor een uitvoerige bespreking van de bewijslast(verdeling), de (on)mogelijkheid tot omkering, het voorshands bewijsoordeel en het toe te laten tegenbewijs N. van Tiggele-van der Velde, Bewijsrechtelijke verhoudingen in het verzekeringsrecht, diss. EUR 2008, Deventer: Kluwer, hoofdstuk 9.2 e.v. 48

50 356 Pagina Sdu Uitgevers Trema nr dat je betrokkenheid in voldoende mate vast staat ), heeft hij aan zijn verplichting tot betwisting van de vordering mijns inziens voldaan. Krachtens de door het CBP goedgekeurde uitwerking van de Wbp mogen deze gegevens immers verwerkt worden. De fase die op dit gemotiveerd betwisten volgt, is een bijzondere in die zin dat verzekerde op het punt van het verzoek tot deregistratie even niks kan/hoeft. Vooralsnog is de registratie geschied volgens de regels van het spel (behalve als er disproportionaliteit zou spelen; op dit aspect ga ik hieronder in). Om uit de registers te kunnen/mogen, is nodig dat vast komt te staan dat (zelfs) het vermoeden onjuist was en op dat punt de door mij geduide basisvordering is de verzekeraar aan zet. De registratie van gegevens van verzekeringnemers kan grote gevolgen hebben. Erkenning verdient op deze plaats het feit dat er een verschil bestaat tussen een vermoeden van brandstichting en de (al dan niet langs de weg van het voorshands bewijsoordeel geconstrueerde) bewezen brandstichting. De situatie kan zich voordoen dat niet alleen de brandstichting betwist wordt, maar dat tegelijkertijd wordt gesteld dat zelfs (ook) voor het aannemen van een vermoeden onvoldoende handvatten bestaan. In de praktijk zal een rechter met een beslissing naar aanleiding van een betwist vermoeden van brandstichting wachten tot zijn eindbeslissing met betrekking tot de brandstichting zelf. Dat lijkt alleen anders indien vanaf het begin duidelijk is dat er zelfs geen grond voor een vermoeden van brandstichting is. Maar in die situatie ligt in de rede dat de rechter ook meteen een eindbeslissing ten aanzien van de brandstichting zelf zal geven. Tot slot is mogelijk dat de afwijzende eindbeslissing over de brandstichting gebaseerd is op onvoldoende bewijs dat de verzekerde daadwerkelijk bij de brandstichting betrokken is geweest. De verzekeraar zal dan alsnog moeten betalen, en de vraag die rijst is hoe dan om te gaan met het verzoek tot deregistratie. Alsdan staat het de rechter vrij om op basis van het op zichzelf niet weggenomen vermoeden van brandstichting de registratie te handhaven wanneer hij van oordeel is dat het belang van opname prevaleert boven de mogelijk nadelige gevolgen voor de betrokkene. Op het punt van de vordering tot deregistratie kan de verzekerde zo vat ik het bovenstaande samen volstaan met te stellen dat als een gevolg van zijn stellingen ter onderbouwing van zijn basisvordering de verzekeraar tot deregistratie dient over te (laten) gaan. De verzekeraar doet niets meer dan die vordering, die ik hiervoor als sequeel aanduidde, gemotiveerd betwisten en dat brengt naar vaste jurisprudentie geen bewijsrisico mee. 54 Daarmee raakt 54 De partij die zich beroept op rechtsgevolgen van door haar gestelde feiten, draagt de bewijslast van die feiten. Uit deze regel kan niet worden afgeleid dat de wederpartij de feiten moet bewijzen die zij stelt ter motivering van haar betwisting van de eerder bedoelde feiten. Voor het opdragen van bewijs aan die wederpartij is slechts grond (1) indien feitelijk wordt de procedure ten aanzien van dit punt in de bijzondere situatie dat niet alleen de verzekeraar bewijsrechtelijk geen verdere stap hoeft te zetten, maar dat ook de verzekerde dat niet hoeft. Het lot van de vordering tot deregistratie hangt even af van het oordeel op de basisvordering. Dat het bewijsrisico daardoor in beginsel aan de kant van de verzekerde ligt, volgt uit de systematiek van de (rechtmatig verklaarde regeling tot) registratie: als naar de regels gehandeld is, is registratie in beginsel toegestaan. Bestudering van de uitspraken ik gaf dat hiervoor onder 3 al aan laat zien dat deze route in de praktijk ook gekozen lijkt te worden. Dat is wel steeds onbenadrukt in die zin dat de bewijsrechtelijke aspecten, klevende aan de registratie, niet worden benoemd. Voor zover mij bekend is dat slechts in één geval anders en wel in de zaak die heeft geleid tot het vonnis van de rechtbank Rotterdam van 1 februari In de betreffende zaak speelt een rol dat Allianz als verzekeraar zich op het standpunt stelt dat haar verzekerde een inbraak, die hij bij Allianz heeft geclaimd, in scène heeft gezet en hij dus het opzet tot misleiding van Allianz als verzekeraar had. Onder deze stellingname is Allianz voor zover in de procedure van belang overgegaan tot registratie van (de persoonsgegevens van) de verzekerde in het interne incidentenregister van Allianz, alsmede in de externe registers bij het CIS en het CBV. Verzekerde vordert in rechte voor zover te dezen van belang Allianz te gebieden deze registraties te (doen) verwijderen. Gevorderd wordt nadrukkelijk níet de uitkering van de schade van de (vermeende) inbraak. 55 Op de (ruim besproken en en detail weergegeven) feitelijke gang van zaken rond de (beweerdelijke) inbraak ga ik hier niet in. Waar het mij in dezen om gaat, is de rechtsoverweging die de rechtbank heeft gewijd aan de stelplicht en bewijslast van de partijen. De rechtbank overweegt als volgt: 4.3. Tussen partijen staat niet ter discussie dat het opnemen van het onderhavige voorval en de personalia van [eiser] in de desbetreffende registers (in elk geval) onrechtmatig is als daarvoor een deugdelijke grond ontbreekt. Met andere woorden: registratie is onrechtmatig, tenzij voor die registratie een deugdelijke grond aanwezig is. Allianz beroept zich in feite op die tenzij-clausule. Dat betekent dat overeenkomstig de hoofdregel van art. 150 Rv de stelplicht en eventuele bewijslast van feiten die tot toepassing van die tenzij-clausule kunnen leiden op Allianz rusten. Op dit punt deelt de rechtbank dus niet het andersluidende standpunt van Allianz. 56 Wat mij in de betrokken rechtsoverweging met name bezighoudt, is de vaststelling in de eerste volzin. Natuurlijk is juist dat de opneming in een register onrechtmatig is als daarvoor een deugdelijke geoordeeld dat de oorspronkelijk stellende partij haar stellingen, behoudens tegenbewijs, afdoende heeft bewezen, dan wel (2) indien, zoals bepaald in de slotzinsnede van art. 150 Rv, uit enige bijzondere regel of uit de eisen van redelijkheid en billijkheid een andere verdeling van de bewijslast voortvloeit. Zie HR 2 mei 2003, NJ 2003, 468. Zie voor een bespreking van de materie onder vermelding van verwijzingen N. van Tiggele-van der Velde, diss. EUR 2008, t.a.p., p. 11 e.v. 55 Zie r.o. 4.1 van het vonnis. Ik heb mij nog afgevraagd of het feit dat schade niet gevorderd is nog uitmaakt voor de waardering van de beoordeling op het terrein van het bewijsrecht. Mijns inziens is dat niet het geval omdat in de hier besproken zaak wel gewoon ook een oordeel gevraagd wordt over de opzegging, waarmee alsnog en toch de beoordeling van de basisvordering een rol speelt bij de beoordeling van het sequeel. Zelfs, zo meen ik, indien uitsluitend de deregistratie gevorderd wordt, zal de zaak die aanleiding heeft gevormd tot opname in de registers, aan de orde zijn. 56 rb. Rotterdam 1 februari 2012, LJN BV

51 Trema nr Sdu Uitgevers Pagina 357 grond ontbreekt, maar de redenering zou daar meteen ook weer moeten stoppen, nu die grond er juist wel is. Op grond immers van het bepaalde in zowel de Gedragscode als in het PIFI, dat als uitwerking van het bepaalde in art. 8 onder f Wbp heeft te gelden, is de rechtmatigheid van de registratie in beginsel juist gegeven indien aan de (door het CPB goedgekeurde) voorwaarden voldaan is. Ik volg de rechtbank daarom niet in de vervolgstap. Er heeft wel een tenzij -bepaling te gelden, maar die is juist opgenomen in het belang van de geregistreerde, de verzekerde. II. REGISTRATIE EN VERZWIJGING 5. Het feitelijk gebruik van de registers in de acceptatiefase en de betekenis van registratie voor de verzwijgingsregeling Zoals uit de voorgaande paragrafen naar voren is gekomen, bestaat er bij de in Nederland werkzame verzekeringsmaatschappijen een tweeledig registratiesysteem. Verzekeraars registreren zelf, voor zichzelf, in hun eigen incidentenregister. Maar zij registreren ook op een voor andere verzekeraars toegankelijke plaats, het FISHregister. De gegevens die hierin staan, zijn voor alle deelnemers toegankelijk. Omkleed met waarborgen, dat omschreef ik hiervoor, met name waar via het EVR-gedeelte van het FISH-register de opening naar het incidentenregister van een ander, de (primaire) bron, lonkt. De achtergrond van al deze registratieperikelen is steeds geweest vergelijk de Annex bij het PIFI het belang om fraude en criminaliteit die tegen financiële instellingen is gericht, tijdig te ontdekken en te bestrijden. Een belang dat binnen de bedrijfstak, met recht, sterk leeft en waarbij inmiddels ook de samenwerking met de justitiële opsporingsdiensten is gevonden. De meest recente cijfers, zoals deze in het kader van de bedoelde samenwerking zijn opgesteld, laten zien dat fraude in elke fase van het verzekeringsproces plaatsvindt, maar dat de meeste fraudemeldingen voortkomen uit de acceptatiefase. 57 Het is daarom met name van belang om reeds in deze fase om in de terminologie van het Annex te spreken te ontdekken en te bestrijden. De vigerende protocollen en de Gedragscode lijken daar ook op te zijn ingesteld, waar ieder van hen hier op eigen wijze op in gaat (cursiveringen NvT): Het PIFI 3.2 Toetsingsproces ( ) ( ) Met inachtneming van de informatie die van de (primaire) bron is verkregen, adviseert Veiligheidzaken de bevrager. Dit advies kan onder meer het al dan niet onder voorwaarden aangaan van een overeenkomst, financiële dienst of arbeidsrelatie betreffen. ( ) ( ) 57 Vgl. de analyse Inzet strafrecht als aanvullend instrument bij de afhandeling van verzekeringsfraude. Een publiek-private analyse op basis van een fraudebeeld van augustus 2012, waarbij het Verbond van Verzekeraars en Zorgverzekeraars Nederland samen optrekken met het openbaar ministerie en politie. Annex bij het PIFI De waarschuwing via een hit in het Extern Verwijzingsregister betekent dat de fraudeur zich mag verheugen in extra aandacht van de (zorg)verzekeraar in die zin dat extra waakzaamheid is geboden bij het aangaan van een overeenkomst, het beoordelen van nota s en andere geldstromen. De Gedragscode In het kader van het beoordelen en accepteren van een Cliënt en het aangaan en uitvoeren van een overeenkomst met een Cliënt worden Persoonsgegevens (verzameld en) verwerkt. ( ) Financiële instellingen kunnen voor het beoordelen en accepteren van een Cliënt en het aangaan en uitvoeren van een overeenkomst met een Cliënt Persoonsgegevens verstrekken en onttrekken aan waarschuwingssystemen als bedoeld in art Gedragscode. Het FISH-protocol 3.1 Doelstelling van de stichting CIS De verwerking van informatie heeft tot doel het leveren van een bijdrage aan de behartiging van de gemeenschappelijke belangen van de deelnemers inzake: ( ) schadelastbeperking, in het bijzonder door een verantwoord acceptatiebeleid; het ontdekken, voorkomen en bestrijden van verzekeringsfraude; ( ). ( ) Acceptatie Bij acceptatie geldt dat de gegevens van eerdere (claim)meldingen worden gebruikt om vast te stellen of de kandidaat-verzekerde bij zijn aanvraag een juiste en volledige opgave van zijn claimhistorie heeft verstrekt. Claimhistorie zegt iets over het claimgedrag, Vertrouwelijke mededelingen over het algemene verzekeringsverleden en Speciale Meldingen zegt iets over de moraliteit van de kandidaatverzekerden. Hoe verloopt dat dan concreet? Worden de systemen in de acceptatiefase door iedere verzekeraar zonder meer en dus altijd geraadpleegd? Of worden de systemen in de acceptatiefase eigenlijk alleen maar geraadpleegd indien de aspirant-verzekeringnemer in zijn aanvraagformulier een antwoord geeft dat aanleiding geeft tot het doen van onderzoek naar deze aspirant? Dus om na te gaan waar een eerdere, door de aspirant genoemde opzegging nou precies betrekking op had, dan wel om bijvoorbeeld na te gaan of de verzekeringnemer, die heeft ingevuld dat hem in het verleden de bevoegdheid tot het besturen van een motorrijtuig (hierna soms ook aangeduid als OBM) is ontzegd, in die opgave volledig was? De jurisprudentie geeft eigenlijk het antwoord al: zij laat zien dat het systeem niet steeds en altijd geraadpleegd wordt. Zou dat wel zo zijn, dan zou een groot deel van de verzwijgingszaken waar de rechterlijke macht zich thans mee geconfronteerd ziet, namelijk niet spelen of gespeeld hebben. In het leeuwendeel der verzwijgingszaken, immers, ziet het niet meegedeeld zijn op feiten van een categorie die bij verzekeraars beslist bekend was of in ieder 50

52 358 Pagina Sdu Uitgevers Trema nr geval had kunnen zijn. 58 Denk aan een verzwegen ontzegging van de bevoegdheid om motorrijtuigen te besturen. Of aan een niet meegedeeld (fors) schadeverleden, een niet of niet volledig vermeld (vaag) claimgedrag. Het zijn stuk voor stuk feiten die bij raadpleging van de registers aan het licht waren gekomen. Ik kom hier later op terug. Eerst voor de gedachtevorming een nieuw voorbeeld: dhr. Van der Velde heeft op 4 september 2011 een motorrijtuigverzekering afgesloten bij verzekeraar E. 59 Een van de vragen die in het aanvraagformulier gesteld werd, was of Van der Velde de bevoegdheid tot het besturen van een motorrijtuig is opgezegd (geweest). Van der Velde heeft die vraag met nee beantwoord. Stom, want in 2003 is hem wel degelijk eens de bevoegdheid ontzegd. Maar sinds die tijd drinkt Van der Velde, die zijn auto nodig heeft voor zijn werk en die van zijn eigen gedrag en van de vervolging erg geschrokken was, geen druppel meer. Hij heeft de OBM dus een soort verdrongen, juist ook omdat hij er bepaald niet trots op was. Als in februari 2012 de auto die onder de motorrijtuigverzekering verzekerd was, gestolen wordt, keert verzekeraar E de schade niet uit en zegt hij met een beroep op de nietnakoming van de mededelingsplicht door Van der Velde de overeenkomst op. De OBM-casus In de casus waarin Van der Velde thans verzeild is geraakt, ligt het voor de hand dat tot de niet-nakoming van de mededelingsplicht geconcludeerd zal worden. Van der Velde had zijn OBM, gelet op de gerichte en niet voor misverstand vatbare vraagstelling, immers moeten melden, terwijl de verzekeraar, zo wordt algemeen tot uitgangspunt genomen, mag vertrouwen op de juistheid van de door de verzekeringnemer gedane mededelingen. 60 De mededeling was helder: ontzegging: nee. En dus hoeft de verzekeraar, zelfs niet bij een hem reeds bekend feit, waar hier op zich sprake van is, geen verdere stappen te nemen. Art. 7:928 lid 4 BW lijkt het ook met zoveel woorden te bepalen, waar dit voor zover thans van belang luidt: Artikel 928. ( ) 4. De mededelingsplicht betreft niet feiten die de verzekeraar reeds kent of behoort te kennen, en evenmin feiten, die niet tot een voor de verzekeringnemer ongunstiger beslissing zouden hebben geleid. De verzekeringnemer ( ) kan zich er echter niet op beroepen dat de verzekeraar bepaalde feiten reeds kent of behoort te kennen indien op een daarop gerichte vraag een onjuist of onvolledig antwoord is gegeven. ( ). Het artikellid, zo wordt algemeen aangenomen, vormt samen met lid 6 van art. 7:928 BW de uitwerking van het zgn. verschoonbaarheidsvereiste. In concreto is in het eerste zinsdeel van het vierde lid een beperking in de mededelingsplicht gegeven, waar is bepaald dat de mededelingsplicht niet ziet op feiten die de verzekeraar al kent of behoort te kennen. In onze casus: Van der Velde hoeft de OBM, die door de Rijksdienst voor het Wegverkeer, rdw, zo keurig in het Systeem Vertrouwelijke Mededelingen (van FISH) is ingevoerd, niet mee te delen, want de verzekeraar kent deze al of behoort haar te kennen. 61 Maar het artikellid kent tegelijkertijd een beperking op de beperking door in de tweede volzin aan te geven dat de verzekeringnemer zich er niet op kan beroepen dat de verzekeraar bepaalde feiten reeds kent of behoort te kennen indien door die aspirant-verzekeringnemer een daarop gerichte vraag onjuist of onvolledig is beantwoord. Twee aspecten, dus, die (mede) invulling geven aan de zorgplicht van de verzekeraar, die in de kern inhoudt dat hij, verzekeraar, de uiterste zorg dient te betrachten om te voorkomen dat hij onbekend met voor hem van belang zijnde feiten en omstandigheden de verzekering afsluit. Waarbij in de bewoordingen van Asser/Wansink, Van Tiggele & Salomons de eis van verschoonbaarheid van de dwaling ook voor de verzekeringsovereenkomst de beperking kent, dat de zorgplicht van de verzekeraar niet zover gaat, dat hij niet mag vertrouwen op de juistheid van de door de verzekeringnemer gedane mededelingen. 62 En dus mag het ingevulde nee, zo zou de conclusie kunnen zijn, gewoon voor nee gehouden worden. Daarmee is de veilige insteek ik begon er de bespreking van deze OBM-casus al mee dat van niet-nakoming van de mededelingsplicht sprake is. 63 Toch heb ik er moeite mee. Ik ken de bepaling, ik ken ook de toelichting in de Parlementaire Geschiedenis daarbij, die als volgt luidt: Weliswaar zou de verzekeraar in dit geval de juistheid van het antwoord kunnen controleren, maar dit dient niet zo ver te gaan dat indien dat niet geschiedt, de verzekeraar de gevolgen van het onjuiste antwoord moet dragen. Het (onjuist of onvolledige) antwoord zal er immers voor de verzekeraar vaak toe leiden dat hij zal nalaten zijn beschikbare gegevens te raadplegen. Het is dan aan de verzekeringnemer te wijten dat de verzekeraar in dwaling is gebracht. 64 Het punt dat mij evenwel bezighoudt, is dat ik niet bepleit dat de verzekeraar de juistheid van het antwoord controleert, als wel dat hij een zelfstandige toets uitvoert, waarbij hij de gegevens van deze aspirant-verzekeringnemer tegen zijn, verzekeraars, registers aanhoudt. Ik werk dat uit, eerst aan de hand van het voorbeeld van Van der Velde. Aan de orde in de OBM-casus is een niet medegedeelde OBM. Die ontzegging was, ik memoreerde dat al, voor de verzekeraar 58 Ook uit het gesprek met een tweetal beleidsmedewerkers van het CBV blijkt dat de registers inderdaad niet zonder meer en altijd als onderdeel van het acceptatieproces geraadpleegd worden. Vanuit het CBV als kenniscentrum is dat ook niet voorgeschreven. 59 In dit voorbeeld laat ik Van der Velde een motorrijtuigverzekering sluiten omdat de verzekeraar uitsluitend in dat kader de door het RDW verstrekte informatie mag gebruiken. 60 Zie J.H. Wansink, N. van Tiggele-van der Velde & F.R. Salomons, Mr. C. Asser s Handleiding tot de beoefening van het Nederlands Burgerlijk Recht. 7. Bijzondere overeenkomsten. Deel IX. Verzekering, Deventer: Kluwer 2012, nr Zie art. 3.4 FISH-protocol. 62 Asser/Wansink, Van Tiggele & Salomons 2012, t.a.p., nr Ik hecht eraan reeds op deze plaats op te merken dat ik voor de overzichtelijkheid van het punt dat ik wil maken niet verder ga dan de enkele vaststelling niet nakoming mededelingsplicht of niet. Gelet op het onder titel 7.17 BW vigerend sanctiesysteem heeft de vaststelling van verzwijging slechts onder voorwaarden ook feitelijke gevolgen voor het voortbestaan van de overeenkomst en/of de (hoogte van de) uitkering. Ik bespreek dat hieronder in de hoofdtekst. 64 NvW I, Kamerstukken II 1999/2000, , nr. 5, p

53 Trema nr Sdu Uitgevers Pagina 359 te kennen. Bij uitstek zelfs, want dit soort gegevens wordt vanwege het belang van een verzekeraar van motorvoertuigen om dit te weten standaard van de RDW verkregen. De openingszin van lid 4 van art. 7:928 BW is daarmee aan de orde: in beginsel geldt de mededelingsplicht voor dit reeds bekende feit niet. Maar ligt het, gelet op het hiervoor weergegeven belang bij het ontdekken en bestrijden van fraude in de acceptatiefase (dat is: het opzet de verzekeraar te bewegen een overeenkomst aan te gaan die hij anders in het geheel niet of niet op dezelfde voorwaarden zou hebben gesloten) en gelet op de fraaie registers die door verzekeraars zelf zijn opgesteld, niet voor de hand dat de verzekeraar die registers standaard raadpleegt? Niet als controlemiddel, maar gewoon eigener beweging. Juist omdat de acceptatiefase ik schreef dat aan het begin van deze paragraaf de gevaarlijkste is. En als hij dat niet doet, verdient hij dan, ten laste van een verzekeringnemer als Van der Velde, 65 bescherming langs de weg van de beperking op de beperking? Ik ben, de uitgangspunten in het kader van dit aspect van de mededelingsplicht ( mededeling betreft geen feiten die de verzekeraar reeds kent versus de beperking op de beperking ) wegend, geneigd te oordelen van niet. Daarbij speelt wat mij betreft een rol dat de registers (mede) voor dit doel zijn opgezet en dat het een relatief geringe moeite is om die toets standaard in het acceptatieproces op te nemen. Deze controle is bepaald redelijkerwijs mogelijk. Het scheelt het rechterlijk apparaat bovendien de onnodige belasting met procedures die reeds in de acceptatiefase gevangen hadden kunnen worden. 66 Bovendien wordt door dit proces ondervangen het punt van kritiek dat vanuit verzekeringnemer s hoek te verwachten valt, namelijk dat de verzekeraar die in de acceptatiefase in weerwil van allerlei fraudebeperkende voornemens niet de registers raadpleegt, dat bij een schadevoorval wel doet Tekening: Jesse van Muijlwijck De beperking van het verschoonbaarheidsvereiste restrictief toegepast Ik heb hiervoor betoogd dat ik het, juist vanwege de beschikbaarheid van de registers en de verdere stap daar dan ook volledig ge 65 Ik spreek op deze plaats bewust over een verzekeringnemer als Van der Velde. Dat doe ik vanuit de wetenschap van diens omstandigheden, zoals in de casus geschetst: de aspirant die er gewoon geen erg in heeft gehad. Ik probeer Van der Velde daarmee op een schaal te plaatsen die gaat van de onoplettende, onbedachtzame verzekerde aan de ene kant en de aspirant die handelt met het opzet tot misleiden ( het verkrijgen van een verzekering die anders in het geheel niet of op andere voorwaarden zou zijn gesloten ) aan de andere kant. Op (de invulling van het aspect van) opzet ga ik later in de hoofdtekst in. 66 Zie hierover nader onder het kopje De praktische verdere gang van zaken. bruik van te maken om fraude te voorkomen, aan zou durven de beperking die het verschoonbaarheidsvereiste kent, restrictief toe te passen. Daarmee lijk ik lid 4 van art. 7:928 BW niet in haar volle omvang te respecteren. Bedacht zij hier twee dingen. Dat is ten eerste dat de bepaling, ondanks dat zij ruim is geformuleerd, niet specifiek voor deze situatie is geschreven. Zij is opgesteld om richting te geven in een situatie waarin feiten en/of omstandigheden aan de orde zijn die op grond van eerdere opgaven en/of reeds lopende verzekeringen al binnen een (grote) organisatie van een verzekeraar bekend zijn. Met de invoering van het vierde lid werd de door het hof in het Leukemie-arrest ingeslagen koers ( wetenschap bij een onderdeel van de organisatie gold als wetenschap van de gehele organisatie ) ondergeschikt gemaakt aan de bescherming van de verzekeraar. 67 Het bij deze problematiek spelend punt dat bepaalde gegevens niet vrijelijk binnen een organisatie mogen circuleren of voor andere doeleinden mogen worden gebruikt speelt hier nu juist niet: hier zijn de registers door en voor verzekeraars opgesteld en gevuld en zijn er waarborgen voor toetsing van die gegevens opgenomen. Bovendien is het artikellid geschreven vanuit de gedachte dat niet ieder antwoord gecontroleerd zou moeten worden. Maar daar gaat het mij als gezegd niet om: het draait niet om controle van een gegeven antwoord maar om een zelfstandige toets, door de verzekeraar uit te voeren om aan de op hem rustende zorgplicht te voldoen. Ten tweede heeft te gelden dat de ontwikkelingen niet stilstaan. Het zal toch een geringe moeite zijn zo die toepassing niet al lang voorhanden is om de systemen van verzekeraars zodanig aan te passen dat bij de enkele invoer van een naam er een signalering komt. Waarna het systeem met al zijn waarborgen en de nuttige toepassing voor de acceptatiefase in werking kan treden. Zie in diezelfde zin Van Velzen, waar hij voor een rubriek waarin bij wege van terugblik aansprekende onderwerpen uitgelicht worden over deze materie overweegt: Maar ik weet niet of de verzekeraar ook zo makkelijk had kunnen wegkomen met zijn beroep op verzwijging. Natuurlijk, in beginsel mag elke verzekeraar afgaan op de juistheid van de door de verzekeringnemer verstrekte gegevens. Die hoeft hij niet te controleren. Maar kijken of de verzekeringnemer op de zwarte lijst staat (verzekeraars noemen dat ding inmiddels anders), was ook toen een kleine moeite. Die controle doet de verzekeraar natuurlijk primair om zichzelf te beschermen tegen het accepteren van niet-gewenste risico s. Maar er wordt ook mee voorkomen dat (domme) klanten denken verzekerd te zijn, terwijl dat niet het geval is. Dat laatste gebied, het tegen zichzelf beschermen van klanten met weinig ervaring en inzicht, is bij uitstek het terrein van de zorgplicht. Juist op dat gebied zijn de regels tot mijn genoegen nu veel scherper. Groot verschil Voor de verzekeringnemer is het verschil groot. Als de verzekeraar de eenvoudige controle achterwege laat en daardoor de verzekering accepteert, denkt de verzekeringnemer goed verzekerd te zijn, terwijl hij dat niet is. Doet de verzekeraar die eenvoudige controle wel, dan wijst hij de aanvraag af en dan weet ook de verzekeringnemer dat hij geen dekking heeft. En daardoor heeft hij de mogelijkheid op zoek te gaan naar alter- 67 Asser/Wansink, Van Tiggele & Salomons 2012, t.a.p., nr

54 360 Pagina Sdu Uitgevers Trema nr natieven. Door het achterwege laten van die eenvoudige controle brengt de verzekeraar de domme kandidaatverzekeringnemer dus onnodig in extra moeilijkheden. Daar mag wat mij betreft dan wel weer een sanctie op staan. 68 De praktische verdere gang van zaken Door het raadplegen van de registers kan de verzekeraar zichzelf ervoor behoeden dat hij onbekend met voor hem van belang zijnde feiten en omstandigheden de verzekering afsluit 69 en in algemene zin op die manier een avontuur in gaat dat uiteindelijk op een teleurstelling uitloopt. In concreto, overigens, zijn de gevolgen van die extra stap overzichtelijk te noemen. Want niet in alle gevallen waarin een aspirant-verzekeringnemer geregistreerd staat, heeft dit gevolgen voor de acceptatiefase en/of de fase van de schadeafwikkeling. We gaan terug naar de OBM-casus van Van der Velde. In de door mij hiervoor bepleite benadering ( de zorgplicht houdt in dat de verzekeraar de registers raadpleegt, dat deed hij in casu niet en dus is geen beroep op de niet-nakoming van de mededelingsplicht mogelijk ) dient de verzekeraar tot uitkering van de schade over te gaan. Die afwikkeling is evenwel dezelfde als die waarbij wel verzwijging aangenomen zou zijn geweest (langs de lijn: verzekeraar mag vertrouwen op juistheid en dus niet controleren en dus verzwegen ; de door mij hiervoor als veilig gekarakteriseerde benadering). Ook dan zou in de OBM-casus van Van der Velde immers tot betaling overgegaan zijn. Onder de niet-nakoming van de mededelingsplicht zoals deze voorligt ( OBM niet genoemd ) doet zich doorgaans immers geen grond voor opzegging van de overeenkomst voor, 70 terwijl het ook niet zo is dat niet tot uitkering overgegaan dient te worden. 71 Integendeel zelfs: nu causaliteit tussen het niet of onjuist meegedeelde feit en de beoordeling van het risico zoals dat zich heeft voorgedaan ontbreekt, dient uitkering onverkort plaats te vinden. In casu dus geen verschil met de situatie waarin het beroep op verzwijging afgewezen wordt. Maar dat kan natuurlijk bepaald anders zijn. Denk bijvoorbeeld aan de situatie waarin Van der Velde een schadeverleden met een behoorlijk aantal eigen schades niet gemeld zou hebben en hij zelf andermaal een aanrijding veroorzaakt. Dan zouden de gevolgen voor verzekeraar duidelijker naar voren komen in die zin dat vanwege de niet raadpleging van de registers aan de verschoonbaarheid niet voldaan is, het beroep op verzwijging niet opgaat en uitkering onverkort dient plaats te vinden. Terwijl hij bij aange 68 D. van Velzen, De tand des tijds of oude meuk? VERZWIJGING., de Beursbengel, 2012, nr. 817, p vgl. uit het algemene overeenkomstenrecht HR 21 januari 1966, NJ 1966, 183 (Booy- Wisman). 70 Opzegging van de overeenkomst is op grond van het bepaalde in art. 7:929 BW alleen mogelijk indien de verzekeringnemer heeft gehandeld met het opzet de verzekeraar te misleiden, dan wel indien de verzekeraar bij kennis van de ware stand van zaken geen verzekering zou hebben gesloten. Eerder Bewijsrechtelijke verhoudingen in het verzekeringsrecht, diss. EUR, Deventer: Kluwer 2008, p. 146 e.v. heb ik aangegeven dat het bij de invulling van het element de verzekeraar zou geen verzekering gesloten hebben in de rede ligt om uit te gaan van een toetsing aan het acceptatiebeleid van de redelijk handelend verzekeraar. Een standpunt dat ik handhaaf. In het concrete voorbeeld stel ik me niet voor dat het niet melden door Van der Velde zou leiden tot het in het geheel niet sluiten van een verzekering. Zie voor een bespreking van het rechtsgevolg van de opzegbaarheid Asser/Wansink, Van Tiggele & Salomons 2012, t.a.p., nr. 238 e.v. 71 alleen op dezelfde twee gronden als in de vorige noot genoemd (opzet tot misleiding/geen verzekering) wordt in het geheel geen uitkering gedaan. In alle andere situaties wordt de hoogte van de betaling afhankelijk gesteld van causaliteit, proportionaliteit of difference in conditions. Zie voor een bespreking van het rechtsgevolg verlies van het recht op uitkering Asser/Wansink, Van Tiggele & Salomons 2012, t.a.p., nr. 243 e.v. nomen verzwijging dus niet tot volledige uitkering had hoeven overgaan. 72 Dat lijkt zuur en dat is het ook. Maar het is bij uitstek in een voorbeeld als dit dat de verzekeraar de informatie vooraf had kunnen verkrijgen. Een schadeverleden staat keurig opgenomen in de hem beschikbare gegevens en hij had het in eigen hand om zichzelf niet in deze situatie te brengen. Opzet tot misleiding Wat tot op heden slechts zijdelings aan de orde is geweest, is de situatie die zich ook voor kan doen, namelijk dat de verzekeringnemer zijn mededelingsplicht niet nakomt met het opzet om de verzekeraar te bewegen een overeenkomst aan te gaan die hij anders in het geheel niet of niet op dezelfde voorwaarden zou hebben gesloten. 73 De relevantie van die vaststelling speelt op twee plaatsen een duidelijke rol. Dat is allereerst in de fase waarin de vraag of de mededelingsplicht al dan niet is nagekomen dient te worden beantwoord en in het verlengde daarvan in de fase waarin op de vastgestelde niet-nakoming van de mededelingsplicht gesanctioneerd dient te worden. Op deze plaats focus ik me op het eerste punt. 74 Hiervoor besprak ik dat de bij de verzekeraar bekende informatie bij de vraag of verzekeraar verschoonbaar heeft gehandeld een duidelijke rol dient te spelen in die zin dat de verzekeraar bij de nietraadpleging van zijn eigen registers niet ten laste van een verzekeringnemer als in de betreffende passage geduid beschermd dient te worden. Ik hecht eraan te benadrukken dat die afweging wat mij betreft een geheel andere is indien vast komt te staan dat bij de verzekeringnemer het opzet heeft bestaan de verzekeraar te misleiden. 75 Tot slot: (ook) anderszins het recht verspeeld Ik sprak hiervoor erover dat ik ervan uitga dat in de praktijk de registers niet steeds en altijd geraadpleegd worden en beredeneerde dat vanuit de gedachte dat als dat wel zo zou zijn (geweest), het leeuwendeel der zaken niet bestaan zou hebben. Wat nu als er wel steeds en altijd gecontroleerd wordt? Bijvoorbeeld omdat het acceptatieproces dat standaard voorschrijft. En dat de acceptant dus altijd kijkt. Wat doet hij dan vervolgens? Een voorbeeld om het af te leren. Verzekeraar F voert in de acceptatiefase van de aanvraag van een motorrijtuigverzekering de persoonsgegevens naam en geboortedatum van dhr. Van der Velde in en ziet in de ongekleurde categorie claims een behoorlijke waslijst staan. Drie claims onder de inboedelverzekering, drie hoge claims onder de apart gesloten kostbaarhedenverzekering, een drietal claims onder de (steeds bij een ander gesloten) reisverzekering en vier onder zijn WAM-polis. 72 Het in art. 7:930 lid 2 BW genoemde causaliteitscriterium verlangt dat de niet of onjuist opgegeven feiten niet alleen geen enkele rol hebben gespeeld bij de verwezenlijking van het risico, maar ook dat zij de kans, dat het risico zich op deze wijze zou verwezenlijken, niet hebben vergroot, aldus MvT, Kamerstukken II 1985/1986, , nr. 3, p. 11. De Memorie gaat specifiek op deze materie in: Wanneer bij het sluiten van een autoverzekering tegen eigen schade vorige aanrijdingen zijn verzwegen en opnieuw door eigen schuld een aanrijding ontstaat, dan hebben de vorige aanrijdingen weliswaar daartoe niet bijgedragen, maar bekendheid daarmee zou het oordeel over de kans van een nieuwe aanrijding ongunstiger hebben doen uitvallen. In dit geval bestaat dus geen recht op volledige uitkering. 73 Kamerstukken II 1985/86, , nr. 3, p de betekenis van het opzet op de gevolgen van een vastgestelde niet-nakoming van de mededelingsplicht besprak ik hiervoor in noot 63 en Zie over het bewijs van opzet N. van Tiggele-van der Velde, diss. EUR 2008 (t.a.p.), nr e.v. 53

55 Trema nr Sdu Uitgevers Pagina 361 De acceptant ziet in het aanvraagformulier dat de aspirant op de gestelde vraag naar eerdere claims antwoordt eerdere claims? JA, 4. Een aantal dat niet matcht met de scherminformatie waar de acceptant zicht op heeft. De acceptant laat het voor wat het is. Het is wel veel, heel veel, maar er is tot op heden geen verdenking van fraude geweest en namens verzekeraar E accepteert hij de post. 76 Vier maanden na het sluiten van de motorrijtuigverzekeraar slaat het noodlot bij Van der Velde (weer) toe. Zijn auto wordt gestolen en wanneer hij de schade claimt, weigert verzekeraar F uit te keren op grond van niet volledig gemeld claimgedrag. Wat het voorbeeld en met name de beoordeling ervan bijzonder maakt, is dat daarbij in gedachten gegrepen wordt naar de handvatten zoals deze in de verzwijgingsregeling gegeven worden. Zoals bijvoorbeeld art. 7:929 BW. Die hoek biedt evenwel geen houvast om de eenvoudige reden dat de ontdekking van de niet-nakoming van de mededelingsplicht in deze situatie zelfs al voor het aangaan van de overeenkomst heeft plaatsgehad. De informatie weegt gewoon mee in de beslissing om de post al dan niet te accepteren en als de post bij wetenschap van de ware stand van zaken tot acceptatie heeft geleid, kan daarna niet hierop worden teruggekomen. Prof. mr. N. van Tiggele-van der Velde is hoogleraar Verzekeringsrecht aan de Erasmus Universiteit Rotterdam (Verzekeringsinstituut) en aan de Radboud Universiteit Nijmegen. Zij is tevens raadsheer-plaatsvervanger bij het Gerechtshof Leeuwarden. 76 Voorstelbaar is overigens nog dat de acceptant zich de vraag stelt of hier opzet tot misleiding in het spel is. Een aspect dat ik op deze plek in dit voorbeeld niet bespreek om de eenvoudige reden dat ook dat aspect meegenomen zal worden in de beslissing om al dan niet te accepteren (en daarna dus geen rol meer dient te spelen). Meer in algemene zin hecht ik er wel aan op te merken dat voor de snelle stap dat in dit voorbeeld opzet in het spel zou zijn, gewaakt dient te worden. De stelling die ik in dit verband van een van de beleidsmedewerkers van het CBV meekreeg, luidt: Het collectief geheugen van de verzekeringsmarkt is altijd groter dan het individuele geheugen van de klant. Zij spreekt bepaald aan. Verder kan het zeer wel zo zijn dat Van der Velde uitsluitend vier claims meldde omdat dat de claims waren die hij onder de WAM-polis deed. Als het aanvraagformulier niet helder op dit punt is, is voorstelbaar dat Van der Velde in de veronderstelling verkeerde dat hij uitsluitend de op de aan te vragen verzekering betrekking hebbende claims hoefde te vermelden. 54

56 55

57 56

58 57

59 58

60 59

61 60

62 61

63 62

64 63

65 64

66 65