Informatieportal voor IT-recht

Donderdag 24 november 2016

De verzekeraar als online rechercheur

Een stratenmaker van 56 jaar raakt door een ongeval met een hijskraan gewond aan zijn hoofd.1 Rechtbank Almelo, 21 december 2011, LJN: BV0428. Zijn verzekeraar, Aegon, erkent de aansprakelijkheid van het ongeval. De stratenmaker komt met klachten bij zijn huisarts en stelt zich op het standpunt volledig arbeidsongeschikt te zijn. Tussen 2004 en 2008 keert de verzekeraar ruim 170.000 euro uit aan de stratenmaker. In 2009 verklaart de stratenmaker in een tussentijds gesprek te leven als een ‘kasplantje’. Hij kon totaal niet meekomen op sociaal en lichamelijk gebied en kwam nauwelijks nog uit huis. Na een uitgebreid onderzoek van Aegon op de Hyvespagina (een Nederlandse voorloper van Facebook) van de stratenmaker en Google blijkt het een en ander niet te stroken met zijn verhaal. Sterker nog: de stratenmaker houdt er een indrukwekkend repertoire van sportieve prestaties op na. Sinds 2005 heeft hij bijvoorbeeld vijf maal de Amstel Curaçao Race afgelegd, de Alpe D’Huez twee maal beklommen en heeft hiernaast nog vele andere sportieve prestaties verricht. Een knappe prestatie voor een kasplantje. Aegon stapt naar de rechter en stelt zich op het standpunt dat er sprake is van fraude. De rechter oordeelde echter in deze zaak dat het uiteindelijk om een onverschuldigde betaling ging.

Hoewel dit een schrijnend voorbeeld is van verzekeringsfraude is het zeker geen unicum. Het Verbond van Verzekeraars schatte dat in 2013 van de 8 miljard uitgekeerde schade, hiervan maar liefst 900 miljoen onterecht zou zijn uitgekeerd.2http://www.pwc.nl/nl/assets/documents/pwc-naar-een-fraudebeeld-nederland.pdf, pagina 5. Bij schadeclaims is de verzekeraar veelal aangewezen op hetgeen de verzekerde verklaart. Maar wat nu als de verzekeraar vermoedt dat de verzekerde niet de waarheid spreekt? In sommige gevallen kan de verzekeraar dan overgaan tot onderzoek. Het internet biedt de verzekeraars een krachtig onderzoeksmiddel, denk aan Google en social media. Maar wanneer en onder welke omstandigheden mogen verzekeraars onderzoek doen op internet en hoe ver mag dit onderzoek gaan?

Het juridische kader

Tegenwoordig is veel persoonlijke informatie op internet terug te vinden. Mensen delen op grote schaal persoonlijke informatie op sociale media, maar ook via Google zijn gegevens terug te vinden op openbare websites. Zoals in het voorbeeld naar voren komt, wordt deze informatie ook soms gebruikt door verzekeraars. Zo zal een verzekeraar discrepanties tussen de verklaringen van de verzekerde in het dossier en de werkelijkheid kunnen vaststellen. Hoewel het internet dus een krachtig middel blijkt voor verzekeraars om fraude op te sporen is het de vraag of dit altijd geoorloofd is. Er is hier sprake van tegenstrijdige belangen. Enerzijds is er het belang van de verzekeraar om de materiële waarheid te achterhalen en zo eventuele fraude op te sporen, en anderzijds bestaat het belang van de verzekerde; de eerbiediging van zijn persoonlijke levenssfeer. Dergelijke internetonderzoeken vallen daarom al gauw onder de werkingssfeer van de Wet bescherming persoonsgegevens (hierna: Wbp). (Straks de Algemene Verordening Persoonsgegevens. De onlangs aangepaste Wet bescherming persoonsgegevens, ingegaan op 1 januari 2016, komt op essentiële punten overeen met deze Verordening.)

Algemeen: de Wet bescherming persoonsgegevens.

Het verzamelen van informatie over een verzekerde, die betrekking heeft op diens persoonlijke levenssfeer, valt onder een verwerking als in art. 1 sub b Wbp. Een verzekeraar moet, net als iedere verwerker van persoonsgegevens voldoen aan de normen die zijn opgenomen in de Wbp die gelden voor welke verwerker van persoonsgegevens dan ook. In het bijzonder zal de verzekeraar de grond voor de verwerking van persoonsgegevens onderbouwen met artikel 8 sub b Wbp: de gegevensverwerking die noodzakelijk is voor de uitvoering van een overeenkomst (waarbij de overeenkomst dus de verzekeringspolis betreft). De verzekeraar moet alle plichten die voortvloeien uit de Wbp in acht nemen. 3zoals de eis dat de verwerking voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden moet worden verzameld, ex art 7 Wbp. Om nader invulling te geven aan de Wbp is speciaal voor verzekeraars de Gedragscode Verwerking Persoonsgegevens opgesteld en de Gedragscode Persoonlijk Onderzoek.

De Gedragscode Verwerking Persoonsgegevens en de Gedragscode Persoonlijk Onderzoek.

Op basis van de Wbp is speciaal voor verzekeraars de ‘Gedragscode Verwerking Persoonsgegevens’ opgesteld. Deze gedragscode maakt het voor verzekeraars toetsbaar wanneer verwerking van persoonsgegevens geoorloofd is, en is bindend voor alle leden van het Verbond van Verzekeraars. Een zekere vorm van zelfregulatie. De normen opgenomen in deze gedragscode zijn invullingen van de open normen beschreven in de Wbp en komen grotendeels overeen.4art. 4.3 GVP komt bijvoorbeeld overeen met art 8. Wbp Bij het bepalen of een fraudeonderzoek geoorloofd is, wordt echter in de praktijk vooral gekeken naar de Gedragscode Persoonlijk Onderzoek (hierna: GPO). Deze GPO is opgesteld voor verzekeraars om na te gaan in welke gevallen een persoonlijk onderzoek is toegestaan en om de transparantie van onderzoeksmethodes te bevorderen. Ook de GPO is bindend voor alle leden van het verbond van verzekeraars. 5https://www.verzekeraars.nl/overhetverbond/zelfregulering/Documents/Gedragscodes/Gedragscode_Persoonlijk_Onderzoek.pdf. De GPO is veelal gebaseerd op de beginselen van subsidiariteit en proportionaliteit: er moet geen geschikter middel ter beschikking staan dan een persoonlijk onderzoek en er dient een zorgvuldige belangenafweging gemaakt te worden tussen het belang van de verzekeraar en het belang van diegene waartegen het onderzoek loopt. 6https://www.verzekeraars.nl/overhetverbond/zelfregulering/Documents/Gedragscodes/Gedragscode_Persoonlijk_Onderzoek.pdf. Dit is een zeer casuïstische afweging. De GPO maakt een duidelijk onderscheid tussen een feitenonderzoek en een persoonlijk onderzoek. De normen in de GPO hebben slechts betrekking op het persoonlijk onderzoek. Valt een dergelijk internetonderzoek, zoals het onderzoek naar de stratenmaker, dan onder een persoonlijk onderzoek of een feitenonderzoek? Dit is van belang; een onderzoek in strijd met de GPO heeft gevolgen voor de bewijswaarde in een eventuele procedure. De rechter heeft al eerder bepaald dat bewijs verkregen in strijd met eigen gedragscodes niet gebruikt mag worden ten voordele van de verzekeraar.7zie hiervoor r.o 3.4.6 http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:HR:2014:942

Het internetonderzoek

Zoals hierboven is beschreven maakt de GPO onderscheid tussen een feitenonderzoek en een persoonlijk onderzoek. De GPO definieert een feitenonderzoek als volgt: “het onderzoek dat wordt ingesteld naar de feiten, omstandigheden en gedragingen van betrokkene die nodig zijn voor de beoordeling van een verzekeringsaanvraag, lopende verzekeringsovereenkomst, schademelding of andere aanspraak op uitkering of prestatie”. De GPO omschrijft een persoonlijk onderzoek als: “het onderzoek, volgend op een feitenonderzoek, naar gedragingen van  betrokkene waarbij bijzondere onderzoeksmethoden en of bijzondere onderzoeksmiddelen worden gebruikt, dat  inbreuk maakt of kan maken op de persoonlijke levenssfeer van betrokkene.”8 https://www.verzekeraars.nl/overhetverbond/zelfregulering/Documents/Gedragscodes/Gedragscode_Persoonlijk_Onderzoek.pd , lees hiervoor de begrippenlijst. Het onderscheid is volgens de GPO dus grotendeels gebaseerd op het feit dat een feitenonderzoek geen, dan wel weinig inbreuk maakt op de persoonlijke levenssfeer. Onder een persoonlijk onderzoek valt bijvoorbeeld fysiek schaduwen of het interviewen van naasten. Op basis van recente uitspraken lijkt een internetonderzoek, zoals in het voorbeeld in de inleiding, erg snel onder een feitenonderzoek en niet onder een persoonlijk onderzoek te vallen. 9lees hier over bijvoorbeeld http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBNNE:2014:6661. Er wordt klaarblijkelijk snel aangenomen dat een internetonderzoek geoorloofd is. Wanneer een verzekeraar twijfelt over het waarheidsgehalte van de verklaringen van de verzekerde staat het de verzekeraar vrij een intern feiten onderzoek te starten. Mochten daaruit ook onregelmatigheden blijken, dan mag de verzekeraar het onderzoek uitbreiden tot het internet. De kwalificatie van dit onderzoek is zoals uiteengezet belangrijk voor de vraag of de GPO van toepassing is. Waarom oordeelt de rechter dan vaak dat een feitenonderzoek op sociale media geen persoonlijk onderzoek betreft? Deze verklaring valt te vinden in de aard van de informatie die de verzekeraars vaak gebruiken: informatie die de verzekerde zelf openbaar op sociale media heeft prijsgegeven. Het gebruiken van dergelijke informatie is op deze manier geen inbreuk op het privéleven van de verzekerde, omdat hij met het plaatsen van dergelijke informatie wordt geacht deze bewust te hebben prijsgegeven. Zo oordeelde de rechter in een spraakmakende zaak dat een verzekeraar niet beloond mag worden door strijdig te handelen met haar eigen gedragscode. 10r.o 3.2.4 http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBNNE:2014:6661. In onze wetgeving bestaat nog geen aparte classificatie voor content die op sociale media is geplaatst. Een feitenonderzoek op internet zal dus veelal geoorloofd zijn. Tóch is deze bevoegdheid zeker niet zonder grenzen.

Hoewel de GPO een duidelijk onderscheid maakt tussen een feitenonderzoek en een persoonlijk onderzoek doen de GVP en de Wbp dat niét. Een verzekeraar zal te allen tijde moeten kunnen aantonen of het onderzoek wel nodig was en op welke gronden het onderzoek berust.11Subsidiariteit en proportionaliteit zijn ook normen die in de Wbp zijn opgenomen in artikel 8 Wbp. Ook mag zij niet meer verzamelen dan nodig is voor het belang van het onderzoek.12In art. 11 Wbp en art. 4.5-4.6 GVP staat deze dataminimalisatie uiteengezet. De rechtmatigheid van het onderzoek staat niet direct vast met slechts de kwalificatie als feitenonderzoek. Boetes die voortvloeien uit het overtreden van deze normen uit de Wbp (welke worden ingevuld door de GVP) zijn sinds dit jaar ook een stuk forser dan voorheen! 13Lees hiervoor ook: http://www.ejure.nl/2016/03/meldplicht-datalekken-het-eind-van-de-tandeloze-tijger/  Slechts als de verzekeraar met het feitenonderzoek voldoet aan de Wbp en de GVP kan er sprake zijn van een rechtmatig feitenonderzoek. Welke consequenties de onrechtmatigheid van de verkrijging van persoonsgegevens in strijd met de Wbp en GVP hebben in de bewijsvoering is onduidelijk.

Internetonderzoek als persoonlijk onderzoek

Ondanks dat het raadplegen van openbare bronnen door de verzekeraar in de praktijk geen persoonlijk onderzoek betreft, is het niet ondenkbaar dat een internetonderzoek dat nooit zou kunnen zijn. Er is op dit moment geen jurisprudentie te vinden waar een internetonderzoek wordt aangemerkt als een persoonlijk onderzoek. Hoewel onwaarschijnlijk (er is in ieder geval geen indicatie dat dit ook in de praktijk gebeurt), zou het mogelijk kunnen zijn dat een verzekeraar een internetonderzoek begint die een stuk verder gaat dan het raadplegen van openbare bronnen, of het eenmalig bezoeken van de facebookpagina van de onderzochte. Neem nu bijvoorbeeld een verzekerde die 24-uur per dag in de gaten wordt gehouden door een ‘online-rechercheur.’ Of een situatie waarin de verzekeraar bijvoorbeeld als ‘vriend’ undercover opduikt bij de verzekerde om zo achter afgeschermde informatie te komen. Het inkijken van openbare bronnen wordt weliswaar bestempeld als feitenonderzoek, maar dit zou anders kunnen zijn als het informatie betreft die niet moedwillig is opgegeven. De consequentie van de bestempeling van een internetonderzoek als persoonlijke onderzoek is volgens de GPO onder andere bewijsuitsluiting. Dit is niet per se het geval bij het overtreden van normen van de Wbp en GVP. Hoewel er op dit moment nog geen rechters zijn die fraudeonderzoeken op internet als onrechtmatig hebben bestempeld, is het belangrijk voor verzekeraars om kritisch te blijven kijken naar de Wbp en de GVP, naast de GPO. Verder is het door een toenemend aantal technische mogelijkheden niet ondenkbaar dat de lijnen tussen de digitale wereld en de fysieke steeds dunner worden; is er dan eigenlijk wel een verschil tussen on- en offline schaduwen?

   [ + ]

1. Rechtbank Almelo, 21 december 2011, LJN: BV0428.
2. http://www.pwc.nl/nl/assets/documents/pwc-naar-een-fraudebeeld-nederland.pdf, pagina 5.
3. zoals de eis dat de verwerking voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden moet worden verzameld, ex art 7 Wbp.
4. art. 4.3 GVP komt bijvoorbeeld overeen met art 8. Wbp
5. https://www.verzekeraars.nl/overhetverbond/zelfregulering/Documents/Gedragscodes/Gedragscode_Persoonlijk_Onderzoek.pdf.
6. https://www.verzekeraars.nl/overhetverbond/zelfregulering/Documents/Gedragscodes/Gedragscode_Persoonlijk_Onderzoek.pdf.
7. zie hiervoor r.o 3.4.6 http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:HR:2014:942
8. https://www.verzekeraars.nl/overhetverbond/zelfregulering/Documents/Gedragscodes/Gedragscode_Persoonlijk_Onderzoek.pd , lees hiervoor de begrippenlijst.
9. lees hier over bijvoorbeeld http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBNNE:2014:6661.
10. r.o 3.2.4 http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBNNE:2014:6661.
11. Subsidiariteit en proportionaliteit zijn ook normen die in de Wbp zijn opgenomen in artikel 8 Wbp.
12. In art. 11 Wbp en art. 4.5-4.6 GVP staat deze dataminimalisatie uiteengezet.
13. Lees hiervoor ook: http://www.ejure.nl/2016/03/meldplicht-datalekken-het-eind-van-de-tandeloze-tijger/