Faculteit Rechtsgeleerdheid Universiteit Gent Academiejaar 2012-13
ESV Datassur (databank van verzekeringsfraudeurs en wanbetalers) en de privacywetgeving
Masterproef van de opleiding ‘Master in de rechten’
Ingediend door
Lynn Vangheluwe 00800839
Promotor: Prof. Dr. Kristiaan Bernauw Commissaris: Prof. Jean Rogge
Voorwoord
In de derde bachelor kregen we in het vak Handels- en Insolventierecht voor het eerst een inleiding in het verzekeringsrecht. Dit sprak mij zo aan dat ik meteen wist dat ik het volgende jaar de grondige studie Verzekeringsrecht zou volgen. Naar mate de lessen van de grondige studie vorderden, kreeg ik steeds meer interesse voor het vakgebied. Het was voor mij dan ook een logische beslissing om mijn Masterproef te schrijven in het kader van het verzekeringsrecht.
Vooreerst wil ik mijn promotor, Prof. Dr. Kristiaan Bernauw, bedanken voor de begeleiding bij het schrijven van mijn Masterproef. Bedankt voor de nuttige tips, de snelle reacties en de hulp bij het afbakenen van mijn onderwerp.
Mijn dank gaat ook uit naar Dhr. Daniel Frala (Directeur van het ESV Datassur), die zo vriendelijk was mij te ontvangen en al mijn vragen omstandig te beantwoorden. Hierdoor heb ik een beter zicht gekregen op het ontstaan en de werking van het RSR-bestand.
Als laatste wil ik ook mijn ouders, partner, nichtje Chiara en vriendin Sanne bedanken voor de voortdurende steun, raadgevingen en bijstand die ze mij hebben gegeven.
I
Inhoudsopgave
Inleiding ..................................................................................................................................... 1 Hoofdstuk 1: De RSR-databank van Datassur ........................................................................... 3 I.
Wat is het ESV Datassur? ................................................................................................ 3
II.
Het RSR-bestand: ontstaan en werking ........................................................................ 5 1.
Wat is het RSR-bestand? ......................................................................................... 5
2.
Oorsprong van het bestand....................................................................................... 6
3.
Doelstellingen van het bestand ................................................................................ 7
4.
Registratieredenen .................................................................................................... 9
4.1
Opgezegde risico’s ............................................................................................... 9
4.2
Bijzondere risico’s motorrijtuigen ..................................................................... 10
4.3
Geweigerde risico’s ............................................................................................ 10
4.4
Verzwaarde risico’s ............................................................................................ 10
5.
Aard van de geregistreerde gegevens..................................................................... 11
6.
Bewaringstermijn van de persoonsgegevens ......................................................... 12
7.
Kennisgeving aan de betrokkenen ......................................................................... 12
7.1
Voor het sluiten van het verzekeringscontract ................................................... 12
7.2
Na de registratie in de databank ......................................................................... 13
8.
Betwisten en verbeteren van de doorgevoerde registratie ..................................... 13
9.
De klachtenprocedure ............................................................................................ 14
III.
Enkele cijfergegevens ter illustratie ............................................................................ 15
1.
Het aantal registraties in het algemeen .................................................................. 15
2.
Het aantal registraties per verzekeringstak ............................................................ 15
3.
Het aantal registraties per registratiereden ............................................................. 16
4.
Het aantal verzoeken om toegang en verbetering .................................................. 17
5.
Het aantal klachten behandeld door de ombudsman.............................................. 17
II
Hoofdstuk 2: Het RSR-bestand en de Privacywetgeving ......................................................... 19 I.
De verwerking van persoonsgegevens aan de hand van gemeenschappelijke databanken ........................................................................................................................................ 19 1.
Zwarte lijsten in het algemeen ............................................................................... 19
2.
Zwarte lijsten: Een goede zaak?............................................................................. 20
2.1
Voordelen van zwarte lijsten .............................................................................. 21
2.2
Nadelen van zwarte lijsten ................................................................................. 23
2.3
Besluit................................................................................................................. 25
II.
Overeenstemming met de wet van 1992 tot bescherming van de persoonlijke
levenssfeer ............................................................................................................................ 26 1.
Toepassingsgebied van de wet ............................................................................... 26
2.
De verantwoordelijke voor de verwerking............................................................. 27
3.
Eerlijke en rechtmatige verwerking ....................................................................... 28
4.
Het finaliteitsbeginsel ............................................................................................ 30
4.1
Het beginsel van de vaststelling van de doeleinden ........................................... 30
4.2
Het wettigheidsbeginsel .................................................................................... 32
i.
De belangen van de verzekeringsmaatschappijen .............................................. 33
ii.
Belangen van de geregistreerde personen .......................................................... 35
iii.
Belangenafweging: is er een voldoende evenwicht tussen beide belangen?...... 40
iv.
Is deze gegevensuitwisseling tussen concurrenten in strijd met het mededingingsrecht? ............................................................................................ 45
4.3 5.
Het beginsel van verenigbaar gebruik ................................................................ 50 Het proportionaliteitsbeginsel ................................................................................ 52
5.1
De persoonsgegevens moeten toereikend zijn ................................................... 52
5.2
De persoonsgegevens moeten ter zake dienend zijn .......................................... 57
5.3
De persoonsgegevens mogen niet overmatig zijn .............................................. 59
5.4
De actualiteit van de persoonsgegevens ............................................................. 59
5.5
De persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk ... 63
III
6.
Verboden verwerkingen van persoonsgegevens .................................................... 65
6.1
Gevoelige gegevens ............................................................................................ 65
6.2
Medische gegevens ............................................................................................ 65
6.3
Gerechtelijke gegevens ...................................................................................... 66
7.
Het transparantiebeginsel ....................................................................................... 71
7.1
Primaire verkrijging van persoonsgegevens ...................................................... 71
7.2
Secundaire verkrijging van persoonsgegevens .................................................. 73
7.3
Aangifte bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer ......................................................................................................... 76
8.
Het recht op toegang en verbetering ...................................................................... 76
8.1
Het recht op toegang van de betrokkene ............................................................ 76
8.2
Het recht op verbetering van de betrokkene....................................................... 77
9.
Geautomatiseerde gegevensverwerking ................................................................. 79
10.
Vertrouwelijkheid en beveiliging van de verwerking ............................................ 81
11.
Besluit .................................................................................................................... 82
III.
Informatie-uitwisseling over de grenzen heen ............................................................ 83
Hoofdstuk 3: Een vergelijking met de openbare databank ...................................................... 86 I.
De openbare databank in de bankensector ..................................................................... 86 1.
Het ontstaan en de evolutie van de databank ......................................................... 86
2.
Doelstellingen ........................................................................................................ 88
3.
Besluit .................................................................................................................... 89
II.
De Centrale voor Kredieten aan Particulieren en het RSR-bestand ........................... 90 1.
De registratie wegens wanbetaling ........................................................................ 90
2.
De geregistreerde gegevens en hun bewaringstermijn ........................................... 91
3.
De kennisgeving aan de geregistreerde persoon .................................................... 94
4.
De toegang tot de Kredietcentrale en het gebruik van de gegevens ...................... 95
5.
Het recht van toegang en verbetering .................................................................... 97
IV
6.
Controle op de naleving van de wettelijke verplichtingen ..................................... 98
7.
Besluit .................................................................................................................... 98
Hoofdstuk 4: Buitenlandse zwarte lijsten in de verzekeringssector ....................................... 100 I.
De verzekeringsdatabank in Nederland ........................................................................ 100 1.
Algemeen: De FISH-databank van de stichting CIS ........................................... 100
2.
Finaliteit van het gemeenschappelijk bestand ...................................................... 102
3.
Registratieredenen ................................................................................................ 103
4.
De geregistreerde gegevens en de duur van de registratie ................................... 104
5.
De toegang tot de databank en het gebruik van de gegevens............................... 105
6.
Rechten van de betrokkenen ................................................................................ 106
7.
Besluit .................................................................................................................. 106
II.
De verzekeringsdatabank in Frankrijk ...................................................................... 107 1.
Algemeen: Fichier des Résiliations Automobile van AGIRA ............................. 107
2.
Finaliteit van het gemeenschappelijk bestand ...................................................... 108
3.
Registratieredenen ................................................................................................ 108
4.
De geregistreerde gegevens en de duur van de registratie ................................... 109
5.
De toegang tot de databank en het gebruik van de gegevens............................... 110
6.
Rechten van de betrokkenen ................................................................................ 110
7.
Besluit .................................................................................................................. 111
Conclusie ................................................................................................................................ 112 Bibliografie............................................................................................................................. 114 I.
Wettelijke en reglementaire bepalingen ....................................................................... 114
II.
Rechtspraak ............................................................................................................... 116
III.
Rechtsleer .................................................................................................................. 117
IV.
Websites .................................................................................................................... 121
Bijlage .................................................................................................................................... 122
V
Inleiding
1. In tijden van economische en financiële moeilijkheden gaat elke handelaar op zoek naar middelen om zich te beschermen tegen risicoklanten. Dit is niet anders in de verzekeringssector. Zij willen net zo min als de kleine zelfstandige, de grote onderneming en de machtige banken in zee gaan met wanbetalers en fraudeurs. Om hun verzekeringsactiviteit economisch rendabel te kunnen houden, moeten zij de verzekerde risico’s zo correct mogelijk kunnen inschatten. Het is voor hen zeer belangrijk om te weten welke premie nodig is om aan hun dekkingsverplichting te kunnen voldoen. Daarnaast is het ook logisch dat ze financiële verliezen willen vermijden doordat bepaalde premies niet betaald worden. 2. Verzekeringsmaatschappijen krijgen in de fase van de risicoberekening te maken met het probleem van ‘informatieasymmetrie’. De informatie die zij nodig hebben om een concreet risico correct in te schatten, verkrijgen zij in de praktijk bijna altijd aan de hand van een vragenlijst die de kandidaat-verzekerde bij het verzekeringsvoorstel moet invullen. Daarbij zijn zij echter volledig aangewezen op de goede trouw van de kandidaatverzekeringsnemer. De verzekeraar beschikt over geen enkel middel om deze informatie te verifiëren. Aangezien verzekeringsmaatschappijen allemaal aan ditzelfde risico bloot staan, hebben zij hun krachten gebundeld om samen deze risico’s te beperken. Het RSR-bestand moet hen helpen om zogenaamde ‘speciale risico’s’ aan elkaar te melden en zorgt er voor dat verzekeraars de informatie van hun kandidaat-verzekeringsnemers op hun waarheid kunnen controleren. 3. Dat dit systeem een grote hulp is voor verzekeringsmaatschappijen behoeft geen verdere uitleg. Het zou echter wel kort door de bocht zijn om het systeem op te hemelen louter op grond van de voordelen die dit heeft voor de verzekeringsmaatschappijen. Het mes snijdt altijd aan twee kanten. Tegenover hun belangen staan de belangen van de betrokken personen die in het bestand geregistreerd worden. Zij beschikken immers over een fundamenteel recht op de bescherming van hun persoonlijke levenssfeer en hun persoonsgegevens. Registratie kan aanleiding geven tot verhoogde premies, slechtere voorwaarden of in het slechtste geval zelfs uitsluiting van verzekeringsprestaties. 4. In deze masterproef wil ik dan ook de RSR-databank van Datassur toetsten aan de voorwaarden die hiervoor worden gesteld door de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.
1
5. In het eerste hoofdstuk zal ik kort een schets geven van de RSR-databank zoals ze nu functioneert. Daarbij wordt het ontstaan, de doelstelling en de specifieke werking van het bestand toegelicht. Om af te sluiten heb ik enkele grafieken bijgevoegd om een beter beeld te geven van het aantal registraties. 6. Het tweede hoofdstuk duidt om te beginnen op de verschillende voordelen die zwarte lijsten met zich meebrengen en daarna ook op de negatieve gevolgen die daarmee gepaard kunnen gaan. Vervolgens begint het grootste deel van mijn onderzoek. De voorwaarden van de wet worden artikelsgewijze kort toegelicht en daarna kritisch vergeleken met de voorwaarden en de werking van het RSR-bestand. Er wordt hierbij zowel geduid op de positieve punten als op punten waaraan nog gewerkt kan worden. Het grootste probleempunt zit hem hier uiteraard bij het wettigheidsbeginsel en het proportionaliteitsbeginsel. Als afsluiter van het hoofdstuk bespreek ik even de mogelijkheid van een internationale gegevensuitwisseling in de verzekeringssector. 7. Er zijn verschillende redenen waarom een persoon in het RSR-bestand kan terecht komen. Doch, ongeveer 93% van de doorgevoerde registraties hebben slechts betrekking op één enkele registratiereden en die is de opzegging van de verzekeringsovereenkomst wegens niet-betaling van de premie. Om deze reden vergelijk ik in het derde hoofdstuk het RSRbestand met de Centrale voor Kredieten aan Particulieren. Dit is een gemeenschappelijke databank in de financiële wereld die gegevens omtrent wanbetaling van kredietnemers registreert. Er zijn zowel gelijkenissen als verschillen tussen beide systemen, waardoor ze ook elk hun voor-en nadelen hebben. 8. Tot slot heb ik gezocht naar gelijkaardige initiatieven in het buitenland. Nederland heeft in de verzekeringssector de zogenaamde ‘FISH’-databank, waar verzekeraars niet enkel onderling gegevens uitwisselen, maar ook met politie en justitie gegevens ruilen. Ook Frankrijk beschikt over een gemeenschappelijke databank, maar dan enkel in de sector motorrijtuigenverzekering. De werking van deze twee buitenlandse initiatieven wordt in het laatste hoofdstuk beknopt weergegeven en vergeleken met het Belgische RSR-bestand.
2
Hoofdstuk 1: De RSR-databank van Datassur
I.
WAT IS HET ESV DATASSUR?
9. Het ESV Datassur is een economisch samenwerkingsverband dat in 1995 werd opgericht tussen verschillende verzekeringsmaatschappijen. Het samenwerkingsverband telt op dit moment 65 leden1, die samen ongeveer iets meer dan 90% van het marktaandeel in de BOAR-verzekeringen vertegenwoordigen.2 10. De oprichting van Datassur werd ingegeven door zowel economische als nieteconomische motieven. Eerst en vooral was er het steeds grotere besef bij verschillende verzekeringsmaatschappijen dat alle verzekeraars geconfronteerd worden met dezelfde problemen. Ze realiseerden zich dat het dus in eenieders voordeel was om samen te werken en gezamenlijk deze problemen op te lossen. Dit kon het best verwezenlijkt worden door het oprichten van één enkele entiteit, die verschillende diensten aanbiedt die gemeenschappelijk zijn aan alle verzekeraars. Daarnaast kadert de keuze voor de oprichting van Datassur, als een aparte entiteit, ook binnen de opkomst van de strengere reglementering omtrent de bescherming van de persoonlijke levenssfeer. Het beheren en verwerken van persoonsgegevens werd vanuit maatschappelijk standpunt meer en meer een gevoelige activiteit. Dit is zelfs dé belangrijkste redenen waarom werd gekozen voor de oprichting van een entiteit die volledig los staat van de toenmalige Beroepsvereniging van de Belgische Verzekeraars.3 11. De keuze voor een economisch samenwerkingsverband is daarentegen vooral op economische motieven gesteund. Het grootste voordeel van een dergelijk economisch samenwerkingsverband is dat het niet btw-plichtig is. Aangezien ze geen BTW moeten doorrekenen aan hun leden, kunnen ze een goedkopere dienstverlening aanbieden. De inkomsten die het samenwerkingsverband verkrijgt, dienen enkel om de kosten van de dienstverlening te dekken. De winst die eventueel wordt gemaakt, moet terug gestort worden aan de leden. 12. Enkel verzekeringsmaatschappijen die lid zijn van het economisch samenwerkingsverband kunnen genieten van de diensten die het aanbiedt. Artikel zeven van 1
www.datassur.be/pages/about_nl.html (consultatie 4 mei 2013) ESV DATASSUR, Jaarverslag 2011, www.datassur.be, 3 3 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 268-269; nu: Assuralia 2
3
de statuten van Datassur bepaalt de voorwaarden die de verzekeringsmaatschappijen moeten naleven om te kunnen toetreden tot het samenwerkingsverband. De belangrijkste voorwaarde4 is het aangaan van de verplichting tot naleving van de wet van 8 december 1992 betreffende de bescherming van de persoonlijke levenssfeer en zijn uitvoeringsbesluiten. Daarnaast moeten ze ook alle andere verplichtingen naleven die zijn opgenomen in de statuten van Datassur, in de huishoudelijke reglementen en in de overeenkomsten tot oprichting van de gemeenschappelijke bestanden. Een verzekeringsonderneming wordt lid op het ogenblik van de ondertekening van het toetredingscontract.5 13. Volgens zijn statuten heeft Datassur als doel ‘de economische activiteit van zijn leden te vergemakkelijken of te ontwikkelen en de resultaten van die activiteit te verbeteren of te vermeerderen’. Om dit doel te bereiken staat Datassur onder meer in voor de administratie en het beheer van de bestanden die het voorwerp zijn geweest van de tussen de leden overeengekomen conventies. Deze overeenkomsten hebben tot doel persoonsgegevens samen te brengen die opgetekend zijn bij het sluiten of het uitvoeren van een verzekeringsovereenkomst. Dit is de zogenaamde RSR-overeenkomst. Daarnaast is Datassur ook verantwoordelijk voor de administratie en het beheer van de financiële compensaties tussen verzekeringsmaatschappijen en voor de administratie en het beheer van andere gemeenschappelijke diensten aan de leden inzake verzekering. Datassur verzorgt ook de centralisatie en het beheer van schadedossiers in het kader van de uitvoering van verzekeringspolissen.6 14. Het ESV Datassur heeft verschillende diensten in het leven geroepen om deze doelstelling te kunnen realiseren. De klassieke en meest geraadpleegde diensten zijn het RSRbestand, de RDR-compensatiekas, de BCE-conventies, Discover en Find@car. Sinds januari 2011 is ook het Siabis informaticaplatform in productie gegaan.7
15. Deze masterproef zal zich specifiek richten op één van deze diensten, met name de RSR-databank.
4
In het kader van deze thesis Art. 7 van de statuten van het ESV Datassur, BS 03/11/2011 6 Art. 4 van de statuten van het ESV Datassur, BS 03/11/2011 7 ESV DATASSUR, Jaarverslag 2011, www.datassur.be, 2 5
4
II.
HET RSR-BESTAND: ONTSTAAN EN WERKING
1. Wat is het RSR-bestand? 16. De term RSR is een samentrekking van het Franse ‘risques spéciaux’ en het Nederlandse ‘speciale risico’s’. Het RSR-bestand is een databank waar verzekeringsmaatschappijen gegevens laten invoeren omtrent speciale risico’s en die ze raadplegen om informatie te verkrijgen over kandidaat-verzekeringsnemers. Het gaat om gegevens van verzekeringsnemers die een groter risico vormen dan het statistisch gemiddelde van hun groep. Aan de hand van dit bestand gaan verzekeraars dus onderling die speciale risico’s signaleren. De registratie als speciaal risico in het RSR-bestand gebeurt niet op discretionaire wijze. Er moet een objectieve reden aanwezig zijn die de registratie verantwoordt.8 Het uitgangspunt is in de meeste gevallen de opzegging van het verzekeringscontract door de verzekeringsmaatschappij. De registraties gebeuren per persoon, per gebeurtenis en per verzekeringstak. De verzekeringsmaatschappijen hebben enkel toegang tot de inhoud van het bestand voor de verzekeringstakken die ze zelf uitoefenen. Een brandverzekeraar bijvoorbeeld, kan geen gegevens uit de databank raadplegen omtrent een opgezegd risico in de motorrijtuigenverzekering. Een uitzondering op deze regel werd gemaakt voor de gegevens betreffende verzwaarde risico’s, die kunnen verzekeraars bekijken ongeacht de verzekeringstak.9 17. De statuten van Datassur voorzien in het opmaken van huishoudelijke reglementen om de toepassing en de uitvoering van haar doel te vergemakkelijken.10 Dergelijk huishoudelijke reglementen werden opgesteld en bepalen de voorwaarden voor de toetreding tot de gemeenschappelijke bestanden. Artikel twee van het huishoudelijk reglement voorziet in het opmaken van bijzondere toetredingsovereenkomsten voor elk bestand, die de regels voor de goede werking ervan vastleggen. Elk lid van Datassur heeft dan de mogelijkheid om tot één of meerdere bestanden toe te treden en zich te onderwerpen aan de voorwaarden die voor deze bestanden gelden.11
8
ESV DATASSUR, Jaarverslag 2011, www.datassur.be, 6 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 3 10 Artikel 5 van de Statuten ESV Datassur, BS 11 maart 2001 11 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 269-270 9
5
2. Oorsprong van het bestand 18. Al sinds het ontstaan van het concept ‘verzekeringen’ zoeken verzekeraars naar systemen om de verzekerde risico’s beter te kunnen inschatten. Zij hadden enkel die informatie ter beschikking die de kandidaat-verzekeringsnemer hen meedeelde en waren dus volledig afhankelijk van de goede trouw van deze potentiële verzekeringsnemer. Het is duidelijk dat de verzekeraar hier de zwakkere contractspartij is, aangezien hij enkel kan hopen dat de kandidaat-verzekeringsnemer de waarheid vertelt. De hem meegedeelde informatie kon hij nergens verifiëren.12 19. Met de opkomst van nieuwe vooruitstrevende informaticasystemen hebben verschillende verzekeraarsmaatschappijen in de jaren ’70 een eigen systeem opgezet om bepaalde informatie over verzekerden met elkaar uit te wisselen. Het initiatief hiertoe werd genomen door de toenmalige Beroepsvereniging Voor Verzekeringsondernemingen.13 Deze kreeg meteen ook het beheer van het systeem toevertrouwd. De gegevens die in het systeem werden opgenomen, zijn gegevens die relevant waren in het kader van het beheer van schade. De belangrijkste bestanden die de verzekeringsmaatschappijen hebben opgericht zijn de RRRmeldingen (inzake opgezegde, afgewezen of geweigerde risico’s in de sector Niet-Leven), de VB-meldingen (Verdeelbureau-meldingen in de sector Leven) en de ISI-meldingen (informatie over de speciale risico’s in alle sectoren). Het bestaan van deze bestanden was door het publiek gekend, maar de werking ervan was niet geregeld en al zeker niet transparant. Er was ook geen enkele controle op de juistheid van de gegevens.14 20. In de jaren ’90 werd bescherming van de privacy een veelbesproken onderwerp. Het idee dat eenieder een recht heeft op bescherming van zijn privéleven leidde tot de inwerkingtreding van de wet van 8 december 1992.15 De ‘zwarte lijsten’ die door de verzekeringsmaatschappijen werden bijgehouden voldeden uiteraard niet aan die nieuwe wetgeving. Om deze gegevensuitwisseling tussen verzekeringsmaatschappijen in overeenstemming te brengen met de nieuwe reglementering werd het ESV Datassur opgericht.16
12
D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 268 13 Hierna: BVVO; Sinds 2004: Assuralia 14 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 268-269 15 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993, 5801; hierna: Wet verwerking persoonsgegevens 16 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 268-269
6
21. Datassur staat in voor het beheer van de zwarte lijsten en ziet er op toe dat de bestanden opgemaakt worden met respect voor het recht op bescherming van het privéleven. Op die manier werd het beheer van de gemeenschappelijke bestanden overgedragen aan een organisme dat volledig los staat van de BVVO. De gegevens uit de oude zwarte lijsten zijn wegens kwaliteitsredenen niet overgenomen in de nieuwe bestanden van Datassur en vooral dan omdat ze niet altijd even betrouwbaar waren. Er bestond wel een mogelijkheid om de oude gegevens eventueel toch over te nemen in de nieuwe bestanden, maar enkel en alleen als de betrokken maatschappij borg stond voor een nieuwe kwaliteitscontrole van de gegevens. Er was dus een actief optreden van de verzekeringsonderneming nodig voor deze overdracht.17 22. Het ESV Datassur startte op 1 juni 1996 met een volledig nieuwe databank, bestaande uit nieuwe én gecheckte gegevens met betrekking tot schadeverzekeringen. 18 Dit bestand kreeg de naam RSR. In september 1997 werd een gelijkaardig bestand opgericht voor gegevens in de sector Leven. Dit bestand heeft echter geen lang leven geleid. Het werd na een drietal jaar al opgegeven. De reden hiervoor is dat medische informatie, zeer gevoelige informatie is die volgens de wet zelfs niet mag worden verwerkt.19 Daarbij zijn verzekeringen in de sector Leven ook verzekeringen die op vrijwillige basis worden aangegaan, verzekeringsnemers zijn hiertoe niet verplicht. Er is in die sector dan ook veel minder sprake van wanbetaling. Het bestand had dus veel minder nut en was moeilijker verenigbaar met de nieuwe wetgeving, waardoor werd besloten om het bestand op te heffen. Het RSR-bestand bevat nu enkel nog gegevens uit de BOAR-tak.20
3. Doelstellingen van het bestand 23. Het doel van het RSR-bestand is volgens artikel twee van de RSR-overeenkomst ‘onderling de speciale risico’s op het gebied van brand, ongevallen en diverse risico’s te melden, hetgeen op termijn tot gevolg heeft dat de premies voor iedereen op een billijk niveau kunnen blijven.’ 24. De registratie van speciale risico’s heeft vooreerst tot doel verzekeringsmaatschappijen de mogelijkheid te geven om de informatie die door een potentiële verzekeringsnemer, conform zijn wettelijke mededelingsplicht wordt verstrekt, te controleren. Bij het sluiten van een verzekeringsovereenkomst is de verzekeringsnemer immers verplicht om alle hem 17
BVVO, “Verzekeringsfraude voorkomen, een zaak van algemeen belang”, Verzekeringscahiers 1998, 63-64 BVVO, “Verzekeringsfraude voorkomen, een zaak van algemeen belang”, Verzekeringscahiers 1998, 63-64; D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 268 19 Art. 7 §1 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens bepaalt dat de verwerking van persoonsgegevens die de gezondheid betreffen verboden is. 20 Brand, Ongevallen en Allerlei Risico’s 18
7
bekende omstandigheden die hij redelijkerwijs moet beschouwen als gegevens die van invloed kunnen zijn op de beoordeling van het risico door de verzekeraar, nauwkeurig mee te delen.21 De verzekeringsmaatschappij kan dan aan de hand van de databank de inlichtingen die de kandidaat-verzekeringsnemer, uit eigen beweging of aan de hand van een vragenlijst verstrekt, vergelijken met de werkelijkheid zoals blijkt uit de geregistreerde gegevens. Door onderling de speciale risico’s op het gebied van BOAR te melden, wil de databank ook verzekeringsfraude, wanbetaling en niet-invordering van de franchise bestrijden. 25.
Een correcte inschatting van het risico is essentieel voor een goede werking van de
verzekeringsactiviteit. Het RSR-bestand, die informatie-uitwisseling tussen verzekeringsmaatschappijen mogelijk maakt, is een extra instrument die de verzekeraars ter hun beschikking hebben voor een juiste risicoberekening. Op grond van het risico bepaalt de verzekeraar dan de premie die nodig is om aan zijn toekomstige dekkingsverplichting te kunnen voldoen. Een goede risicodiversificatie is belangrijk om de slechte risico’s en de goede risico’s van elkaar te onderscheiden, zodat deze laatste niet de dupe worden van de slechte risico’s. Wanneer de slechte risico’s niet zouden kunnen worden onderscheiden van de goede risico’s, dan zou de premie voor deze laatsten veel hoger zijn dan wat nodig is om hun eigen risico te dekken.22 Volgens Datassur wordt verzekeringsfraude bijvoorbeeld geschat op € 250.000 per jaar. Deze kostprijs van verzekeringsfraude, veroorzaakt door een klein deel slechte risico’s, wordt gedragen door alle verzekerden. Het grootste deel van die verzekerden zijn echter goede risico’s die hier in principe niet voor zouden moeten instaan. De verliezen die worden gemaakt door fraudeurs en ook door wanbetalers, zullen dus moeten gedekt worden door een klein deel van de premies van de goede risico’s.23 26. De RSR-databank verhelpt een deel van dit probleem door de verzekeraar toe te laten om voor elke verzekerde een premie te bepalen die correct en billijk is en die overeenstemt met zijn werkelijk risicoprofiel.24
21
Art. 5 wet 25 juni 1992 op de landverzekeringsovereenkomst, BS 20 augustus 1992, 18283 De gemiddelde schadestatistiek van een doorsnee verzekerde is één schadegeval met aansprakelijkheid om de twaalf jaar. Dit zijn de goede risico’s. 23 D. Frala, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 269 24 Rb. Brussel 19 december 2000, Computerr. 2002, 30; DATASSUR ESV, Jaarverslag 2011, www.datassur.be, 3; Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 8; D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 273-274 22
8
4. Registratieredenen 27. Er zijn vier categorieën van objectieve redenen die, als speciaal risico, aanleiding kunnen geven tot een registratie in het RSR-bestand. Het gaat hier niet enkel over speciale risico’s in de motorrijtuigenverzekering25, maar over alle speciale risico’s in de volledige tak van de BOAR- verzekeringen.26
4.1
OPGEZEGDE RISICO’S
28. Hieronder valt de registratie na opzegging van de polis door de verzekeraar om de volgende duidelijke redenen:
opzegging nadat de verzekerde in gebreke blijft de premie en/of franchise te betalen, ongeacht het bedrag van de premie;27
opzegging na één schadegeval waarvoor uitsluitend de verzekeringsnemer aansprakelijk is. In dit geval is de omvang van het schadegeval dermate groot of zijn er begeleidende omstandigheden die de opzegging rechtvaardigen;
opzegging na meerdere schadegevallen, met vermelding van het aantal schadegevallen dat hiertoe aanleiding gaf. De verzekeraar moet bij de vermelding ook het onderscheid maken tussen het aantal schadegevallen waarvoor de verzekerde aansprakelijk was en voor welke hij niet aansprakelijk was;
opzegging na een schadegeval wanneer de verzekeringsonderneming weigert om tussen te komen en te vergoeden om contractuele redenen. Dit kan een verzuim zijn bij de contractsluiting, het nalaten van het nemen van de door de verzekeraar opgelegde preventiemaatregelen, onverantwoord en laakbaar gedrag van de verzekerde28, enz.;
opzegging na een schadegeval wanneer de verzekeringsmaatschappij verhaal uitoefent op de verzekerde;29
25
Dit is vaak een misvatting Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 2; D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 281-283 27 Nuancering: geen registratie indien het achterstallige bedrag lager is dan € 150, maar dit geldt enkel voor de WAM-verzekering. 28 Bijvoorbeeld: het verzekerd voertuig werd niet aangeboden voor de verplichte technische keuring, het rijbewijs is vervallen of ingetrokken, … 29 Bijvoorbeeld: de verzekeraar betaalt de schade die de verzekerde heeft aangericht, maar stelt een regresvordering in tegen de verzekerde voor deze schade. Dit kan bijvoorbeeld bij de BA-motorrijtuigen wanneer de verzekerde het ongeval in dronken toestand veroorzaakte. 26
9
4.2
BIJZONDERE RISICO’S MOTORRIJTUIGEN
29. Dit is de registratie na een ernstig schadegeval die te wijten is aan een andere persoon dan de verzekeringsnemer. De verzekerde is in deze gevallen de bestuurder die de ongevallen heeft veroorzaakt, maar die niet zelf de verzekeringsnemer is. In dit geval is er niet noodzakelijk een opzegging van de verzekeringspolis.
na meerdere schadegevallen (minimum twee) waarbij de aansprakelijkheid van de bestuurder wordt erkend;
na een verhaal dat door de verzekeringsmaatschappij tegen de bestuurder werd uitgeoefend.
4.3
GEWEIGERDE RISICO’S
30. Dit is de registratie na een weigering van de verzekeraar om de verzekeringspolis toe te kennen, omdat de kandidaat-verzekeringsnemer in zijn aangifte heeft gelogen. Deze registratiereden situeert zich dus in de precontractuele fase, bij het verzekeringsvoorstel. De gegevens die de kandidaat-verzekeringsnemer verstrekt zijn:30
niet in overeenstemming met de registraties in het RSR-bestand;
niet in overeenstemming met de werkelijkheid.
4.4
VERZWAARDE RISICO’S
31. Hieronder valt de registratie die gebeurt wanneer de verzekeringsmaatschappij verzekeringsfraude kan aantonen en op grond daarvan maatregelen neemt zoals weigeren van vergoeding, opzegging, strafrechtelijke aanklacht, verhaal wegens onrechtmatige daad, … 31 32.
Er is sprake van fraude als:
de verzekeringsnemer verklaringen aflegt bij de contractsluiting die niet overeenstemmen met de werkelijkheid;
30
Bijvoorbeeld over vroegere schadegevallen Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 3 31
10
de schadeaangifte die de verzekeringsnemer deed niet overeenstemt met de werkelijkheid, met andere woorden wanneer bepaalde gegevens in verband met het schadegeval zijn vervalst of wanneer het schadegeval zelf fictief is;
de verzekeringsnemer verschillende verzekeringen tot vergoeding van schade voor hetzelfde risico heeft gesloten.32;
de verzekerde betrokken is bij fraude. Hij heeft de verzekeringsfraude vergemakkelijkt, aangemoedigd of georganiseerd;
de verzekerde met opzet schade aanricht of ze verzwaart;
een schadegeval wordt gemeld die zich eigenlijk heeft voorgedaan voor het sluiten van de verzekeringsovereenkomst.
33. Om deze verzwaarde risico’s te laten registreren moet de fraude een vaststaand feit zijn en moet de verzekeraar over voldoende objectieve en tastbare bewijzen beschikken.33 De opgespoorde fraude moet dus bewezen zijn. Een loutere veronderstelling kan nooit aanleiding geven tot een registratie als verzwaard risico. De verzekerde geniet altijd het voordeel van de twijfel, zodat in dit geval geen registratie wordt uitgevoerd. Het aantal registraties op grond van fraude geven dus ook geen representatief beeld weer van het eigenlijke aantal gevallen van verzekeringsfraude in de praktijk. Fraude is zeer moeilijk om op te sporen en nog veel moeilijker om te bewijzen. De registraties zijn dus maar het zichtbare topje van de ijsberg.34
5. Aard van de geregistreerde gegevens 34. De registratie van natuurlijke personen in het RSR-bestand gebeurt aan de hand van de volgende vermeldingen:
naam en voornaam;
adres en geboortedatum;
de plaats waar het risico gelegen is;
het geslacht;
het rijksregisternummer, hoewel de handleiding van Datassur betreffende het RSRbestand bepaalt dat dit rijksregisternummer niet te gebruiken is door de privéinstellingen;
de hoedanigheid van de tussenkomende partij, natuurlijke persoon (verzekerde, verzekeringsnemer, begunstigde, bestuurder, …);
de betrokken verzekeringstak (brand, rechtsbijstand, motorrijtuigen, …);
32
Bijvoorbeeld: een juweel is tegelijkertijd bij verschillende verzekeringsmaatschappijen verzekerd tegen diefstal. Nadat het juweel is gestolen eist de verzekeringsnemer van elk van de verzekeringsmaatschappijen een vergoeding voor de diefstal. 33 Bijvoorbeeld: aan de hand van een door de verzekerde zelf of door een derde ondertekende bekentenis 34 ESV DATASSUR, Jaarverslag 2011, www.datassur.be, 6
11
35.
identificatie van de maatschappij die de informatie heeft bezorgd en het nummer van het dossier;
datum van de feiten en datum van de vaststelling van de feiten;
redenen van de registratie, in de vorm van een code;
het bedrag van de veroorzaakte schade en van de verschuldigde premie of franchise. De registraties gebeuren per persoon, per gebeurtenis en per verzekeringstak.35
6. Bewaringstermijn van de persoonsgegevens 36. De bewaringstermijn van de gegevens verschilt van drie tot tien jaar naargelang de registratiereden. De registratie wegens niet-betaling van de premie of niet-invordering van de franchise blijft gedurende drie jaar bewaard in de RSR-databank. De verzwaarde risico’s (bij bewezen fraude) blijven tien jaar in de RSR-databank vermeld. Alle andere registraties worden voor een periode van vijf jaar bewaard.36 37. Een persoon die werd geregistreerd wegens opzegging van de polis door niet-betaling van de premie en die nadien de verschuldigde premie alsnog betaalt, kan worden geschrapt uit het bestand. Daarvoor moet de betaling van de achterstallige premie wel worden bevestigd door de verzekeringsonderneming die de registratie heeft uitgevoerd. De schrapping gebeurt dan zo snel mogelijk, de dag zelf nog of de dag erna. Alle andere registraties blijven gedurende de volledige periode bewaard en kunnen enkel worden verwijderd als kan worden bewezen dat de registratie foutief was.
7. Kennisgeving aan de betrokkenen 7.1
VOOR HET SLUITEN VAN HET VERZEKERINGSCONTRACT
38. Artikel vijf van het reglement van inwendige orde ‘Dienst Bestanden’, die de verzekeringsmaatschappijen hebben moeten ondertekenen bij de toetreding tot het ESV Datassur, bepaalt: ‘Alle leden van het Economisch Samenwerkingsverband, met uitzondering van Assuralia en het Gemeenschappelijk Waarborgfonds, verplichten zichzelf om hun kandidaat35
Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 3 36 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 283
12
verzekeringsnemers en verzekerden onmiddellijk bij de gegevensinzameling te informeren van de mogelijkheid die ze hebben om, bij gelegenheid, die gegevens te integreren in het RSRbestand beheerd door de Dienst Bestanden van Datassur. Deze informatie moet hernomen worden op het niveau van de verzekeringsvoorstellen en de schadeverklaringen.‘37 39. Elke verzekeringsmaatschappij die lid is van Datassur heeft, door de toetreding tot deze dienst, zichzelf de verplichting opgelegd om elke kandidaat-verzekeringsnemer op de hoogte te brengen van de mogelijke opname van zijn gegevens in het RSR-bestand. De mededeling gebeurt in de meeste gevallen door een verwijzing naar Datassur op te nemen in de algemene voorwaarden of aan de hand van een clausule op het einde van het verzekeringsvoorstel of verzekeringscontract.38
7.2
NA DE REGISTRATIE IN DE DATABANK
40. De verzekeringsmaatschappij die van oordeel is dat aan één van de registratieredenen is voldaan, moet de gegevens van zijn verzekerde doorgeven aan de beheerders van het RSRbestand. De opname van die gegevens in de databank moet uiteraard aan de betrokken persoon ter kennis gebracht worden. Het is niet de verzekeringsmaatschappij, maar Datassur zelf die de geregistreerde persoon hiervan op de hoogte brengt. Ze doet dit aan de hand van een met de post verstuurde brief. Deze kennisgeving gebeurt zo snel mogelijk en vermeldt de naam en het adres van de verantwoordelijke voor de verwerking en de doelstellingen van de registratie. Er wordt ook gewezen op het bestaan en de modaliteiten van het recht op inzage en verbetering die de betrokken persoon kan uitoefenen met betrekking tot zijn geregistreerde gegevens.39
8. Betwisten en verbeteren van de doorgevoerde registratie 41. Iedere persoon die in het bestand wordt opgenomen heeft op grond van de wet het recht om zijn gegevens in te zien ten einde deze te controleren op hun rechtmatigheid of op onjuistheden. De betrokkenen worden op dit recht gewezen bij de kennisgeving van hun opname in het bestand. Dit recht kunnen ze uitoefenen door een gedateerde en ondertekende brief te sturen naar Datassur. De geregistreerde persoon kan daarna om verbetering of schrapping van de registratie vragen wanneer hij van oordeel is dat de informatie onjuist of irrelevant is. Hij moet dit opnieuw doen aan de hand van een schriftelijk verzoek aan 37
D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 286 38 Zie bijlage voor voorbeelden 39 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 270-271
13
Datassur. Elk verzoek om verbetering wordt door Datassur onderzocht in overleg met de verzekeringsmaatschappij die de registratie heeft uitgevoerd. Datassur deelt de verzoeker binnen de maand na het verzoek tot verbetering een schriftelijk en gemotiveerd antwoord mee. De gevolgen die aan het verzoek kunnen worden gegeven zijn een verbetering, een schrapping of het behoud van de registratie40 als blijkt dat het verzoek niet gegrond is. Vanaf het verzoek tot verbetering of schrapping wordt de betrokken registratie aangeduid als een betwiste registratie. Ook nadien, mocht Datassur beslissen dat de registratie onveranderd moet blijven, blijft het in de gegevensdatabank staan als betwiste registratie.41
9. De klachtenprocedure 42. De eerstelijnsbijstand wordt geboden door Datassur zelf. Wanneer een verzekerde niet akkoord gaat met de registratie kan hij in eerste instantie verbetering vragen bij Datassur aan de hand van een eenvoudige procedure. 43. Bij de omvorming van de Ombudsman van de BVVO tot de Ombudsman van de Verzekeringen in 2001, werden de bevoegdheden van de ombudsman verruimd ten aanzien van Datassur. De ombudsman treedt nu op als onafhankelijke beroepsinstantie voor klachten tegen de opname in het RSR-bestand. De ombudsman wordt slechts aangesproken als er geen genoegdoening werd verkregen door Datassur zelf. Gaat de betrokkene toch eerst naar de ombudsman, dan wordt hij doorverwezen naar Datassur. Wanneer Datassur het verzoek tot verbetering afwijst, moet ze de verzoeker informeren over de mogelijkheid om klacht in te dienen bij de Ombudsman voor de Verzekeringen.42 Deze klacht moet schriftelijk worden ingediend. De ombudsman controleert dan of de gegevens correct werden geregistreerd. Verschilt de informatie van de klager met die van Datassur, dan zal de ombudsman aan de betrokken verzekeringsmaatschappij vragen om alle gegevens in verband met de registratie door te geven. Indien de registratie onrechtmatig blijkt te zijn, zal er worden onderhandeld om de registratie te corrigeren of te verwijderen. 44. Een gemotiveerd schriftelijk advies wordt zo snel mogelijk, uiterlijk binnen de zes maand, aan de klager meegedeeld. Deze dienstverlening is volledig gratis.43 Een schriftelijke klacht kan ook worden ingediend bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Deze instantie treedt ook enkel op als tweedelijnsbijstand.
40
Zie bijlage voor een voorbeeldbrief van deze kennisgeving www.datassur.be (consultatie 4 mei 2013); ESV DATASSUR, Jaarverslag 2011, www.datassur.be, 6 42 OMBUDSMAN VAN DE VERZEKERINGEN, Jaarverslag 2002, www.ombudsman.as, bijlage 5 43 In voorkomend geval zal ze een beschrijving vragen van de schadegevallen (data, aansprakelijkheden, schadevergoedingen, ...) of van de geschilprocedure. Zie OMBUDSMAN VAN DE VERZEKERINGEN, Jaarverslag 2002 en 2011, www.ombudsman.as, 37 41
14
III.
ENKELE CIJFERGEGEVENS TER ILLUSTRATIE 1. Het aantal registraties in het algemeen
45. Bovenstaande tabel geeft het aantal nieuwe registraties in het RSR-bestand van de laatste zeven jaar weer. In vijf jaar tijd (van 2006 tot 2011) is het aantal nieuwe inschrijvingen toegenomen met 33%. Ten opzichte van 2010 is er in 2011 een stijging van 1,7%. Het totaal aantal registraties in het RSR-bestand in 2011 is 179.000 tegenover 173.800 in 2010.44
2. Het aantal registraties per verzekeringstak
46. Het RSR-bestand heeft betrekking op de ganse BOAR-tak en niet alleen op speciale risico’s uit de motorrijtuigenverzekering. Zoals uit bovenstaande grafiek blijkt, is het natuurlijk wel zo dat de BA-motorrijtuigen iets meer dan de helft van de registraties vertegenwoordigt. De brandverzekering haalt een tweede plaats met bijna 33%.45 44 45
ESV DATASSUR, Jaarverslag 2011, www.datassur.be, 6 ESV DATASSUR, Jaarverslag 2011, www.datassur.be, 7
15
3. Het aantal registraties per registratiereden 100% 95%
opzegging na verzekeringsfraude
90% 85% 80%
opzegging na meerdere schadegevallen
75% 70%
65% 60% 2000
47.
2009
2010
2011
De registraties die het gevolg zijn van niet-betaling van de premie stijgen lichtjes over
de laatste drie jaren. In vergelijking met het jaar 2000 is er echter een stijging van 78% naar 93,5% in 2011. De registratie wegens de opzegging na meerdere schadegevallen daalt lichtjes naar 5,75% in 2011. In het jaar 2000 maakten deze registraties nog 18% uit van het totaal. Volgens Datassur vloeit dit voort uit de wijziging van de wetgeving inzake motorrijtuigen, die stelt dat een overeenkomst vóór de vervaldatum slechts nog kan worden opgezegd wanneer er minstens één schadegeval is waarbij de verzekerde in fout ging. Het aantal registraties wegens fraude is ook ontzettend gedaald in vergelijking met 2000. Toen maakten ze nog 4% uit van het totaal, terwijl dit in 2011 nog slechts 0,75% was. In 2010 werden 350 gevallen van verzekeringsfraude geregistreerd, in 2011 waren dit er 500. Dit is natuurlijk slechts het zichtbare gedeelte van de verzekeringsfraude.46
46
ESV DATASSUR, Jaarverslag 2011, www.datassur.be, 6; zie ook randnummer 33
16
4. Het aantal verzoeken om toegang en verbetering
48. Uit deze grafiek blijkt dat er in 2011 een stijging was van het aantal verzoeken tot toegang en verbetering ten opzichte van 2009 en 2010. Dit hangt natuurlijk samen met de stijging van het aantal registraties, zoals uit de vorige grafiek bleek. Toch zijn er slechts een klein aantal (265) verzoeken tot verbetering van de gegevens in vergelijking met het aantal verzoeken tot inzage van die gegevens (1201). Dit geringe aantal zou volgens Datassur te wijten zijn aan het feit dat meer dan 90% van de totale registraties het gevolg is van wanbetaling van de premie. Het niet-betalen van de premie is een objectief feit en is de “keuze” van de verzekeringsnemer. Dit kan dan ook moeilijk worden betwist.47
5. Het aantal klachten behandeld door de ombudsman
49. In 2011 werden 45 dossiers geopend met betrekking tot Datassur. Van die 45 waren er slechts 17 echte klachten, de rest waren eerder verzoeken om informatie. Er werd dan ook enkel verder over deze klachten onderhandeld. De klachten hebben betrekking op drie registratieredenen. De helft van de klachten, heeft betrekking op de registraties wegens niet47
ESV DATASSUR, Jaarverslag 2011, www.datassur.be, 7-8
17
betaling van de premie, de rest heeft betrekking op de registratie wegens opzegging na één of meerdere schadegevallen en registratie wegens fraude. Ongeveer 75% van de klachten hebben geleid tot een verbetering of annulering van de registratie. Datassur verzamelde 63.750 nieuwe registraties in 2011, dit zijn er 1.044 meer dan het jaar ervoor, terwijl de Ombudsman slechts 11 klachten meer ontving. Volgens de Ombudsman van de Verzekeringen heeft dit geringe aantal klachten te maken met de goede eerstelijnsbijstand van Datassur, die veel van de klachten zelf oplost.48
48
ESV DATASSUR, Jaarverslag 2011, www.datassur.be, 8-9; OMBUDSMAN VAN DE VERZEKERINGEN, Jaarverslag 2011, www.ombudsman.as, 12
18
Hoofdstuk 2: Het RSR-bestand en de Privacywetgeving
I.
DE VERWERKING VAN PERSOONSGEGEVENS AAN DE HAND VAN GEMEENSCHAPPELIJKE DATABANKEN
1. Zwarte lijsten in het algemeen 50. Op grond van artikel 29 van de Richtlijn 95/46EG werd de groep gegevensbescherming van personen in verband met de verwerking van persoonsgegevens opgericht.49 51. Deze groep definieert een zwarte lijst als volgt: “Een zwarte lijst bestaat in de verzameling en verspreiding van specifieke informatie over een specifieke groep van personen, die volgens specifieke criteria afhankelijk van de aard van de desbetreffende lijst is verzameld, en die meestal een negatieve en nadelige uitwerking heeft voor de personen op de lijst en een discriminatie van een groep mensen kan inhouden door hun toegang tot een bepaalde service te belemmeren of hun reputatie te beschadigen.”50 52. Artikel acht van het Europees verdrag tot bescherming van de mens en de fundamentele vrijheden verleent niet enkel een recht op bescherming van het privéleven, maar beschermt los daarvan ook elke persoon tegen de verwerking van hun persoonsgegevens. Europa voorziet namelijk in een bescherming tegen ‘de verwerking van elke informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.’51 Het Europees Hof voor de Rechten van de Mens geeft aan deze bepaling een extensieve interpretatie en stelt dat eenieder recht heeft op deze bescherming, ongeacht of de informatie al dan niet van private aard is.52 53. Vanuit dit wetgevend oogpunt werden de zogenaamde ‘zwarte lijsten’ reeds meerdere keren in vraag gesteld. Dergelijke lijsten kunnen zeer schadelijke gevolgen meebrengen voor de betrokken personen, zoals een uitsluiting van dienstverlening. De hedendaagse technologie, die zich steeds meer ontwikkelt, laat het toe om op eenvoudige wijze grote 49
Deze groep is het onafhankelijk adviesorgaan van de Europese Unie. Haar taken worden omschreven in art. 30 van de richtlijn en zijn raadgevend van aard. De groep bestaat uit een vertegenwoordiger van de door iedere lidstaat aangewezen toezichthoudende autoriteit(en), een vertegenwoordiger van de voor de communautaire instellingen en organen opgerichte autoriteit(en) en een vertegenwoordiger van de Commissie. 50 Groep gegevensbescherming artikel 29, werkdocument over zwarte lijsten, 3 oktober 2002, nr. 11118/02, http://eur-lex.europa.eu, 4 51 Artikel 2 Europees verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens van 28 januari 1981, goedgekeurd bij wet 17 juni 1991, BS 30 december 1993, 29023 52 EHRM, Amann v. Switzerland, 2000 en EHRM, Rotaru v. Romania, 2000
19
bestanden aan te leggen met enorme hoeveelheden informatie omtrent verschillende personen. Persoonsgegevens kunnen zonder veel moeite worden opgeslagen, doorgegeven en verwerkt.53 Het aantal zwarte lijsten is de laatste jaren dan ook in snel tempo toegenomen.54 54. De meest voorkomende zwarte lijsten, ook wel eens negatieve lijsten genoemd, zijn deze die betrekking hebben op de solvabiliteit of kredietwaardigheid van particulieren, deze waar wanbetalers in worden opgenomen en zwarte lijsten met betrekking tot fraudeurs. De opmaak van zo’n zwarte lijsten is vaak het gevolg van afspraken tussen verschillende ondernemingen, waarbij ze overeenkomen om welbepaalde gegevens over hun klanten samen te brengen en uit te wisselen. Het grote gevaar is hier dan ook dat de opname op zo’n lijst een negatieve invloed kan hebben op de handels- of dienstverleningsvoorwaarden van deze ondernemingen ten opzichte van de betrokken personen.55 55. Het RSR-bestand van Datassur valt ongetwijfeld onder de definitie van een zwarte lijst van de Groep Gegevensbescherming en is daarom ook al verschillende keren het voorwerp geweest van discussie over zijn toelaatbaarheid.
2. Zwarte lijsten: Een goede zaak? 56. Er moet een onderscheid gemaakt worden tussen interne zwarte lijsten en externe zwarte lijsten. Interne zwarte lijsten zijn bestanden waarin gegevens worden opgenomen die enkel door de beherende onderneming toegankelijk zijn. Externe zwarte lijsten daarentegen zijn bestanden die door meerdere personen of ondernemingen kunnen worden geconsulteerd. Dit kan gebeuren op het niveau van een gesloten groep van ondernemingen, een gehele sector of overheen verschillende sectoren.56 Externe zwarte lijsten liggen natuurlijk veel gevoeliger bij het publiek dan interne zwarte lijsten. Bij deze externe zwarte lijsten worden gegevens zichtbaar voor personen of ondernemingen die geen rechtstreekse band hebben met de in de lijst opgenomen personen. De controle op de verwerking, de doorgifte en het gebruik van de gegevens is bij externe lijsten al een heel stuk moeilijker. 57. Het RSR-bestand is een externe zwarte lijst die wordt georganiseerd op het niveau van een ganse sector, de verzekeringssector. Ze bestaat naast de eventuele interne zwarte lijsten
53
Groep gegevensbescherming artikel 29, werkdocument over zwarte lijsten, 3 oktober 2002, nr. 11118/02, http://eur-lex.europa.eu, 2 54 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Adviesaanvraag betreffende een omkadering van de zwarte lijsten, 15 juni 2005, nr. 09/2005, www.privacycommission.be, 5 55 Groep gegevensbescherming artikel 29, werkdocument over zwarte lijsten, 3 oktober 2002, nr. 11118/02, http://eur-lex.europa.eu, 3 56 C. BURTON en Y. POULLET, “À propos de l'avis de la Commission de la protection de la vie privée du 15 juin 2005 sur l'encadrement des listes noires”, R.D.T.I. 2005, 102-103
20
die door bepaalde verzekeringsmaatschappijen worden gehouden. Hierna wordt kort stil gestaan bij de voor- en nadelen die zo’n lijsten met zich mee kunnen brengen.
2.1
VOORDELEN VAN ZWARTE LIJSTEN
58. Het belangrijkste en meest gehoorde argument dat opstellers van zwarte lijsten naar voor brengen, is de noodzaak voor handelaars en ondernemingen om zich te beschermen tegen risicoklanten. Zij hebben er alle belang bij om de financiële situatie van hun contractspartij te kennen, vooraleer zij met hen een overeenkomst tot levering van goederen of diensten op afbetaling sluiten.57 Zeker in tijden van economische crisis, worden handelaars en ondernemingen steeds meer geconfronteerd met laattijdige betalingen en insolvente debiteurs. Hierdoor ontstaat de kans dat zij financiële verliezen lijden of zelf in liquiditeits- en solvabiliteitsproblemen terechtkomen. Zij willen zich hier tegen beschermen aan de hand van gemeenschappelijke bestanden waarin ze elkaar gaan waarschuwen voor wanbetalers. Dit is ook een probleem waar verzekeraars mee te kampen krijgen en die deels wordt opgelost door het RSR-bestand. 59. Niet enkel hardnekkige wanbetalers zijn problematisch voor het handelsverkeer, ook frauduleuze praktijken kunnen een negatieve invloed hebben op de aangeboden dienstverlening. Fraude is moeilijk op te sporen en nog moeilijker om tegen te gaan. Zwarte lijsten geven ondernemingen de mogelijkheid om gezamenlijk fraude te bestrijden en zo de bedrijfskosten hiervoor te reduceren.58 Zwarte lijsten kunnen ook een afschrikwekkend effect hebben. Dit is opnieuw het geval bij het RSR-bestand van Datassur. 60. De voorstanders van zwarte lijsten benadrukken op deze manier de bedrijfseconomische noodzaak van de lijsten, die een stabiliserende en regelende invloed zouden hebben op het handelsverkeer. Ook de Groep Gegevensbescherming is van oordeel dat het behoud en de stabiliteit van het financiële systeem rechtvaardigt dat informatie omtrent wanbetaling aan derde partijen wordt doorgegeven.59 M.i. is dit een zeer sterk argument. Zeker wanneer het gaat om onwillige debiteuren, zijn dienstverleners vaak aangewezen op het advies van derden om zich hiertegen te wapenen. Als zij zich teveel inlaten met fraudeurs of wanbetalers, dan komt hun eigen dienstverleningsactiviteit in het gedrang. Naar mijn mening kunnen die gemeenschappelijke bestanden een grote hulp zijn,
57
Groep gegevensbescherming artikel 29, werkdocument over zwarte lijsten, 3 oktober 2002, nr. 11118/02, http://eur-lex.europa.eu, 4 58 Groep gegevensbescherming artikel 29, werkdocument over zwarte lijsten, 3 oktober 2002, nr. 11118/02, http://eur-lex.europa.eu, 8 59 Groep gegevensbescherming artikel 29, werkdocument over zwarte lijsten, 3 oktober 2002, nr. 11118/02, http://eur-lex.europa.eu, 5
21
zolang ze worden opgemaakt en beheerd met respect voor de persoonlijke levenssfeer van de betrokken personen. 61. Een correcte risico-inschatting van klanten is daarnaast ook belangrijk voor de prijszetting. Bedrijven moeten de laagst mogelijke prijzen kunnen aanbieden om in concurrentie te kunnen treden met andere bedrijven.60 Indien een dienstverlener geen kennis heeft van het risico, zal dit in de prijs van zijn dienstverlening gaan incalculeren. Dit argument wordt ook teruggevonden in de doelstellingen van het RSR-bestand van Datassur. Deze gegevensuitwisseling tussen verzekeraars heeft onder meer tot doel er voor zorgen dat een correcte risico-inschatting mogelijk is waardoor de premies op een billijk niveau kunnen blijven.61 62. De vrijheid van onderneming en de vrijheid van handel zijn ook principes die wel eens worden opgeworpen ter verdediging van de wettigheid van zwarte lijsten. Op grond van deze principes zouden ondernemingen, binnen bepaalde grenzen, de vrijheid hebben om hun activiteiten naar hun eigen inzichten en behoeften te organiseren.62 M.i. kan de vrijheid van onderneming geen vrijgeleide zijn voor het opstellen van zwarte lijsten met persoonsgegevens van cliënten en de uitwisseling ervan met andere ondernemingen. De opname van personen in dergelijke bestanden is een inbreuk op hun persoonlijke levenssfeer en kan zeer nadelige gevolgen voor deze personen meebrengen. Ondernemingen kunnen immers uit die zwarte lijsten verstrekkende conclusies trekken, zoals het uitsluiten van dienstverlening. Voorstanders van de databanken reageren hier vaak op door te benadrukken dat de registratie op de lijst in principe louter aanwijzend is.63 Aan de dienstverleners wordt nog steeds de volledige vrijheid gegeven om zelf te beslissen om al dan niet een overeenkomst te sluiten met de geregistreerde persoon. Dit wordt ook geponeerd in het kader van het RSR-bestand64. M.i. klinkt dit theoretisch zeer aannemelijk, maar in de praktijk zal elke dienstverlener die de lijst heeft geconsulteerd, zijn beslissing tot het sluiten van een contract, bewust of onbewust, hierdoor laten beïnvloeden. Als een potentiële cliënt als wanbetaler op de lijst vermeldt staat, zal geen enkele handelaar staan springen om met deze persoon een contract te sluiten onder normale voorwaarden.
60
C. BURTON en Y. POULLET, “À propos de l'avis de la Commission de la protection de la vie privée du 15 juin 2005 sur l'encadrement des listes noires”, R.D.T.I. 2005, 105 61 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 272 62 C. BURTON en Y. POULLET, “À propos de l'avis de la Commission de la protection de la vie privée du 15 juin 2005 sur l'encadrement des listes noires”, R.D.T.I. 2005, 105-107 63 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Adviesaanvraag betreffende een omkadering van de zwarte lijsten, 15 juni 2005, nr. 09/2005, www.privacycommission.be, 11 64 www.datassur.be/pages/rsr_nl.html (consultatie 4 mei 2013)
22
2.2
NADELEN VAN ZWARTE LIJSTEN
63. Er zijn natuurlijk ook heel wat bezwaren tegen het opstellen van gemeenschappelijke zwarte lijsten. BURTON EN POULET65 benadrukken dat negatieve lijsten een zeer gevaarlijke situatie kunnen creëren wegens hun stigmatiserend effect. Door de opname in het bestand wordt een ganse categorie van de bevolking, die misschien moeilijkheden66 ondervindt in het leven, bestempeld als onbetrouwbaar. Op deze manier ontstaat een mogelijk risico voor sociaaleconomische uitsluiting van de geregistreerde personen.67 De registratie kan er voor zorgen dat de betrokken personen worden onthouden van de voordelen van alledaagse essentiële dienstverlening zoals transport, telecommunicatie, verzekeringen, enz.68 De zwarte lijsten worden opgemaakt om onderling consumenten, die omwille van bepaalde gedragingen of kenmerken niet gewenst zijn door bepaalde dienstverleners, te gaan signaleren. Ondernemingen zullen dus bij hun dienstverlening rekening houden met deze registraties. In het algemeen zullen geregistreerde personen een dienst slechts tegen minder goede voorwaarden kunnen krijgen of soms zelfs helemaal worden uitgesloten van de dienstverlening.69 De belangen van een welbepaalde categorie van personen worden op deze manier geschonden om een andere categorie van personen te kunnen beschermen, wat een ongerechtvaardigde discriminatie kan uitmaken.70 Het behoeft geen uitleg dat dit ook een probleem is in het geval van het RSR-bestand van Datassur. 64. De memorie van toelichting bij het wetsvoorstel houdende de omkadering van negatieve lijsten71 wijst ook op het negatieve stigmatiserend effect van bestanden die gebruikt worden om de solvabiliteit en betrouwbaarheid van consumenten te beoordelen. De beslissing of het product of de dienst zal geleverd worden en tegen welke voorwaarden, hangt af van de beoordeling van de registratie. De memorie van toelichting somt de volgende voorbeelden op om dit te verduidelijken. Een consument die nalaat een telefoonfactuur te betalen dreigt te worden gesignaleerd als wanbetaler en ondervindt als gevolg daarvan problemen om een nieuw contract te sluiten met een andere telecomoperator. Na een auto-ongeval riskeert men terecht te komen op een lijst van risico-chauffeurs, waardoor het vinden van een nieuwe verzekeraar soms onmogelijk wordt omdat je een “brokkenmaker” zou zijn. Hiermee wordt 65
C. BURTON en Y. POULLET, “À propos de l'avis de la Commission de la protection de la vie privée du 15 juin 2005 sur l'encadrement des listes noires”, R.D.T.I. 2005, 105-107 66 BURTON en POULET vermelden hierbij onder andere het verlies van werk, een zware ziekte, een verandering in het gezinsleven, enz. 67 C. BURTON en Y. POULLET, “À propos de l'avis de la Commission de la protection de la vie privée du 15 juin 2005 sur l'encadrement des listes noires”, R.D.T.I. 2005, 105-107 68 J. LAFFINEUR, “Listes noires ou décisions blanches?”, D.C.C.R. 2004, 6 69 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Adviesaanvraag betreffende een omkadering van de zwarte lijsten, 15 juni 2005, nr. 09/2005, www.privacycommission, 11 70 C. BURTON en Y. POULLET, “À propos de l'avis de la Commission de la protection de la vie privée du 15 juin 2005 sur l'encadrement des listes noires”, R.D.T.I. 2005, 105-107 71 Wetsvoorstel houdende de omkadering van negatieve lijsten, Parl. St.Kamer 2007-008, nr. 0754/001, 987; Hand. Kamer 2005-06, 27 juni 2006, 1-12
23
verwezen naar het RSR-bestand van Datassur. Een vaak voorkomende kritiek is dan ook dat er een risico bestaat van uitsluiting van een belangrijke categorie verzekerden die geen verzekeraar meer kunnen vinden tegen een redelijke prijs.72 65. Dit probleem van sociale uitsluiting is m.i. een zeer belangrijk argument tegen de opmaak van negatieve lijsten. Hoewel deze bestanden legitieme doelstellingen kunnen nastreven, zoals het bestrijden van fraude en wanbetaling, kunnen registraties aanleiding geven tot onevenredige gevolgen en discriminatie. Personen die op een bepaald ogenblik financiële problemen ondervinden mogen daar niet jarenlang mee geconfronteerd worden. Wanneer deze mensen worden uitgesloten van dienstverlening of enkel dienstverlening tegen slechte voorwaarden kunnen verkrijgen, komen zij terecht in een vicieuze cirkel. De Vertegenwoordigers van de Verbruikersorganisaties merken daarbij op dat de niet-betaling van een factuur niet altijd het gevolg moet zijn van een solvabiliteitsprobleem. Dit kan ook het gevolg zijn van een betwisting omtrent het te betalen bedrag of een uitoefening van de exceptio non adimpleti contractus. De opname op een negatieve lijst raakt in dergelijke gevallen aan het vermoeden van onschuld en zorgt ervoor dat deze personen ten onrechte als een ‘risico-cliënt’ worden aanzien.73 Dergelijke situaties moeten uiteraard vermeden worden. 66. Daarnaast zijn er nog heel wat andere problemen die kunnen rijzen wanneer zwarte lijsten op een onzorgvuldige wijze opgesteld en beheerd worden. De Commissie voor de Bescherming van de Persoonlijke Levenssfeer wijst op de moeilijkheid van een effectieve en daadwerkelijke controle op de kwaliteit van de gegevens. Door de grote omvang en complexiteit van vele bestanden is de kans op menselijke fouten veel groter en wordt controle op de juistheid van de gegevens veel moeilijker.74 Foute identificaties, de opname van subjectieve gegevens, de afwezigheid van aanpassing van de gegevens en de afwezigheid van kennisgeving aan de betrokkenen, zijn allemaal risico’s die vlugger voorkomen naarmate de bestanden groter worden.75 De afwezigheid van controle op de gegevens werd ook Datassur verweten. 67. Databanken moeten opgesteld worden met een welbepaalde legitieme finaliteit. Het gevaar bestaat hier dat de gegevens zouden gebruikt worden voor een andere dan de vooropgestelde doelstelling, wat principieel verboden is. Dit zou volledig ingaan tegen het rechtmatig vertrouwen en de geoorloofde verwachtingen van verzekeringsnemers bij het
72
O.a. door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Test-Aankoop en de vertegenwoordigers van de verbruikersorganisaties 73 Raad voor Verbruik, Advies over een voorontwerp van wet betreffende de omkadering van de negatieve lijsten, 27 september 2006, www.stradalex.be, 7 74 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Adviesaanvraag betreffende een omkadering van de zwarte lijsten, 15 juni 2005, nr. 09/2005, www.privacycommission.be, 11 75 J. LAFFINEUR, “Listes noires ou décisions blanches?”, D.C.C.R. 2004, 6
24
sluiten van het verzekeringscontract.76 Bijvoorbeeld zou de verzekeraar de gegevens van de RSR-databank kunnen gebruiken voor marketingdoeleinden of om druk te zetten op zijn verzekeringsnemer.
2.3
BESLUIT
68. Het is duidelijk dat zwarte lijsten heel wat voordelen opleveren voor de gebruikers ervan, maar het doel heiligt niet de middelen. Er moet worden voorkomen dat privépersonen zomaar persoonsgegevens kunnen verwerken, zonder enige controle of waarborg voor de bescherming van het privéleven van de betrokkene. Er zijn reeds stemmen opgegaan om zwarte lijsten volledig af te schaffen77 of toch minstens om in een aparte regulering te voorzien. Die wetgeving zou zwarte lijsten moeten omkaderen om zo de nodige garanties te bieden voor de betrokkenen. Het wetsvoorstel van 31 januari 2008, hernomen op 10 september 2009, is echter nooit aangenomen, waardoor zwarte lijsten nog steeds uitsluitend aan de wet op de bescherming van de persoonlijke levenssfeer zijn onderworpen. 69. De hierboven opgesomde nadelen en kritische bedenkingen met betrekking tot zwarte lijsten zijn ook van toepassing op het RSR-bestand van Datassur. Om die redenen zal het bestand in het volgende deel afgetoetst worden aan de privacywetgeving.
76
B. DUBUISSON, “Secrets, mensonges et confidences”, Rev. dr. U.L.B. 2000, 356-357; Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Adviesaanvraag betreffende een omkadering van de zwarte lijsten, 15 juni 2005, nr. 09/2005, www.privacycommission.be, 11 77 Wetsvoorstel tot wijziging van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens inzake de algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens, Parl. St. Kamer 2004-2005, nr. 1693/001, 13
25
II.
OVEREENSTEMMING MET DE WET VAN 1992 TOT BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER
1. Toepassingsgebied van de wet 70. Het Europees Parlement en de Raad hebben op 24 oktober 1995 de richtlijn 95/46EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens uitgevaardigd. Alle lidstaten kregen drie jaar de tijd om deze richtlijn in nationaal recht om te zetten. 71. In België werd de richtlijn omgezet door de wet van 11 december 199878 die de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens79 aanpaste. 72. Het toepassingsgebied van de wet werd aangepast door artikel vier van de wet van 11 december 1998 zodat deze nu volledig identiek is aan die van de richtlijn. Artikel 3§1 van de wet verwerking persoonsgegevens bepaalt: Deze wet is van toepassing op elke geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op elke niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 73. Een verwerking is geautomatiseerd als de gegevens op een automatisch toegankelijke drager beschikbaar zijn waarmee bewerkingen kunnen worden uitgevoerd, zonder dat er enige menselijke tussenkomst nodig is.80 De opname van gegevens in het RSR-bestand is duidelijk een geautomatiseerde verwerking, waardoor alle wetsbepalingen zonder onderscheid daarop van toepassing zijn. 74. De gegevens zelf die worden opgenomen in het RSR-bestand zijn persoonsgegevens zoals bedoeld in artikel 1§1 van de wet, aangezien het bestand bestaat uit informatie over geïdentificeerde natuurlijke personen.
78
Wet 11 december 1998 tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, BS 3 februari 1999, 3049 79 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993, 5801; hierna: wet verwerking persoonsgegevens 80 D. DE BOT, “Art. 3 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 2
26
75. Dit artikel geeft meteen ook het personeel toepassingsgebied van de wet aan. De hoedanigheid van diegene die de gegevens verwerkt is van geen enkel belang, het kan zowel een natuurlijke persoon, een rechtspersoon als een vereniging zijn. 76. Het territoriaal toepassingsgebied wordt bepaald door artikel 3bis van de wet verwerking persoonsgegevens: Deze wet is van toepassing: 1° op de verwerking van persoonsgegevens die wordt verricht in het kader van de effectieve en daadwerkelijke activiteiten van een vaste vestiging van de verantwoordelijke voor de verwerking op het Belgisch grondgebied of op een plaats waar de Belgische wet uit hoofde van het internationaal publiekrecht van toepassing is. 77. De verwerking van persoonsgegevens van verzekerden in het RSR-bestand van Datassur moet aldus voldoen aan alle voorwaarden die de wet verwerking persoonsgegevens voorschrijft.
2. De verantwoordelijke voor de verwerking 78. Overeenkomstig artikel 1§4 van de wet verwerking persoonsgegevens moet onder de verantwoordelijke voor de verwerking worden verstaan: “de natuurlijke persoon of rechtspersoon, de feitelijke vereniging of het openbaar bestuur die alleen of samen met anderen het doel en de middelen voor de verwerking van de gegevens bepaalt.” 79. Aan de verantwoordelijke voor de verwerking worden verschillende verplichtingen opgelegd door de wet verwerking persoonsgegevens. Het is dus belangrijk dat duidelijk is wie deze verantwoordelijkheid op zich neemt. De verantwoordelijke voor de verwerking van de RSR-databank is het ESV Datassur zelf.81 Het doel van het bestand en de middelen voor de verwerking van de gegevens werden opgesteld door het bestuur van Datassur, die daartoe gemachtigd was door de algemene vergadering van de leden.82 De verantwoordelijke voor de verwerking moet niet enkel de doelstellingen vastleggen, de wet verwerking persoonsgegevens schrijft ook nog andere verplichtingen voor die op de verantwoordelijke rusten. 80. Het artikel 4§2 van de wet legt de verantwoordelijke de verplichting op om zorg te dragen voor de naleving van het finaliteitsbeginsel en het proportionaliteitsbeginsel. Datassur 81
Artikel drie van het regelement van inwendige orde ‘Dienst Bestanden’ D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 270-271 82
27
moet er voor zorgen dat de verwerking van de gegevens gebeurt overeenkomstig de vooropgestelde doelstellingen en dat deze verwerking niet verder gaat dan wat noodzakelijk is voor het bereiken van die doelen. De controle op de actualiteit, nauwkeurigheid en volledigheid van de persoonsgegevens valt ook onder de verantwoordelijkheid van Datassur. 81. Een andere verplichting van de verantwoordelijke voor de verwerking is de betrokken persoon informeren overeenkomstig artikel negen van de wet verwerking persoonsgegevens. Bij het verzamelen van de gegevens is het aan de verzekeraar om zijn verzekeringsnemer mee te delen dat zijn gegevens kunnen meegedeeld worden aan de Dienst Bestanden van Datassur om te worden opgenomen in de RSR-databank. Het is daarentegen aan Datassur zelf om bij de eerste registratie de betrokkene van deze registratie kennis te geven. Een andere belangrijke taak is het verzekeren aan de betrokkene van een recht op toegang en inzage van de op hem betrekking hebbende gegevens. Daarbij moet de geregistreerde persoon ook de mogelijkheid geven worden om onjuiste gegevens kosteloos te laten verbeteren.83 Een laatste belangrijke verplichting voor Datassur, als verantwoordelijke voor de verwerking, is omschreven in artikel zeventien van de wet. Datassur moet, vooraleer wordt overgegaan tot geautomatiseerde verwerking van de persoonsgegevens, aangifte doen van deze verwerking bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. 82. Dat de benoeming als verantwoordelijke voor de verwerking een grote verantwoordelijkheid met zich meebrengt, uit zich in het artikel 15bis van de wet verwerking persoonsgegevens. Dit artikel bepaalt dat de verantwoordelijke voor de verwerking aansprakelijk is voor alle schade die voortvloeit uit een handeling die in strijd is met de bij of krachtens deze wet bepaalde voorschriften. Dit betekent dat indien Datassur bijvoorbeeld een verwerking doorvoert in strijd met het finaliteitsbeginsel of een recht op toegang van de betrokkene miskent, zij daarvoor aansprakelijk kan worden gesteld en moet instaan voor de schade die de betrokkene daardoor heeft geleden.
3. Eerlijke en rechtmatige verwerking 83. De wet verwerking persoonsgegevens schrijft in artikel 4§1, 1° voor dat de gegevensverwerking eerlijk en rechtmatig moet gebeuren. De eerlijke verwerking verwijst naar het transparantiebeginsel. De verantwoordelijke voor de verwerking moet ervoor zorgen dat de transparantievoorwaarde in elk stadium van de verwerking wordt gerespecteerd. Eerst en vooral moeten persoonsgegevens op een eerlijke wijze worden verkregen. De betrokkene moet weten dat zijn gegevens in een databank kunnen worden opgenomen.84 Verder uit het 83
Artikel 10 en 12 van de wet verwerking persoonsgegevens D. DE BOT, “Art. 4 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 1-2 84
28
transparantiebeginsel zich in de verschillende informatieverplichtingen die de wet oplegt. Een eerlijke verwerking vereist dat de betrokkene geïnformeerd wordt over de bestemming van zijn gegevens, de doeleinden van de verwerking, de identiteit van de verantwoordelijke van de verwerking en van de personen die inzage hebben in de gegevens, enz.85 84. Het principe van rechtmatige verwerking houdt in dat alle wettelijke en reglementaire bepalingen moeten worden nageleefd bij de verzameling en verwerking van persoonsgegevens. Hoofdstuk twee van de wet heeft als titel ‘Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens’. Dit zou de indruk kunnen wekken dat elke verwerking rechtmatig is als ze voldoet aan de artikelen vier tot en met acht van de wet. De verwerking moet uiteraard aan deze voorwaarden voldoen, maar het is niet voldoende om rechtmatig te zijn. Alle bepalingen van de wet, dus ook uit de andere hoofdstukken, moeten hiervoor worden nageleefd. Zowel het finaliteitsbeginsel, als de kwalitatieve vereisten voor de gegevens, het verwerkingsverbod van gevoelige gegevens, de transparantie- en informatieverplichtingen en de regels inzake de uitvoer van persoonsgegevens naar landen buiten de Europese Gemeenschap, moeten worden gerespecteerd.86 Het rechtmatig karakter van de verwerking gaat zelfs nog verder. Niet alleen moet de verwerking aan alle hierboven opgesomde bepalingen van de wet verwerking persoonsgegevens voldoen, maar de verwerking moet ook in overeenstemming zijn met alle andere normen, wetten en algemene beginselen van het recht.87 85. De vraag of de verwerking van persoonsgegeven door Datassur eerlijk en rechtmatig is wordt in de volgende delen onderzocht.
85
D. DE BOT, “Art. 4 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 1-2 86 D. DE BOT, “De gevolgen van de wet van 11 december 1998 voor de verwerking van persoonsgegevens in het algemeen en voor het notariaat in het bijzonder”, Not. Fisc. M. 2000, 40 87 J. DHONT, “Le traitement des données à caractère personnel dans les secteur d’assurances. La légalité des banques de données”, Rev. dr. U.L.B. 2000, 296; G. REMY, “Bescherming van het privéleven: internet en elektronische briefwisseling”, T.Verz. 2003, 174; F. HENDRICKX, “Gegevensbescherming en het nieuwe Uitvoeringsbesluit van de Wet van 8 december 1992: enkele aandachtspunten voor het personeelsbeleid”, Or. 2001, 191
29
4. Het finaliteitsbeginsel 86. Het finaliteitsbeginsel staat omschreven in artikel 4§1, 2° van de wet verwerking persoonsgegevens: “Persoonsgegevens dienen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden.” 87. Het finaliteitsbeginsel vormt het basisprincipe van vrijwel alle wetgeving inzake bescherming van de persoonlijke levenssfeer. De wet houdt op zich geen verbod in van verwerking van persoonsgegevens, maar om het grote gevaar voor de schending van de vrijheden van de betrokkenen te voorkomen, moet het finaliteitsbeginsel worden gerespecteerd.88 In de rechtsleer wordt dit beginsel opgesplitst in drie verschillende componenten:89
Het beginsel van de vaststelling van de doeleinden
Het wettigheidsbeginsel
Het beginsel van verenigbaar gebruik
4.1
HET BEGINSEL VAN DE VASTSTELLING VAN DE DOELEINDEN
88. Eerst en vooral moeten persoonsgegevens worden verkregen voor welbepaalde en uitdrukkelijk omschreven doeleinden, ongeacht de wijze waarop ze worden verkregen. Uit artikel 9§1 van de wet verwerking persoonsgegevens volgt dat deze doeleinden moeten worden vastgesteld vooraleer de gegevens worden verkregen. Het artikel legt immers de verplichting op om de betrokkene ‘uiterlijk op het moment dat de gegevens worden verkregen’ in kennis te stellen van de doeleinden van de verwerking. 89. De doeleinden moeten duidelijk, precies, nauwkeurig en ondubbelzinnig worden omschreven. De gegevens mogen niet voor andere doeleinden worden gebruikt dan deze die oorspronkelijk werden vooropgesteld, wat betekent dat de opsomming van de doelstellingen limitatief moet zijn. Een goede en duidelijke omschrijving is nodig om een adequate controle op het gebruik van de gegevens voor de vooropgestelde doeleinden mogelijk te maken. Te 88
S. GUTWIRTH, “De toepassing van het finaliteitsbeginsel van de privacywet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens”, TPR 1993, 1440-1441; M.H. BOULANGER, C. DE TERWAGNE en T. LEONARD, “La protection de la vie privée à l’égard du traitement de donées à caractère personnel. La loi du 8 décembre 1992 ”, J.T. 1993, 377-378 89 D. DE BOT, “Art. 4 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 2
30
vage en algemene formuleringen geven een te grote vrijheid aan de houder van het bestand inzake het gebruik, de verwerking en de verspreiding van de gegevens. Een schending van de wet zou in dat geval eenvoudiger kunnen plaatsvinden, bijvoorbeeld wegens het overmatig karakter van de gegevens of omdat de gevraagde gegevens niet ter zake dienend zijn. Dit zou ook nefast zijn voor het rechtmatig vertrouwen van de betrokkenen. Dit principe mag natuurlijk ook niet te streng worden opgevat. Als men de verplichting zou opleggen om de doeleinden te concreet en te gedetailleerd te omschrijven, dan zou dit voor de houder van het bestand zeer moeilijk werken worden. Verwerkingen in strijd met de vooropgestelde doelstellingen is immers verboden. Bij de minste afwijking zal de omschrijving van de doelstellingen moeten worden aangepast en zal van deze wijziging voorafgaand een kennisgeving moeten gebeuren. Er moet dus een evenwicht gevonden worden tussen een omschrijving die voldoende concreet is om een controle op de naleving van het finaliteitsprincipe mogelijk te maken en een omschrijving die ervoor zorgt dat de beheerders toch ook een beetje speelruimte hebben.90 90. Deze vereiste vormt geen probleem bij het RSR-bestand. De doelstelling van het RSRbestand staat vermeld in artikel twee van de RSR-overeenkomst en wordt als volgt geformuleerd: “onderling de speciale risico’s op het gebied van brand, ongevallen en diverse risico’s melden, hetgeen op termijn tot gevolg heeft dat de risico’s voor iedereen op een billijk niveau kunnen blijven. De speciale risico’s zijn op relatieve wijze gedefinieerd aan de hand van de registratieredenen die in de overeenkomst zijn opgenomen. Het gaat om opgezegde risico’s, geweigerde risico’s en verzwaarde risico’s, alsook de bijzondere risico’s motorrijtuigen waarbij het bewezen is dat ze voldoende relevant zijn om te signaleren aan andere verzekeringsmaatschappijen. Deze gegevens worden beheerd door het bestandssysteem van het ESV Datassur met behulp van automatische verwerking.”91 91.
Deze formulering is duidelijk, precies en nauwkeurig. De inhoud van de verschillende
speciale risico’s worden verder in de RSR-overeenkomst verduidelijkt.92 92. In het verleden werd reeds meerdere keren gepoogd om een wet tot omkadering van negatieve lijsten in te voeren. In dit kader kan een opmerking worden gemaakt bij één van de speciale risico’s, met name de categorie van verzwaarde risico’s. Dit is de registratie die gebeurt wanneer de verzekeringsmaatschappij verzekeringsfraude kan aantonen en op grond daarvan maatregelen neemt. De Commissie tot Bescherming van de Persoonlijke Levenssfeer 90
E. MEYSMANS, “Gevolgen voor de banksector van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens” in Bescherming van de persoonlijke levenssfeer. De wet van 8 december 1992 met betrekking tot de verwerking van persoonsgegevens. Gevolgen voor de banken, Belgische Vereniging van Banken, 1993, 11 91 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 270 92 Zie ook randnummers 27-33
31
heeft verschillende adviezen uitgebracht naar aanleiding van deze wetsvoorstellen. In haar eerste advies in 200593 stelt de Commissie duidelijk dat het begrip ‘fraude’ zou moeten worden verboden, minstens geconcretiseerd, omdat het te subjectief is en op die manier willekeurig zou kunnen worden ingevuld. De Commissie herhaalt dit een tweede keer in een volgend advies in 2006.94 Daarentegen vermeldt het wetsvoorstel tot omkadering van negatieve lijsten95 een paar voorbeelden van mogelijke doelstellingen, waaronder fraude al dusdanig. Hoewel deze wet er nooit is doorgekomen, mogen we er dus van uitgaan dat fraude op zich een voldoende duidelijke omschrijving is die voldoet aan de wet verwerking persoonsgegevens.
4.2
HET WETTIGHEIDSBEGINSEL
93. Het wettigheidsbeginsel houdt in dat persoonsgegevens moeten worden verkregen en verwerkt voor gerechtvaardigde doeleinden. Artikel twee van de wet verwerking persoonsgegevens herhaalt het fundamenteel recht op eerbiediging van het privéleven van artikel acht van het Europees verdrag tot bescherming van de rechten van de mens. Dit artikel geeft aan iedere natuurlijke persoon, in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, het recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op bescherming van zijn persoonlijke levenssfeer. Als er dus een inbreuk wordt gemaakt op dit fundamenteel recht van de betrokkene, dan kan dat niet gebeuren zonder wettige of gerechtvaardigde reden.96 94. Art. 4§1, 2° van de wet verwerking persoonsgegevens geeft zelf niet aan volgens welke criteria de wettigheid moet worden beoordeeld. Daarom moet worden gekeken naar artikel vijf van de wet, die het wettigheidsbeginsel concretiseert: “Persoonsgegevens mogen slechts verwerkt worden in één van de volgende gevallen: […] f) Wanneer de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigd belang van de verantwoordelijke voor de verwerking of van de derden aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen.”
93
Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Adviesaanvraag betreffende een omkadering van de zwarte lijsten, 15 juni 2005, nr. 09/2005, www.privacycommission.be, 9-10 94 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies betreffende het voorontwerp van wet betreffende de omkadering van de negatieve lijsten, 12 juli 2006, nr. 23/2006, www.privacycommission.be, 3 95 Wetsvoorstel houdende de omkadering van negatieve lijsten, Parl. St .Kamer 2007-008, nr. 0754/001, 987 96 D. DE BOT, “Art. 4 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 3
32
95. De wettigheid van het RSR-bestand moet worden gezocht onder puntje f). Het is zeer belangrijk dat een goed evenwicht wordt gevonden tussen het recht van de betrokkene op de bescherming van zijn privéleven en het maatschappelijk belang van de gegevensverwerking voor de ondernemingen.97 Een doelstelling die de belangen van de betrokkene schendt, zonder dat dit gebaseerd is op een hoger belang, is onwettig. De wettigheid van de vooropgestelde doelsteleinden wordt beoordeeld en gecontroleerd door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer en de rechter.98
i.
De belangen van de verzekeringsmaatschappijen
96. De opname van persoonsgegevens in het RSR-bestand heeft tot doel ‘onderling de speciale risico’s melden, zodat het premieniveau voor de verzekerden op een billijk niveau zou kunnen blijven.’ 97. Zoals reeds werd aangegeven is het belangrijk voor de verzekeraar dat hij bij het sluiten van een verzekeringsovereenkomst een correcte inschatting van het risico kan maken. Die juiste risicoberekening is noodzakelijk voor het bepalen van de premie die de verzekeringsnemer verschuldigd is. De verzekeraar moet er namelijk voor kunnen zorgen dat de premie hoog genoeg is om zijn toekomstige verplichtingen te kunnen nakomen. Hij is daarvoor echter volledig toegewezen op de gegevens die de verzekeringsnemer hem meedeelt.99 De verzekeringsnemer kan gemakkelijk bepaalde gegevens verzwijgen, ze wat verbloemen of zelfs gewoon volledig foutieve informatie doorgeven. De verzekeraar heeft hiertoe weinig verweer, omdat hij geen controle kan uitoefenen op de volledigheid en juistheid van de verkregen gegevens. 98. Vanaf het ogenblik dat de verzekeraar twijfels heeft omtrent de betrouwbaarheid van de informatie, zal hij dit risico in de premies gaan incalculeren. Dit heeft tot gevolg dat het bedrag van de premies stijgt en de zogenaamde ‘goede risico’s’ hier de dupe van worden. Zij zullen een hogere premie moeten betalen dan wat nodig is om hun risico te dekken.100 De enige mogelijkheid die de verzekeraar heeft, is de verzekeringsovereenkomst laten nietig verklaren. Hij kan dit doen wanneer het opzettelijk verzwijgen of het opzettelijk onjuist meedelen van gegevens over het risico, hem misleidt bij de beoordeling van dat risico. De premies die vervallen zijn tot op het ogenblik waarop de verzekeraar kennis heeft gekregen 97
D. DE BOT, “Art. 4 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 3 98 C. DE TERWAGNE en T. LEONARD, “La protection de la vie privée à l’égard du traitement de données à caractère personnel. La loi du 8 décembre 1992”, J.T. 1993, 377 99 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 268 100 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 273-274
33
van het opzettelijk verzwijgen of opzettelijk onjuist meedelen van gegevens, komen toe aan de verzekeraar.101 Deze oplossing kan enkel worden gebruikt tegen de verzekeringsnemer die de verzekeraar heeft misleid, maar kan geen oplossing bieden voor de goede risico’s die hun premie zien stijgen door deze slechte risico’s. 99. Het RSR-bestand zou een oplossing moeten bieden voor dit probleem. Verzekeringsmaatschappijen die lid zijn van Datassur kunnen, vóór het sluiten van een verzekeringsovereenkomst met een nieuwe verzekeringsnemer, de databank raadplegen. Hierdoor krijgen ze de mogelijkheid om de gegevens die door de kandidaatverzekeringsnemer werden meegedeeld, te toetsen aan de gegevens die eventueel in het bestand zijn opgenomen.102 In de praktijk zal de kandidaat-verzekeringsnemer voor het sluiten van de polis een vragenlijst moeten invullen waarbij hij welbepaalde gegevens moet meedelen. Wanneer de verzekeringsnemer daarbij verklaart nog nooit een ongeval met aansprakelijkheid te hebben veroorzaakt, kan de verzekeraar het RSR-bestand raadplegen om dit te verifiëren. Indien daaruit blijkt dat het vorig verzekeringscontract van de betrokkene werd opgezegd wegens drie ongevallen met aansprakelijkheid, dan weet de verzekeraar dat de kandidaat-verzekeringsnemer heeft gelogen. Hij zal zijn risicoberekening dus moeten aanpassen. De verzekeraar kan de premie verhogen, andere voorwaarden opleggen of zelfs weigeren om een contract te sluiten met de betrokkene. 100. Door deze gegevensuitwisseling kunnen verzekeraars een objectieve risicoanalyse doorvoeren die aangepast is aan de persoon van de verzekeringsnemer en moeten ze geen algemeen verhoogd tarief aanhouden, ongeacht het risico. De verzekeringsmaatschappijen argumenteren dan ook dat het niet enkel in hun eigen belang is dat het RSR-bestand bestaat, maar ook in het algemeen belang van alle verzekeringsnemers die kunnen worden bestempeld als ‘goede huisvaders’.103 101. Verzekeringsmaatschappijen hebben uiteraard ook individuele belangen bij de registraties. Ze willen er namelijk ook wanbetaling, niet-betaling van franchise en fraude mee bestrijden. Op die manier kunnen ze optimaal hun verzekeringsactiviteit uitoefenen.
101
Artikel 6 wet 25 juni 1992 op de landverzekeringsovereenkomst, BS 20 augustus 1992, 18283 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 280-281 103 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 274 102
34
ii.
Belangen van de geregistreerde personen
102. De Commissie voor de Bescherming van de Persoonlijke Levenssfeer heeft op 28 juni 2000 een advies uit eigen beweging over het RSR-bestand uitgebracht104, waarin ze heel wat kritiek had op de databank. De Commissie concludeerde zelfs dat de minister van Economische Zaken ofwel een wettelijk kader moest voorzien voor het bestand ofwel het volledig moest verbieden. Hun grootste kritiek en bezorgdheid lag bij het feit dat verzekeraars besluiten kunnen trekken uit de registratie, die zware gevolgen kunnen hebben voor deze personen. Het zou voor hen zeer moeilijk, of zelfs onmogelijk, zijn om nog een verzekering te verkrijgen aan een redelijke en billijke premie en/of voorwaarden. Het verkrijgen van een verzekering is nochtans van groot belang en is in bepaalde gevallen zelfs wettelijk verplicht.105 Het feit dat bijna elke verzekeringsmaatschappij in de BOAR-tak toegang heeft tot het RSR-bestand, zorgt er voor dat dit probleem zeer realistisch en uiteraard ook veel problematischer wordt. De Commissie is van oordeel dat de doelstelling ook gewoon kan worden bereikt aan de hand van het bonus-malus systeem en segmentering, waardoor de databank verder gaat dan wat noodzakelijk is. Een laatste opmerking werd gemaakt ten aanzien van de registratie wegens fraude. De Commissie meent dat het werken met vermoedens, waarbij de verzekerde niet de mogelijkheid heeft gehad om zich daartegen te verdedigen, niet in overeenstemming is met het wettigheidsbeginsel. 103. De Commissie haalt daarmee een zeer belangrijk punt aan in de discussie over de wettigheid van het RSR-bestand. Er bestaat immers een zeer reële kans dat verzekeringsmaatschappijen de betrokkene gaan weigeren of tegen slechte voorwaarden gaan verzekeren, na raadpleging van de databank. Twee verzwarende elementen daarbij zijn het grote belang van de verzekeringsdienstverlening en het feit dat praktische elke verzekeringsmaatschappij het bestand raadpleegt.106 Een verzekerde wiens contract werd opgezegd, heeft er alle belang bij om opnieuw een verzekeringsovereenkomst te kunnen sluiten en dit uiteraard liefst tegen normale voorwaarden en premies. Het valt niet te ontkennen dat de vermelding in de RSR-databank een negatieve connotatie heeft. Door de registratie wordt de betrokkene gezien als een ‘slecht risico’ waarvoor de verzekeringsmaatschappijen moeten opletten. Datassur wijst er nochtans duidelijk op dat verzekeraars, bij het aangaan van een nieuw verzekeringscontract of bij het beheer van een bestaand contract, niet zomaar een beslissing mogen nemen louter op grond van de 104
Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be 105 Bijvoorbeeld de verplichte aansprakelijkheidsverzekering inzake motorrijtuigen 106 A.F. ROMMELSE, Zwarte lijsten, belangen en effecten van waarschuwingssystemen, 1995, http://www.cbpweb.nl/downloads_av/av04.pdf, 16
35
registratie.107 Theoretisch klinkt dit uiteraard logisch, maar het is m.i. niet onwaarschijnlijk dat dit toch voorkomt. Stel bijvoorbeeld dat een kandidaat-verzekeringsnemer in het RSRbestand geregistreerd staat wegens opzegging van de polis door niet-betaling van een premie van € 1000. Ik denk dat niet veel verzekeringsmaatschappijen happig zullen zijn om deze persoon te gaan verzekeren. Het kan nochtans voor die persoon belangrijk zijn om een verzekering te verkrijgen, zeker in die gevallen waar een verzekering verplicht wordt gesteld. De registratie kan voor deze persoon dus zeer ernstige gevolgen met zich mee brengen. 104.
Er moet uiteraard wel een onderscheid gemaakt worden tussen de verschillende
registratieredenen. Verzekerden kunnen in de databank worden geregistreerd naar aanleiding van de opzegging van het verzekeringscontract wegens één of meerde schadegevallen, al dan niet met aansprakelijkheid. Vooral de registratie zonder aansprakelijkheid doet veel stof opwaaien, onder andere door de Commissie en door Test-Aankoop.108 Deze mening wordt ook gedeeld door DHONT, die er op wijst dat het loutere feit dat de verzekeringsnemer betrokken is geweest bij een schadegeval al bepalend is voor de verzekeraar bij het opstellen van de contractvoorwaarden. Niettemin is hij van mening dat de registratie zonder aansprakelijkheid disproportioneel is, omdat de vrijheid om te contracteren van de verzekeringsnemer hierdoor wordt beknot. Het gaat volgens hem verder dan wat noodzakelijk is om het doel, het personaliseren van de premie, te bereiken. Het bonus-malus systeem en segmentatie volstaan daartoe.109 105. Ik ben echter van mening dat in deze gevallen de weigering of verhoogde premie niet het gevolg is van de registratie op zich. Bij het sluiten van een verzekeringscontract is de verzekeringsnemer hoe dan ook verplicht om, alle hem bekende omstandigheden die hij redelijkerwijs moet beschouwen als gegevens die van invloed kunnen zijn op de beoordeling van het risico, nauwkeurig mee te delen.110 In de praktijk gebeurt dit bijna altijd aan de hand van een vragenlijst die door de kandidaat-verzekeringsnemer moet worden ingevuld. Om het risico correct te kunnen inschatten zal elke verzekeraar vragen naar de schadehistorie van de verzekeringsnemer, ongeacht zijn aansprakelijkheid. De verzekeringsnemer moet deze informatie dus hoe dan ook aan de verzekeraar meedelen. Deze laatste kan dan de aan hem meegedeelde gegevens via de databank gaan controleren op hun waarheid. Als de verzekeraar weigert om te contracteren of een verzekering aan slechte voorwaarden aanbiedt, dan ligt dat niet aan de registratie, maar aan de schadehistoriek die hem werd meegedeeld en nadien werd bevestigd door de databank. Het schadeverleden is trouwens ook niet het enige criterium 107
D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 280-281 108 J.-P. COTEUR en P. LOUYET, “Stop de willekeur tegenover verzekerden”, Budget en recht 2000, 40-42 109 J. DHONT, “Le traitement des données à caractère personnel dans les secteur d’assurances. La légalité des banques de données”, Rev. dr. U.L.B. 2000, 325 110 Artikel 5 wet op de landverzekeringsovereenkomst
36
waarmee rekening wordt gehouden. Bij een WAM-verzekering bijvoorbeeld wordt ook rekening gehouden met de leeftijd, de woonplaats, het type voertuig, enz. De schadehistoriek is natuurlijk wel één van de belangrijkste criteria. 106. Het ligt dan weer anders bij de registratie wegens niet-betaling van de premie en/of franchise. De informatie die de kandidaat-verzekeringsnemer verplicht moet meedelen is informatie die van invloed kan zijn op de beoordeling van het risico. Het gaat hier om het risico dat de verzekerde situatie zich voordoet. Dat de verzekeringsnemer met financiële problemen kampt, waardoor zijn vorige polis werd opgezegd, heeft strikt genomen niets te maken met het verzekerde risico.111 De meeste kandidaat-verzekeringsnemers zullen dit dan ook niet gaan meedelen aan de verzekeraar. Het Hof van Cassatie heeft zich hierover moeten uitspreken in het kader van een brandverzekering. De verzekeringsnemer had bij het sluiten van de verzekering niet vermeld dat zijn vennootschap financiële problemen had. De verzekeraar verweet de verzekerde hiervoor een tekortkoming aan zijn spontane mededelingsplicht. Het Hof van Cassatie was het daar niet mee eens. Het Hof stelde dat gelet op het feit dat de verzekeraar hierover niets heeft gevraagd aan de verzekerde, deze laatste redelijkerwijze niet moest weten dat dit belangrijk was voor het inschatten van het risico. Indien de verzekeraar dit wel relevant acht, dan moet hij zelf het initiatief nemen om er kennis van te krijgen.112 Dit is strenge rechtspraak voor de verzekeringsmaatschappijen, maar bevestigt wel dat de slechte financiële situatie van de verzekerde niet spontaan moet worden meegedeeld. Het is nochtans wel van belang voor de verzekeraar om daarvan op de hoogte te zijn, want anders loopt hij het risico om niet te worden betaald en dus om financiële verliezen te lijden. De RSR-databank stelt hem hiervan in kennis. De databank dient in dit geval dus niet om de gegevens te verifiëren zoals Datassur voorhoudt.113 De verzekeraar zal hierdoor wel geen polis aanbieden aan een hogere premie114, maar hij kan wel slechtere voorwaarden bedingen of sneller overgaan tot beëindiging van de overeenkomst bij wanbetaling. In het slechtste geval kan hij weigeren om de betrokkene opnieuw te verzekeren. Het is nochtans wel van belang, niet enkel voor de betrokkene zelf maar ook voor derden, dat deze persoon een nieuwe verzekering vindt, zeker voor de verplichte verzekeringen. Indien in dit geval een verzekeringsnemer wordt geweigerd, zou de registratie wel eens het doorslaggevend element kunnen zijn geweest bij de beslissing. Deze weigering kan zware gevolgen meebrengen voor de betrokkene en zijn financiële situatie misschien nog verslechteren. De verzekeraar zou de kandidaat-verzekeringsnemer wel de mogelijkheid kunnen bieden om zijn standpunt daaromtrent uiteen te zetten en de toekomstperspectieven en eventuele mogelijkheden met
111
Zie ook verder bij randnummer 147 Cass. 18 januari 2002 113 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 280-281 114 want de kans dat hij zijn geld niet ziet is dan nog groter 112
37
hem te overlopen. De belangenafweging is in deze gevallen dus veel moeilijker. Mag een verzekerde worden geweigerd om het feit dat hij twee maand zijn premie niet heeft betaald? 107. Dan is er nog de registratie als verzwaard en als geweigerd risico. Dat fraudeurs een verhoogd risico vormen voor verzekeringsmaatschappijen is de logica zelve. Dat zij deze kennis meenemen in de berekening van de premie en het opstellen van de polisvoorwaarden is ook vanzelfsprekend. De betrokkene heeft zelf de beslissing genomen om bepaalde elementen te verzwijgen of te verdraaien bij de contractsluiting of de schadeaangifte. Daar hangen uiteraard bepaalde gevolgen aan vast. Het risico dat dit opnieuw gebeurt, wordt door de verzekeraar in de premie verdisconteerd. Het is dus zeker van belang voor de verzekerde dat de fraude niet in de databank wordt vermeld, zodat zijn nieuwe verzekeraar er geen weet van heeft. Er kan wel moeilijk worden beweerd dat dit een gerechtvaardigd belang is die meer doorweegt dan de belangen van de verzekeringsmaatschappijen. Zelfs Test-Aankoop is van oordeel dat het gerechtvaardigd is dat echte fraudeurs in het bestand worden opgenomen.115 Het is natuurlijk wel zo dat er verschillende gradaties zijn, het ene fraudegeval is veel zwaarder dan het andere, waardoor de ene een groter risico vormt dan de andere. Diversificatie tussen de verschillende klassen is een vereiste, maar geeft nog geen garantie dat niet alle fraudeurs over dezelfde kam zullen geschoren worden.116 Hier zou ook weer aan de kandidaat-verzekeringsnemer de mogelijkheid kunnen geboden worden om zijn standpunt omtrent de fraude naar voor te brengen. 108. Er bestaat wel discussie over het feit dat er ‘vermoedens’ van fraude worden geregistreerd, zonder dat dit juridisch werd vastgesteld. De Commissie voor de Bescherming van de Persoonlijke Levenssfeer benadrukt dat de registratie van dergelijke gegevens nog nadeliger en gevoeliger is dan de registratie van gerechtelijke gegevens, omdat deze niet aan een onderzoek van de rechter of aan een tegensprekelijke procedure onderworpen zijn.117 Deze mening is ook Test-Aankoop aangedaan. Volgens hen is het enkel gerechtvaardigd om fraude die in een rechterlijke uitspraak is bevestigd na procedure op tegenspraak in het bestand op te nemen. Daarnaast zou het RSR-bestand beperkt moeten blijven tot opzettelijke fraude118 en ernstig laakbaar gedrag.119 DHONT120 maakt in deze context ook een belangrijke opmerking. Hij wijst er op dat wanneer een persoon geregistreerd wordt op grond van een vermoeden van fraude, hij het risico loopt om meteen over de ganse lijn als fraudeur te worden bestempeld. Informatie die bedoeld is als knipperlichtfunctie zou ten onrechte als 115
J.-P. COTEUR, en P. LOUYET, “Datassur, stop de zwartmaking”, Budget en recht 2008, 33 J. DHONT, “Le traitement des données à caractère personnel dans les secteur d’assurances. La légalité des banques de données”, Rev. dr. U.L.B. 2000, 328 117 Zie ook randnummers 169-171 118 Zoals een opzettelijk schadegeval 119 J.-P. COTEUR en P. LOUYET, “Datassur, stop de zwartmaking”, Budget en recht 2008, 33 120 J. DHONT, “Le traitement des données à caractère personnel dans les secteur d’assurances. La légalité des banques de données”, Rev. dr. U.L.B. 2000, 328 116
38
exacte waarheid kunnen worden beschouwd. Een persoon die een verklaring aflegt die niet overeenstemt met vroegere verklaringen is daarom niet altijd ter kwader trouw. Ook hij duidt op de afwezigheid van een officiële beslissing en de afwezigheid van het recht om zich te verdedigen.121 109. Een laatste punt die hier kan worden aangehaald is het risico op discriminatie. COTEUR en LOUYET zijn van mening dat het RSR-bestand een inbreuk uitmaakt op de antidiscriminatiewet. Ze verwijten het bestand dat het onderscheid tussen geregistreerd en niet-geregistreerd niet objectief, relevant en redelijk is.122 De antidiscriminatiewet verbiedt elk direct of indirect onderscheid op grond van leeftijd, seksuele geaardheid, burgerlijke staat, geboorte, vermogen, geloof of levensbeschouwing, politieke overtuiging, syndicale overtuiging, taal, huidige of toekomstige gezondheidstoestand, een handicap, een fysieke of genetische eigenschap en sociale afkomst. Artikel zeven van deze wet voorziet wel in een uitzondering indien het directe onderscheid objectief wordt gerechtvaardigd door een legitiem doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn. Differentiatie is onlosmakelijk verbonden aan de verzekeringstechniek. Een verzekeraar moet nu eenmaal een onderscheid maken tussen de verschillende risico’s om de goede van de slechte te onderscheiden. Als elk risico op een gelijke manier zou behandeld worden, dan betaalt een klein risico een te hoge premie om de schade van een slecht risico te kunnen dragen. Daarbij komen de problemen van antiselectie en moral hazard opduiken.123 De verzekeringsmaatschappijen moeten de risico’s steeds beoordelen aan de hand van verschillende risicofactoren om een goed financieel beleid te kunnen voeren.124 Het is echter niet omdat een verzekeraar differentiatiemaatregelen toepast, dat hij daarom een verboden discriminatie doorvoert. Het kan niet worden betwist dat het differentiatiebeleid op zich een legitiem doel nastreeft.125 110.
Er kan niet worden gezegd dat het onderscheid tussen geregistreerde persoon en niet-
geregistreerde persoon een subjectief onderscheid is die valt onder één van de beschermde criteria van de antidiscriminatiewet. Worden hier gelijke gevallen ongelijk behandeld? Beide categorieën personen bevinden zich m.i. niet in dezelfde situatie. Ze vormen beiden een ander risico. De personen die in het bestand zijn opgenomen vormen doorgaans een hoger risico dan de personen die niet geregistreerd zijn. De databank werd om deze reden opgericht. Het was de bedoeling van de verzekeraars om onderling de ‘speciale risico’s’ te gaan melden. De databank helpt hen om te verifiëren of de meegedeelde gegevens in overeenstemming zijn met 121
J. DHONT, “Le traitement des données à caractère personnel dans les secteur d’assurances. La légalité des banques de données”, Rev. dr. U.L.B. 2000, 328 122 J.-P. COTEUR en P. LOUYET, “Datassur, stop de zwartmaking”, Budget en recht 2008, 33 123 Y. THIERY, “De antidiscriminatiewet: verzekeren over dezelfde kam?”, TBH 2003, afl. 8, 650 124 B. WEYTS, “Verzekeraars en de antidiscriminatiewet”, NJW 2004, 1089 125 Y. THIERY, “De antidiscriminatiewet: verzekeren over dezelfde kam?”, TBH 2003, afl. 8, 655
39
de werkelijkheid. De risicobeoordeling gebeurt op grond van de meegedeelde gegevens en eventueel op grond van de gegevens in de databank indien blijkt dat de door de verzekeringsnemer gedane verklaringen daar niet mee overeenstemmen. De registraties in de databank houden m.i. dan ook geen discriminatie in t.a.v. de betrokkenen. De gegevens in het RSR-bestand worden in ieder geval in de risicoanalyse gebruikt en steunen op een objectief onderscheid. Het kan uiteraard niet de bedoeling geweest zijn van de wetgever om met deze wet het commerciële beleid van de verzekeringssector te gaan wijzigen.126
iii.
Belangenafweging: is er een voldoende evenwicht tussen beide belangen?
111. Er moet dus een afweging gemaakt worden tussen enerzijds de belangen van de verzekeringsmaatschappijen en anderzijds de belangen van de betrokkenen. De maatregelen mogen niet verder gaan dan wat noodzakelijk is om de doelstellingen te bereiken. M.a.w., de rechten van de betrokkenen mogen niet meer geschonden worden dan wat noodzakelijk is. Wegen hier de belangen van de verzekeringsmaatschappijen door of weegt de balans door in de richting van de geregistreerde personen? 112. Datassur heeft in bepaalde beschermingsmechanismen voorzien opdat de verwerking van persoonsgegevens niet verder zouden gaan dan wat noodzakelijk is om de doelstellingen te bereiken. Elke registratie gebeurt per persoon en per verzekeringstak. Elke verzekeringsmaatschappij die lid is van Datassur heeft slechts inzage in die registraties die binnen zijn verzekeringsactiviteit vallen, met uitzondering dan van de verzwaarde risico’s. Een verzekeringsonderneming die enkel brandverzekeringen aanbiedt, kan geen registraties inzien die betrekking hebben op de opzegging van een WAM-verzekering. Enkel de registraties van fraude kunnen door elk lid worden ingezien.127 Dit biedt bepaalde garanties tegen verkeerd gebruik van de gegevens door verzekeringsmaatschappijen, maar is uiteraard geen sluitend middel tegen misbruik. 113. Het meest ernstige probleem voor de betrokkenen is dat ze door de registratie enkel nog kunnen contracteren tegen een hogere premie en in het slechtste geval zelfs geweigerd worden. Het probleem van onverzekerbaarheid is een maatschappelijk probleem en moet zoveel mogelijk vermeden worden. Dit staat uiteraard lijnrecht tegenover het ongeschreven, maar wel algemeen erkend basisprincipe van de contractsvrijheid.128 Verzekeringsmaatschappijen kiezen zelf met wie ze contracteren en tegen welke voorwaarden 126
B. WEYTS, “Verzekeraars en de antidiscriminatiewet”, NJW 2004, 1091 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 3 128 B. WEYTS, “Verzekeraars en de antidiscriminatiewet”, NJW 2004, 1086-1087 127
40
ze dat doen. Het feit dat andere verzekeraars wel bereid zijn om dat risico te verzekeren is daarbij van geen belang. Zijn beslissing hangt uiteraard wel af van de door de verzekeringsnemer meegedeelde informatie. Risicoselectie is inherent aan het beroep en is daarbij ook noodzakelijk. Dit is niet enkel van belang voor de verzekeraar, maar het is ook in het algemeen belang van alle verzekeringsnemers die hierdoor een billijke verzekeringsdekking, aangepast aan hun eigen risico, kunnen verkrijgen. Daarom is het dus wel mogelijk dat bepaalde verzekeringsnemers moeite hebben met het vinden van een verzekering of hiervoor hogere premies moeten betalen.129 Een registratie in de RSR-databank moet de verzekeraar helpen om het risico in te schatten waardoor ze natuurlijk ook kan leiden tot een uitsluiting. Gelet op bovenstaande uiteenzetting130 is de registratie in de databank m.i. gerechtvaardigd en schendt het de belangen van de betrokkenen niet meer dan wat nodig is om de doelstellingen van het bestand te bereiken. De gegevens opgenomen in de databank zijn gegevens die de verzekerde in de meeste gevallen toch wettelijk verplicht is om aan de verzekeraar mee te delen. Het bestand dient dan enkel ter controle van deze gegevens. Risicoberekening gebeurt ook niet alleen op grond van de geregistreerde gegevens, ze zijn slechts een categorie van elementen die bij de analyse wordt in acht genomen. 114. Wat wanbetaling betreft ligt de registratie wat gevoeliger, omdat dit geen informatie is die de verzekerde spontaan moet meedelen aan de verzekeraar. Dit gebeurt enkel als deze daar expliciet naar vraagt. Er moet er hier wel op worden gewezen dat niet zomaar elke wanbetaling aanleiding kan geven tot een registratie. Dit is pas mogelijk indien de verzekeringsmaatschappij de polis heeft opgezegd naar aanleiding van deze wanbetaling. Daarbij voorziet het reglement van Datassur ook dat een registratie in de branche autoverzekering slechts mogelijk is als de niet-betaalde premie minimum 150 euro bedraagt. Deze minimumgrens bestaat niet voor de overige verzekeringstakken. 131 Bepaalde verzekeringsmaatschappijen bepalen wel in hun interne richtlijnen dat deze minimumgrenzen in alle verzekeringstakken geldt. De registratie wordt ook onmiddellijk uit het bestand verwijderd als vaststaat dat de achterstallige premie alsnog werd betaald, dit in tegenstelling tot bijvoorbeeld de Centrale voor Kredieten aan Particulieren.132 115. Hoewel het eventueel toch kan voorkomen dat een verzekeringsnemer wordt uitgesloten louter op grond van de registratie, is een afschaffing van de databank m.i. overdreven. Het belang van de verzekeraar, en in het algemeen, van alle ‘goede risico’s’, om correcte risicoberekening mogelijk te maken en de premies aan eenieders risico aan te passen is naar mijn mening een gerechtvaardigd belang dat niet verder gaat dan nodig. Ook het 129
B. WEYTS, “Verzekeraars en de antidiscriminatiewet”, NJW 2004, 1086-1087 Randnummers 95-111 131 Hoewel de Ombudsman van de Verzekeringen dit wel heeft aanbevolen. OMBUDSMAN VAN DE VERZEKERINGEN, Zakboekje 2006, www.ombudsman.as/nl/publications, 79 132 Zie randnummer 224 130
41
belang van de verzekeringsmaatschappijen om financiële verliezen n.a.v. wanbetaling te voorkomen, is m.i. gerechtvaardigd en niet disproportioneel, waardoor de registraties worden verantwoord. 116. Het zou natuurlijk altijd beter zijn mochten er waarborgen ingebouwd worden om uitgesloten verzekeringsnemers op te vangen. Dit is reeds gebeurd in het kader van de WAMverzekering. Indien een verzekerde geen verzekeraar vindt, kan hij altijd terecht bij het Tariferingsbureau die zich bevindt binnen het Gemeenschappelijk Motorwaarborgfonds. De verzekerde kan zich tot dit Tariferingsbureau wenden indien hij geen verzekeraar vindt of indien het premievoorstel groter is dan vijf maal de minimumpremie. In het kader van de WAM-verzekering is er dus voorzien in een opvangnet, wat belangrijk is gelet op de algemene verplichting om deze verzekering aan te gaan. Dit is evenwel meteen ook het enige opvangnet die nu bestaat, terwijl er nog vele andere verzekeringen zijn, waarvan bepaalde ook verplicht worden gesteld door de wetgever.133 Het zou in eenieders belang zijn mocht de wetgever ook voorzien in dergelijke systemen voor de andere verzekeringstakken. Indien de kandidaat-verzekeringsnemer problemen ondervindt bij het zoeken naar een nieuwe verzekeraar, kan hij ook steeds een beroep doen op een verzekeringsmakelaar of een verzekeringsagent. Deze kan de verzekeringsmaatschappij de nodige uitleg verschaffen en onderhandelen over de verzekeringsvoorwaarden, zoals het premiebedrag en/of de franchise.134 Deze verzekeringstussenpersoon kan aan de verzekeringsonderneming uitleggen waarom er werd geregistreerd en kan bemiddelen om contractvoorwaarden te bekomen waarmee elke partij zich kan vinden.135 117. Wat betreft het feit dat enkel met ‘vermoedens’ van fraude wordt gewerkt, ben ik ook van mening dat dit niet disproportioneel is. Het woord ‘vermoeden’ is daarbij slecht gekozen. Registratie in het RSR-bestand kan vooreerst maar plaatsvinden wanneer de verzekeringsmaatschappij objectieve en tastbare bewijzen heeft van deze fraude én op grond daarvan maatregelen neemt. De verzekeraar kan dus niet zomaar willekeurig registreren wanneer hij zijn bedenkingen heeft bij een bepaalde verklaring. Er wordt ook telkens geregistreerd aan de hand van een registratiecode die de reden verduidelijkt waarom men als verzwaard risico staat ingeschreven. Verzekeringsfraude brengt een grote kost mee voor de verzekeringsmaatschappijen en is naast moeilijk op te sporen, ook zeer moeilijk te bewijzen. Eén van de weinige middelen die ze ter hun beschikking hebben, is de onderlinge signalisatie van fraudegevallen. Als zou verlangd worden dat de fraude door een officiële instantie wordt bevestigd, dan zou registratie praktisch onmogelijk worden. De registraties van verzwaarde
133
Zo moet er voor bepaalde activiteiten verplicht een brandverzekering worden afgesloten, moeten bepaalde beroepsbeoefenaars verplicht een beroepsaansprakelijkheidsverzekering afsluiten, enz. 134 www.datassur.be/pages/rsr_nl.html (consultatie 4 mei 2013) 135 E. ROOSE, F. TABU en N. VANHEE, “Raad en Daad”, Budget en recht 2012, 48-49
42
risico’s maken slechts 0,75%136 uit van het aantal, dat per jaar worden doorgevoerd.137 Er kan dus moeilijk beweerd worden dat verzekeringsmaatschappijen snel en willekeurig overgaan tot registratie van de betrokkene als fraudeur. De verzekeringsmaatschappij moet daarvoor duidelijke bewijzen hebben en bij twijfel wordt er niet geregistreerd. Dat de leden deze verplichting correct naleven, blijkt volgens Datassur uit het geringe aantal registraties die gebeuren. Een optie zou kunnen zijn dat de verzekeringsnemer de kans krijgt om zijn standpunt naar voor te brengen bij zijn verzekeraar, alvorens deze laatste overgaat tot registratie. De rechtbank van eerste aanleg te Nijvel oordeelde hierover dat de vermelding ‘verzwaard risico, niet overeenstemming met de aangifte’ geen betrekking heeft op een vermoeden van schuld, maar wel op objectieve feiten die gemakkelijk te verifiëren zijn. In dit vonnis wordt ook een verklaring aangehaald van de minister van Economische Zaken die stelde dat het ongepast zou zijn om, onder het mom van het fundamentele principe van de individuele vrijheid, fraudeurs de mogelijkheid te geven om in alle vrijheid en stilte te handelen.138 118. De rechtspraak moest zich al meerde keren uitspreken over de wettigheid van het RSR-bestand. Telkens werd geoordeeld dat zowel het bestrijden van verzekeringsfraude als het controleren van de meegedeelde gegevens, om een correcte risicoberekening te kunnen maken die noodzakelijk is om de juiste premie te bereken, onbetwistbaar gerechtvaardigde belangen zijn.139 In 2008 werd zelfs geoordeeld dat het RSR-bestand een normale en erkende praktijk is en dus ook volkomen rechtmatig is.140 De redenering van de rechtbank van eerste aanleg te Brussel, die later in andere zaken werd hernomen, steunde op een onderzoek van drie punten: (1) het bestaan van een gerechtvaardigd belang van degene die verantwoordelijk is voor de gegevensverwerking (2) de noodzaak van het bestaan van de verwerking voor de verwezenlijking van het gerechtvaardigd belang (3) het niet zwaarder doorwegen van de belangen, fundamentele rechten of vrijheden van de betrokkene, dan het gerechtvaardigd belang van degene die verantwoordelijk is voor de gegevensverwerking. Bij het onderzoek naar het gerechtvaardigd belang van de verantwoordelijke voor de verwerking, neemt de rechtbank als uitgangspunt het artikel vijf van de wet op de landverzekeringsovereenkomst. Dit artikel verplicht de verzekeringsnemer om bij het sluiten van de verzekeringsovereenkomst alle hem bekende gegevens mee te delen die hij redelijkerwijs moet beschouwen als gegevens die van invloed kunnen zijn op de beoordeling van het risico. De rechtbank is van mening dat het belang van de verzekeringsnemers om verzekeringsfraude te voorkomen en risico’s correct te beoordelen, door dit artikel wordt bevestigd. Daarna 136
Er waren 500 registraties in 2011 Zie randnummer 47 138 Rb. Nijvel 28 oktober 2003, T.Verz. 2004, 49; zie ook randnummer 169 139 Rb. Brussel 19 december 2000, Computerr. 2002, 30 en T.Verz. 2001, 266; Rb. Nijvel 28 oktober 2003, T.Verz. 2004, 50; Rb. Brussel (8e k.) 11 juni 2004, T.Verz. 2005, afl. 1, 47 140 Rb. Brussel (8e k.) 25 april 2008, T.Verz. 2008, afl. 3, 243 137
43
verwijst de rechtbank naar een tekst van DHONT141 en van DUBUISSON142 om het onbetwist gerechtvaardigd belang van de RSR-databank te bevestigen. Daarna wordt geoordeeld over de noodzaak van de gegevensverwerking om het vooropgestelde belang te bereiken. De eiseres ging niet akkoord met de registratie van de opzegging wegens schadegevallen zonder aansprakelijkheid, omdat dit volgens haar niet meegerekend wordt in de beoordeling van het risico. De rechtbank wijst er haar meteen op dat ook schadegevallen zonder aansprakelijkheid van tel zijn bij de berekening van het risico. De vrouw stelt ook dat verzekeraars over een ander controlesysteem beschikken, namelijk het bonus-malusattest die de wettelijke bepaling van de opzegging vermeldt. De verzekeraar moet zich volgens haar dan maar richten tot de vorige verzekeraar om de reden van de opzegging te weten te komen. De rechtbank is van mening dat niet elke verzekeraar bij elk dossier over dergelijk attest beschikt en dat het systeem van segmentatie net gebaseerd is op de door de verzekerde verstrekte inlichtingen. Er werd besloten dat de verwerking van de gegevens in kwestie niet verder gaat dan noodzakelijk voor het bereiken van het nagestreefde belang. Als laatste volgt er een afweging van de belangen van beide partijen. Ook hier steunt de rechtbank haar redenering op de wettelijke spontane mededelingsplicht van de verzekerde. De geregistreerde gegevens 143 zijn gegevens die de verzekerde verplicht moet meedelen en maken het voorwerp uit van verzekeringsvoorstellen die aan de kandidaat-verzekeringsnemers worden voorgelegd. De rechtbank wijst er op dat de geregistreerde gegevens zelfs minder nauwkeurig zijn dan de gegevens die de verzekerde wettelijk verplicht is om te verstrekken. De in het geding zijnde gegevens tasten daarom de persoonlijke levenssfeer minder aan dan de gegevens die de verzekerde op grond van de wet verplicht moet meedelen aan de verzekeraar. De rechtbank concludeert dat de gegevensverwerking daarom geen buitensporige, onevenredige of onaanvaardbare aantasting van de fundamentele rechten en vrijheden van de betrokkene vormt. Volgens de rechtbank is de door Datassur nagestreefde doelstelling dus niet onwettig.144 119. Een gelijkaardige redenering werd gemaakt door de rechtbank van eerste aanleg te Nijvel met betrekking tot de gegevens van de registratie als ‘verzwaard risico wegens de nietovereenstemming met de schadeaangifte’.145 Of de rechtbank dezelfde belangenafweging zou maken in het kader van de registratie naar aanleiding van de opzegging wegens wanbetaling is niet zeker. De financiële toestand van de persoon is geen element die de verzekerde verplicht aan de verzekeraar moet meedelen, zodat de redenering van de rechtbank hier niet opgaat.
141
J. DHONT, “Le traitement des données à caractère personnel dans les secteur d’assurances. La légalité des banques de données”, Rev. dr. U.L.B. 2000, 290 142 B. DUBUISSON, “Secrets, mensonges et confidences”, Rev. dr. U.L.B. 2000, 364 143 opzeg wegens meerdere schadegevallen zonder aansprakelijkheid 144 Rb. Brussel 19 december 2000, Computerr. 2002, 30 en T.Verz. 2001, 266 145 C. VAN OLDENEEL, “La légalité du fichier des risques spéciaux en assurances une nouvelle fois reconnue” (noot onder Rb. Nijvel 28 oktober 2003), T.Verz. 2004, 54-55
44
120. Na de afweging van de belangen van de verzekeringsmaatschappijen, het algemeen belang van elke verzekeringsnemer en het individueel belang van de geregistreerde persoon, kom ik tot de conclusie dat het RSR-bestand een wettig doel nastreeft en niet verder gaat dan noodzakelijk om dit doel te bereiken. Ik sluit mij volledig aan bij de redenering van de rechtbank van eerste aanleg te Brussel. Registratie wegens wanbetaling ligt moeilijker, zodat passende waarborgen moeten worden genomen ter bescherming van de rechten van de betrokkenen. Dit is volgens mij gebeurd door enkel te registreren bij opzegging, de geregistreerde een recht op verbetering toe te kennen en de registratie onmiddellijk te schrappen wanneer alsnog wordt betaald. Deze restricties zorgen er m.i. voor dat er een evenwicht is tussen het belang van de betrokkene en het belang van de verzekeraar om financiële verliezen te vermijden.
iv.
Is deze gegevensuitwisseling tussen concurrenten in strijd met het mededingingsrecht?
121. Een laatste probleem kan worden gezocht in het kader van het mededingingsrecht. Momenteel zijn ongeveer 65 verzekeringsmaatschappijen lid van Datassur, wat ongeveer 91% van de volledige BOAR-verzekeringsmarkt is.146 Zij hebben allemaal toegang tot de databank door de ondertekening van de RSR-overeenkomst. Het is net omdat bijna elke verzekeringsmaatschappij toegang heeft tot de databank, dat het voor geregistreerde personen moeilijker wordt om een nieuwe verzekering tegen normale voorwaarden te vinden.147 Praktisch elke verzekeraar die de betrokkene zal contacteren, zal bij het verzekeringsvoorstel de gegevens gaan vergelijken met de gegevens in het RSR-bestand. COTEUR en LOUYET hebben reeds op dit probleem gewezen, zeker omdat de verzekeringsmarkt op zich al een zeer geconcentreerde markt is.148 BOCKEN149 benadrukt dat de tussenkomst van een beroepsfederatie (zoals Datassur) bij een mededingingsbeperkend systeem voor informatieuitwisseling, het eventuele mededingingsbeperkend karakter ervan niet kan wegnemen. Wat wel een belangrijke factor is bij de beoordeling, dat is het feit dat het hier gaat om een besloten systeem voor informatie-uitwisseling, waarbij de uitgewisselde gegevens enkel ter beschikking worden gesteld van de deelnemers. Dit leidt immers tot een versterkte markttransparantie ten gunste van de deelnemende ondernemingen.
146
www.datassur.be/pages/about_nl.html (consultatie 4 mei 2013) J. LAFFINEUR, “Listes noires ou décisions blanches?”, D.C.C.R. 2004, 12-13 148 J.-P. COTEUR en P. LOUYET, “Datassur, stop de zwartmaking”, Budget en recht 2008, 33 149 J. BOCKEN, “Uitwisseling van informatie en mededingingsrecht: waar liggen de grenzen ?”, T.Verz. 2006, 3233 147
45
122. De Raad voor de Mededinging150 heeft vroeger geoordeeld dat overeenkomsten m.b.t. de uitwisseling van informatie aanleiding kunnen geven tot misbruik van machtspositie, in die zin dat ze een gemeenschappelijk standpunt kunnen innemen ten aanzien van hun respectievelijke cliënten. Handelaren die dergelijke gemeenschappelijke zwarte lijsten gebruiken, kunnen profiteren van deze situatie om ten koste van hun concurrenten, leveranciers of klanten een voordeel te verkrijgen die ze via de gewone mededinging niet zouden verkregen hebben.151 Het verbod van misbruik van machtspositie is ook toepasselijk indien er geen direct effect is op de concurrentie tussen bedrijven op de betrokken markt. Het kan evengoed van toepassing zijn wanneer het gedrag van één dominante onderneming directe schade aan een consument toebrengt.152 123. De wet tot bescherming van de economische mededinging verbiedt in artikel twee, alle overeenkomsten, besluiten en praktijken die er op gericht zijn, of als effect hebben, dat de mededinging op de Belgische betrokken markt of op een wezenlijk deel ervan merkbaar wordt verhinderd, beperkt of vervalst. Nationale systemen van gegevensuitwisseling tussen concurrenten kunnen niet enkel strijdig zijn met het Belgische kartelrecht, maar kunnen ook in strijd zijn met het Europese kartelrecht. Dit werd bevestigd door het Hof van Justitie van de Europese Unie in de zaak Manfredi in 2006. In dit arrest oordeelde het Hof dat een met de nationale mededingingsregels strijdige mededingingsregeling of onderling afgestemde feitelijke gedraging tussen verzekeringsmaatschappijen, zoals in de hoofdgedingen aan de orde, bestaande in de onderlinge uitwisseling van informatie waardoor de betrokken maatschappijen de premies voor verplichte aansprakelijkheidsverzekering voor ongevallen veroorzaakt door motorrijtuigen, schepen en bromfietsen kunnen verhogen zonder dat zulks gerechtvaardigd is door de marktvoorwaarden, eveneens artikel 81 EG kan schenden indien het, gelet op de kenmerken van de betrokken nationale markt, voldoende waarschijnlijk is dat de betrokken mededingingsregeling of onderling afgestemde feitelijke gedraging al dan niet rechtstreeks, daadwerkelijk of potentieel, de verkoop van polissen van deze verzekering in de betrokken lidstaat door marktdeelnemers uit andere lidstaten kan beïnvloeden en dat die invloed niet van geringe betekenis is.153 124. Het Hof van Justitie heeft in vroegere arresten geoordeeld dat overeenkomsten tot uitwisseling van informatie tussen concurrenten eventueel in strijd kunnen zijn met het mededingingsrecht. Bij deze beoordeling moet onder andere rekening gehouden worden met de aard van de uitgewisselde gegevens, de marktstructuur, het gedetailleerd karakter van de
150
Raad voor de Mededinging 18 mei 1994, 94-C/C-14 BS 12 juli 1994,18412-18417 Raad voor de Mededinging 18 mei 1994, 94-C/C-14 BS 12 juli 1994,18412-18417 152 J. LAFFINEUR, “Listes noires ou décisions blanches?”, D.C.C.R. 2004, 12-13 153 HvJ C-295/04, Manfredi t. Lloyd Adriatico Assicurazioni SpA, 2006, 6658 151
46
uitgewisselde gegevens en het nagestreefde doel van de gegevensverwerking. 154 Ook uit de rechtspraak en de beschikkingspraktijk van de Commissie blijkt dat overeenkomsten van informatie-uitwisseling over het algemeen niet automatisch verboden worden. Het probleem ligt voornamelijk bij overeenkomsten over de uitwisseling van gevoelige, recente en geïndividualiseerde informatie op een markt met een hoge concentratiegraad en met hoge toegangsdrempels.155 125. In 2006 werd aan het Hof van Justitie de vraag gesteld of een Spaanse databank van financiële instellingen met gegevens over wanbetalers al dan niet mededingingsbeperkend was.156 Advocaat-generaal Geelhoed concludeerde dat de databank geen mededingingsrechtelijke bezwaren met zich meebrengt. Integendeel, hij is van oordeel dat deze gegevens noodzakelijk zijn voor de risicoberekening van de kredietgever. Wanneer er geen gegevens beschikbaar zijn over het risico, levert dat een probleem op van ongelijke informatie. Op die manier kan het risico niet goed ingeschat worden, waardoor de neiging ontstaat om voor alle debiteuren dezelfde prijs aan te rekenen. De lage risico’s moeten op deze manier een te hoge prijs betalen voor hun risicograad. Het Hof van Justitie oordeelde in die zaak: “ook al kunnen in deze omstandigheden dergelijke systemen de onzekerheid over het risico van het in gebreke blijven van kredietaanvragers verminderen, toch kunnen zij namelijk niet de onzekerheid inzake de mededingingsrisico's verminderen. Aldus zou elke marktdeelnemer normaliter onafhankelijk en zelfstandig handelen wanneer hij, gelet op de risico's die die aanvragers met zich brengen, een bepaald gedrag aanneemt. Anders dan Ausbanc stelt, kan uit het bestaan alleen van een dergelijke uitwisseling van kredietinformatie niet automatisch worden afgeleid dat die informatie eventueel tot collectief anticoncurrentieel gedrag leidt, zoals tot een boycot van bepaalde potentiële kredietnemers. Voorts kunnen de eventuele vragen met betrekking tot de gevoeligheid van persoonsgegevens, daar zij als zodanig niet tot het mededingingsrecht behoren, worden opgelost op de grondslag van de voor de bescherming van dergelijke gegevens relevante bepalingen. In het hoofdgeding blijkt uit het dossier dat de belanghebbende consumenten, overeenkomstig de Spaanse wetgeving de hen betreffende gegevens kunnen verifiëren en zo nodig kunnen doen corrigeren of doorhalen.”157 Dit zou naar analogie kunnen toegepast worden op het RSR-bestand van Datassur inzake de uitwisseling van gegevens omtrent de opzegging wegens niet-betaling van de premie en/of de franchise.
154
HvJ C-8/95 P, New Holland Ford Ltd t. Commissie, 1998, 3201; HvJ C-7/95 P, John Deere Ltd t. Commissie, 1998, 3142; J. LAFFINEUR, “Listes noires ou décisions blanches?”, D.C.C.R. 2004, 12-13 155 C. JAUMAIN, “Vergelijkbaarheid en mededingingsrecht in verzekeringen”, T. Verz. 2011, afl. 2, 150-151; J. BOCKEN, “Uitwisseling van informatie en mededingingsrecht: waar liggen de grenzen?”, T.Verz. 2006, 31; Ger. EG T-16/98, Wirtschaftsvereinigung Stahl t. Commissie, 2001, 1234 156 Hvj C-238/05, Asnef-Equifax t. Ausbanc, 2006, concl. A. GEELHOED 157 Hvj C-238/05, Asnef-Equifax t. Ausbanc, 2006, 11164
47
126. In dat zelfde arrest besloot het Hof van Justitie dat “artikel 81, lid 1, EG aldus moet worden uitgelegd dat een systeem voor uitwisseling van informatie over de kredietwaardigheid, zoals de databank, in beginsel niet tot gevolg heeft dat de mededinging wordt beperkt in de zin van die bepaling, voor zover de betrokken markten niet in sterke mate zijn geconcentreerd, dit systeem niet de mogelijkheid biedt de identiteit van de schuldeisers te achterhalen en de voorwaarden voor toegang en gebruik voor de financieringsinstellingen feitelijk en rechtens niet discriminatoir zijn. Ingeval een systeem voor uitwisseling van informatie over de kredietwaardigheid, zoals de databank, de mededinging beperkt in de zin van artikel 81, lid 1 EG, is voor de toepassing van de ontheffing van lid 3 van dit artikel vereist dat aan de vier in die bepaling genoemde cumulatieve voorwaarden is voldaan. Opdat de voorwaarde dat een billijk aandeel in de voordelen de gebruikers ten goede komt, wordt vervuld, is in beginsel niet noodzakelijk dat iedere gebruiker individueel voordeel haalt uit een overeenkomst, een besluit of een onderling afgestemde feitelijke gedraging. Daarentegen is wel vereist dat de globale invloed op de gebruikers in de betrokken markten gunstig is”158 Dit kan ook weer doorgetrokken worden naar het RSR-bestand. De verzekeringsmaatschappijen die toegang hebben tot de databank, kunnen de naam van de betrokken verzekeraar niet zien staan, hoewel deze wel geregistreerd wordt. Er kan ook niet gezegd worden dat de voorwaarden voor de toegang en het gebruik discriminatoir zijn. Waar wel over kan worden gediscussieerd, is over het feit of de Belgische verzekeringssector al dan niet kan worden gezien als een geconcentreerde markt. Wat betreft de uitzondering van lid drie, kan bij het RSR-bestand ook geargumenteerd worden dat de informatie-uitwisseling ten goede komt van de globale groep van verzekeringsnemers. De betrokkenen kunnen er nadeel van ondervinden, maar het Hof stelt zelf dat niet elke verzekeringsnemer er individueel voordeel uit moet kunnen halen. De goede risico’s daarentegen, die een veel grotere groep vormen, profiteren van de informatie-uitwisseling doordat hun premies lager zijn en aangepast worden aan hun eigen specifieke risico. Indien slechte risico’s niet opgespoord konden worden, zou de kost van deze risico’s aan hen worden doorgerekend. 127. De Europese Commissie heeft op grond van verordening nr. 1534/91 de bevoegdheid gekregen om te voorzien in een groepsvrijstelling voor overeenkomsten in de verzekeringssector die betrekking hebben op samenwerking ten aanzien van “registers van en informatie omtrent verhoogde risico’s”. In uitvoering van deze verordening heeft de Commissie op 24 maart 2010 een verordening uitgevaardigd.159 Ze heeft daarbij echter de mogelijkheid om te voorzien in dergelijke groepsvrijstelling niet benut. Deze soort informatie-uitwisseling moet dus getoetst worden aan de horizontale richtsnoeren. De Commissie heeft op 11 januari 2011 nieuwe richtsnoeren inzake de toepasselijkheid van 158
Hvj C-238/05, Asnef-Equifax t. Ausbanc, 2006, 11168 Verord. Comm. nr. 267/2010, 24 maart 2010 betreffende de toepassing van artikel 101, lid 3, van het Verdrag betreffende de werking van de Europese Unie op bepaalde groepen van overeenkomsten, besluiten en onderling afgestemde feitelijke gedragingen in de verzekeringssector, Pb.L. 30 maart 2010, afl. 83, 1-7 159
48
artikel 101 van het Verdrag betreffende de werking van de Europese Unie op horizontale samenwerkingsovereenkomsten uitgevaardigd. Deze richtsnoeren bepalen: De uitwisseling van informatie heeft mededingingsbeperkende gevolgen in de zin van artikel 101, lid 1, wanneer deze naar alle waarschijnlijkheid een merkbaar negatieve invloed zal hebben op een (of meer) van de concurrentieparameters zoals prijs, producthoeveelheden, productkwaliteit, productdiversiteit en innovatie. Of een uitwisseling van informatie mededingingsbeperkende gevolgen heeft, hangt zowel af van de economische situatie op de relevante markten (zoals de concentratie, transparantie, stabiliteit, symmetrie, complexiteit van de markt enz.) als van de kenmerken van de uitgewisselde informatie160. 128. Bij de beoordeling van de uitzondering van artikel 101, lid 3 VWEU stelt de Commissie het volgende: ‘De uitwisseling van consumentengegevens tussen ondernemingen in markten met asymmetrische informatie over consumenten kan eveneens tot efficiëntieverbeteringen leiden. Zo kan bijvoorbeeld de registratie van consumentengedrag in het verleden op het gebied van ongevallen of wanbetaling, voor consumenten een stimulans vormen om hun risicogedrag te beperken. Tevens kan hierdoor worden nagegaan welke consumenten een lager risico dragen en daarom in aanmerking zouden moeten komen voor lagere prijzen. In dit verband kan de uitwisseling van informatie tevens de „lock-in” van consumenten reduceren, waardoor de mededinging wordt bevorderd. Dit komt doordat informatie over het algemeen specifiek is voor een bepaalde relatie, en de consumenten de met deze informatie verbonden voordelen zouden verliezen wanneer zij op een andere onderneming overschakelen. Voorbeelden van dergelijke efficiëntieverbeteringen doen zich voor in de bank- en verzekeringssector, waar dikwijls informatie wordt uitgewisseld over wanbetaling door en de risicokenmerken van consumenten.’161 129. Door de gegevensuitwisseling aan de hand van het RSR-bestand kunnen verzekeringsmaatschappijen het commercieel risico van hun dienstverlening beperken. Daarnaast zorgt de registratie ervoor dat de premie van de betrokkenen in de hoogte wordt geduwd.162 Uit voorgaande blijkt dat dergelijke gegevensuitwisseling tussen concurrenten wel degelijk concurrentiebeperkend kan werken. De Commissie werd de bevoegdheid gegeven om in een groepsvrijstelling te voorzien voor “registers van en informatie omtrent verhoogde risico’s”. Hoewel nog geen gebruik werd gemaakt van deze mogelijkheid, wijst dit er m.i. op dat er toen reeds werd beseft dat deze vorm van informatie-uitwisseling ook voordelig kan
160
Mededeling van de Commissie C11/01, Richtsnoeren inzake de toepasselijkheid van artikel 101 van het Verdrag betreffende de werking van de Europese Unie op horizontale samenwerkingsovereenkomsten, Pb.L. 14 januari 2011, 16 161 Mededeling van de Commissie C11/01, Richtsnoeren inzake de toepasselijkheid van artikel 101 van het Verdrag betreffende de werking van de Europese Unie op horizontale samenwerkingsovereenkomsten, Pb.L. 14 januari 2011, 19 162 J. LAFFINEUR, “Listes noires ou décisions blanches?”, D.C.C.R. 2004, 12-13
49
zijn voor consumenten163 en niet steeds in strijd hoeft te zijn met het mededingingsrecht. Gelet op de uitspraak van het Hof van Justitie in de zaak Asnef-Equifax t. Ausbanc en op de overweging van de Commissie m.b.t. tot de mogelijke efficiëntieverbetering van deze uitwisseling, kan er m.i. worden verdedigd dat er geen mededingingsrechtelijke problemen zijn bij het RSR-bestand. Minstens kan worden geargumenteerd dat het RSR-bestand onder de uitzondering van artikel 101, lid 3 van het VWEU valt. Efficiëntieverbeteringen zijn uiteraard op zich niet voldoende om onder de uitzonderlingsregeling te vallen. Het is ook vereist dat een deel van die verbeteringen toekomt aan de verzekeringsnemer, wat naar mijn mening het geval is aangezien de goede risico’s hun premie zien dalen. Daarnaast is vereist dat de beperkingen niet verder gaan dan noodzakelijk en dat er geen mogelijkheid bestaat tot uitschakeling van de mededinging voor een wezenlijk deel van de betrokken verzekeringsproducten.164 M.i. is aan deze voorwaarden voldaan, maar naar alle waarschijnlijkheid zal hierover nog voor een lange tijd gediscussieerd worden en ook nieuwe evoluties in de materie zijn niet uit te sluiten.
4.3
HET BEGINSEL VAN VERENIGBAAR GEBRUIK
130. Het principe van het verenigbaar gebruik is een zeer belangrijk principe dat strikt moet worden nageleefd ter bescherming van de fundamentele rechten van de betrokken personen. Eens de legitieme doelstellingen zijn vastgesteld, moet elke verwerking gebeuren in overeenstemming met die doelstellingen. Dit principe wordt opgelegd door artikel 4 §1, 2° van de wet verwerking persoonsgegevens. Persoonsgegevens mogen niet verder verwerkt worden op een wijze die onverenigbaar is met de uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Daarbij moet rekening gehouden worden met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen. 131. De mogelijkheid die de wet geeft om persoonsgegevens te verwerken is een doelgebonden bevoegdheid. Dit betekent dat de verantwoordelijke voor de verwerking deze bevoegdheid enkel verkrijgt om gegevens te verwerken overeenkomstig duidelijk omschreven doeleinden. Elke afwijking van deze doelstellingen, ongeacht de reden van de afwijking, is ontoelaatbaar. De beleidsmarge die de opstellers van zwarte lijsten bij de verwerking van persoonsgegevens hebben, is slechts marginaal.165
163
In dit geval, verzekeringsnemers A. GODFROID en R. RUYS, “Informatie-uitwisseling tussen concurrenten in het licht van de nieuwe richtsnoeren van de Europese Commissie voor Horizontale Overeenkomsten”, R.W. 2011-2012, 472 165 S. GUTWIRTH, “De toepassing van het finaliteitsbeginsel van de privacywet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens”, TPR 1993, 1452 164
50
132. Bij de beoordeling van de verenigbaarheid van de verwerking met de oorspronkelijke doeleinden moet volgens de wet rekening worden gehouden met alle relevante factoren. De wet geeft daarbij een voorbeeld van twee in aanmerking te nemen factoren: de wettelijke en reglementaire bepalingen en de redelijke verwachtingen van de betrokkene. Dit laatste betekent dat gegevens die met het oog op een specifieke en expliciete doelstelling werden verkregen niet voor een ander, niet met die oorspronkelijke doelstelling te verenigen doel mogen verwerkt worden, zonder dat de betrokkene daarvoor zijn toestemming heeft gegeven.166 Er zijn nog andere factoren waarmee men rekening kan houden zoals de aard van de gegevens, het belang van de verantwoordelijke voor de verwerking en de potentiële risico’s voor de persoonlijke levenssfeer. Deze beoordeling is een feitenkwestie die geval per geval moet onderzocht worden.167 De controle op de overeenstemming gebeurt door de hoven en rechtbanken en door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Zij hebben daarbij een zeer ruime controlebevoegdheid en appreciatiemarge.168 133. De mededeling van de kandidaat- verzekeringsnemer van zijn persoonsgegevens is in de eerste plaats bedoeld om een correcte risicoberekening en premiezetting mogelijk te maken. De verzekeraar moet op het ogenblik van het verkrijgen van de informatie meedelen dat zijn persoonsgegevens aan Datassur kunnen worden meegedeeld om opgenomen te worden in het RSR-bestand. Hij moet hierbij ook de doeleinden van deze verdere verwerking gaan meedelen. De door de potentiële verzekeringsnemer verkregen informatie mag dan ook niet worden gebruikt, geraadpleegd, verspreid, enz. voor andere doeleinden dan deze die hem werden meegedeeld. Het is dus zeer belangrijk voor de verzekeraar dat hij vooraf uitdrukkelijk aangeeft waarvoor de persoonsgegevens gebruikt zullen worden. Doet hij dit niet, dan handelt hij in strijd met de wet. De doeleinden van het RSR-bestand werden hierboven reeds meermaals aangehaald. De verzekeringsmaatschappijen die lid zijn van Datassur mogen de persoonsgegevens dan ook enkel opvragen en gebruiken voor deze doeleinden. Ze mogen gegevens opvragen om de door de kandidaat-verzekeringsnemer meegedeelde informatie, bij het sluiten van de polis of bij schadeafhandeling, te verifiëren. Het is daarentegen verboden voor de verzekeraar om de gegevens te gebruiken voor directmarketing. Het kan niet zijn dat een verzekeringsmaatschappij gegevens uit de databank gaat opvragen om potentiële verzekeringsnemers te ronselen. Dit zou een duidelijk gebruik zijn die niet in overeenstemming is met de vooropgestelde doeleinden. Een ander voorbeeld is het 166
Wetsontwerp tot omzetting van de Richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, Parl. St. Kamer 1997-1998, nr. 1566/1, 29 167 D. DE BOT, “Art. 4 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 4; J. DUMORTIER en F. ROBBEN, “Relatiebankieren en de finaliteitsregel van artikel 5 WVP” (noot onder Kh. 15 september 1994), Computerr., 1994, 247-250. 168 S. GUTWIRTH, “De toepassing van het finaliteitsbeginsel van de privacywet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens”, TPR 1993, 1652
51
gebruiken van de databank als drukkingsmiddel. Een verzekeraar mag niet dreigen met registraties om de verzekeringsnemer onder druk te zetten om zijn verplichtingen na te komen of hogere premies te betalen. Zo’n praktijken moeten te allen tijde vermeden worden. Klachten omtrent dergelijke praktijken kunnen ingediend worden bij Datassur zelf, bij de ombudsman en bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer.
5. Het proportionaliteitsbeginsel 134. De wet verwerking persoonsgegevens169 schrijft voor dat: “- Persoonsgegevens toereikend, ter zake dienend en niet overmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt.’ - ‘Persoonsgegevens nauwkeurig dienen te zijn, en zo nodig, te worden bijgewerkt; alle redelijke maatregelen moeten worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren.’ - ‘Persoonsgegevens, in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt dan noodzakelijk is.”
5.1
DE PERSOONSGEGEVENS MOETEN TOEREIKEND ZIJN
135. De persoonsgegevens moeten volgens de wet eerst en vooral toereikend zijn. Dit betekent dat de verwerking van de gegevens het mogelijk moet maken om de vooropgestelde doelstelling te kunnen bereiken. De verwerking moet daarvoor voldoende gegevens bevatten. Deze beoordeling moet vanuit twee standpunten worden bekeken. Er moet niet enkel rekening gehouden worden met het standpunt van de gebruikers van de verwerkte gegevens, maar er moet ook rekening gehouden worden met het standpunt van de betrokken personen.170 MEYSMANS verwoordt dit als volgt: de vraag of de verwerking voldoende gegevens bevat, moet ook beantwoord worden vanuit het oogpunt van de bescherming van de persoonlijke levenssfeer, wat niet noodzakelijk hetzelfde is als vanuit het oogpunt van maximale efficiëntie voor de houder van het bestand.171
169
Artikel 4§1, 3° - 5° wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993, 5801 170 D. DE BOT, “Art. 4 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 4 171 E. MEYSMANS, “Gevolgen voor de banksector van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens” in Bescherming van de persoonlijke levenssfeer. De wet van 8 december 1992 met betrekking tot de verwerking van persoonsgegevens. Gevolgen voor de banken, Belgische Vereniging van Banken, 1993, 13
52
136. Concreet toegepast op het RSR-bestand wil dit zeggen dat de verwerking van de door de verzekeraar verzamelde gegevens, het mogelijk moet maken om de doelstellingen van het bestand te bereiken. Volstaan de gegevens die in het RSR-bestand opgenomen worden om fraude te bestrijden en een correcte risicoberekening mogelijk maken? Zoals gezegd moet hierbij niet enkel rekening gehouden worden met het standpunt van de verzekeringsmaatschappijen, maar ook met het standpunt van de in het bestand opgenomen verzekeringsnemers. 137.
Het RSR-bestand heeft op dit punt kritiek gekregen van de Commissie voor de
Bescherming van de Persoonlijke levenssfeer in haar advies van 2000.172 De Commissie wijst in haar advies op de afwezigheid van specificiteit bij de registratie en de registratieredenen. Een te algemene omschrijving wijst op een gebrek aan transparantie en kan een vertekend beeld geven. De Commissie had onder meer problemen met de registratie wegens opzegging van de polis door de verzekeraar na meerdere schadegevallen. Vroeger, in de beginjaren van de databank, werd bij deze registratie geen onderscheid gemaakt naar gelang men aansprakelijk was of niet voor de schadegevallen die hebben geleid tot de opzegging van de polis. Het is evident dat het voor de verzekeringsnemer nochtans belangrijk kan zijn dat dit wordt vermeld. Stel, een verzekeringspolis wordt opgezegd omdat een verzekeringsnemer in twee jaar tijd bij vier kleine ongevallen betrokken is geweest waarvoor hij niet aansprakelijk was. Deze verzekeringsnemer zal uiteraard willen dat de afwezigheid van aansprakelijkheid voor de ongevallen wordt vermeld, want dit maakt van hem geen slecht risico. Deze situatie verschilt grondig met het geval waarbij hij voor alle vier de ongevallen aansprakelijk zou zijn geweest, want in dat geval vormt hij wel een slecht risico. Wanneer enkel wordt vermeld ‘opgezegd wegens meerdere schadegevallen’ kan dit dus een verkeerd beeld geven. De ongevallen kunnen het gevolg zijn van een ongelukkige samenloop van omstandigheden, die het niet verantwoorden dat de verzekeringsnemer wordt gezien als een slechte huisvader.173 Hetzelfde geldt voor het geval waarbij een andere toegelaten bestuurder dan de verzekeringsnemer zelf, de ongevallen met aansprakelijkheid veroorzaakte. De opzegging van het contract van de verzekeringsnemer, met de registratie in het RSR-bestand als gevolg, geeft ook in dit geval een verkeerd beeld van de verzekeringsnemer. 138. M.i. was dat een terechte kritiek op het RSR-bestand. Ik denk dat het niet enkel van belang is voor de reputatie van de verzekeringsnemer dat er een onderscheid wordt gemaakt tussen schadegevallen met en zonder aansprakelijkheid, maar dat het ook belangrijk is voor het rechtvaardigheidsgevoel van de betrokkene. Hij zou anders ten onrechte kunnen 172
Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 4 173 B. DUBUISSON, “Secrets, mensonges et confidences”, Rev. dr. U.L.B. 2000, 365
53
bestempeld worden als een ‘brokkenmaker’. De wet vereist dat de gegevens toereikend moeten zijn voor het bereiken van de doelstellingen. Daar het RSR-bestand als doelstelling heeft het premieniveau billijk houden door een correcte risicoberekening mogelijk te maken, is het m.i. voor deze risicoanalyse van belang om te weten hoeveel ongevallen effectief met aansprakelijkheid veroorzaakt werden door de kandidaat-verzekeringsnemer. Hoewel beide van tel zijn bij de berekening, worden ze toch met andere maten gewogen. Daarbij, moet het toereikend karakter ook vanuit het standpunt van de betrokkene worden bekeken. 139.
Naar aanleiding van deze kritiek heeft Datassur de registratie van opgezegde risico’s
gewijzigd.174 Het artikel drie van de RSR-overeenkomst voorziet nu dat bij de registratie moet worden vermeld:
het exacte aantal ongevallen waarbij de geregistreerde persoon was betrokken;
het aantal ongevallen die in aanmerking worden genomen waarvoor de geregistreerde persoon aansprakelijk was en het aantal ongevallen waarvoor hij niet aansprakelijk
was. Er zal dan, bij wijze van voorbeeld, vermeld staan: Meneer X is geregistreerd wegens opzegging van de verzekeringspolis na 5 schadegevallen, waarvan 3 met aansprakelijkheid. Dit geldt natuurlijk enkel voor de aansprakelijkheidsverzekeringen. Voor de andere verzekeringen wordt enkel het aantal schadegevallen gepreciseerd. 140. Deze problematiek is in 2000 ook het voorwerp geweest van een geschil voor de voorzitter van de rechtbank van eerste aanleg te Brussel.175 Het geschil is ontstaan naar aanleiding van de opzegging van het verzekeringscontract van de betrokkene en haar registratie in het RSR-bestand onder de vermelding ‘opzegging wegens meerdere schadegevallen’. De vrouw wenste dat haar gegevens uit het bestand werden verwijderd. Ze beweerde o.a. dat de gegevens die in de databank worden opgenomen niet toereikend, niet relevant en buitensporig zijn ten aanzien van de vooropgestelde doelstellingen. Ze gaf daarvoor de volgende twee redenen op. Als eerste bevat de registratie niet het aantal schadegevallen, waardoor een correcte risicoberekening niet mogelijk is. Ten tweede vermelden de gegevens niet of er al dan niet sprake is van aansprakelijkheid waardoor ze wellicht geen verzekeraar meer zou vinden die haar dekking wil verlenen, alleen vanwege het feit dat zij op ongelukkige wijze betrokken is geweest bij een aantal ongevallen waarvoor zij niet aansprakelijk was. De voorzitter wijst er voor eerst op dat de verzekeraars het risico beoordelen op grond van de gegevens die de kandidaat-verzekeringsnemer hen meedeelt en niet op grond van de gegevens die in de RSR-databank te vinden zijn. Het is ook op die gegevens dat een verzekeraar zich steunt om te weigeren een verzekeringscontract aan te gaan 174
D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 284 175 Rb. Brussel 19 december 2000, Computerr. 2002, 30 en T.Verz. 2001, 266, noot C. VAN OLDENEEL
54
en niet op de gegevens in het RSR-bestand. De gegevens in de databank worden enkel gebruikt om te controleren of de informatie die de potentiële verzekerde heeft meegedeeld overeenstemmen met de werkelijkheid. Verder oordeelt de voorzitter dat een verzekeringsmaatschappij zich niet kan vergissen omtrent de aansprakelijkheid van de verzekerde wanneer hij de vermelding ziet ‘opzegging: opeenvolgende schadegevallen’. De opzegging van de polis wegens een schadegeval waarbij de aansprakelijkheid wordt erkend, wordt onder een andere code in het RSR-bestand vermeld, namelijk ‘erkende aansprakelijkheid’. De vrouw kon ook niet bewijzen dat ze problemen had met het vinden van een nieuwe verzekeraar. De voorzitter besloot dan ook dat de in het geding zijnde gegevens overeenkomen met de doelstellingen van de gegevensverwerking.176 Dit is m.i. een correcte beslissing. De gegevens in de RSR-databank dienen inderdaad om de aan de verzekeraar meegedeelde informatie te kunnen verifiëren om zo een juiste risicoberekening mogelijk te maken. Risico- en premieberekening gebeuren niet op grond van de gegevens in de databank zelf, dit zou ook niet mogelijk zijn. Evenwel moet de vraag of de gegevens toereikend zijn, zoals hierboven werd aangehaald, ook bekeken worden vanuit het standpunt van de in het bestand geregistreerde persoon. Hoewel het dus volgens deze rechtspraak niet nodig was dat er een concretisering gebeurde van het aantal schadegevallen en van de aanwezigheid of afwezigheid van aansprakelijkheid, heeft Datassur dit toch gedaan. Dit is m.i. een goede beslissing geweest en toont aan dat Datassur inspanningen levert om te voldoen aan de kritieken van de Commissie en om te zorgen voor een adequate bescherming van de persoonlijke levenssfeer van de betrokkene. 141. Dezelfde opmerking kan gemaakt worden voor de registratie wegens ‘opzegging naar aanleiding van een weigering van dekking door de verzekeringsmaatschappij’. In dit geval kunnen er ook verschillende redenen zijn voor de opzegging van het contract, met gradaties van ernst. Er is een onderscheid tussen de weigering van dekking wegens een in het contract voorziene uitsluiting en de weigering van tussenkomst wegens een verval van verzekeringsdekking, een zware fout of een intentionele fout van de verzekeringsnemer. De laatste gevallen vormen duidelijk een groter risico voor de verzekeringsmaatschappij. Ik sluit mij aan bij de mening van DUBUISSON177, dat niet al deze geregistreerde personen een even slecht risico vormen. M.i. zou de reden van de weigering van dekking beter bij de registratie worden vermeld, zodat de verzekeraar kan overgaan tot een correcte risicoanalyse om zo de vooropgestelde doelstelling te bereiken. Dit wordt momenteel nog niet gedaan door Datassur. 142. Een andere kritiek wegens te weinig specificering heeft betrekking op de registratie wegens opzegging naar aanleiding van de niet-betaling van de premie. Er is een groot verschil tussen het in gebreke blijven van € 200 en het niet betalen van een premie van € 2000. Hier 176 177
Rb. Brussel 19 december 2000, Computerr. 2002, 30 en T.Verz. 2001, 266, noot C. VAN OLDENEEL B. DUBUISSON, “Secrets, mensonges et confidences”, Rev. dr. U.L.B. 2000, 365
55
kan men ook weer gaan argumenteren dat, om toereikend te zijn, het van belang is om het concrete bedrag van de achterstallen te gaan vermelden. Een persoon die in gebreke is € 2000 te betalen, vormt een groter risico dan een persoon die in gebreke is € 200 te betalen. M.i. is het ook voor de risicoberekening van belang om te weten welke het precieze bedrag is die niet werd betaald. Datassur werkte in het begin met een systeem van schijven om het bedrag van niet-betaling van de premie en franchise aan te duiden. Er waren drie schijven waarin de betrokkene kon worden ingedeeld. De eerste schijf bestond uit de niet-betaling van een bedrag van 1 – 50.000 BEF, de tweede schijf ging van 50.001 – 500.000 BEF en de derde schijf was elk bedrag boven de 500.001 BEF. Deze indeling per schijf was zeer ruim, waardoor grote verschillen konden bestaan binnen eenzelfde schijf. Iemand die in gebreke was zijn premie of franchise van 51.000 BEF te betalen werd gelijkgesteld aan iemand die een bedrag van 499.000 BEF verschuldigd was, hoewel ze een groot verschil in risico vormen. Het was dan ook zeer terecht dat verzekeringsnemers dit systeem veroordeelden. 143. Datassur heeft ook op dit punt de werking van het RSR-bestand aangepast aan de uitgesproken kritieken. Het systeem van de indeling van de bedragen in schijven werd verlaten. Er wordt nu gewerkt met de vermelding van precieze bedragen. Daarbij moeten twee bedragen worden vermeld, met name, het totaalbedrag van alle betaalde schadevergoedingen op het moment van de registratie en het totale opeisbare bedrag van de niet-betaalde premie en/of franchise.178 Deze precisering zorgt ervoor dat er een juister en transparanter beeld wordt weergegeven van de situatie van de geregistreerde persoon. 144. De geregistreerde persoon kan het ook belangrijk vinden dat de reden van de wanbetaling wordt vermeld in het RSR-bestand. Het kan zijn dat het voor de verzekeraar voldoende is dat er sprake is van wanbetaling, ongeacht de reden, maar dat die reden voor de geregistreerde persoon wel relevant is.179 Het is mogelijk dat de premie of de franchise niet wordt betaald omdat de verzekeringsnemer het bedrag betwist, omdat hij tijdelijk betalingsproblemen ondervindt of omdat hij gewoon geen zin heeft om te betalen. Elke verzekeraar heeft er baat bij niet te contracteren met wanbetalers om financiële verliezen te vermijden. De reden voor die wanbetaling is voor hen dan ook slechts bijzaak. De verzekerde die zijn premie niet betaalt omdat hij tijdelijk financiële problemen ondervindt, zal dit misschien wel graag vermeld zien, want dit is natuurlijk een groot verschil met de nietbetaling door een hardnekkige wanbetaler die wel de middelen heeft, maar gewoon niet wil betalen. Het RSR-bestand vermeldt enkel dat de verzekeringsovereenkomst werd opgezegd 178
D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 284-285 179 E. MEYSMANS, “Gevolgen voor de banksector van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens” in Bescherming van de persoonlijke levenssfeer. De wet van 8 december 1992 met betrekking tot de verwerking van persoonsgegevens. Gevolgen voor de banken, Belgische Vereniging van Banken, 1993, 13
56
wegens niet-betaling van de premie of franchise zonder vermelding van de reden van wanbetaling. De geregistreerde persoon heeft wel steeds het recht om de opname in het bestand te betwisten. Datassur controleert dan bij de betrokken verzekeraar of de opname in het bestand al dan niet gerechtvaardigd is. Als na dit onderzoek blijkt dat de opname in het bestand onrechtmatig was, dan wordt de registratie verwijderd. Blijkt dat niet het geval te zijn, dan wordt bij de registratie vermeld dat ze ‘betwist’ wordt. Als de achterstallige premie alsnog betaald wordt, gaat Datassur bijna onmiddellijk over tot schrapping van de registratie. M.i. volstaat deze procedure om te voldoen aan de vereiste van het ‘toereikend’ zijn van de persoonsgegevens. De verplichting opleggen om telkens de reden van wanbetaling te achterhalen en te vermelden is naar mijn mening een te verregaande eis die alleen tot bijkomende administratieve verplichtingen aanleiding geeft. Het lijkt mij weinig waarschijnlijk dat het voor verzekeraars een verschil zal uitmaken of de reden van wanbetaling al dan niet vermeld wordt, waardoor die extra administratieve werken en de daarmee samenhangende kosten een brug te ver zouden zijn.
5.2
DE PERSOONSGEGEVENS MOETEN TER ZAKE DIENEND ZIJN
145. De vraag of een bepaald gegeven ter zake dienend is, moet beantwoord worden aan de hand van een beoordeling in concreto, rekening houdend met de doeleinden waarvoor ze verkregen werden. Er zal dus geval per geval moeten onderzocht worden of de gegevens relevant zijn om de vooropgestelde doeleinden te bereiken. Het is bijvoorbeeld zeer duidelijk dat het aantal huisdieren waarover een persoon beschikt irrelevant is voor het berekenen van zijn risiconiveau bij het aangaan van een WAM-verzekering. 146. De gegevens die worden opgenomen in het RSR-bestand180 bij een registratie zijn ter zake dienend. Er kan niet worden gezegd dat er gegevens verwerkt worden die niet relevant zijn voor het bestrijden van fraude of voor de risicoberekening. 147. Er kan wel een bedenking gemaakt worden bij de ‘opzegging van het contract wegens niet-betaling van de verzekeringspremie’ als registratiereden zelf. Is deze registratie wel relevant om de doelstelling van het RSR-bestand te bereiken? De Commissie voor de Bescherming van de Persoonlijke Levenssfeer wees in haar advies van 2000181 reeds op dit proportionaliteitsprobleem, net zoals professor DUBUISSON.182 Ik moet mij bij deze mening aansluiten. Het doel van het RSR-bestand is een correcte risicoberekening mogelijk maken 180
Zie randnummer 34 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 5 182 B. DUBUISSON, “Secrets, mensonges et confidences”, Rev. dr. U.L.B. 2000, 364-365 181
57
om zo voor iedereen een billijk premieniveau te kunnen aanhouden. Die risicoanalyse is een objectieve analyse van de kans dat het verzekerde risico zich zal voordoen en dat de verzekeraar bijgevolg dekking zal moeten verlenen. Hoe groter de kans is dat het risico zich realiseert, hoe hoger de premie moet zijn om de verzekeraar toe te laten zijn verbintenissen na te komen. Het risico in deze context is het zich voordoen van de verzekerde situatie.183 Het behoeft geen uitleg dat verzekeringsmaatschappijen commerciële ondernemingen zijn die winstmaximalisatie nastreven.184 Zij nemen dan ook een financieel risico wanneer zij contracteren met personen die betalingsmoeilijkheden hebben. Het is dan ook logisch dat zij zoveel mogelijk het risico op wanbetaling willen vermijden door informatie over slechte betalers aan elkaar door te geven. Het risico van wanbetaling wijst dus op het risico van een financieel verlies voor de verzekeringsonderneming. Het woord ‘risico’ wordt hier dus in een volledig andere betekenis gebruikt dan in de context van de risicoanalyse voor de premieberekening. Strikt genomen hebben beide niets met elkaar te maken.185 Het feit dat iemand in gebreke blijft zijn premie te betalen, heeft geen enkele invloed op de kans dat de verzekerde situatie zich voordoet. Er kan niet worden beweerd dat een persoon die zijn premie gedurende drie maand niet betaalt, meer kans heeft op het veroorzaken van verkeersongevallen, zodat hij een groter risico vormt en bijgevolg een hogere premie moet betalen. Het is dan ook moeilijk te verantwoorden dat de registratie wegens niet-betaling van de premie ter zake dienend en relevant is voor het bereiken van de door Datassur vooropgestelde doelstelling. De Commissie voor Bescherming van de Persoonlijke Levenssfeer wijst er op dat een verzekeraar bij wanbetaling over genoeg sanctiemogelijkheden beschikt. Overeenkomstig de wet op de landverzekeringsovereenkomst kan de verzekeraar, nadat hij de verzekeringsnemer in gebreke heeft gesteld, overgaan tot de schorsing van de dekking of tot opzegging van het verzekeringscontract.186 148. Nochtans is het in de praktijk voor verzekeringsmaatschappijen van belang dat zij gewaarschuwd worden voor slechte betalers om op een efficiënte en rendabele manier verzekeringsprestaties te kunnen aanbieden. Sancties zoals schorsing van de dekking of opzegging van de polis kunnen niet vermijden dat de verzekeraar financiële verliezen lijdt, omdat hij bepaalde onbetaalde premies niet meer kan invorderen. Indien hij geen kennis zou hebben van dit risico, zou hij de eventuele verliezen kunnen incalculeren in de premies van alle verzekerden. Dit komt dan ook weer ten koste van de modale verzekeringsnemer die met zijn betalingen in orde is. De registratie zorgt er op deze manier dus wel voor dat de premies voor iedereen op een billijk niveau blijven, maar voor de berekening van het risico en de premie van deze persoon mag dit geen belang hebben. De registratie van wanbetalers streeft m.i. dan ook een rechtmatig belang na, maar dit is niet de doelstelling die door Datassur werd 183
B. DUBUISSON, “Secrets, mensonges et confidences”, Rev. dr. U.L.B. 2000, 364-365 B. WEYTS, “Verzekeraars en de antidiscriminatiewet”, NJW 2004, 1089 185 B. DUBUISSON, “Secrets, mensonges et confidences”, Rev. dr. U.L.B. 2000, 364-365 186 Artikel 14 en 15 wet van 25 juni 1992 op de landverzekeringsovereenkomst, BS 20 augustus 1992, 18283 184
58
vooropgesteld. Hoewel dit belang naar mijn mening zou voldoen aan het proportionaliteitsbeginsel en het wettigheidsbeginsel, is de registratie van wanbetalers strikt genomen niet ter zake dienend voor de vooropgestelde doeleinden.
5.3
DE PERSOONSGEGEVENS MOGEN NIET OVERMATIG ZIJN
149. Deze vereiste is de tegenhanger van de vereiste dat persoonsgegevens toereikend moeten zijn. Waar het bij het criterium van toereikende gegevens noodzakelijk was dat er voldoende gegevens werden verzameld, mogen er hier niet té veel gegevens worden verzameld. M.a.w., er mogen niet te weinig, maar ook niet te veel gegevens worden verzameld voor de verwerking. Dit principe verwijst naar de zogenaamde ‘stofzuigerbenadering’187: laten we maar zoveel mogelijk gegevens verzamelen, je weet maar nooit waarvoor het goed is, de computer heeft toch plaats genoeg. Het spreekt voor zich dat dit ten stelligste mate moet worden vermeden, zeker wanneer het gaat om persoonsgegevens die worden opgenomen in zwarte lijsten. Het overmatig karakter van de geregistreerde gegevens kan ofwel het gevolg zijn van een te grote hoeveelheid aan gegevens, rekening houdend met de doelstellingen van de verwerking, ofwel het gevolg zijn van een te lange bewaringstermijn.188 Er zal bij de toepassing van dit principe weer dezelfde afweging moeten worden gemaakt tussen de belangen van de betrokken personen en die van de gebruikers van de databank.189 Inzake de bewaringstermijn van de gegevens voorziet artikel 4§1, 5° van de wet verwerking persoonsgegevens in een aparte regeling. 150. Gelet op de gegevens die worden geregistreerd bij de opname in het RSR-bestand190 kan er, gelet op de doeleinden, niet worden gezegd dat er teveel gegevens worden verzameld.
5.4
DE ACTUALITEIT VAN DE PERSOONSGEGEVENS
151. De geregistreerde gegevens moeten nauwkeurig zijn en, zo nodig, worden bijgewerkt. Deze bepaling moet worden samen gelezen met artikel 16§2, 1° van de wet verwerking persoonsgegevens. Dit artikel legt de verantwoordelijke voor de verwerking de verplichting 187
E. MEYSMANS, “Gevolgen voor de banksector van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens” in Bescherming van de persoonlijke levenssfeer. De wet van 8 december 1992 met betrekking tot de verwerking van persoonsgegevens. Gevolgen voor de banken, Belgische Vereniging van Banken, 1993, 14; D. DE BOT, “Art. 4 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 5 188 E. MEYSMANS, “Gevolgen voor de banksector van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens” in Bescherming van de persoonlijke levenssfeer. De wet van 8 december 1992 met betrekking tot de verwerking van persoonsgegevens. Gevolgen voor de banken, Belgische Vereniging van Banken, 1993, 14 189 Zie randnummers 111-120 190 Zie randnummer 34
59
op om er nauwlettend over te waken dat de gegevens worden bijgewerkt, dat onjuiste, onvolledige en niet ter zake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met de artikelen vier tot acht, worden verbeterd of verwijderd. Er moet dus een permanente bijwerking gebeuren zodat de geregistreerde gegevens voldoende actueel blijven. 152. De verplichting tot bijwerking van de gegevens moet beoordeeld worden aan de hand van het zorgvuldigheidscriterium, aangezien de wet aangeeft dat hiervoor ‘alle redelijke maatregelen’ moeten genomen worden. Deze verplichting is dus een middelenverbintenis en geen resultaatsverbintenis. De verantwoordelijke voor de verwerking moet instaan voor de kwaliteit van de gegevens zoals een redelijk, voorzichtig en vooruitziende verantwoordelijke.191 153. De gegevens die in het RSR-bestand opgenomen worden, zijn de gegevens die door de verzekeringsmaatschappij van de betrokkene aan Datassur werden doorgegeven. Het zijn dus in de eerste plaats zij die er op moeten toezien dat de gegevens die ze doorgeven nauwkeurig zijn en dat de nodige wijzigingen aan die gegevens doorgevoerd worden. Deze verplichting hebben zij op zich genomen bij de toetreding tot het RSR-bestand. De gegevens die doorgeven worden, moeten correct zijn en mogen enkel in de daarin voorziene gevallen worden meegedeeld. De gegevens van de opzegging wegens wanbetaling mogen bijvoorbeeld niet aan Datassur doorgegeven worden wanneer de verzekerde niet heeft betaald op grond van de exceptio non adimpleti contractus. Een registratie mag ook niet gebeuren indien de wanbetaling het gevolg is van een betwisting van de hoogte van het bedrag. Slechts indien niet wordt betaald na de beslechting van het geschil, is een registratie verantwoord. Dergelijke registraties zouden een schending zijn van het proportionaliteitsbeginsel en een inbreuk maken op de rechten van de betrokkene. 192 Het is aan de verzekeringsmaatschappijen om geen zo’n registraties door te voeren. Ook als er zich na de registratie een wijziging voordoet, moet de verzekeraar dit onmiddellijk aan Datassur melden. Als er bijvoorbeeld een registratie van de opzegging wegens niet-betaling van de premie werd uitgevoerd en twee maanden later wordt deze premie uiteindelijk toch betaald, dan is het aan de verzekeraar om dit onmiddellijk aan Datassur te melden. Op die manier kan meteen overgegaan worden tot schrapping van de registratie. 154. Datassur voert geen a priori controle uit van de gegevens die ze heeft verkregen en die in het bestand opgenomen worden. Ze vertrouwt op de correcte naleving van de wet en de toetredingsovereenkomst door haar leden. Datassur staat enkel in voor het beheer en de 191
D. DE BOT, “Art. 4 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 5 192 J. DHONT, “Le traitement des données à caractère personnel dans les secteur d’assurances. La légalité des banques de données”, Rev. dr. U.L.B. 2000, 327
60
administratie van het RSR-bestand.193 Toch voldoet Datassur m.i. aan de verplichting van artikel 4§1, 3° , niet enkel omdat ze haar leden de verplichting194 heeft opgelegd om de wet na te leven, maar ook omdat ze voorziet in een a posteriori controle van de gegevens. Er is eerst en vooral het absolute recht van verbetering die de betrokkene kan uitoefenen. Een persoon kan altijd de gegevens die op hem betrekking hebben inzien en onjuiste gegevens laten corrigeren of schrappen. Dit recht zorgt er ten dele voor dat er een controle is op de nauwkeurigheid van de gegevens en dat onjuiste gegevens kunnen bijgewerkt worden. Daarnaast organiseert Datassur ook jaarlijks een tiental kwaliteitsaudits bij de gebruikers van het bestand. Er wordt hierbij onderzocht of de RSR-overeenkomst en de interne reglementen door alle gebruikers van de databank nageleefd worden. Blijkt uit die audit dat er een tekortkoming is in de naleving, dan wordt de verzekeringsmaatschappij aangespoord om dit te veranderen. Het volgende jaar wordt deze onderneming dan aan een nieuwe audit onderworpen. In 2010 werd bijvoorbeeld bij een audit vastgesteld dat een onderneming niet stelselmatig overging tot de door Datassur meegedeelde bijwerkingen.195 155. Ik ben dan ook van mening dat Datassur ‘alle redelijke maatregelen’ heeft genomen om de nauwkeurigheid en de bijwerking van de gegevens te verzekeren. Een volledige a priori controle van elke registratie en opvolging ervan zou m.i. onwerkbaar zijn. Een sluitend systeem, zonder de kleinste fout, is naar mijn mening ook gewoon niet haalbaar. 156. De rechtbank van eerste aanleg te Brugge196 heeft zich hierover al uitgesproken en oordeelde ook dat Datassur haar zorgvuldigheidsplicht heeft nagekomen en alle op haar rustende verplichtingen heeft gekweten. De zaak had betrekking op een vrouw die in het RSR-bestand werd opgenomen wegens ‘niet-overeenstemming van de schadeaangifte’. De vrouw wenste de schrapping van haar gegevens te bekomen, omdat ze van oordeel was dat de poging tot fraude niet werd bewezen en dus ook niet in het bestand mocht opgenomen worden. Een van haar bezwaren tegen de registratie was dat Datassur haar zorgvuldigheidsplicht niet had nageleefd. De vrouw was van mening dat de gegevens met de nodige zorgvuldigheid hadden moeten worden verwerkt en ze niet slaafs hadden mogen worden overgenomen, maar eerst hadden moeten geverifieerd worden. Datassur verweert zich hier tegen door te stellen dat zij overeenkomstig haar statuten enkel optreedt als beheerder van het bestand. Zij registreert en beheert enkel de gegevens die zij van haar leden heeft verkregen. Volgens haar statuten is elk lid zelf verantwoordelijk voor de naleving van de wet, de huishoudelijke regelementen, de handleiding bij de bestanden en dus ook voor de juistheid 193
Artikel 4 van de statuten van het ESV Datassur, BS 03/11/2011 Aan de hand van de toetredingsovereenkomst en het interne reglement van het RSR-bestand. Zie artikel 7 van de statuten van het ESV Datassur, BS 03/11/2011 195 DATASSUR ESV, Jaarverslag 2010, www.datassur.be, 9 196 Rb. Brugge 31 oktober 2001, T.Verz. 2006, afl. 1, 52 bevestigd door Gent (1e k.) 13 oktober 2005, T.Verz. 2006, afl. 1, 52 194
61
van de gegevens die het ter registratie meedeelt. Zij stelt verder dat zij geen enkele appreciatiebevoegdheid heeft wanneer een verzekeringsovereenkomst wordt opgezegd wegens tegenstrijdige verklaringen. Het is aan de verzekeringsmaatschappij om correct het huishoudelijk regelement en de handleiding van het bestand na te leven. De rechtbank was van mening dat de controle op de inhoud van de gegevens door Datassur beperkt is tot een marginale toetsing. Gelet op de hoeveelheid aan gegevens die in het bestand opgenomen worden en op het feit dat Datassur als beheerder niet over de concrete feiten van de opzegging beschikt, maar daarvoor volledig afhankelijk is van de verzekeringsmaatschappij, benadrukt de rechtbank dat een volledige inhoudelijke controle van de gegevens onmogelijk is. De rechtbank oordeelt dat de zorgvuldigheidsplicht slechts in beperkte mate betrekking heeft op het niveau van de inhoud van de gegevens, maar zich vooral situeert op de manier waarop de gegevens verwerkt worden. Datassur blijft wel verantwoordelijk voor de controle of de gegevens niet manifest verkeerd, verboden of niet ter zake dienend zijn. Ze is echter vooral verantwoordelijk voor de zorgvuldigheid bij de controle van de bronnen die de gegevens verstrekken, voor het correct doorvoeren van meegedeelde wijzigingen, het naleven van informatieverplichtingen, recht van toegang en verbetering, enz. De rechtbank besluit dat Datassur op een zorgvuldige manier de gegevens verwerkt en haar dus niets kan worden verweten.197 157. VAN OLDENEEL198 merkt daarbij terecht op dat Datassur wel nog steeds de verantwoordelijke blijft voor de verwerking en dus ook de verantwoordelijkheid draagt voor de naleving van de wet verwerking van persoonsgegevens. Zoals de rechtbank hier heeft beslist, wil dit niet zeggen dat de verantwoordelijke zelf al de gegevens moet controleren op hun waarheid, maar wil dit zeggen dat ze moet voorzien in een systeem dat de nodige waarborgen op de naleving van de wet kan verlenen. Het systeem moet werken aan de hand van eenvoudige en precieze registratiecriteria, aangepaste procedures die leden verplicht moeten volgen, controle op deze procedure, voorzien in systemen om fouten op te sporen en aan te passen, enz. Het mag duidelijk zijn dat Datassur aan deze verplichting voldoet en dus handelt in overeenstemming met artikel 4, 4° en artikel 16§2, 1° van de wet, ook al controleert ze a priori de juistheid van de gegevens niet. Sluipt er toch een gegeven in het bestand die niet in overeenstemming is met de wet, dan is Datassur daar natuurlijk wel nog steeds aansprakelijk voor als verantwoordelijke voor de verwerking en dit zowel civielrechtelijk als strafrechtelijk.
197
Rb. Brugge 31 oktober 2001, T.Verz. 2006, afl. 1, 52 C. VAN OLDENEEL, “Gunstige rechtspraak jegens Datassur bevestigd in beroep” (noot onder Rb. Brugge 31 oktober 2001 en Gent 13 oktober 2005), T.Verz. 2006, afl. 1, 56-57 198
62
5.5
DE
PERSOONSGEGEVENS MOGEN NIET LANGER BEWAARD WORDEN
DAN NOODZAKELIJK
158. Persoonsgegevens mogen niet langer bewaard worden dan wat noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij verkregen worden of verder verwerkt worden. Voor elke registratie moet dus een bewaringstermijn bepaald worden die evenredig is aan de vooropgestelde doeleinden. 159.
De bewaringstermijn van de registraties is een ander punt die sinds het ontstaan van de
RSR-databank werd aangepast aan de vaststellingen van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Bij de oprichting van de databank in 1996 werden alle registraties, ongeacht de registratiereden, bewaard voor een periode van vijf jaar. Door de zogenaamde ‘Release 3 van het RSR-bestand’ is daar in 2001 verandering in gekomen. De algemene bewaringstermijn is nog steeds vijf jaar, maar voor bepaalde registratieredenen werd daarvan afgeweken. 160. Eerst en vooral werd de termijn voor de ‘verzwaarde risico’s’ verdubbeld. Die gegevens blijven nu tien jaar bewaard in de databank. Het gaat hier om de registratie van zware feiten, namelijk verzekeringsfraude die duidelijk bewezen werd. Het is voor verzekeringsmaatschappijen van groot belang om verzekeringsfraude zoveel mogelijk tegen te gaan. Een van de weinige mogelijkheden die zij hebben in de strijd tegen verzekeringsfraude, is het systeem van databanken om elkaar te waarschuwen voor fraudeurs. Er wordt slechts geregistreerd wanneer de fraude bewezen is, loutere speculaties kunnen niet in het bestand opgenomen worden. De registratie kan geschrapt worden indien er een gerechtelijke uitspraak is die de betrokkene vrijspreekt. Uit cijfers van de ombudsman blijkt dat de betrokkenen bij de registratie wegens fraude vooral problemen hebben met de lange duur van de registratie.199 Tien jaar is een lange termijn en verzwarend daarbij is dat er geen enkele mogelijkheid is voorzien om de registratie voortijdig te schrappen. Er wordt dan ook nog eens geen onderscheid gemaakt tussen de gradaties van fraude. De registratietermijn van tien jaar is m.i. een correcte termijn en gaat niet verder dan wat noodzakelijk is om de doelstelling van fraudebestrijding te bereiken, maar dan enkel wat betreft zwaarwichtige fraudegevallen. Ik ben echter wel van mening dat zou moeten worden voorzien in een procedure waarbij een registratie vroeger kan geschrapt worden indien aan bepaalde voorwaarden is voldaan. Bijvoorbeeld, een man dient een schadeclaim in die niet overeenstemt met de werkelijkheid voor een bedrag van € 200. De man erkent zijn fout en betaalt de verkregen sommen alsook alle daarvoor gemaakte kosten terug. De man wordt alsnog geregistreerd als verzwaard risico in het RSR-bestand en dit voor een periode van tien jaar. In dergelijke gevallen is er effectief 199
OMBUDSMAN VAN DE VERZEKERINGEN, zakboekje 2009, www.ombudsman.as/nl/publications/index.asp, 82
63
sprake van fraude die bewezen is200 en is de registratie m.i. wel gerechtvaardigd. Toch ben ik wel van mening dat een bewaringstermijn van tien jaar in dit geval disproportioneel is. Tien jaar lang zal de man met deze registratie geconfronteerd worden telkens hij een nieuwe verzekering wil aangaan, met alle gevolgen van dien.201Het zou in zo’n situaties m.i. beter zijn om ofwel te voorzien in een kortere bewaringstermijn ofwel te voorzien in een procedure met vaste criteria om een vervroegde schrapping te bekomen. 161. Een andere verandering werd doorgevoerd voor de bewaringstermijn van registraties wegens niet-betaling van de verzekeringspremie en/of de franchise. In dit geval is de termijn ingekort tot drie jaar. Er kan hier toepassing gemaakt worden van ‘het recht om vergeten te worden’. Het kan niet zijn dat een persoon die op een welbepaald moment financiële problemen ondervindt daar nog jaren lang door achtervolgd wordt. Dit zou niet meer evenredig zijn en veel verder gaan dan noodzakelijk is, gelet op de beoogde doelstellingen. De vernieuwde termijn van drie jaar is m.i. dan ook een gerechtvaardigde termijn. 162. De termijn van drie, vijf of tien jaar gaat in op de datum van de vaststelling van de feiten die aanleiding hebben gegeven tot de registratie. Die datum is niet noodzakelijk gelijk aan de datum van de registratie. De vaststelling van de feiten zal echter in de meeste gevallen wel op dezelfde dag of enkele dagen vroeger plaatsvinden.202 In principe blijft elke registratie gedurende de volledige termijn in het bestand zichtbaar. Hierop zijn slechts twee uitzonderingen. Vooreerst kan een registratie eerder uit het bestand verwijderd worden wanneer er succesvol een recht tot verbetering uitgeoefend werd door de betrokkene. Elke geregistreerde persoon heeft het recht om onjuiste gegevens die op hem betrekking hebben te laten schrappen. Is Datassur van oordeel dat er effectief een foute registratie werd doorgevoerd, dan moet er onmiddellijk worden overgegaan tot schrapping van de gegevens uit de databank. Een tweede manier om de gegevens vroegtijdig uit het bestand te laten verwijderen, is het betalen van de verschuldigde premie die aanleiding heeft gegeven tot de opzegging van de polis en de registratie. Indien vaststaat dat de achterstallige gelden betaald werden, volgt in principe zo snel mogelijk203 de schrapping van de gegevens uit de databank. 163. De wet verlangt ook hier dat de verantwoordelijke voor de verwerking de naleving van de redelijke bewaringstermijnen verzekert. Door de ondertekening van de RSR-overeenkomst hebben de leden de verbintenis aangegaan om geen kopieën te houden van registraties als deze uit de RSR-databank verdwijnen omdat hun bewaartermijn is verstreken of na 200
De man heeft zelf schuld bekend. Eventueel een hogere premie, slechtere voorwaarden. Dit is wel niet noodzakelijk het geval. De persoon heeft altijd de mogelijkheid om de reden van de registratie aan zijn potentiële verzekeraar uit te leggen. 202 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 283-284 203 Dezelfde dag of de dag erna 201
64
schrapping van de registratie door Datassur.204 De controle op de naleving van deze verplichting gebeurt ook hier weer aan de hand van kwalitatieve audits die Datassur doorvoert. Deze audits tonen aan dat slechts in een zeer gering aantal gevallen registraties toch langer bewaard blijven dan de vooropgestelde termijnen. Deze verzekeringsmaatschappijen worden dan aangespoord om de gegevens onmiddellijk te verwijderen.
6. Verboden verwerkingen van persoonsgegevens 6.1
GEVOELIGE GEGEVENS
164. Bepaalde verwerkingen van persoonsgegevens worden uitdrukkelijk door de wet verboden. Het eerste verbod is terug te vinden in artikel zes van de wet verwerking persoonsgegevens. Dit artikel verbiedt de verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de verwerking van persoonsgegevens die het seksuele leven betreffen. De invoering van dit verbod werd ingegeven door de bezorgdheid voor het ontstaan van discriminatie.205 Het RSRbestand voldoet volledig aan deze wetsbepaling. Er worden geen dergelijke gevoelige gegevens geregistreerd, zodat discriminatie op grond van deze kenmerken niet kan voorkomen.
6.2
MEDISCHE GEGEVENS
165. Een andere verbodsbepaling is terug te vinden in artikel zeven van de wet. Het is verboden om persoonsgegevens die de gezondheid betreffen te verwerken. De tweede paragraaf van dat artikel vermeldt wel de mogelijke uitzonderingen op het verbod. Dit verbod is in het kader van de verzekeringsactiviteit van bijzonder belang voor de levensverzekeringen. Dat medische gegevens gevoelige gegevens zijn, blijkt al uit artikel 95 van de wet op de landverzekeringsovereenkomst. Voor het sluiten van levensverzekeringen wordt door de verzekeraar vaak een geneeskundige verklaring gevraagd van de verzekerde. De wet geeft de mogelijkheid aan de door de verzekerde gekozen arts om een geneeskundig verslag op te maken van diens gezondheidstoestand. De arts kan dit doen, maar wordt daar helemaal niet toe verplicht door de wet. Hij mag ook enkel die informatie meedelen die pertinent is gelet op het risico waarvoor de verklaringen opgemaakt worden en hij moet zich 204
D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 283 205 Wetsontwerp tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, Parl. St. Kamer 1990-1991, nr.1610/01, 11
65
beperken tot de informatie over de huidige gezondheidstoestand. Informatie over vroegere aandoeningen, irrelevante informatie, genetische informatie of gezondheidsgegevens over andere personen dan de verzekerde zijn uit den boze. Deze strenge beperkingen benadrukken het gevoelige karakter van medische gegevens. Het kan dan ook niet verwonderen dat er een verbod werd ingevoerd op de verwerking van deze gegevens. Het zou maatschappelijk niet te verantwoorden zijn dat dergelijke medische gegevens in een databank zouden opgenomen worden om uitgewisseld te worden in de ganse verzekeringssector. Toch bestonden vroeger de zogenaamde VB-meldingen, de Verdeelbureau-meldingen in de sector Leven. In dit bestand werd informatie van verzekerden opgenomen voor de sector van de levensverzekeringen en ziekteverzekeringen. De oprichting van het RSR-bestand deed weliswaar dit oude bestand verdwijnen, maar er kwam in 1997 een nieuw bestand voor de sector Leven. Deze databank heeft slechts drie jaar bestaan. Het bijhouden en verspreiden van persoonsgegevens in die branche was niet alleen zonder meer in strijd met de wetgeving op de bescherming van de persoonlijke levenssfeer, maar druiste ook in tegen de heersende maatschappelijke visie op deze problematiek. Datassur heeft m.i. dan ook correct gehandeld door deze databank te verwijderen. Er is ook geen enkele uitzondering uit paragraaf twee van artikel zeven die in dit geval toepassing kan vinden. Levensverzekeringen zijn verzekeringscontracten die afgesloten worden door personen die effectief die verzekering willen aangaan. Wanbetaling komt hier dan ook veel minder voor. Fraude komt iets vaker voor, maar aangezien de bewijslast hoog ligt en de verzekeraar andere middelen ter beschikking heeft om die fraude aan te pakken, is het ook voor deze gevallen niet nodig dat een databank aangelegd wordt. Het verder laten bestaan van de databank zou m.i. een onnodige en ongerechtvaardigde inbreuk op de rechten van de betrokkenen geweest zijn.
6.3 166.
GERECHTELIJKE GEGEVENS
Een laatste verbod wordt opgelegd door artikel acht van de wet verwerking
persoonsgegevens. Het is niet toegestaan om persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve gerechten, inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven, of inzake administratieve sancties of veiligheidsmaatregelen te verwerken. Dit staat beter bekend als het verbod op de verwerking van ‘gerechtelijke gegevens’. Met deze regeling wou de wetgever voorzien in een bijzondere waarborg voor deze zeer gevoelige gegevens. De verwerking van gerechtelijke gegevens kan enkel gebeuren in een bepaald aantal gevallen die voorzien zijn bij wet of koninklijk besluit en waarbij een bijzondere procedure moet gevolgd worden.206 De omschrijving ‘gerechtelijke gegevens’ moet restrictief geïnterpreteerd worden. De gegevens 206
Wetsontwerp tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, Parl. St. Kamer 1990-1991, nr.1610/01, 15
66
moeten rechtstreeks verband houden met de geschillen die zijn voorgelegd aan hoven, rechtbanken of administratieve rechtscolleges, met de verdenkingen of met de veroordelingen. Dit volgt uit de memorie van toelichting bij de omzetting van de EU-richtlijn.207 Er wordt daarin gewezen op het verschil in formulering tussen artikel zes en artikel acht van de wet. Uit die formulering kan afgeleid worden dat het artikel zes een veel ruimere draagwijdte heeft. Het is voldoende dat uit de verzamelde gegevens het ras, de etnische afstamming, enz. kan afgeleid worden. De persoonsgegevens zelf moeten niet noodzakelijk rechtstreeks betrekking hebben op het ras, de etnische afstamming, enz. Bij artikel acht wordt het woord ‘afgeleid’ niet gebruikt. Het feit dat uit de gegevens een geschil, verdenking of veroordeling kan afgeleid worden is niet voldoende om te kunnen spreken van gerechtelijke gegevens. Een gegeven dat enkel vatbaar is voor de onthulling van een geschil of strafbaar feit, maakt geen onderdeel uit van het verbod van verwerking van artikel acht.208 167. Er is al verscheidene keren opgeworpen dat bepaalde gegevens die Datassur in het RSR-bestand opneemt, verboden gerechtelijke gegevens zijn.209 De registratie van de opzegging van het verzekeringscontract wegens meerdere schadegevallen kan niet worden als een gerechtelijk gegeven. Dit wordt ook zo erkend door de rechtspraak. De rechtbank van eerste aanleg te Brussel stelt uitdrukkelijk dat uit het woord ‘schadegeval’ niet volgt dat de betrokkene een strafbaar feit zou hebben begaan of dat hij verdacht zou worden van een overtreding van het Belgische verkeersreglement.210 Nochtans was de Commissie voor de Bescherming van de Persoonlijke Levenssfeer van oordeel dat de opzegging na één of meerdere schadegevallen met aansprakelijkheid moest worden gezien als een gerechtelijk gegeven. Ze argumenteerde daarbij dat de verwoording ‘aansprakelijkheid’ onvermijdelijk doet denken aan een wetsovertreding, een gerechtelijke vervolging en zelfs aan een veroordeling.211 De Commissie geeft ook enkele voorbeelden van gegevens die betrekking hebben op een strafrechtelijk dossier of op zaken die aan de rechtbanken en hoven zijn voorgelegd. Ze vermeldt de gerechtelijke erkenning van aansprakelijkheid, veroordelingen voor dronkenschap achter het stuur en een gerechtelijk verhaal uitgeoefend door de maatschappij.212 In deze gevallen moeten die gegevens volgens de Commissie uit het RSR207
Memorie van Toelichting bij het wetsontwerp tot omzetting van de Richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, Parl. St. Kamer 1997-1998, nr. 1566/1, 33-34 208 C. VAN OLDENEEL, “Une décision qui donne raison à Datassur” (noot onder Rb. Brussel 19 december 2000), T.Verz. 2001, 279-280 209 Rb. Brussel 19 december 2000, Computerr. 2002, 30 en T.Verz. 2001, 266, noot C. VAN OLDENEEL; Rb. Brugge 31 oktober 2001, T.Verz. 2006, afl. 1, 52; Rb. Nijvel 28 oktober 2003, T.Verz. 2004, 50, noot C. VAN OLDENEEL; Rb. Brussel (8e k.) 11 juni 2004, T.Verz. 2005, afl. 1, 47, noot C. VAN OLDENEEL 210 Rb. Brussel 19 december 2000, Computerr. 2002, 30 211 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 276 212 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake
67
bestand kunnen verdwijnen, omdat ze enkel mogen verwerkt worden onder toezicht van een openbare overheid.213 Datassur weerlegt deze redenering door te verwijzen naar de restrictieve interpretatie van het artikel acht zoals blijkt uit de voorbereidende werken. 214 Dit is m.i. ook volledig correct. De voorbeelden die de Commissie aanreikt hebben betrekking op gegevens die niet in de databank opgenomen worden. Het kan zijn dat er persoonsgegevens in het bestand zijn opgenomen van een verzekerde die werd veroordeeld voor dronkenschap achter het stuur, maar de link met deze veroordeling zal nooit in het bestand te vinden zijn. Het is niet voldoende dat uit de gegevens een geschil, verdenking of veroordeling kan afgeleid worden, waardoor de redenering van de Commissie niet opgaat. 168. Dezelfde discussie is gerezen naar aanleiding van de registratie als ‘verzwaard risico’. Het gaat daarbij om de registratie wegens niet-overeenstemming met de verklaring bij de contractsluiting, niet-overeenstemming met de schadeaangifte, meerdere dekkingen tot vergoeding van een zelfde risico, deelneming aan het vastgestelde feit, een opzettelijk feit en registratie wegens de verklaring van een schadegeval dat voor de contractsluiting plaatsvond en verborgen werd gehouden. Het is duidelijk dat dit allemaal gegevens zijn die aanleiding kunnen geven tot verdenkingen of procedures, maar die niet noodzakelijk ook daadwerkelijk het voorwerp zijn geweest van een gerechtelijke procedure. De Commissie voor de Bescherming van de Persoonlijke Levenssfeer heeft hier wel uitdrukkelijk geoordeeld dat deze gegevens geen gerechtelijke gegevens zijn in de zin van artikel acht van de wet. De registratie rust op feitelijke vaststellingen gedaan door de betrokken verzekeringsmaatschappij en die voldoende bewezen zijn.215 169. De rechtspraak heeft ook voor de registratie van verzwaarde risico’s beslist dat dit geen verboden gerechtelijke gegevens zijn. Een eerste uitspraak over deze materie werd gedaan door de rechtbank van eerste aanleg te Brugge in 2001 die werd bevestigd door het hof van beroep te Gent in 2005216. In dit geval werd de betrokkene geregistreerd als verzwaard risico wegens niet overeenstemming met de schadeaangifte. De verzekerde was het slachtoffer geweest van een autodiefstal. In de aangifte die werd gedaan bij de politie verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 7 213 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 7 214 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 277-278 215 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 7 216 Rb. Brugge 31 oktober 2001, T.Verz. 2006, afl. 1, 52 bevestigd door Gent (1e k.) 13 oktober 2005, T.Verz. 2006, afl. 1, 52
68
vermeldde het slachtoffer dat de sleutels nog op het contact van de auto zaten, maar hij had nagelaten deze informatie ook aan de verzekeraar mee te delen. Naar aanleiding hiervan weigerde de verzekeraar te vergoeden, heeft hij het contract opgezegd en liet hij de betrokkene registreren in het RSR-bestand. De verzekerde stelde daarna een eis in tot schrapping van zijn registratie voor de voorzitter van de rechtbank van eerste aanleg. 217 Hij steunde zich daarbij op het volgende argument: ‘het bestand mag enkel gegevens bevatten met betrekking tot aangetoonde risico’s, terwijl er in mijn zaak geen enkel bewijs bestaat voor de poging tot oplichting’. De voorzitter van de rechtbank stelde eerst en vooral vast dat er wel degelijk een bewezen tegenstrijdigheid was tussen de verklaringen van de verzekerde aan de politie enerzijds en aan zijn verzekeraar anderzijds. Hij oordeelde dat deze feiten wel degelijk ter zake dienend zijn voor een verzekeringsmaatschappij bij de inschatting van het risico. Volgens de voorzitter is het verzwaard risico daarmee voldoende bewezen, in die zin dat het als feitelijk gegeven kan opgenomen worden in het RSR-bestand en dit ongeacht een eventuele strafrechtelijke vervolging of veroordeling wegens poging tot fraude. Hij besluit dat de vermelding in het RSR-bestand juist, voldoende nauwkeurig en ter zake dienend is.218 Uit deze rechtspraak kan dus het principe afgeleid worden dat de registratie als verzwaard risico voortvloeit uit de eenvoudige objectieve vaststelling van bewezen feiten, zonder dat daaruit moet volgen dat een strafrechtelijke inbreuk werd gepleegd. Dit bevestigt aldus de stelling dat de gegevens omtrent ‘verzwaarde risico’s’ geen gerechtelijke gegevens zijn in de zin van de wet verwerking persoonsgegevens.219 Dit principe werd ook aangehaald door de rechtbank van eerste aanleg te Nijvel in een vonnis van 2003. In deze zaak beklaagde de betrokkene zich eveneens over zijn registratie wegens niet-overeenstemming met de schadeaangifte. Het zou steunen op een louter vermoeden of veronderstelling, waardoor zijn fundamentele rechten en zijn vermoeden van onschuld geschonden zijn. De rechter achtte deze vordering ongegrond omdat de registratie enkel vermeldt ‘verzwaard risico door niet-overeenstemming met de schadeaangifte’. Dit is de enige informatie die voor de leden verzekeringsmaatschappijen zichtbaar is en steunt volgens de rechter niet op een vermoeden van schuld aan fraude, maar op gemakkelijk te verifiëren objectieve gegevens.220 170. Er wordt dus telkens toepassing gemaakt van de restrictieve interpretatie van het verbod. Het is niet voldoende dat de registraties aanleiding kunnen geven tot een procedure, verdenking of veroordeling, de gegevens moeten er rechtstreeks betrekking op hebben. De gegevens die in de databank opgenomen worden zijn gesteund op objectieve vaststellingen gedaan door de betrokken verzekeringsmaatschappij. Het kan natuurlijk altijd zijn dat deze 217
Volgens de speciale procedure zoals voorzien in artikel 14 van de wet verwerking persoonsgegevens Rb. Brugge 31 oktober 2001, T.Verz. 2006, afl. 1, 52 bevestigd door Gent (1e k.) 13 oktober 2005, T.Verz. 2006, afl. 1, 52 219 C. VAN OLDENEEL, “Gunstige rechtspraak jegens Datassur bevestigd in beroep” (noot onder Rb. Brugge 31 oktober 2001 en Gent 13 oktober 2005), T.Verz. 2006, afl. 1, 57 220 Rb. Nijvel 28 oktober 2003, T.Verz. 2004, 50 218
69
objectieve gegevens het voorwerp uitmaken van een veroordeling of verdenking (zoals in het geval van de rechtbank van Nijvel), maar dit is niet noodzakelijk altijd het geval. De enige vermelding die de leden te zien krijgen, is de vermelding ‘verzwaard risico’. Er is helemaal niets terug te vinden van de eventuele veroordeling of verdenking of ook maar iets die daar op kan wijzen. De feiten op basis waarvan de verzekeraar registreert, worden ook helemaal niet vermeld.221 171. De Commissie voor de Bescherming van de Persoonlijke Levenssfeer is wel van oordeel dat, hoewel de gegevens niet kunnen gezien worden als gerechtelijke gegevens, de verwerking van deze gegevens nog gevoeliger en nadeliger is, omdat ze niet aan een onderzoek door een rechter zijn onderworpen noch aan één of andere tegensprekelijke procedure. Ze meent ook dat zo’n weinig betrouwbare gegevens in strijd zijn met het nauwkeurigheidsbeginsel.222 De rechtspraak heeft daar, zoals hierboven werd aangegeven, anders over geoordeeld. Ik sluit mij aan bij deze rechtspraak. Dergelijke registratie kan inderdaad zeer gevoelig, nadelig en onrechtvaardig zijn indien elk vermoeden van fraude zou kunnen geregistreerd worden, zonder dat er stukken zijn om het vermoeden te staven. Dit is bij het RSR-bestand niet het geval, er moet telkens voldoende bewijs zijn van de nietovereenstemming. Er wordt ook niets vermeld over eventuele verdenkingen of veroordelingen, waardoor de registratie volgens mij geen enkele afbreuk doet aan het verbod van verwerking van gerechtelijke gegevens en aan het vermoeden van onschuld. 172. Het is natuurlijk wel zo dat deze tastbare bewijzen van fraude meestal eenzijdig door de verzekeraar bekomen werden en dat de betrokkene zich daar niet over heeft kunnen uitspreken, terwijl in gerechtelijke procedures hij zich kan verdedigen. VAN SCHOUBROECK is van oordeel dat het beter zou zijn dat in deze gevallen de verzekeraar, in plaats van Datassur, de betrokkene informeert van de opname van zijn gegevens in de databank. De verzekeraar staat dichter bij de verzekerde door hun vertrouwensrelatie. De betrokkene zou zich in dat geval kunnen verdedigen vooraleer de registratie wordt doorgevoerd. De verzekeraar kan dan discretionair beslissen of hij al dan niet de gegevens doorspeelt aan Datassur.223 Hoewel dit een betere bescherming zou kunnen bieden voor de betrokkene, hangt hier ook een risico aan vast. De kans bestaat natuurlijk dat de verzekeraar de registratie zou gebruiken als een middel om de verzekerde onder druk te zetten. Daarbij 221
D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 276-277; J. DUMORTIER, “De nieuwe wetgeving over de verwerking van persoonsgegevens” in Recente ontwikkelingen in informatica- en telecommunicatierecht, Brugge, Die Keure, 1999, 92; C. VAN OLDENEEL, “La légalité du fichier des risques spéciaux en assurances une nouvelle fois reconnue” (noot onder Rb. Nijvel 28 oktober 2003), T.Verz. 2004, 55 222 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 7; 223 C. VAN SCHOUBROECK, “Fraude in verzekeringen lichtjes anders bekeken”, TBH 2004, 19-20
70
heeft de geregistreerde persoon hoe dan ook altijd een recht op verbetering en schrapping van onjuiste gegevens.
7. Het transparantiebeginsel 173. De wetgever wou de gegevensuitwisseling transparant maken door te zorgen voor een uitgebreide informatieverplichting in hoofde van de verantwoordelijke voor de verwerking of diens vertegenwoordiger. Deze verplichting is terug te vinden in artikel negen van de wet verwerking persoonsgegevens en maakt een onderscheid tussen twee soorten verkrijgingen. Enerzijds is er de primaire verkrijging van gegevens die wordt behandeld in de eerste paragraaf en anderzijds is er de secundaire verkrijging van persoonsgegevens die wordt geregeld in de tweede paragraaf. Het onderscheid is van belang aangezien de voorwaarden en modaliteiten verschillend zijn voor de twee soorten verkrijgingen.224
7.1
PRIMAIRE VERKRIJGING VAN PERSOONSGEGEVENS
174. Primaire verkrijging betekent dat de verantwoordelijke voor de verwerking of zijn vertegenwoordiger de persoonsgegevens rechtstreeks van de betrokkene heeft verkregen. In dit geval moet de in de wet bepaalde minimuminformatie aan de betrokkene meegedeeld worden uiterlijk op het moment dat de gegevens verkregen worden. Dit betekent dat de kennisgeving van de informatie gelijktijdig moet gebeuren met het verkrijgen van de gegevens. Op die manier heeft de betrokkene nog de mogelijkheid om te weigeren zijn gegevens mee te delen, indien hij niet akkoord gaat met de doeleinden van de verwerking.225 Deze informatie moet uiteraard enkel meegedeeld worden indien de verkregen gegevens het voorwerp zullen uitmaken van een geautomatiseerde verwerking of zullen opgenomen worden in een bestand.226 In principe is het de verantwoordelijke voor de verwerking die hiervoor moet instaan, maar niets belet dat een andere persoon de betrokkene informeert. Het kan evengoed zijn dat de persoon die de gegevens verzamelt voor rekening van de
224
D. DE BOT, “Art. 9 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 1 225 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies betreffende het voorontwerp van wet tot aanpassing van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, aan de Richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, 13 november 1996, nr. 30/96, www.privacycommission.be, 13 226 Memorie van Toelichting bij het wetsontwerp tot omzetting van de Richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, Parl. St. Kamer 1997-1998, nr. 1566/1, 44
71
verantwoordelijke, de kennisgeving uitvoert.227 Dit is het geval bij het RSR-bestand. Het zijn de verzekeringsmaatschappijen die de verplichting hebben aangegaan om kandidaatverzekeringsnemers en verzekerden te informeren over de mogelijkheid tot opname van hun gegevens in de databank.228 Ze doen dit op het ogenblik van de verkrijging van de gegevens en hernemen dit op het niveau van de verzekeringsvoorstellen, voor kandidaatverzekeringsnemers en op het niveau van de schadeaangifte, voor verzekerden. 229 Datassur zorgt voor controle op de naleving van deze verplichting door haar leden. Indien ze vaststelt dat de informatieverplichting niet wordt nageleefd, kan ze maatregelen nemen die zijn voorzien in het inwendig reglement van het RSR-bestand. Deze maatregelen verschillen qua intensiteit, waarbij de zwaarste sanctie de tijdelijke opschorting van toegang tot de databank is.230 175. De informatie die meegedeeld moet worden, is de volgende: naam en adres van de verantwoordelijke voor de verwerking, de doeleinden van de verwerking, het bestaan van het kosteloos inzage- en verbeteringsrecht en eventuele andere informatie. Deze informatie wordt door de verzekeringsmaatschappijen voorzien in het verzekeringsvoorstel, het verzekeringscontract, in de schadeaangifte of in de algemene polisvoorwaarden. Dit gebeurt meestal aan de hand van een standaardclausule.231 De Commissie voor de Bescherming van de Persoonlijke Levenssfeer merkt daar bij op dat die kennisgeving praktisch illusionair is, wanneer de informatie louter in de algemene voorwaarden wordt vermeld.232 In de praktijk zijn er zeer weinig kandidaat-verzekeringsnemers die, alvorens hun verzekeringscontract te sluiten, effectief de algemene voorwaarden doornemen. Algemene voorwaarden zijn nochtans tegenwerpelijk als de verzekeringsnemer daadwerkelijk de mogelijkheid heeft gehad om er voor het sluiten van het contract kennis van te nemen, ook al heeft hij dat niet gedaan, en ze uitdrukkelijk of stilzwijgend heeft aanvaard. De Commissie adviseert dan ook terecht dat het beter is dat de informatie op een duidelijke manier wordt verstrekt, zoals bijvoorbeeld bovenaan de handtekening op het verzekeringsvoorstel. Op deze manier is de kans groter dat de potentiële verzekeringsnemer effectief kennis neemt van de informatie en aldus weet heeft van het feit dat zijn gegevens opgenomen kunnen worden in het RSR-bestand. De verzekeringsmaatschappijen zorgen er in de praktijk meestal wel voor dat een clausule met verwijzing naar Datassur wordt opgenomen op het einde van het verzekeringsvoorstel en 227
M.H. BOULANGER, C. DE TERWAGNE en T. LEONARD, “La protection de la vie privée à l’égard du traitement de données à caractère personnel. La loi du 8 décembre 1992 ”, J.T. 1993, 382 228 Artikel 5, eerste lid van het reglement van inwendige orde van het RSR-bestand. 229 Zie randnummers 38-40 230 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 286 231 Zie bijlage voor voorbeelden 232 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be, 6
72
eventueel ook in de algemene of bijzondere voorwaarden. De vraag blijft natuurlijk of de kandidaat-verzekeringsnemer dit aandachtig leest en of hij beseft wat dit precies inhoudt.
7.2
SECUNDAIRE VERKRIJGING VAN PERSOONSGEGEVENS
176. De tweede soort verkrijging is de secundaire verkrijging. Hier verkrijgt de verantwoordelijke voor de verwerking de persoonsgegevens van een andere persoon dan de betrokkene zelf. Dit wil zeggen dat voor de registratie van deze gegevens geen rechtstreeks contact heeft plaatsgevonden tussen de verwerker en de betrokkene.233 Een van de fundamentele rechten van de betrokkene is het recht op toegang en het recht op verbetering van onjuiste gegevens die op hem betrekking hebben. Deze rechten kan hij enkel uitoefenen wanneer hij weet heeft van de registratie, daarom is deze kennisgeving zo belangrijk.234 177.
De kennisgeving moet volgens de wet gebeuren op het moment van de eerste
registratie van de gegevens. Daarbij moeten de volgende gegevens meegedeeld worden: de naam en het adres van de verantwoordelijke voor de verwerking, de doeleinden van de verwerking en andere bijkomende informatie zoals de betrokken gegevenscategorieën, de ontvangers en het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben. Het gaat ook hier weer om minimuminformatie, aangezien de wet stelt dat ‘minstens’ deze informatie moet verstrekt worden. Welke informatie precies moet gegeven worden, hangt af van de vraag of de informatie relevant is om aan de betrokkene een eerlijke verwerking te waarborgen.235 Het kan bijvoorbeeld belangrijk zijn om naast het recht op toegang en verbetering, ook de procedure te vermelden die hiervoor moet gevolgd worden. De wijze waarop kennis wordt gegeven, mag vrij worden gekozen, maar om bewijsredenen wordt best gebruik gemaakt van een schriftelijk stuk die een spoor nalaat. 178. De oorspronkelijke wet van 1992 vermeldde in het toenmalige artikel tien dat elke persoon die voor het eerst in een bepaald bestand geregistreerd werd, ‘onverwijld’ kennis moest worden gegeven van de informatie. De voorbereidende werken gaven aan dat dit wel op een redelijke wijze moest uitgelegd worden.236 In het nieuwe artikel werd het woord 233
D. DE BOT, “Art. 9 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 5 234 Memorie van Toelichting bij het wetsontwerp tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, Parl. St. Kamer 1990-1991, nr.1610/01, 91 235 Memorie van Toelichting bij het wetsontwerp tot omzetting van de Richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, Parl. St. Kamer 1997-1998, nr. 1566/1, 15 236 Verslag namens de Commissie voor de Justitie over het wetontwerp tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en het wetsvoorstel betreffende de
73
‘onverwijld’ weggelaten, maar we kunnen er van uitgaan dat kennisgeving nog steeds zo snel mogelijk na de registratie moet plaatsvinden. 179. Indien één van de registratieredenen zich voordoet en de verzekeraar beslist om de gegevens door te geven aan Datassur, moet de informatieverplichting voor de secundaire verkrijging nageleefd worden. Het is niet de verzekeraar die deze kennisgeving verzorgt, hoewel hij dichter bij de verzekerde staat, maar Datassur zelf die dit doet. Dit gebeurt aan de hand van een gewone met de post gestuurde brief waarin de naam en het adres van Datassur (als verantwoordelijke voor de verwerking), de doeleinden van de registratie en het bestaan en de modaliteiten van het recht op toegang en verbetering staan vermeld. De kennisgeving gebeurt zo snel mogelijk na de registratie, meestal na verloop van een paar dagen. Op grond van een aanbeveling van de Commissie heeft Datassur zijn communicatie jegens de betrokkene aangepast. Er wordt gezorgd voor een meer precieze en duidelijke verwoording, in een taal die voor eenieder toegankelijk is. Te juridisch taalgebruik wordt vermeden.237 180. De verzekeringsmaatschappij zelf verwijst enkel naar Datassur bij de verkrijging van de gegevens en bij de schadeaangifte. Op het ogenblik dat het verzekeringscontract wordt opgezegd wegens één van de registratieredenen en de gegevens aan Datassur worden overgezonden, wordt er door hen niet meer verwezen naar Datassur. Dit wordt ook door de wet niet vereist. Volgens de wet volstaat het dat de verantwoordelijke voor de verwerking die kennisgeving verricht. Hoewel de wet het dus niet verlangt, zou het m.i. toch beter zijn dat de verzekeraar bij de opzegging van de polis, samen met de reden van opzeg, meedeelt dat zijn gegevens aan Datassur overgemaakt werden. Daardoor wordt de verzekerde hiervan onmiddellijk op de hoogte gesteld door een persoon die veel dichter bij hem staat. Met betrekking tot de niet-betaling van de premie, sluit ik mij aan bij de mening van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Zij stelt dat de betrokkene, op het ogenblik van de aanmaning tot betaling van de premie, verwittigd zou moeten worden van de mogelijke opname van zijn gegevens in het RSR-bestand. Hoewel dit niet als een drukkingsmiddel mag gebruikt worden om de betrokkene zijn verplichtingen te laten nakomen, is het toch van belang dat hij daar nog eens op wordt gewezen en er rekening mee kan houden. Het zou een positieve stimulans kunnen zijn om de premie alsnog te betalen en te anticiperen op een eventuele registratie. Dit zou een bijkomende waarborg kunnen zijn ter bescherming van de persoonlijke levenssfeer van de betrokkene. Op dit ogenblik wordt dit nog niet gedaan. De Raad van Bestuur van Datassur heeft de verzekeringsmaatschappijen wel aanbevolen om de betrokkenen zeer duidelijk te informeren over de reden van de opzegging bescherming van persoonlijke gegevens over natuurlijke personen in gegevensbestanden of databanken en betreffende de oprichting van een nationale Commissie voor de informatica en de vrijheden, Parl. St. Kamer 1991-1992 BZ, nr. 413/12, 46 237 D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 287
74
van het verzekeringscontract. Zoals vandaag te vaak voorkomt, mag dit niet gebeuren door een loutere overname van een wetsartikel of een kleine clausule in het contract. De betrokkene moet precies, nauwkeurig en ondubbelzinnig meegedeeld worden wat de juiste reden van de opzeg is.238 181. De rechtspraak heeft zich ook al moeten uitspreken over deze kennisgevingsverplichting. Een eerste uitspraak is er gekomen door de rechtbank van eerste aanleg te Brussel in 2000.239 De betrokkene verweet Datassur dat ze pas op 14 januari 1999 kennis had gekregen van haar registratie, die reeds gebeurd was op 7 januari 1999. Er was dus een periode van zeven dagen verstreken tussen de registratie en de kennisgeving. De rechtbank verwijst daarbij nog naar de oude wet waar een onverwijlde kennisgeving vereist was, die volgens de parlementaire werken redelijk moest geïnterpreteerd worden. De rechtbank stelt daarbij dat deze periode van zeven dagen bedoeld is om, nadat op een geautomatiseerde wijze de gegevens in het systeem zijn opgenomen, de verzekeringsmaatschappijen in de gelegenheid te stellen gegevens die foutief zouden zijn verstrekt, te wissen. Daarna wordt de kennisgeving automatisch door het systeem gemaakt en vervolgens met de post aan de betrokkene afgeleverd. De rechtbank besliste dat Datassur haar informatieverplichting correct had nageleefd aangezien de vrouw niet kon bewijzen enige schade te hebben geleden als gevolg van deze korte periode tussen de registratie en de kennisgeving. Een zelfde redenering werd gemaakt door de rechtbank in 2008. De zeven dagen zijn volgens de rechtbank redelijk, gelet op de inherente technische beperkingen van het systeem en worden tot een minimum beperkt. Het systeem zorgt er voor dat het kennisgevingsproces op hetzelfde ogenblik begint als de inschrijving van de gegevens. De rechtbank was dus ook hier van oordeel dat Datassur zijn verplichtingen heeft nageleefd. In deze zaak verweet de betrokkene ook zijn verzekeraar dat hij te kort was geschoten in zijn informatieverplichting, omdat deze hem niet heeft gewaarschuwd van zijn voornemen om de gegevens in de databank te laten opnemen. De rechtbank oordeelde hier terecht dat de verzekeringsmaatschappij geen enkele verplichting daartoe heeft, aangezien hij niet de verantwoordelijke voor de verwerking is in de zin van de wet. Het is enkel Datassur die deze informatieverplichting moet naleven en hier ook effectief heeft nageleefd. De verzekeringsmaatschappij kan dus niets verweten worden.240 Ondertussen is deze termijn van zeven dagen ook al met een paar dagen ingekort.
238
D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 287 239 Rb. Brussel 19 december 2000, Computerr. 2002, 34 240 Rb. Brussel (8e k.) 25 april 2008, T.Verz. 2008, afl. 3, 243, noot C. VAN OLDENEEL
75
7.3
AANGIFTE BIJ DE COMMISSIE PERSOONLIJKE LEVENSSFEER
VOOR DE
BESCHERMING
VAN DE
182. Een derde informatieverplichting vloeit voort uit artikel zeventien van de wet verwerking persoonsgegevens en moet ook de openbaarheid ten goede komen: “Voordat wordt overgaan tot één of meer volledige of gedeeltelijke geautomatiseerde verwerkingen van gegevens […], doet de verantwoordelijke voor de verwerking […] daarvan aangifte bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer.” 183. Paragraaf drie van artikel zeventien bepaalt welke gegevens in de aangifte moeten vermeld worden. Een aangifte aan de Commissie is ook verplicht indien aan een geautomatiseerde verwerking een einde wordt gesteld of enige informatie uit de oorspronkelijke aangifte is gewijzigd.241 De Commissie houdt van deze geautomatiseerde verwerkingen een openbaar register bij, waarin de verplichte gegevens uit de aangifte vermeld worden. Elke persoon kan inzage verkrijgen in dat register aan de hand van een verzoek aan het secretariaat van de Commissie.242 Deze aangifte is vooral van belang voor de uitoefening van de toezichtstaak van de Commissie. Zo kan ze beter controleren of de wettelijke bepalingen al dan niet nageleefd worden. Het stelt haar ook in de mogelijkheid om te oordelen over klachten die ze krijgt met betrekking tot een welbepaalde verwerking.243 Datassur, als verantwoordelijke voor de verwerking, zorgt voor het doorvoeren van deze aangiftes. Datassur erkent daarbij dat deze aangifte niet kan gezien worden als een loutere formaliteit, maar een belangrijk controle-instrument is voor de Commissie, aangezien het vaak op basis van de aangifte is dat ze zorgt voor de overeenstemming van de verwerking met de wet.244
8. Het recht op toegang en verbetering 8.1
HET RECHT OP TOEGANG VAN DE BETROKKENE
184. Het recht van toegang wordt omschreven in artikel tien van de wet verwerking persoonsgegevens: ‘De betrokkene die zijn identiteit bewijst, heeft het recht om vanwege de verantwoordelijke voor de verwerking de in de wet bepaalde inlichtingen te krijgen.’
241
Artikel 17 §7 wet verwerking persoonsgegevens Artikel 18 wet verwerking persoonsgegevens 243 Memorie van Toelichting bij artikel 17 van het wetsontwerp tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, Parl. St. Kamer 1990-1991, nr.1610/01, 21-22 244 FRALA, D., “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 272 242
76
185. Dit recht is een uiterst belangrijk instrument ter bescherming van de persoonlijke levenssfeer van de betrokkene. Het dient als het ware als een soort controlemiddel voor de verwerking. Door de betrokkene toegang tot de gegevens te verlenen, kan gecontroleerd worden of geen onjuiste of overbodige gegevens verwerkt worden. 186. Indien de betrokkene dit recht wenst uit te oefenen, moet hij daartoe een gedagtekend en ondertekend verzoek richten aan de verantwoordelijke voor de verwerking. In principe moeten de inlichtingen onverwijld, dus zo snel mogelijk, aan de betrokkene meegedeeld worden. Indien dit niet mogelijk is voorziet de wet in een maximumtermijn van 45 dagen die zeker moet gerespecteerd worden. 187. De verzekerde die in het RSR-bestand wordt geregistreerd, krijgt kennis van dit recht op inzage via de kennisgeving van de registratie. In deze brief staat de concrete procedure uitgelegd die de betrokkene moet volgen om zijn gegevens in te kijken. Om het recht op inzage uit te oefenen, moet de geregistreerde een gedateerde en ondertekende brief sturen naar Datassur, de Meeûssquare 29 in 1000 Brussel. Hij moet daarbij een fotokopie van de voor- en achterkant van zijn identiteitskaart voegen om hem te kunnen identificeren. Nadat Datassur het verzoek heeft ontvangen, zal ze binnen de wettelijke termijn van 45 dagen een kopie van de registratie terugsturen. In de praktijk gebeurt dit meestal binnen de twee weken. De betrokkene verkrijgt van Datassur de bevestiging of zijn persoonsgegevens al dan niet in het bestand zijn opgenomen, de mededeling in begrijpelijke taal van de precieze gegevens die werden verwerkt en alle beschikbare informatie betreffende de oorsprong van de gegevens. Daarnaast wordt de betrokkene ook gewezen op zijn recht op verbetering/schrapping en eventueel op de mogelijkheid om het openbaar register van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer te consulteren. 245 Het is duidelijk dat Datassur deze verplichting correct naleeft. In het jaar 2011 werden 63.750 nieuwe registraties uitgevoerd. Slechts 1166 daarvan hebben hun recht van toegang uitgeoefend. Volgens Datassur oefenen in de praktijk minder dan twee personen op de honderd die in het bestand geregistreerd worden hun recht van toegang uit.246
8.2
HET RECHT OP VERBETERING VAN DE BETROKKENE
188. Indien de betrokkene onjuiste of onvolledige gegevens opmerkt, dan heeft hij overeenkomstig artikel twaalf van de wet verwerking persoonsgegevens de mogelijkheid om die gegevens kosteloos te laten verbeteren en eventuele ontoereikende gegevens te laten aanvullen. Hij kan eveneens de verwijdering vragen van gegevens die, gelet op het doel van 245
D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 271 246 DATASSUR ESV, Jaarverslag 2011, www.datassur.be, 7; zie ook randnummer 48
77
de verwerking, onvolledig of niet ter zake dienend zijn of waarvan de registratie verboden is. Schrapping is ook mogelijk wanneer de gegevens langer dan de toegestane duur bewaard worden. Dit recht moet net zoals het recht op toegang uitgeoefend worden aan de hand van een gedagtekend en ondertekend verzoek gericht aan de verantwoordelijke voor de verwerking. Deze laatste krijgt dan een maand de tijd om een gevolg aan dat verzoek te geven. 189. De betrokkene wordt op dit recht van verbetering of schrapping gewezen wanneer hij geïnformeerd wordt over zijn registratie en wanneer hij zijn recht op toegang uitoefent. Verbetering of schrapping moet gevraagd worden aan de hand van een schriftelijk verzoek aan Datassur, die het verzoek gaat onderzoeken. Ze zal de verzekeringsmaatschappij die voor de registratie zorgde op de hoogte brengen en nagaan of de registratie correct is gebeurd. Het is dan ook belangrijk voor de betrokkene om zijn verzoek goed te motiveren, zodat Datassur haar onderzoek zo optimaal mogelijk kan uitvoeren. Tijdens het onderzoek staat de registratie in het RSR-bestand aangeduid als ‘betwist’ om te voldoen aan artikel vijftien van de wet verwerking persoonsgegevens. Na het onderzoek kan Datassur beslissen dat de registratie inderdaad foutief was en ofwel de onjuiste gegevens gaan corrigeren ofwel ze gaan verwijderen. Ze kan ook beslissen dat de registratie correct is geschied waardoor ze moet behouden worden. Datassur geeft binnen de maand kennis aan de betrokkene van haar beslissing.247 Indien er wordt overgegaan tot verbetering of annulering van de registratie, dan wordt dit ook onmiddellijk meegedeeld aan de leden aan wie de onjuiste, onvolledige of irrelevante gegevens reeds werden meegedeeld. Beslist Datassur dat de registratie moet behouden worden, dan blijven de gegevens in het bestand staan als ‘betwist’, hoewel dit overeenkomstig artikel vijftien van de wet niet verplicht is. Kan de betrokkene hier niet mee leven, dan kan hij zich nog steeds tot de ombudsman of de Commissie wenden.248 190.
Uit het jaarverslag van de ombudsman blijkt echter dat deze niet veel klachten i.v.m.
Datassur ontvangt en schrijft dit toe aan de goede eerstelijnsbijstand van Datassur zelf. Het is dus duidelijk dat dit systeem goed werkt en volledig in overeenstemming is met de wet. In 2011 voerde Datassur 63.750 nieuwe registraties uit in het RSR-bestand, 1.044 meer dan in 2010, terwijl de Ombudsman slechts 11 klachten meer ontving. Van deze ontvangen klachten verwees de ombudsman in bijna 65% van de gevallen de klager eerst door naar de beheerder van het RSR-bestand. Er werd slechts verder onderhandeld over 17 klachten. Hiervan werd in 75% van de gevallen de registratie verbeterd of geannuleerd. Het ging bijna steeds over de niet-betaling van de premie.249 De meeste annuleringen die Datassur doorvoert zijn dan ook de registraties wegens opzegging door niet-betaling van de premie. De betrokkenen worden er 247
Zie bijlage voor een voorbeeldbrief van een kennisgeving waarbij niet wordt ingegaan op het verzoek tot verbetering. 248 Zie randnummer 42-44 249 OMBUDSMAN VAN DE VERZEKERINGEN, Jaarverslag 2011, www.ombudsman.as, 12
78
namelijk op gewezen dat de beste manier om hun registratie te schrappen, het betalen van de achterstallige premie is. Dit gebeurt dan meestal ook na een paar dagen, waardoor Datassur onmiddellijk tot de schrapping overgaat. Het feit dat een groot percentage van de verzoeken tot verbetering worden toegekend, is dus niet omdat de gegevens veelal incorrect of verboden zijn, maar omdat de betrokkene overgaat tot betaling van de premie.250
9. Geautomatiseerde gegevensverwerking 191. Artikel 12bis van de wet verwerking persoonsgegevens bepaalt: “Een besluit waaraan voor een persoon rechtsgevolgen verbonden zijn of dat hem in aanmerkelijke mate treft, mag niet louter worden genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren. Dit verbod geldt niet indien het besluit wordt genomen in het kader van een overeenkomst. In die overeenkomst moeten passende maatregelen zijn genomen ter bescherming van de gerechtvaardigde belangen van de betrokkene. Minstens moet hem de mogelijkheid geboden worden om op nuttige wijze zijn standpunt naar voor te brengen.” 192.
Overeenkomstig de memorie van toelichting wil deze bepaling vermijden dat
beslissingen, zonder enige menselijke interventie, rechtstreeks genomen worden op grond van het resultaat van een geautomatiseerde verwerking. Er wordt dus voldaan aan de bepaling wanneer er tussen het bekomen van het resultaat van de computerverwerking en de besluitvorming een minimale menselijke tussenkomst is.251 Deze tussenkomst moet wel enig belang hebben bij de besluitvorming. Het moet ervoor zorgen dat er nog andere elementen bij de beslissing in overweging genomen worden. Het is uiteraard niet verboden om de geautomatiseerde gegevensverwerkingen als hulpmiddel bij het beslissingsproces te gebruiken.252 193. Het RSR-bestand op zich maakt geen schending uit van dit principe. De gegevens die in het bestand opgenomen worden zijn afkomstig van verzekeringsmaatschappijen die beslissen dat aan één van de registratieredenen is voldaan. Er worden bij de registratie geen automatische besluiten genomen zonder dat er sprake is van een menselijke tussenkomst.
250
DATASSUR ESV, Jaarverslag 2011, www.datassur.be, 8 Memorie van Toelichting bij het wetsontwerp tot omzetting van de Richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, Parl. St. Kamer 1997-1998, nr. 1566/1, 52 252 D. DE BOT, “Art. 12bis Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 1-2 251
79
194. Deze verbodsbepaling is wel van belang voor de leden van het samenwerkingsverband. Het zou kunnen dat verzekeringsmaatschappijen louter op grond van de registratie, automatisch de betrokkene gaan weigeren of nadelige voorwaarden gaan aanbieden. De Commissie voor de Bescherming van de Persoonlijke Levenssfeer heeft Datassur dan ook aangeraden om deze bepaling duidelijk onder de aandacht van de verzekeringsmaatschappijen te brengen. Ze raadde aan om dit te doen door het artikel in de overeenkomsten waarmee de bestanden zijn opgericht, in de handleidingen en in het reglement van inwendige orde van de Dienst Bestanden, te schrijven. Datassur heeft dit niet op deze manier gedaan, maar zorgt er wel voor dat de leden het verbod respecteren. In haar reglement van inwendige orde van het RSR-bestand staat dat de verzekeringsmaatschappijen een gedetailleerde uitleg moeten geven over dit reglement aan elke potentiële gebruiker van het bestand. Er moet onder meer geduid worden op het doel van de gegevensbank, met name het verifiëren van de informatie die de kandidaat-verzekeringsnemer heeft verstrekt. Daarbij moet benadrukt worden dat het bestand geenszins dient als enig criterium om te beslissen of een verzekeringscontract al dan niet wordt afgesloten. Aangezien het voor Datassur, gelet op het enorme aantal gebruikers, onmogelijk is om zelf de gebruikers daarvan in te lichten, vertrouwd ze dit toe aan haar leden. Zij hebben er zich immers toe verbonden het reglement correct toe te passen.253 De gebruikers worden hier dan wel op gewezen, maar of dit voldoende is om geautomatiseerde beslissingen te vermijden, blijft nog maar de vraag. Een efficiënte controle op de naleving van het verbod is moeilijk te verwezenlijken. 195. Het verbod op geautomatiseerde verwerking is niet absoluut. De wet voorziet in een uitzondering, namelijk indien het besluit wordt genomen in het kader van een overeenkomst. Het gaat dan vooral over het afsluiten of uitvoeren van een overeenkomst. De wet zegt wel dat in dit geval de overeenkomst moet voorzien in passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene. Minstens moet hij de mogelijkheid hebben om op een nuttige wijze zijn standpunt naar voor te brengen. In het geval dat een verzekeringsmaatschappij toch een geautomatiseerd besluit neemt m.b.t. het al dan niet aangaan van een polis, zou hij zich dus op deze uitzondering kunnen beroepen. Hij moet er dan wel zorgen dat de betrokkene minstens zijn standpunt naar voor kan brengen, bijvoorbeeld door een gesprek te houden waarin elke partij zijn argumenten kan boven halen.254 Het spreekt natuurlijk voor zich dat dit wel te allen tijde vermeden moet worden. De Commissie voor de Bescherming van de Persoonlijke Levenssfeer heeft in het kader van het
253
D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 285 254 D. DE BOT, “Art. 12bis Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 2-3
80
wetsvoorstel tot omkadering van zwarte lijsten zelfs voorgesteld om deze uitzondering te schrappen voor zwarte lijsten in de private sector.255
10.Vertrouwelijkheid en beveiliging van de verwerking 196. De verantwoordelijke voor de verwerking moet zorgen voor de vertrouwelijkheid en de beveiliging van de verwerking. Deze algemene verplichting wordt omschreven in artikel 16§4 van de wet verwerking persoonsgegevens: “Om de veiligheid van persoonsgegevens te waarborgen, moeten de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds met de stand van de techniek ter zake en de kosten voor het toepassen van de maatregelen en anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico’s.” Deze beveiligingsmaatregelen zijn van uiterst groot belang voor de correcte naleving van het finaliteitsbeginsel.256 197. Datassur heeft verschillende maatregelen ingevoerd om er voor te zorgen dat de wet correct wordt nageleefd en er verwerkt wordt met respect voor de persoonlijke levenssfeer van de betrokkenen.257 Bijna elke verzekeringsmaatschappij in België is lid van het RSRbestand en kan registraties laten uitvoeren. Daarvan zijn er honderden personen die toegang hebben tot de databank en de registraties kunnen inkijken. Het is dus zeer belangrijk dat er wordt voorzien in controle- en beveiligingsmechanismen, maar gelet op de omvang van het bestand en zijn gebruikers is dat geen eenvoudige taak. Naast alle technische voorzorgsmaatregelen die genomen werden om de computers zo optimaal mogelijk te laten functioneren, werd de gegevensuitwisseling ook aan de hand van conventionele verplichtingen beveiligd. Deze maatregelen vormen het voorwerp van de artikelen vijf tot en met zeven van het reglement van inwendige orde van het RSR-bestand, die alle leden hebben ondertekend.
255
Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Adviesaanvraag betreffende een omkadering van de zwarte lijsten, 15 juni 2005, nr. 09/2005, www.privacycommission.be, 21-22 256 Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Adviesaanvraag betreffende een omkadering van de zwarte lijsten, 15 juni 2005, nr. 09/2005, www.privacycommission.be, 22 257 Zie ook randnummers 151-157 i.v.m. art. 16§2, 1° van de wet.
81
198.
Onder andere de volgende maatregelen werden getroffen:258
Er werd een verbod opgelegd voor Datassur en zijn leden om de gegevens te gebruiken buiten het strikte kader die in de overeenkomst werd voorzien. De gegevens mogen aan geen enkele andere natuurlijke dan wel rechtspersoon meegedeeld worden.
De leden worden verplicht om hun personeel kennis te geven van hun verantwoordelijkheid voor de gegevens die ze gebruiken bij de uitoefening van hun taken. Er moet worden benadrukt dat deze gegevens strikt confidentieel zijn en niet voor andere doeleinden mogen gebruikt worden.
Een bijgewerkte lijst van alle personen die toegang hebben tot het RSR-bestand en een lijst met alle personen die gemachtigd zijn registraties uit te voeren, moet door de leden aan Datassur ter beschikking gesteld worden.
De verzekeringsmaatschappijen moeten ook verplicht alle dossiers bijhouden die aanleiding hebben gegeven tot een registratie, minstens zo lang als de gegevens bewaard blijven in het bestand.
De leden worden verplicht om een persoon uit hun midden tot correspondent te benoemen om Datassur in staat te stellen het bestand zo efficiënt en veilig mogelijk te kunnen beheren. Hij moet onder meer instaan voor het toezicht op de correcte toepassing van de conventionele en wettelijke voorschriften binnen zijn onderneming.
De overeenkomst voorziet ook in sancties indien de wet of de overeenkomst niet wordt nageleefd. De zwaarste sanctie is daarbij de schorsing van de toegang tot de databank.
199. Gelet op al de verplichtingen die worden opgelegd aan de leden en de controle op de naleving van deze verplichtingen door Datassur, kan er besloten worden dat de vertrouwelijkheids- en veiligheidsverplichting door Datassur wordt nageleefd.
11.Besluit 200. Concluderend kan ik stellen dat naar mijn mening het RSR-bestand de privacytoets heeft doorstaan. De kleine kinderziekten zijn reeds uit het bestand verwijderd, waardoor het bestand ook steeds meer wordt aanvaard. Uiteraard kunnen sommige aspecten altijd beter en mag men niet gaan slabakken. Er moet ten allen tijde voor gezorgd worden dat er een evenwicht is tussen de belangen van de verzekeraars en die van de geregistreerde personen.
258
D. FRALA, “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 278-279
82
III.
INFORMATIE-UITWISSELING OVER DE GRENZEN HEEN
201. Het behoeft geen uitleg dat de uitwisseling van persoonsgegevens naar andere landen een zeer delicate aangelegenheid is. Vooral dan de uitwisseling met niet-Europese landen is problematisch. Niet elk land voorziet in een even adequaat beschermingsniveau voor de persoonlijke levenssfeer van de betrokkenen. Inbreuken op het finaliteits- en proportionaliteitsbeginsel kunnen veel gemakkelijker voorkomen, terwijl efficiënte controle veel moeilijker is. Niet alleen uitwisseling met niet-Europese landen, maar ook gegevensuitwisseling binnen de EU kan tot problemen i.v.m. de privacy leiden, zelfs al is elk land verplicht geweest tot omzetting van de Richtlijn 95/45/EG. De Commissie voor de Bescherming van de Persoonlijke Levenssfeer haalt aan dat ook onder een formele omkadering misbruik massaal kan vastgesteld worden in andere landen. Ze raadt dan ook aan dat voor elke informatie die met bronnen uit andere landen wordt gewisseld, een adequate wederkerigheidsgarantie voor de bescherming van de persoonlijke levenssfeer moet ingebouwd worden.259 202. Met betrekking tot het RSR-bestand van Datassur kan het hier kort gehouden worden. De enorme problemen rond de bescherming van de persoonlijke levenssfeer van de betrokkenen (bijkomende bescherming, bijkomende administratie, bijkomende controles, enz.) en de afwezigheid van noodzaak aan uitwisseling met andere landen hebben ervoor gezorgd dat Datassur enkel binnen België wordt gebruikt. Er is op geen enkele wijze sprake van uitwisseling van de gegevens uit het RSR-bestand met verzekeringsmaatschappijen in het buitenland. Er wordt ook op geen enkele manier samengewerkt met banken, noch in België, noch in het buitenland. De databank wordt enkel en alleen gebruikt in de Belgische verzekeringssector. 203.
De vraag kan natuurlijk wel worden gesteld of een databank tussen verzekeraars op
Europees niveau geen verrijking zou zijn voor de Europese verzekeringssector. In het kader van de verschillende initiatieven tot het creëren van een eengemaakte Europese verzekeringsmarkt zou het nuttig kunnen zijn om dergelijke gemeenschappelijke bestanden aan te leggen. Fraude, wanbetaling, een gebrek aan verificatiegegevens, enz. zijn problemen waarmee niet alleen Belgische verzekeraars kampen, maar om het even welke verzekeraar in Europa en daarbuiten. Zeker nu grensoverschrijdende dienstverlening steeds meer toeneemt. Een Franse particulier die in Frankrijk meerdere keren heeft gefraudeerd met zijn verzekering en daarna hier in België een nieuwe verzekeringsovereenkomst wil aangaan, vormt een even groot risico voor die Belgische verzekeringsonderneming als een Belgische persoon. Het 259
Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Adviesaanvraag betreffende een omkadering van de zwarte lijsten, 15 juni 2005, nr. 09/2005, www.privacycommission.be, 23; Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies betreffende het wetsvoorstel houdende de omkadering van de negatieve lijsten, 24 september 2008, nr. 34/2008, www.privacycommission.be, 9
83
verschil is dat hij bij de Franse verzekeringsnemer onwetende is van het grote risico, terwijl hij voor de Belgische kandidaat-verzekeringsnemer het RSR-bestand kan raadplegen. Het zou dus voor de verzekeringsmaatschappij zeer interessant zijn mocht hij ook over de Franse persoon inlichtingen kunnen verkrijgen. M.i. zou zo’n gemeenschappelijk bestand dus in bepaalde gevallen een nuttig instrument kunnen vormen voor verzekeringsmaatschappijen. Het gaat dan vooral om de registratie wegens een verzwaard risico, m.a.w. de fraudegevallen. De strijd tegen fraude is bijzonder moeilijk en zou m.i. veel effectiever en efficiënter zijn mocht er samengewerkt worden op internationaal vlak. Registratie van de opzegging van de overeenkomst wegens meerdere schadegevallen zonder aansprakelijkheid en wegens nietbetaling van de premie ligt volgens mij al wat gevoeliger. Hier zouden problemen kunnen ontstaan met het proportionaliteitsbeginsel. De vraag kan dan gesteld worden of het noodzakelijk is voor de verzekeringssector om een persoon voor de ganse Europese verzekeringsmarkt te gaan bestempelen als wanbetaler, met de kans dat hij ook in het buitenland geen gepaste verzekering meer kan krijgen. De problemen inzake finaliteit en proportionaliteit spelen op internationaal niveau dubbel zoveel zodat een goede afweging van de belangen van beide partijen hier nog zoveel belangrijker is. 204. Naar mijn mening zou een Europese verzekeringsdatabank geen slecht idee zijn. Zeker in tijden waar internationalisering grotere proporties aanneemt, grensoverschrijdend verkeer en dienstverlening een gewoonte wordt, bijkantoren in het buitenland opgericht worden en er vanuit Europees niveau steeds meer initiatieven komen voor een interne verzekeringsmarkt. Het kan enorme voordelen bieden aan verzekeraars die allen met dezelfde problemen, o.a. de informatieasymmetrie tussen verzekeraar en verzekeringsnemer, geconfronteerd worden. Gelet op de gevoeligheid van deze persoonsgegevens en het belang van de verzekeringsactiviteit zou dit m.i. wel moeten gebeuren aan de hand van de tussenkomst van de Europese wetgever. Een wetgevend optreden is noodzakelijk ter bescherming van het privéleven en van de persoonsgegevens van de betrokkenen. Het zou m.i. niet verantwoord zijn om dit aan de sector zelf over te laten. Een wettelijk kader zorgt voor duidelijkheid, rechtszekerheid, grotere waarborgen voor de bescherming van de persoonlijke levenssfeer, controle op de naleving van de rechten en plichten, maakt de kans op misbruik kleiner en geeft een groter gevoel van vertrouwen in hoofde van de betrokkene. Deze reglementering zou vooreerst moeten voorzien in voldoende technische en organisatorische veiligheidsmaatregelen. Daarnaast moeten er strikte regels zijn omtrent de doelstellingen, de registratieredenen, moet er worden voorzien in een beperkte en selectieve toegang, beperkingen in het gebruik van de gegevens, strikte bewaringstermijnen, controle op de juistheid van de gegevens, een uitgebreid recht van toegang en verbetering, sancties bij overtredingen, een efficiënte klachtendienst, een plicht tot discretie, enz.260 De tussenkomst 260
Groep gegevensbescherming artikel 29, werkdocument over zwarte lijsten, 3 oktober 2002, nr. 11118/02, http://eur-lex.europa.eu; 5-6
84
van de Europese wetgever is niet enkel noodzakelijk om de nodige waarborgen ter bescherming van de persoonlijke levenssfeer in te voeren, maar is ook nodig om ervoor te zorgen dat er geen strijdigheid is met het Europese kartelrecht. De mededingingsrechtelijke problemen zullen veel pertinenter zijn indien informatie-uitwisseling op internationaal vlak gebeurt. De kans op uitsluiting van een categorie van verzekeringsnemers wordt hier veel reëler.
85
Hoofdstuk 3: Een vergelijking met de openbare databank
I.
DE OPENBARE DATABANK IN DE BANKENSECTOR
1. Het ontstaan en de evolutie van de databank 205. In België bestaat er, naast het RSR-bestand in de verzekeringssector, ook een zwarte lijst in de bankensector. Deze databank heet de Centrale voor Kredieten aan Particulieren261 en wordt gehouden bij de Nationale Bank van België. Hieronder volgt een kort historisch overzicht van de evolutie van de databank. 206. De databank heette oorspronkelijk de ‘Verbruikerskredietcentrale’ en werd van in het begin toevertrouwd aan de Nationale Bank van België. Deze databank van de bankensector werd reeds van zijn ontstaan wettelijk geregeld, waardoor er ook wel eens van de ‘openbare databank’ wordt gesproken. De Verbruikerskredietcentrale werd opgericht bij K.B. van 15 april 1985262 en trad in werking in 1987. De centrale had als enige doel het registreren van gegevens van wanbetalers van welbepaalde afbetalingscontracten.263 Het te financieren bedrag moest wel ten minste 10.000 BEF bedragen.264 207. Een eerste verandering werd doorgevoerd in 1991 met de wet van 12 juni 1991 op het consumentenkrediet. Met deze wet werd de bestaande databank omgevormd tot de Centrale voor Kredieten aan Particulieren. Het oude artikel 71 van deze wet voorzag in de registratie naar aanleiding van wanbetaling en gaf aan de Koning de bevoegdheid om naast deze negatieve centrale, ook een positieve centrale in te voeren. Door deze omvorming werd het toepassingsgebied van de centrale uitgebreid. De registratie werd voortaan uitgevoerd voor de wanbetaling van alle kredieten die onder het toepassingsgebied van de wet op het consumentenkrediet ressorteerden. Het toepassingsgebied van de centrale bleef zich over de jaren heen verder uitbreiden. In 1992 werd door de wet van 4 augustus 1992 op het hypothecair krediet265 voorzien in de registratie van wanbetaling van alle kredieten die onderworpen zijn aan deze wet, voor zover de kredietgever een professioneel of een hypotheekonderneming is. Een laatste uitbreiding werd doorgevoerd in 1998 door de wet 261
Verder: Kredietcentrale KB 15 april 1985 betreffende de registratie van afbetalingscontracten, BS 20 april 1985 263 Afbetalingscontracten die werden voorzien in de wet van 9 juli 1957 tot regeling van de verkoop op afbetaling en van zijn financiering. 264 L. VAN DEN STEEN, “De berekening van de termijnen onder art. 29 1° W.C.K. en de registratie van een wanbetaler”, D.C.C.R. 2008, nr. 79, 109; D. MEULEMANS en V. TOLLENAERE, “Krachtlijnen van de nieuwe regeling inzake de positieve kredietcentrale”, T. Fin. R. 2001, 139-140 265 Nu reeds opgeheven artikel 46 van de wet van 4 augustus 1992 op het hypothecair krediet, BS 19 augustus 1992, 18196 262
86
collectieve schuldenregeling.266 Deze uitbreiding voorziet in een mededeling van de griffier van de rechtbank van eerste aanleg van alle berichten van collectieve schuldenregeling aan de Kredietcentrale om in de databank te worden opgenomen. 208. Tot 2003 was de Kredietcentrale een zuiver negatieve lijst, aangezien enkel werd overgegaan tot registratie bij een negatieve gebeurtenis. Registratie gebeurde alleen bij wanbetaling door de kredietnemer. Betaalde de kredietnemer stipt en correct op de overeengekomen vervaldagen, dan werd er geen registratie uitgevoerd. Dit werd echter volledig veranderd door de wet van 10 augustus 2001 betreffende de Centrale voor Kredieten aan Particulieren267. Deze wet zorgde er voor dat naast het negatieve luik er nu ook een positief luik kwam in de Kredietcentrale. De wet trad onmiddellijk in werking op 25 september 2001en kreeg uitvoering door het KB van 7 juli 2002 tot regeling van de Centrale voor Kredieten aan Particulieren.268 Een laatste wijziging aan de Kredietcentrale gebeurde in 2011 door het KB van 26 mei 2011. Nu wordt ook de geoorloofde debetstand op rekening geregistreerd, terwijl dit vroeger niet het geval was indien het bedrag van de kredietlijn lager was dan 1.250 euro en terugbetaalbaar was binnen een termijn van drie maanden.269 209. Uit deze korte historische achtergrond blijkt al een eerste, zeer groot verschil met het RSR-bestand van Datassur. De Kredietcentrale werd reeds van begin af aan geregeld door wetten en koninklijke besluiten. Dit biedt niet alleen meer rechtszekerheid en transparantie, maar ook een grotere zekerheid voor de bescherming van de persoonlijke levenssfeer van de betrokken personen. De rechten en plichten van zowel de kredietgevers als kredietnemers worden duidelijk omschreven en moeten gerespecteerd worden. Het RSR-bestand daarentegen wordt volledig geregeld door de private verzekeringssector. Zowel de werking, als de rechten en plichten van de betrokkenen en de verzekeringsmaatschappijen worden uitsluitend geregeld op contractuele basis. Uiteraard moet het RSR-bestand de wet verwerking persoonsgegevens naleven, maar daar blijft het ook bij.
266
Artikel 19 wet 5 juli 1998 betreffende de collectieve schuldenregeling en de mogelijkheid van verkoop uit de hand van de in beslag genomen onroerende goederen, BS 31 juli 1998, 24613 267 Verder: wet op de kredietcentrale 268 L. VAN DEN STEEN, “De berekening van de termijnen onder art. 29 1° W.C.K. en de registratie van een wanbetaler”, D.C.C.R. 2008, nr. 79, 109; D. MEULEMANS en V. TOLLENAERE, “Krachtlijnen van de nieuwe regeling inzake de positieve kredietcentrale”, T. Fin. R. 2001, 139-140 269 www.nbb.be (consultatie 4 mei 2013)
87
2. Doelstellingen 210. De Kredietcentrale werd opgericht met één duidelijke doelstelling, met name het bestrijden van overmatige schuldenlasten. De memorie van toelichting geeft aan dat de wet kadert in het globale plan van de overheid in de strijd tegen de schuldenoverlast. Specifiek is het er op gericht om ‘een doeltreffend preventiesysteem op te stellen tegen de schuldenlast die voortvloeit uit de opeenhoping van kredietovereenkomsten.’270 211. De wetgever wou de consument nog meer beschermen tegen overmatige schulden door het invoeren van een positief luik in de Kredietcentrale. Men kwam tot het besef dat een negatief luik alleen niet de volledige financiële positie van de kredietnemer weergeeft. De potentiële kredietgevers verkrijgen slechts een gedeeltelijk beeld van de financiële positie, waardoor ze onmogelijk een volledig geïnformeerde beslissing kunnen nemen. Op het ogenblik dat de kredietnemer werd geregistreerd, was het in principe al te laat, aangezien registratie enkel gebeurde bij wanbetaling. De kredietnemer bevindt zich bij de registratie reeds in een situatie van overmatige schuldenlast. Om deze redenen werd het positieve luik ingevoerd samen met de verplichting voor kredietgevers om het bestand te raadplegen vooraleer ze een nieuw krediet toekennen. Nu worden alle kredietovereenkomsten die een kredietnemer heeft afgesloten in de centrale opgenomen, ongeacht of er een betalingsachterstand is of niet. Zo hebben kredietgevers een vollediger beeld van de financiële positie waarin de kredietnemer zich bevindt. Door de kredietgevers te verplichten het bestand te raadplegen, wordt voorkomen dat er lichtzinnig kredieten worden toegestaan. Indien kredieten worden toegestaan aan een consument waarvan het duidelijk is dat er geen of weinig terugbetalingscapaciteiten aanwezig zijn, kan hij zich niet meer beroepen op zijn onwetendheid m.b.t. het aantal kredieten die de consument al had lopen.271 Artikel negen van de wet op de kredietcentrale, die deze verplichte raadpleging voorschrijft, houdt evenwel geen beperking in voor de kredietgever om kredieten toe te staan aan de in de centrale opgenomen personen. Hij kiest nog steeds zelf naar eer en geweten om al dan niet een nieuw krediet toe te kennen aan de betrokkene. De gegevens uit de databank vormen één aspect waarmee rekening wordt gehouden, maar er zijn nog verschillende andere factoren die meespelen bij de beslissing zoals de beroepsinkomsten van de betrokkene, eventuele huurinkomsten, zijn vermogenstoestand, de samenstelling van zijn gezin, enz. 272 De gegevens uit de databank mogen dan ook enkel gebruikt worden in het kader van het toekennen van nieuwe kredieten of
270
Memorie van Toelichting bij het wetsontwerp betreffende de Centrale voor Kredieten aan Particulieren, Parl. St. Kamer 2000-2011, nr. 1123/001, 5 271 A- L. EVRARD en P. LOUYET, “De kredietcentrale werkt eindelijk in het voordeel van de consument. Dat zal het moeilijker maken om nu nog een lening toe te staan aan iemand die de afbetaling wellicht niet zal aankunnen.”, Budget en recht 2003, 16-18 272 R. TROCH, “Enkele organisatorische aspecten van de Positieve Kredietcentrale”, T. Fin. R. 2001, 155-157
88
het beheer van bestaande kredieten. Het gebruik van de gegevens voor andere doeleinden, in het bijzonder commerciële en marketing doeleinden, is verboden.273
3. Besluit 212. De Kredietcentrale werd opgericht in het belang van zowel de kredietgevers als van de in het bestand opgenomen consumenten. Door de kennisname van de registraties beschikt de kredietgever over meer gegevens van de kredietnemer, waardoor hij de terugbetalingsmogelijkheden beter kan inschatten. Het helpt hem dus bij zijn beslissing over het al dan niet toekennen van een krediet en het vaststellen van de modaliteiten ervan. Dit stemt overeen met het doel van het RSR-bestand. De inzage van de gegevens helpt de verzekeraar ook om beter het risico te kunnen inschatten en een correcte premie te kunnen berekenen. 213. In tegenstelling tot het RSR-bestand is de Kredietcentrale speciaal opgericht ter bescherming van de in het bestand opgenomen personen. Het beschermt hen tegen de grote schuldenlasten die ze zouden kunnen aangaan. Door de registratie kan aan hen geen krediet meer worden toegestaan die ze niet kunnen terugbetalen. Het RSR-bestand doet het tegenovergestelde, het wil juist de verzekeringsnemers beschermen die niet in het bestand zijn opgenomen. Doordat de slechte risico’s worden geïdentificeerd kunnen de goede risico’s genieten van een lagere premie die aan hun specifieke risico is aangepast. De in het bestand opgenomen personen daarentegen zullen moeilijker een nieuwe verzekeraar vinden of krijgen een hogere premie of slechtere voorwaarden voorgeschoteld. Het RSR-bestand heeft dan ook enkel een negatief luik en bevat geen positief luik zoals de Kredietcentrale. Het zou ook overbodig zijn om zo’n positief luik te voorzien. Het is voor de verzekeraar niet van belang om te weten welke andere verzekeringen de kandidaat-verzekeringsnemer al heeft lopen om te beslissen of hij al dan niet een verzekering zal toekennen en aan welke premie of voorwaarden.
273
R. TROCH, “Enkele organisatorische aspecten van de Positieve Kredietcentrale”, T. Fin. R. 2001, 155-157; artikel 8 §2 wet betreffende de Centrale voor Kredieten aan Particulieren
89
II.
DE CENTRALE VOOR KREDIETEN AAN PARTICULIEREN EN HET RSR-BESTAND
1. De registratie wegens wanbetaling 214. Een eerste zeer belangrijke verschil met het RSR-bestand heeft betrekking op de personen die kunnen opgenomen worden in de databank. In het RSR-bestand kunnen zowel consumenten als professionelen opgenomen worden die voldoen aan de registratieredenen. In de Kredietcentrale daarentegen worden enkel personen geregistreerd die een consumentenkredietovereenkomst hebben aangegaan. Het gaat hem dus enkel om consumenten, personen die handelen buiten hun beroepsactiviteit. Professionelen worden geacht deze bescherming niet nodig te hebben en bovendien kan hun financiële toestand op andere manieren gecontroleerd worden. 215. Zoals reeds werd vermeld heeft de Kredietcentrale zowel een negatief luik als een positief luik, terwijl het RSR-bestand enkel een negatief luik heeft. Er zal hier dan ook enkel verdergegaan worden op het negatieve luik van de Kredietcentrale. Dit luik wordt geregeld door artikel 3§1, 3° van de wet op de kredietcentrale en de artikelen 5 t.e.m. 8 van het KB van 1992. 216. Een kredietnemer wordt in het bestand geregistreerd indien zijn wanbetaling voldoet aan de volgende criteria:
in geval van verkoop op afbetaling, financieringshuur en lening op afbetaling: a) drie termijnbedragen zijn op hun vervaldag niet of onvolledig betaald, of b) een vervallen termijnbedrag is gedurende drie maanden niet of onvolledig betaald, of c) de nog te vervallen termijnbedragen zijn onmiddellijk opeisbaar geworden;
in geval van kredietopening: de kredietnemer die de voorwaarden van de kredietovereenkomst niet eerbiedigt, heeft een debetstand niet volledig aangezuiverd in een periode van drie maanden vanaf de datum waarop hij hiertoe schriftelijk door de kredietgever werd verzocht;
in geval van een hypothecaire kredietovereenkomst: a) een verschuldigd bedrag werd niet of onvolledig betaald binnen drie maanden na de vervaldag, of b) een verschuldigd bedrag werd niet of onvolledig betaald binnen een maand na het versturen door de kredietgever van de ter post aangetekende verwittiging bedoeld in artikel 45 van de wet van 4 augustus 1992 op het hypothecair krediet.
217. Bij de eerste registratie van een wanbetaling betreffende een kredietovereenkomst, moet het bedrag van deze wanbetaling betrekking hebben op een som hoger dan 25 euro.
90
218. Slechts indien aan deze voorwaarden voldaan zijn, wordt de kredietnemer in het bestand opgenomen. Het is niet zo dat men bij de minste vertraging in de terugbetalingen in de centrale wordt geregistreerd. De wanbetaling moet een zekere grootte aannemen, want de registratie zou anders disproportioneel zijn. Ook de registratie in het RSR-bestand wegens niet-betaling van de premie gebeurt niet onmiddellijk bij de eerste tekortkoming. Er wordt slechts geregistreerd op het ogenblik dat de verzekeringsmaatschappij het verzekeringscontract opzegt naar aanleiding van die wanbetaling. Bij de Kredietcentrale wordt daarbij nog in een minimumbedrag van wanbetaling voorzien voor de eerste registratie. Voor de registratie van wanbetaling in de verzekeringssector is enkel een minimum van €150 voorzien in het kader van de WAM-verzekering. 219. Wanbetaling die voldoet aan de hierboven omschreven criteria, is de enige reden die aanleiding kan geven tot een registratie in het negatieve luik van de Kredietcentrale. Geen enkele andere situatie, zoals bijvoorbeeld fraude, leidt tot de opname in het bestand. In het RSR-bestand is de registratie wegens wanbetaling slechts één van de vele mogelijke redenen die aanleiding kunnen geven tot opname in de databank. Als we kijken naar de effectief uitgevoerde registraties zien we wel dat meer dan 90% hiervan registraties zijn wegens opzegging door niet-betaling van de premie.274 Betalingsachterstand komt de laatste jaren in elke sector steeds vaker voor en bereikt soms verontrustende hoogtes. Gemeenschappelijke databanken, zoals de Kredietcentrale en het RSR-bestand, zijn een middel om dominoeffecten te vermijden en de schuldspiraal te doorbreken.
2. De geregistreerde gegevens en hun bewaringstermijn 220. Het KB van 7 juli 2002 bevat in zijn artikel zes de gegevens die in het negatieve luik van de Kredietcentrale opgenomen worden: “1° het nummer en de taal van de kredietovereenkomst en de identificatiegegevens van de kredietnemer zoals voorzien in artikel 2,§ 1, 1° en 2°; 2° in voorkomend geval, de overdracht van de overeenkomst met de identiteit van de overnemer; 3° voor de verkoop op afbetaling, de financieringshuur en de lening op afbetaling, de datum van de wanbetaling en a) ofwel, het vervallen en niet-betaalde kapitaal vermeerderd met het bedrag van de vervallen en niet-betaalde totale kosten van het krediet; b) ofwel, in geval van opeisbaarstelling, het bedrag van het verschuldigd blijvend saldo vermeerderd met het bedrag van de vervallen en niet- betaalde totale kosten van het krediet;
274
ESV DATASSUR, Jaarverslag 2011, www.datassur.be, 6
91
4° voor de kredietopening, de datum van de wanbetaling en het bedrag van het verschuldigd blijvende saldo vermeerderd met het bedrag van de vervallen en niet-betaalde totale kosten van het krediet; 5° voor de hypothecaire kredietovereenkomst, de datum van de wanbetalingen, en a) ofwel het vervallen en niet-betaalde kapitaal vermeerderd met de vervallen en nietbetaalde intresten; b) ofwel, in geval van opeisbaarstelling, het bedrag van het verschuldigd blijvend saldo vermeerderd met de vervallen niet-betaalde intresten; 6° in voorkomend geval, de datum van de regularisatie. Mogen niet in de gemelde bedragen worden begrepen: nalatigheidsintresten, boetes of schadevergoedingen, kosten voor brieven betreffende aanmaning of ingebrekestelling en gerechtskosten.” 221. Op het ogenblik dat een kredietgever een nieuwe kredietovereenkomst aangaat met een bepaalde kredietnemer, moet hij daarvan melding maken aan de Kredietcentrale. Deze kredietovereenkomst wordt dan vermeld in het positieve luik van de databank. Indien de kredietnemer daarna in gebreke blijft de afgesproken bedragen op hun vervaldag terug te betalen en de wanbetaling aan de criteria voor registratie voldoet, dan moet een nieuwe registratie gebeuren. De betrokken kredietinstelling zal de positieve registratie moeten bijwerken. Ze zal de datum van wanbetaling, het achterstallige bedrag, de eventuele overname van het krediet, kosten en interesten, enz. bij de positieve registratie moeten plaatsen. Het kan natuurlijk altijd zijn dat het bedrag van wanbetaling van maand tot maand verschilt. Een kredietnemer kan vier maanden in gebreke zijn, daarna twee maand betalen en dan terug in gebreke blijven, of hij kan een kleiner bedrag afbetalen dan contractueel werd voorzien. Hierdoor moeten de betrokken instellingen telkens op het eind van de maand de geregistreerde gegevens gaan aanpassen en actualiseren.275 222. De gegevens die in de Kredietcentrale worden opgenomen zijn voldoende uitgebreid en precies om een correct beeld te krijgen van de wanbetaling van de kredietnemer. Net zoals bij het RSR-bestand het geval is, wordt het concrete bedrag van de achterstallige som vermeld alsook de datum van wanbetaling. Beide databanken geven geen vermelding van de oorzaak van de wanbetaling. Dit is m.i. ook helemaal irrelevant, moeilijk te controleren en te subjectief om als dienstverlener rekening mee te houden.
275
Artikel 7 wet op de Kredietcentrale
92
223. De Kredietcentrale voorziet net zoals het RSR-bestand in specifieke bewaringstermijnen. Artikel acht van de wet bepaalt: “De bewaartermijnen van de gegevens betreffende wanbetalingen zijn de volgende: 1° twaalf maanden vanaf de datum van regularisatie van de kredietovereenkomst; 2° maximaal tien jaar vanaf de datum van de eerste registratie van een wanbetaling ongeacht of de kredietovereenkomst al dan niet werd geregulariseerd. Bij het verstrijken van deze termijnen, worden deze gegevens verwijderd.” 224.
Deze termijnen verschillen zeer duidelijk van de termijnen die gelden voor de
registratie van wanbetaling in het RSR-bestand. De termijn die geldt in de verzekeringssector is maximum drie jaar. De termijn die hier geldt in de bankensector is maximaal tien jaar. De toevoeging ‘ongeacht of de kredietovereenkomst al dan niet werd geregulariseerd’ betekent dat een regularisatie na 9 jaar de termijn van 10 jaar niet kan doen verlengen. In dat geval doet de regularisatie geen nieuwe termijn van 12 maanden ingaan. De termijn van 10 jaar is een echte maximumtermijn. Treedt er een wanbetaling op, dan begint een termijn van 10 jaar te lopen. Indien daarna een regularisatie plaatsvindt, maar na enkele maanden volgt opnieuw een wanbetaling, dan start er geen nieuwe termijn van tien jaar, maar herleeft de oorspronkelijke termijn. Zo wordt de debiteur die regulariseert niet gediscrimineerd t.o.v. de debiteur die niet regulariseert.276 De gegevens worden slechts uit de databank verwijderd na verloop van deze bewaringstermijn. Gebeurt er een regularisatie, dan nog blijven de gegevens één jaar in het bestand vermeld. Dit is volledig anders in het RSR-bestand. Wanneer daar de achterstallige premie alsnog wordt betaald, wordt de registratie onmiddellijk geschrapt. Dit verschil is m.i. gerechtvaardigd gelet op de doelstellingen. Het is voor de kredietgever van belang te weten of er recent financiële moeilijkheden zijn geweest om een krediet op maat te kunnen aanbieden en er voor te zorgen dat hij de kredietnemer niet met een krediet opzadelt die hij niet zal kunnen terugbetalen. Die termijn van één jaar kan dan ook gezien worden als een soort bescherming voor de betrokkene. Er wordt bij de registratie trouwens vermeld welke de datum van regularisatie is. Bij verzekeringspremies gaat het om een volledig andere soort betaling en er kan moeilijk gezegd worden dat de opname in het bestand in het voordeel van de betrokkene speelt. De onmiddellijke schrapping uit het bestand bij regularisatie is m.i. noodzakelijk bij het RSR-bestand. Het grote verschil in maximumtermijnen kan ook op grond hiervan verdedigd worden, hoewel naar mijn mening de termijn van tien jaar toch wel een zeer lange termijn is die zeker als absoluut maximum moet gelden.
276
F. VAN DER HERTEN, “Commentaar bij Wet van 10 augustus 2001 betreffende de Centrale voor Kredieten aan Particulieren” in E. WYMEERSCH, J. STUYCK, R. STEENNOT. en H. VANHEES (eds.), Financieel recht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, 2012, afl. 32, 142
93
3. De kennisgeving aan de geregistreerde persoon 225. Artikel zes van de wet op de kredietcentrale bepaalt de kennisgeving die aan de betrokkene moet gebeuren. Elke kredietovereenkomst die moet geregistreerd worden in het positieve luik van de Kredietcentrale moet vermelden:
de clausule: «Deze overeenkomst maakt het voorwerp uit van registratie in de Centrale voor Kredieten aan Particulieren overeenkomstig artikel 3, § 1, 1° of 2°, van de wet van 10 augustus 2001 betreffende de Centrale voor Kredieten aan Particulieren»;
de doeleinden van de verwerking in de Centrale;
de naam van de Centrale;
het bestaan van een recht op toegang, op verbetering en op uitwissing van de gegevens alsook de bewaartermijnen van deze laatste.
226. Op deze manier weet de kredietnemer meteen dat zijn gegevens opgenomen worden in de Kredietcentrale. Wat hier wel opvalt, is dat geen melding wordt gemaakt van het feit dat er ook een negatief luik bestaat. De betrokkene moet volgens de wet voor het sluiten van het contract niet geïnformeerd worden over de mogelijkheid van registratie bij wanbetaling. Dit is m.i. nochtans een belangrijk gegeven. Bij het sluiten van een nieuwe verzekeringsovereenkomst zijn de verzekeringsmaatschappijen wel verplicht dergelijke melding te maken. Zo weet de verzekerde van het begin dat als er niet wordt betaald, er een mogelijkheid is dat zijn gegevens doorgegeven worden aan de databank. 227. De kredietnemer die voldoet aan de criteria van wanbetaling wordt uiteraard wel op het ogenblik van de eerste registratie geïnformeerd. Het gaat om elke eerste registratie per kredietovereenkomst. Indien een registratie van wanbetaling van meerdere kredietovereenkomsten gebeurt, moet voor elk van deze een kennisgeving gebeuren. Net zoals bij het RSR-bestand is het niet de rechtstreekste contractspartij van de betrokkene, de kredietgever/verzekeraar, die hem op de hoogte stelt van zijn registratie. Waar het bij het RSR-bestand Datassur is die de kennisgeving verzorgt, is het bij de Kredietcentrale de NBB die als beheerder van het bestand de kennisgeving verricht. Hij moet dit onverwijld doen en de kennisgeving moet het volgende vermelden:
de referentie van de betrokken overeenkomst;
de doeleinden van de verwerking in de Centrale;
de naam en het adres van de persoon die de gegevens heeft medegedeeld;
het bestaan van een recht op toegang, op verbetering en op uitwissing van de gegevens alsook de bewaartermijnen van deze laatste.
Dit komt grotendeels overeen met de vermeldingen bij de kennisgeving door Datassur.
94
4. De toegang tot de Kredietcentrale en het gebruik van de gegevens 228. De input van de gegevens is gelijk aan die van het RSR-bestand. Het zijn de kredietgevers die verplicht worden overeenkomstig artikel 3§1, 3° juncto artikel 4 van de wet om de gegevens omtrent de wanbetaling aan de Kredietcentrale mee te delen. Er werd zelfs voorzien in een termijn waarbinnen de gegevens aan de Kredietcentrale moeten doorgegeven worden. Die termijn is acht werkdagen die volgen op de vaststelling van de wanbetaling of van regularisatie.277 Het hof van beroep te Luik heeft reeds bevestigd dat het doorgeven van gegevens in verband met wanbetaling aan de Kredietcentrale voor de kredietgevers geen mogelijkheid is, maar een verplichting.278 229. Net zoals bij het RSR-bestand, is de Kredietcentrale niet toegankelijk voor om het even welke persoon. In principe zijn het enkel de professionele kredietgevers, de betrokkene zelf en bepaalde in artikel 8§1 van de wet opgesomde personen die de gegevens in de databank kunnen raadplegen. Waar het bij Datassur enkel de leden en hun personeel is die toegang krijgen tot het bestand, is de toegangsregeling hier wel iets ruimer. Zo krijgen ook advocaten, notarissen en schuldbemiddelaars toegang tot de persoonsgegevens. Een zeer belangrijk verschil volgt uit artikel 8§1, tweede lid van de wet. Dit artikel bepaalt: “De buitenlandse kredietcentrales kunnen eveneens mededeling krijgen van de inlichtingen opgenomen in de Centrale, op voorwaarde dat hun doeleinden, de geregistreerde gegevens en de bescherming die zij waarborgen op het vlak van de persoonlijke levenssfeer, gelijkwaardig zijn met die van de Centrale en dat zij hun gegevens, op basis van wederkerigheid, aan de Centrale verstrekken.” In tegenstelling tot het RSR-bestand kan hier dus wel internationale gegevensuitwisseling plaatsvinden. Daarvoor moet er natuurlijk aan vier cumulatieve voorwaarden worden voldaan zodat de bescherming van de persoonlijke levenssfeer van de betrokkenen zeker wordt gesteld. Dit is zeer belangrijk bij internationale kredietverlening, zeker als men de doelstelling van de Kredietcentrale wil bereiken. Om consumenten te beschermen tegen overmatige schuldenlasten moet elke kredietgever de Kredietcentrale raadplegen om een correct beeld te kunnen krijgen van de financiële toestand van de kredietnemer. Dan behoeft het ook geen uitleg dat het belangrijk is te weten hoe het zit met eventueel reeds aangegane kredieten of wanbetalingen in andere landen. Des te meer nu internationale kredietverlening en internetbankieren steeds grotere proporties aannemen. Dergelijke samenwerking kan de consument enkel ten goede komen. Uiteraard moet er dan wel gezorgd worden voor voldoende beschermingsmechanismen zodat er in het buitenland geen loopje wordt genomen met de persoonsgegevens van de betrokkenen. Dit is natuurlijk niet altijd even gemakkelijk. In België is de kredietregistratie volledig wettelijk gereguleerd waardoor er is voorzien van voldoende waarborgen, maar dit is uiteraard niet overal het geval. 277 278
Artikel 7 van de wet op de Kredietcentrale Luik (7de k.) 9 september 2003, J.L.M.B. 2004, afl. 24, 1054-1056, noot P. DEJEMEPPE
95
In bepaalde landen is kredietregistratie een zaak van private ondernemingen die dit uitvoeren op commerciële basis. Deze ondernemingen hebben vaak een volledig andere doelstelling en kunnen niet de nodige bescherming bieden om gegevensuitwisseling toe te laten. Een volledig geregeld Europees systeem van gegevensuitwisseling zou daarom een aan te raden initiatief zijn.279 230. De wet stelt uitdrukkelijk dat de gegevens enkel en alleen mogen gebruikt worden in het raam van het verstrekken van of het beheer van kredieten of betalingsmiddelen, die van aard zijn het privévermogen van een natuurlijk persoon te bezwaren en waarvan de uitvoering op het privévermogen kan voortgezet worden.280 Dit stemt overeen met het RSRbestand, waar de gegevens ook enkel mogen worden gebruikt door verzekeraars om nieuwe verzekeringsovereenkomsten te sluiten. Voor de Kredietcentrale werd nog eens extra vermeld dat de inlichtingen niet mogen gebruikt worden voor commerciële prospectiedoeleinden. Om er zeker van te zijn dat dit verbod nageleefd zou worden, werd bij KB voorzien in een bijkomende waarborg.281 Een kredietgever die de Kredietcentrale raadpleegt, verkrijgt geen gegevens omtrent de naam van de kredietgever, van de overnemer, het nummer en de taal van de overeenkomst, hoewel deze gegevens wel in de databank zijn geregistreerd. De Kredietcentrale krijgt daarbij de machtiging om een synthetisch antwoord te verstrekken op basis van het geheel of van een deel van de geregistreerde gegevens. Door deze beperking zorgt men er voor dat de kredietgevers het bestand niet zouden kunnen raadplegen om nieuwe contracten te sluiten.282 Deze beperking vindt men ook terug in het RSR-bestand. Een verzekeringsmaatschappij die de databank raadpleegt, krijgt ook hier niet te zien welke de betrokken verzekeringsmaatschappij is die de registratie heeft doorgevoerd, ook al wordt dit wel geregistreerd. 231. Nog een laatste verschil met de RSR-databank ligt vervat in artikel negen van de wet op de kredietcentrale en artikel tien van het KB van 19 juli 2002. De kredietgevers worden verplicht om de Kredietcentrale te raadplegen vooraleer ze een nieuwe kredietovereenkomst sluiten. Dit ligt ook volledig in de lijn met de doelstelling om consumenten te beschermen tegen overmatige schulden. Bij de RSR-databank hebben de toegetreden leden de mogelijkheid, maar niet de verplichting om de gegevens op te zoeken. Uiteraard zal in de praktijk elke verzekeraar de databank raadplegen, vooraleer hij een nieuwe verzekeringsovereenkomst zal sluiten. Dit is niet onlogisch, omdat de 279
D. MEULEMANS en V. TOLLENAERE, “Krachtlijnen van de nieuwe regeling inzake de positieve kredietcentrale”, T. Fin. R. 2001, 158; Voor de bespreking van het RSR-bestand en de internationale gegevensuitwisseling zie randnummer 201-204 280 Artikel 8§2 van de wet op de Kredietcentrale 281 Artikel 12 KB 19 juli 2002 282 A- L. EVRARD en P. LOUYET, “De kredietcentrale werkt eindelijk in het voordeel van de consument. Dat zal het moeilijker maken om nu nog een lening toe te staan aan iemand die de afbetaling wellicht niet zal aankunnen.”, Budget en recht 2003, 18
96
verzekeringsmaatschappijen door het opvragen van deze informatie zichzelf gaan beschermen tegen slechte risico’s en eventuele financiële verliezen. Daar het bestand niet meteen in het voordeel is van de betrokken personen, zou het hier ook niet aan te raden zijn om een verplichting op te leggen.
5. Het recht van toegang en verbetering 232. Zoals bij het RSR-bestand heeft de betrokkene ook hier een recht op toegang tot de gegevens die op hem betrekking hebben, een recht op verbetering van foutieve of onvolledige gegevens en een recht op verwijdering.283 De betrokkenen worden van deze rechten op de hoogte gebracht bij de kennisgeving van de registratie. Deze rechten kunnen kosteloos uitgeoefend worden, ofwel door de betrokkene zelf ofwel door diens advocaat, ministerieel ambtenaar of gerechtelijk mandataris. De identificering van de betrokkene gebeurt eveneens aan de hand van een fotokopie van de identiteitskaart die bij de aanvraag moet worden gevoegd. Wenst de kredietnemer zijn recht op verbetering of verwijdering uit te oefenen, dan moet hij nog een extra document bij de aanvraag voegen waarin hij de motieven van zijn aanvraag uiteenzet. Deze rechten moeten uitgeoefend worden bij de Kredietcentrale zelf en niet via de betrokken kredietgever, wat overeenstemt met het RSR-bestand. Het hof van beroep te Brussel besliste enige jaren terug terecht dat de Kredietcentrale zelf geen enkel initiatief kan nemen om bepaalde gegevens uit de databank te schrappen. Ze heeft geen enkele appreciatiebevoegdheid bij het doorvoeren van de registraties. Ze is net zoals Datassur afhankelijk van de kredietnemers die de gegevens aan haar doorspelen. Het is niet aan de Kredietcentrale om deze gegevens op eigen houtje te controleren en eventueel aan te passen of te schrappen.284 233. Indien een recht op verbetering of verwijdering met succes wordt uitgeoefend en de betrokken gegevens gewijzigd of geschrapt worden, dan moet de Nationale Bank van België daar kennis van geven aan de personen die reeds inlichtingen van de Kredietcentrale hebben verkregen en die de kredietnemer aanduidt. Dit stemt ook weer overeen met de werking van het RSR-bestand.
283 284
Artikel 7 van de wet op de kredietcentrale en artikel 13 KB 19 juli 2002 Brussel (8ste k.) 10 oktober 2006, D.C.C.R. 2007, afl. 75, 189-192, noot G. L. BALLON
97
6. Controle op de naleving van de wettelijke verplichtingen 234. Hoofdstuk V ‘Sancties, opsporing en vaststelling van de inbreuken’ van de wet op de kredietcentrale bevat regels om de goede naleving van de wet te verzekeren. Bij niet-naleving van de wettelijke verplichtingen door de kredietgever wordt voorzien in verschillende sancties. De ambtenaren van de economische inspectiedienst krijgen de bevoegdheid om inbreuken op de wet op te sporen, waarschuwingen te geven en om minnelijke schikkingen voor te stellen. Of deze controles en sancties voldoende zijn om de naleving van de wet en de doelstellingen van de Kredietcentrale te bereiken blijft nog wel de vraag. 235. Daarnaast kunnen consumenten die menen slachtoffer te zijn van commercieel misbruik van de Kredietcentrale uiteraard ook altijd terecht bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer of bij de Nationale Bank van België zelf.285
7. Besluit 236. De Kredietcentrale heeft zowel gelijkenissen als verschillen met de RSR-databank. Beide verzamelen ze gegevens van cliënten naar aanleiding van wanbetalingen. Bij de Kredietcentrale is dit de enige registratiereden, terwijl dit slechts één van de zovele registratieredenen is van het RSR-bestand. Dit moet genuanceerd worden, aangezien de registratie wegens niet-betaling van de verzekeringspremie 90% uit maakt van het totale aantal registraties. Een ander groot verschil is dat het RSR-bestand een uitsluitend zwarte lijst is, terwijl de Kredietcentrale ook een positief luik bevat. Gelet op de doelstellingen is dit wel nuttig bij de Kredietcentrale, maar zou dit overbodig zijn bij het RSR-bestand. De doelstelling van beide bestanden is volledig anders. Waar de Kredietcentrale de in het bestand opgenomen personen wil beschermen tegen overmatige schuldenlasten, wil het RSR-bestand de niet in het bestand opgenomen personen beschermen. Kredietgevers worden door de verplichte inzage in het bestand gewaarschuwd voor de precaire situatie waarin de kredietnemer zich bevindt. Er mogen aan hem dan ook niet lichtzinnig kredieten verleend worden. De registratie is dus in het belang van de geregistreerde persoon, in tegenstelling tot het RSR-bestand waar de registratie in het nadeel is van de betrokken persoon. Registratie komt de ‘goede risico’s’ ten goede omdat zij een individueel aangepaste premie kunnen verkrijgen en niet het risico van de ‘slechte huisvaders’ moeten dragen. Uiteraard komen de registraties in het RSR-bestand nog het meest ten goede aan de verzekeringsmaatschappijen die toegang hebben tot het bestand. In het licht van deze doelstellingen kan ook het grote verschil in bewaringstermijnen verklaard 285
I. DE MEULENEERE, “Uw schulden worden publiek geheim”, Juristenkrant 2001, afl. 36, 1-2; A-L. EVRARD en P. LOUYET, “De kredietcentrale werkt eindelijk in het voordeel van de consument. Dat zal het moeilijker maken om nu nog een lening toe te staan aan iemand die de afbetaling wellicht niet zal aankunnen.”, Budget en recht 2003, 18
98
worden. In de kredietcentrale worden de gegevens voor een termijn van 10 jaar bewaard, terwijl het RSR-bestand slechts voorziet in een bewaringstermijn van drie jaar. Datassur gaat ook onmiddellijk over tot schrapping bij regularisatie, terwijl de gegevens in de Kredietcentrale tot 1 jaar na de regularisatie bewaard blijven. Wat mij ook opvalt, is dat bij het sluiten van de kredietovereenkomst de kredietnemer enkel in kennis wordt gesteld van de opname van zijn gegevens in het positieve luik, terwijl er geen verplichting is om ook te verwijzen naar de mogelijke opname in het negatieve luik. Dit gebeurt wel bij de kennisgeving van de verzekeringsmaatschappij aan de kandidaat-verzekeringsnemer. Dit is een pluspunt voor het RSR-bestand van Datassur. 237. De werking van beide databanken kent dus meerdere gelijkenissen, maar ook meerdere verschillen. Deze verschillen kunnen bijna altijd verantwoord worden in het licht van de doelstellingen van de databanken. Er kan niet gezegd worden dat de ene een betere werking heeft dan de andere.
99
Hoofdstuk 4: Buitenlandse zwarte lijsten in de verzekeringssector
I.
DE VERZEKERINGSDATABANK IN NEDERLAND
1. Algemeen: De FISH-databank van de stichting CIS 238.
In Nederland hebben verzekeringsmaatschappijen, net zoals in België, de nood
gevoeld om een systeem in het leven te roepen om hen te beschermen tegen verzekeringsfraude en hen te helpen de risico’s beter in te schatten.286 Het Verbond van Verzekeraars heeft daar samen met de Stichting CIS287 de ‘FISH288-databank’ opgericht.289 Het is de Stichting CIS die is aangesteld als verantwoordelijke voor de verwerking290 in de zin van de wet verwerking persoonsgegevens. Het beheer en de verwerking van de gegevens wordt door het CIS toevertrouwd aan ABZ, terwijl het secretariaat wordt verzorgd door Branche Initiatieven. Het CIS zelf staat in voor de controle op de naleving van de wetgeving inzake de bescherming van persoonsgegevens door al haar deelnemers. Het College voor de Bescherming van Persoonsgegevens, die belast is met het toezicht op de naleving van de wet bescherming persoonsgegevens, heeft aan de Stichting CIS de toestemming gegeven om overeenkomstig de doeleinden die het CIS heeft opgesteld, persoonsgegevens te verwerken. 291 239. De Stichting werd opgericht om de gemeenschappelijke belangen van haar deelnemers te behartigen aan de hand van informatie-uitwisseling tussen de deelnemers onderling, tussen de deelnemers en politie en justitie en andere door het bestuur erkende instellingen. Hierdoor worden de deelnemers in staat gesteld om misbruik van financiële producten en diensten te ontdekken, te voorkomen en te bestrijden en zo risico’s te beheersen in de ruimste zin van het woord. De Stichting wil dit verwezenlijken door het verzamelen, ordenen, beheren en uitwisselen van feitelijke gegevens.292 Daarmee krijgen de deelnemers een beter zicht op de aard en omvang van de aangeboden risico’s (is alle opgegeven informatie in een 286
M. LELIVELD, “Civielrechtelijke middelen in de strijd tegen fraude bij schadeverzekeringen”, Verzekeringsarchief 2007, 98 287 Centraal Informatie Systeem van in Nederland werkzame verzekeringsmaatschappijen 288 Fraude en Informatie Systeem Holland 289 J. DHONT, “Le traitement des données à caractère personnel dans les secteur d’assurances. La légalité des banques de données”, Rev. dr. U.L.B. 2000, 321; A.F. ROMMELSE, Zwarte lijsten, belangen en effecten van waarschuwingssystemen, 1995, http://www.cbpweb.nl/downloads_av/av04.pdf, 73 290 Indien de verwerking niet conform de wet bescherming persoonsgegevens geschiedt, dan kan het openbaar ministerie vervolging inzetten of kan een schadevergoeding gevorderd worden door de betrokkene. Zie M. LELIVELD, “Civielrechtelijke middelen in de strijd tegen fraude bij schadeverzekeringen”, Verzekeringsarchief 2007, 98 291 M. LELIVELD, “Civielrechtelijke middelen in de strijd tegen fraude bij schadeverzekeringen”, Verzekeringsarchief 2007, 98 292 www.stichtingcis.nl/ (consultatie 6 mei 2013)
100
verzekeringsaanvraag naar waarheid meegedeeld?) en op de verplichting om een schadevergoeding of een uitkering te betalen (is de eis rechtmatig of frauduleus?).293 240. De Stichting CIS zelf wordt bestuurd door afgevaardigden van de deelnemers, zodat het bestuur is vertegenwoordigd door verzekeraars. Daarnaast neemt ook het Centrum Bestrijding Verzekeringsfraude deel aan het bestuur. In tegenstelling tot het Belgische ESV Datassur beschikt de Stichting CIS over adviesorganen die het bestuur bijstaan. Ze kunnen o.a. voorstellen doen om nieuwe functies aan de databank toe te voegen en schrijven mee aan de werkingsinstructies voor gebruikers van de databank.294 241. Om te kunnen deelnemen aan het systeem van de gemeenschappelijke databank is het vereist dat de verzekeringsmaatschappij of de gevolmachtigde agent aan bepaalde voorwaarden voldoet. Ze moeten werkzaam zijn in Nederland, over een vergunning beschikken op grond van de wet financieel toezicht en geregistreerd zijn bij de Autoriteit Financiële Markten. Naast verzekeringsmaatschappijen kunnen ook andere organisaties deelnemen indien zij daarvoor de toestemming krijgen van het bestuur. De volgende organisaties hebben reeds deze toestemming verkregen: de Stichting Verzekeringsbureau Voertuigcriminaliteit, Stichting Waarborgfonds Motorverkeer, Verbond van Verzekeraars, enz. Verzekeringsmaatschappijen worden erkende deelnemers, nadat ze de deelnemersovereenkomst hebben ondertekend. Door deze ondertekening kunnen de deelnemers gebruik maken van de FISH-databank en moeten ze bepaalde werkingsregels naleven. Dit is een gelijkaardig systeem als dat van de RSR-databank in België.295 242. De Stichting CIS heeft haar eigen protocol en privacyreglement opgemaakt die regels bevatten voor het gebruik van de databank. Voor zowel de Stichting CIS, als haar deelnemers, maar ook voor de betrokkene die geregistreerd staat, werd in deze documenten vastgelegd welke regels gelden bij de verwerking van de persoonsgegevens. Het privacyreglement is van toepassing op alle verwerkingen die betrekking hebben op de databank. Het FISH-protocol legt de werkingsregels vast.
293
www.stichtingcis.nl/ (consultatie 6 mei 2013) www.stichtingcis.nl/ (consultatie 6 mei 2013) 295 www.stichtingcis.nl/ (consultatie 6 mei 2013) 294
101
2. Finaliteit van het gemeenschappelijk bestand 243. De doelstelling van de databank wordt vermeld in artikel drie van het Privacy Reglement Centraal Informatie Systeem:296 “ 1. De verwerking van de informatie heeft tot doel het leveren van een bijdrage aan de behartiging van de gemeenschappelijke belangen van de deelnemers inzake:
het inschatten en beheersen van risico’s in het algemeen;
schadelastbeperking, in het bijzonder door een verantwoord acceptatiebeleid;
het ontdekken, voorkomen en bestrijden van verzekeringsfraude;
het uitwisselen van feitelijke gegevens tussen deelnemers onderling, tussen verzekeraars en politie/justitie en andere door de verantwoordelijke erkende instellingen. 2. Statistische analyses ten behoeve van fraude en criminaliteitsbestrijding en risicoanalyses. 3. De opgenomen gegevens zullen slechts gebruikt worden voor doeleinde die met het doel van de verwerking verenigbaar zijn.” 244. Deze doelstelling heeft zowel gelijkenissen als verschillen met die van het RSRbestand. De verzameling van persoonsgegevens gebeurt ook hier om een correctere risicoberekening mogelijk te maken, feitelijke gegevens onder verzekeraars onderling uit te wisselen en om verzekeringsfraude tegen te gaan. De FISH-databank heeft echter een iets groter toepassingsgebied dan de RSR-databank. Hoewel de RSR-databank ook schadelastbeperking tot gevolg kan hebben, wordt dit niet uitdrukkelijk in de doelstellingen vermeld. Daarnaast bestaat in België niet de mogelijkheid om de persoonsgegevens te gebruiken om statistische analyses te maken. Een nog groter verschil is dat de FISH-databank de uitwisseling van gegevens met politie en justitie voorschrijft, terwijl dit in België geen optie is. De vermelding dat de gegevens enkel voor deze doeleinden mogen gebruikt worden, benadrukt deze wettelijke verplichting zodat de leden er nog eens extra op gewezen worden. 245. Artikel 3.3 van het FISH-protocol297 beschrijft de twee gevallen waarin de deelnemers de databank kunnen raadplegen. Enerzijds kan dit bij het sluiten van een verzekeringsovereenkomst om de door de kandidaat-verzekerde meegedeelde gegevens te verifiëren, net zoals bij het RSR-bestand. Anderzijds kunnen de deelnemers de databank gebruiken bij de schadeafhandeling. De verzekeraar kan op deze manier de gegevens van
296
Artikel 3 van het Privacyreglement Centraal Informatie Systeem, www.stichtingcis.nl/; M. LELIVELD, “Civielrechtelijke middelen in de strijd tegen fraude bij schadeverzekeringen”, Verzekeringsarchief 2007, 98 297 STICHTING CIS, Fishprotocol 28 mei 2003, www.stichtingcis.nl
102
eerdere meldingen gebruiken om te zien of de verzekerde bij de aanvraag van de verzekering wel een juiste en volledige opgave heeft verstrekt van zijn claimhistorie.298
3. Registratieredenen 246. Net zoals het RSR-bestand wordt de FISH-databank gespijsd met gegevens afkomstig van de deelnemers aan het systeem.299 De registratieredenen worden opgesomd in artikel vier van het privacyreglement.300 Er worden zowel van natuurlijke als van rechtspersonen301 gegevens opgenomen wanneer: 1) ze betrokken zijn of zijn geweest bij een (gemelde) schade, een claim, een verzekeringsovereenkomst en/of een aanvraag tot een verzekeringsovereenkomst;
Van iedere schademelding, of dat nu al dan niet met aansprakelijkheid is, die de verzekeraar verkrijgt maakt hij een registratie. Daarbij worden de feitelijke gegevens en de persoonsgegevens verzameld. Er wordt hier enkel geregistreerd dat iemand een beroep heeft gedaan op zijn verzekering. Daarnaast wordt ook geregistreerd de kentekenhouder, de houder en/of bestuurder van een onverzekerd motorrijtuig dat betrokken was bij de aanrijding. Dit is een registratiereden die niet terug te vinden is in het RSR-bestand.
2) ze verantwoordelijkheid dragen ten aanzien van rechtspersonen die betrokken zijn of zijn geweest bij een gemelde schade; Dit is ook iets die in België niet voorkomt. 3) hen een verzekering werd geweigerd op grond van een feitelijk geconstateerde onwaarachtige opgave; Dit valt onder de zogenaamde ‘geweigerde risico’s’ in het RSR-bestand. 4) hun verzekering werd opgezegd;
Bij het RSR-bestand kunnen registraties wegens opzegging van het verzekeringscontract enkel indien dit gebeurt om specifieke redenen. Bij de FISH-
databank kan de verzekeraar elke opzegging van het verzekeringscontract laten registreren. 5) van hen een fraudemelding is opgenomen in het Externe Verwijzingsregister (EVR) conform het protocol Incidenten waarschuwingssysteem Financiële Instellingen;
In het RSR-bestand worden fraudegevallen geregistreerd als ‘verzwaarde risico’s. Een groot verschil daarbij is dat het in België voldoende is dat de verzekeraar tastbare bewijzen heeft van de fraude om een registratie te kunnen doorvoeren, zonder dat dit
298
M. BRANDT en R. MEINDERS, Gevolmachtigd assurantiebedrijf, een bedrijf apart! Voor- en nadelen van volmacht realistisch op een rij, Deventer, Kluwer, 2004, 43 en 50; A.F. ROMMELSE, Zwarte lijsten, belangen en effecten van waarschuwingssystemen, 1995, http://www.cbpweb.nl/downloads_av/av04.pdf, 73 299 M.L. HENDRIKSE, Verzekeringsfraude, Amsterdam, Kluwer, 1999, 36 300 Privacyreglement Centraal Informatie Systeem, www.stichtingcis.nl/ 301 Het RSR-bestand neemt enkel gegevens op i.v.m. natuurlijke personen
103
door een andere instantie moet zijn vastgesteld. In Nederland moet de fraude zijn vastgesteld in het EVR. 6) tegen hen een voor tenuitvoerlegging vatbaar geworden ontzegging van de bevoegdheid motorrijtuigen te besturen is uitgesproken;
Zij werden specifiek daartoe gemachtigd door het Ministerie van Verkeer en Waterstaat. Deze gegevens worden uiteraard niet aangereikt door de verzekeringsmaatschappijen, maar worden rechtstreeks verkregen van de Dienst Wegverkeer. De registratie gebeurt pas wanneer de juridische procedure helemaal afgerond is. Deze registratiereden is onbestaande bij Datassur. Het zou ook helemaal niet verzoend kunnen worden met het verbod op de verwerking van gerechtelijke gegevens. Zoals in Nederland zou daarvoor een specifieke machtiging voor nodig zijn.
247. Wat opvalt, is dat er in Nederland geen specifieke registratiereden bestaat om de nietbetaling van de premie in de databank te laten opnemen. Dit kan geregistreerd worden indien de verzekeringsovereenkomst werd opgezegd naar aanleiding van deze niet-betaling, maar het is niet expliciet voorzien. Het RSR-bestand daarentegen bevat voor 90% registraties wegens niet-betaling van de premie. Dit is een groot verschil tussen beide databanken.
4. De geregistreerde gegevens en de duur van de registratie 248. In de FISH-databank worden heel wat meer gegevens verwerkt dan wat het geval is in het RSR-bestand. Volgende gegevens302 worden verwerkt303: gegevens m.b.t. de personen, objectgegevens, meldingsgegevens, speciale meldingen en vertrouwelijke meldingen. Deze lijst met gegevens is gevoelig uitgebreider dan wat het geval is in het RSR-bestand. Net zoals in België is het aan de verzekeringsmaatschappijen om er voor te zorgen dat de gegevens die ze doorgeven juist en volledig zijn. Er wordt daarbij voorzien in een aansprakelijkheidsregeling voor zowel de toeleveraar als de ontvanger van de gegevens.304 249. De registratietermijn is gelijkaardig aan die van het RSR-bestand.305 Ze verschilt eveneens naargelang de soort registratie en de algemene termijn van bewaring is vijf jaar. Voor de zogenaamde ‘speciale risico’s’ (de bonus/malusgegevens waarvoor een termijn geldt van 15 maanden, gegevens met betrekking tot feitelijke brandschade van meer dan € 50.000 en vermoedens van het met grove schuld verstrekken van onjuiste informatie) geldt een
302
artikel 5 van het Privacyreglement Centraal Informatie Systeem, www.stichtingcis.nl/ zie bijlage voor de uitgebreide lijst 304 STICHTING CIS, Fishprotocol 28 mei 2003, www.stichtingcis.nl 305 artikel 7 van het Privacyreglement Centraal Informatie Systeem, www.stichtingcis.nl/ 303
104
termijn van acht jaar.306 Na deze termijn worden de gegevens verwijderd en vernietigd. Bij Datassur gebeurt dit automatisch na het verlopen van de termijn, bij de FISH-databank gebeurt dit binnen een termijn van één jaar. Bijkomend is dat de gegevens ook verwijderd worden wanneer de betrokkene is overleden.
5. De toegang tot de databank en het gebruik van de gegevens 250. Deelnemers aan het FISH-systeem kunnen slechts gegevens raadplegen uit de databank indien ze zelf ook gegevens aanbrengen, wederkerigheid is hier vereist. 307 Alle gegevens, met uitzondering van de speciale meldingen, kunnen door elke persoon binnen de organisatie van de deelnemers opgevraagd worden, indien dat nodig is voor de uitoefening van hun taken. Het is wel vereist dat elke nieuwe gebruiker hiervan een schriftelijke aanmelding doet. De speciale meldingen mogen uitsluitend verstrekt worden aan speciaal geautoriseerde medewerkers van de deelnemers om op dossierniveau meer gedetailleerde gegevens te krijgen. Omdat het hier gaat om meer gevoelige gegevens werd door het CIS in een bijkomende bescherming voorzien, wat een pluspunt is vanuit het standpunt van de bescherming van de persoonlijke levenssfeer. Een groot verschil met het RSR-bestand is dat gegevens uit de FISH-databank op verzoek kunnen verstrekt worden aan het Verbond van Verzekeraars, dat als loket voor politie en justitie dient voor de afhandeling van justitiële zaken.308 In België is er geen sprake van doorgifte van gegevens aan opsporingsinstanties. In het RSR-bestand worden heel wat minder gegevens opgenomen, waardoor dit ook niet echt nuttig zou zijn, tenzij eventueel voor de verzwaarde risico’s. Voor de rest wordt bepaald dat gegevens enkel aan niet-deelnemers kunnen verstrekt worden, indien dit verenigbaar is met de doelstellingen en ze door het bestuur van de Stichting CIS daartoe toestemming hebben verkregen. Het wordt de deelnemers uitdrukkelijk verboden om de gegevens te verwerken voor commerciële en charitatieve doeleinden.309 Hierdoor worden de deelnemers nog eens uitdrukkelijk gewezen op het verbod van het gebruik van de gegevens voor andere dan de vooropgestelde doeleinden. In tegenstelling tot het RSR-bestand werd voor de gegevens uit de FISH-databank uitdrukkelijk voorzien dat ze kunnen gebruikt worden voor wetenschappelijk onderzoek en statistiek.310 251. Een ander verschil met het Belgisch RSR-bestand vinden we terug in artikel tien van het Privacyreglement. De Nederlandse FISH-databank is gelinkt aan andere geautomatiseerde 306
M. LELIVELD, “Civielrechtelijke middelen in de strijd tegen fraude bij schadeverzekeringen”, Verzekeringsarchief 2007, 98 307 A.F. ROMMELSE, Zwarte lijsten, belangen en effecten van waarschuwingssystemen, 1995, http://www.cbpweb.nl/downloads_av/av04.pdf, 73 308 Artikel 9 Privacyreglement Centraal Informatie Systeem, www.stichtingcis.nl/ 309 Artikel 9 Privacyreglement Centraal Informatie Systeem, www.stichtingcis.nl/ 310 Artikel 11 Privacyreglement Centraal Informatie Systeem, www.stichtingcis.nl/
105
verwerkingen van de Dienst Wegverkeer en het Vermiste Auto Register.311 Het RSR-bestand daarentegen heeft geen enkele link met andere databanken. 252. In het FISH-protocol worden de deelnemers verplicht om de nodige waarborgen te voorzien opdat de gegevens als strikt vertrouwelijk zouden behandeld worden. Dit moeten ze doen door te voorzien in een welbepaalde geheimhoudingsverplichting en een verbod om de gegevens aan andere personen mee te delen. Net zoals in België wordt aan de verwerker de verplichting opgelegd om de nodige maatregelen te nemen om de gegevens te beschermen tegen diefstal of enige andere vorm van onrechtmatige verwerking. Bijvoorbeeld wordt van elke opvraging vastgelegd wie, waar vandaan, wanneer en wat heeft opgevraagd.312
6. Rechten van de betrokkenen 253.
Kandidaat-verzekeringsnemers moeten verplicht op de hoogte gebracht worden van de
mogelijkheid van de opname van hun gegevens in de databank. Dit gebeurt ook in Nederland aan de hand van een standaardtekst op het schadeaangifteformulier, de polisvoorwaarden en/of bij de opzegging van de polis. In tegenstelling tot België is het hier de verzekeringsmaatschappij die de betrokkene informeert van de effectieve registratie en niet de Stichting CIS als verantwoordelijke voor de verwerking. Net zoals in België hebben de betrokkenen in Nederland recht op informatie, een recht op inzage, op correctie, aanvulling en verwijdering en bestaat er een klachten- en geschillenregeling.313
7. Besluit 254. De Nederlandse verzekeringsmaatschappijen hebben eveneens de nood gevoeld om een databank op te richten zodat ze onderling gegevens kunnen uitwisselen. De FISHdatabank vertoont zowel gelijkenissen als verschillen met het RSR-bestand. Beiden worden ze beheerd door een aparte entiteit en worden ze geregeld aan de hand van overeenkomsten. De doeleinden van beide bestanden lopen grotendeels gelijk. Ze willen gegevens uitwisselen zodat verzekeraars de aan hen meegedeelde informatie zouden kunnen controleren op hun waarheid om zo tot een betere risicoberekening te kunnen komen en fraude te bestrijden. Het verschil zit hem in de mogelijkheid die de FISH-databank biedt om de gegevens te gebruiken voor statische doeleinden en om de gegevens uit te wisselen met politie en justitie. Dit laatste hangt samen met het groter aantal gegevens die in de FISH-databank worden bijgehouden. De registratieredenen zijn ook grotendeels gelijk, met die nuance dat het RSR-bestand specifiek 311
Artikel 10 Privacyreglement Centraal Informatie Systeem, www.stichtingcis.nl/ Artikel 12 Privacyreglement Centraal Informatie Systeem, www.stichtingcis.nl/ en artikel 3.8 STICHTING CIS, Fishprotocol 28 mei 2003, www.stichtingcis.nl 313 www.stichtingcis.nl/Consumenten.aspx, (consultatie 4 mei 2013) 312
106
de opzegging wegens niet-betaling van de premie vermeldt. In de FISH-databank bestaat daar geen expliciete grond voor, maar valt dit onder de algemene registratiereden ‘opgezegde risico’s’. Concluderend kan gesteld worden dat beide databanken hetzelfde doel willen bereiken en een gelijkaardige werking hebben, maar dat de Nederlandse databank veel uitgebreider is en ook met andere autoriteiten samenwerkt.
II.
DE VERZEKERINGSDATABANK IN FRANKRIJK
1. Algemeen: Fichier des Résiliations Automobile van AGIRA 255. In Frankrijk hebben verzekeraars eveneens de voordelen van de onderlinge uitwisseling van informatie ontdekt, waardoor een gemeenschappelijke databank werd opgericht.314 De databank wordt bijgehouden door de “Association pour la Gestion des Informations sur le Risque en Assurance”, een beroepsorganisatie in de Franse verzekeringssector.315 AGIRA werd opgericht door la Fédération Française des Sociétés d’Assurances (FFSA) en le Groupement des Entreprises Mutuelles d'Assurance (GEMA). De leden van AGIRA zijn verzekeringsmaatschappijen die in Frankrijk werkzaam zijn en andere professionele organisaties uit de sector.316 De vereniging wordt onderverdeeld in zeven afdelingen, elk met een andere taak en een eigen interne organisatie. Elke afdeling beschikt over een eigen inwendig reglement en voorziet in een eigen specifieke financiering. Een eerste afdeling bestaat uit het Centraal Tariferingsbureau, zoals wij dit ook in België hebben. De tweede afdeling fungeert als informatiecentrum in de zin van de vierde Europese WAMrichtlijn.317 De derde afdeling heet Trans PV en centraliseert alle processen-verbaal van de lokale politie en zorgt voor de verspreiding ervan aan de betrokken verzekeringsmaatschappijen. Trans Vol is de vierde afdeling en houdt een bestand bij van alle gestolen voertuigen die door de politie werden teruggevonden en deelt dit opnieuw mee aan de betrokken verzekeringsmaatschappijen. Dan is er nog de afdeling Trans Immat en de afdeling verzekeringsbemiddeling. Als laatste afdeling is er de “Fichier des Résiliations Automobile”, de databank die hier verder wordt besproken.318
314
J. DHONT, “Le traitement des données à caractère personnel dans les secteur d’assurances. La légalité des banques de données”, Rev. dr. U.L.B. 2000, 321; A. FAVRE ROCHEX en G. COURTIEU, Le droit des assurances obligatoire, Parijs, Librairie generale du droit et du jurisprudence, 2000, 138 315 Verder: AGIRA 316 www.agira.asso.fr/content/fichier-des-resiliations-automobile (consultatie 4 mei 2013) 317 Richtlijn Europees Parlement en Raad 2000/26/EG van 16 mei 2000 inzake de onderlinge aanpassing van de wetgevingen van de lidstaten betreffende de verzekering tegen de wettelijke aansprakelijkheid waartoe deelneming aan het verkeer van motorrijtuigen aanleiding kan geven en houdende wijziging van de Richtlijnen 73/239/EEG en 88/357/EEG van de Raad, Pb.L. 20 juli 2000, 10 318 www.agira.asso.fr/content/fichier-des-resiliations-automobile (consultatie 4 mei 2013)
107
256. Een groot verschil met de RSR-databank is het toepassingsgebied van de Franse ‘Fichier des Résiliations Automobile’. Terwijl het RSR-bestand gegevens omvat van alle verzekerden in de gehele tak van de BOAR-verzekeringen, heeft het bestand van AGIRA slechts betrekking op de verzekering inzake motorrijtuigen. Het slaat dus op een veel kleiner gebied van de verzekeringssector. De registraties in het RSR-bestand hebben wel voor 50% betrekking op de motorrijtuigenverzekering, maar toch ook voor de helft op registraties uit andere verzekeringstakken.
2. Finaliteit van het gemeenschappelijk bestand 257. Het bestand werd opgericht om de gegevens die kandidaat-verzekeringsnemers meedelen omtrent hun verzekeringsverleden, bij het sluiten van een WAM-verzekering, te verifiëren. Le Fichier des Résiliations Automobile heeft als doel: 319
Informatie uitwisselen tussen verzekeringsmaatschappijen om de premies en contributies van kandidaat-verzekeringsnemers van motorrijtuigenverzekeringen te personaliseren;
Het opsporen van fraude bij de schadeaangifte die het gevolg is van een weglating bij het sluiten van de verzekeringsovereenkomst.
De premie kan zo aangepast worden aan het schadeverleden, de kans op fraude en eventuele vroegere betalingsincidenten. Deze doelstelling is praktisch volledig gelijk aan die van het RSR-bestand. 258. Het systeem werd op 12 december 1995 door de CNIL320 bekrachtigd. De vereniging AGIRA treedt zelf op als verantwoordelijke voor de verwerking en beheert de databank.321
3. Registratieredenen 259. Een ander groot verschil met de RSR-databank is de reden van opname van de gegevens in het gemeenschappelijk bestand. Terwijl in België verzekerden om vier grote categorieën van redenen in het bestand opgenomen worden, is er in Frankrijk slechts één registratiereden. De inschrijving gebeurt bij elke opzegging van het verzekeringscontract door de verzekeringsmaatschappij of door de verzekerde. Dit kan het gevolg zijn van een gewone opzegging, een opzegging na minstens één schadegeval, een opzegging wegens schending van 319
CNIL, les listes noires, le fichier des mauvais payeurs et des fraudeurs au regard de la protection des données personnelles, 27 maart 2003, www.cnil.fr, 29 320 Commission nationale de l'informatique et des libertés 321 www.agira.asso.fr/content/fichier-des-resiliations-automobile (consultatie 4 mei 2013); www.cnil.fr/documentation/fichiers-en-fiche/fichier/article/association-pour-la-gestion-des-informations-sur-lerisque-automobile (consultatie 4 mei 2013)
108
de contractuele verplichtingen door de verzekerde (niet betaling van de premie, verkeerde voorstelling van het risico, enz.), enz. Naast de opzegging van de overeenkomst kan geen enkel ander feit of voorval leiden tot een registratie in de databank. Het RSR-bestand bevat meerdere registratieredenen, maar opzegging van het verzekeringscontract blijft wel met grote voorsprong de meest voorkomende reden van registratie.322 Een persoon kan ook niet in het RSR-bestand worden opgenomen, in tegenstelling tot het bestand in Frankrijk, wanneer hij zelf de polis opzegt.
4. De geregistreerde gegevens en de duur van de registratie 260.
De volgende gegevens worden in het bestand opgenomen:323
gegevens van de verzekeringsnemer en/of bestuurder: naam en voornaam (of bedrijfsnaam), adres, geboortedatum, gegevens i.v.m. het rijbewijs van de verzekeringsnemer, bestuurder en eventuele andere bestuurders die in het contract werden aangeduid;
het verzekeringscontract: naam van de verzekeraar, dossiernummer van de opgezegde verzekeringsovereenkomst, datum van het sluiten van de overeenkomst en de bonusmalus coëfficiënt;
het verzekerde voertuig: het kenteken, de categorie, serienummer, enz.;
de opzegging: datum van de beëindiging, reden van de beëindiging: niet-betaling van de premie, schade en type schadegeval(en) (met alcohol, drugs, gevaarlijk rijgedrag ...), verhoogd risico, enz.;
vorderingen: voor elk incident gedurende 5 jaar voor de registratie wordt vermeld de datum van het voorval, het percentage van aansprakelijkheid, de bestuurder en de verleende dekking.
261. Behalve in één uitzonderingsgeval worden alle gegevens, ongeacht de reden (nietbetaling van de premie, verkeerde voorstelling van het risico, beëindiging door de verzekeringsnemer, enz.), bewaard voor een periode van twee jaar. Registraties naar aanleiding van de opzegging na één of meerdere schadegevallen blijven geregistreerd gedurende vijf jaar.324 Net zoals in België wordt de registratie van de opzegging wegens nietbetaling van de premie onmiddellijk na het voldoen van de achterstallige premie verwijderd. De gegevens in het RSR-bestand blijven voor een langere periode bewaard dan de gegevens 322
www.agira.asso.fr/content/fichier-des-resiliations-automobile (consultatie 4 mei 2013); www.cnil.fr/documentation/fichiers-en-fiche/fichier/article/association-pour-la-gestion-des-informations-sur-lerisque-automobile (consultatie 4 mei 2013) 323 www.agira.asso.fr/content/fichier-des-resiliations-automobile (consultatie 4 mei 2013) 324 www.agira.asso.fr/content/fichier-des-resiliations-automobile (consultatie 4 mei 2013); www.cnil.fr/documentation/fichiers-en-fiche/fichier/article/association-pour-la-gestion-des-informations-sur-lerisque-automobile (consultatie 4 mei 2013)
109
in de AGIRA-databank. De algemene termijn die geldt voor het RSR-bestand is gelijk aan de verhoogde termijn in geval van opzegging na een schadegeval van het AGIRA-bestand. Opvallend is ook dat Datassur heeft voorzien in een verhoogde bewaringstermijn voor verzwaarde risico’s, terwijl hier opzegging wegens een verkeerde voorstelling van het risico onder de algemene termijn van twee jaar valt.
5. De toegang tot de databank en het gebruik van de gegevens 262. Enkel de verzekeringsmaatschappijen die lid zijn van de vereniging AGIRA mogen gegevens doorgeven om in de databank te laten opnemen. Het zijn dan ook uitsluitend deze leden die toegang hebben tot de databank om bepaalde gegevens op te zoeken en te gebruiken voor hun dienstverlening. De persoonsgegevens mogen enkel opgevraagd worden om bij het sluiten van een nieuwe polis, de door de potentiële verzekeringsnemer meegedeelde gegevens i.v.m. zijn schadehistoriek te controleren op hun waarheid. Het kan ook gebruikt worden om mogelijke fraudeurs op te sporen bij het sluiten van een verzekeringsovereenkomst. 325 Op dit punt sluit de AGIRA-databank volledig aan bij het RSR-bestand.
6. Rechten van de betrokkenen 263. Elke kandidaat-verzekeringsnemer moet op voorhand verwittigd worden van de mogelijke opname van zijn gegevens in de databank. De algemene voorwaarden van het verzekeringscontract moeten vermelden dat bij opzegging van de overeenkomst, de verzekeringsmaatschappij de gegevens doorgeeft aan AGIRA om er in de databank geregistreerd te worden. Bij de beëindiging van de overeenkomst is het aan de verzekeraar om de verzekerde kennis te geven van het feit dat zijn gegevens geregistreerd worden. Dit in tegenstelling tot België, waar het Datassur is die de verzekerde informeert van zijn registratie. Iedere betrokkene heeft een recht op toegang tot zijn gegevens en een recht op verbetering van onjuiste of onvolledige gegevens. Om deze rechten uit te oefenen moet hij ofwel een per post verstuurde brief schrijven naar AGIRA, ofwel een brief schrijven naar de verzekeringsmaatschappij die voor zijn registratie heeft gezorgd. Deze brief moet zijn naam, voornaam en geboortedatum vermelden en er moet een kopie van zijn identiteitsbewijs bijgevoegd worden.326 Indien de betrokkene onjuiste gegevens opmerkt, kan hij zijn recht op verbetering uitoefenen door correctie van de gegevens te vragen aan de verzekeringsmaatschappij die de gegevens aan AGIRA heeft verstrekt. De 325
www.agira.asso.fr/content/fichier-des-resiliations-automobile (consultatie 4 mei 2013); www.cnil.fr/documentation/fichiers-en-fiche/fichier/article/association-pour-la-gestion-des-informations-sur-lerisque-automobile (consultatie 4 mei 2013) 326 www.agira.asso.fr/content/fichier-des-resiliations-automobile (consultatie 4 mei 2013); www.cnil.fr/documentation/fichiers-en-fiche/fichier/article/association-pour-la-gestion-des-informations-sur-lerisque-automobile (consultatie 4 mei 2013)
110
verzekeringsmaatschappij moet dan onmiddellijk een correctie indienen zodat de gegevens aangepast kunnen worden.327 Dit systeem werkt anders dan in België. Bij het RSR-bestand is het Datassur die instaat voor zowel de verwittiging van de betrokkene van zijn registratie, als voor de uitoefening van het recht op inzage en correctie van de betrokkene. M.i. is het aan te raden om in deze fase ook een rol weg te leggen voor de betrokken verzekeringsmaatschappij, zoals hier in Frankrijk gebeurt. De verzekeringsmaatschappij heeft een nauwere relatie met de betrokkene en kan deze vaak beter gaan informeren over hoe het systeem in elkaar zit. Dit kan de drempel verlagen voor de betrokkene om zijn recht op toegang en correctie uit te oefenen.
7. Besluit 264. De Franse verzekeringssector beschikt over een gelijkaardig systeem van informatieuitwisseling tussen verzekeringsmaatschappijen als België. De databank wordt bijgehouden door een apart organisme die, naast het beheren van de databank, ook nog andere taken op zich neemt. De doelstellingen van beide bestanden zijn nagenoeg volledig identiek. Een groot verschil zit hem in het toepassingsgebied. Terwijl de AGIRA-databank enkel betrekking heeft op gegevens uit de motorrijtuigenverzekering, bevat het RSR-bestand gegevens uit de ganse tak van BOAR-verzekeringen. Gelet op de doelstellingen van de bestanden is het m.i. verantwoord dat de gegevens niet beperkt blijven tot de motorrijtuigenverzekering. Een ander verschil ligt bij de registratieredenen. De RSR-databank bevat er verschillende, terwijl de AGIRA databank slechts 1 registratiereden heeft, namelijk de opzegging van de polis. Er moet wel vermeld worden dat de grootste categorie van registraties in het RSR-bestand bestaat uit opzeggingen van de verzekeringsovereenkomst. Twee andere verschillen zijn de kortere bewaringstermijnen en de rol van de betrokken verzekeraar bij de kennisgeving en de uitoefening van het recht op inzage en verbetering. Met betrekking tot dit laatste punt vind ik persoonlijk de AGIRA-databank iets beter geregeld dan het RSR-bestand van Datassur.
327
www.agira.asso.fr/content/fichier-des-resiliations-automobile (consultatie 4 mei 2013); www.cnil.fr/documentation/fichiers-en-fiche/fichier/article/association-pour-la-gestion-des-informations-sur-lerisque-automobile (consultatie 4 mei 2013)
111
Conclusie
De RSR-databank is een handig instrument voor verzekeringsmaatschappijen om zich te beschermen tegen de bestaande informatie-assymetrie. De databank geeft hen de mogelijkheid om de gegevens van kandidaat-verzekeringsnemers op hun waarheid te controleren. Omdat de slechte risico’s op deze manier onderscheiden worden van de goede risico’s, kunnen verzekeringsmaatschappijen beter segmenteren. Het voordeel voor de goede risico’s is dat zij een premie krijgen die aangepast is aan hun eigen risico. Hun premie kan dalen, aangezien ze niet meer een deel van het risico van de ‘slechte verzekeringsnemers’ moeten dragen. Hoewel het systeem zeker zijn nut heeft, raakt het aan het fundamentele recht van de betrokkene op de bescherming van zijn persoonlijke levenssfeer en zijn persoonsgegevens. Om de rechten van de betrokkenen te beschermen moet het RSR-bestand voldoen aan de vereisten van de wet op de bescherming van de persoonlijke levenssfeer. De belangrijkste toets daarbij is die van de wettigheid en die van de proportionaliteit. Een eerste conclusie die kan getrokken worden is dat de afweging tussen het algemeen belang, het belang van de verzekeringssector en de belangen van de geregistreerde personen geen gemakkelijke oefening is. Het voordeel dat de databank met zich meebrengt voor verzekeringsmaatschappijen en de modale verzekeringsnemer is ondertussen al duidelijk. Tegenover deze voordelen staat één zeer belangrijk nadeel voor de in het bestand opgenomen personen. Door de registratie worden zij bestempeld als ‘brokkenmaker, wanbetaler of fraudeur’. Deze stigmatisatie zorgt er voor dat ze problemen kunnen ondervinden bij het afsluiten van een nieuwe verzekeringsovereenkomst. De nieuwe verzekeraar die het bestand raadpleegt, zal meestal aan de geregistreerde persoon een polis aanbieden tegen een hogere premie of slechtere voorwaarden. In het slechtste geval wordt de betrokkene volledig geweigerd. In het kader van de motorrijtuigenverzekering kan de verzekeringsnemer bij weigering steeds terecht bij het Tariferingsbureau, maar voor de andere verzekeringstakken bestaat geen gelijkaardig opvangnet. Hoewel dit een zeer belangrijk maatschappelijk probleem is, weegt het m.i. niet op tegen de voordelen die de verzekeringsmaatschappijen en de ‘goede huisvaders’ er uit halen. Dit werd ook bevestigd door de rechtspraak. Bijna alle gegevens die in het bestand opgenomen worden, zijn gegevens die de verzekeringsnemer hoe dan ook aan zijn verzekeraar moet meedelen, overeenkomstig zijn spontane mededelingsplicht van artikel 5 WLVO. Het is op grond van de gegevens die de kandidaatverzekeringsnemer aan de verzekeraar meedeelt, dat de risico-en premieberekening plaatsvindt. De gegevens in de databank dienen enkel om deze gegevens te verifiëren en niet om op grond van die gegevens te beslissen om de verzekeringsnemer al dan niet een polis toe te kennen.
112
Dit ligt anders voor de registratie wegens niet-betaling van de premie, omdat de slechte financiële toestand van de verzekeringsnemer geen gegeven is die verplicht aan de verzekeraar moet meegedeeld worden. Toch is m.i. ook hier voldaan aan de wettigheids- en proportionaliteitstoets. Er wordt enkel geregistreerd indien de polis werd opgezegd naar aanleiding van de wanbetaling, zodat niet de minste achterstand meteen wordt ingeschreven. Bovendien is voor deze registratie voorzien in een verkorte bewaringstermijn van drie jaar en wordt de registratie onmiddellijk geschrapt als de achterstallen aangezuiverd worden. Verzekeringsnemers worden niet graag geregistreerd als wanbetaler in een zwarte lijst, maar net zo min lijdt een verzekeraar graag financiële verliezen omdat hij bepaalde premies niet kan invorderen. Voor de rest kan ik concluderen dat het RSR-bestand voldoet aan alle vereisten die door de wet gesteld worden. De persoonsgegevens die geregistreerd worden zijn in overeenstemming met het proportionaliteitsbeginsel en er worden geen verboden gegevens verwerkt. Datassur zorgt er voor dat de transparantie op elk ogenblik van het verwerkingsproces wordt gewaarborgd. De systemen voor de uitoefening van het recht op toegang en verbetering van de betrokkene werken uitstekend, zoals blijkt uit de jaarverslagen van zowel Datassur als van de Ombudsman van de Verzekeringen. Er zijn uiteraard altijd punten die beter kunnen. M.i. zou het goed zijn voor de betrokkene, mocht zijn verzekeringsmaatschappij een grotere rol spelen bij het kennisgevingsproces. Nu wordt de betrokkene van zijn registratie in kennis gesteld door Datassur. Het zou m.i. niet slecht zijn mocht de betrokken verzekeringsmaatschappij ook zijn verzekeringsnemer informeren van het feit dat hij zijn gegevens zal doorgeven aan Datassur. Dit zou de drempel kunnen verlagen voor de betrokkene om informatie te vragen en zijn recht van toegang en verbetering uit te oefenen. Er moet dan wel voorkomen worden dat de registratie wordt gebruikt als drukkingsmiddel om de verzekeringsnemer zijn verplichtingen te laten nakomen. Gelijkaardige systemen van informatie-uitwisseling werden op poten gezet in het buitenland. De Nederlandse verzekeringssector beschikt over de FISH-databank van de Stichting CIS en Frankrijk heeft bij AGIRA het bestand Fichier des Résiliations Automobile. Beide databanken zijn opgericht vanuit dezelfde optiek als het RSR-bestand en hebben dan ook over het algemeen dezelfde doelstellingen. De Nederlandse FISH-databank is iets uitgebreider dan het RSR-bestand en voorziet in de registratie van een veel groter aantal gegevens en in een samenwerking met politie en justitie. De Franse databank lijkt het meest op het RSR-bestand, met als enige grote verschil dat in de AGIRA-databank enkel gegevens opgenomen worden in het kader van de motorrijtuigenverzekering en dat de bewaringstermijnen korter zijn. Terwijl 90% van de registraties in het RSR-bestand betrekking hebben op wanbetaling, is dat in het buitenland geen specifieke registratiereden. Daar komt de verzekeraar ook tussen bij de kennisgeving, wat in België niet het geval is. Conclusie, allen kunnen ze van elkaar leren!
113
Bibliografie
I.
WETTELIJKE EN REGLEMENTAIRE BEPALINGEN
Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden van 4 november 1950, goedgekeurd bij wet 13 mei 1995, BS 19 augustus 1955, 5028 Europees verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens van 28 januari 1981, goedgekeurd bij wet 17 juni 1991, BS 30 december 1993, 29023 Richtlijn Raad 95/46EG, 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb.L. 23 november 1995, 31-50 Verord. Comm. nr. 267/2010, 24 maart 2010 betreffende de toepassing van artikel 101, lid 3, van het Verdrag betreffende de werking van de Europese Unie op bepaalde groepen van overeenkomsten, besluiten en onderling afgestemde feitelijke gedragingen in de verzekeringssector, Pb.L. 30 maart 2010, afl. 83, 1-7 Wet 25 juni 1992 op de landverzekeringsovereenkomst, BS 20 augustus 1992, 18283 Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993, 5801 Wet 11 december 1998 tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, BS 3 februari 1999, 3049 Gecoördineerde wet van 15 september 2006 tot bescherming van de economische mededinging, BS 29 september 2006 (ed. 3), 32755 KB 15 april 1985 betreffende de registratie van afbetalingscontracten, BS 20 april 1985 Wetsontwerp tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, Parl. St. Kamer 1990-1991, nr.1610/01, 91 Verslag namens de Commissie voor de Justitie over het wetontwerp tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en het wetsvoorstel betreffende de bescherming van persoonlijke gegevens over natuurlijke personen in gegevensbestanden of databanken en betreffende de oprichting van een nationale Commissie voor de informatica en de vrijheden, Parl. St. Kamer 1991-1992 BZ, nr. 413/12, 761
114
Wetsontwerp tot omzetting van de Richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, Parl. St. Kamer 1997-1998, nr. 1566/1, 280 Wetsvoorstel tot wijziging van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens inzake de algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens, Parl. St. Kamer 2004-2005, nr. 1693/001, 13 Hand. Kamer 2005-06, 27 juni 2006, 1-12 Wetsvoorstel houdende de omkadering van negatieve lijsten, Parl. St. Kamer 2007-008, nr. 0754/001, 987 Wetsontwerp tot wijziging van de wet van 12 juni 1991 op het consumentenkrediet, Parl. St. Kamer 2009-2010, nr. 2468/001, 354 Groep gegevensbescherming artikel 29, Werkdocument over zwarte lijsten, 3 oktober 2002, nr. 11118/02, http://eur-lex.europa.eu Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies betreffende het voorontwerp van wet tot aanpassing van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, aan de Richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, 13 november 1996, nr. 30/96, www.privacycommission.be Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies uit eigen beweging betreffende het RSR-bestand (bestand dat tot doel heeft tussen verzekeringsmaatschappijen de speciale risico's inzake verzekeringen voor brand, ongevallen en diverse risico’s te signaleren) beheerd door het economisch samenwerkingsverband "Datassur", 28 juni 2000, nr. 21/2000, www.privacycommission.be Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Adviesaanvraag betreffende een omkadering van de zwarte lijsten, 15 juni 2005, nr. 09/2005, www.privacycommission.be Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies betreffende het voorontwerp van wet betreffende de omkadering van de negatieve lijsten, 12 juli 2006, nr. 23/2006, www.privacycommission.be Raad voor Verbruik, Advies over een voorontwerp van wet betreffende de omkadering van de negatieve lijsten, 27 september 2006, www.stradalex.be
115
Commissie voor de Bescherming van de Persoonlijke Levenssfeer, Advies betreffende het wetsvoorstel houdende de omkadering van de negatieve lijsten, 24 september 2008, nr. 34/2008, www.privacycommission.be
II.
RECHTSPRAAK
EHRM, Amann v. Switzerland, 2000 EHRM, Rotaru v. Romania, 2000 HvJ 45/85, Verband der Sachversicherer t. Commissie, 1987, concl. M. DARMON HvJ C-7/95 P, John Deere Ltd t. Commissie, 1998, concl. D. RUIZ-JARABO COLOMER HvJ C-8/95 P, New Holland Ford Ltd t. Commissie, 1998, concl. D. RUIZ-JARABO COLOMER HvJ C-238/05, Asnef-Equifax t. Ausbanc, 2006, concl. A. GEELHOED HvJ C-295/04, Manfredi t. Lloyd Adriatico Assicurazioni SpA, 2006, concl. A. GEELHOED HvJ C-614/10, Commissie t. Oostenrijk, 2012, concl. J. MAZAK Ger. EG T-16/98, Wirtschaftsvereinigung Stahl t. Commissie, 2001 Cass. 18 januari 2002 Gent 5 januari 2000, T Verz. 2000, 733, noot K. TROCH Luik (7de k.) 9 september 2003, J.L.M.B. 2004, afl. 24, 1054-1056, noot P. DEJEMEPPE Gent (1e k.) 13 oktober 2005, T.Verz. 2006, afl. 1, 52 Brussel (8ste k.) 10 oktober 2006, D.C.C.R. 2007, afl. 75, 189-192, noot G. L. BALLON Rb. Brussel, 22 maart 1994, J.T. 1994, 841, noot T. LEONARD Rb. Brussel 13 september 1995, D.C.C.R. 1996, 57- 81, noot T. LEONARD Rb. Brugge 27 mei 1998, T.Verz. 2000, 733, noot K. TROCH Rb. Brussel 19 december 2000, Computerr. 2002, 30 en T.Verz. 2001, 266, noot C. VAN OLDENEEL Rb. Brugge 31 oktober 2001, T.Verz. 2006, afl. 1, 52 Rb. Nijvel 28 oktober 2003, T.Verz. 2004, 50, noot C. VAN OLDENEEL Rb. Brussel (8e k.) 11 juni 2004, T.Verz. 2005, afl. 1, 47, noot C. VAN OLDENEEL Rb. Brussel (8e k.) 25 april 2008, T.Verz. 2008, afl. 3, 243, noot C. VAN OLDENEEL
116
III.
RECHTSLEER
BALLON, G., “De schrapping van een kredietnemer uit de bestanden van de Centrale voor Kredieten aan Particulieren” (noot onder Brussel 10 oktober 2006), D.C.C.R. 2007, afl. 75, 193-195 BERNAUW, K., “De gemeenrechtelijke informatieplicht van de verzekeraar“, T. Verz. 2010, 15-55 BINON, J.M., “L'application du droit européen de la concurrence au secteur des assurances: une sévérité contenue”, Euredia 2003, 531-583 BINON, J.M., “Le règlement d’exemption par catégories dans le secteur des assurances: un faux confort?”, T. Verz. 2006, 16-25 BOCKEN, J., “Uitwisseling van informatie en mededingingsrecht: waar liggen de grenzen?”, T.Verz. 2006, 26-35 BOULANGER, M.H., DE TERWAGNE, C. en LEONARD, T., “La protection de la vie privée à l’égard du traitement de données à caractère personnel. La loi du 8 décembre 1992 ”, J.T. 1993, 369-388 BURTON, C. en POULLET, Y., “À propos de l'avis de la Commission de la protection de la vie privée du 15 juin 2005 sur l'encadrement des listes noires”, R.D.T.I. 2005, 102-122 BVVO, “Verzekeringsfraude Verzekeringscahiers 1998, 1-87
voorkomen,
een
zaak
van
algemeen
belang”,
COTEUR, J.-P. en LOUYET, P., “Stop de willekeur tegenover verzekerden”, Budget en recht 2000, 40-42 COTEUR, J.-P. en LOUYET, P., “Datassur, stop de zwartmaking”, Budget en recht 2008, 32-33 DE BOT, D., “Art. 8 Wet Persoonsgegevens“ in X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, losbl., 1-27 DE BOT, D., “De gevolgen van de wet van 11 december 1998 voor de verwerking van persoonsgegevens in het algemeen en voor het notariaat in het bijzonder”, Not. Fisc. M. 2000, 35-51 DE CORTE, R., “Geen nood aan nieuwe wetgeving over zwarte lijsten”, Juristenkrant 2006, afl. 137, 2-3 DEGRAEVE, M., “Het begeleidingscomité bij de Centrale voor Kredieten aan Particulieren“, TVW 2002, afl. 1, 61-62 DEGRAEVE, M., “De werking van de Centrale voor Kredieten aan Particulieren”, TVW 2002, afl. 7, 315-317
117
D'HAUWERS, K. en LALOUX, B., “Vordering tegen de databank van huurders-wanbetalers afgewezen”, Vastgoed info 2003, afl. 20, 5-6 DHONDT, R., “Verzekeringsfraude. Een nationale sport?”, De Verzekeringswereld 1996, 19-24 DHONT, J., “Le traitement des données à caractère personnel dans les secteur d’assurances. La légalité des banques de données”, Rev. dr. U.L.B. 2000, 1-334 DEJEMEPPE, P., “Crédit à la consommation: de nouvelles donnes”, D.C.C.R 1992-1993, 102215 DEJEMEPPE, P., “La caractère objectif de l’enregistrement des défauts de paiements en matière de crédit” (noot onder Luik 9 september 2003), J.L.M.B. 2004, afl. 24, 1056 DE MEULENEERE, I., “Uw schulden worden publiek geheim”, Juristenkrant 2001, afl. 36, 1-16 DE TERWAGNE, C. en LOUVEAUX, S., “Protection de la vie privée face au traitement de données à caractère personnel: le nouvel arrêté royal”, J.T. 2001, 457-467 DUBUISSON, B., “Secrets, mensonges et confidences”, Rev. dr. U.L.B. 2000, 335-366 DUMORTIER, J. en ROBBEN, F., “Relatiebankieren en de finaliteitsregel van artikel 5 WVP” (noot onder Kh. 15 september 1994), Computerr. 1994, 246-250 EVRARD, A-L. en LOUYET, P., “De kredietcentrale werkt eindelijk in het voordeel van de consument. Dat zal het moeilijker maken om nu nog een lening toe te staan aan iemand die de afbetaling wellicht niet zal aankunnen.”, Budget en recht 2003, 16-18 FAGNART, J.L., “Le droit de l’assureur au secret à l’égard de l’assuré, du bénéficiaire et de la personne lésée”, Rev. dr. U.L.B. 2000, 235-266 FONTAINE, M., Verzekeringsrecht, Gent, Larcier, 2011, 698 p. FRALA, D., “La pratique des banques de données dans le secteur de l'assurance. Le cas des fichiers communs au secteur gérés par le Gie Datassur”, Rev. dr. U.L.B. 2000, afl. 1, 267-288 GELINEAU-LARRIVET, G. en VOUTE, A., “La fraude en assurance“, T.Verz. 1988, 249-276 GODFROID, A. en RUYS, R., “Informatie-uitwisseling tussen concurrenten in het licht van de nieuwe richtsnoeren van de Europese Commissie voor Horizontale Overeenkomsten”, R.W. 2011-2012, 462-479 GUTWIRTH, S., “De toepassing van het finaliteitsbeginsel van de privacywet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens”, TPR1993, 1409-1469 HENDRICKX, F., “Gegevensbescherming en het nieuwe Uitvoeringsbesluit van de Wet van 8 december 1992: enkele aandachtspunten voor het personeelsbeleid”, Or. 2001, 187-198
118
JAUMAIN, C., “Vergelijkbaarheid en mededingingsrecht in verzekeringen”, T. Verz. 2011, afl. 2, 149-151 LAFFINEUR, J., “Droit de l’informatique & des technologies de l’information”, R.E.D.C. 2003, 161-162 LAFFINEUR, J., “Listes noires ou décisions blanches?”, D.C.C.R. 2004, 3-16 LAMBRECHT, D., “De bescherming van de privacy in de Belgische wetgeving. Overzicht van bestaande wetgeving en een blik vooruit naar de op handen zijnde veranderingen”, Jura Falconis 2000-2001, 443-494 LEONARD, T., “Application de la loi du 8 décembre 1992 en matière de crédit” (noot onder Rb. Brussel 22 maart 1994), J.T. 1994, 845-853 LEONARD, T., “Note: Centrales de crédit et protection de la vie pivée: incertitude et insécurité juridique” (noot onder Rb. Brussel 13 september 1995), D.C.C.R. 1996, 63-81 LEONARD, T. en POULLET, Y., “La protection des données à caractère personnel en plaine (r)évolution. La loi du 11 décembre 1998 transposant la directive 95/46/CE du 24 octobre 1995”, J.T. 1999, 377-396 MEULEMANS, D. en TOLLENAERE, V., “Krachtlijnen van de nieuwe regeling inzake de positieve kredietcentrale”, T. Fin. R. 2001, 138-154 MEULEMANS, D., “De gevolgen van de introductie van de Positieve Kredietcentrale voor het hypothecair krediet”, T. Fin. R. 2004, 682-692 MEULEMANS, D., “Hypothecair Krediet. De wanbetaling door de kredietnemer” in DERINE, R., COUSY, H., COUTURIER, J., DELVA, W., HERBOTS, J. en VEKEMAN, R. (eds.), het onroerend goed in de praktijk, Kluwer, Mechelen, losbl. MEYSMANS, E., “Gevolgen voor de banksector van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens” in Bescherming van de persoonlijke levenssfeer. De wet van 8 december 1992 met betrekking tot de verwerking van persoonsgegevens. Gevolgen voor de banken, Belgische Vereniging van Banken, 1993, 24p. PAUWELS, G., “Mededingingsrecht in de verzekeringssector: voornaamste actuele aandachtspunten“, T. Verz. 2011, 128-152 POULLET, Y, “Fichiers d’assurances et le respect des libertés”, De. Verz. 1984, 573-614 POULLET, Y., noot onder Luik 11 maart 1987, D.C.C.R. 1988-1989, 65-66 REMY, G., “Bescherming van het privéleven: internet en elektronische briefwisseling”, T.Verz. 2003, 163-182
119
RIGEAUX, F., “La protection des banques de données et le respect de la vie privée”, Rev. dr. U.L.B. 1994-1995, 51-68 ROBBEN, F., “De wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Toepassingsgebied en begripsdefinities.”, BTSZ 1993, 207-259 ROBYNS, W., “Financiële educatie vanuit verzekeringsperspectief”, Bank Fin. 2011, 281-285 ROGGE, J., “Le secret professionnel de l’assureur à l’égard des autres assureurs et des professionnels de l’assurance“, Rev. dr. U.L.B. 2000, afl. 1, 217-234 ROMMELSE, A.F., Zwarte lijsten, belangen en effecten van waarschuwingssystemen, 1995, http://www.cbpweb.nl/downloads_av/av04.pdf, 45 p. ROOSE, E., TABU, F. en VANHEE, N., “Raad en Daad”, Budget en recht 2012, 48-50 SCHUERMANS, L., Grondslagen van het Belgisch verzekeringsrecht, Antwerpen, Intersentia, 2001, 603 p. THIERY, Y., “De antidiscriminatiewet: verzekeren over dezelfde kam?”, TBH 2003, afl. 8, 646-660 THIERY, Y., “Verzekering en de (r)evolutie van het geslachtsdiscriminatierecht”, T. Verz. 2007, 20-54 TIMMERMANS, R., “Appartementseigenaars, zwarte lijsten, uitgeselecteerde huurders en privacybescherming”, T. App. 2003, afl. 2, 6-11 TROCH, R., “Enkele organisatorische aspecten van de Positieve Kredietcentrale”, T. Fin. R. 2001, 155-158 VAN CAENEGHEM, S., “Accroissement des risques liés au droit de la concurrence cadre réglementaire”, T.Verz. 2006, 5-15 VAN DEN STEEN, L., “De berekening van de termijnen onder art. 29 1° W.C.K. en de registratie van een wanbetaler”, D.C.C.R. 2008, nr. 79, 100-111 VAN DER HERTEN, F., “Commentaar bij Wet van 10 augustus 2001 betreffende de Centrale voor Kredieten aan Particulieren” in WYMEERSCH, E., STUYCK, J., STEENNOT, R. en VANHEES, H. (eds.), Financieel recht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer, Mechelen, Kluwer, 2012, afl. 32, 126-203 VAN ELDEREN, J., “A complaint is a gift”, Bank Fin. 2004, 412-416 VAN ELDEREN, J., “L’Ombudsman des assurances prend son envol!”, Bank Fin. 2007, 269277
120
VAN OLDENEEL, C., “Une décision qui donne raison à Datassur” (noot onder Rb. Brussel 19 december 2000), T.Verz. 2001, 277-281 VAN OLDENEEL, C., “La légalité du fichier des risques spéciaux en assurances une nouvelle fois reconnue” (noot onder Rb. Nijvel 28 oktober 2003), T.Verz. 2004, 53-56 VAN OLDENEEL, C., “Datassur conforté par une jurisprudence favorable” (noot onder Rb. Brussel 11 juni 2004), T.Verz. 2005, afl. 1, 52-53 VAN OLDENEEL, C., “Gunstige rechtspraak jegens Datassur bevestigd in beroep” (noot onder Rb. Brugge 31 oktober 2001 en Gent 13 oktober 2005), T.Verz. 2006, afl. 1, 56-57 VAN OLDENEEL, C., “Le fichier RSR une nouvelle fois conforté par la jurisprudence” (noot onder Rb. Brussel 25 april 2008), T.Verz. 2008, afl. 3, 245-246 VAN RAEMDONCK, K., “De invloed van de wet van 8 december 1992 ter bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens op de banksector”, R.W. 1996-1997, 897-947 VAN SCHOUBROECK, C., “Fraude in verzekeringen lichtjes anders bekeken”, TBH 2004, 3-21 WEYTS, B., “Verzekeraars en de antidiscriminatiewet”, NJW 2004, 1082-1091 X., “Centrale voor Kredieten aan Particulieren hervormd”, Balans 2001, afl. 440, 8
IV.
WEBSITES
www.datassur.be www.jura.be www.stradalex.com http://eur-lex.europa.eu http://ec.europa.eu http://www.curia.eu www.cnil.fr www.stichtingcis.nl http://www.agira.asso.fr/content/fichier-des-resiliations-automobile
121
Bijlage
1. Voorbeelden van kennisgeving in het verzekeringsvoorstel
- Bij KBC wordt de vermelding gedaan in de bijzondere voorwaarden, onder de wettelijk verplichte vermeldingen en onderdaan het verzekeringsvoorstel. Daar kan het volgende worden gelezen: “Vermits KBC samen met andere verzekeraars fraude en misbruik van verzekering wil tegengaan, kunnen wij voor dit doel gegevens opslaan in een KBC-databank en meedelen aan de ESV DATASSUR. U wordt hiervan op de hoogte gebracht en hebt de mogelijkheid bij DATASSUR, de meeûsplantsoen 29, 1000 Brussel, inzage of rechtzetting te vragen van de meegedeelde gegevens. Met vragen over de wijze waarop wij privacy garanderen, kunt u altijd terecht bij onze privacy-dienst. U kan ook inzage krijgen van de verwerkte gegeven en eventuele fouten laten verbeteren. Wenst u algemene informatie over uw rechten en verplichtingen, dan kunt u zich wenden tot de Commissie voor de Bescherming van de Persoonlijke Levenssfeer te Brussel.” - Op de voorlaatste pagina van de verzekeringsovereenkomst van AXA staat te lezen: Elke oplichting of poging tot oplichting van de verzekeringsmaatschappij brengt niet alleen de opzegging van de verzekeringsovereenkomst met zich mee, maar wordt ook strafrechtelijk vervolgd op grond van art. 496 van het Strafwetboek. De betrokkene zal bovendien opgenomen worden in het bestand van het Economisch Samenwerkingsverband Datassur, dat de speciaal op te volgen verzekeringsrisico’s ter herinnering brengt aan de aangesloten verzekeraars.
122
2. Voorbeeldbrief waarin niet wordt ingegaan op het verzoek tot verbetering
PCR03 Ref. : CL Tel. : 02/547.58.52
Ter attentie van De heer
Brussel, 7 mei 2003 Geachte heer, Betreft: Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer. Wij hebben uw verzoek van XXX 2003 tot verbetering en/of verwijdering van de gegevens die over u in het bestand van Datassur zijn opgenomen goed ontvangen. Nadat we de betrokken maatschappij (XXX) hiervan schriftelijk op de hoogte hebben gebracht, delen wij u mee dat de maatschappij beslist heeft de fiche (XXX) te houden. Deze gegevens zullen in ons bestand voor een periode van XX jaren vanaf de datum van de vaststelling van feiten behouden blijven. Datassur voegt bovendien de vermelding “betwiste gegevens” aan die fiche toe. Niettemin, kunnen verzekerden of voormalig verzekerden van wie het verzoek tot verbetering niet het verhoopte resultaat heeft opgeleverd, klacht indienen bij de Ombudsman van de verzekeringen. Deze Ombudsman is onafhankelijk van Datassur; Datassur heeft zich ertoe verbonden de aanbevelingen van de Ombudsman met betrekking tot het verbeteren of schrappen van de registraties te volgen. De klacht dient schriftelijk te gebeuren ter attentie van de Ombudsman van de verzekeringen, de Meeûsplantsoen 35, 1000 Brussel. De diensten van de Ombudsman zijn gratis. In de hoop u hiermee van dienst te zijn geweest, verblijven wij, met de meeste hoogachting, Voor het ESV Datassur.
Bron: OMBUDSMAN VAN DE VERZEKERINGEN, Jaarverslag 2002, www.ombudsman.as, bijlage
123
3. De gegevens die worden opgenomen in de Nederlandse FISH-databank 1. In de databank worden ten hoogste de volgende soorten van gegevens verwerkt: A. Gegevens (rechts)persoon: a. naam, voorletters, voorvoegsels b. geboortedatum en geslacht, mits bekend c. adresgegevens d. partij en rol (eigen partij, tegenpartij, etc.) e. nationaliteit, beroepsclassificatie, rechtsvorm, bedrijfsclassificatie f. identificerende gegevens (bijv. banknummer, gironummer, etc. met peildatum) B. Objectgegevens a. goederensoort, omschrijving en evt. naam b. merk, type, kleur c. schadegegevens d. (afwijkende) risicoadres e. identificeerbare gegevens (bijv. chassisnummer, framenummer, etc.) C. Meldinggegevens a. verzekeraar (risicodrager), afhandelaar, afdelingsaanduiding b. meldingsoort c. branche, aanduiding, co-assurantie d. meldingreden, ingangsdatum, einddatum e. schadenummer, dossiernummer, polisnummer f. referentiedatum en datumsoort, bijvoorbeeld schadedatum g. schadeoorzaak en schade-land h. aanduiding aangifte politie, aanduiding eerdere schade i. (schade)bedragen (verzekerd bedrag, gereserveerd bedrag, werkelijk schadebedrag, feitelijk uitgekeerd schadebedrag) en muntsoort j. (rest van de) verzekeringsgegevens k. (rest van de) schadegegevens l. overlijdensgegevens, alleen in geval van levensverzekering m. toelichtende tekst
D. Speciale Meldingen a. gegevens inzake afhandeling van een claim b. gegevens betreffende de raadpleging van een claim c. gegevens inzake afhandeling van schade- of financieel verhaal, subrogatie d. fraudemelding verzekerde/claimant
124
e. fraudemelding beroepsmatig betrokkene f. signaleringsgegevens verzekeringsmaatschappijen g. gegevens met betrekking tot beëindiging of weigering van een verzekering h. bonus/malus trede bij afloop i. kentekenhouders en bestuurders van onverzekerde motorrijtuigen, gemeld door het Waarborgfonds Motorverkeer j. ontzegging rijbevoegdheid k. gegevens met betrekking tot bedrijfsregeling 16 (total loss) l. diefstalmeldingen (A87) 2. De gegevens worden verkregen van de deelnemers met uitzondering van het gegeven ‘ontzegging rijbevoegdheid’, dat rechtstreeks wordt verkregen van de Dienst Wegverkeer (RDW) en het gegeven ‘diefstalmeldingen (A87)’, dat afkomstig is van het Vermiste Auto Register (VAR). 3. Het gegeven ‘ontzegging rijbevoegdheid’ wordt opgenomen met inachtneming van artikel 22 lid 4 onder c van de wet. 4. De aanleverende partijen zullen de nodige voorzieningen treffen ter bevordering van de juistheid en volledigheid van de gegevens. Bron: artikel 5 van het Privacyreglement Centraal Informatie Systeem, www.stichtingcis.nl/
125