Uitspraak 2019-069

Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2019-069
(mr. A.W.H. Vink, voorzitter, mr. J.S.W. Holtrop, mr. S.W.A. Kelterman, leden en mr. L.P. Stapel, secretaris)

Klacht ontvangen op : 28 december 2017
Ingediend door : Consument
Tegen : N.V. Univé Schade, gevestigd te Assen, verder te noemen Verzekeraar
Datum uitspraak : 29 januari 2019
Aard uitspraak : Niet-bindend

Samenvatting

Bromfietsverzekering. Consument heeft een beroep gedaan op zijn verzekering, nadat zijn scooter is gestolen. Verzekeraar heeft de schadeclaim afgewezen, omdat Consument zijn precontractuele mededelingsplicht heeft geschonden door bij verzekeringsaanvraag de vraag naar zijn strafrechtelijk verleden onjuist te beantwoorden met als doel een verzekeringsovereenkomst tot stand te doen komen. Naast het afwijzen van de schadeclaim heeft Verzekeraar de verzekeringsovereenkomst beëindigd. Dit royement is geregistreerd in de CIS databank. Verzekeraar heeft aan Consument medegedeeld dat zijn persoonsgegevens in de CIS databank zijn opgenomen, waarom zijn persoonsgegevens daarin zijn opgenomen en uitleg gegeven over de CIS databank. Hiermee heeft Verzekeraar voldaan aan de op hem rustende verplichtingen die voortvloeien uit de Wet bescherming persoonsgegevens en het CIS Gebruikersprotocol. Daarnaast heeft Verzekeraar conform hetgeen is bepaald in de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen de persoonsgegevens van Consument geregistreerd in zijn Intern Verwijzingsregister van Verzekeraar. De vordering van Consument inhoudende dat Verzekeraar de schade alsnog vergoedt en de registraties van zijn persoonsgegevens doorhaalt, wordt afgewezen.

1. Procesverloop

De Commissie beslist met inachtneming van haar Reglement en op basis van de volgende stukken:

· het door Consument digitaal ingediende klachtformulier;
· het verweerschrift van Verzekeraar;
· de reactie van Consument;
· de reactie en de aanvulling daarop van Verzekeraar.

De Commissie stelt vast dat Consument heeft gekozen voor een niet-bindend advies. De uitspraak is daardoor niet-bindend.

Partijen zijn opgeroepen voor een hoorzitting op 5 november 2018 en zijn aldaar verschenen.

2. Feiten

De Commissie gaat uit van de volgende feiten.

2.1 Consument heeft met ingangsdatum 1 juli 2016 een verzekeringspakket bij Verzekeraar gesloten. Onderdeel van dit verzekeringspakket is een bromfietsverzekering voor een [Merk] Snorscooter (verder te noemen ‘de scooter’).

2.2 Op 18 november 2016 heeft Consument bij de politie aangifte gedaan van diefstal van de scooter en hiervan tevens melding gedaan bij Verzekeraar.

2.3 Vervolgens heeft Verzekeraar een registerexpert toedrachtonderzoek van het Nederlands Instituut Van Register Experts (verder te noemen ‘de expert’) opdracht gegeven een onderzoek in te stellen.

2.4 Op 3 februari 2017 heeft de expert met Consument gesproken. Tijdens dit gesprek heeft Consument verklaard dat hij een strafrechtelijk verleden had, maar dat hij daarover geen verklaring wilde afleggen.

2.5 Bij brief van 13 maart 2017 heeft Verzekeraar Consument -voor zover relevant- als volgt geïnformeerd:

‘Bij het afsluiten van een bromfiets, aansprakelijkheidsverzekeringen en een rechtsbijstandverzekering in juli 2016 is gevraagd naar het strafrechtelijk verleden. In een gesprek op 1 juli 2016 heeft u in eerste instantie aangegeven dat u inderdaad een strafrechtelijk verleden heeft. Er is u toen gevraagd om stukken toe te sturen m.b.t. tot het strafrechtelijk verleden. Dit vond u ‘te veel gedoe’ en u wilde geen verzekering bij Univé sluiten. Diezelfde dag, 10 minuten later, heeft u een andere collega gesproken. In dit gesprek is ook gevraagd naar het strafrechtelijk verleden. In dit gesprek heeft u aangegeven dat er geen sprake is van een strafrechtelijk verleden.’

Conclusie en gevolgen
Ik kan niet anders dan concluderen dat u bewust de vraag over het strafrechtelijk verleden onjuist heeft beantwoord. (…)
Uw advocaat heeft informatie verstrekt over uw strafrechtelijk verleden. Als deze informatie bij de aanvraag van de verzekeringen bij ons bekend zou zijn, dan zou Univé de verzekeringsaanvraag niet hebben geaccepteerd.

Ingediende schadeclaim
Gezien de geconstateerde feiten volgt er geen schade-uitkering. (…)

CIS-melding
Univé heeft uw verzekering(en) opgezegd en zal daarom uw persoonsgegevens doorgeven aan het Centraal informatiesysteem van de in Nederland werkzame verzekeringsmaatschappijen (CIS) (…). De databank van CIS wordt door financiële instellingen gebruikt om de integriteit van hun (aspirant) relaties te beoordelen. Deze registratie kan vervelende gevolgen voor u hebben als u bijvoorbeeld een verzekering of ander financieel product aanvraagt.
De verzekeraar of gevolmachtigd agent die toetst of u voorkomt in de databank van CIS kan bij u of ons navraag doen over de reden van uw registratie voordat zij hieraan gevolgen verbindt die voor u negatief zouden kunnen zijn. (…) ’
2.6 Naast het afwijzen van de schadeclaim, het beëindigen van de verzekeringsovereenkomst en het maken van de CIS-melding heeft Verzekeraar de persoonsgegevens van Consument opgenomen in zijn Intern Verwijzingsregister (verder te noemen ‘IVR’).

2.7 Van belang voor de beoordeling van de registratie van de persoonsgegevens van Consument in het IVR is de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van 1 mei 2010 (verder te noemen ‘de Gedragscode’) die ten tijde van de registratie van toepassing was. Met betrekking tot de melding in de CIS databank is het CIS Gebruikersprotocol van belang. Een kopie van de relevante bepalingen uit deze regelgeving is als bijlage bij deze uitspraak gevoegd.

3. Vordering, klacht en verweer

Vordering Consument
3.1 Consument vordert veroordeling van Verzekeraar tot uitkering van een schadebedrag van € 1.800,00 en tot doorhaling van de registratie van zijn persoonsgegevens in de CIS-databank en het IVR.

Grondslagen en argumenten daarvoor
3.2 Consument voert ter onderbouwing van zijn vordering het volgende aan:
• Consument moest veel vragen beantwoorden bij de online verzekeringsaanvraag. Hij heeft onvoldoende stil gestaan bij de verschillende vragen die hij moest beantwoorden en bij de impact die het onjuist beantwoorden van de vraag naar het strafrechtelijk verleden kon hebben.
• Consument heeft de vraag naar zijn strafrechtelijk verleden niet opzettelijk onjuist beantwoord. Als er opzet in het spel zou zijn, dan had Consument de expert niet verteld dat hij een strafrechtelijk verleden heeft.
• Consument heeft Verzekeraar niet opzettelijk willen benadelen. Van fraude is geen sprake. Een vermoeden van fraude is onvoldoende om over te gaan tot een registratie in de CIS-databank.
• De gevolgen van de onjuiste beantwoording van de vraag naar het strafrechtelijk verleden zijn te zwaar.

Verweer Verzekeraar
3.3 Verzekeraar heeft, kort en zakelijk weergegeven, de volgende verweren gevoerd:
· In de aanloop naar het afsluiten van de verzekeringsovereenkomst heeft Consument op
1 juli 2016 twee telefoongesprekken met Verzekeraar gevoerd.
In het eerste gesprek heeft Consument gezegd dat hij een strafrechtelijk verleden heeft. Op het verzoek om nadere stukken toe te sturen heeft Consument geantwoord dat hij dat te veel gedoe vindt en dat hij geen verzekering bij Verzekeraar wil sluiten. Dezelfde dag en tien minuten later voert Consument nog een telefoongesprek met een andere medewerker van Verzekeraar. Desgevraagd verklaart hij dan dat hij geen strafrechtelijk verleden heeft.
Uit deze twee gesprekken, die kort na elkaar zijn gevoerd, volgt dat Consument Verzekeraar opzettelijk heeft misleid. Consument heeft deze gang van zaken ten aanzien van de gesprekken op 1 juli 2016 bevestigd.
· Bij ware kennis van de stand van zaken bij de aanvraag van de verzekering zou geen verzekeringsovereenkomst met Consument zijn gesloten.
· De aard en omvang van het gevorderde schadebedrag van € 1.800,00 is niet onderbouwd.

4. Beoordeling

4.1 Na de zitting heeft Consument per e-mail aan de Geschillencommissie laten weten dat, anders dan ter zitting door Verzekeraar medegedeeld, de registratie van het royement in de CIS-Databank voor de duur van vijf jaar is gedaan en niet voor de duur van acht jaar. Desgevraagd heeft Verzekeraar bevestigd dat de registratie van het royement voor de duur van vijf jaar in de CIS-Databank is opgenomen met als einddatum 13 maart 2022. De Commissie stelt vast dat de mededeling van Verzekeraar ter zitting dat de registratie in de CIS-Databank voor de duur van acht jaar is gedaan onjuist is. De Commissie gaat uit van een registratieduur van vijf jaar.

Precontractuele mededelingsplicht
4.2 Verzekeraar stelt zich op het standpunt dat Consument zijn mededelingsplicht bij de aanvraag van zijn verzekering niet is nagekomen. Voorafgaand aan het sluiten van de verzekering heeft Consument, aldus Verzekeraar, bewust een onjuiste voorstelling van zaken gegeven over zijn strafrechtelijk verleden met het opzet Verzekeraar te misleiden om zo een verzekeringsovereenkomst tot stand te doen komen. Aan de orde is daarmee de vraag of Consument zijn precontractuele mededelingsplicht heeft geschonden met het opzet Verzekeraar te misleiden door de vraag naar zijn strafrechtelijk verleden met ‘nee’ te beantwoorden.

4.3 Ingevolge artikel 7:928 lid 1 van het Burgerlijk Wetboek (hierna: ‘BW’) is de verzekeringnemer verplicht om vóór het sluiten van de overeenkomst aan de verzekeraar alle feiten mee te delen die hij kent of behoort te kennen en waarvan hij weet of behoort te begrijpen dat de beslissing van de verzekeraar of, en zo ja, onder welke voorwaarden, hij de verzekering zal willen sluiten hiervan afhangt of kan afhangen.

Indien een verzekering wordt gesloten op de grondslag van een door de verzekeraar opgestelde vragenlijst, geeft de verzekeraar daarmee te kennen dat de gestelde vragen feiten betreffen waarvan de verzekeringnemer moet begrijpen dat daarvan de beslissing van de verzekeraar of en zo ja op welke voorwaarden hij de verzekering wil sluiten, afhangt of zou kunnen afhangen. Wanneer de verzekeringnemer de vragenlijst opzettelijk onjuist heeft ingevuld, is de verzekeraar op grond van artikel 7:930 lid 5 BW niet gehouden tot uitkering over te gaan Consument heeft aangevoerd dat hij niet met opzet de vraag naar zijn strafrechtelijk verleden onjuist heeft beantwoord. De Commissie volgt Consument hierin niet.

Niet ter discussie staat dat Consument binnen een periode van 5 jaar voorafgaand aan het sluiten van de verzekeringsovereenkomst, namelijk op 1 september 2014, is veroordeeld tot een onvoorwaardelijke gevangenisstraf van vijf maanden.

Voorafgaand aan het sluiten van de verzekeringsovereenkomst heeft Consument telefonisch contact gehad met Verzekeraar. Tijdens dit telefoongesprek heeft Consument desgevraagd gezegd dat hij een strafrechtelijk verleden heeft. Hierop is aan Consument verzocht dit nader met stukken te onderbouwen. Consument vond dit te veel gedoe en gaf te kennen geen verzekering bij Verzekeraar te willen sluiten. Tien minuten later heeft Consument weer telefonisch contact met Verzekeraar. Dit keer met een andere medewerker. Desgevraagd zegt Consument nu dat hij niet beschikt over een strafrechtelijk verleden. Vervolgens sluit Consument de verzekering online af, waarbij hij de vraag of hij een strafrechtelijk verleden heeft met ‘nee’ beantwoordt. Consument heeft deze gang van zaken niet bestreden. Gelet hierop kan niet anders geconcludeerd worden dan dat het voor Consument duidelijk moet zijn geweest dat de beslissing van Verzekeraar om wel of geen verzekeringsovereenkomst met Consument te sluiten afhing van de vraag of Consument over een strafrechtelijk verleden beschikt.

Opzet tot misleiding
4.4 Vervolgens dient de Commissie de vraag te beantwoorden of Verzekeraar de schadeclaim van Consument mocht afwijzen op grond van op artikel 7:930 lid 5 BW. Dit artikel bepaalt dat Verzekeraar geen uitkering verschuldigd is wanneer de verzekeringnemer heeft gehandeld met het opzet om verzekeraar te misleiden. Verzekeraar stelt zich op het standpunt dat hiervan bij het onjuist beantwoorden van de vraag naar het strafrechtelijk verleden, sprake was.

4.5 De Commissie is van oordeel dat de feiten en omstandigheden genoemd in randnummer 4.4 de conclusie rechtvaardigen dat sprake is van opzet tot misleiding. Hierbij neemt de Commissie in overweging dat de verzekering tot stand is gekomen nadat Consument kort daarvoor tweemaal telefonisch contact had met Verzekeraar waarbij de vraag of Consument beschikt over een strafrechtelijk verleden beide keren aan hem is voorgelegd en waaruit bleek dat bij een bevestigend antwoord nadere informatie verstrekt moest worden, terwijl bij een ontkennende beantwoording de verzekering gesloten kon worden. Het argument van Consument dat hij bij het invullen van het online aanvraagformulier onvoldoende acht heeft geslagen op de gestelde vragen, omdat dit er erg veel waren, acht de Commissie gelet op het voorgaande ongeloofwaardig.

4.6 Het voorgaande leidt tot de conclusie dat Consument zijn precontractuele mededelingsplicht niet is nagekomen met het opzet Verzekeraar te misleiden en dat Verzekeraar op grond van artikel 7:930 lid 5 BW geen uitkering onder de verzekering verschuldigd is.

Registratie in het Intern Verwijzingsregister
4.7 Vervolgens is de vraag aan de orde of Verzekeraar de persoonsgegevens van Consument in het IVR mocht opnemen.

4.8 Het IVR is gekoppeld aan de Gebeurtenissenadministratie. Deze registers vormen het interne waarschuwingssysteem van Verzekeraar en de groep financiële ondernemingen waarvan Verzekeraar deel uitmaakt. De Gebeurtenissenadministratie is een register van (persoons)gegevens, die daarin zijn verwerkt omdat zij van belang zijn voor de veiligheid en integriteit van de financiële instelling en om die reden speciale aandacht behoeven. De Gebeurtenissenadministratie wordt beheerd en is in te zien door de Afdeling Veiligheidszaken van de Verzekeraar. In het IVR kunnen de verwijzingsgegevens van de betrokkene worden opgenomen zodat de eigen organisatie opmerkzaam wordt gemaakt op de persoon die was betrokken bij een ‘gebeurtenis’.

4.9 Op deze registers is de Gedragscode van toepassing. Opname in deze registers is toegestaan indien aan de vereisten die de Gedragscode daarvoor stelt, is voldaan. Ingevolge artikel 4.1 Gedragscode worden persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Van een zorgvuldige gegevensverwerking is sprake als de desbetreffende gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verwerkt. Dit is nader uitgewerkt in artikel 4.3 en artikel 5 Gedragscode. In essentie zijn er twee vereisten. In de eerste plaats moet er sprake zijn van een gebeurtenis in de zin van artikel 5.5.1 Gedragscode. In de tweede plaats moet zijn voldaan aan de beginselen van subsidiariteit en proportionaliteit in de zin van artikel 4.3 sub f Gedragscode. De Commissie is van oordeel dat aan deze vereisten is voldaan en dat Verzekeraar dus heeft mogen overgaan tot registratie in het IVR. De Commissie overweegt daartoe als volgt.

Gebeurtenis
4.10 In randnummers 4.5 tot en met 4.8 heeft de Commissie overwogen dat Consument zijn precontractuele mededelingsplicht heeft geschonden met het opzet Verzekeraar te misleiden. Het opzettelijk schenden van de precontractuele mededelingsplicht kan gekwalificeerd worden als een gebeurtenis in de zin van artikel 5.5.1 Gedragscode.

Subsidiariteit en proportionaliteit
4.11 Hoewel sprake is van een ‘gebeurtenis’, is het voor de vraag of de registratie gerechtvaardigd is, ook van belang of is voldaan aan de beginselen van subsidiariteit en proportionaliteit. Beide beginselen vloeien voort uit artikel 4.3 sub f Gedragscode.

4.12 Subsidiariteit houdt in dat een maatregel alleen is toegestaan als met een lichtere maatregel niet kan worden volstaan. De Commissie is van oordeel dat een lichtere maatregel dan registratie in het IVR, om het beoogde doel te bereiken (namelijk het waarschuwen van de eigen organisatie) niet voorhanden is. Aan het beginsel van subsidiariteit is voldaan.

4.13 Proportionaliteit houdt op zijn beurt in dat het belang van de financiële sector bij registratie moet worden afgewogen tegen de nadelige gevolgen die de registratie voor de betrokken verzekeringnemer heeft. Ook mag de duur van de registratie niet disproportioneel zijn.

4.14 Ten aanzien van deze belangenafweging is de Commissie van oordeel dat het belang van Verzekeraar bij registratie van de persoonsgegevens van Consument in het IVR zwaarder weegt dan de mogelijke nadelige effecten die Consument hiervan ondervindt. In dit oordeel weegt mee dat de registratie intern van aard is. Hoewel dit met zich brengt dat Consument niet langer gebruik kan maken van de diensten van de groep financiële ondernemingen waarvan Verzekeraar deel uitmaakt, wordt Consument niet belemmerd in zijn mogelijkheden om bij een andere financiële instelling een verzekering af te sluiten.

4.15 Wat betreft de duur van de registratie stelt de Commissie vast dat pas ter zitting duidelijk is geworden dat de persoonsgegevens van Consument voor de duur van acht jaar zijn geregistreerd. Ter onderbouwing van deze duur heeft Verzekeraar aangevoerd dat dit de standaardtermijn is die hij hanteert als sprake is van opzet tot misleiding. Consument heeft geen feiten of omstandigheden aangevoerd waaruit volgt dat de registratieduur van acht jaar hem onevenredig hard raakt. Gelet hierop is de Commissie van oordeel dat Consument niet disproportioneel in zijn belangen is geschaad door de interne registratie van zijn persoonsgegevens voor de duur van acht jaar (Vgl. Geschillencommissie KIFID d.d. 3 oktober 2018, 2018-623).

Conclusie
4.16 Aangezien er voldaan is aan de doelstelling van artikel 5.5.1 Gedragscode en aan het subsidiariteits- en proportionaliteitsbeginsel ex. artikel 4.3 sub f Gedragscode, kan de registratie van de persoonsgegevens van Consument in het IVR gehandhaafd blijven. Dit deel van de vordering van Consument wordt afgewezen.

Registratie in de CIS databank
4.17 Tenslotte is de rechtsgeldigheid van de registratie van de eenzijdige beëindiging van de verzekeringsovereenkomst (het royement) in de CIS databank aan de orde.

4.18 Verzekeraar is deelnemer van de Stichting Centraal Informatie Systeem (hierna: ‘CIS’). Als deelnemer van CIS maakt Verzekeraar gebruik van een systeem waarin hij gegevens van klanten registreert en gegevens van andere leden kan inzien. Om de gegevens te kunnen en mogen registreren en inzien moeten de deelnemers zich houden aan de regels uit het CIS Gebruikersprotocol.

4.19 Volgens artikel 13 lid 2 CIS Gebruikersprotocol is het royement van de verzekeringsovereenkomst op de in dat artikel genoemde gronden een vertrouwelijke mededeling die valt onder de speciale meldingen. Ingevolge artikel 33 leden 2 en 3 Wbp mogen de persoonsgegevens van verzekeringnemers slechts verwerkt worden indien de doeleinden van de verwerking waarvoor de gegevens zijn bestemd vooraf worden medegedeeld en een behoorlijke en een zorgvuldige verwerking gewaarborgd wordt. Uit artikel 9 lid 5 Gebruikersprotocol en de toelichting bij dit artikel volgt dat bij speciale meldingen altijd een gerichte mededeling aan betrokkene moet worden gedaan met daarbij een opgave van de te registreren gegevens. Dit heeft te maken met de bijzondere aard van dit type melding.

4.20 In zijn brief van 13 maart 2017 heeft Verzekeraar aan Consument bericht dat hij de verzekering(en) heeft opgezegd en daarom de persoonsgegevens van Consument aan het CIS heeft doorgegeven. Ook wordt in deze brief uitgelegd dat de CIS databank wordt gebruikt door financiële instellingen om de integriteit van hun (aspirant) relatie te beoordelen en dat de registratie van de persoonsgegevens van Consument negatieve gevolgen kan hebben. Uit deze brief volgt dat aan Consument een gerichte mededeling is gedaan van de registratie van zijn persoonsgegevens in de CIS databank. De Commissie is dan ook van oordeel dat Verzekeraar zich heeft gehouden aan zijn informatieverplichting. Verzekeraar heeft Consument duidelijk en ondubbelzinnig geïnformeerd over de opname van zijn persoonsgegevens in de CIS Databank, wat het doel hiervan is en welke gevolgen dit voor Consument kan hebben. Nu vast is komen te staan dat Verzekeraar aan de vereisten die voortvloeien uit het Gebruikersprotocol en de Wbp heeft voldaan, bestaat geen aanleiding Verzekeraar te verplichten de registratie uit de CIS databank te laten verwijderen.

5. Beslissing

De Commissie wijst de vorderingen van Consument af.

De uitspraak heeft de vorm van een niet-bindend advies. Tegen deze uitspraak staat geen hoger beroep open bij de Commissie van Beroep Financiële Dienstverlening. U kunt de zaak nog wel aan de rechter voorleggen.

U kunt, binnen twee weken na de verzenddatum van deze uitspraak, bij de Voorzitter van de Geschillencommissie Financiële Dienstverlening schriftelijk een verzoek indienen tot herstel van kennelijke vergissingen in de uitspraak. U moet daarbij met name denken aan correctie van reken- of schrijffouten en verbetering van namen en data. De volledige procedure met de termijnen die daarbij in acht moeten worden genomen staat beschreven in artikel 40 van het Reglement.

BIJLAGEN:

Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van 1 mei 2010

In de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van 1 mei 2010 zijn de volgende relevante artikelen opgenomen:

4. Beginselen van Verwerking van Persoonsgegevens
4.1 Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
(…)
4.3 Persoonsgegevens worden slechts verwerkt indien en voor zover is voldaan aan minimaal één van de volgende rechtmatige grondslagen:
(…) of
f. de Verwerking van Persoonsgegevens is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de Financiële instelling of van een Derde aan wie de Persoonsgegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
(…)

5. Doeleinden voor de Verwerking van Persoonsgegevens
5.1 Algemeen
5.1.1 Verwerking van Persoonsgegevens door Financiële instellingen vindt plaats, met inachtneming van de beginselen voor Verwerking van Persoonsgegevens ten behoeve van een efficiënte en effectieve bedrijfsvoering, in het bijzonder in het kader van het uitvoeren van de volgende activiteiten:
(…)

d. het waarborgen van de veiligheid en integriteit van de financiële sector, daaronder mede begrepen het onderkennen, voorkomen, onderzoeken en bestrijden van (pogingen tot) (strafbare of laakbare) gedragingen gericht tegen de branche waar een Financiële instelling deel van uitmaakt, de Groep waartoe een Financiële instelling behoort, de Financiële instelling zelf, haar Cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwingssystemen;
(…).

5.5 Verwerking van Persoonsgegevens in het kader van de veiligheid en integriteit van de Financiële sector alsmede het gebruik van waarschuwingssystemen
5.5.1 Ten behoeve van de veiligheid en integriteit van de Financiële sector kunnen gegevens, waaronder Persoonsgegevens, die betrekking hebben op: (i) gebeurtenissen die gelet op het bijzondere karakter van de Financiële sector de zorg en aandacht behoeven van de Financiële instelling; (ii) (potentiële) vorderingen onder meer ten aanzien van een met de Financiële instelling gesloten overeenkomst; (iii) het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen; of (iv) handelingen van Financiële instellingen, waaronder onderzoek als bedoeld in artikel 5.6.1 Gedragscode, worden opgenomen in een Gebeurtenissenadministratie gehouden door Veiligheidszaken of een daartoe aangewezen afdeling van de betreffende Financiële instelling. Op deze Gebeurtenissenadministratie is de Gedragscode van toepassing.
5.5.2 Indien een in het eerste lid bedoelde gebeurtenis voldoet aan de criteria als opgenomen in het Protocol worden de met deze gebeurtenis verband houdende gegevens opgenomen in het incidentenregister en is opname in het EVR mogelijk (Bijlage I: Document B). (…)

In de toelichting bij artikel 5.5 van de GVPFI staat onder meer het volgende vermeld:
Binnen een Financiële instelling vormt Veiligheidszaken, die zich bezig houdt met de bestrijding van fraude en criminaliteit, vaak een afgezonderde eenheid. Deze afdeling legt onder meer gebeurtenissen vast die van belang zijn voor de veiligheid en integriteit van de Financiële sector en om die reden speciale aandacht behoeven.
Het kan daarbij gaan om uiteenlopende gebeurtenissen als de melding van een gestolen laptop tot het vermoeden dat een bepaald persoon betrokken is bij een vorm van fraude of criminaliteit. Deze Persoonsgegevens worden vastgelegd in een zogeheten Gebeurtenissenadministratie. De Persoonsgegevens opgenomen in de Gebeurtenissenadministratie mogen in beginsel alleen gebruikt worden binnen de Financiële instelling of de Groep waartoe de Financiële instelling behoort. Om een oncontroleerbaar gebruik van deze Persoonsgegevens te voorkomen wordt een beperkte set aan gegevens (naam, adres, woonplaats en geboortedatum) opgenomen in een Intern Verwijzingsregister (IVR) dat in het kader van onder meer acceptatie en schadeafhandeling door de betreffende afdelingen geraadpleegd mag worden. Indien blijkt dat een Betrokkene in dit IVR voorkomt moet contact worden opgenomen met Veiligheidszaken, die vervolgens adviseert over de beslissing die moet worden genomen. Op deze Verwerking van Persoonsgegevens is de Gedragscode van toepassing en is een separate melding gedaan bij het CBP.
(…)
Indien, na nader onderzoek, blijkt dat de gebeurtenis van zodanige aard is dat deze voldoet aan de voorwaarden genoemd in het Protocol worden de gegevens opgenomen in het Incidentenregister en, wanneer aan aanvullende voorwaarden is voldaan, in het EVR. Op deze Verwerkingen is niet de Gedragscode, maar het Protocol van toepassing.

 
CIS Gebruikersprotocol van 1 november 2013

In het CIS Gebruikersprotocol van 1 november 2013 zijn de volgende relevante artikelen opgenomen:

Artikel 9 Mededeling van opname
1. Betrokkene wordt geacht te weten dat zijn (persoons)gegevens door de deelnemer in de CIS databank worden vastgelegd dan wel geraadpleegd.
2. De deelnemer informeert betrokkene tijdig over de verwerking van zijn persoonsgegevens bij Stichting CIS (…).
3. De deelnemer is verplicht te voorzien in informatie over toepassing van de CIS databank door een tekst op zijn schadeaangifteformulier, in polisvoorwaarden, bij verzekeringsaanvragen, en/of door middel van individuele berichtgeving aan betrokkene.
4. Het is de deelnemer in beginsel niet toegestaan persoonsgegevens in de CIS databank te plaatsen als hij betrokkene vooraf niet heeft geïnformeerd.
5. Voorafgaand aan plaatsing van speciale mededelingen van deelnemers wordt iedere betrokkene door de deelnemer schriftelijk geïnformeerd over de registratie in de CIS databank met een opgave van de te registreren gegevens.
(…)

Artikel 13 Overzicht categorieën meldingen
(…)
2. Speciale Meldingen:
(…)
c. Vertrouwelijke Mededelingen (VM):
Registratie van royementen op initiatief van de verzekeraar of gevolmachtigd agent naar aanleiding van aan betrokkene toe te rekenen tekortkoming in de nakoming van de verzekeringsovereenkomst.

Toelichting op het CIS gebruikersprotocol per artikel
(…)
Artikel 9
Artikel 9 bevat de verplichtingen die rechtstreeks voortkomen uit de Wbp. Uitgangspunt is dat betrokkene moet weten dat zijn (persoons)gegevens in de CIS databank zijn vastgelegd. De deelnemer moet zorgen dat betrokkene op de hoogte wordt gesteld van de verwerking van zijn persoonsgegevens. (…)

Voor speciale meldingen die geplaatst worden door deelnemers vereist Stichting CIS dat altijd een gerichte mededeling aan betrokkene wordt gedaan. Gezien de bijzondere aard van de melding is het van belang dat betrokkene van die registratie op de hoogte is of kan zijn. De mededeling van de verwerking in de CIS databank kan gecombineerd worden met de royementsmededeling (…).