Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2019-186
(mr. drs. B. van Merwijk, voorzitter, mr. M.C.M. van Dijk, mr. dr. S.O.H. Bakkerus, leden en mr. S. Rutten, secretaris)
Klacht ontvangen op : 17 april 2018
Ingediend door : Consument
Tegen : Reaal Schadeverzekeringen N.V., gevestigd te Zoetermeer en h.o.d.n. Zelf, verder te
noemen Verzekeraar
Datum uitspraak : 14 maart 2019
Aard uitspraak : Bindend advies
Bijlage : Relevante regelgeving met betrekking tot de registratie van de persoonsgegevens
Samenvatting
Inboedelverzekering. Verzekeraar beschuldigt Consument van fraude omdat Consument bij het melden van de schade niet heeft aangegeven dat hij al een uitkering had ontvangen van de aansprakelijkheidsverzekeraar van zijn vader. De Commissie geeft Verzekeraar hierin gelijk. Verzekeraar heeft mogen overgaan tot het registreren van de persoonsgegevens van Consument in de verschillende registers voor de duur van 3 jaar. De onderzoekskosten ad een bedrag van
€ 532,- heeft Verzekeraar niet in rekening mogen brengen.
1. Waar gaat het om?
1.1 De vader van Consument heeft schade toegebracht aan de zonneluifel van Consument. De aansprakelijkheidsverzekeraar van de vader heeft de schade op 13 juli 2017 aan Consument vergoed. Op 18 juli 2017 heeft Consument op advies van de aansprakelijkheidsverzekeraar van de vader de schade ook op zijn inboedelverzekering bij Verzekeraar gemeld. Hij heeft daarbij niet (meteen) gemeld dat hij al een uitkering van de aansprakelijkheidsverzekeraar van de vader had ontvangen.
1.2 Verzekeraar beschuldigt Consument van fraude en heeft, voor zover in de procedure van belang, de volgende maatregelen genomen:
a. hij heeft de persoonsgegevens van Consument in het Incidentenregister en het Extern verwijzingsregister (hierna ‘het EVR’) geregistreerd voor de duur van drie jaar;
b. hij heeft de persoonsgegevens van Consument in de Gebeurtenissenadministratie en het daaraan gekoppelde Intern Verwijzingsregister geregistreerd;
c. hij heeft het Centrum Bestrijding Verzekeringscriminaliteit (hierna ‘CBV’) gemeld dat hij de persoonsgegevens van Consument in het Incidentenregister heeft geregistreerd;
d. hij heeft via Service Organisatie Directe Aansprakelijkstelling (hierna ‘SODA’) van Consument vergoeding gevorderd van de door hem gemaakte onderzoekskosten.
1.3 Consument ontkent dat hij fraude heeft gepleegd. Hij heeft alleen maar informatie over de hoogte van een schade-uitkering willen inwinnen en heeft niet bedoeld om zijn – inmiddels vergoede – schade nogmaals bij Verzekeraar te claimen. Consument vordert daarom dat Verzekeraar zijn maatregelen terugdraait.
1.4 De Commissie beslist op basis van haar Reglement en op basis van de stukken die partijen in de procedure hebben ingebracht.
In de procedure hebben partijen de volgende stukken ingebracht: 1) het door Consument ingediende klachtformulier, 2) het verweerschrift van Verzekeraar, 3) de reactie hierop van Consument en 4) de aanvullende reactie van Verzekeraar.
Partijen zijn opgeroepen voor een hoorzitting op woensdag 9 januari 2019 en zijn aldaar verschenen.
2. Beoordeling
De registratie in het Incidentenregister en het EVR
2.1 In deze zaak gaat het erom of Consument fraude heeft gepleegd, die de registraties en de melding aan het CBV rechtvaardigt. De opname van persoonsgegevens in het Incidenten-register en het EVR is alleen gerechtvaardigd als dat gebeurd is in overeenstemming met de daarvoor geldende regels (waaronder het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 (hierna ‘het Protocol’)) en als de vastgestelde gedragingen een zwaardere verdenking dan een redelijk vermoeden van schuld aan fraude opleveren (zie HR 29 mei 2009, ECLI:NL:HR:2009:BH4720, te vinden op www.rechtspraak.nl). De Commissie is van oordeel dat in dit geval een zwaardere verdenking bestaat dat Consument heeft gefraudeerd. Hieronder zal de Commissie dit nader toelichten.
Vereiste 1: een zwaardere verdenking dan een redelijk vermoeden van schuld aan fraude
2.2 Consument heeft vijf dagen nadat hij de schade door de aansprakelijkheidsverzekeraar van de vader vergoed heeft gekregen, diezelfde schade bij Verzekeraar gemeld. Consument heeft nagelaten aan Verzekeraar te melden dat hij al een uitkering van de aansprakelijkheids-verzekeraar van zijn vader had ontvangen. Consument heeft dit bijvoorbeeld niet op het schadeaangifteformulier en ook niet in de correspondentie met Verzekeraar vermeld. Consument heeft geen gehoor gegeven aan meerdere verzoeken van Verzekeraar om de gegevens van de aansprakelijkheidsverzekeraar van de vader van Consument te verschaffen. Daarbij komt dat Consument ter zitting heeft verklaard dat hij bij het melden van de claim bewust niet had aangegeven dat zijn schade al was vergoed.
Hij was bang dat hij anders geen eerlijke schadeberekening van Verzekeraar meer zou krijgen. De Commissie heeft geconstateerd dat Consument tijdens de hoorzitting een andere lezing van de feiten heeft gegeven dan hij in de ingediende stukken heeft gedaan. Consument heeft tijdens de mondelinge behandeling verklaard dat hij de expert wel had geïnformeerd, maar dit wordt door Verzekeraar weersproken en dit blijkt ook nergens uit. Ondanks het voorgaande laat Consument na om met een aannemelijke verklaring te komen voor de hele gang van zaken waardoor de fraude niet meer kan worden aangenomen. De Commissie is van oordeel dat de verklaring dat Consument alleen wilde nagaan welke vergoeding Verzekeraar zou hebben uitgekeerd en dat Consument slordig is geweest en hierdoor meerdere malen niet op mails van Verzekeraar heeft gereageerd, overigens ongeloofwaardig is. Consument had Verzekeraar bij het melden van de schade ervan op de hoogte moeten brengen dat de schade al was uitgekeerd door de aansprakelijkheids-verzekeraar van de vader van Consument. Door dit pas in een heel laat stadium te doen en daarover nadien een wisselend en oninvoelbaar verhaal te vertellen, heeft Consument meer dan een redelijk vermoeden van schuld over zich afgeroepen dat hij opzettelijk heeft gefraudeerd. Dat het op advies van de aansprakelijkheidsverzekeraar van de vader is geweest dat Consument zich bij Verzekeraar heeft gemeld, maakt dat niet anders. Consument blijft zelf verantwoordelijk voor hetgeen hij wel of niet meldt.
2.3 Aan het vereiste dat sprake geweest moet zijn van een zwaardere verdenking dan een redelijk vermoeden dat Consument gefraudeerd heeft is voldaan.
Vereiste 2: is de registratie proportioneel?
2.4 Op grond van artikel 5.2.1 sub c van het Protocol moet Verzekeraar bij de registratie een proportionaliteitsafweging maken en bij de beoordeling van de vraag of hij gegevens in het EVR registreert, en zo ja, voor welke duur, de belangen van de betrokkene mee te wegen. Vgl. GC Kifid 5 juli 2016, 2016-302, onder 4.9. De betrokkene die verwijdering van een registratie of verkorting van de duur van een registratie wenst, zal moeten aanvoeren op grond waarvan hij disproportioneel wordt geraakt in zijn belangen en waarom zijn belang prevaleert boven dat van Verzekeraar.
Verzekeraar heeft besloten de gegevens van Consument voor een duur van drie jaar te registreren. Verzekeraar heeft met behulp van de in de branche gebruikelijke matrix gemotiveerd aangevoerd waarom het belang van de financiële sector bij registratie zwaarder weegt dan het belang van Consument bij het niet-registreren van zijn persoonsgegevens. Verzekeraar heeft de verzekeringsduur meegewogen en in zijn afweging laten meewegen dat sprake is van aantoonbare fraude en dat Consument na de confrontatie met deze fraude blijft ontkennen dat hij heeft gefraudeerd. De Commissie is van oordeel dat deze omstandig-heden, gelet op de gerechtvaardigde belangen van de financiële sector, de registratie en de duur daarvan niet disproportioneel maken. Van omstandigheden die tot verkorting van de duur van de registratie zouden moeten leiden is de Commissie niet gebleken.
De registratie in de Gebeurtenissenadministratie en het Intern Verwijzingsregister
2.5 Verzekeraar heeft de gegevens van Consument ook opgenomen in zijn interne register, de Gebeurtenissenadministratie en het daaraan gekoppelde Intern Verwijzingsregister (hierna ‘IVR’). Deze registers vormen het interne waarschuwingssysteem van Verzekeraar en de groep financiële ondernemingen waar Verzekeraar deel van uitmaakt. De Gebeurtenissen-administratie is een register van (persoons)gegevens, die daarin zijn verwerkt omdat zij van belang zijn voor de veiligheid en integriteit van de financiële instelling en om die reden speciale aandacht behoeven (artikel 2, aanhef en sub k Gedragsode Verwerking Persoons-gegevens Financiële Instellingen (hierna ‘GVPFI’)). De Gebeurtenissenadministratie wordt beheerd en is in te zien door de Afdeling Veiligheidszaken. In het Intern Verwijzingsregister kunnen de verwijzingsgegevens van de betrokkene worden opgenomen zodat de eigen organisatie opmerkzaam wordt gemaakt op de persoon die was betrokken bij een ‘gebeurtenis’.
2.6 De Commissie is van oordeel dat Verzekeraar ook heeft mogen overgaan tot het registreren van de persoonsgegevens in de Gebeurtenissenadministratie en het daaraan gekoppelde IVR. Op grond van artikel 5.5.1. GVPFI kunnen persoonsgegevens die betrekking hebben op (onder meer) gebeurtenissen die de zorg en aandacht behoeven van de financiële instelling, worden opgenomen in de Gebeurtenissenadministratie. Gelet op hetgeen onder 2.3 is overwogen is sprake van een gebeurtenis in de zin van voornoemd artikel.
2.7 Uit de procedure is niet gebleken voor welke duur Verzekeraar de persoonsgegevens van Consument in de Gebeurtenissenadministratie en het daaraan gekoppelde IVR heeft opgenomen. Op grond van artikel 4.3 sub f GVPFI dient ook deze registratie proportioneel te zijn. De Commissie oordeelt dat Verzekeraar de persoonsgegevens van Consument voor de duur van 3 jaar mag registreren. Omdat Verzekeraar niet heeft aangegeven voor welke duur de persoonsgegevens zijn geregistreerd, zoekt de Commissie aansluiting bij de duur die Verzekeraar heeft gehanteerd bij de registratie van de persoonsgegevens van Consument in het Incidentenregister en het daaraan gekoppelde EVR.
De registraties zijn gerechtvaardigd
2.8 Gelet op hetgeen hiervoor is overwogen is de Commissie van oordeel dat de registraties die Verzekeraar heeft doorgevoerd gerechtvaardigd zijn.
Melding CBV
2.9 Gelet op hetgeen hiervoor is overwogen mocht Verzekeraar op grond van artikel 4.2.3 van het Protocol het CBV van de registratie van de persoonsgegevens van Consument in kennis stellen. Verzekeraar hoeft de melding aan het CBV niet in te trekken.
Is Consument de onderzoekskosten verschuldigd?
2.10 Dan blijft de vraag over of Consument de kosten die Verzekeraar hem in rekening heeft gebracht, moet betalen. De Commissie is van oordeel dat Verzekeraar ten onrechte een bedrag van € 532,- bij Consument in rekening heeft gebracht voor de interne onderzoeks-kosten. Onderzoekskosten komen op grond van artikel 6:96 lid 2 BW alleen voor vergoeding in aanmerking indien Verzekeraar op enigerlei wijze aantoont dat deze kosten daadwerkelijk zijn gemaakt als gevolg van de aan Consument verweten tekortkoming. Het moet verder gaan om in redelijkheid gemaakte kosten. Daarbij geldt dat Verzekeraar niet kan volstaan met te stellen dat het gaat om een gebruikelijk bedrag. Verzekeraar zal concreet moeten onderbouwen dat en hoe de kosten samenhangen met het fraude-onderzoek tegen Consument. Nu Verzekeraar niet nader heeft onderbouwd welke werkzaamheden in het onderhavige geval zijn verricht, hoeveel uren aan deze werk-zaamheden zijn besteed en hoe deze zijn verdisconteerd in het bedrag van € 532,- is de Commissie van oordeel dat Verzekeraar hiermee geen begin van bewijs van de door hem gevorderde kosten heeft geleverd. De enkele stelling dat Verzekeraar onderzoekskosten heeft gemaakt, welke hij niet had gemaakt als Consument geen onjuiste voorstelling van zaken had gegeven, kan geen voldoende onderbouwing van de omvang van de vordering van Verzekeraar opleveren (zie in gelijke zin de uitspraken van de Geschillencommissie met nummers 2018-253 en 2018-228). Voor zover Consument de onderzoekskosten aan Verzekeraar heeft betaald, dient Verzekeraar deze dan ook aan Consument terug te betalen.
Premierestitutie
2.11 Tijdens de hoorzitting heeft Consument nog restitutie gevorderd van premies die hij
3 maanden na beëindiging van de inboedelverzekering heeft betaald. Maar Consument heeft nagelaten deze vordering feitelijk uit te werken en met bewijzen te onderbouwen. De Commissie wijst deze vordering dan ook af.
Eindconclusie
2.12 Alles overwegende is de Commissie van oordeel dat sprake is van een gegronde verdenking van fraude door Consument. Verzekeraar is op goede gronden overgegaan tot het registreren van de persoonsgegevens van Consument in de verschillende registers. De persoonsgegevens van Consument mogen voor de duur van 3 jaar geregistreerd worden in de verschillende registers. De Commissie is daarnaast van oordeel dat Verzekeraar de onderzoekskosten niet in rekening had mogen brengen bij Consument. Tot slot hoeft Verzekeraar de melding bij CBV niet in te trekken.
3. Beslissing
• De Commissie wijst de vordering af voor zover deze betrekking heeft op de registratie van de persoonsgegevens van Consument en de premierestitutie.
• De Commissie wijst de vordering ten aanzien van de onderzoekskosten toe en bepaalt dat Verzekeraar binnen een termijn van twee weken na dagtekening van deze uitspraak de onderzoekskosten terug te moet betalen, voor zover deze door Consument reeds zijn voldaan.
In artikel 5 van het Reglement van de Commissie van Beroep Financiële Dienstverlening is bepaald in welke gevallen beroep openstaat van bindende beslissingen van de Geschillencommissie Financiële Dienstverlening bij de Commissie van Beroep Financiële Dienstverlening. Daarbij geldt een termijn van zes weken na verzending van deze uitspraak. Op de website van Kifid vindt u praktische informatie over het instellen van beroep. Zie hiervoor www.kifid.nl/in-beroep-gaan-bij-kifid.
U kunt, binnen twee weken na de verzenddatum van deze uitspraak, bij de Voorzitter van de Geschillencommissie Financiële Dienstverlening schriftelijk een verzoek indienen tot herstel van kennelijke vergissingen in de uitspraak. U moet daarbij met name denken aan correctie van reken- of schrijffouten en verbetering van namen en data. De volledige procedure met de termijnen die daarbij in acht moeten worden genomen staat beschreven in artikel 40 van het Reglement.
Bijlage
Relevante artikelen uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013
In het toepasselijke Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 zijn de volgende relevante bepalingen opgenomen:
2. Begripsbepalingen
In dit protocol wordt verstaan onder:
Incident: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.
3.1 Incidentenregister en Extern Verwijzingsregister
3.1.1 Iedere Deelnemer heeft een Incidentenregister, waarin door de betreffende Deelnemer gegevens van (rechts)personen worden vastgelegd ten behoeve van het in artikel 4.1.1 Protocol genoemde doel, naar aanleiding van of betrekking hebbend op een (mogelijk) Incident. (…)
3.1.2 Aan het Incidentenregister is een Extern Verwijzingsregister gekoppeld. (…)
4 Incidentenregister
4.1 Doel Incidentenregister
4.1.1 Met het oog op het kunnen deelnemen aan het Waarschuwingssysteem is iedere Deelnemer gehouden de volgende doelstelling voor het vastleggen van gegevens in het Incidentenregister te hanteren:
“Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:
– op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers;
– op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;
– op het gebruik van en de deelname aan waarschuwingssystemen.”
4.2 Toegang tot het Incidentenregister
(…)
4.2.3 De gegevens uit het Incidentenregister van de Deelnemer mogen tevens worden uitgewisseld met functionarissen werkzaam bij de daartoe ingerichte, coördinatiefuncties van de NVB, Verbond, VFN, ZN, FOV en SFH (de fraudeloketten).
(…)
4.3 Verwijdering van gegevens uit het Incidentenregister
(…)
4.3.2 Verwijdering van gegevens uit het Incidentenregister moet plaatsvinden uiterlijk 8 jaar na opname van het betreffende gegeven in het Incidentenregister, tenzij zich ten aanzien van de betreffende (rechts)persoon een nieuwe aanleiding heeft voorgedaan die opnamen in het Incidentenregister rechtvaardigt.
5 Extern Verwijzingsregister
(…)
5.2 Vastlegging van gegevens in het Extern Verwijzingsregister
5.2.1 De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en na toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister.
a) De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële instelling, alsmede de (Organisatie van de) Financiële instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector.
b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klachten wordt gedaan bij een opsporingsambtenaar.
c) Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister.
5.3 Verwijdering van gegevens uit het Extern Verwijzingsregister
(…)
5.3.2 Verwijdering van Verwijzingsgegevens uit het Extern Verwijzingsregister moet plaatsvinden uiterlijk 8 jaar na opname van het betreffende gegeven in het Incidentenregister, tenzij zich ten aanzien van de betreffende (rechts)persoon een nieuwe aanleiding heeft voorgedaan en opname in het Extern Verwijzingsregister conform artikel 5.2.1 Protocol heeft plaatsgevonden.
Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van 1 mei 2010
In de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van 1 mei 2010 zijn de volgende relevante artikelen opgenomen:
4. Beginselen van Verwerking van Persoonsgegevens
4.1 Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
(…)
4.3 Persoonsgegevens worden slechts verwerkt indien en voor zover is voldaan aan minimaal één van de volgende rechtmatige grondslagen:
(…) of
f. de Verwerking van Persoonsgegevens is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de Financiële instelling of van een Derde aan wie de Persoonsgegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
(…)
5. Doeleinden voor de Verwerking van Persoonsgegevens
5.1 Algemeen
5.1.1 Verwerking van Persoonsgegevens door Financiële instellingen vindt plaats, met inachtneming van de beginselen voor Verwerking van Persoonsgegevens ten behoeve van een efficiënte en effectieve bedrijfsvoering, in het bijzonder in het kader van het uitvoeren van de volgende activiteiten:
(…)
d. het waarborgen van de veiligheid en integriteit van de financiële sector, daaronder mede begrepen het onderkennen, voorkomen, onderzoeken en bestrijden van (pogingen tot) (strafbare of laakbare) gedragingen gericht tegen de branche waar een Financiële instelling deel van uitmaakt, de Groep waartoe een Financiële instelling behoort, de Financiële instelling zelf, haar Cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwingssystemen;
(…).
5.5 Verwerking van Persoonsgegevens in het kader van de veiligheid en integriteit van de Financiële sector alsmede het gebruik van waarschuwingssystemen
5.5.1 Ten behoeve van de veiligheid en integriteit van de Financiële sector kunnen gegevens, waaronder Persoonsgegevens, die betrekking hebben op: (i) gebeurtenissen die gelet op het bijzondere karakter van de Financiële sector de zorg en aandacht behoeven van de Financiële instelling; (ii) (potentiële) vorderingen onder meer ten aanzien van een met de Financiële instelling gesloten overeenkomst; (iii) het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen; of (iv) handelingen van Financiële instellingen, waaronder onderzoek als bedoeld in artikel 5.6.1 Gedragscode, worden opgenomen in een Gebeurtenissenadministratie gehouden door Veiligheidszaken of een daartoe aangewezen afdeling van de betreffende Financiële instelling. Op deze Gebeurtenissenadministratie is de Gedragscode van toepassing.
5.5.2 Indien een in het eerste lid bedoelde gebeurtenis voldoet aan de criteria als opgenomen in het Protocol worden de met deze gebeurtenis verband houdende gegevens opgenomen in het incidentenregister en is opname in het EVR mogelijk (Bijlage I: Document B). (…)
In de toelichting bij artikel 5.5 van de GVPFI staat onder meer het volgende vermeld:
Binnen een Financiële instelling vormt Veiligheidszaken, die zich bezig houdt met de bestrijding van fraude en criminaliteit, vaak een afgezonderde eenheid. Deze afdeling legt onder meer gebeurtenissen vast die van belang zijn voor de veiligheid en integriteit van de Financiële sector en om die reden speciale aandacht behoeven.
Het kan daarbij gaan om uiteenlopende gebeurtenissen als de melding van een gestolen laptop tot het vermoeden dat een bepaald persoon betrokken is bij een vorm van fraude of criminaliteit. Deze Persoonsgegevens worden vastgelegd in een zogeheten Gebeurtenissenadministratie. De Persoonsgegevens opgenomen in de Gebeurtenissenadministratie mogen in beginsel alleen gebruikt worden binnen de Financiële instelling of de Groep waartoe de Financiële instelling behoort. Om een oncontroleerbaar gebruik van deze Persoonsgegevens te voorkomen wordt een beperkte set aan gegevens (naam, adres, woonplaats en geboortedatum) opgenomen in een Intern Verwijzingsregister (IVR) dat in het kader van onder meer acceptatie en schadeafhandeling door de betreffende afdelingen geraadpleegd mag worden. Indien blijkt dat een Betrokkene in dit IVR voorkomt moet contact worden opgenomen met Veiligheidszaken, die vervolgens adviseert over de beslissing die moet worden genomen. Op deze Verwerking van Persoonsgegevens is de Gedragscode van toepassing en is een separate melding gedaan bij het CBP.
(…)
Indien, na nader onderzoek, blijkt dat de gebeurtenis van zodanige aard is dat deze voldoet aan de voorwaarden genoemd in het Protocol worden de gegevens opgenomen in het Incidentenregister en, wanneer aan aanvullende voorwaarden is voldaan, in het EVR. Op deze Verwerkingen is niet de Gedragscode, maar het Protocol van toepassing.