In dit artikel wordt onderzocht onder welke voorwaarden een verzekeraar een onderzoek naar een vermoeden van fraude of het recht op uitkering kan doen, welke regelgeving daarvoor geldt en hoe daar door de civiele rechter en het Klachteninstituut Financiële Dienstverlening (hierna: Kifid) mee wordt omgegaan. Hierbij zullen ook eventuele knelpunten worden benoemd en worden aanbevelingen voor verbetering gedaan.
1. Inleiding
Bij de beoordeling van een claim van een verzekerde, of de tot uitkering gerechtigde benadeelde, kan voor de verzekeraar aanleiding bestaan om nader onderzoek te doen. Die aanleiding kan erin zijn gelegen dat onvoldoende feiten en omstandigheden bekend zijn om de claim te kunnen beoordelen. Ook kan over de juistheid van de verstrekte informatie twijfel zijn gerezen en is bij de verzekeraar een vermoeden ontstaan dat betrokkene oneigenlijk gebruik van de verzekering wil maken. De verzekeraar kan overgaan tot het doen van een feitenonderzoek en zo nodig daaropvolgend ook een persoonlijk onderzoek starten. Hierbij ontstaat een spanningsveld tussen het belang van de verzekeraar dat hij heeft bij het doen van onderzoek en de belangen van de betrokkene om niet in zijn persoonlijke levenssfeer te worden aangetast. De verzekeraar zal die belangen van de betrokkene steeds voor ogen moeten houden. Dat veel aspecten er toe doen bij het uitvoeren van een onderzoek en de grens tussen feitenonderzoek en het verdergaande persoonlijk onderzoek soms lastig te bepalen is, wordt weer eens onderstreept door het recente arrest van het Hof Arnhem-Leeuwarden van 25 februari 2020.1 In dit arrest ging het om een letselschadeclaim waarbij tussen partijen discussie bestond over de omvang van de schade. Na de deelgeschilprocedure heeft verzekeraar wederom verschillende onderzoeken uitgevoerd. In de procedure ten principale en in voornoemd arrest was onder andere de vraag aan de orde hoe de door verzekeraar uitgevoerde onderzoeken gekwalificeerd moesten worden, of verzekeraar de toepasselijke regelgeving in acht had genomen en of de resultaten van de onderzoeken gebruikt mochten worden bij de verdere afwikkeling van de schade in deze kwestie. Een interessant arrest waarbij allerlei aspecten die bij een feiten- dan wel een persoonlijk onderzoek een rol spelen, de revue hebben gepasseerd. Het arrest en andere recente ontwikkelingen vormen voor auteurs een mooie aanleiding de materie te belichten.
In de eerste plaats wordt in dit artikel de toepasselijke regelgeving in kaart gebracht. In paragraaf 3 wordt het verschil tussen een feiten- en een persoonlijk onderzoek onderzocht waarna, in paragraaf 4, wordt ingegaan op de rechtmatigheid van beide onderzoeken. Vervolgens zal worden stilgestaan bij de gevolgen van het niet naleven van de regelgeving door de verzekeraar.
2. De regelgeving
Bij het doen van onderzoek naar een verzekerde of tot uitkering gerechtigde, door het zoeken naar informatie over deze betrokkene, verwerkt een verzekeraar persoonsgegevens.2 Een dergelijk onderzoek is een inbreuk op het recht op eerbieding van de persoonlijke levenssfeer en dit levert in beginsel een onrechtmatige daad op. De aanwezigheid van een rechtvaardigingsgrond kan aan die inbreuk het onrechtmatig karakter ontnemen. Hierbij moet een afweging worden gemaakt tussen enerzijds de ernst van de inbreuk en anderzijds de belangen die met die inbreuk makende handelingen redelijkerwijs kunnen worden gediend.3 De verzekeraar is voor een rechtmatige verwerking van persoonsgegevens gebonden aan regelgeving. Deze regelgeving is neergelegd in de Algemene Verordening Gegevensbescherming (hierna: AVG), en in de door het Verbond van Verzekeraars opgestelde Gedragscode Verwerking Persoonsgegevens Verzekeraars4 (hierna: GVPV) en de Gedragscode Persoonlijk Onderzoek5 (hierna: GPO). De GVPV geeft voor de verzekeringsbranche een concrete uitwerking van de wet- en regelgeving voor verwerking van persoonsgegevens waarmee het Verbond beoogt de naleving van die regelgeving te bevorderen. Verzekeraars6 zijn gehouden de GVPV na te leven bij vrijwel alle verwerkingen van persoonsgegevens. In aanvulling op de GVPV zijn voor specifieke gevallen aanvullende gedragscodes, protocollen en convenanten ontwikkeld waarin gedetailleerde kaders zijn beschreven voor concrete gevallen. Een van deze aanvullende gedragscodes is de GPO voor de situatie waarin de verzekeraar persoonsgegevens verwerkt door persoonlijk onderzoek naar de verzekerde of de tot uitkering gerechtigde benadeelde te doen. Het Verbond heeft voor het online zoeken naar informatie over klanten en relaties door verzekeraars een checklist en handreiking opgesteld.7 Daarmee heeft het Verbond voor deze onderzoeksmethode, zie zoals we onder paragraaf 3 zien zowel onderdeel van het feitenonderzoek als van het persoonlijk onderzoek kan zijn, kaders uitgewerkt die op grond van de privacywetgeving gelden. Deze checklist en handreiking zijn evenwel niet aan te merken als regelgeving zoals die in de genoemde gedragscodes is opgenomen. Wel wordt daarin toegelicht dat het doen van internetonderzoek, waaronder het gebruik van social media om relaties te onderzoeken, moet passen binnen de regels van de GVPV.
In de AVG is voor de verwerking van persoonsgegevens een aantal beginselen opgenomen. Verwerking moet rechtmatig, behoorlijk en transparant zijn. De gegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen alleen worden verwerkt als dit in overeenstemming is met dat doel waarvoor de gegevens zijn verzameld.8 Een verzekeraar zal ook een grondslag voor deze verwerking moeten hebben. De grondslagen van verwerking van persoonsgegevens staan genoemd in artikel 6 AVG. Wanneer onderzoek naar fraude wordt gedaan is de in artikel 6 lid 1 onder f AVG genoemde grondslag aan de orde, het gerechtvaardigd belang.9 Bij de verwerking van persoonsgegevens moeten steeds de beginselen van proportionaliteit en subsidiariteit in acht worden genomen. Dit houdt in dat de verwerking de belangen van de betrokkene niet onevenredig mag schaden en het doel van de verwerking niet op een andere manier kan worden bereikt. Bij verwerking van persoonsgegevens moeten deze algemene beginselen altijd in acht worden genomen, ook wanneer voor bepaalde gevallen geen specifieke regelgeving is opgesteld waarin de AVG is uitgewerkt. Een verzekeraar zal ook steeds moet kunnen aantonen dat hij deze beginselen heeft nageleefd.10
De GVPV geeft in artikel 3 een uitwerking van de algemene beginselen uit de AVG die gelden bij verwerking van persoonsgegevens door verzekeraars. In de toelichting op dit artikel wordt nog eens het belang van deze beginselen benadrukt:
‘Verzekeraars zullen deze beginselen en die van vertrouwelijkheid, transparantie en zorgvuldigheid in al hun handelen hoog in het vaandel houden, ook als wet- en regelgeving, richtlijnen van relevante toezichthouders en de Gedragscode (nog) geen duidelijke juridische kaders bieden.’
In artikel 4 en 5 van de GVPV zijn de wettelijke grondslagen uit artikel 6 AVG gekoppeld aan veelvoorkomende doeleinden voor de verwerking van persoonsgegevens door verzekeraars. Zo gaat artikel 4.2 GVPV over de verwerking voor het aangaan en uitvoeren van een verzekering en artikel 4.5 geeft bepalingen voor de verwerking om de integriteit en veiligheid van de verzekeraar te waarborgen. Daaronder valt ook het doen van onderzoek naar frauduleuze gedragingen. Doeleinden die van belang zijn wanneer een verzekeraar overgaat tot het doen van feiten- of persoonlijk onderzoek.
De GPO sluit aan op de GVPV. Bij een persoonlijk onderzoek gaat het om een specifieke verwerking van persoonsgegevens en hierop is tevens de GPO van toepassing.11 Het gaat hierbij over onderzoek dat op de persoon van de verzekerde of benadeelde is gericht. De GPO beschrijft de uitgangspunten voor het instellen van een persoonlijk onderzoek in het kader van activiteiten die gericht zijn op onder meer het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik gericht op het verkrijgen van verzekeringsdekking, uitkering of prestatie en geeft aan welke beginselen de verzekeraar hierbij in acht moet nemen. Het Verbond heeft beoogd met deze gedragscode invulling te geven aan de afweging van belangen, te weten enerzijds de ernst van de inbreuk op eerbiediging van de persoonlijke levenssfeer en anderzijds de belangen die met de inbreuk makende handelingen redelijkerwijs kunnen worden gediend. In artikel 2 en artikel 3 GPO zijn bepalingen opgenomen voor de afweging die een verzekeraar moet maken tussen de belangen van de verzekeraar bij het onderzoek en het recht op bescherming van de persoonlijke levenssfeer van de betrokkene (proportionaliteit) en de belangenafweging die de verzekeraar moet maken ten aanzien van het door hem in te zetten onderzoeksmiddel (subsidiariteit). De GPO bepaalt wanneer een verzekeraar tot het doen van persoonlijk onderzoek mag overgaan. Deze beslissing moet gemotiveerd worden genomen en de verzekeraar moet vastleggen door wie en op welke gronden het besluit is genomen. Het is niet toegestaan dat de beslissing wordt genomen door de dossierbehandelaar of onderzoeker zelf, van belang is dat een leidinggevende of de afdeling Veiligheidszaken deze beslissing neemt.12 De verzekeraar moet ook kunnen aantonen dat hij de beslissing in overeenstemming met deze in artikel 4 GPO genoemde vereisten heeft genomen.13
3. Het onderscheid tussen feitenonderzoek en persoonlijk onderzoek
De GPO maakt onderscheid tussen het feitenonderzoek en het persoonlijk onderzoek, dat hierop volgt, en geeft uitsluitend regels voor dat laatste onderzoek. Van belang is aldus om vast te stellen wanneer het gaat om een feitenonderzoek en wanneer een verzekeraar een persoonlijk onderzoek uitvoert.
De GPO geeft definities. Een feitenonderzoek is een onderzoek dat wordt ingesteld naar de feiten, omstandigheden en gedragingen van betrokkene die nodig zijn voor de beoordeling van een verzekeringsaanvraag, lopende verzekeringsovereenkomst, schademelding of andere aanspraak of uitkering of prestaties. Het persoonlijk onderzoek gaat verder. Dit is het onderzoek dat volgt op een feitenonderzoek. Het gaat om onderzoek naar de gedragingen van betrokkene waarbij de verzekeraar gebruikmaakt van bijzondere onderzoeksmethoden en/of -middelen, dat inbreuk maakt of kan maken op de persoonlijke levenssfeer van betrokkene.14 Het persoonlijk onderzoek kan worden ingesteld als het feitenonderzoek dat is gedaan geen of onvoldoende uitsluitsel geeft voor de te nemen beslissing of gerede twijfel is ontstaan over de juistheid of volledigheid van de uitkomst van het feitenonderzoek, zodanig dat bij de verzekeraar een redelijk vermoeden van verzekeringsfraude of andere vormen van oneigenlijk gebruik van verzekeringsproducten of diensten is ontstaan.15 De GPO noemt in artikel 7.1 voorbeelden van onderzoeksmethoden die kunnen worden gebruikt bij het persoonlijk onderzoek: een interview van betrokkenen, het inwinnen van informatie bij derden en het observeren van betrokkenen.
De vraag of een onderzoek als feitenonderzoek of als persoonlijk onderzoek moet worden aangemerkt, is nog wel eens onderwerp van discussie tussen partijen. Een deskonderzoek door een verzekeraar, waarbij interne bronnen worden geraadpleegd naar activiteiten van de betrokkene, werd door het Hof Arnhem-Leeuwarden als feitenonderzoek aangemerkt.16 Ook een internetonderzoek naar algemeen toegankelijke informatie van een betrokkene, die met Google eenvoudig voor een ieder te vinden is en die kan worden verkregen zonder gebruik te maken van bijzondere onderzoeksmethoden of -middelen, kan, zo volgt uit de rechtspraak, worden aangemerkt als een feitenonderzoek.17 Van belang voor de kwalificatie feitenonderzoek is dat de verzekeraar bij het zoeken naar informatie geen bijzondere moeite hoeft te doen en dat hij zich geen toegang hoeft te verschaffen tot (gedeeltelijk) afgeschermde informatie. Denkbaar is dat wanneer een verzekeraar onder een pseudoniem een account aanmaakt op social media om vervolgens onder dat pseudoniem contact te leggen met een verzekerde zodat hij informatie kan inzien die anders niet toegankelijk zou zijn, het onderzoek niet meer als feitenonderzoek kan worden aangemerkt.18 In de literatuur is betoogd dat internetonderzoek onder omstandigheden ook als persoonlijk onderzoek kan kwalificeren. De intensiteit van het onderzoek speelt hierbij een rol. Is bijvoorbeeld sprake van het online onafgebroken observeren van een betrokkene, en wordt van de verkregen informatie een in hoge mate gedetailleerd profiel samengesteld, zou denkbaar kunnen zijn dat het om een persoonlijk onderzoek gaat.19 Ook Hof Arnhem-Leeuwarden ziet daar, in zijn arrest van 15 september 201520 ruimte voor. Wanneer het evenwel om algemeen toegankelijke informatie gaat die eenvoudig met Google te vinden is en geen sprake is van stelselmatig observeren, en waarbij niet sterk wordt ingegrepen op de persoonlijke levenssfeer is, zo volgt ook uit dit arrest, nog steeds sprake van een feitenonderzoek.21
Wanneer een verzekeraar is overgegaan van feitenonderzoek op persoonlijk onderzoek, zal het voorkomen dat de verzekeraar ook in dat stadium nog nader feitenonderzoek doet. Is dat het geval, dan kan dat feitenonderzoek mogelijk eveneens als persoonlijk onderzoek worden aangemerkt, nu bij het gebruikmaken van bijzondere onderzoeksmethoden sprake zal zijn van een wisselwerking tussen het resultaat daarvan en de onderwerpen waarnaar op internet wordt gezocht.22 Dit hoeft niet altijd het geval te zijn. Bijvoorbeeld wanneer er na het afronden van het persoonlijk onderzoek opnieuw feitenonderzoek wordt gedaan en daartussen enige tijd is verstreken. Ook zal het feitenonderzoek niet als persoonlijk onderzoek worden aangemerkt, en dus niet vallen onder de regelgeving die daarvoor geldt, wanneer geen samenhang kan worden aangenomen tussen het feiten- en het persoonlijk onderzoek.23
De methode van het onderzoek die door de verzekeraar wordt gebruikt kan meespelen in de overweging of het onderzoek als persoonlijk onderzoek moet worden gekwalificeerd. Artikel 7.1 noemt methoden die bij het persoonlijk onderzoek kunnen worden gebruikt. Hoewel volgens de definitie van persoonlijk onderzoek bij dit onderzoek gebruik wordt gemaakt van bijzondere onderzoeksmethoden, worden de methoden die volgens artikel 7.1 bij het onderzoek kunnen worden gebruikt, niet als zodanig aangeduid. De GPO is hierover niet geheel duidelijk en geeft ook geen definitie van bijzondere onderzoeksmethoden.24 De praktijk laat zien dat er ruimte bestaat voor discussie over de vraag of het gebruikmaken van een onderzoeksmethode als genoemd in artikel 7.1 GPO meebrengt dat het onderzoek per definitie als een persoonlijk onderzoek kwalificeert. De in artikel 7.1 GPO genoemde onderzoeksmethoden zullen niet allemaal in gelijke mate inbreuk maken op de persoonlijke levenssfeer van de betrokkene. Een observatie van de betrokkene zal, onder omstandigheden, een verdergaande inbreuk maken dan het inwinnen van informatie bij derden of het interviewen van de betrokkene.25 In een uitspraak van de Geschillencommissie van het Kifid (hierna: Geschillencommissie) was aan de orde de vraag of het door de verzekeraar ingestelde onderzoek, waarbij informatie werd ingewonnen bij derden, als een feitenonderzoek of persoonlijk onderzoek moest worden aangemerkt.26 Het ging om letselschade als gevolg van een verkeersongeval. Het slachtoffer claimde dat hij hierdoor studievertraging had opgelopen en had ter onderbouwing van zijn claim een cijferlijst overgelegd. Verzekeraar wilde de juistheid van deze cijferlijst verifiëren en besloot hierover navraag te doen bij de studieadviseur van het slachtoffer zonder hem hierover te informeren. Verzekeraar stelde dat dit een feitenonderzoek was, omdat het ging om een onderzoek naar de juistheid van documenten. Maar deze stelling gaat niet op. De Geschillencommissie oordeelt dat verzekeraar de grens van het feitenonderzoek heeft overschreden en een persoonlijk onderzoek in de zin van de GPO heeft verricht. De Geschillencommissie komt tot dit oordeel op basis van de volgende omstandigheden: (i) het ging om een onderzoek naar informatie die voor derden was afgeschermd, (ii) de informatie is ingewonnen bij een derde, hetgeen op grond van artikel 7.1 sub b GPO een bijzondere onderzoeksmethode is, en tot slot weegt de Geschillencommissie mee (iii) dat verzekeraar het risico heeft aanvaard inbreuk op de persoonlijke levenssfeer van het slachtoffer te maken door de cijferlijst bij de studieadviseur te verifiëren.27
Het gebruikmaken van de in artikel 7.1 van de GPO genoemde onderzoeksmethoden brengt ons inziens niet per definitie mee dat sprake is van een persoonlijk onderzoek. Daarvoor is immers ook vereist dat het onderzoek volgt op het feitenonderzoek en is gericht op gedragingen en dat de gebruikte onderzoeksmethoden inbreuk (kunnen) maken op de persoonlijke levenssfeer van de betrokkene. In de literatuur is betoogd dat uit de rechtspraak kan worden afgeleid dat het inwinnen van informatie bij derden niet in alle gevallen als persoonlijk onderzoek hoeft te worden aangemerkt.28 Gelet evenwel op artikel 7.2 van de GPO, zal al snel sprake zijn van persoonlijk onderzoek bij het gebruik van deze onderzoeksmethode als daarbij gegevens van de betrokkene aan die derde worden verstrekt. Dit zou anders kunnen zijn als met het inwinnen van informatie bij derden, enkel en alleen de feitelijke gang van zaken wordt vastgesteld en daarmee geen inbreuk wordt gemaakt op de persoonlijke levenssfeer van de betrokkene. Voor de derde bij wie informatie wordt opgevraagd moet dus niet herleidbaar kunnen zijn om wie het gaat. Denkbaar is de situatie waarin een onderzoeker navraag bij derden doet over de verkeerssituatie op een bepaald tijdstip op de plaats waar een ongeval heeft plaatsgevonden.
Een andere situatie waarin wij ons, gelet op de gebruikte onderzoeksmethode, discussie kunnen voorstellen over de vraag of het onderzoek als feitenonderzoek of persoonlijk onderzoek moet worden aangemerkt, maar die wij overigens nog niet in jurisprudentie zijn tegengekomen, is die waarin bij de expert tijdens een schade-expertise naar de oorzaak en omvang van de door de verzekerde geclaimde schade een vermoeden rijst dat de verzekerde onware informatie verstrekt met oneigenlijke motieven. De expert zou de neiging kunnen hebben om alvast op de door hem geconstateerde onregelmatigheden door te vragen. Of de verzekerde te vragen of hij diens telefoon kan inzien om daarop foto’s van de schade of geclaimde spullen te kunnen zien.29 Begeeft hij zich dan niet op glad ijs? Immers, het doorvragen van deze expert zou kunnen worden aangemerkt als een onderzoeksmethode als bedoeld in artikel 7.1 sub a GPO, het interviewen van de betrokkene. Onder omstandigheden kan het interview worden aangemerkt als een persoonlijk onderzoek. De aard van de gestelde vragen en opgevraagde informatie en de sfeer van het onderzoek kan daarbij een rol spelen. Een dergelijk onderzoek kan voor de betrokkene als zeer intimiderend worden ervaren.30 Steeds zal moeten worden afgewogen of het onderzoek volgt op het feitenonderzoek en is gericht op gedragingen en of de privacybelangen van de betrokkenen worden geschaad. Die afweging zal doorslaggevend zijn bij de vraag of sprake is van een feitenonderzoek of persoonlijk onderzoek. Maar die afweging moet wel, gelet op artikel 4 van de GPO, door de verzekeraar worden gemaakt voorafgaand aan dat onderzoek. Een expert dient zich daarvan bij het doen van een onderzoek dus wel degelijk bewust te zijn, wil hij niet tot een ontoelaatbare overschrijding van de grenzen van het van hem gevraagde feitenonderzoek overgaan. Op de rechtmatigheid van het onderzoek gaan we in de volgende paragraaf in.
4. De rechtmatigheid van het feitenonderzoek en het persoonlijk onderzoek
De rechtmatigheid van het feitenonderzoek
De vaststelling dat een onderzoek als feitenonderzoek moet worden aangemerkt brengt mee dat daarop de GPO niet van toepassing is. Voor het internetonderzoek is wel een checklist en handreiking opgesteld, de rechtmatigheid van dit onderzoek moet evenwel, voor zover dit kan worden aangemerkt als een feitenonderzoek worden getoetst aan de AVG en de GVPV waarin die regels voor verzekeraars zijn uitgewerkt.31 De algemene beginselen die daarin zijn neergelegd gelden voor zowel het feitenonderzoek als voor het persoonlijk onderzoek. Voor beide onderzoeken geldt dat daarvoor onder meer een grondslag moet bestaan en de beginselen van proportionaliteit en subsidiariteit moeten steeds in acht worden genomen. Dit geldt ook voor de in het kader van het feitenonderzoek gebruikte onderzoeksmiddelen- en methoden. Ook voor het feitenonderzoek moet de afweging worden gemaakt of het onderzoek noodzakelijk is en of de informatie niet op andere wijze kan worden verkregen.32 Bij de beoordeling van de vraag of een rechtvaardigingsgrond aanwezig is voor de met het onderzoek gemaakte inbreuk op de privacy van de betrokkene, spelen de omstandigheden van het geval een rol en moet steeds de afweging worden gemaakt tussen de ernst van de inbreuk en de belangen die met het onderzoek kunnen worden gediend. Verder geldt dat de verzekeraar verantwoording moet kunnen afleggen over de rechtmatigheid van het onderzoek.33
Een illustratief arrest in dit kader is het al eerdergenoemde recente arrest van Hof Arnhem-Leeuwarden.34 Daar toetste het hof aan de hand van artikel 8 Wbp.35 Het gaat om een verwerking van persoonsgegevens waarvoor geen toestemming is verleend, zodat het hof moest beoordelen of de verwerking van de gegevens noodzakelijk was voor de behartiging van de gerechtvaardigde belangen van verzekeraar. Bij deze beoordeling spelen de beginselen van proportionaliteit en subsidiariteit een rol. Dat verzekeraar een gerechtvaardigd belang heeft bij het opsporen van fraude staat buiten kijf. De vraag is volgens het hof of het in dit concrete geval voor dat doel noodzakelijk was om opnieuw een feitenonderzoek uit te voeren naar de betrokkene. Het hof vervolgt dan met een afweging of de verzekeraar het feitenonderzoek heeft mogen uitvoeren. Het hof vindt van niet. Daarbij vindt het hof van belang dat hij reeds in een eerder arrest in de deelgeschilprocedure36 die met de onderhavige procedure verband houdt, heeft geoordeeld dat er in 2013 een wankele basis was voor het vermoeden van fraude. Verder was de uit het feitenonderzoek van 2013 verkregen informatie niet in strijd met de door betrokkene eerder verstrekte informatie. In 2016 was de situatie niet anders. Niet gebleken is dat er in 2016 nieuwe feiten en omstandigheden bekend waren die wel een redelijke basis voor een vermoeden van fraude gaven, en daarmee is dus ook niet gebleken dat het noodzakelijk was om opnieuw een (feiten)onderzoek uit te voeren. Bovendien heeft betrokkene naar het oordeel van het hof steeds meegewerkt aan het verstrekken van informatie en is zij steeds bereid geweest alle gevraagde informatie te verstrekken en medewerking te verlenen aan de schadeafhandeling. In deze situatie dient het belang van betrokkene op bescherming van de persoonlijke levenssfeer te prevaleren, ook al is de wijze van gegevensverwerking beperkt gebleven. Dit brengt mee dat het feitenonderzoek in 2016 niet rechtmatig was en dat inbreuk is gemaakt op de persoonlijke levenssfeer van betrokkene. Een voorbeeld van een zaak waarin het feitenonderzoek wel rechtmatig had plaatsgevonden vonden we in het arrest van het Hof Arnhem-Leeuwarden van 4 maart 2014. Verzekerde verstrekte bij herhaling de door verzekeraar gevraagde informatie niet. Het kon de verzekeraar in dat geval niet worden verweten dat hij op enig moment zelf op internet onderzoek is gaan doen.37
Rechtmatigheid van het persoonlijk onderzoek
Bij de vraag of een verzekeraar het persoonlijk onderzoek rechtmatig heeft uitgevoerd, is van belang of hij tot het doen van dat onderzoek mocht overgaan. Voor beantwoording van die vraag is in de eerste plaats relevant of zich een van de in artikel 1.1 van de GPO genoemde situaties voordoet. Ook moeten de reeds genoemde beginselen van proportionaliteit en subsidiariteit in acht worden genomen. We gaan in op een aantal uitspraken om hierbij een beeld te krijgen.
In een uitspraak van de Rechtbank Midden-Nederland38 werd geoordeeld dat de verzekeraar, alvorens over te gaan tot persoonlijk onderzoek, verscheidene mogelijkheden voor het doen van feitenonderzoek onbenut heeft gelaten. De verzekeraar heeft in de periode van 27 december 2013 tot en met 22 juni 2014 persoonlijk onderzoek uitgevoerd. Hij heeft de betrokkene geobserveerd en er waren foto- en video-opnames gemaakt. Naar het oordeel van de rechtbank heeft de verzekeraar de belangen van de betrokkene niet zorgvuldig afgewogen tegen de eigen belangen en onvoldoende onderzocht of er andere mogelijkheden van onderzoek waren die tot minder inbreuk op de persoonlijke levenssfeer zouden leiden. De verzekeraar had in strijd gehandeld met de artikelen 1, 2 en 3 van de GPO.
Ook in de al eerdergenoemde zaak die aan de Geschillencommissie was voorgelegd, was voor het doen van persoonlijk onderzoek, waar naar het oordeel van de Geschillencommissie sprake van was, geen aanleiding.39 Volgens de verzekeraar was het bij de studieadviseur verifiëren van de cijferlijst van het slachtoffer een feitenonderzoek. Een vermoeden van fraude was volgens de verzekeraar niet aan de orde. De verzekeraar had ook in strijd gehandeld met de beginselen van proportionaliteit en subsidiariteit. Verzekeraar had, buiten het slachtoffer om, de studieadviseur van het slachtoffer benaderd om de door verzekerde overgelegde studieresultaten op juistheid te kunnen verifiëren. Verzekeraar heeft voorafgaand aan het besluit tot het persoonlijk onderzoek de belangen van het slachtoffer niet in zijn afwegingen betrokken. Bovendien waren minder ingrijpende middelen mogelijk. Verzekeraar had bijvoorbeeld aan de vertegenwoordiger van het slachtoffer kunnen vragen hem van een gewaarmerkte cijferlijst te voorzien. Ook een interview met het slachtoffer in bijzijn van diens vertegenwoordiger behoorde tot de mogelijkheden.
Indien een feitenonderzoek geen of onvoldoende uitsluitsel biedt over de in artikel 1 GPO genoemde aspecten, is daarmee nog niet gegeven dat het persoonlijk onderzoek is toegestaan. Het persoonlijk onderzoek moet immers wel het uitsluitsel kunnen bieden dat met het feitenonderzoek niet kon worden verkregen. Het ingezette middel dient het te bereiken doel te dienen. Dit speelde in een zaak waarover de Rechtbank Limburg heeft geoordeeld.40 Het persoonlijk onderzoek kon geen uitsluitsel geven bij de bepaling van, in dit geval, een aanspraak op schadevergoeding. Het onderzoek moest dienen om opheldering te krijgen over de door de verzekeraar gestelde inconsistenties en ter verkrijging van ontbrekende informatie maar met de door verzekeraar ingezette observatie kon dit doel niet worden bereikt. Hieruit volgt dat ook niet was voldaan aan het subsidiariteitsvereiste. De gekozen methode was ongeschikt en leverde, mede gezien de aard van het onderzoek een onnodige inbreuk op de persoonlijke levenssfeer van de betrokkene op. Verzekeraar had ook minder ingrijpende en doeltreffender methoden kunnen gebruiken.
Wanneer een betrokkene herhaaldelijk tegenstrijdige en niet sluitende verklaringen aflegt over de schade, kan wel aanleiding bestaan voor het doen van persoonlijk onderzoek. Zowel het in artikel 1.1 GPO bedoelde uitsluitsel kan op basis van verklaringen van de betrokkene die niet betrouwbaar zijn gebleken niet worden verkregen, terwijl op basis van die verklaringen eveneens gerede twijfel kan zijn ontstaan over de juistheid en volledigheid van het feitenonderzoek. Bij de afweging of voor het onderzoek een rechtvaardiging aanwezig was en het belang van de verzekeraar bij waarheidsvinding zwaarder weegt dan het belang van de betrokkene bij het recht op bescherming van zijn persoonlijke levenssfeer, hechtte de rechter waarde aan de financiële belangen van de verzekeraar, de gerede twijfel over de betrouwbaarheid van de verklaringen en de beperkte inbreuk op de persoonlijke levenssfeer van de betrokkene (een observatie van een uur in een openbare ruimte, waarvan slechts een klein gedeelte is gefilmd).41 Ook kan de (bij het feitenonderzoek) op internet gevonden informatie tot zodanige twijfel leiden over de juistheid van de mededelingen van de betrokkene, in dit geval over de mate waarin hij in staat was om als tandarts te werken, dat persoonlijk onderzoek gerechtvaardigd is.42
5. Gevolgen van niet-naleving
Als een verzekeraar zich niet houdt aan de regelgeving die hij bij het uitvoeren van een feiten- en persoonlijk onderzoek in acht moet nemen dan kan dat hem duur komen te staan. Er is een aantal mogelijke gevolgen van het niet-naleven van deze regelgeving. Als eerste zullen we in deze paragraaf stilstaan bij de gevolgen voor het bewijs dat is vergaard met het onrechtmatig uitgevoerde onderzoek. Vervolgens wordt aandacht besteed aan een eventueel recht op schadevergoeding van de betrokkene. Tot slot wordt beschreven wat de tuchtrechtelijke consequenties kunnen zijn en wordt kort aangestipt dat de Autoriteit Persoonsgegevens boetes kan opleggen.
5.1 Buiten beschouwing laten van onrechtmatig verkregen bewijs
De rechtspraak leert ons dat in een civiele procedure als algemene regel geldt dat onrechtmatig verkregen bewijs mag worden meegewogen in de beoordeling. In beginsel wegen het algemene maatschappelijke belang dat de waarheid in rechte aan het licht komt, alsmede het belang dat partijen erbij hebben hun stellingen in rechte aannemelijk te maken, zwaarder dan het belang van uitsluiting van het bewijs. Dit ligt ook ten grondslag aan het bepaalde in artikel 152 Rv.43 Slechts indien sprake is van bijkomende omstandigheden, is terzijdelegging van dat onrechtmatig verkregen bewijs gerechtvaardigd.
De partij die zich erop beroept dat er bijkomende omstandigheden zijn die maken dat het bewijs buiten beschouwing moet worden gelaten, heeft daarvan ook de bewijslast. De civiele rechtspraak laat zien dat de aanwezigheid van bijkomende omstandigheden al snel wordt aangenomen als een verzekeraar een persoonlijk onderzoek heeft verricht waarbij de regels van de GPO niet zijn nageleefd. Dit heeft de Hoge Raad overwogen in een arrest uit 2014 en deze lijn is in lagere rechtspraak gevolgd.44 De Hoge Raad heeft in genoemd arrest geoordeeld dat het hof in die kwestie terecht als uitgangspunt heeft genomen dat sprake was van bijkomende omstandigheden met bewijsuitsluiting als gevolg. In zijn oordeel betrok het hof de schending van de GPO, de achtergrond en het doel van die gedragscode alsook dat er in die kwestie voor verzekeraar onvoldoende aanleiding bestond tot het verrichten van een persoonlijk onderzoek over te gaan. De Hoge Raad laat dit oordeel in stand en overweegt nog expliciet dat het in de omstandigheden van dit geval niet strookt met het doel van de GPO en daarmee de zelfregulering in de verzekeringsbranche, te weten bescherming van de verzekerde, dat bewijs dat in strijd met de GPO is verkregen, toch door een verzekeraar kan worden gebruikt.45
Dat het oordeel over de bewijsuitsluiting bij onrechtmatig verkregen bewijs anders kan zijn bij een onterecht uitgevoerd feitenonderzoek, blijkt uit het al eerdergenoemde arrest van Hof Arnhem-Leeuwarden.46 Het hof overweegt in dit arrest dat naar vaste jurisprudentie het enkele feit dat bewijs als onrechtmatig verkregen kwalificeert, niet vanzelf tot uitsluiting van dit bewijs volgt. De door de verzekerde gestelde feiten en omstandigheden zijn volgens het hof onvoldoende om bewijsuitsluiting te rechtvaardigen.
5.1.1 Verschil tussen feiten- en persoonlijk onderzoek bij bewijsuitsluiting
De gevolgen van een onterecht uitgevoerd feitenonderzoek en een onterecht uitgevoerd persoonlijk onderzoek hoeven dus, voor wat betreft het met die onderzoeken verkregen bewijs, niet gelijk te zijn. Schending van de GPO kan, zoals we hebben gezien, meebrengen dat bewijsuitsluiting gerechtvaardigd is. Opvallend is dat het Hof Arnhem-Leeuwarden de rechtmatigheid van het feitenonderzoek toetst aan de Wbp en niet tevens aan de destijds geldende Gedragscode Verwerking Persoonsgegevens Financiële Instellingen (hierna ‘GVPFI’).47 Een gedragscode die toen al nadere regels gaf voor de branche en voor die branche een toegespitste uitwerking van de algemene verplichtingen op grond van de Wbp bood. Heeft het hof hier miskend dat ook voor het feitenonderzoek regels in het kader van zelfregulering golden?48 Of heeft het hof er bewust voor gekozen de GVPFI buiten beschouwing te laten, omdat de GVPFI, geen regels kent die specifiek zien op de uitvoering van het feitenonderzoek zoals die in de GPO voor het persoonlijk onderzoek zijn geformuleerd? Dit is interessant omdat het oordeel over de bewijsuitsluiting dan wellicht wel anders was geweest. Immers, een schending van de Wbp levert tevens een schending van de GVPFI op; regelgeving in het kader van zelfregulering. En juist de schending van regels in het kader van zelfregulering, kan snel, zo zagen we in de hiervoor genoemde civiele uitspraken, tot bewijsuitsluiting leiden. Wij vinden het om die reden jammer dat het hof niet meer inzicht heeft gegeven in zijn overwegingen om niet tot bewijsuitsluiting over te gaan. Immers de bijkomende omstandigheid die volgens de Hoge Raad maakt dat bewijs moet worden uitgesloten, zelfregulering in de verzekeringsbranche, is ook bij feitenonderzoek dat in strijd met de Wbp is uitgevoerd aan de orde. Het gaat dan echter om de GVPV. Dat neemt niet weg dat wij van mening zijn dat bij de situatie dat onterecht een feitenonderzoek is uitgevoerd, bewijsuitsluiting minder snel voor de hand ligt. In de GVPV zijn immers niet voor het feitenonderzoek concreet uitgewerkte normen opgenomen. Daarnaast geldt dat de aard van het feitenonderzoek en de daarbij gebruikte onderzoeksmethoden, meebrengt dat de inbreuk die daarmee is gemaakt op iemands persoonlijke levenssfeer, in zijn algemeenheid minder ernstig is. Mogelijk dat deze omstandigheden bij de beoordeling van het hof een rol hebben gespeeld.
Ons inziens is waakzaamheid geboden bij het uitsluiten van bewijs en zou het enkel en alleen schenden van de gedragsregels in het kader van zelfregulering niet zonder meer hoeven leiden tot de vaststelling dat sprake is van bijkomende omstandigheden als bedoeld in het arrest van de Hoge Raad van 2014.49 Met als gevolg dat het bewijs bij de beoordeling buiten beschouwing moet worden gelaten.50, 51 Wij zijn ons er van bewust dat de Hoge Raad in voornoemd arrest hier weinig ruimte voor laat, maar toch is die ruimte er wel degelijk waar de Hoge Raad oordeelt dat het in de omstandigheden van dit geval niet strookt met het doel van de GPO en daarmee de zelfregulering in de verzekeringsbranche, dat bewijs dat in strijd met de GPO is verkregen, toch door een verzekeraar kan worden gebruikt. Hieruit volgt dat de concrete omstandigheden mede van belang zijn bij de beoordeling van de vraag of bewijsuitsluiting op zijn plaats is. En dit vraagt om een uitgebreide motivering van het oordeel van de rechter, waarbij dus alle omstandigheden van het geval meegewogen dienen te worden. Ons inziens kan daarbij veel waarde worden toegekend aan de ernst van de inbreuk op iemands persoonlijke levenssfeer.52 Maar ook is van belang hoe ernstig het wangedrag is dat door het onderzoek aan het licht is gekomen en in welke mate de processuele belangen van de betrokkene zijn geschonden. Niet in de laatste plaats is naar onze mening ook van belang welke regels en/of normen door verzekeraar niet zijn nageleefd. Zoals gezegd is denkbaar dat niet iedere schending van regelgeving in het kader van zelfregulering, waaronder de GPO, tot bewijsuitsluiting hoeft te leiden. Gaat het aan de zijde van de verzekerde of uitkering gerechtigde om ernstig wangedrag en wordt dat ook door het onderzoek bevestigd, terwijl het niet in acht genomen vormvereiste minder ernstig van aard is (zoals het niet vastleggen van de beslissing tot het instellen van een persoonlijk onderzoek), zou de afweging wel anders kunnen uitvallen. Denkbaar is dat dan geen plaats is voor bewijsuitsluiting. Hierbij is wel terughoudendheid op zijn plaats. De desbetreffende vormvereisten zijn immers in het leven geroepen vanwege het beschermen van de privacybelangen en het waarborgen van de rechten van betrokkene. Ze dwingen verzekeraars tevens een zorgvuldige afweging te maken.
Een mooi voorbeeld met een uitgebreide overweging over bewijsuitsluiting is de uitspraak van de Rb. Midden-Nederland van 2 mei 2018.53 Naast het doel van de GPO wordt ook de ernst van de schending van de GPO en het feit dat het hier niet ging om een contractspartij, meegewogen om tot het oordeel te komen dat bewijs niet bij de beoordeling mag worden meegenomen. Wij juichen een dergelijke uitgebreide onderbouwing toe. Evenals De Vries en Oskam denken wij dat de praktijk is gebaat bij een uitgebreide motivering van het oordeel over de vraag of bewijs onrechtmatig is verkregen en of dergelijk bewijs al dan niet wordt toegelaten.54 Dit gebeurt helaas nog niet altijd.55
5.2 Schadevergoeding
Wanneer verzekeraar onterecht een onderzoek heeft uitgevoerd en hij daarmee dus onrechtmatig persoonsgegevens heeft verwerkt, kan een recht op schadevergoeding ontstaan. De aansprakelijkheidsgrond kan zijn gelegen in artikel 6:162 BW; een onrechtmatig uitgevoerd onderzoek kan een onrechtmatige daad opleveren aan de aan de zijde van verzekeraar. Naast artikel 6:162 BW biedt artikel 82 AVG ook een zelfstandige grondslag voor vergoeding van schade als verzekeraar een onterecht onderzoek heeft uitgevoerd. Bij beide grondslagen is afdeling 6.1.10 BW van belang waarin de regels van het nationale schadevergoedingsrecht zijn opgenomen.56 In deze paragraaf gaan we in op de schadevergoeding waar artikel 82 AVG recht op geeft. Artikel 82 AVG bepaalt dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de AVG, het recht heeft om van de verwerkingsverantwoordelijke of de verwerker een schadevergoeding te ontvangen voor de geleden schade.57 Omdat de vergoeding van de immateriële schade tot nu toe tot de meeste rechtspraak heeft geleid, zullen wij daar hierna eerst en ook uitgebreider bij stilstaan.
Aan de orde is artikel 6:106 lid 1 onder b BW. Volgens dit artikel bestaat recht op immateriële schadevergoeding als een benadeelde ’in zijn persoon is aangetast’. Als aantasting in de persoon worden in lid 1 onder b van voornoemd artikel specifiek genoemd de gevallen dat de benadeelde lichamelijk letsel heeft opgelopen of in zijn eer of goede naam is aangetast. Ook is mogelijk dat de benadeelde op andere wijze in zijn persoon is aangetast. In de eerste plaats dient zich de vraag aan wat de schade is die een betrokkene leidt door het onterecht uitgevoerde onderzoek en daarmee de onrechtmatige verwerking van zijn persoonsgegevens en in welke categorie van artikel 6:106 BW de vordering geplaatst dient te worden. Interessant is het verschil dat aanwezig is tussen ‘aantasting in eer of goede naam’ en ‘de aantasting in persoon op andere wijze’ als bedoeld in artikel 6:106 lid 2 onder b BW. Bij ‘aantasting in persoon op andere wijze’ behoort bijvoorbeeld de situatie dat inbreuk is gemaakt op iemands levenssfeer. Waarvan sprake zal zijn wanneer onterecht een onderzoek is uitgevoerd. Niet ondenkbaar is dat dit onderzoek gepaard gaat met beschuldigingen, waardoor de betrokkene in zijn eer of goede naam kan zijn geschaad.58 Wanneer een inbreuk op iemands persoonlijke levenssfeer gepaard gaat met beschuldigingen zal de beoordeling van de immateriële schadevergoeding ons inziens sneller kunnen worden geplaatst in de categorie ‘in eer en goede naam geschaad’. Bij de categorie ‘aantasting in persoon op andere wijze’ is nog noemenswaardig voor de onderhavige materie, een arrest van 15 maart 2019.59 In dat arrest heeft de Hoge Raad geoordeeld dat wanneer sprake is van een ernstige normschending of activiteiten met ernstige persoonlijke gevolgen daarmee een recht op immateriële schadevergoeding kan ontstaan, ook als geen sprake is van geestelijk letsel. De Hoge Raad brengt wel een begrenzing aan door te oordelen dat niet reeds sprake is van een persoonsaantasting, bij de enkele schending van een fundamenteel recht. De lat ligt kennelijk nog steeds hoog. De Hoge Raad houdt ook vast aan concrete schadewaardering. Degene die immateriële schade vordert zal de individuele nadelige gevolgen moeten bewijzen, maar deze kunnen gezien de aard en de ernst van de normschending ook zo voor de hand liggen, dat kan worden aangenomen dat sprake is van aantasting in de persoon op andere wijze. In de rechtspraak werd er tot voor kort in ieder geval nog soepel mee omgegaan.60 Dat de inbreuk op de privacyregelgeving niet zonder meer aantasting van de integriteit van een persoon impliceert en daarmee tot vergoeding van immateriële schade leidt, werd ook door de Afdeling Bestuursrechtspraak van de Raad van State geoordeeld, in zijn recente uitspraak van 1 april 2020.61 Ook de Raad van State houdt vast aan concrete schadewaardering. Bij het toekennen van schadevergoeding voor onrechtmatige verwerking van persoonsgegevens moet het, zo oordeelt de Raad van State, gaan om schade die daadwerkelijk is geleden. De betrokkene wiens gegevens onrechtmatig zijn verwerkt, zal de door hem gestelde schade dus met concrete gegevens moeten onderbouwen.62 De praktijk zal moeten uitwijzen welke gevallen en onder welke omstandigheden – bij een fraudeonderzoek – recht geven op vergoeding van immateriële schade. Bij de categorie ‘de aantasting in persoon op andere wijze’, zal dit naar onze mening niet eenvoudig zijn. Dit kan anders zijn bij de categorie ‘aantasting in eer of goede naam’. Bijvoorbeeld wanneer bij het fraudeonderzoek sprake is geweest van valse beschuldigingen.
Dan blijft over de vergoeding van materiële schade. Zoals gezegd is voor de vraag of iemand recht heeft op vergoeding van materiële schade ook afdeling 6.1.10 BW van belang. Een vergoeding van materiële schade kan aan de orde zijn wanneer verzekeraar niet alleen onterecht een onderzoek heeft verricht, maar aan de uitkomsten daarvan ook verschillende (onterechte) registraties heeft verbonden. In dit kader verwijzen wij naar een uitspraak van de Geschillencommissie uit 2017.63 De consument heeft in deze kwestie kosten moeten maken voor het huren van een woning omdat hij geen andere woning kon kopen door de registratie van zijn persoonsgegevens in de verschillende registers met externe werking (het Incidentenregister en het daaraan gekoppelde Extern Verwijzingsregister). Ook vorderde consument nog kosten voor een extra studiejaar. Per schadepost beoordeelt de geschillencommissie of een schadevergoeding op zijn plaats is. Hierbij werd ook de regeling over eigen schuld (artikel 6:101 BW) toegepast.
5.3 De tuchtrechtelijke consequenties
Het gedrag van verzekeraars kan ter toetsing worden voorgelegd aan de Tuchtraad. Bij een gegrond bevonden klacht kan de Tuchtraad het bestuur van het Verbond adviseren om aan de verzekeraar die de gedragsregels overtreedt, een maatregel op te leggen.64 De Tuchtraad toetst onder meer aan regels die in de door het Verbond opgestelde gedragscodes zijn neergelegd, waaronder ook aan de GPO. Maar ook meer algemeen toetst de Tuchtraad of gedragingen van verzekeraars in strijd zijn met de goede naam. En daarbij kan de wijze waarop verzekeraars interne procedures inrichten aan het oordeel van de Tuchtraad zijn onderworpen. Zo heeft de Tuchtraad geoordeeld dat een aangeslotene inzicht moet kunnen geven in wat haar beleid is ten aanzien van het doen van feitenonderzoek en persoonlijk onderzoek en in wat deze onderzoeken inhouden. In de betreffende zaak had aangeslotene onvoldoende inzicht gegeven in hoe de procedures ten aanzien van deze onderzoeken intern zijn vastgelegd en niet laten blijken dat deze aansluiten bij de geldende gedragscodes, waaronder de GPO.65 De Tuchtraad oordeelde dat de klacht in die zaak gegrond was en adviseerde tot het geven van een waarschuwing. Ook in de zaak over het buiten het slachtoffer om navraag doen bij diens studieadviseur, die door de voorzitter van de Geschillencommissie was doorgeleid naar de Tuchtraad, kwam de Tuchtraad tot het oordeel dat de verzekeraar de goede naam van het verzekeringsbedrijf, het aanzien van en het vertrouwen in de bedrijfstak heeft geschaad.66 De Geschillencommissie had over de aard van het onderzoek geoordeeld dat de verzekeraar een persoonlijk onderzoek had gedaan, waar verzekeraar meende dat het om een feitenonderzoek ging. De Tuchtraad heeft zich vervolgens uitgelaten over de vraag of het de verzekeraar ook tuchtrechtelijk is te verwijten dat zij ten onrechte heeft aangenomen dat sprake was van een feitenonderzoek en of zij naar aanleiding van de uitspraak van de Geschillencommissie haar beleid en procedures rond het doen van onderzoek heeft aangepast zodat in de toekomst een gelaedeerde niet onterecht aan een persoonlijk onderzoek kan worden blootgesteld. Die vraag heeft de Tuchtraad bevestigend beantwoord. Uitspraken waaruit maar weer blijkt wat het belang is van zorgvuldig ingerichte en nageleefde interne besluitprocessen van een verzekeraar wanneer het gaat om het instellen van op privacy inbreuk makende onderzoeken.
5.4 Boete door de Autoriteit Persoonsgegevens
Tot slot benoemen we, maar daar zullen we verder niet uitgebreid bij stil staan, de mogelijkheid dat de Autoriteit Persoonsgegevens een boete kan opleggen en een verzekeraar kan berispen wanneer hij de privacywetgeving heeft geschonden. Dit is neergelegd in artikel 83 AVG. Een verzekerde of benadeelde kan ook zelf een klacht indienen bij de Autoriteit Persoonsgegevens, maar dat heeft niet altijd tot gevolg dat daarmee ook echt iets wordt gedaan.67 Bij ons zijn geen voorbeelden bekend dat de Autoriteit Persoonsgegevens een boete heeft opgelegd bij een onterecht uitgevoerd feiten- of persoonlijk onderzoek.
6. Ter afsluiting
Het doen van onderzoek naar fraude dient een wezenlijk belang van verzekeraars. En dat belang kan inbreuk rechtvaardigen op de persoonlijke levenssfeer van verzekerden en tot uitkering gerechtigden die een aanspraak maken op uitkering. In dit artikel zijn we ingegaan op de verschillende aspecten die een rol spelen. We hebben aandacht besteed aan de grondslag van het onderzoek en achterliggende regelingen, het onderzoek zelf en de rechtmatigheid ervan, en de gevolgen van een onderzoek waarmee de grenzen zijn overschreden.
In paragraaf 2 en 4 hebben we met behulp van een beschrijving van de toepasselijke regelgeving en de rechtspraak, uiteengezet onder welke voorwaarden een verzekeraar onderzoek naar een vermoeden van fraude of recht op uitkering mag doen. De verzekeraar zal steeds een afweging moeten maken of de onderzoeksmethode het door hem beoogde doel dient en de belangen van de betrokkene niet onevenredig worden geschaad. Dat geldt zowel bij feitenonderzoek, waarop de AVG en de GVPV van toepassing zijn, als bij het doen van persoonlijk onderzoek waarvoor nadere regelgeving in de GPO is neergelegd. Verzekeraars dienen daarbij ook de processen rondom het onderzoek conform de regelgeving in te richten en intern vast te leggen en verantwoording af te kunnen leggen over de beslissing tot het doen van onderzoek.
In paragraaf 3 hebben we het onderscheid tussen het feiten- en het persoonlijk onderzoek beschreven. Gebleken is dat het onderscheid niet altijd even duidelijk is. De GPO geeft een verzekeraar weliswaar handvatten voor het doen van persoonlijk onderzoek, maar bij sommige aspecten is het wenselijk dat meer duidelijkheid wordt gegeven. Bijvoorbeeld wanneer nog wel of juist niet meer sprake is van een feitenonderzoek. Voor het online onderzoek door de verzekeraar, dat gelet op de jurisprudentie in veel gevallen als feitenonderzoek kan worden aangemerkt, is weliswaar een checklist en handreiking opgesteld, maar de vraag kan worden gesteld of de branche er niet bij gebaat is voor het feitenonderzoek ook een concrete uitwerking in gedragsregels op te nemen. De GPO geeft richting voor het persoonlijk onderzoek maar juist waar het gaat om de grens met het feitenonderzoek komen ook vragen op. Denkbaar is dan dat, aan de hand van de uitleg die in de jurisprudentie aan de regelgeving is gegeven, de regels voor beide onderzoeken in één gedragscode worden uitgewerkt. Voor alle betrokken partijen is daarmee duidelijk op grond waarvan wordt beoordeeld of een onderzoek mag worden verricht. Ook zou in die gedragscode nader kunnen worden uitgewerkt welke methoden van onderzoek als bijzondere onderzoeksmethoden kunnen worden aangemerkt en onder welke omstandigheden dat het geval is. Verzekeraars zijn immers bij het doen van fraudeonderzoek, waarbij ook aan de zijde van de betrokkene wezenlijke belangen gemoeid zijn, gebaat bij heldere regelgeving met praktische handreikingen. Ook de betrokkene naar wie het onderzoek wordt gedaan is hierbij gebaat. Een onderzoek kan grote impact hebben op een betrokkene, maar teneinde de afwikkeling van de schade niet te belemmeren en niet lang op zijn uitkering te hoeven wachten, zal hij zijn medewerking wel verlenen en de grenzen van het onderzoek mogelijk niet ter discussie stellen.68
In paragraaf 5 is aan de orde gekomen dat de gevolgen van het niet naleven van de regelgeving aanzienlijk kunnen zijn. Het uitsluiten van bewijs behoort tot de reële mogelijkheden, in het bijzonder omdat bij schending van de GPO door de branche aan zichzelf opgelegde regels zijn geschonden. Toch is daarbij waakzaamheid geboden en dient de conclusie dat het met het onderzoek verkregen bewijs bij de beoordeling buiten beschouwing moet worden gelaten, vooraf te gaan door een uitgebreide motivering door de rechter waarbij alle omstandigheden van het geval worden meegewogen. Naast het uitsluiten van bewijs kan ook aan de betrokkene schadevergoeding worden toegekend. Daarnaast kunnen ook tuchtrechtelijk gevolgen worden verbonden aan het niet naleven van gedragsregels. Het moge duidelijk zijn. De gevolgen zijn ook aan de zijde van de verzekeraar aanzienlijk wanneer bij het doen van fraudeonderzoek de grenzen worden overschreden. Reden te meer voor heldere regelgeving en goed gemotiveerde uitspraken. Auteurs blijven de ontwikkelingen volgen!
* Auteurs schreven deze bijdrage op persoonlijke titel.
Noten
1 Hof Arnhem-Leeuwarden 25 februari 2020, ECLI:NL:GHARL:2020:1560.
2 Art. 4 lid 1 AVG definieert ‘persoonsgegevens’ als: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon’. Art. 4 lid 2 AVG bepaalt dat onder ‘verwerking’ moet worden verstaan: ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’.
3 HR 31 mei 2002, ECLI:NL:HR:2002:AD9609, r.o. 3.5.2.
4 Van 26 juni 2018, te vinden op www.verzekeraars.nl. Deze vervangt de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen (GVPFI).
5 Eveneens te vinden op www.verzekeraars.nl.
6 Leden van het Verbond zijn aan de GVPV gebonden wanneer zij het verzekeringsbedrijf uitoefenen of zich hebben aangesloten bij de GVPV, zie art. 2.1.1 GVPV.
7 Handreiking online-onderzoek naar klanten of relaties door verzekeraars en de Checklist online-onderzoek. Deze is te vinden op www.verzekeraars.nl. Zie hierover nader: H.H. de Vries en P. Oskam, ‘Fraude, persoonlijk onderzoek en googlende verzekeraars’, Beursbengel mei 2015, nr. 844.
8 Zie art. 5 AVG. Zie hierover ook overweging 50 AVG.
9 Zie ook overweging 47 van de AVG, waarin staat dat de verwerking van gegevens die strikt noodzakelijk is voor fraudevoorkoming een gerechtvaardigd belang van de verwerkingsverantwoordelijke is. De grondslag van de verwerking van persoonsgegevens moet aan de betrokkene ook kenbaar worden gemaakt, in de polisvoorwaarden of de privacyverklaring van de verzekeraar. Zie over de informatieverstrekking door de verwerkingsverantwoordelijke art. 13 en 14 AVG.
10 Zie art. 5 lid 2 AVG.
11 Zie ook de toelichting op art. 4.5.1 GVPV.
12 Zie art. 4 GPO.
13 Illustratief is de uitspraak van Rb. Midden-Nederland 2 mei 2018, ECLI:NL:RBMNE:2018:1792, r.o. 4.14. Zie ook Rechtbank Den Haag 25 mei 2016, ECLI:NL:RBDHA:2016:5695, r.o. 4.8.
14 Zie de definitie van ‘Persoonlijk onderzoek’ in de GPO.
15 Zie art. 1.1 GPO.
16 Hof Arnhem-Leeuwarden 9 februari 2016, ECLI:NL:GHARL:2016:1004.
17 Hof Arnhem-Leeuwarden 24 februari 2020, ECLI:NL:GHARL:2020:1560, Hof Arnhem-Leeuwarden 9 februari 2016, ECLI:NL:GHARL:2016:1004, Hof Arnhem-Leeuwarden 15 september 2015, ECLI:NL:GHARL:2015:6816 en Hof Arnhem-Leeuwarden 4 maart 2014, ECLI:NL:GHARL:2014:1698.
18 Zie ook: Hof Arnhem-Leeuwarden 9 februari 2016, ECLI:NL:GHARL:2016:1004 en H.H. de Vries en P. Oskam, ‘Fraude, persoonlijk onderzoek en googlende verzekeraars’, Beursbengel mei 2015, nr. 844.
19 H.H. de Vries en P. Oskam, ‘Fraudeonderzoek, privacy en onrechtmatig verkregen bewijsmateriaal, TVP 2014, 3.
20 Hof Arnhem-Leeuwarden 15 september 2015, ECLI:NL:GHARL:2015:6816.
21 Hof Arnhem-Leeuwarden 15 september 2015, ECLI:NL:GHARL:2015:6816.
22 Zie bijvoorbeeld Hof Arnhem-Leeuwarden 9 februari 2016, ECLI:NL:GHARL:2016:1004, r.o. 6.7 en 6.8.
23 Zie bijvoorbeeld Hof Arnhem-Leeuwarden 25 februari 2020, ECLI:NL:GHARL:2020:1560. Zie verder ook de uitspraak van de Geschillencommissie van 1 oktober 2019, nr. 2019-749, r.o. 3.10.
24 In de rechtspraak zien we wel aanwijzingen dat de in art. 7.1 GPO genoemde methoden als bijzondere onderzoeksmethoden moeten worden aangemerkt. Zie Hof Arnhem-Leeuwarden 9 februari 2016, ECLI:NL:GHARL:2016:1004, r.o. 6.7 en 6.8 en GC Kifid 27 december 2018, nr. 2018-791.
25 Dit is overigens niet als algemene regel aan te nemen, zie bijvoorbeeld Hof Arnhem-Leeuwarden 4 maart 2014, ECLI:NL:GHARL:2014:1698, r.o. 4.8.
26 Zie GC Kifid 27 december 2018, nr. 2018-791.
27 De zaak is doorgeleid naar de Tuchtraad. Zie daarover paragraaf 5.3.
28 Zie E. Ertürk en P. Oskam, ‘Persoonlijk onderzoek bij moeilijk objectiveerbaar letsel, VR 2017/32, met verwijzing naar Rechtbank Midden-Nederland 13 april 2016, ECLI:NL:RBMNE:2016:3010.
29 Zie bijvoorbeeld de uitspraak van de Tuchtraad TFD 18-012.
30 Zie de uitspraak van de Tuchtraad TFD 18-012.
31 Hof Arnhem-Leeuwarden 25 februari 2020, ECLI:NL:GHARL:2020:1560, r.o. 4.5.
32 Zie bijvoorbeeld in de nadere toelichting bij de Handreiking online onderzoek naar klanten of relaties door verzekeraars: ‘Ook moet de inbreuk nodig zijn, omdat de informatie niet op een andere manier kan worden verkregen. Simpel navraag doen bij de klant is vaak minder ingrijpend dan digitaal onderzoek!’
33 Art. 5 lid 2 AVG en art. 4 GPO.
34 Hof Arnhem-Leeuwarden 25 februari 2020, ECLI:NL:GHARL:2020:1560.
35 Thans art. 6 AVG.
36 Hof Arnhem-Leeuwarden 25 februari 2020, ECLI:NL:GHARL:2020:1560.
37 Hof Arnhem Leeuwarden 4 maart 2014, ECLI:NL:GHARL:2014:1698.
38 Rb. Midden-Nederland 2 mei 2018, ECLI:NL:RBMNE:2018:1792.
39 GC Kifid 28 december 2018, nr. 2018-791.
40 Rb. Limburg 30 november 2018, ECLI:NL:RBLIM:2018:11505.
41 Rb. Den Haag 25 mei 2016, ECLI:NL:RBDHA:2016:5695.
42 Hof Arnhem-Leeuwarden 4 maart 2014, ECLI:NL:GHARL:2014:1698. Het hof overwoog ook dat het op de weg van betrokkene lag om, als hij publiekelijke mededelingen wenste te doen over zijn activiteiten als tandarts, zijn verzekeraar ervan op de hoogte te stellen dat met die mededelingen geen juiste voorstelling van zaken werd gegeven, om te voorkomen dat verzekeraar aan die publiekelijke mededelingen een onjuist vermoeden zou ontlenen.
43 HR 18 april 2014, ECLI:NL:HR:2014:942 en HR 7 februari 1992, ECLI:NL:HR:1992:ZC0500.
44 HR 18 april 2014, ECLI:NL:HR:2014:942. Zie ook Rb. Limburg 30 november 2018, ECLI:NL:RBLIM:2018:11505, Rb. Midden-Nederland 2 mei 2018, ECLI:NL:RBMNE:1792 en HR 12 februari 1993, ECLI:NL:HR:1993:ZC0860 en HR 7 februari 1992, ECLI:NL:HR:1992:ZC0500. In Asser/Wansink, Van Tiggele & Salomons 7-IX 2019/267 wordt een mooi overzicht gegeven van rechtspraak waarbij wordt getoetst of onrechtmatig verkregen bewijs buiten beschouwing gelaten dient te worden.
45 HR 18 april 2014, ECLI:NL:HR:2014:942. Zie bijvoorbeeld ook Rb. Limburg 30 november 2018, ECLI:NL:RBLIM:11505, Rb. Midden-Nederland 2 mei 2018, ECLI:NL:RBMNE:2018:1792 en Hof Arnhem-Leeuwarden 9 februari 2016, ECLI:NL:GHARL:2016:1004.
46 Hof Arnhem-Leeuwarden 25 februari 2020, ECLI:NL:GHARL:2020:1560, r.o. 4.3 e.v.
47 De GVPFI is vervangen door de Gedragscode Verwerking Persoonsgegevens Verzekeraars (‘GVPV’). Deze nieuwe gedragscode is – mede in verband met de AVG op 20 juni 2018 in werking getreden.
48 De Vries en Oskam wijzen er in 2014 al op dat in de rechtspraak hoofdzakelijk wordt getoetst aan de GPO en niet of nauwelijks aan de GVPFI en de Wbp. Zie H.H. de Vries en P. Oskam, Fraudeonderzoek, privacy en onrechtmatig verkregen bewijs, TVP 2014/3, p. 78.
49 HR 18 april 2014, ECLI:NL:HR:2014:942.
50 Zie in dit kader de waarschuwing die De Vries en Oskam in 2014 al gaven: H.H. de Vries en P. Oskam, ‘Fraudeonderzoek, privacy en onrechtmatig verkregen bewijsmateriaal’, TVP 2014, nummer 3, p. 82. Zie in diezelfde zin Asser/Wansink, Van Tiggele & Salomons 7-IX 2019/267.
51 Aardig om nog te noemen is dat ook buiten het verzekeringsrecht alleen bij hoge uitzondering onrechtmatig verkregen bewijs buiten beschouwing wordt gelaten. Te denken valt aan arbeidsrechtelijke procedures waarbij geschillen waarin de werkgever bewijs heeft vergaard, maar daarbij wel de privacy van de werknemer heeft geschonden. In deze procedures wordt alleen bij hoge uitzondering het onrechtmatig verkregen bewijs buiten beschouwing gelaten. I van der Helm, ‘Onrechtmatig verkregen bewijs in het arbeidsrecht’, Tijdschrift voor de Procespraktijk 2014-6. Slechts in enkele gevallen werd het bewijs uitgesloten wegens schending van de privacy of verboden heimelijk cameratoezicht. Zie bijvoorbeeld Rb. Middelburg (ktr.) 8 april 2010, «JAR» 2010/173 en Rb. Rotterdam (ktr.) 19 december 1997, Prg. 1998/4946.
52 Zie HR 18 april 2014, ECLI:NL:HR:2014:942, m.nt. M.M. Mendel en H.B. Krans (Achmea/Rijnberg). Krans pleit ervoor dat indien een inbreuk op de persoonlijke levenssfeer niet ernstig is, dat dan een bewijsuitsluiting minder voor de hand ligt. Aardig is dat Krans in zijn noot ook aanstipt de situatie dat denkbaar is dat een code die door de branche is opgesteld verder gaat dan waartoe het recht noopt. Hij vindt dat het dan minder voor de hand ligt een dergelijk gewicht aan schending van die code toe te kennen.
53 Rb. Midden-Nederland 2 mei 2018, ECLI:NL:RBMNE:2018:1792, r.o. 4.16.
54 H.H. de Vries en P. Oskam, ‘Fraudeonderzoek, privacy en onrechtmatig verkregen bewijsmateriaal’, TVP 2014, nummer 3, p. 82. Zie in diezelfde zin Asser/Wansink, Van Tiggele & Salomons 7-IX 2019/267.
55 Zie Hof Den Bosch 28 april 2020, ECLI:NL:GHSHE:2020:1448, Hof Arnhem-Leeuwarden 25 februari 2020, ECLI:NL:GHARL:2020:1560 en Rb. Limburg 30 november 2018, ECLI:NL:RBLIM:11505.
56 Dat bij art. 82 AVG het nationale schadevergoedingsrecht van belang is blijkt uit de rechtspraak, bijvoorbeeld uit HR 15 maart 2019, ECLI:NL:HR:2019:376. Zie ook ABRvS 1 april 2020, ECLI:NL:RVS:2020:899.
57 Zie voor een uitgebreide bespreking van het schadebegrip in de AVG E.F.D. Engelhard, ‘Immateriële schade als gevolg van data-inbreuken: het ondergeschoven kindje van de AVG’, NTBR 2019-30 en E.F.D. Engelhard, ‘Ruimer baan voor smartengeld bij ‘persoonsaantastingen op andere wijze’ zonder dat sprake is van geestelijk letsel’, AV&S 2019/37.
58 Een illustratief voorbeeld is in dit kader een arrest van de Hoge Raad van 19 september 2014, ECLI:NL:HR:2014:2740. Vanwege een onterechte aangifte is vast komen te staan dat iemand in zijn eer is geschaad. Er wordt een schadevergoeding van € 5.000 toegekend.
59 HR 15 maart 2019, ECLI:NL:HR:2019:376, NJ 2019, 162, m.nt. S.D. Lindenbergh, «JA» 2019/103, «JIN» 2019/69, m.nt. M.E. Witting. Zie ook ABRvS 1 april 2020, ECLI:NL:RVS:2020:899, r.o. 26.
60 Zie bijvoorbeeld, Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490, Rb. Overijssel 18 juli 2018, ECLI:NL:RBOVE:2018:2496 en Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827. De Geschillencommissie nam minder snel aan dat sprake was van aantasting in de persoon op andere wijze. De Geschillencommissie oordeelde, in de uitspraak van 20 november 2019, nr. 2019-945, onder verwijzing naar HR 15 maart 2019, ECLI:NL:HR:2019:376, dat de relevante nadelige gevolgen van de inbreuk op de persoonlijke levenssfeer niet zodanig voor de hand lagen dat een aantasting in de persoon kon worden aangenomen. Niet was voldaan aldus aan de vereisten die zijn neergelegd in art. 6:106 BW.
61 ABRvS 1 april 2020, ECLI:NL:RVS:2020:899.
62 De Geschillencommissie oordeelde sneller tot toewijzing op grond van het toen nog geldende art. 49 lid 2 Wbp en kende, in haar uitspraak 2018-791, een naar billijkheid vastgestelde schadevergoeding van € 500 toe.
63 GC 8 december 2017, nr. 2017-835. In deze zaak werd de vordering van de immateriële schade wel afgewezen.
64 Art. 6 lid 5 Reglement Tuchtraad. De statuten van het Verbond bepalen dat deze maatregelen kunnen zijn: het verlies van het lidmaatschap van het Verbond door opzegging of ontzetting, een waarschuwing, een berispring, een al dan niet voorwaardelijke tijdelijke schorsing of het verzoek van het bestuur van het Verbond aan een lid om een passende maatregelen te treffen.
65 TFD 30 april 2018, nr. 18-012, te vinden op www.tuchtraadfd.nl.
66 TFD 17 januari 2020, nr. 20-001. De uitspraak van de Geschillencommissie is gepubliceerd onder nr. 2018-791.
67 Zie in dit verband art. 77 AVG.
68 Ter illustratie noemen we hier nog eens de uitspraak van de Tuchtraad van 30 april 2018, nr. 18-012.
