CIS Gebruikersprotocol
CIS gebruikersprotocol 01112013 © Stichting CIS
Inhoudsopgave Inleiding ................................................................................................................................................... 4 Doelstelling Stichting CIS ........................................................................................................................ 5 Begripsbepalingen CIS gebruikersprotocol ............................................................................................. 7 CIS Gebruikersprotocol ......................................................................................................................... 11 Artikel 1 Reikwijdte ...................................................................................................................... 11 Artikel 2 Doelstellingen van de verwerking .................................................................................. 11 Artikel 3 Bevoegde deelnemers ................................................................................................... 12 Artikel 4 Aanmelding tot deelname .............................................................................................. 12 Artikel 5 Beëindiging van deelname ............................................................................................ 12 Artikel 6 Uitsluiting van deelname ............................................................................................... 13 Artikel 7 Audit naleving CIS gebruikersprotocol .......................................................................... 13 Artikel 8 Audit gebruik CIS databank ........................................................................................... 14 Artikel 9 Mededeling van opname ............................................................................................... 14 Artikel 10 Toepassing CIS databank algemeen ............................................................................ 14 Artikel 11 Toepassing CIS databank in het acceptatieproces ....................................................... 15 Artikel 12 Toepassing CIS databank bij claimbehandeling ........................................................... 15 Artikel 13 Overzicht categorieën meldingen .................................................................................. 16 Artikel 14 Verantwoordelijkheid voor gegevens............................................................................. 17 Artikel 15 Toegang tot de gegevens .............................................................................................. 17 Artikel 17 Rechten en plichten deelnemers ................................................................................... 18 Artikel 18 Aanleveringvereisten ..................................................................................................... 19 Artikel 19 Frequentie aanlevering .................................................................................................. 20 Artikel 20 Aanlevering EVR meldingen .......................................................................................... 20 Artikel 21 Mutaties ......................................................................................................................... 20 Artikel 22 Dispensatie .................................................................................................................... 20 Artikel 23 Geheimhouding ............................................................................................................. 21 Artikel 24 Beveiliging ..................................................................................................................... 21 Artikel 25 Aansprakelijkheid........................................................................................................... 22 Artikel 26 Recht van inzage betrokkene ........................................................................................ 22 Artikel 27 Recht van correctie betrokkene ..................................................................................... 22 Artikel 28 Verwerking correctie ...................................................................................................... 23 Artikel 29 Correctie door CIS ......................................................................................................... 23 Artikel 30 Geschillenregeling CIS gebruikersprotocol ................................................................... 23 Artikel 31 Publicatie CIS gebruikersprotocol ................................................................................. 24 Artikel 32 Wijziging CIS gebruikersprotocol ................................................................................... 24 Artikel 33 Inwerkingtreding en citeertitel ........................................................................................ 24 Toelichting op het CIS gebruikersprotocol ............................................................................................ 25 Toelichting op het CIS gebruikersprotocol per artikel ........................................................................... 26 Artikel 1 .............................................................................................................................................. 26 Artikel 2 .............................................................................................................................................. 26 Artikel 3 en 4 ...................................................................................................................................... 27 Artikel 5 .............................................................................................................................................. 27 Artikel 6 .............................................................................................................................................. 28 Artikel 7 .............................................................................................................................................. 28 Artikel 8 .............................................................................................................................................. 28 Artikel 9 .............................................................................................................................................. 29 CIS gebruikersprotocol 01112013 © Stichting CIS
2
Artikel 10 tot en met 12 ...................................................................................................................... 30 Artikel 13 ............................................................................................................................................ 31 Artikel 14 ............................................................................................................................................ 33 Artikel 15 ............................................................................................................................................ 33 Artikel 16 ............................................................................................................................................ 34 Artikel 17 ............................................................................................................................................ 36 Artikel 18 ............................................................................................................................................ 37 Artikel 19 ............................................................................................................................................ 38 Artikel 20 ............................................................................................................................................ 39 Artikel 21 ............................................................................................................................................ 39 Artikel 22 ............................................................................................................................................ 39 Artikel 23 ............................................................................................................................................ 39 Artikel 24 ............................................................................................................................................ 40 Artikel 25 ............................................................................................................................................ 40 Artikel 26 en 27 .................................................................................................................................. 41 Artikel 28 ............................................................................................................................................ 41 Artikel 29 ............................................................................................................................................ 42 Artikel 30 ............................................................................................................................................ 42 Artikel 31 ............................................................................................................................................ 42 Artikel 32 ............................................................................................................................................ 42 Artikel 33 ............................................................................................................................................ 42 Belangrijke toepasselijke wetgeving ...................................................................................................... 43 Artikel 42 Wet bescherming persoonsgegevens ............................................................................... 43 Artikel 43 Wet bescherming persoonsgegevens ............................................................................... 43 Artikel 6:81 Burgerlijk Wetboek .......................................................................................................... 43 Artikel 6:82 Burgerlijk Wetboek .......................................................................................................... 44 Artikel 6:83 Burgerlijk Wetboek .......................................................................................................... 44 Artikel 6:87 Burgerlijk Wetboek .......................................................................................................... 44 Artikel 6:265 Burgerlijk Wetboek ........................................................................................................ 44 Artikel 7:928 Burgerlijk Wetboek ........................................................................................................ 44 Artikel 7:934 Burgerlijk Wetboek ........................................................................................................ 45
CIS gebruikersprotocol 01112013 © Stichting CIS
3
Inleiding Het CIS gebruikersprotocol en het CIS privacyreglement zijn van toepassing op alle verwerkingen die samenhangen met de CIS databank die wordt beheerd onder de verantwoordelijkheid van Stichting CIS. In het protocol en het reglement zijn de regels en de voorschriften opgenomen voor de registratie van (persoons)gegevens, het correct gebruik van de CIS databank door de deelnemers van Stichting CIS en de toepassing van de door Stichting CIS beheerde data. Het gebruikersprotocol is vooral gericht op de gebruikers van de CIS databank en de data. Dat zijn de deelnemers van Stichting CIS. In het protocol is onder meer vastgelegd:
-
wat het doel is van de centrale dataopslag;
-
wie mag deelnemen aan de CIS databank;
-
welke medewerkers toegang hebben tot de CIS databank;
-
welke informatieverplichting de deelnemer heeft;
-
hoe registraties moeten worden aangeleverd;
-
hoe registraties mogen worden gebruikt;
-
wat er gebeurt als de deelnemer niet goed met de CIS data omgaat.
Het privacyreglement is gericht op de (rechts)persoon van wie gegevens in de CIS databank zijn vastgelegd. Het reglement geeft onder meer aan:
-
wie geregistreerd wordt;
-
wat geregistreerd wordt;
-
hoe lang iets geregistreerd wordt;
-
waarvoor geregistreerd wordt;
-
wie de registraties mag inzien;
-
welke rechten betrokkene heeft op grond van de Wet bescherming persoonsgegevens.
Stichting CIS vraagt haar deelnemers duidelijk te zijn naar de, bij de registraties of raadpleging daarvan, betrokken (rechts)personen over het gebruik van de CIS databank. Zij heeft er daarom voor gekozen het reglement en het protocol via haar website www.stichtingcis.nl aan betrokkenen en deelnemers gezamenlijk ter beschikking te stellen. Op deze manier weten de partijen wat zij van elkaar mogen verwachten en kunnen zij elkaar ook daarop aanspreken.
Stichting CIS is als eigenaar van dit privacyreglement en gebruikersprotocol toezichthouder op de naleving van deze regels door haar deelnemers. Als de voorschriften van het privacyreglement en het gebruikersprotocol worden geschonden, zal Stichting CIS de betreffende deelnemer daarop aanspreken. Stichting CIS zal niet als bemiddelaar optreden bij klachten van betrokkenen over de inhoudelijke beoordeling van de feiten en omstandigheden die tot een registratie in de CIS databank hebben geleid. CIS gebruikersprotocol 01112013 © Stichting CIS
4
Doelstelling Stichting CIS Persoonsgegevens mogen worden verwerkt als sprake is van een wettelijk
toelaatbare
doelomschrijving en de verwerking niet verder gaat dan wat in die doelomschrijving is vastgelegd. Voor de registratie van gegevens in de CIS databank is dus de doelomschrijving van Stichting CIS van belang. De doelomschrijving is opgenomen in de statuten van Stichting CIS. Daarin wordt het volgende beschreven:
Het doel van Stichting CIS is het behartigen van de gemeenschappelijke belangen van haar deelnemers door bij te dragen aan en toe te zien op informatie-uitwisseling tussen deelnemers onderling, tussen deelnemers en politie en justitie en met andere door het bestuur erkende instellingen zodat deelnemers misbruik van financiële producten en diensten kunnen ontdekken, voorkomen en bestrijden en risico’s kunnen beheersen in de ruimste zin des woords.
De stichting probeert dit doel te bereiken door het verzamelen, ordenen, beheren en distribueren van feitelijke gegevens om deelnemers aan de hand van de beschikbare gegevens een beter inzicht te verschaffen in de aard en omvang van de
hen
ter
beoordeling
aangeboden
risico’s
en
gehoudenheid
tot
schadevergoeding en/of uitkering.
Stichting CIS probeert dit doel ook te bereiken door uitvoering te geven aan controle op de naleving van toepasselijke wet- en regelgeving door de deelnemers bij het verwerken van informatie van feitelijke gegevens binnen de doelomschrijving waarvoor deze gegevens zijn verkregen.
De verwerking van de informatie via de CIS databank is bedoeld om een bijdrage te leveren aan de behartiging van de gemeenschappelijke belangen van de deelnemers bij:
-
het inschatten en beheersen van risico’s in het algemeen;
-
schadelastbeperking, in het bijzonder door een verantwoord acceptatiebeleid;
-
het ontdekken, voorkomen en bestrijden van verzekeringsfraude en -criminaliteit;
-
het uitwisselen van feitelijke gegevens tussen deelnemers onderling, en tussen deelnemers en politie/justitie;
-
statistische analyses ten behoeve van verzekeringsfraude- en criminaliteitsbestrijding.
De inhoud van de CIS databank is – met inachtneming van de voorschriften in het gebruikersprotocol – voor iedere deelnemer op een gelijke wijze beschikbaar. De in deze databank opgenomen gegevens worden, conform de Wet bescherming persoonsgegevens, door de deelnemers alleen CIS gebruikersprotocol 01112013 © Stichting CIS
5
gebruikt voor doeleinden die met het doel van de verwerking verenigbaar zijn. Stichting CIS ziet er op toe dat bij toepassing van de CIS databank door één deelnemer de gemeenschappelijke belangen van de overige deelnemers en de rechten van betrokkenen worden gerespecteerd.
CIS gebruikersprotocol 01112013 © Stichting CIS
6
Begripsbepalingen CIS gebruikersprotocol Afhandelaar
De deelnemer die verantwoordelijk is voor de plaatsing van een registratie in de CIS databank en wiens gegevens als zodanig zijn opgenomen in de betreffende registratie.
Betrokkene
Degene op wie een persoonsgegeven betrekking heeft.
Bewerker
Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
CBP
Het College bescherming persoonsgegevens als bedoeld in artikel 51 Wbp.
CBV
Centrum Bestrijding Verzekeringscriminaliteit, onderdeel van het Verbond van Verzekeraars.
CIS data
De data opgenomen in de CIS databank, aangeleverd door en eigendom van de deelnemers van Stichting CIS, waarvan Stichting CIS het beheer uitvoert. De verzameling betreft (persoons)gegevens van:
-
bij de betrokken CIS deelnemers ingediende claims;
-
door niet nagekomen contractuele verplichtingen beëindigde verzekeringen;
-
bij Stichting Waarborgfonds Motorverkeer ingediende aanspraken op vergoeding van schade waarbij onbekende
of
onverzekerde
motorvoertuigen
betrokken zijn; -
onherroepelijk
geworden
gerechtelijke
uitspraken
betreffende de ontzegging van de rijbevoegdheid; -
registraties in het Externe Verwijzingsregister;
-
in de European Database en de Nederlandse sanctielijst opgenomen meldingen van persoon of organisatie die betrokken is of wordt geacht te zijn bij terroristische activiteiten, waardoor daarmee geen transacties uitgevoerd mogen worden of betalingen mogen worden gedaan.
CIS gebruikersprotocol 01112013 © Stichting CIS
7
CIS databank
De opslag van data die door, namens dan wel ten behoeve van de deelnemers - met instemming van het Bestuur van Stichting CIS - wordt verwerkt, en door deelnemers van Stichting CIS kan worden geraadpleegd volgens de regels van het privacyreglement en gebruikersprotocol van Stichting CIS.
CVS
Centrum voor Verzekeringsstatistiek, onderdeel van het Verbond van Verzekeraars.
Deelnemer
De verzekeraar, diens gevolmachtigd agent of andere rechtspersoon die een rechtsgeldige deelnemersovereenkomst met Stichting CIS heeft afgesloten.
Extern Verwijzingsregister / EVR
Register met verwijzingsgegevens van (rechts)personen die conform
de
criteria
van
het
Protocol
Incidenten-
waarschuwingssysteem Financiële Instellingen daarin zijn opgenomen.
Fraudecoördinator (RCF)
Registercoördinator Fraudebeheersing; functionaris bij een financiële instelling die het centrale aanspreekpunt is in de organisatie en op de afdeling van waaruit het fraudebeleid wordt ontwikkeld en (strategische) aansturing wordt gegeven aan de uitvoering van het fraudebeleidsplan.
GVPFI
Gedragscode
Verwerking
Persoonsgegevens
Financiële
Instellingen.
Medewerker Veiligheidszaken
Door de directie van de betrokken organisatie aangestelde medewerker, die eveneens door de organisatie als zodanig is aangemeld
bij
het
Centrum
Bestrijding
Verzekerings-
criminaliteit van het Verbond van Verzekeraars, die werkzaam is op de afdeling Veiligheidszaken.
Ontvanger
Degene aan wie de persoonsgegevens worden verstrekt dan wel bevoegd is de gegevens te raadplegen.
(Primaire) Bron
De deelnemer die (als eerste) gegevens met betrekking tot een (rechts)persoon in het Extern Verwijzingsregister heeft opgenomen.
CIS gebruikersprotocol 01112013 © Stichting CIS
8
Persoonsgegeven
Elk
gegeven
betreffende
een
geïdentificeerde
of
identificeerbare natuurlijke persoon.
PIFI
Protocol
Incidentenwaarschuwingssysteem
Financiële
Instellingen.
Rechtstreekse toegang
Bevoegdheid tot invoering en wijziging van gegevens in de CIS databank en tot verwijdering van gegevens uit de CIS databank.
Stichting CIS
Stichting Centraal Informatie Systeem van in Nederland werkzame verzekeringsmaatschappijen.
Verantwoordelijke
De rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Veiligheidszaken
Afdeling of persoon die binnen een financiële instelling verantwoordelijk is voor de verwerking van persoonsgegevens in het kader van het waarborgen van de veiligheid en integriteit.
Vertrouwelijke Mededeling
Registratie van een opzegging van een verzekeringsovereenkomst op initiatief van de deelnemer;
-
op grond van een aan de verzekerde of verzekeringnemer toe
te
rekenen
tekortkoming
in
de
contractuele
verplichtingen: (Code 2); -
op grond van een aan de verzekerde of verzekeringnemer toe te rekenen tekortkoming in de contractuele financiële verplichtingen: (Code 2a).
Verwerking Persoonsgegevens
Elke handeling of elk geheel van handelingen met betrekking tot
persoonsgegevens,
verzamelen,
vastleggen,
waaronder ordenen,
in
ieder
bewaren,
geval
het
bijwerken,
wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens (artikel 1 onder b. Wbp). CIS gebruikersprotocol 01112013 © Stichting CIS
9
Verwijzingsgegeven
Gegeven dat van een (rechts)persoon is opgenomen in het Extern Verwijzingsregister in overeenstemming met het bepaalde
in
artikel
waarschuwingssysteem
5.2
van
het
Financiële
Protocol
Incidenten-
Instellingen,
zijnde
bijvoorbeeld de volledige naam van de (rechts)persoon, KvK nummer, adres en geboortedatum of andere door de Wet bescherming persoonsgegevens toegelaten identificerende gegevens.
Waarschuwingssysteem
Incidentenwaarschuwingssysteem Financiële Instellingen dat bestaat uit de Incidentenregisters van deelnemers en de brancheverenigingen en een Extern Verwijzingsregister.
Wbp
Wet bescherming persoonsgegevens.
CIS gebruikersprotocol 01112013 © Stichting CIS
10
CIS Gebruikersprotocol Artikel 1
Reikwijdte
1. Voor de verwerkingen van gegevens van haar deelnemers in de CIS databank, treedt Stichting CIS op als bewerker in de zin van de Wet bescherming persoonsgegevens, daarnaast
is
een
bewerker
de
door
Stichting
CIS
gecontracteerde
provider
die
verantwoordelijk is voor de realisatie, beveiliging, onderhoud en het operationeel maken en houden van de (dienstverlening betreffende de) CIS databank. 2. Deelnemers van Stichting CIS en de bewerker(s) zijn verplicht de voorschriften in dit gebruikersprotocol en overige regels en werkinstructies van Stichting CIS na te leven. 3. Dit gebruikersprotocol is van toepassing op alle verwerkingen van (persoons)gegevens die samenhangen met de CIS databank. 4. In de CIS databank zijn (historische) gegevens van de in artikel 3 van het CIS privacyreglement genoemde categorieën van personen opgenomen. Deze gegevens kunnen op verschillende manieren benaderd en verwerkt worden als beschreven in het gebruikersprotocol en werkinstructies van Stichting CIS en overige relevante regelgeving. 5. De verantwoordelijkheid voor de toepassing van en de verwerking van persoonsgegevens in de CIS databank blijft bij de deelnemer.
Artikel 2
Doelstellingen van de verwerking
1. De verwerking heeft tot doel het leveren van een bijdrage aan de behartiging van de gemeenschappelijke belangen van de deelnemers op het gebied van: a. het inschatten en beheersen van risico’s in het algemeen; b. schadelastbeperking, in het bijzonder door een verantwoord acceptatiebeleid; c.
het bijdragen aan informatiebeheer betreffende verzekeringsrelevante gegevens ten behoeve van het voorkomen, detecteren en bestrijden van misbruik van financiële producten en diensten en het beheersen van risico’s in de ruimste zin des woords;
d. het uitwisselen van feitelijke gegevens tussen deelnemers onderling, en tussen deelnemers en politie/justitie; e. statistische analyses ten behoeve van verzekeringsfraude- en criminaliteitsbestrijding.
2. De gegevens in de CIS databank zullen slechts in overeenstemming met de Wbp worden gebruikt voor doeleinden die met het doel van de verwerking verenigbaar zijn.
CIS gebruikersprotocol 01112013 © Stichting CIS
11
Artikel 3
Bevoegde deelnemers
1. Deelnemer is:
a. Een op grond van de Wet op het financieel toezicht toegelaten in Nederland werkzame verzekeraar die daartoe beschikt over een vergunning van De Nederlandsche Bank (art. 2:27 Wft) en als zodanig is ingeschreven in het vergunningenregister van de Autoriteit Financiële Markten; b. Een op grond van de Wet op het financieel toezicht (art. 2:92 Wft) toegelaten in Nederland werkzame gevolmachtigd agent die daartoe beschikt over een geldige inschrijving in het vergunningenregister van de Autoriteit Financiële Markten; c.
Een onderlinge waarborgmaatschappij van beperkte omvang met een zetel in Nederland die beschikt over een verklaring van De Nederlandsche Bank conform artikel 3 of 4 van het Besluit Reikwijdtebepalingen Wet op het financieel toezicht;
d. Een door het Bestuur van Stichting CIS als deelnemer erkend rechtspersoon.
2. De gevolmachtigd agent beschikt minimaal over een volmacht van één, als deelnemer van Stichting CIS aan te merken, verzekeraar.
Artikel 4
Aanmelding tot deelname
1. Een verzekeraar, gevolmachtigd agent of andere rechtspersoon kan een verzoek tot deelname schriftelijk indienen bij Stichting CIS. 2. Deelname wordt gerealiseerd nadat Stichting CIS een door verzoeker ondertekende deelnemersovereenkomst heeft ontvangen en heeft vastgesteld dat aan alle voorwaarden is voldaan dan wel na het, op het verzoek tot deelname te nemen, bestuursbesluit.
Artikel 5
Beëindiging van deelname
1. Een deelnemer heeft het recht zijn deelnemerschap te beëindigen. 2. De deelname kan worden beëindigd op initiatief van Stichting CIS conform de bepalingen uit de deelnemersovereenkomst. 3. Na beëindiging van de deelname zal de deelnemer en de organisatie van de deelnemer geen toegang meer hebben tot de CIS databank en de door Stichting CIS gecertificeerde diensten. 4. Met betrekking tot al aangeleverde registraties in de CIS databank geldt dat deze voor de andere deelnemers inzichtelijk zullen blijven gedurende de toegestane bewaartermijn, tenzij Stichting CIS, al dan niet in afstemming met de voormalige deelnemer, besluit tot verwijdering van de registraties.
CIS gebruikersprotocol 01112013 © Stichting CIS
12
5. De deelnemer blijft verantwoordelijk voor de door hem aangeleverde data, ook in het geval hij niet meer als deelnemer van Stichting CIS kan worden aangemerkt en geen sprake is van rechtsopvolging door een andere rechtmatige deelnemer van Stichting CIS. 6. In lijn met de voorschriften van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen moet de deelnemer zorgen dat alle verwijzingsgegevens direct na de datum van beëindiging van het deelnemerschap van Stichting CIS uit het Extern Verwijzingsregister dat via de CIS databank toetsbaar is, zijn verwijderd.
Artikel 6
Uitsluiting van deelname
1. Als een deelnemer de bepalingen in dit gebruikersprotocol dan wel enig ander voorschrift van Stichting CIS niet naleeft, is het bestuur van Stichting CIS, conform de bepalingen uit de deelnemersovereenkomst, gerechtigd de deelnemer uit te sluiten van deelname. 2. Na royement als bedoeld in het voorgaande lid is de deelnemer verplicht binnen de eigen organisatie direct iedere toegang tot de CIS databank te blokkeren.
Artikel 7
Audit naleving CIS gebruikersprotocol
1. De interne accountantsdienst of externe accountant van de deelnemer zal de naleving van de bepalingen in dit gebruikersprotocol en het CIS privacyreglement twee jaarlijks controleren. Van haar bevindingen naar aanleiding van deze twee jaarlijkse controle brengt de in- of externe accountant(sdienst) verslag uit aan de raad van bestuur of de directie van de deelnemer. 2. Van deze twee jaarlijkse controle zijn uitgezonderd die deelnemers die via de CIS databank uitsluitend het Extern Verwijzingsregister raadplegen. Voor die deelnemers geldt dat zij op verzoek van het bestuur van Stichting CIS een door hun bestuur en/of directie getekend document aan Stichting CIS kunnen overleggen waarin zij verklaren dat zij de bepalingen van dit gebruikersprotocol en het CIS privacyreglement hebben nageleefd. 3. De deelnemers zijn verplicht een accountantsrapport op te laten maken ingeval van een vermoeden van Stichting CIS of van de deelnemer zelf van verzuim tot naleving van het gebruikersprotocol of het CIS privacyreglement. De accountant brengt vertrouwelijk verslag uit aan het bestuur van de deelnemer. 4. In geval van onregelmatigheden of van het in artikel 7.3 bedoeld vermoeden, kan het bestuur van Stichting CIS een afschrift van het accountantsrapport als bedoeld in de voorgaande leden verzoeken en is de deelnemer verplicht een afschrift van het rapport te overleggen. 5. Het bestuur van Stichting CIS is gerechtigd een deelnemer van verdere deelname uit te sluiten als de deelnemer weigert een afschrift van het rapport aan Stichting CIS te verstrekken.
CIS gebruikersprotocol 01112013 © Stichting CIS
13
Artikel 8
Audit gebruik CIS databank
1. Om oneigenlijk gebruik van de CIS databank te kunnen onderzoeken, wordt elke bevraging vastgelegd. 2. Vastgelegd wordt welke medewerker, van welke deelnemer, via welk toegangscertificaat op welke datum en welk tijdstip een registratie heeft getoetst. 3. Indien klachten of andere signalen daartoe aanleiding geven, kan Stichting CIS vaststellen welke medewerker een registratie heeft geraadpleegd of vastgelegd. 4. Bij oneigenlijke toepassing van de CIS databank kunnen de betreffende functionaris en de deelnemer de toegang tot de CIS databank worden ontzegd.
Artikel 9
Mededeling van opname
1. Betrokkene wordt geacht te weten dat zijn (persoon)gegevens door de deelnemer in de CIS databank worden vastgelegd dan wel geraadpleegd. 2. De deelnemer informeert betrokkene tijdig over de verwerking van zijn persoonsgegevens bij Stichting CIS en kan gebruik maken van communicatievoorbeelden die Stichting CIS ter beschikking stelt. 3. De deelnemer is verplicht te voorzien in informatie over toepassing van de CIS databank door een tekst op zijn schadeaangifteformulier, in polisvoorwaarden, bij verzekeringsaanvragen, en/of door middel van individuele berichtgeving aan betrokkene. 4. Het is de deelnemer in beginsel niet toegestaan persoonsgegevens in de CIS databank te plaatsen als hij betrokkene daarover vooraf niet heeft geïnformeerd. 5. Voorafgaand aan plaatsing van speciale meldingen van deelnemers wordt iedere betrokkene door de deelnemer schriftelijk geïnformeerd over de registratie in de CIS databank met een opgave van de te registreren gegevens. 6. De informatieplicht is niet van toepassing als betrokkene al van de verwerking op de hoogte is of als de mededeling aan betrokkene onmogelijk blijkt of een onevenredige inspanning vergt. In dat geval legt de deelnemer de herkomst van de informatie van vast. 7. De informatieplicht is niet van toepassing voor zover achterwege laten van de informatie noodzakelijk is in verband met een van de in artikel 43 Wbp genoemde uitzonderingssituaties. 8. Desgevraagd toont de deelnemer aan Stichting CIS aan op welke wijze aan de informatieplicht is voldaan of waarom daarvan is afgezien.
Artikel 10
Toepassing CIS databank algemeen
1. De CIS databank is bedoeld als hulpmiddel in besluitvorming met betrekking tot schadelastbeperking en de beheersing van verzekeringsfraude en -criminaliteit.
CIS gebruikersprotocol 01112013 © Stichting CIS
14
2. Gebruik vindt plaats met inachtneming van de doelomschrijving voor de verwerking van de betreffende datasoort in de CIS databank. 3. Bij toepassing van de data zijn de deelnemers gehouden relevante wet- en regelgeving over de omgang met persoonsgegevens en het verzekeringsrecht na te leven. 4. Deelnemers zijn gerechtigd op basis van relevantie en wederkerigheid data te raadplegen. 5. Met inachtneming van artikel 42 lid 1 Wbp is het deelnemers niet toegestaan een geautomatiseerd besluit te nemen dat uitsluitend gebaseerd is op informatie uit de CIS databank.
Artikel 11
Toepassing CIS databank in het acceptatieproces
1. De CIS databank kan in het acceptatietraject worden geraadpleegd om vast te stellen of een kandidaat-verzekeringnemer bij zijn aanvraag een juiste en volledige opgave van zijn relevante verzekeringsverleden en claimhistorie heeft verstrekt. 2. De CIS databank kan in het acceptatietraject worden geraadpleegd om vast te stellen of een kandidaat-verzekeringnemer ten aanzien van de op zijn aanvraag vermelde verzekerden of belanghebbenden een juiste en volledige opgave van het relevante verzekeringsverleden en claimhistorie heeft verstrekt. 3. De informatie in de CIS databank kan in het acceptatietraject vergeleken worden met de door betrokkene verstrekte informatie over zijn verzekeringsverleden en voor het beoordelen van de voor de verzekeringsaanvraag relevante data. 4. Het is de deelnemer niet toegestaan informatie uit de CIS databank toe te passen of daar enig besluit aan te verbinden als betrokkene niet vooraf is verzocht de deelnemer daarover te informeren.
Artikel 12
Toepassing CIS databank bij claimbehandeling
1. Bij de behandeling van een claim kunnen de gegevens van eerdere (claim)meldingen of andere data in de CIS databank worden gebruikt om de rechtmatigheid van de claim vast te stellen. 2. Door raadpleging van de CIS databank kan worden vastgesteld of sinds het afsluiten van de verzekering (bij andere deelnemers) declaraties of schades zijn geclaimd die van invloed zijn op de behandeling van de actuele claim. 3. Ten aanzien van objecten kan worden vastgesteld of eerder schades zijn geclaimd (bij andere verzekeraars) die van invloed zijn op de behandeling van de actuele schadeclaim. 4. Ten aanzien van motorrijtuigenverzekeraars kan informatie over (de periode van) een ontzegging van de rijbevoegdheid worden geraadpleegd ten einde vast te stellen of de ontzegging van invloed is op de behandeling van de actuele schadeclaim.
CIS gebruikersprotocol 01112013 © Stichting CIS
15
Artikel 13
Overzicht categorieën meldingen
1. Claimmeldingen:
a. Ongekleurde claimmeldingen op enig verzekeringsproduct. De registratie geldt als feitelijke weergave van een claim zonder informatie over schuld of aansprakelijkheid van betrokkene.
2. Speciale Meldingen:
a. Volgmeldingen. Registratie van gegevens in het kader van afhandeling van schade- of financieel verhaal/subrogatie. Registratie van een signaal van het Centrum Bestrijding Verzekeringscriminaliteit (CBV) in relatie tot een te verwachten claim. b. Externe Verwijzings Register (EVR). Registratie van verwijzingsgegevens van (rechts)personen die zijn opgenomen in het Extern
Verwijzingsregister
conform
de
voorschriften
van
het
Protocol
Incidentenwaarschuwingssysteem Financiële Instellingen. c.
Vertrouwelijke Mededelingen (VM). Registratie van royementen op initiatief van de verzekeraar of gevolmachtigd agent naar aanleiding van aan betrokkene toe te rekenen tekortkoming in de nakoming van de verzekeringsovereenkomst.
d. Waarborgfondsmeldingen. Registratie van gegevens van onverzekerde bestuurders, bezitters en (kenteken)houders van motorvoertuigen als Stichting Waarborgfonds Motorverkeer een door deze onverzekerde veroorzaakte schade registreert en in behandeling neemt. e. Ontzeggingen van de rijbevoegdheid (OBM). Registratie van ontzeggingen van de bevoegdheid tot het besturen van motorrijtuigen zoals, op grond van artikel 150 onder d. van het Reglement Rijbewijzen, door de officier van justitie verwerkt in het rijbewijzenregister. f.
Total loss meldingen. Gegevens met betrekking tot bedrijfsregeling 16 van het Verbond van Verzekeraars. Registratie van identiteitsgegevens van gekentekende motorvoertuigen waarbij, na een schade-evenement, sprake is van schadeafwikkeling op basis van totaal verlies.
g. Sanctielijsten. Meldingen van de European United Commission in de European Database en van De Nederlandsche Bank in de Nederlandse Sanctielijst betreffende een persoon of organisatie die betrokken is of wordt geacht te zijn bij terroristische activiteiten.
CIS gebruikersprotocol 01112013 © Stichting CIS
16
Artikel 14
Verantwoordelijkheid voor gegevens
1. In de CIS databank worden conform artikel 4 van het CIS privacyreglement ten hoogste de volgende soorten van gegevens verwerkt:
a. Gegevens over (rechts)personen; b. Objectgegevens; c.
Meldinggegevens;
d. Speciale meldingen.
2. Persoonsgegevens die door de deelnemer in de CIS databank worden geregistreerd, moeten in overeenstemming met de wet zijn verkregen en moeten gedocumenteerd herleidbaar zijn bij de primaire bron die de registratie heeft uitgevoerd. 3. De in de CIS databank opgenomen (claim)meldingen zijn en blijven eigendom van de deelnemer die de betreffende melding heeft ingezonden. 4. De aanleverende deelnemer is verantwoordelijk voor de juistheid en volledigheid van de gegevens.
Artikel 15
Toegang tot de gegevens
1. Toegang tot de gegevens in de CIS databank hebben:
a. Geautoriseerde medewerkers van Stichting CIS; b. Geautoriseerde medewerkers van deelnemers van Stichting CIS; c.
Geautoriseerde medewerkers van de bewerker uit hoofde van hun functie, daaronder begrepen: helpdeskmedewerkers, ontwikkelaars en programmeurs.
2. Aan een nieuw te autoriseren gebruiker bij een deelnemer mag toegang tot de CIS databank worden verleend na schriftelijke aanmelding door de bevoegde contactpersoon van de betreffende deelnemer bij Stichting CIS. De toevoeging wordt daarna geaccordeerd door Stichting CIS en gerealiseerd in afstemming met de bewerker. De deelnemer zorgt dat de gebruiker kennis heeft genomen van het gebruikersprotocol en de van toepassing zijnde werkinstructie(s) en andere voorschriften. 3. Aan een nieuw te autoriseren gebruiker bij de bewerker mag uitsluitend toegang tot de CIS databank worden verleend na schriftelijke aanmelding door de directie van de bewerker bij Stichting CIS en na kennisneming van het gebruikersprotocol. 4. Een nieuw te autoriseren gebruiker bij Stichting CIS mag uitsluitend toegang tot de CIS databank worden verleend nadat hij heeft kennisgenomen van het gebruikersprotocol.
CIS gebruikersprotocol 01112013 © Stichting CIS
17
Artikel 16
Gebruik van gegevens uit de CIS databank
1. Bij gebruik van gegevens uit de CIS databank, evenals van gegevens welke van andere deelnemers zijn of worden verkregen, geldt als uitgangspunt dat het recht op bescherming van de persoonlijke levenssfeer van betrokkene zoveel mogelijk wordt gerespecteerd. 2. Het is een deelnemer niet toegestaan (detail)informatie over gegevens die door andere deelnemers in de CIS databank zijn opgenomen aan betrokkene of een onbevoegde derde te verstrekken. 3. Als een deelnemer (detail)informatie over (de reden voor) een registratie van een andere deelnemer wil ontvangen, legt hij het verzoek tot de gewenste aanvullende informatie eerst aan betrokkene voor. 4. Opvragen van (detail)informatie bij andere deelnemers wordt zoveel mogelijk vermeden, mede om de werkzaamheden voor andere deelnemers tot een minimum te beperken. 5. De beperking uit het voorgaande lid is niet van toepassing op de verplichte navraag bij EVR signalen. Volgens de voorschriften van het PIFI wordt over een EVR die geraakt is te allen tijde
door
de
medewerker
Veiligheidszaken contact
opgenomen met de
afdeling
Veiligheidszaken van de primaire bron. 6. Opvragen van (detail)informatie vindt plaats bij de afdeling die verantwoordelijk is voor de betreffende registratie in de CIS databank dan wel met de daarvoor geautoriseerde contactpersoon van de betreffende deelnemer. 7. Extern gebruik van de gegevens die toebehoren aan een andere deelnemer, bijvoorbeeld ten behoeve van gerechtelijke procedures, correspondentie met betrokkene of derden is uitsluitend toegestaan na voorafgaande expliciete toestemming van de primaire bron. 8. De deelnemer moet betrokkene voor informatie over registraties verwijzen naar de website www.stichtingcis.nl zodat betrokkene inzage in de op hem betrekking hebbende registraties kan vragen bij het Team Inzage van Stichting CIS.
Artikel 17
Rechten en plichten deelnemers
1. De deelnemers zijn tegenover Stichting CIS, betrokkenen en elkaar gehouden tot naleving van de wet- en regelgeving op het gebied van de verwerking van persoonsgegevens, het privacyreglement, het gebruikersprotocol en de overige voorschriften van Stichting CIS, daaronder begrepen de toepasselijke werkinstructies. 2. Met betrekking tot claimmeldingen krijgt een deelnemer alleen inzage in meldingen voor zover branche en meldingsoort overeenstemmen met de door de deelnemer zelf aangeleverde meldingsoort(en).
CIS gebruikersprotocol 01112013 © Stichting CIS
18
3. De speciale meldingen zijn beschikbaar voor deelnemers als zij voldoen aan de daaraan specifiek verbonden vereisten voor kennisneming en toepassing.
a. Voor EVR meldingen moet de deelnemer voldoen aan de voorschriften in het PIFI of moet de deelnemer gevolmachtigd agent zijn van een deelnemer die aan de eisen uit het voornoemde protocol voldoet; b. Voor ontzeggingen van de rijbevoegdheid en meldingen van Stichting Waarborgfonds Motorverkeer moet de deelnemer verzekeringen met betrekking tot gekentekende voeren/of vaartuigen voeren; c.
Voor de sanctielijsten geldt dat zij voor iedere deelnemer toegankelijk zijn.
4. Het voorgaande lid is niet van toepassing op het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond van Verzekeraars. Het CBV heeft toegang tot alle geregistreerde gegevens in de CIS databank indien en voor zover deze informatie voor de werkzaamheden van het CBV van belang zijn. 5. Overige deelnemers, die niet zijn aan te merken als verzekeraar of gevolmachtigd agent, hebben toegang tot de registratiesoort die voor de uitvoering van hun werkzaamheden relevant zijn. 6. Iedere deelnemer moet op eerste verzoek aan Stichting CIS aantonen dat zij conform de voorgaande leden gerechtigd is tot kennisneming van de verschillende registratiesoorten. 7. De deelnemer is verplicht Stichting CIS zo spoedig mogelijk schriftelijk te informeren over wijzigingen die tot gevolg hebben dat de toegang tot een of meer van de registratiesoorten in de CIS databank niet langer aan hem is toegelaten.
Artikel 18
Aanleveringvereisten
1. De deelnemer streeft er naar gegevens van alle door zijn organisatie verwerkte claim- en speciale meldingen correct en zo volledig mogelijk aan te leveren. 2. Aanlevering geschiedt met inachtneming van het minimum vereiste voor aanlevering aan de CIS databank als aangegeven in de toepasselijke systeemhandleiding. 3. Identificerende gegevens van eigen verzekerden moeten, met inachtneming van de in artikel 9 bepaalde voorschriften en uitzonderingen, altijd worden aangeleverd. 4. Gegevens van andere betrokkenen (bestuurder(s) / tegenpartij(en) / getuigen / enz.) worden aangeleverd indien en voor zover deze bij de deelnemer bekend zijn, en betrokkene is geïnformeerd over de verwerking van zijn gegevens in de CIS databank met inachtneming van de voorschriften en uitzonderingen uit artikel 9. 5. Identificerende gegevens van de aanleverende deelnemer in zijn rol van afhandelaar moeten in elke registratie zijn opgenomen. 6. Als de deelnemer op de hoogte is van tekortkomingen in een of meerdere van zijn aanleveringen, spant hij zich in de tekortkomingen zo spoedig mogelijk te herstellen. CIS gebruikersprotocol 01112013 © Stichting CIS
19
Artikel 19
Frequentie aanlevering
1. De deelnemer streeft er naar claim- en speciale meldingen zo snel mogelijk - bij voorkeur dagelijks via datacommunicatie - in de CIS databank te registeren. 2. De aanleverfrequentie is als volgt:
a. eerste melding van een claim uiterlijk in de eerste batchlevering van data aan de CIS databank vijf werkdagen na registratie van de claim. b. levering van data aan de CIS databank vindt minimaal eenmaal per week plaats.
Artikel 20
Aanlevering EVR meldingen
1. EVR meldingen mogen uitsluitend door daartoe bevoegde afdelingen Veiligheidszaken van verzekeringsmaatschappijen worden aangeleverd. 2. De afdeling Veiligheidszaken levert EVR meldingen aan conform de voorschriften van het PIFI. 3. De deelnemer vrijwaart Stichting CIS van iedere aansprakelijkheid ten aanzien van onjuiste toepassing van het PIFI en EVR registraties door (de medewerker van) de deelnemer.
Artikel 21
Mutaties
1. De deelnemer streeft er naar relevante wijzigingen of toevoegingen op aangeleverde claimen speciale meldingen zo spoedig mogelijk in de betreffende registratie door te voeren. 2. Aanleveren van een mutatie gebeurt in ieder geval als sprake is van:
a. toevoeging van een betrokkene zodra deze bij de deelnemer bekend is en betrokkene is geïnformeerd over de verwerking van zijn gegevens in de CIS databank; b. wijziging van een identificatiecriterium (NAW-gegevens, geboortedatum, kentekengegevens, chassisnummer, e.d.); c.
opname of wijziging van een relevant gegeven (schadenummer, schadedatum, polisnummer e.d.).
Artikel 22
Dispensatie
1. Als aan een of meer van de in dit gebruikersprotocol omschreven levering- of mutatiecriteria door de deelnemer niet kan worden voldaan, kan onder omstandigheden en na goedkeuring van Stichting CIS hiervan worden afgeweken.
CIS gebruikersprotocol 01112013 © Stichting CIS
20
2. De bedoelde afwijking wordt schriftelijk vastgelegd en door zowel de deelnemer als Stichting CIS voor akkoord ondertekend. 3. De overeenkomst tot dispensatie als bedoeld in lid 2 bevat minimaal:
a. een beschrijving van de onderdelen waarvoor dispensatie wordt verleend; b. de inhoud/reikwijdte van de dispensatie; c.
een (tijd)plan voor het alsnog realiseren en de invoering daarvan met betrekking tot deze onderdelen.
Artikel 23
Geheimhouding
1. Alle data in de CIS databank wordt door (de medewerker van) de deelnemer, en/of bewerker en Stichting CIS vertrouwelijk behandeld. 2. Stichting CIS, deelnemers en bewerker treffen voorzieningen die waarborgen dat de geautoriseerde functionarissen onder een geheimhoudingsplicht vallen welke zowel tijdens de duur van de dienstbetrekking als na afloop daarvan geldt. 3. Van het feit dat gegevens van een (rechts)persoon in de CIS databank zijn opgenomen en van de inhoud van de registraties die een deelnemer bij het gebruik van de CIS databank ter kennis (zijn ge-)komen, mogen de in het voorgaande lid bedoelde functionarissen geen mededeling doen aan anderen dan Stichting CIS, de deelnemer, de geautoriseerde medewerkers van de bewerker, die deze kennis voor de uitvoering van hun werkzaamheden nodig hebben. 4. Voor de ontvangers als bedoeld in het voorgaande lid geldt dat zij eveneens gehouden zijn de data vertrouwelijk te behandelen. De verplichtingen betreffende de geheimhouding, als bedoeld in lid 2, zijn op dezelfde wijze op hen van toepassing. 5. Het is de deelnemer en de bewerker alleen toegestaan CIS data of de CIS databank te koppelen aan andere functionaliteiten, daaronder begrepen functionaliteiten ten behoeve van fraude- en criminaliteitsbeheersing, in de gevallen dat deze functionaliteiten onder toezicht van Stichting CIS staan c.q. de functionaliteiten door Stichting CIS zijn goedgekeurd.
Artikel 24
Beveiliging
1. De deelnemer is verplicht binnen de eigen organisatie zorg te dragen voor passende organisatorische en technische maatregelen ter beveiliging van de toegang tot de CIS databank en ter beveiliging van persoonsgegevens tegen verlies of enige vorm van onrechtmatige verwerking. 2. De maatregelen garanderen een passend beveiligingsniveau gelet op de risico’s van de verwerking en de aard van de te beschermen gegevens.
CIS gebruikersprotocol 01112013 © Stichting CIS
21
3. De verantwoordelijke deelnemer ziet binnen de eigen organisatie toe op de naleving van die maatregelen. 4. De beveiliging, als bedoeld in lid 1, van de CIS databank moet zodanig ingericht zijn dat de daarin beschikbare data niet door externe factoren kan worden geschaad. 5. Stichting CIS houdt toezicht op de wijze waarop deelnemers voorzien in de beveiliging van de verwerking. 6. Desgevraagd deelt de deelnemer Stichting CIS of een door Stichting CIS aangewezen deskundige partij mee, op welke wijze de beveiliging van de toegang tot de CIS databank is gerealiseerd.
Artikel 25
Aansprakelijkheid
1. De deelnemer die gegevens in de CIS databank verwerkt, is aansprakelijk voor schade die ontstaat
doordat
de
betreffende
gegevens
niet
conform
de
vereisten
van
dit
gebruikersprotocol, het PIFI of andere toepasselijke regelgeving zijn opgenomen in de CIS databank, tenzij deze tekortkoming in de nakoming deze deelnemer niet kan worden toegerekend. 2. De deelnemer die gegevens uit de CIS databank verwerkt, onder meer voor toepassing in zijn werkprocessen, is aansprakelijk voor de schade die ontstaat door onjuist of disproportioneel gebruik van de data uit de CIS databank. 3. De aansprakelijkheid eindigt niet door beëindiging van het deelnemerschap.
Artikel 26
Recht van inzage betrokkene
1. Iedere betrokkene heeft het recht bij Stichting CIS een verzoek tot inzage in te dienen. 2. Het verstrekken van gegevens aan betrokkene is aan de regels uit de Wbp gebonden. 3. De deelnemer zal een verzoek tot inzage in CIS registraties niet zelf in behandeling nemen maar doorsturen naar het Team Inzage van Stichting CIS. 4. Stichting CIS zal, met inachtneming van de toepasselijke bepalingen uit de Wbp en het CIS privacyreglement, namens de verantwoordelijke deelnemers aan betrokkene meedelen of en zo ja welke (persoons)gegevens van betrokkene in de CIS databank zijn opgenomen.
Artikel 27
Recht van correctie betrokkene
1. Als betrokkene van mening is dat persoonsgegevens feitelijk onjuist, onvolledig, niet ter zake dienend of in strijd met de wet zijn verwerkt, kan betrokkene een schriftelijk verzoek tot correctie indienen bij Stichting CIS. 2. Na controle of het verzoek tot correctie aan de wettelijke voorschriften voldoet, zal Stichting CIS het verzoek ter behandeling voorleggen aan de verantwoordelijke deelnemer. CIS gebruikersprotocol 01112013 © Stichting CIS
22
3. De deelnemer is verplicht binnen de termijn van 28 dagen een besluit op het verzoek tot correctie te nemen en dit rechtstreeks dan wel via Stichting CIS mee te delen aan betrokkene.
Artikel 28
Verwerking correctie
1. De deelnemer draagt zorg dat zijn beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd. 2. Bij de verwerking van een correctie op verzoek van betrokkene is de deelnemer verplicht deelnemers die de melding voorafgaand aan de correctie hebben geraadpleegd, te informeren welke correctie is uitgevoerd. 3. Via de CIS databank wordt iedere deelnemer die een jaar voorafgaand aan de verbetering, aanvulling, afscherming of verwijdering het betreffende gegeven heeft geraadpleegd, automatisch op de hoogte gebracht van de doorgevoerde aanpassing.
Artikel 29
Correctie door CIS
1. Stichting CIS kan naar aanleiding van een verzoek tot inzage of correctie of uit eigen beweging onderzoek uitvoeren of een registratie met inachtneming van wet- en regelgeving, het CIS privacyreglement, het CIS gebruikersprotocol en de bijbehorende werkinstructies tot stand is gekomen. 2. Als Stichting CIS van oordeel is dat registraties in strijd met de in het voorgaande lid genoemde wet- en regelgeving zijn verwerkt, is zij gerechtigd de betreffende registraties of verzameling van registraties te verwijderen. 3. Stichting CIS voert geen onderzoek uit naar rechtmatigheid van registraties in relatie tot de verzekerings- of polisvoorwaarden van een deelnemer. Als een betrokkene het met de beweegredenen van de deelnemer over de totstandkoming van de registratie niet eens is, moet hij zich primair tot de (klachtencommissie van de) deelnemer richten.
Artikel 30
Geschillenregeling CIS gebruikersprotocol
1. Een betrokkene die meent dat een deelnemer in strijd handelt met de bepalingen van dit gebruikersprotocol kan hierover schriftelijk een klacht indienen bij Stichting CIS. 2. Stichting CIS zal de klacht nader onderzoeken en daartoe de deelnemer in de gelegenheid stellen zijn standpunt aan te geven. 3. Afhankelijk van de duur van het te verrichten onderzoek naar de klacht streeft Stichting CIS naar afhandeling van een klacht als bedoeld in het eerste lid binnen een termijn van vier weken.
CIS gebruikersprotocol 01112013 © Stichting CIS
23
Artikel 31
Publicatie CIS gebruikersprotocol
1. Dit gebruikersprotocol is ter inzage opgenomen op de website van Stichting CIS; www.stichtingcis.nl. 2. Een afschrift van dit gebruikersprotocol kan worden opgevraagd bij Stichting CIS en haar deelnemers.
Artikel 32
Wijziging CIS gebruikersprotocol
1. Het bestuur van Stichting CIS is bevoegd te besluiten tot aanpassing of wijziging van het gebruikersprotocol. 2. Stichting CIS zal het gebruikersprotocol aanpassen, indien zich wijzigingen voordoen in het doel, de inhoud en het gebruik van de persoonsgegevens dan wel in andere toepasselijke wet- en regelgeving. 3. Een besluit tot wijziging wordt genomen nadat de aanpassingen of wijzigingen, voor zover deze betrekking hebben op de verwerking van persoonsgegevens, getoetst zijn aan de Wet Bescherming Persoonsgegevens.
Artikel 33
Inwerkingtreding en citeertitel
1. Dit protocol treedt in werking op 1 november 2013. 2. Dit protocol wordt aangehaald als CIS gebruikersprotocol. 3. Alle voorgaande varianten van het gebruikersprotocol – daaronder begrepen het FISH protocol - zijn met de inwerkingtreding van dit reglement vervallen.
CIS gebruikersprotocol 01112013 © Stichting CIS
24
Toelichting op het CIS gebruikersprotocol In het gebruikersprotocol worden de algemene voorschriften voor de deelnemers van Stichting CIS en de gebruikers van de CIS databank beschreven. Dit gebruikersprotocol bepaalt samen met de 1
deelnemersovereenkomst, het CIS privacyreglement en de CIS werkinstructies op welke manier de deelnemers met de CIS databank en de data moeten omgaan. Daarnaast zijn deelnemers uiteraard ook verplicht de handleiding na te leven van het datatransport- en softwaresysteem, zoals door de bewerker(s) wordt gebruikt en ter beschikking gesteld om de CIS databank te laten functioneren.
Betrokkene van wie de persoonsgegevens geregistreerd worden in de CIS databank kan en mag er vanuit gaan dat door deelnemers en aangewezen gebruikers gehandeld wordt volgens het CIS privacyreglement. Die betrokkene mag er ook vanuit gaan dat door Stichting CIS en haar deelnemers met die persoonsgegevens wordt omgegaan op de wijze als in het gebruikersprotocol voorgeschreven is.
Stichting CIS biedt haar deelnemers de mogelijkheid om verzekerings(relevante)informatie te delen. Zij treedt op als beheerder van alle data die door of voor deelnemers in de CIS databank is vastgelegd. Daarbij wordt niet alleen gezorgd voor de technische aspecten van een landelijke databank maar wordt ook veel aandacht besteed aan toezicht op het gebruik van de CIS databank. In dit gebruikersprotocol zijn de voorschriften weergegeven waaraan deelnemers moeten voldoen bij de toepassing van de CIS databank.
1
De werkinstructies zijn voor deelnemers raadpleegbaar op het afgeschermde gedeelte van de website www.stichtingcis.nl. CIS gebruikersprotocol 01112013 © Stichting CIS
25
Toelichting op het CIS gebruikersprotocol per artikel De begrippenlijst van het CIS gebruikersprotocol is gecombineerd met de begrippen in het CIS privacyreglement.
Voor
de
begrippen
geldt
dat
zoveel
mogelijk
de
Wet
bescherming
persoonsgegevens, Gedragscode Verwerking Persoonsgegevens Financiële Instellingen en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen zijn gevolgd.
Artikel 1 In artikel 1 staat dat de privacyregels die CIS heeft opgesteld altijd van toepassing zijn op de door CIS beheerde data ongeacht of het gaat om de aanlevering van registraties of de bevraging van de CIS databank. Met ‘verwerking van persoonsgegevens’ wordt het begrip uit artikel 1 onder b. Wbp gebruikt. Dat wil zeggen dat het gebruikersprotocol toepasselijk is op alle situaties waarin de persoonsgegevens uit de CIS databank worden toegepast. Het gaat niet alleen om de raadpleging van de data of de vastlegging van een registratie maar bijvoorbeeld ook om de doorgifte van de registraties van de CIS databank naar de deelnemer of de wijziging van een registratie door een deelnemer.
Stichting CIS zorgt voor het beheer van de CIS databank en ziet er op toe dat deze databank volgens de gestelde regels wordt gebruikt. Stichting CIS is niet betrokken bij elke individuele registratie en toepassing van de data. Stichting CIS kan alle dagelijks aangeleverde registraties (> 3.500 per dag) zelf niet controleren op juistheid of bij elke bevraging van de CIS databank meekijken. Daarom legt artikel 1 de verantwoordelijkheid voor goede invoer en correct gebruik van de beschikbare informatie bij de deelnemers.
Artikel 2 Artikel 2 omschrijft, net als in het CIS privacyreglement, de doeleinden voor de verwerking van persoonsgegevens in de CIS databank. In lijn met artikel 7, 8 en 9 van de Wbp mogen persoonsgegevens alleen voor rechtmatige doeleinden worden verwerkt. Deze bepaling geeft de grenzen aan, waarbinnen de informatie uit de CIS databank mag worden gebruikt en gedeeld mag worden met andere partijen. De doeleinden die Stichting CIS hanteert, zijn: ‘beheersen van de risico’s, schadelastbeperking en tegengaan en bestrijden van verzekeringsfraude en –criminaliteit’. Om deze twee laatste doelen te kunnen bereiken, mogen de verzamelde gegevens nader geanalyseerd worden. Bij het beheersen van risico’s en schadelastbeperking mag de CIS databank niet worden gebruikt om te bekijken of het schadeverleden van betrokkene op zichzelf reden is om hem de gevraagde verzekering te weigeren. De informatie die Stichting CIS beheert, is bedoeld om te controleren of betrokkene naar waarheid heeft verklaard over zijn schade- of verzekeringsverleden. Heeft hij bij zijn aanvraag bijvoorbeeld gemeld dat hij claims heeft ingediend of dat eerder een verzekering van hem beëindigd is omdat hij zijn afspraken met de verzekeraar niet na kwam. Het betreft het inschatten van
CIS gebruikersprotocol 01112013 © Stichting CIS
26
de morele risico’s van een klant. Daarnaast kan aan de hand van de claimhistorie worden beoordeeld of een claim niet eerder ergens anders al is ingediend. Zo kan controle van CIS data bijdragen schadelast te beheersen en kunnen oneigenlijke of valse claims worden gedetecteerd.
Artikel 3 en 4 Deze artikelen geven aan welke partijen deelnemer van Stichting CIS kunnen worden en hoe zij zich kunnen aanmelden. De deelname is beperkt tot financiële instellingen met een vergunning als verzekeringsmaatschappij of gevolmachtigd agent of een onderlinge waarborgmaatschappij met een beperkte omvang met een DNB verklaring. Daarnaast kan het bestuur van Stichting CIS besluiten bepaalde rechtspersonen toe te laten als deelnemer. Dat geldt momenteel alleen voor partijen die werkzaamheden verrichten die direct van belang zijn voor de verzekeringsmarkt maar zelf geen verzekeraar zijn. Informatie over deze ‘bijzondere’ deelnemers staat op de website www.stichtingcis.nl onder ‘Overige Deelnemers’.
Voor deelname moet iedere deelnemer een overeenkomst met Stichting CIS afsluiten waarin onder meer verplicht is gesteld dat alle wet- en regelgeving op het gebied van persoonsgegevens zal worden nageleefd.
Artikel 5 Deze bepaling stelt regels over de beëindiging van de deelname aan Stichting CIS en de consequenties daarvan. Zodra het deelnemerschap is beëindigd, mag (het personeel van) de deelnemer geen toegang meer hebben tot de CIS databank. Uitgangspunt is wel dat de registraties in de CIS databank blijven staan en de deelnemer daar ook op aan te spreken blijft bij een eventueel verzoek tot correctie. Zou dat verzoek tot correctie moeten worden gehonoreerd, zal vanuit Stichting CIS de correctie worden doorgevoerd.
Omdat situaties denkbaar zijn waardoor het niet langer mogelijk is dat een ex-deelnemer nog 2
verantwoording kan afleggen over een registratie , kan Stichting CIS besluiten de registraties eerder te verwijderen. Het gaat dan niet om verwijdering van individuele registraties maar van alle registraties van de ex-deelnemer.
Voor de Externe Verwijzingen (EVR) sluit Stichting CIS aan bij de voorschriften van het PIFI. Daarom geldt dat elke EVR registratie na beëindiging van het deelnemerschap van CIS direct uit de CIS 3
databank moet worden verwijderd door de verzekeraar die de melding heeft aangeleverd . Dit heeft te maken met het feit dat EVR registraties die worden geraakt bij een zoekopdracht in de CIS databank, verplicht moeten worden gevolgd door informatiedeling tussen afdelingen Veiligheidszaken van de betreffende verzekeraars. Op zich is dat geen probleem als de primaire bron nog als PIFI deelnemer 2 3
Bijvoorbeeld door opheffing van het bedrijf na een faillissement. Artikel 7.2.3. PIFI stelt verwijdering van EVR meldingen verplicht voor de partijen die niet meer aan het PIFI deelnemen. CIS gebruikersprotocol 01112013 © Stichting CIS
27
actief is maar door het ontbreken van de deelnemersovereenkomst kan Stichting CIS zelf geen toezicht houden of invloed meer uitoefenen op de naleving van de voorschriften door de organisatie die de EVR melding heeft geplaatst.
Artikel 6 Dit artikel biedt Stichting CIS de mogelijkheid op te treden tegen deelnemers die de regels niet goed naleven. Als Stichting CIS vaststelt – bijvoorbeeld naar aanleiding van een klacht van een consument of andere deelnemer – dat voorschriften van het gebruikersprotocol zijn geschonden, kan dit leiden tot uitsluiting van verdere deelname. In de deelnemersovereenkomst zijn bepalingen opgenomen op grond waarvan niet direct tot royement van het deelnemerschap hoeft te worden overgegaan maar dat ook sprake kan zijn van een tijdelijke of voorwaardelijke afsluiting van de toegang tot (onderdelen van de) CIS databank. De bevoegdheid om het deelnemerschap te beëindigen of een deelnemer te sanctioneren, ligt bij het bestuur van Stichting CIS.
Artikel 7 Artikel 7 verplicht iedere deelnemer in eigen huis controle uit te voeren op de naleving van het CIS gebruikersprotocol. Deze controle wordt gedaan door de interne accountants of is onderdeel van de controle door de externe accountant. De uitkomst van deze controle is in beginsel bestemd voor intern gebruik bij de deelnemer. Als Stichting CIS daarvoor een aanleiding heeft – bijvoorbeeld naar aanleiding van een klacht van een geregistreerde persoon of een andere deelnemer – moet de deelnemer dit rapport over de naleving van het gebruikersprotocol aan het bestuur van Stichting CIS overleggen. Als de deelnemer het rapport niet kan of wil overleggen, kan het bestuur van Stichting CIS de betreffende deelnemer royeren.
Artikel 8 Deze bepaling beschrijft het toezicht op de toepassing van de CIS databank op het niveau van de individuele gebruiker. Stichting CIS kan door de technische inrichting van de CIS databank nauwkeurig vaststellen via welk certificaat in de CIS databank is gekeken. Als een klacht wordt ontvangen over het gebruik van de CIS databank is Stichting CIS dus in staat tot op detailniveau te bekijken welke medewerker van welke deelnemer een registratie heeft bevraagd. Als blijkt dat sprake is van onrechtmatig handelen, kan de (medewerker van de) deelnemer direct de toegang tot de CIS databank worden ontzegd. Deze detailinformatie over de bevragingen is niet voor deelnemers of derden toegankelijk en wordt alleen gebruikt om oneigenlijke toepassing van de CIS databank te onderzoeken.
CIS gebruikersprotocol 01112013 © Stichting CIS
28
Artikel 9
4
Artikel 9 bevat de verplichtingen die rechtstreeks voortkomen uit de Wbp . Uitgangspunt is dat betrokkene moet weten dat zijn (persoons)gegevens in de CIS databank zijn vastgelegd. De deelnemer moet zorgen dat betrokkene op de hoogte wordt gesteld van de verwerking van zijn persoonsgegevens. Dit
kan in algemene
zin
door
bij
verzekeringsaanvragen en in de
polisvoorwaarden te vermelden dat de deelnemer de CIS databank kan raadplegen en persoonsgegevens daarin kan vastleggen. Dezelfde informatie kan bijvoorbeeld ook worden opgenomen in een privacystatement op een website. Voorbeelden voor dergelijke communicatie 5
worden door Stichting CIS aan de deelnemers ter beschikking gesteld .
Omdat met polisvoorwaarden alleen verzekeringnemers worden bereikt, staat in het derde lid van artikel 9 dat informatie via gerichte individuele berichtgeving kan plaatsvinden. Wanneer bijvoorbeeld persoonsgegevens van de bestuurder van een voertuig worden opgenomen, terwijl deze persoon niet de verzekeringnemer is, zal betrokkene op een of andere manier geïnformeerd moeten worden dat zijn gegevens in de CIS databank zijn vastgelegd. Voor claims bij motorrijtuigen voorziet het Europees Schadeaangifteformulier in de mededeling van verwerking van de gegevens in de CIS databank maar bij een telefonisch of per e-mail doorgegeven claim ontbreekt deze informatie vaak. Het is dan de taak van de deelnemer betrokkene op de verwerking te wijzen als vastlegging in de CIS databank plaatsvindt. 6
Voor speciale meldingen die geplaatst worden door deelnemers vereist Stichting CIS dat altijd een gerichte mededeling aan betrokkene wordt gedaan. Gezien de bijzondere aard van de melding is het van belang dat betrokkene van die registratie op de hoogte is of kan zijn. De mededeling van de verwerking in de CIS databank kan gecombineerd worden met de royementsmededeling of de verplichte mededeling dat de verwijzingsgegevens van iemand in het Extern Verwijzingsregister worden geplaatst.
Registratie in de CIS databank kan in beginsel alleen als betrokkene is geïnformeerd. Er kan echter aanleiding zijn die informatie nog niet te verstrekken. Vooral bij de EVR melding kan het, bijvoorbeeld in het belang van een lopend onderzoek door de politie, verstandig zijn betrokkene nog niet te informeren over de registratie. De informatie over de verwerking mag alleen achterwege blijven in de 7
uitzonderingssituaties welke in artikel 43 Wbp zijn genoemd. In het geval van de vastlegging van claimmeldingen zal van een wettelijke uitzondering niet snel sprake zijn.
4
Artikel 33 en 34 Wbp. Zie voor meer informatie het voor deelnemers toegankelijke gedeelte van de website www.stichtingcis.nl. 6 Dit geldt dus niet voor de OBM meldingen. Omdat deze informatie volgens de wet wordt verstrekt, wordt iedereen geacht op de hoogte te zijn van de verwerking van deze gegevens voor verzekeraars en gevolmachtigden. 7 De veiligheid van de Staat, voorkomen/opsporen/vervolgen van strafbare feiten, gewichtige economische of financiële belangen van de Staat of andere openbare lichamen, bescherming van betrokkene of de bescherming van rechten en vrijheden van anderen. 5
CIS gebruikersprotocol 01112013 © Stichting CIS
29
De deelnemer moet in principe dus zorgen dat iedere persoon die hij in de CIS databank registreert daarvan op de hoogte kan zijn. Desgevraagd moet de deelnemer aan Stichting CIS aantonen dat betrokkene door hem geïnformeerd is over de registratie in de CIS databank en op welke wijze de informatie is verstrekt. Als de deelnemer redenen heeft om betrokkene nog niet te informeren over de verwerking van zijn persoonsgegevens in de CIS databank moet de deelnemer dat besluit onderbouwen.
Artikel 10 tot en met 12 Artikel 10, 11 en 12 geven de grenzen voor de toepassing van de CIS databank en de CIS data aan. De CIS databank mag worden ingezet als hulpmiddel bij controle van de informatie die betrokkene zelf aan de deelnemer heeft verstrekt. De grenzen zijn gesteld bij schadelastbeperking en de beheersing van verzekeringsfraude en -criminaliteit. Daarbij gaat het in het bijzonder om:
-
inschatting van het moreel risico bij beoordeling van een nieuwe klant of opgegeven wijziging door een klant (heeft betrokkene bijvoorbeeld zijn verzekeringsverleden naar waarheid vermeld op zijn aanvraag voor een nieuwe of aangepaste verzekering); 8
-
het tegengaan van verzekeringsfraude door controle op claimgedrag ;
-
waarschuwingen over eerder onrechtmatig handelen tegen een financiële instelling.
De claimmeldingen zijn nadrukkelijk niet bedoeld om een risico-inschatting op het te verwachten claimgedrag van betrokkene te maken.
De CIS databank wordt geraadpleegd om informatie te controleren die de deelnemer van zijn relatie heeft ontvangen. Het is deelnemers niet toegestaan om de CIS data te bevragen als betrokkene niet in de gelegenheid is gesteld de gewenste informatie zelf te verstrekken. Een deelnemer mag ook geen informatie uit de CIS databank halen voordat hij de kandidaat-verzekeringnemer daar naar heeft 9
gevraagd. De CIS databank is bedoeld als een controlemiddel en niet als voorselectiesysteem .
Het is de deelnemer verder niet toegestaan de CIS databank te raadplegen en vervolgens aan de hand van geautomatiseerde beoordeling van de informatie uit de CIS databank tot afwijzing of non10
acceptatie over te gaan . De Wbp verbiedt besluitvorming die alleen tot stand komt door een geautomatiseerde verwerking van persoonsgegevens. Bij een besluit tot non-acceptatie moet aantoonbaar een inhoudelijke beoordeling hebben plaatsgevonden door een medewerker van de deelnemer. Het is daarom wel toegestaan bevraging van de CIS databank geautomatiseerd uit te voeren, waarbij uitval op basis van gekozen parameters door een medewerker nader wordt beoordeeld.
8
Denk aan dubbele claims of claims op een motorrijtuigenverzekering terwijl aan betrokkene de rijbevoegdheid is ontzegd. Zie artikel 7:928 BW over de wettelijke mededelingsplicht. 10 Zie artikel 42 Wbp over het verbod op geautomatiseerde besluitvorming. 9
CIS gebruikersprotocol 01112013 © Stichting CIS
30
Artikel 13 Artikel 13 beschrijft de soorten meldingen die voor, door of namens deelnemers in de CIS databank worden vastgelegd. Lid 1 betreft de claimmeldingen.
Claimmeldingen worden ingevoerd zonder informatie over schuld of aansprakelijkheid van betrokkene. Het is een registratie die gebruikt kan worden om vast te stellen of een claim niet eerder of ergens anders is ingediend. Ook kan aan de hand van deze claimmeldingen beoordeeld worden of de aspirant-verzekeringnemer naar waarheid heeft verklaard over zijn claimverleden of het claimverleden van andere verzekerden of belanghebbenden (zie ook artikel 11 lid 1 en 2).
In lid 2 worden de Speciale Meldingen opgesomd. Dit zijn meldingen waaruit een deelnemer meer over de moraliteit van betrokkene kan afleiden of die vooral gekoppeld zijn aan een object.
a. Volgmeldingen:
Deze meldingen worden ingevoerd door het Centrum Bestrijding Verzekeringscriminaliteit van het Verbond van Verzekeraars. Deze meldingen hebben betrekking op (rechts)personen waarover informatie beschikbaar is in relatie tot een te verwachten claim, waarbij die informatie relevant is of kan zijn voor de beoordeling van de rechtmatigheid van die claim, of om op de betrokkene verhaal uit te oefenen omdat tegen hem een vordering wegens schadeof financieel verhaal openstaat. Denk in dit verband aan informatie over een hennepkwekerij in relatie tot een brandschade, of een vordering op een veroordeelde inbreker tot vergoeding van de schade die door de verzekeraar is uitbetaald.
b. Externe Verwijzings Register (EVR):
Deze meldingen worden uitsluitend ingevoerd door (de medewerker van) de afdeling Veiligheidszaken van een verzekeraar. Daarbij is de verzekeraar verplicht te voldoen aan de criteria uit het PIFI. De EVR melding is een vastlegging van een beperkte informatieset uit het incidentenregister van een verzekeraar en bevat alleen de informatie die nodig is om de gegevens van de betreffende (rechts)persoon te kunnen vinden in de CIS databank. In de melding staat ook welke verzekeraar voor de registratie verantwoordelijk is.
c.
Vertrouwelijke Mededelingen (VM):
Van bepaalde soorten royementen worden door de deelnemer registraties in de CIS databank ingevoerd. Deze meldingen worden van oudsher ook wel Vertrouwelijke Mededelingen genoemd. Het feit dat een verzekering door de verzekeraar of gevolmachtigd agent is beëindigd, mag worden geregistreerd als aan de voorwaarden uit de toepasselijke werkinstructie is voldaan. Wordt de verzekering beëindigd door de verzekeringnemer zelf, of CIS gebruikersprotocol 01112013 © Stichting CIS
31
kan de aanleiding voor het royement betrokkene niet worden aangerekend, wordt daarvan geen registratie in de CIS databank opgenomen. Stichting CIS kan deelnemers verzoeken aan te tonen dat alle in de werkinstructie voorgeschreven stappen om tot een dergelijke melding te komen, zijn uitgevoerd.
d. Waarborgfondsmeldingen:
Deze meldingen worden ingevoerd door Stichting Waarborgfonds Motorverkeer en kunnen door motorrijtuigenverzekeraars worden toegepast in het acceptatie- en claimproces.
e. Ontzeggingen van de rijbevoegdheid:
De meldingen van een onherroepelijke veroordeling tot een ontzegging van de rijbevoegdheid worden ingevoerd via de Rijksdienst voor het Wegverkeer (RDW) namens het Openbaar Ministerie. Het Openbaar Ministerie mag op grond van artikel 156 Reglement Rijbewijzen 11
deze gegevens aan het Verbond van Verzekeraars verstrekken . Doel van de verstrekking is het vaststellen van de rechten en plichten in het kader van de uitvoering van verzekeringsovereenkomsten. Dat wil zeggen dat motorrijtuigenverzekeraars en hun gevolmachtigd agenten deze informatie bijvoorbeeld gebruiken om te beoordelen of een autoof motorverzekering kan worden afgesloten of dat een claim moet worden gehonoreerd.
f.
Total loss meldingen:
Deze meldingen hebben als doel te voorkomen dat deelnemers verzekeringsaanvragen of claims in behandeling krijgen van voertuigen die al uit het verkeer zijn genomen. Vastlegging van de gegevens van een total loss voertuig beoogt verzekeringsfraude en -criminaliteit tegen te gaan.
g. Sanctielijsten:
Wanneer een deelnemer een raadpleging uitvoert op de databank, en deze levert een overeenkomst op met een persoon of organisatie voortkomende op de sanctielijsten, wordt deze informatie getoond. Daarbij wordt aangegeven dat het om een sanctielijst melding gaat. Voor een treffer via de zoekfunctie van de databank is minimaal een combinatie van twee (persoons)gegevens vereist, (naam+geboortedatum / naam+adresgegevens). De meldingen van de Nederlandse sanctielijst worden terug gevonden onder de meldingen van de European Database. 11
Vanuit het oogpunt van efficiëntie worden OBM’s rechtstreeks via de Rijksdienst voor het Wegverkeer (RDW) aan de CIS databank aangeleverd. De aanlevering vindt plaats op grond van de bevoegdheid van het Verbond van Verzekeraars om kennis te nemen van deze·data ten behoeve van de (uitvoerders van de) motorrijtuigenverzekeraars.
CIS gebruikersprotocol 01112013 © Stichting CIS
32
Artikel 14 Hierin wordt bepaald dat de verantwoordelijkheid voor de meldingen die in de CIS databank zijn vastgelegd, ligt bij de deelnemer die de melding heeft geregistreerd. Stichting CIS is weliswaar verantwoordelijk voor de CIS databank en het beheer van de daarin opgenomen gegevens, maar draagt geen verantwoordelijkheid voor de inhoud van een registratie. De aanleverende deelnemer staat garant voor het feit dat de data die hij in de CIS databank plaatst juist en volledig is en dat hij zich bij de verwerking van persoonsgegevens aan de Wbp heeft gehouden.
Artikel 15 Dit artikel beschrijft de drie categorieën van gebruikers die toegang tot de CIS databank hebben. Het uitgangspunt is dat toegang zoveel mogelijk wordt beperkt en gereguleerd. Het is niet de bedoeling dat iedereen die op enige manier betrokken is bij een deelnemer, bewerker of bij de Stichting CIS toegang tot de CIS databank krijgt.
Voor de medewerkers van Stichting CIS geldt dat zij, voor zover relevant voor hun taken, toegang tot de CIS databank hebben. Het gaat in het bijzonder om medewerkers die zich bezighouden met inzage- en correctieverzoeken, medewerkers klachtbeoordeling en medewerkers die betrokken zijn bij data-analyse, kwaliteitbewaking en monitoren van deelnemers.
De tweede categorie betreft de medewerkers van de deelnemers. Dat zijn door de deelnemer aangewezen medewerkers die ten behoeve van hun werkzaamheden kennis mogen nemen van informatie die in de CIS databank wordt opgeslagen. Bij het bepalen welke medewerkers toegang moeten krijgen, moet rekening worden gehouden met de omschreven doelen waarvoor de betreffende data is vastgelegd en het werk dat de medewerker doet. Denk bijvoorbeeld aan toepassing van de data door medewerkers op een acceptatie-, claim- of veiligheidsafdeling, terwijl directie of postkamer de toegang tot de CIS databank voor hun werk niet nodig hebben.
Een individuele gebruiker moet binnen de organisatie van de deelnemer geautoriseerd zijn voor toegang tot de CIS databank. Via de instellingen in het, aan de CIS databank gekoppelde, softwaresysteem kan door een deelnemer per gebruiker worden ingeregeld tot welke datasoorten hij toegang heeft en wat hij met de betreffende datasoort kan doen. Denk aan een acceptant die naast de raadpleging van de voor zijn werk noodzakelijke meldingen alleen royementen mag invoeren, ten opzichte van een fraudecoördinator die alle informatie kan raadplegen en ook EVR meldingen kan invoeren.
De derde categorie gaat over de medewerkers van de bewerker van de CIS databank. Dit zijn medewerkers van de provider(s) die zijn ingezet om de CIS databank technisch gezien te laten functioneren, beveiligen en verder te ontwikkelen. Als het nodig is – denk aan het verhelpen van verstoringen of uitvoeren van onderhoud – moeten deze medewerkers de CIS databank kunnen benaderen. CIS gebruikersprotocol 01112013 © Stichting CIS
33
Iedere deelnemer heeft binnen zijn eigen organisatie een verantwoordelijke contactpersoon voor Stichting CIS beschikbaar. Deze functionaris meldt een nieuwe medewerker bij Stichting CIS aan voor autorisatie voor toegang tot de CIS databank. Binnen de organisatie zijn ook een of meerdere functionarissen aangewezen als gebruikerbeheerder voor de CIS databank. Deze functionarissen beheren de instellingen waarmee binnen een organisatie de CIS databank voor een medewerker kan worden geopend of afgesloten.
Voor alle gebruikers - ongeacht de categorie waartoe zij volgens dit artikel behoren - geldt de verplichting dat zij kennis hebben genomen van dit gebruikersprotocol.
Artikel 16 In artikel 16 wordt voor toepassing van de CIS databank aangegeven dat de persoonlijke levenssfeer van iedere betrokkene zoveel mogelijk wordt gerespecteerd. Uiteraard zal gebruik van de data uit de CIS databank altijd enige invloed kunnen hebben op de persoonlijke levenssfeer van iemand. Van de deelnemer wordt daarom verwacht dat hij zorgvuldig met de persoonsgegevens omgaat. Hij moet deze binnen de wettelijke kaders en de doelomschrijving voor de verzameling van de data op zodanige wijze voor betrokkene toepassen dat deze daarvan geen onnodige hinder ondervindt.
Omdat een registratie eigendom blijft van de registerende deelnemer, en die partij daar ook verantwoordelijk voor blijft, mag een andere deelnemer niet vrijelijk over de data beschikken. Bij de raadpleging van de CIS databank mag een deelnemer weliswaar kennis nemen van de dataregistraties van een andere deelnemer maar hij mag deze niet voor verwerking buiten het dossier waarvoor de raadpleging plaatsvond, kopiëren. De deelnemer mag de in de CIS databank aangetroffen gegevens niet voor een andere toepassing binnen zijn eigen organisatie opslaan. Dit zou immers tot gevolg kunnen hebben dat informatie voor andere doelen wordt opgeslagen of bijvoorbeeld langer bewaard blijft dan de bewaartermijnen die Stichting CIS hanteert. Ook mag een deelnemer de gegevens uit de CIS databank niet doorgeven aan een onbevoegde derde of aan betrokkene zelf. Betrokkene kan wel zelf een totaaloverzicht van alle beschikbare data ontvangen door een verzoek tot inzage voor te leggen aan Stichting CIS.
Buiten de verplichte contacten tussen Veiligheidsafdelingen bij het aantreffen van een EVR melding, is het mogelijk dat aanvullende informatie over een claim- of royementmelding gewenst is. Zo is het denkbaar dat een verzekeraar meer wil weten over de achterliggende reden voor een royement dat door de verzekeringnemer niet is gemeld bij zijn aanvraag. Van de deelnemer wordt verwacht dat hij eerst informatie zal opvragen bij betrokkene zelf. Betrokkene behoort in principe bekend te zijn met de registraties en de achterliggende redenen. Werkt betrokkene niet mee aan de informatieverstrekking 12
kan dit reden zijn om niet of slechts onder voorwaarden tot acceptatie of uitkering over te gaan .
12
Uiteraard is dit geheel afhankelijk van de mogelijkheden die de onderliggende polisvoorwaarden daar voor bieden. CIS gebruikersprotocol 01112013 © Stichting CIS
34
Als de navraag bij betrokkene niets oplevert, kan dus nog informatie opgevraagd worden bij de primaire bron van de registratie. In elke registratie moeten daartoe altijd de contactgegevens van de deelnemer worden vermeld.
Het gaat echter om uitzonderingen. Voorkomen moet worden dat deelnemers veelvuldig worden benaderd om extra toelichting te geven op bepaalde data. Het is dus mogelijk tussen bevoegde gebruikers nadere informatie over een registratie te delen maar het uitgangspunt is dat beperkt te houden. Zodoende kan onnodige belasting door daaraan verbonden werkzaamheden voor de andere partij worden voorkomen.
In de CIS databank kunnen per meldingsoort verschillende contactgegevens worden ingevoerd. Voor de EVR zal in de registratie altijd een telefoonnummer / e-mailadres van de Veiligheidsafdeling moeten staan. Afhankelijk van de productsoort kan bij een claimmelding ook een andere afdeling als contactadres worden vermeld. De contactinformatie wordt alleen getoond aan degenen die de raadpleging in de CIS databank uitvoeren. De gerichte contactinformatie wordt bij een verzoek tot inzage niet aan betrokkene verstrekt.
Het vermelden van een algemeen informatienummer moet zoveel mogelijk worden vermeden. Als de noodzaak bestaat contact op te nemen met de deelnemer die verantwoordelijk is voor een bepaalde registratie, is het wenselijk dat men direct terecht kan bij de afdeling die de betreffende informatie kan verstrekken.
Het is mogelijk dat informatie die via de CIS databank is geraadpleegd, een rol gaat spelen in een klachten- of gerechtelijke procedure. In dergelijke gevallen kan het gewenst zijn dat de deelnemer waar de klacht zich tegen richt gebruik mag maken van data die door een andere deelnemer in de CIS databank is gezet. Denk bijvoorbeeld aan het bewijs dat sprake is van een niet-nakomen van de mededelingsplicht door het verzwijgen van een royement of claimhistorie. De deelnemer moet voorafgaand aan het gebruik van andermans registraties toestemming krijgen van de deelnemer die de registratie heeft uitgevoerd. Zonder toestemming mag informatie uit de CIS databank niet aan derden worden verstrekt. Het is aan de deelnemer die zich op de data van een ander beroept om aan te tonen dat hij diens toestemming daarvoor heeft verkregen.
Het is de deelnemer ook niet toegestaan om inhoudelijke informatie uit registraties van anderen aan 13
betrokkene of diens (wettelijk) vertegenwoordiger te verstrekken . Wanneer een betrokkene verklaart niets geclaimd te hebben terwijl wel claimmeldingen zijn vastgelegd, kan aan hem worden duidelijk gemaakt dat zijn informatie niet overeenkomt met de informatie uit de CIS databank maar is het niet toegestaan betrokkene mee te delen welke informatie in de CIS databank is aangetroffen. Als betrokkene dit wil weten, moet de deelnemer hem wijzen op zijn recht op inzage en doorverwijzen 13
Dit verbod op verstrekking aan derden geldt ook de assurantietussenpersoon van betrokkene.
CIS gebruikersprotocol 01112013 © Stichting CIS
35
naar de website van Stichting CIS (www.stichtingcis.nl). Stichting CIS zal de registraties van haar deelnemers aan betrokkene beschikbaar stellen.
Artikel 17 Deelnemers zijn, conform artikel 17, verplicht tot naleving van alle wet- en regelgeving op het gebied van de verwerking van persoonsgegevens. Dat houdt onder meer in dat een deelnemer bij het toepassen van de CIS databank handelt volgens de voorschriften en werkinstructies die Stichting CIS daarvoor heeft opgesteld. Stichting CIS heeft bij het opstellen van de instructies rekening gehouden met de wensen uit de praktijk van de deelnemers. Deze wensen worden binnen de wettelijke mogelijkheden zoveel mogelijk ingevuld.
Omdat de Wbp bovenmatige verwerking van persoonsgegevens verbiedt, mogen deelnemers gebruik maken van claimmeldingen van producten die de deelnemer zelf ook (uit)voert. Dit moet voorkomen dat het verzuim van betrokkene om een claimmelding op zijn opstalverzekering te melden op de aanvraag voor een reisverzekering kan leiden tot een non-acceptatie of – in een later stadium – een royement.
Voor speciale meldingen geldt dat deze zijn toegespitst op de regelgeving op grond waarvan zij mogen worden gedeeld. Voor de EVR meldingen moet de deelnemer voldoen aan de regels van het PIFI. De gevolmachtigd agent mag daarbij alleen EVR meldingen toetsten als de risicodrager waarvoor hij de bevraging uitvoert, voldoet aan de regels van het PIFI. Stichting CIS ziet er voor zover mogelijk op toe dat verzekeraars die geen CBP melding hebben gedaan van een incidentenregister en geen toetredingsverklaring tot het PIFI hebben getekend, geen kennis kunnen nemen van de EVR meldingen. Partijen die kennis mogen nemen van EVR registraties kunnen alle registraties raadplegen ongeacht of deze betrekking had op een verzekeringsproduct dat hij niet (uit)voert.
De ontzeggingen van de rijbevoegdheid en meldingen van Stichting Waarborgfonds Motorverkeer zijn niet relevant voor inboedelverzekeraars e.d. Deze informatie wordt alleen beschikbaar gesteld aan verzekeraars die daarbij relevante producten voeren. Zo wordt voorkomen dat bepaalde informatie – bijvoorbeeld over een ontzegging van de rijbevoegdheid – van invloed kan zijn op de besluitvorming voor de aanvraag van een aanvullende ziektekostenverzekering.
Voor de European Database en de Nederlandse sanctielijst geldt, gezien de speciale aard van deze informatie, dat zij voor iedere deelnemer toegankelijk moet zijn. Vanuit haar rol als centraal coördinatiepunt bij de aanpak van verzekeringsfraude en –criminaliteit is het CBV in de gelegenheid alle data in de CIS databank te bevragen. Het CBV mag de CIS data slechts gebruiken voor zover dat voor haar werkzaamheden van belang is. Dat betekent dat het CBV – in geval van een klacht over het gebruik van bepaalde data – desgevraagd aan CIS moet kunnen aantonen waarom de daarop betrekking hebbende bevraging is uitgevoerd. CIS gebruikersprotocol 01112013 © Stichting CIS
36
Voor andere deelnemers die geen verzekeraar of gevolmachtigd agent zijn, geldt dat zij toegang krijgen tot de data die voor de uitvoering van hun werkzaamheden van belang zijn. Zo zal het kenniscentrum Fraudebeheersing in de Zorg van Zorgverzekeraars Nederland bijvoorbeeld geen toegang hebben tot claimmeldingen of registraties van rijontzeggingen, maar als PIFI aangesloten branchevereniging wel kennis kunnen nemen van EVR registraties.
In lid 6 en 7 worden verplichtingen opgelegd die voortvloeien uit de wederkerigheideis die in de deelnemersovereenkomst met Stichting CIS is vastgelegd. Een deelnemer moet aantonen dat hij bepaalde data mag raadplegen. Dit houdt in dat een verzekeraar of gevolmachtigd agent, zodra CIS dat vraagt, moet bewijzen dat hij de verzekeringsproducten aanbiedt waarvan hij in de CIS databank de claimgegevens van andere deelnemers kan raadplegen.
Als een deelnemer op enig moment een bepaald verzekeringsproduct niet meer voert, of hij voldoet bijvoorbeeld niet meer aan de deelnemersvoorwaarden voor het PIFI, moet hij Stichting CIS daarvan zo snel mogelijk in kennis stellen. Omdat het voor Stichting CIS niet mogelijk is alle producten en diensten van alle deelnemers op dagelijkse basis te monitoren, is het van belang dat iedere deelnemer zelf actief informeert over wijzigingen in zijn bedrijfsactiviteiten. Stichting CIS zal vervolgens zorgen dat de bijbehorende data niet langer door de deelnemer kan worden geraadpleegd.
Artikel 18 Artikel 18 legt deelnemers de inspanningsverplichting op informatie zo accuraat mogelijk aan te leveren. Bij die aanlevering moet voldaan worden aan de eisen die in de handleiding voor het systeem van de CIS databank zijn voorgeschreven. Dat wil zeggen dat de deelnemer zorgt dat alle verplichte velden in het format voor aanlevering naar behoren zijn (in)gevuld om verstoringen en vervuiling van de CIS databank te voorkomen.
Bij aanlevering geldt dat altijd de (persoons)gegevens van de eigen verzekeringnemer/verzekerde zijn opgenomen. Deze gegevens moeten over het algemeen immers bekend zijn bij de deelnemer. Betrokkene behoort daarbij op de hoogte te zijn gesteld dat zijn gegevens in de CIS databank worden opgenomen. Voor de gegevens van andere partijen – dat wil zeggen partijen waar de deelnemer geen directe contractuele verbinding mee heeft – vindt aanlevering plaats als betrokkene geïnformeerd is over de opname van zijn gegevens in de CIS databank. Voor aanlevering van de gegevens van de bestuurders van voertuigen volstaat de vermelding op het Europees Schadeformulier voor vastlegging van de gegevens als ze die hebben ingevuld. Voor getuigen kan de informatieplicht worden voldaan door een clausule op een standaardformulier voor getuigenverklaringen op te nemen. Verwacht wordt dat de deelnemer hierin enige inspanning verricht. Stichting CIS zal niet snel aannemen dat het voor een deelnemer onmogelijk is of te veel inspanning zou vergen om een persoon waarvan hij naam en adresgegevens in de CIS databank vastlegt te informeren over die verwerking. CIS gebruikersprotocol 01112013 © Stichting CIS
37
Van iedere registratie moet kunnen worden vastgesteld welke deelnemer verantwoordelijk is voor de aanlevering. Daarom is verplicht gesteld dat in het veld ‘Afhandelaar’ altijd de naam van de betreffende deelnemer wordt vermeld. Dit kan zowel een verzekeraar als een gevolmachtigd agent 14
zijn. Bij het veld ‘risicodrager’ moet altijd de naam van een verzekeraar zijn ingevuld .
Ten aanzien van de aanleveringeisen stelt artikel 18 verder verplicht dat een deelnemer die op de hoogte is van tekortkomingen in zijn aanleveringen/registraties deze zo snel mogelijk zal herstellen. Door de technische inrichting van de CIS databank wordt na een batchaanlevering een aanleveringrapportage aangemaakt en aan de deelnemer teruggekoppeld. Daaruit kan de gebruikerbeheerder van iedere deelnemer afleiden, hoeveel registraties tekortkomingen vertonen en waar deze uit bestaan. Iedere deelnemer is vervolgens verantwoordelijk voor het herstel van de aangegeven fouten.
Artikel 19 Voor een goed gebruik van de CIS databank is tijdige aanlevering van data van groot belang. Iedere deelnemer heeft op grond van artikel 19 een inspanningsverplichting de registraties dagelijks aan te leveren aan de CIS databank. Uiteraard zijn er situaties denkbaar waardoor dagelijkse aanlevering niet mogelijk blijkt te zijn (procesverstoringen, handmatige verwerkingen e.d.). Om die reden biedt de bepaling enige ruimte in de termijn van aanlevering.
Toch is het voor effectieve toepassing van de CIS databank nodig om een uiterste termijn van een batchlevering voor te schrijven. Deze termijn bedraagt vijf werkdagen vanaf het moment dat de gegevens bij de deelnemer zelf zijn vastgelegd. De termijn is relatief kort gesteld omdat de informatie vanaf het eerste moment dat een deelnemer daarmee bekend is, van invloed kan zijn op acceptatievraagstukken of claimbehandeling bij een andere deelnemer. Als veel tijd verloopt tussen het te registeren feit en de feitelijke registratie bij CIS heeft de registratie mogelijk minder of zelfs helemaal geen effect.
Gelet op artikel 7:929 Burgerlijk Wetboek kan een verzekeraar tot twee maanden na het ontdekken van het niet nakomen van de mededelingsplicht daaraan gevolgen verbinden. Omdat het niet haalbaar is om de gegevens van iedere klant of relatie elke twee maanden te controleren in de CIS databank is het van belang om de CIS databank zo actueel mogelijk te houden.
Als informatie tijdig in de CIS databank wordt geplaatst, maar een deelnemer bekijkt die informatie bijvoorbeeld pas in verband met een claimcontrole, kan die deelnemer zich niet meer beroepen op een niet nagekomen mededelingsplicht. Hij had de data immers ten tijde van de beoordeling van de 14
Als sprake is van een gepoolde verzekering, moet in dit verplichte veld de naam van de poolleider worden gekozen. De veldkeuze ‘gepoolde verzekering’ is technisch (nog) niet ingeregeld.
CIS gebruikersprotocol 01112013 © Stichting CIS
38
verzekeringsaanvraag kunnen raadplegen. Naar verwachting zal een rechter oordelen dat de data al ten tijde van het aanvraagtraject voor hem beschikbaar was via de CIS databank. Daarmee kon en behoorde de deelnemer bekend te zijn met de betreffende verzekeringsinformatie en komt hem – op grond van artikel 7:928 lid 4 Burgerlijk Wetboek – geen beroep meer toe op het niet nakomen van de mededelingsplicht door degene die de aanvraag heeft ingediend.
Artikel 20 Ten aanzien van de EVR meldingen is al een aantal keer gesteld dat het PIFI leidend is. Artikel 20 benadrukt dit nogmaals en geeft aan dat uitsluitend verzekeraars via de afdeling Veiligheidszaken EVR meldingen in de CIS databank mogen plaatsen. Gevolmachtigd agenten mogen op grond van het PIFI zelf geen EVR meldingen plaatsen maar kunnen via de CIS databank wel toetsen of de gegevens van een (rechts)persoon in het waarschuwingssysteem zijn vastgelegd. Zodra een EVR wordt geraakt, moet volgens het PIFI de afdeling Veiligheidszaken van de verzekeraar worden ingeschakeld. In het geval de gevolmachtigd agent een EVR raakt, moet hij het proces verleggen naar de Veiligheidsafdeling van de verzekeraar namens wie hij de bevraging op dat moment heeft uitgevoerd.
Artikel 21 Deze bepaling schrijft voor dat deelnemers een wijziging of toevoeging zo spoedig mogelijk in de betreffende registratie doorvoeren. Hier geldt hetzelfde belang als bij de eerste aanlevering. Voor iedere deelnemer is de informatie echt effectief als deze accuraat en zo volledig mogelijk is. Hoe eerder de data wordt gecompleteerd, des te nuttiger deze kan worden ingezet.
Artikel 22 Artikel 22 biedt deelnemers de gelegenheid op onderdelen af te wijken van de aanleveringvereisten. Daarvoor moet instemming van Stichting CIS worden verkregen. Stichting CIS beoordeelt in dat geval of de afwijking geen schending van wet- en regelgeving oplevert en geen ernstige negatieve consequenties heeft voor de (technische prestaties van de) CIS databank. Toestemming tot afwijking wordt alleen verstrekt voor een beperkte periode. Daarin moet de deelnemer bovendien zorgen dat de afwijkingen worden hersteld en in de toekomst niet meer voorkomen.
Artikel 23 In artikel 23 wordt iedereen die data uit de CIS databank kan inzien, verplicht tot geheimhouding. Deze geheimhouding werkt ook door op de functionarissen bij Stichting CIS, de deelnemers en de bewerker die geen eigen toegang tot de CIS databank hebben, maar in voorkomende gevallen wel met informatie uit de CIS databank in aanraking kunnen komen. Denk in dit kader aan ICTmedewerkers of klachtenfunctionarissen bij een deelnemer.
CIS gebruikersprotocol 01112013 © Stichting CIS
39
Deze bepaling is overigens niet bedoeld om informatiedeling binnen een concernorganisatie waar een deelnemer onderdeel van is mogelijk te maken. Het gaat alleen om de medewerkers die werken voor de partij die is aan te merken als CIS deelnemer. In het geval een gevolmachtigd agent bijvoorbeeld samen met een assurantietussenpersoon/bemiddelaar deel uit maakt van dezelfde holdingorganisatie is het niet toegestaan dat data uit de CIS databank wordt verstrekt aan de assurantietussenpersoon ten behoeve van zijn adviseringsactiviteiten. Als een aan CIS deelnemende schadeverzekeraar samen met een inkomensverzekeraar, onderdeel uitmaken van een groter concern, mag de inkomensverzekeraar geen gebruik maken van de CIS data als hij zelf geen CIS deelnemer is. Toepassing
van
de
data
blijft
begrensd
tot
de
partijen
die
beschikken
over
een
deelnemersovereenkomst met Stichting CIS.
Het laatste lid van artikel 23 ziet op de koppeling met andere systemen die kunnen worden gebruikt in acceptatie- of claimbehandeling processen. Stichting CIS wil voorkomen dat data buiten haar toezicht verwerkt kan worden. Stichting CIS moet vooraf kunnen vaststellen dat de persoonsgegevens onder afdoende waarborgen door een deelnemer worden verwerkt en niet ergens anders worden opgeslagen of worden verwerkt op een wijze die niet overeenkomt met de doelomschrijving van Stichting CIS. Als de beheerde informatie op een andere plek – buiten het zicht van Stichting CIS terecht komt, kan dit ook tot gevolg hebben dat bewaartermijnen worden geschonden. Om zicht te houden op rechtmatigheid van de verwerking, stelt Stichting CIS verplicht dat koppeling met andere systemen alleen plaatsvindt met haar instemming. Als een deelnemer zonder instemming van Stichting CIS de beheerde CIS data door derden laat verwerken of anderszins verwerkt op een wijze die niet is toegestaan, kan de toegang tot de CIS databank voor de deelnemer worden afgesloten.
Artikel 24 Artikel 24 is een uitwerking van artikel 13 Wbp. Gezien het vertrouwelijk karakter van de CIS data wordt van iedere deelnemer verwacht dat hij afdoende maatregelen neemt om inbreuken daarop of onrechtmatige verwerking daarvan te voorkomen. De CIS databank bevat naast reguliere persoonsgegevens ook gegevens die worden beschouwd als bijzondere persoonsgegevens op grond van de Wbp. Gezien de aard van de gegevens wordt daarvoor een hogere beveiligingsgraad verwacht dan voor andersoortige persoonsgegevens. Voor toegang tot de CIS databank moeten medewerkers onder meer gebruik maken van een op naam gesteld digitaal certificaat. Toepassing van een persoonsgebonden certificaat door meerdere medewerkers kwalificeert Stichting CIS als beveiligingsrisico en is dan ook niet toegestaan. De deelnemer is verplicht toe te zien op de naleving van de vereiste beveiligingsmaatregelen en kan daarop worden gecontroleerd door Stichting CIS.
Artikel 25 Dit artikel bepaalt dat de deelnemer aansprakelijk is voor de gevolgen die voortkomen uit de wijze waarop hij gegevens aanlevert en gebruikt. Als er sprake is van schending van de toepasselijke wet-
CIS gebruikersprotocol 01112013 © Stichting CIS
40
en regelgeving, en de deelnemer beroept zich op overmacht, moet de deelnemer zelf aantonen dat de schade hem niet kan worden verweten.
Deze aansprakelijkheid stopt niet bij het einde van het deelnemerschap aan Stichting CIS. In het geval een deelnemer door het CIS bestuur wordt geroyeerd, bijvoorbeeld omdat de voorschriften niet zijn nageleefd, blijft die deelnemer aansprakelijk voor de daaruit voortvloeiende schade.
Artikel 26 en 27 Deze artikelen gaan over de rechten van betrokkene en de rechten en plichten die de deelnemers dienaangaande hebben. Het recht op inzage
15
van een betrokkene wordt uitgeoefend via Stichting
CIS. Als een deelnemer van een betrokkene het verzoek ontvangt om inzicht te krijgen in de gegevens die over hem in de CIS databank zijn opgenomen, moet de deelnemer betrokkene verwijzen naar Team Inzage van Stichting CIS. Een deelnemer is immers niet bevoegd om de gegevens die door anderen in de CIS databank zijn vastgelegd, aan betrokkene te verstrekken (zie artikel 16 van dit gebruikersprotocol).
Voor de beoordeling van correctieverzoeken wordt door Stichting CIS wel een beroep op de deelnemer gedaan. Om vast te stellen of persoonsgegevens onjuist of onvolledig zijn verwerkt, zal iedere deelnemer immers zelf een beoordeling op dossierniveau moeten uitvoeren. Stichting CIS zal beoordelen of de correctieverzoeken inhoudelijk voldoende gemotiveerd zijn en, als dat is vastgesteld, deze doorsturen naar de verantwoordelijke deelnemer.
Conform de wettelijke termijn uit artikel 36 Wbp is de verantwoordelijke deelnemer verplicht binnen een termijn van 28 dagen zijn besluit op het verzoek tot correctie mee te delen aan betrokkene. Als de deelnemer deze mededeling rechtstreeks aan betrokkene stuurt, is het van belang dat hij de Stichting CIS informeert over de (wijze van) afronding van het correctieverzoek.
Artikel 28 Artikel 28 is een uitwerking van artikel 38 Wbp. Als tot een correctie van een registratie wordt besloten, moet de verantwoordelijke deelnemer dit zo snel mogelijk verwerken in de CIS databank. Door middel van de technische inrichting van het systeem van de CIS databank wordt een correctie die voortkomt uit het verzoek van betrokkene gemeld aan alle deelnemers die in het jaar voor de 16
correctie dezelfde registratie hebben geraadpleegd .
15 16
Zie artikel 35 Wbp en artikel 14 CIS privacyreglement. Deze melding vindt niet plaats als het om een reguliere mutatie op initiatief van de deelnemer betreft.
CIS gebruikersprotocol 01112013 © Stichting CIS
41
Artikel 29 Voor gevallen waarin Stichting CIS, bijvoorbeeld naar aanleiding van een verzoek tot inzage of correctie – vaststelt dat een registratie niet aan de vereisten voldoet, biedt artikel 29 de mogelijkheid om in te grijpen. Stichting CIS velt geen oordeel over de dossierinhoudelijke aspecten van een registratie (dat blijft verlopen via de deelnemer en reguliere klachtenprocedures) maar treedt wel op in situaties waarin de regels betreffende de CIS databank en de verwerking van gegevens worden geschonden.
Artikel 30 Artikel 30 bevat de geschillenregeling ten aanzien van het gebruikersprotocol. Klachten over de wijze waarop deelnemers dit protocol uitvoeren, worden door Stichting CIS beoordeeld. Stichting CIS zal daarbij de klacht altijd voorleggen aan de betreffende deelnemer om deze in de gelegenheid te stellen daarop te reageren. Behalve in situaties waarin het onderzoek meer tijd in beslag zal nemen, is het streven van Stichting CIS om elke klacht binnen een termijn van vier weken te behandelen.
Artikel 31 Stichting CIS verplicht zich het gebruikersprotocol openbaar te maken. Stichting heeft hierin voorzien door de vermelding van deze regels op het openbaar toegankelijke deel van de website www.stichtingcis.nl. Op verzoek kan het document ook in afschrift worden verstrekt.
Artikel 32 Artikel 32 beschrijft de procedure voor wijziging van het protocol. Alleen het bestuur van Stichting CIS is bevoegd tot wijzigingen te besluiten. Daarbij wordt altijd rekening gehouden met de geldende weten regelgeving. Het reglement wordt aangepast als de wet- en regelgeving daar aanleiding voor geven.
Artikel 33 Artikel 33 bevat de slotbepalingen betreffende de ingangsdatum, citeertitel en de vervallenverklaring van de voorgaande gebruikersvoorschriften van Stichting CIS.
CIS gebruikersprotocol 01112013 © Stichting CIS
42
Belangrijke toepasselijke wetgeving Artikel 42 Wet bescherming persoonsgegevens: 1.
Niemand kan worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn
verbonden of dat hem in aanmerkelijke mate treft, indien dat besluit alleen wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens bestemd om een beeld te krijgen van bepaalde aspecten van zijn persoonlijkheid. 2.
Het eerste lid is niet van toepassing, indien het daar bedoelde besluit:
a. wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst en 1°. aan het verzoek van betrokkene is voldaan of 2°. passende maatregelen zijn genomen ter bescherming van zijn gerechtvaardigd belang, of b. zijn grondslag vindt in een wet waarin maatregelen zijn vastgelegd die strekken tot bescherming van het gerechtvaardigde belang van betrokkene. 3.
Een passende maatregel als bedoeld in het tweede lid, onder a, is getroffen indien betrokkene
in de gelegenheid is gesteld omtrent het besluit als bedoeld in het eerste lid, zijn zienswijze naar voren te brengen. 4.
In het geval, bedoeld in het tweede lid, deelt de verantwoordelijke betrokkene de logica mee
die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.
Artikel 43 Wet bescherming persoonsgegevens De verantwoordelijke kan de artikelen 9, eerste lid, 33, 34 en 35 buiten toepassing laten voor zover dit noodzakelijk is in het belang van:
a. De veiligheid van de staat; b. De voorkoming, opsporing en vervolging van strafbare feiten; c.
Gewichtige economische en financiële belangen van de staat en andere openbare lichamen;
d. Het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b. en c. of e. De bescherming van betrokkene of van de rechten en vrijheden van anderen.
Artikel 6:81 Burgerlijk Wetboek De schuldenaar is in verzuim gedurende de tijd dat de prestatie uitblijft nadat zij opeisbaar is geworden en aan de eisen van de artikelen 82 en 83 is voldaan, behalve voor zover de vertraging hem niet kan worden toegerekend of nakoming reeds blijvend onmogelijk is.
CIS gebruikersprotocol 01112013 © Stichting CIS
43
Artikel 6:82 Burgerlijk Wetboek 1.
Het verzuim treedt in, wanneer de schuldenaar in gebreke wordt gesteld bij een schriftelijke
aanmaning waarbij hem een redelijke termijn voor de nakoming wordt gesteld, en nakoming binnen deze termijn uitblijft. 2.
Indien de schuldenaar tijdelijk niet kan nakomen of uit zijn houding blijkt dat aanmaning
nutteloos zou zijn, kan de ingebrekestelling plaatsvinden door een schriftelijke mededeling waaruit blijkt dat hij voor het uitblijven van de nakoming aansprakelijk wordt gesteld.
Artikel 6:83 Burgerlijk Wetboek Het verzuim treedt zonder ingebrekestelling in: a. wanneer een voor de voldoening bepaalde termijn verstrijkt zonder dat de verbintenis is nagekomen, tenzij blijkt dat de termijn een andere strekking heeft. b. wanneer de verbintenis voortvloeit uit onrechtmatige daad of strekt tot schadevergoeding als bedoeld in artikel 74 lid 1 en de verbintenis niet terstond wordt nagekomen; c.
wanneer de schuldeiser uit een mededeling van de schuldenaar moet afleiden dat deze in de nakoming van de verbintenis zal tekortschieten.
Artikel 6:87 Burgerlijk Wetboek 1.
Voor zover nakoming niet al blijvend onmogelijk is, wordt de verbintenis omgezet in een tot
vervangende schadevergoeding, wanneer de schuldenaar in verzuim is en de schuldeiser hem schriftelijk mededeelt dat hij schadevergoeding in plaats van nakoming vordert. 2.
Geen omzetting vindt plaats, die door de tekortkoming, gezien haar ondergeschikte betekenis,
niet wordt gerechtvaardigd.
Artikel 6:265 Burgerlijk Wetboek 1.
Iedere tekortkoming van een partij in de nakoming van een van haar verbintenissen geeft aan
de wederpartij de bevoegdheid om de overeenkomst geheel of gedeeltelijk te ontbinden, tenzij de tekortkoming, gezien haar bijzondere aard of geringe betekenis, deze ontbinding met haar gevolgen niet rechtvaardigt. 2.
Voor zover nakoming niet blijvend of tijdelijk onmogelijk is, ontstaat de bevoegdheid tot
ontbinding pas, wanneer de schuldenaar in verzuim is.
Artikel 7:928 Burgerlijk Wetboek 1.
De verzekeringnemer is verplicht vóór het sluiten van de overeenkomst aan de verzekeraar
alle feiten mede te delen die hij kent of behoort te kennen, en waarvan, naar hij weet of behoort te begrijpen, de beslissing van de verzekeraar of, en zo ja, op welke voorwaarden, hij de verzekering zal willen sluiten, afhangt of kan afhangen.
CIS gebruikersprotocol 01112013 © Stichting CIS
44
2.
Indien de belangen van een bij het aangaan van de verzekering bekende derde worden
gedekt, omvat de in lid 1 bedoelde verplichting mede de hem betreffende feiten die deze kent of behoort te kennen, en waarvan naar deze weet of behoort te begrijpen, de beslissing van de verzekeraar afhangt of kan afhangen. De vorige zin mist toepassing bij persoonsverzekering. 3.
Betreft een persoonsverzekering het risico van een bekende derde die de leeftijd van zestien
jaren heeft bereikt, dan omvat de mededelingsplicht mede de hem betreffende feiten die deze kent of behoort te kennen en waarvan, naar hij weet of behoort te begrijpen, de beslissing van de verzekeraar afhangt of kan afhangen. 4.
De mededelingsplicht betreft niet feiten die de verzekeraar al kent of behoort te kennen, en
evenmin feiten, die niet tot een voor de verzekeringnemer ongunstiger beslissing zouden hebben geleid. De verzekeringnemer of de derde, bedoeld in lid 2 of lid 3, kan zich er echter niet op beroepen dat de verzekeraar bepaalde feiten al kent of behoort te kennen indien op een daarop gerichte vraag een onjuist of onvolledig antwoord is gegeven. De mededelingsplicht betreft voorts geen feiten waarnaar als gevolg van de artikelen 4 tot en met 6 van de Wet op de medische keuringen in de daar bedoelde gevallen geen medisch onderzoek mag worden verricht en geen vragen mogen worden gesteld. 5.
De verzekeringnemer is slechts verplicht feiten mede te delen omtrent zijn strafrechtelijk
verleden of omtrent dat van derden, voor zover zij zijn voorgevallen binnen de acht jaren die aan het sluiten van de verzekering vooraf zijn gegaan en voor zover de verzekeraar omtrent dat verleden uitdrukkelijk een vraag heeft gesteld in niet voor misverstand vatbare termen. 6.
Indien de verzekering is gesloten op de grondslag van een door de verzekeraar opgestelde
vragenlijst, kan deze zich er niet op beroepen dat vragen niet zijn beantwoord, of feiten waarnaar niet was gevraagd, niet zijn medegedeeld, en evenmin dat een in algemene termen vervatte vraag onvolledig is beantwoord, tenzij is gehandeld met het opzet de verzekeraar te misleiden.
Artikel 7:934 Burgerlijk Wetboek Het niet nakomen van de verplichting tot betaling van de vervolgpremie kan eerst leiden tot beëindiging of schorsing van de verzekeringsovereenkomst of de dekking, nadat de schuldenaar na de vervaldag onder vermelding van de gevolgen van het uitblijven van betaling vruchteloos is aangemaand tot betaling binnen een termijn van 14 dagen, aanvangende de dag na aanmaning. De eerste zin geldt niet voor het geval bedoeld in artikel 83, onder c, van Boek 6.
CIS gebruikersprotocol 01112013 © Stichting CIS
45