De Autoriteit Persoonsgegevens (AP) verleent ruim 160 financiële instellingen, waaronder 80 verzekeraars, een vergunning om – onder strenge voorwaarden – gegevens van fraudeurs te registeren en met elkaar te delen in een incidentenwaarschuwingssysteem. Fraudeurs zijn namelijk vaak actief bij meerdere instellingen. Banken en verzekeraars kunnen elkaar hiervoor waarschuwen door fraude-informatie uit te wisselen.
Deelnemende verzekeraars werken samen met het Centrum Bestrijding Verzekeringscriminaliteit (CBV), onderdeel van het Verbond van Verzekeraars, dat het waarschuwingssysteem een belangrijk hulpmiddel noemt in de strijd tegen verzekeringsfraude en andere vormen van verzekeringscriminaliteit. “Dat verzekeraars elkaar waarschuwen voor personen die misbruik maken van verzekeringen is in het belang van iedere verzekerde die premie betaalt,” zegt Roelof Visscher, manager van het CBV. “Het is een lang en zorgvuldig proces geweest om het nieuwe protocol te realiseren”, vertelt Visscher verder, “we zijn blij dat daarmee deze onmisbare vorm van informatiedeling voor de verzekeringssector in stand blijft. Zo voorkomen we dat fraudeplegers bij financiële instellingen vrij spel hebben en zij hun gedrag kunnen herhalen.”
PIFI
De voorwaarden voor de gegevensuitwisseling staan in het nieuwe Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Dit protocol bevat regels waaraan banken en verzekeraars moeten voldoen om informatie over incidenten, zoals identiteitsfraude of bankhelpdeskfraude (spoofing), bij te houden en uit te wisselen.
AP-bestuurslid Katja Mur: ‘Banken en verzekeraars mogen dit soort gegevens alleen delen als zij een vergunning hiervoor hebben en zich houden aan het PIFI. De AP kan een vergunning ook weer intrekken als blijkt dat een onderneming zich niet houdt aan dit protocol.’
Financiële instellingen mogen zelf een overzicht van incidenten binnen de eigen organisatie bijhouden, inclusief persoonsgegevens. Maar ze mogen niet zomaar grootschalig gegevens uitwisselen. In PIFI is hier een strikte procedure voor. Als een instelling bijvoorbeeld een nieuwe klant aanneemt, mag deze instelling andere instellingen ‘bevragen’ of diegene geregistreerd staat.
Er komt geen centrale database of zwarte lijst waarin gezocht kan worden naar details over incidenten. Bij iedere vraag moeten de instellingen afwegen of het noodzakelijk is om de gegevens te verstrekken of te ontvangen.
Rechten van klanten
Banken en verzekeraars beheren gegevens zelf en blijven verantwoordelijk. Klanten van deze financiële instellingen hebben doorgaans het recht om te horen of zij geregistreerd staan. Ook kunnen zij bezwaar maken als zij menen dat hun registratie onterecht is.
‘Fraudebestrijding en het opsporen van daders zijn natuurlijk van groot belang’, zegt Mur. ‘Maar het bijhouden en delen van strafrechtelijke gegevens moet wel met grote terughoudendheid en zorgvuldigheid gebeuren. We hebben in de Toeslagenaffaire gezien dat mensen ‘op het verkeerde lijstje’ terecht kunnen komen, met vreselijke gevolgen. Sta jij als fraudeur te boek, dan kan dat grote gevolgen hebben. Bijvoorbeeld dat je geen verzekering of lening kunt aanvragen.’
Het PIFI is tot stand gekomen door de Nederlandse Vereniging van Banken, het Verbond van Verzekeraars, de Stichting Fraudebestrijding Hypotheken, de Vereniging van Financieringsondernemingen in Nederland en Zorgverzekeraars Nederland.
Meer informatie over het PIFI, zoals het besluit, is te vinden in het Register vergunningen.
Gegevens uitwisselen met PIFI
Het PIFI ziet erop toe dat de rechten van alle betrokkenen worden beschermd en verzekeraars zorgvuldig omgaan met de gegevens van hun klanten. Persoonsgegevens komen alléén in het waarschuwingssysteem terecht wanneer er overtuigend bewijs is van onrechtmatig handelen en alle regels van het PIFI gevolgd zijn. Het waarschuwingssysteem is geen ‘zwarte lijst’, maar zorgt ervoor dat kan worden getoetst of iemand bij een (andere) financiële instelling is opgenomen als fraudeur.
Klanten van verzekeraars behouden het recht om te weten of zij geregistreerd staan én het recht om bezwaar te maken tegen een onjuiste registratie. De AP kan een vergunning intrekken als blijkt dat een organisatie zich niet houdt aan het nieuwe protocol.
Deelnemers PIFI
Het PIFI is tot stand gekomen door inzet van de AP in samenwerking met de Nederlandse Vereniging van Banken, het Verbond van Verzekeraars, de Stichting Fraudebestrijding Hypotheken, de Vereniging van Financieringsondernemingen in Nederland en Zorgverzekeraars Nederland.
