Verzekeringsbranche werkt aan een eigen gedragscode

De Registratiekamer is ingesteld in 1989, tegelijk met de inwerkingtreding van de Wet op de Persoonsregistraties. Op basis van artikel 37 van de wet houdt de Registratiekamer toezicht op de werking van registraties en bemiddelt de kamer in het geval geregistreerden menen dat aan hun rechten tekort wordt gedaan. De toezichthouding gebeurt grotendeels naar aanleiding van klachten. De Registratiekamer stelt dan een onderzoek volgens hoor en wederhoor in en komt vervolgens tot een aanbeveling. Daarnaast heeft de Registratiekamer in 1995 en 1996 binnen een aantal organisaties 'privacy audits' uitgevoerd: in een psychiatrisch ziekenhuis, een politiekorps en een handelsinformatiebureau. Momenteel zijn nog audits binnen een bank in uitvoering en bij een Gemeentelijke Basisadministratie in voorbereiding. Carine Zandee: "Bij verschillende audits is gebleken dat bedrijven en organisaties meer registraties onder zich hebben dan ze zelf hadden vermoed. Niet iedereen heeft in de gaten dat wat hij aan gegevens in huis heeft, als een persoonsregistratie moet worden gezien. Op die registraties zijn de regels in de wet evenzeer van toepassing. Vaak valt er daarom nog wel het een en ander bij te schaven op onderdelen van het informatiebeheer."

Rechten van geregistreerden

De bemiddelende taak van de Registratiekamer heeft met name te maken met de rechten van de geregistreerden. Daarbij gaat het dan om het recht op kennisneming van het feit dat men in een registratie is opgenomen, het recht op inzage van de registratie, het recht op correctie door verwijdering of aanvulling van gegevens, en het recht op informatie over de verstrekking van gegevens aan derden. In het geval een geregistreerde van zijn rechten gebruik wil maken en tegen een weigering of een gebrek aan reactie oploopt, kan de Registratiekamer een bemiddelende rol vervullen. "De verzekeringsbranche is een informatie-intensieve branche," zegt Carine Zandee. "Daardoor ontvangen wij natuurlijk wat meer klachten over het verzekeringsbedrijf dan over minder informatie-intensieve branches. De aard van deze klachten is divers. Bemiddeling bij inzage van gegevens komt maar beperkt voor. Wel zijn er nogal eens klachten over het verstrekken van gegevens aan derden en over het ten onrechte gebruikmaken van gegevens, bijvoorbeeld voor marketingactiviteiten. Als uit de klacht zelf blijkt dat die niet terecht is, dan schrijven we de mensen hoe de wet in elkaar zit en dat wij geen aanleiding zien om aan te nemen dat er regels overtreden zijn. Als die mogelijkheid er wel is, dan zullen we eerst de verzekeraar aanschrijven om te proberen de feiten boven tafel te krijgen. Daar kan dan een aanbeveling uit voortkomen. Het is aan de geregistreerden zelf of zij eventueel naar aanleiding van de klacht nog een schadevergoedingsprocedure beginnen."

Handmatige registraties

In de huidige besprekingen tussen de Registratiekamer en het Verbond van Verzekeraars over een gedragscode voor het verzekeringsbedrijf zijn onderwerpen aan de orde die juist voor de verzekeringsbranche van belang zijn. Het hanteren van medische gegevens en van strafrechtelijke gegevens (bijvoorbeeld bij fraudebestrijding) zijn zulke thema's. Het is de bedoeling om voor het einde van het jaar een conceptgedragscode aan de algemene vergadering van het Verbond van Verzekeraars voor te leggen. Daarna zal de code nog door de Registratiekamer moeten worden goedgekeurd. "Het is een ingewikkelde materie," zegt Carine Zandee, "en de standpunten liggen soms nogal uiteen. Bepaalde begrippen zijn voor verschillende interpretaties vatbaar. Het is wel eens moeilijk om tot een formulering te komen waar beide partijen mee kunnen leven. Wat bijvoorbeeld speelt, is in hoeverre handmatige gegevensverzamelingen onder de Wet op de Persoonsregistraties vallen en waarop dus de rechten op inzage of correctie van toepassing zijn. Overigens kunnen bestanden waarop de wet niet van toepassing is, wel degelijk voor inzage vatbaar zijn en moeten deze ook beveiligd kunnen worden. Voor deze bestanden gelden immers de normale zorgvuldigheidsnormen die op grond van het burgerlijk recht in het maatschappelijk verkeer gelden. Er ligt momenteel een voorstel om ten aanzien van dergelijke handmatige bestanden een inspanningsverplichting in de code op te nemen om zo veel als mogelijk is inzage te geven als mensen daar om vragen. De Registratiekamer zou zo'n bepaling van harte toejuichen. Op die manier krijgt de gedragscode een meerwaarde ten opzichte van de Wet op de Persoonsregistraties. En dat is immers de bedoeling!"

Medische gegevens

Een hoofdstuk apart is de registratie en het gebruik van medische, met name genetische gegevens. Op het congres van de FOV over privacybescherming, in maart van dit jaar, sprak Groen-Links-kamerlid Mohammed Rabbae daar zijn bezorgdheid over uit. Momenteel is er slechts één wet, de Wet Van Boxtel ten aanzien van medische keuringen, waarin het gebruik van genetische gegevens expliciet aan de orde is gesteld. Deze wet is overigens nog niet in werking getreden. Carine Zandee: "De maatschappelijke consensus is dat er heel terughoudend moet worden omgegaan met deze gegevens. Ook de Registratiekamer is die mening toegedaan. Onlangs hebben wij een rapport gepubliceerd over genetische gegevens, het rapport 'Gegeven de genen'. Eén van de conclusies daarin is, dat er meer regelgeving moet komen voor het gebruik van deze gegevens buiten de medische wereld, bijvoorbeeld in de verzekeringsbranche. Momenteel doet de verzekeringsbranche aan zelfregulering in de vorm van een moratorium genetische gegevens. Wij hebben echter enige twijfel of dat in de toekomst voldoende zal blijken te zijn. Door de EEG-richtlijnen hebben ook buitenlandse verzekeraars toegang tot de Nederlandse markt. Stel dat Engelse verzekeraars, die wel genetische gegevens kunnen opvragen, daardoor in een voordelige concurrentiepositie komen. Dat zou kunnen betekenen dat het moratorium door de verzekeraars toch heel moeilijk is te handhaven en dat daarom een wettelijke regeling gewenst is."

Gezond verstand

De Wet op de Persoonsregistraties mag voor het verzekeringsbedrijf een algemene regeling zijn, voor wie er mee om moet gaan lijkt de wet nog behoorlijk ingewikkeld. "Mensen moeten zich daardoor niet laten afschrikken," zegt Carine Zandee tot slot. "Het lijkt allemaal heel ingewikkeld, maar je komt al een heel eind als je op een fatsoenlijke manier met gegevens omgaat en een beetje gezond verstand gebruikt. Privacy beschermen is een kwestie van afwegingen maken. Er spelen altijd verschillende belangen waarvan privacy er één is. Voor de afweging van die belangen geeft de wet spelregels, maar ook zonder die spelregels tot in de finesses te kennen is vaak wel duidelijk hoe die afweging moet worden gemaakt. Iedereen weet natuurlijk dat je genetische gegevens niet zo maar op straat kunt gooien. Wel geldt ook hierbij dat het grijze tussengebied altijd het moeilijkste is."

Verschenen in: de Onderlinge, 1997

Peter van Steen, tekstschrijver, info@petervansteen.nl