Privacy in het verzekeringsrecht

Mr. S. de Zwart
De invloed van het privacyrecht op de verzekeringssector is groot. Hoe verzekeraars verzekerden kunnen selecteren, fraude kan worden bewezen of dat bewijs moet worden toegelaten: het zijn vragen die in grote mate worden beantwoord door het privacy-recht. 
In dit artikel wordt het privacyrechtelijke speelveld dat geldt in het verzekeringsrecht uiteengezet. Met het samenspel van specifieke wetgeving en zelfregulering van het Verbond van Verzekeraars bestaat een voor de verzekeringssector uniek speelveld dat nadere bestudering en enkele kritische kanttekeningen verdient. Eerst worden de bronnen van het privacyrecht in het verzekeringsrecht geschetst. Vervolgens wordt de verwerking van gezondheidsgegevens nader beschouwd en het verwerken van persoonsgegevens in het kader van (rechts)vorderingen besproken. Bij gezondheidsgegevens vormt het verwerken van persoonsgegevens ten behoeve van vorderingen een uitzondering op het verwerkingsverbod. Bij strafrechtelijke gegevens vormt het een wettelijke grondslag voor verwerking. Bepleit wordt dat ook ten behoeve van het verweer en buiten rechte gebruik gemaakt kan worden van de mogelijkheden voor verwerking in het kader van rechtsvorderingen. Dan volgt een bespreking van de regelgeving voor informatie-inwinning door verzekeraars. Het toepassingsgebied van de verschillende vormen van regelgeving wordt geschetst en er worden enkele kritische opmerkingen over de inhoud geplaatst. Tot slot wordt kort het onderbelichte rechtsmiddel van art. 35 UAVG behandeld alsmede de verhouding tot het kort geding. In zijn conclusie sluit de auteur af met een aantal aanbevelingen. 
De eerste aanbeveling is gericht aan eenieder die met privacyregels werkt binnen de verzekeringssector. De veelheid aan wetgeving, protocollen en gedragsregels is complex. Gedragscodes kunnen verouderen of onjuiste implementaties bevatten, zeker als zij niet zijn goedgekeurd door de Autoriteit Persoonsgegevens. Het kritisch toetsen van zelfregulering aan de UAVG en AVG en het toetsen van de UAVG aan de AVG biedt ook kansen, zo blijkt uit het artikel. 
De tweede aanbeveling is aan het Verbond gericht. Op basis van de tekst van de GVP (Gedragscode Verwerking Persoonsgegevens Verzekeraars) bestaat de indruk dat verwerking van gezondheidsgegevens door verzekeraars mogelijk is ter waarborging van de integriteit van de sector. De AVG vereist echter een wettelijke basis voor het verwerken van gezondheidsgegevens. Deze basis ontbreekt. Het is wel wenselijk dat in een wettelijke basis wordt voorzien. Zolang dat niet gebeurt, kunnen aan de GVP op dit punt geen rechten worden ontleend. Bovendien biedt, anders dan de GVP stelt, de naleving van wetgeving geen algemene uitzondering op het verwerkingsverbod van gezondheidsgegevens. Interessant is hoe in de nieuwe GVP met deze onderwerpen wordt omgegaan. De GPO (Gedragscode Persoonlijk Onderzoek) dateert van voor de GVP en zal daarom worden herzien. De herziene GVP en GPO zullen dienstbaar zijn en het werk van de praktijkjurist vereenvoudigen. Dat geldt te meer wanneer de gedragscodes door de AP worden goedgekeurd, zodat een nadere toets van de inhoud van de instrumenten minder urgent is. Aangenomen kan dan worden dat de zelfregulering in overeenstemming is met de privacyregels. 
Bovendien zou een wijziging van de GPO er toe kunnen bijdragen dat duidelijker wordt wanneer sprake is van een persoonlijk onderzoek en dat dat onrechtmatig verkregen bewijs minder makkelijk ter zijde wordt geschoven. Dit laatste kan door duidelijk te maken wat de bewijsrechtelijke gevolgen zijn van onrechtmatig verkregen bewijs als gevolg van een persoonlijk onderzoek. 
Ook voor de wetgever is er werk aan de winkel. Artikel 30 lid 3 onder b UAVG, houdende twee uitzonderingen voor verzekeraars op het verbod gezondheidsgegevens te verwerken, is gebaseerd op artikel 9 lid 2 sub h AVG. Naar mening van de auteur sluiten de AVG en de UAVG hier niet op elkaar aan, waardoor de uitzondering op de UAVG geen stand houdt. Verzekeraars worden in artikel 9 lid 2 sub h AVG immers niet genoemd. Mogelijk kan een uitzonderingsmogelijkheid worden gevonden in het algemeen belang (artikel 9 lid 2 sub g AVG) en was dat ook zo bedoeld. Een kleine wetswijziging ligt in dat geval voor de hand. 
Een mogelijkheid waarvan verzekeraars wel zonder nadere wijzigingen in regelgeving gebruik moeten kunnen maken is de vorderingsverwerking. Deze geldt voor gezondheidsgegevens en strafgegevens en dan zowel bij het instellen van een claim als verweer en binnen en buiten rechte. 
De auteur sluit af met de aanbeveling dat de rechtspraak zich rekenschap dient te geven van de ongelukkige Nederlandse vertaling van de AVG wat betreft de vertaling inzake het verweer en de gewijzigde inhoud van de AVG met betrekking tot vorderingen buiten rechte.