Internetrecht door Arnoud Engelfriet

Verzekeraars maken gebruik van sociale media om te kijken of mensen die schade hebben, de boel niet oplichten. Dat meldde RTL Nieuws gisteren. Men verwijst naar de Telegraaf, dat meldt over een verzekerde wiens autoverzekering stopgezet zou worden, omdat hij mee zou hebben gedaan aan straatraces. En, voor mij opmerkelijk, dat meldt dat het Cbp dit goedkeurt want “sociale media zijn namelijk nog niet opgenomen in de privacywetgeving.”

Ik weet niet wie ze bij het Cbp aan de lijn hebben gehad maar daar klopt niks van. Goed, letterlijk staat “sociale media” niet in de wet maar ik mag hopen dat woordvoerders íets informatiever zijn dan dat. (Update zie onder voor reactie Cbp). Een publicatie op sociale media is ‘gewoon’ een publicatie op internet, zoals blijkt uit de Richtsnoeren persoonsgegevens op internet van datzelfde Cbp. Die zeggen bijvoorbeeld:

De aanbieders van profielsites zijn samen met de gebruikers medeverantwoordelijk voor de verwerking van persoonsgegevens op de betreffende website. De aanbieders van deze diensten moeten zich daarom houden aan de regels uit de Wbp. … Ze dienen geschikte beveiligingsmaatregelen te treffen, zoals het standaard afschermen van de profielen voor zoekmachines en alleen toegang te bieden aan vrienden van de gebruiker. Ook dienen ze de mogelijkheid te bieden de profielen en elders op de site geplaatste informatie te verwijderen.

Wel is het zo dat wie iets op een profielsite zet zónder privacysettings, daarmee toestemming geeft voor kennisname aan mensen die de pagina bezoeken. Dus ook je verzekeraar. Ook als het gaat om medische gegevens, zoals letterlijk in de Richtsnoeren:

Iedere volwassene die op zijn of haar eigen homepage of weblog met opzet en onder eigen naam gevoelige informatie over zichzelf publiceert, zoals verslagen van medische perikelen, maakt die ge­gevens duidelijk zelf openbaar. Daardoor vervalt het verbod om die bijzondere gegevens te verzamelen en te verwerken.

Worden die gegevens echter afgeschermd voor alleen een select groepje vrienden, dan wordt dat anders. Dan kan de verzekeraar ze niet zomaar meer zien. En dan zijn ze dus ook niet meer zomaar te gebruiken. Natuurlijk kan de verzekeraar een particulier rechercheur inschakelen die zich dan onder valse naam aan probeert te melden, maar dát is dan wel problematisch. Hun gedragscode vermeldt namelijk dat zij strikt in overeenstemming met de wet moeten werken.

Voor deze gedragscode geldt als eerste basisregel dat de rechten en plichten die gelden voor iedere burger, ook gelden voor particuliere onderzoeksbureaus. Hierbij geldt evenwel dat van particuliere onderzoeksbureaus een grotere mate van zorgvuldigheid mag worden verwacht in het kader van hun beroepsuitoefening. Bij bevoegdheden van iedere burger kan gedacht worden aan het raadplegen van openbare registers (zoals de registers van de Kamer van Koophandel en Fabrieken en de registers van het Kadaster) en openbare bronnen (zoals het internet).

Een particulier rechercheur kan zijn vergunning kwijtraken als hij in strijd met de wet gegevens verzamelt van anderen.

Omdat er bij gebruik van zulke gegevens altijd kans op misverstanden, onduidelijkheden of persoonsverwisselingen bestaan, is het zeer verstandig om altijd eerst navraag te doen. In de context van sollicitaties staat dat zelfs in de NVP-code als expliciete eis. Het lijkt me dat een afwijzing van een verzekeringsclaim zonder zulke navraag vrij eenvoudig te vernietigen moet zijn.

Wat alle problemen op zou lossen, is als verzekeraars bij de polisaanvraag toestemming gaan vragen voor het mogen uitvoeren van dergelijk onderzoek op Facebook en andere sociale media. Dat mag (mits de toestemming specifiek en duidelijk gevraagd wordt) en zeker als je het koppelt aan een korting. Stel je krijgt 5% korting op je verzekeringspremie als je ze laat snuffelen op Facebook, ik gok dat 80% van de verzekerden daarmee akkoord gaat.

Update: (9 november) per mail laat het Cbp weten:

In dat Telegraaf-artikel staat inderdaad een citaat van de woordvoerder van het CBP, zijnde ondergetekende. Helaas was het citaat onvolledig en onjuist. Ik heb niet gezegd of bedoeld te zeggen dat social media niet zijn opgenomen in de privacywetgeving. Inderdaad heeft het CBP al eerder richtsnoeren uitgebracht over persoonsgegevens op internet, waarnaar je ook verwijst in je column. Wat ik wel heb gezegd of bedoeld te zeggen is dat

• het CBP geen onderzoek heeft gedaan naar deze casus en dus geen inhoudelijk oordeel kan geven
• het aan de rechter is om te bepalen wie in deze zaak gelijk is
• en hoe hij het feit dat het bewijs is verkregen via Facebook weegt
• op dit punt moet nog meer jurisprudentie worden ontwikkeld
• de Wet bescherming persoonsgegevens is van toepassing op alle persoonsgegevens, dus ook die op internet staan

Arnoud

Excuses voor de vertraging, maar ik moest het even nazoeken. Zoals donderdag beloofd: wat is er per 1 juli gewijzigd over algemene voorwaarden en de rechtsgeldigheid van elektronische documenten?

De regels over algemene voorwaarden (art. 6:234 BW) zijn veranderd. Het wetsartikel is herschreven, met name om de leesbaarheid te vergroten (voor zover haalbaar, het is en blijft een draak van een artikel).

Een belangrijke wijziging is dat je nu ook bij “gewone” (niet-elektronische) contracten de algemene voorwaarden elektronisch mag aanleveren. Je mag dus een papieren contract tekenen (of een mondelinge overeenkomst sluiten) waarbij je de voorwaarden als PDF mailt. Wel vereist dit “uitdrukkelijke instemming van de wederpartij”. Het is dus niet toegestaan om in de algemene voorwaarden te zetten “Wederpartij verleent hierbij uitdrukkelijke instemming voor elektronische aanlevering van deze voorwaarden”. Niet dat dat veel mensen ervan zal weerhouden om het toch te doen (t-shirt voor de spotter van het eerste voorkomen hiervan.)

Een grotere wijziging is artikel 156a Rechtsvordering over elektronische akten - ondertekende geschriften die als bewijs dienen. Zo’n document mag nu ook elektronisch, mits (pas op, juridische mond vol):

het degene ten behoeve van wie de akte bewijs oplevert, in staat stelt om de inhoud van de akte op te slaan op een wijze die deze inhoud toegankelijk maakt voor toekomstig gebruik gedurende een periode die is afgestemd op het doel waarvoor de akte bestemd is te dienen, en die een ongewijzigde reproductie van de inhoud van de akte mogelijk maakt.

Ik kan daar niet veel meer van maken dan “je moet kunnen nalezen wat er getekend is” maar ongetwijfeld zitten hier heel veel nuances aan. Een PDF met elektronische handtekening voldoet aan deze eis.

Deze regels zijn ingevoerd op grond van het wetsvoorstel over elektronische aktes, dat met name bedoeld was om elektronische verzekeringspolissen mogelijk te maken. Logischerwijs is er dan ook een wetsartikel ingevoerd (art. 7:932 BW) dat zegt dat verzekeringspolissen nu elektronisch mogen. En dat gaat vrij eenvoudig met de bovengenoemde wijzigingen: die polis is een akte en moet dus voldoen aan de hierboven genoemde eis voor aktes, en de polisvoorwaarden zijn algemene voorwaarden en moeten dus voldoen aan de eisen van opslaanbaarheid. Plus, je mag bij een ‘gewone’ papieren polis nu met de verzekeringnemer afspreken dat de voorwaarden worden gemaild of te downloaden zijn.

Wel is er een extra eis aan de elektronische handtekening: die moet een “geavanceerdegekwalificeerde elektronische handtekening” zijn, en de mensen die weten wat dat betekent mogen nu de paracetamol grijpen. Inderdaad, dat is zo’n ding waarbij er geavanceerde wiskunde wordt gebruikt, een smartcard moet worden ingezet, een digitaal certificaat moet zijn verkregen en minstens 200 uren aan dure consultants moet zijn besteed voor het implementatietraject. Ik ben dan ook zeer benieuwd wanneer de eerste elektronische polissen daadwerkelijk aangeboden worden - en of ze ook echt gaan voldoen aan die voorwaarden.

Arnoud