Verzekeraars maken gebruik van sociale media om te kijken of mensen die schade hebben, de boel niet oplichten. Dat meldde RTL Nieuws gisteren. Men verwijst naar de Telegraaf, dat meldt over een verzekerde wiens autoverzekering stopgezet zou worden, omdat hij mee zou hebben gedaan aan straatraces. En, voor mij opmerkelijk, dat meldt dat het Cbp dit goedkeurt want “sociale media zijn namelijk nog niet opgenomen in de privacywetgeving.”
Ik weet niet wie ze bij het Cbp aan de lijn hebben gehad maar daar klopt niks van. Goed, letterlijk staat “sociale media” niet in de wet maar ik mag hopen dat woordvoerders íets informatiever zijn dan dat. (Update zie onder voor reactie Cbp). Een publicatie op sociale media is ‘gewoon’ een publicatie op internet, zoals blijkt uit de Richtsnoeren persoonsgegevens op internet van datzelfde Cbp. Die zeggen bijvoorbeeld:
De aanbieders van profielsites zijn samen met de gebruikers medeverantwoordelijk voor de verwerking van persoonsgegevens op de betreffende website. De aanbieders van deze diensten moeten zich daarom houden aan de regels uit de Wbp. … Ze dienen geschikte beveiligingsmaatregelen te treffen, zoals het standaard afschermen van de profielen voor zoekmachines en alleen toegang te bieden aan vrienden van de gebruiker. Ook dienen ze de mogelijkheid te bieden de profielen en elders op de site geplaatste informatie te verwijderen.
Wel is het zo dat wie iets op een profielsite zet zónder privacysettings, daarmee toestemming geeft voor kennisname aan mensen die de pagina bezoeken. Dus ook je verzekeraar. Ook als het gaat om medische gegevens, zoals letterlijk in de Richtsnoeren:
Iedere volwassene die op zijn of haar eigen homepage of weblog met opzet en onder eigen naam gevoelige informatie over zichzelf publiceert, zoals verslagen van medische perikelen, maakt die gegevens duidelijk zelf openbaar. Daardoor vervalt het verbod om die bijzondere gegevens te verzamelen en te verwerken.
Worden die gegevens echter afgeschermd voor alleen een select groepje vrienden, dan wordt dat anders. Dan kan de verzekeraar ze niet zomaar meer zien. En dan zijn ze dus ook niet meer zomaar te gebruiken. Natuurlijk kan de verzekeraar een particulier rechercheur inschakelen die zich dan onder valse naam aan probeert te melden, maar dát is dan wel problematisch. Hun gedragscode vermeldt namelijk dat zij strikt in overeenstemming met de wet moeten werken.
Voor deze gedragscode geldt als eerste basisregel dat de rechten en plichten die gelden voor iedere burger, ook gelden voor particuliere onderzoeksbureaus. Hierbij geldt evenwel dat van particuliere onderzoeksbureaus een grotere mate van zorgvuldigheid mag worden verwacht in het kader van hun beroepsuitoefening. Bij bevoegdheden van iedere burger kan gedacht worden aan het raadplegen van openbare registers (zoals de registers van de Kamer van Koophandel en Fabrieken en de registers van het Kadaster) en openbare bronnen (zoals het internet).
Een particulier rechercheur kan zijn vergunning kwijtraken als hij in strijd met de wet gegevens verzamelt van anderen.
Omdat er bij gebruik van zulke gegevens altijd kans op misverstanden, onduidelijkheden of persoonsverwisselingen bestaan, is het zeer verstandig om altijd eerst navraag te doen. In de context van sollicitaties staat dat zelfs in de NVP-code als expliciete eis. Het lijkt me dat een afwijzing van een verzekeringsclaim zonder zulke navraag vrij eenvoudig te vernietigen moet zijn.
Wat alle problemen op zou lossen, is als verzekeraars bij de polisaanvraag toestemming gaan vragen voor het mogen uitvoeren van dergelijk onderzoek op Facebook en andere sociale media. Dat mag (mits de toestemming specifiek en duidelijk gevraagd wordt) en zeker als je het koppelt aan een korting. Stel je krijgt 5% korting op je verzekeringspremie als je ze laat snuffelen op Facebook, ik gok dat 80% van de verzekerden daarmee akkoord gaat.
Update: (9 november) per mail laat het Cbp weten:
In dat Telegraaf-artikel staat inderdaad een citaat van de woordvoerder van het CBP, zijnde ondergetekende. Helaas was het citaat onvolledig en onjuist. Ik heb niet gezegd of bedoeld te zeggen dat social media niet zijn opgenomen in de privacywetgeving. Inderdaad heeft het CBP al eerder richtsnoeren uitgebracht over persoonsgegevens op internet, waarnaar je ook verwijst in je column. Wat ik wel heb gezegd of bedoeld te zeggen is dat
- het CBP geen onderzoek heeft gedaan naar deze casus en dus geen inhoudelijk oordeel kan geven
- het aan de rechter is om te bepalen wie in deze zaak gelijk is
- en hoe hij het feit dat het bewijs is verkregen via Facebook weegt
- op dit punt moet nog meer jurisprudentie worden ontwikkeld
- de Wet bescherming persoonsgegevens is van toepassing op alle persoonsgegevens, dus ook die op internet staan
Arnoud
Goed stuk! Maar toch een vraag: Als je op facebook een profiel hebt, kun je er tegenwoordig maar beter vanuit gaan dat alles wat je er op zet publiekelijk wordt gemaakt (met al die abbonementen enzo lijkt het wel of privacy echt niet meer bestaat/kunt regelen op FB). Dus als door een “fout” van Facebook of onduidelijkheid van hoe je je moet afschermen oid onbedoeld je informatie (te) publiekelijk staat? In principe zou je Facebook daar wellicht aansprakelijk voor kunnen stellen, maar het gaat er nu om of in zo’n geval de verzekeringsmaatschappij de informatie tegen je mag gebruiken of niet?
Leuk gevonden. Ja bij een fout ligt het moeilijk. Naar je verzekeraar toe is dat pech, als jij bij je schadeclaimbrief ook per ongeluk een vakantiefoto instuurt waaruit blijkt dat je claim onjuist is, dan mag de verzekeraar daarmee de claim afwijzen.
Facebook aansprakelijk stellen voor de fout is lastig, want als gebruiker ben je akkoord met hun algemene voorwaarden en daar staat een uitsluiting van aansprakelijkheid in. Daar kun je in theorie doorheen omdat zo’n beperking snel onredelijk is, maar dat is wel een fors juridisch gevecht als je écht je recht wil halen.
Even een iets andere variant. Ik werk gewoon in loondienst en als we dan bericht krijgen dat we over een week, 14 dagen of maand een nieuwe collega krijgen dan ben ik vaak even nieuwsgierig en ga ik de naam van die persoon even googlen. En indien een persoon een vrij algemene naam heeft vind ik nooit veel bijzonders. (Nou ja, facebook/hyves/twitter en linkedin komen wel vaak naar voren.) En bij nieuwe collega’s met een wat zeldzamere naam vind ik meestal nog wel meer interessante zaken. Dit doe ik natuurlijk uit pure nieuwsgierigheid en in mijn prive-tijd dus buiten mijn werk om. Maar wat als ik op die manier belastende informatie vind over een toekomstige collega? Informatie die tijdens de sollicitatie vast niet naar voren is gekomen maar die voor mijn werkgever wel belangrijk kan zijn? Wat mag ik dan vervolgens doen met die informatie? En wat mag mijn werkgever vervolgens doen met die informatie? En wat nu als ik bij een verzekeraar werk en hetzelfde uithaal in mijn pauses en vrije tijd en zo belastende informatie over een client ontdek? (Dus ik onderzoek het niet beroepsmatig, maar onderzoek het gewoon voor de lol…)
Als het openbaar staat, denk ik dat iedereen het kan en mag gebruiken. Van mensen mag je ondertussen verwachten dat ze weten dat wat ze op internet plaatsen voor iedereen zichtbaar is (tenzij je het zelf afschermt).
@3: Wat als je op een fake-facebookpagina terecht komt die door een ex-vriend(in) van je toekomstige collega opgezet is om een slecht beeld van haar/hem te verspreiden? Het komt voor… Arnoud heeft vaak genoeg over “smaad op Internet” geblogd.
@Wim: Valt dat niet ongeveer in hetzelfde plaatje als code schrijven voor je werkgever in je eigen tijd? Je werkgever is in dat geval eigenaar van die code. Als jij, als toekomstig collega van een sollicitant of verzekeringsagent, informatie opzoekt die relevant is voor je werkgever, dan valt dat toch gewoon onder je werk?
Dus, als je openbare informatie vindt die relevant is voor je werknemer, ben je aan het werk. Niemand zal jou persoonlijk iets kunnen aanrekenen. Zo klinkt het mij in de oren.
@SpacyRicochet en @Wim: Inderdaad, als je dat vindt, dan mag je werkgever dat gebruiken. Behalve natuurlijk bij informatie die kan leiden tot afwijzing op een verboden (discriminerende) grond. Je mag dus een Hyvesstatus “Hoera zwanger” niet gebruiken bij je beslissing, net zo min als iemands profiel op Gaydating.nl of zijn politiek gereaguur op Artikel7.nu.
Voor een verzekeraar ligt dat iets anders, die mag wel medische gegevens gebruiken bij een claim. Wie niet ziek is, kan geen ziektekosten claimen.
Bij die verzekeraar wordt het dan weer wel interessant als het gaat om een autoverzekering en je vind de naam op een patientenplatform voor epilepsie.
@SpacyRicochet, het gaat mij niet om wat ik wel of niet mag. In principe heb ik prive nergens toestemming voor nodig als ik online ga zoeken. Ik hoef mij nergens toe te beperken. Wat alleen lastig is, is dat ik gegevens deel tussen mijn prive-wereld en werk-wereld. En bedrijfsgeheimen, daar moet ik mee oppassen. Maar omdat prive-personen dit gewoon mogen kunnen verzekeraars mogelijk via een omweg dergelijke spionage toch laten uitvoeren. Je kunt namelijk een bonus instellen voor personeel dat belangrijke informatie weet aan te leveren aan het bedrijf. Informatie die de kosten drukken. Een beloning van 10% over de kosten zou dan vrij aantrekkelijk zijn. En wat voor soort informatie het is wordt daarbij niet genoemd. Dus vind je een waardevolle belegging in je prive-tijd, kassa. 10% van de winst erbij. Maak je een handig programma dat de maandelijkse kosten met 500 Euro drukt, kassa! 50 Euro verdiend. En kom je erachter dat iemand niet gehandicapt is maar wel een uitkering krijgt? Kassa! Het bedrijf doet dan niet dergelijk onderzoek maar het personeel kan wel de interesse krijgen om dergelijke zaken prive te onderzoeken! En dat is vooral vervelend omdat het bedrijf deze informatie gewoon kan gebruiken…
Maar het is ook aan het bedrijf om dergelijke informatie nader uit te zoeken. Want inderdaad, het profiel kan vervalst zijn!
Om het interessanter te maken, je kunt natuurlijk ook voor jezelf vervalste profielen aanmaken om zo te kijken of je werkgever jou bespioneert. Schrijf wat dummy teksten op diverse fora’s en maakk her en der allerlei verschilende profielen aan onder je eigen naam en zo maskeer je je echte ikke op het Internet. Want opeens is het onduidelijk welk profiel betrouwbaar is…
@9: Je mag als privé persoon openbare bronnen raadplegen, aan toegang tot niet-openbare bronnen zitten vaak voorwaarden verbonden en het doorgeven van gegevens uit niet-openbare bron kan contractbreuk betekenen. Ik vraag me af of in de constructie zoals jij die omschrijft de werknemers wel als privé persoon bezig zijn, of dat zij gezien zullen worden als agenten die (op stukloon basis) voor het bedrijf werkzaam zijn. In ieder geval zal het bedrijf, zoals je al aangeeft, het aangedragen materiaal zorgvuldig (in bepaalde gevallen met wederhoor) moeten behandelen.
@MathFox, je kunt inderdaad afvragen of zo’n persoon in prive-tijd wel prive-matig bezig is. Het is een soort ondernemers-schap, eigenlijk. Maar als je die personen als klokkenluiders ziet dan bestaat de mogelijkheid dat het bedrijf hen als “anonieme bron” opvoert in een eventuele rechtzaak. Dan kan een bedrijf dus de herkomst van dergelijke informatie proberen verborgen te houden. Bovendien, stel dat je je verzekeraar probeerde op te lichten maar via je Facebook status kwam de verzekeraar achter het bedrog. Ook al heeft de verzekeraar een “verboden middel” gebruikt, in een civiele rechtzaak mag dergelijk bewijs alsnog aangevoerd worden en als het betrouwbaar is zal het zeker tegen jou gebruikt kunnen worden. Dan zul je toch de schade aan de verzekeraar moeten vergoeden. En de verzekeraar krijgt een tik op de vingers wegens het gebruik van “verboden informatie”. Eigenlijk heeft het dan alleen zin om de verzekeraar op hun wangedrag aan te spreken indien de informatie die zij aanvoeren pertinent onjuist is. Zoals in het voorbeeld van de straatrace… Bedrijven moeten sowieso zorgvuldig met alle gegevens omgaan. Ook gegevens die via incorrecte methodes is verzameld.
Ik heb gezegd of bedoeld te zeggen dat ik het royeren van een klant op basis van een alleen een foto die voor interpretatie vatbaar is, zonder een verklaring te vragen of te wegen nogal onzinnig vindt.
@12, Ja het is onzinnig en onzorgvuldig. Maar wat een juridisch interessantere vraag is is of zo’n royement onrechtmatig is.
@11, Bij werknemers die aan hun reguliere werkgever (tegen betaling) diensten verlenen wordt al heel snel aangenomen dat het om werkzaamheden in dienstverband gaat. (O.a. door de belastingdienst.) Dat heeft ook gevolgen voor aansprakelijkheid van de werkgever. Giecheltoets: Voor wat ik overdag voor mijn baas doe ontvang ik salaris; maar wat ik ’s avonds voor dezelfde baas doe, doe ik als zelfstandig ondernemer. ??? Heeft U naast Uw baas ook andere opdrachtgevers? ??? Nee.
Je zou eens op een foto bij iemand anders staan. FaceBook koppelt gezichtsherkenning aan eerdere fototags, dus zelfs als je geen facebookaccount hebt, kan je alsnog met naam en al op het Internet staan met foto’s die je helemaal niet online wilt….
@Peter:
Het lijkt me dan de vraag of de verzekeraar de persoon die zich wil verzekeren mag vragen of hij aan epilepsie lijdt. Zo nee, dan mag hij de persoon ook niet op die grond afwijzen (geen 100% logische implicatie, maar lijkt me wel te kloppen). Zo ja, dan dient de persoon de vraag naar waarheid te beantwoorden en komt het voor risico van die persoon als de verzekeraar er op één of andere manier achterkomt dat hij liegt of heeft gelogen.@WhizzMan:
Goed punt.Ik vermoed dat de “toestemming” er eigenlijk niet veel toe doet. Het lijkt mij dat een verzekeraar informatie die voor iedereen op internet te vinden is gewoon mag gebruiken als daaruit zou blijken dat iemand fraudeert. (En natuurlijk gelden hierbij de gewone bewijsregels en is er een recht op hoor en wederhoor.)
Van de ene kant vind ik het teveel op de privacy ingaan. Facebook is sowieso helemaal niks wat betreft privacy! Google + doet dit helemaal anders en zou wellicht daarom kunnen winnen van facebook maar even terug naar het onderwerp. Van de ene kant is het ook niet goed dat mensen de boel oplichten. Voor de mensen die de boel proberen op te lichten is het dus oke om die profielen te bekijken maar voor onschuldige mensen niet. Je kunt echter niet van te voren weten of iemand schuldig is of niet, dus je moet de profielen gaan nakijken terwijl je dan ook de privacy van wellicht onschuldigen doet schenden. Dat is natuurlijk niet goed maar desalniettemin kost het ons meer geld wanneer mensen de boel oplichten en de verzekeraar meer moet uitbetalen. Ik vind het dus oke dat de verzekeraars het doen, de mensen moeten maar beter opletten en beseffen dat hetgeen ze op internet zetten ook wel eens gezien kan worden door derden die er wellicht niks mee te maken hebben.