Mogen verzekeraars claims verifiëren middels Facebook?

straatrace-facebook.pngVerzekeraars maken gebruik van sociale media om te kijken of mensen die schade hebben, de boel niet oplichten. Dat meldde RTL Nieuws gisteren. Men verwijst naar de Telegraaf, dat meldt over een verzekerde wiens autoverzekering stopgezet zou worden, omdat hij mee zou hebben gedaan aan straatraces. En, voor mij opmerkelijk, dat meldt dat het Cbp dit goedkeurt want “sociale media zijn namelijk nog niet opgenomen in de privacywetgeving.”

Ik weet niet wie ze bij het Cbp aan de lijn hebben gehad maar daar klopt niks van. Goed, letterlijk staat “sociale media” niet in de wet maar ik mag hopen dat woordvoerders íets informatiever zijn dan dat. (Update zie onder voor reactie Cbp). Een publicatie op sociale media is ‘gewoon’ een publicatie op internet, zoals blijkt uit de Richtsnoeren persoonsgegevens op internet van datzelfde Cbp. Die zeggen bijvoorbeeld:

De aanbieders van profielsites zijn samen met de gebruikers medeverantwoordelijk voor de verwerking van persoonsgegevens op de betreffende website. De aanbieders van deze diensten moeten zich daarom houden aan de regels uit de Wbp. … Ze dienen geschikte beveiligingsmaatregelen te treffen, zoals het standaard afschermen van de profielen voor zoekmachines en alleen toegang te bieden aan vrienden van de gebruiker. Ook dienen ze de mogelijkheid te bieden de profielen en elders op de site geplaatste informatie te verwijderen.

Wel is het zo dat wie iets op een profielsite zet zónder privacysettings, daarmee toestemming geeft voor kennisname aan mensen die de pagina bezoeken. Dus ook je verzekeraar. Ook als het gaat om medische gegevens, zoals letterlijk in de Richtsnoeren:

Iedere volwassene die op zijn of haar eigen homepage of weblog met opzet en onder eigen naam gevoelige informatie over zichzelf publiceert, zoals verslagen van medische perikelen, maakt die ge­gevens duidelijk zelf openbaar. Daardoor vervalt het verbod om die bijzondere gegevens te verzamelen en te verwerken.

Worden die gegevens echter afgeschermd voor alleen een select groepje vrienden, dan wordt dat anders. Dan kan de verzekeraar ze niet zomaar meer zien. En dan zijn ze dus ook niet meer zomaar te gebruiken. Natuurlijk kan de verzekeraar een particulier rechercheur inschakelen die zich dan onder valse naam aan probeert te melden, maar dát is dan wel problematisch. Hun gedragscode vermeldt namelijk dat zij strikt in overeenstemming met de wet moeten werken.

Voor deze gedragscode geldt als eerste basisregel dat de rechten en plichten die gelden voor iedere burger, ook gelden voor particuliere onderzoeksbureaus. Hierbij geldt evenwel dat van particuliere onderzoeksbureaus een grotere mate van zorgvuldigheid mag worden verwacht in het kader van hun beroepsuitoefening. Bij bevoegdheden van iedere burger kan gedacht worden aan het raadplegen van openbare registers (zoals de registers van de Kamer van Koophandel en Fabrieken en de registers van het Kadaster) en openbare bronnen (zoals het internet).

Een particulier rechercheur kan zijn vergunning kwijtraken als hij in strijd met de wet gegevens verzamelt van anderen.

Omdat er bij gebruik van zulke gegevens altijd kans op misverstanden, onduidelijkheden of persoonsverwisselingen bestaan, is het zeer verstandig om altijd eerst navraag te doen. In de context van sollicitaties staat dat zelfs in de NVP-code als expliciete eis. Het lijkt me dat een afwijzing van een verzekeringsclaim zonder zulke navraag vrij eenvoudig te vernietigen moet zijn.

Wat alle problemen op zou lossen, is als verzekeraars bij de polisaanvraag toestemming gaan vragen voor het mogen uitvoeren van dergelijk onderzoek op Facebook en andere sociale media. Dat mag (mits de toestemming specifiek en duidelijk gevraagd wordt) en zeker als je het koppelt aan een korting. Stel je krijgt 5% korting op je verzekeringspremie als je ze laat snuffelen op Facebook, ik gok dat 80% van de verzekerden daarmee akkoord gaat.

Update: (9 november) per mail laat het Cbp weten:

In dat Telegraaf-artikel staat inderdaad een citaat van de woordvoerder van het CBP, zijnde ondergetekende. Helaas was het citaat onvolledig en onjuist. Ik heb niet gezegd of bedoeld te zeggen dat social media niet zijn opgenomen in de privacywetgeving. Inderdaad heeft het CBP al eerder richtsnoeren uitgebracht over persoonsgegevens op internet, waarnaar je ook verwijst in je column. Wat ik wel heb gezegd of bedoeld te zeggen is dat
  • het CBP geen onderzoek heeft gedaan naar deze casus en dus geen inhoudelijk oordeel kan geven
  • het aan de rechter is om te bepalen wie in deze zaak gelijk is
  • en hoe hij het feit dat het bewijs is verkregen via Facebook weegt
  • op dit punt moet nog meer jurisprudentie worden ontwikkeld
  • de Wet bescherming persoonsgegevens is van toepassing op alle persoonsgegevens, dus ook die op internet staan

Arnoud

Het doorlopen van webpagina’s

bromfiets-verzekering-plaatje-nummerbord.jpgOvereenkomsten sluiten via internet blijkt toch weer een moeilijke zaak, zeker als je wederpartij achteraf gewoon keihard ontkent er een gesloten te hebben. Een recent vonnis van de kantonrechter Alkmaar is daar een mooi voorbeeld van. De eiser stelde dat de gedaagde met hem een overeenkomst voor een bromfietsverzekering had gesloten via haar website. De gedaagde ontkende, waarop de kantonrechter de eiser opdroeg met nader bewijs te komen van de stappen die je op de site moest doorlopen.

Dat bewijs kwam er, maar het blijkt bepaald niet overtuigend. De rechter wil meer zien dan een stapel schermafdrukken, zo blijkt:

Weliswaar valt uit de overgelegde schermafdrukken van webpagina’s af te leiden hoe er met [eiser] via internet een overeenkomst tot stand kan komen, maar nog steeds is niet gebleken dat [gedaagde] deze webpagina’s heeft doorlopen. Zo heeft [eiser] geen gegevens overgelegd waaruit blijkt welke webpagina’s ten tijde van het sluiten van de gestelde overeenkomst, 2 maart 2008, op de website […….] zichtbaar waren en een bezoeker daarvan moest doorlopen om een overeenkomst tot stand te laten komen. Aldus is niet vast komen te staan dat tussen partijen een overeenkomst tot stand is gekomen.

Schermafdrukken van nu bewijzen niet hoe de website in 2008 opereerde, en al helemaal niet dat de gedaagde partij daar ook werkelijk doorheen is gelopen. Een terecht punt, maar dit is wel de manier waarop veel bedrijven het zullen doen. (Verzamelen jullie meer informatie dan dit?) Ik ken er maar weinig die bijvoorbeeld het IP-adres loggen van elke bezoeker die op “Bestel nu” klikt of schermafdrukken van hun site maken op het moment dat die een update krijgt.

Een paar dagen later kreeg de gedaagde een verzekeringspolis thuisgestuurd. Dat bewijst m.i. dat wel degelijk alle pagina’s zijn doorlopen en dat op de knop “direct afsluiten” moet zijn gedrukt, want dat is de enige redelijke verklaring voor het feit dat het systeem van de eiser zo’n polis genereert en opstuurt.

Maar wat daar nog ontbreekt, is bewijs dat de gedaagde dat allemaal heeft gedaan. Het had ook zijn buurman kunnen zijn immers.

Nu zou je kunnen zeggen, als je zomaar een polis krijgt dan moet je aan de bel gaan hangen, maar nee:

Dat [eiser] vervolgens een verzekeringspolis aan [gedaagde] heeft toegezonden en hem erop heeft gewezen dat, indien hij niet binnen 14 dagen reageert, de op het polisblad vermelde gegevens worden verondersteld juist te zijn, maakt het voorgaande niet anders. Het niet-reageren op een dergelijk bericht, kan in redelijkheid niet worden beschouwd als wilsverklaring van [gedaagde] gericht op de totstandkoming van een overeenkomst.

De rechter lijkt hier impliciet artikel 7:7 BW aan te halen, waarin staat dat je ongevraagde zendingen “ten einde hem tot een koop te bewegen” en ongevraagde dienstverlening niet mag opvatten als een akkoord daarvoor. Stilzwijgend toelaten dat je ramen gelapt worden is geen grond voor een factuur, en verzekering is net zo goed een dienst als ramen lappen.

Het roept wel een fundamentele vraag op: hoe had deze verzekeringsmaatschappij dan wél moeten bewijzen dat het de gedaagde was die de bestelling had geplaatst? Zowat alles dat op een website wordt ingevuld, kan immers ook door de buurman of een kennis worden ingevuld.

Arnoud

Opzegtermijn van een dienstverlening op afstand

Wie iets koopt via internet, mag binnen zeven werkdagen na ontvangst van het product de koop ongedaan maken. Hij moet het product dan terugsturen (en zelf de verzendkosten betalen), en krijgt uiteraard zijn geld terug. Maar hoe zit dat bij het afnemen van diensten via internet? Denk aan een betaalwebsite of een via een 0900-nummer afgesloten abonnement.

Zeven werkdagen na sluiten overeenkomst<br/> De Wet Koop op Afstand zegt dat de bedenktijd van zeven werkdagen “van overeenkomstige toepassing” is op overeenkomsten voor dienstverlening (art. 7:46i BW). Dat betekent dat je binnen zeven dagen na de dag dat de overeenkomst wordt gesloten, deze mag ontbinden (art. 7:47i lid 6 BW). De dag dus dat de klant op de “Akkoord” of “Bestel”-knop drukt. Niet per se de dag dat je de bevestigingsbrief van de leverancier krijgt.

Alleen, art. 7:46c lid 2 eist dat de dienstverlener bepaalde informatie schriftelijk verstrekt bij de nakoming van de gesloten overeenkomst. Vanaf ontvangst van die brief heb je ook een zevendagentermijn om op te zeggen. In de meeste gevallen krijg je de brief natuurlijk pas enkele dagen later dan de dag waarop je de overeenkomst sloot, dus “zeven dagen vanaf de bevestigingsbrief” is een aardige vuistregel. Op tentamens E-commerce op juridische faculteiten krijgt dat antwoord echter niet het volledig aantal punten.

Als de dienstverlener vergeet de brief te sturen, of er onjuiste informatie in zet, dan verandert deze termijn in een driemaandentermijn. De leverancier heeft dan nog één redmiddel: hij kan de ontbrekende informatie nasturen, en dan heeft de klant ineens weer een termijn van zeven werkdagen na ontvangst van die informatie. De driemaandentermijn komt dan dus te vervallen.

Gratis proefabonnement?<br/> Nu lijkt het of je met deze bepaling bij elke dienst zeven dagen lang een gratis “proefabonnement” kunt nemen. Maar zo werkt het niet altijd. Art. 7:46i sub 5 BW zegt dat het ontbindingsrecht niet geldt voor dienstverleningen die met instemming van de klant zijn begonnen voordat de termijn is verlopen. Wie bijvoorbeeld een webhostingabonnement neemt, dezelfde dag nog inlogcodes krijgt en zijn website uploadt, kan zeven dagen later niet meer gebruik maken van de wettelijke opzegtermijn.

Als de leverancier vergeet te vertellen hoe het zit met de opzegtermijn, dan heeft de klant wel een bedenktijd en wel van drie maanden. Ook als hij meteen op dag één van de dienst gebruik kon maken. Ook hier kan de leverancier dan maar beter zo snel mogelijk de ontbrekende informatie nasturen: dan mag de klant binnen zeven werkdagen beslissen of hij er alsnog onderuit wil. Een zware sanctie voor de dienstverlener misschien, maar het is natuurlijk erg belangrijk dat de consument goed wordt geïnformeerd over de mogelijkheden van de geleverde dienst.

Arnoud