Tag: Verzekering

About Verzekering

Subscribe Feeds

Ben je verzekerd tegen inboedelschade door een te spannend VR spel?

Geplaatst op in Ondernemingsvrijheid, 12 reacties
Pexels / Pixabay

Een Britse verzekeraar meldt dat het aantal claims dat consumenten vorig jaar hebben ingediend ten gevolge van ongelukken en schade door het gebruik van vr-brillen in vijf jaar tijd met 68 procent is gestegen. Dat las ik bij Tweakers afgelopen maandag. Als je met een vr-bril actief bent, maak je immers bewegingen die zich kunnen vertalen naar als doen te beschouwen gedragingen met schadebrengend gevolg, zouden juristen zeggen. Dat roept dan de vraag op: kun je dat bij je inboedelverzekering verhalen?

Het gaat bij de verzekeraar (Aviva) met name om kapotte elektronica, zoals mensen die een controller door het beeldscherm slaan of gooien omdat ze iets te enthousiast in het spel bezig zijn. Of mensen die enorm schrikken van een onverwachte zombie en dan een hevige gemoedsbeweging ondergaan die leidt tot een fysieke reactie. Kapotte tv, salontafel of bank, of erger nog, letselschade bij een huisgenoot. Even Apeldoorn bellen?

Kort door de bocht: in principe zou de inboedelverzekering dit moeten dekken, mits je een zogeheten all-risk verzekering had genomen. Bij een “extra uitgebreid” verzekering is eigen schuld niet gedekt. Zoals Independer het uitlegt:

De allrisk-dekking van een inboedelverzekering vergoedt in principe alle schades die onverwacht ontstaan. Alleen als (de oorzaak van) een schade expliciet is uitgesloten in de polisvoorwaarden ben je niet verzekerd. De allrisk-dekking is de meest uitgebreide dekking die je kunt kiezen bij een inboedelverzekering.
Ik kan geen inboedelverzekeringen vinden die schade als gevolg van virtual reality expliciet uitsluiten. Wat ze wél allemaal uitsluiten, is opzet en roekeloosheid, want dat staat in de wet (art. 7:952 BW):
De verzekeraar vergoedt geen schade aan de verzekerde die de schade met opzet of door roekeloosheid heeft veroorzaakt.
Krijg je natuurlijk meteen de vraag wat opzet of roekeloosheid (let op: ook onbewust, voor de juristen) dan precies inhoudt. Het Verbond van Verzekeraars heeft in haar model-voorwaarden uitgelegd dat zij de term “opzet” zien als gericht op het veroorzaken van de schade en niet op de handeling zelf. Een voorbeeld:
De fietser die met opzet door het rode licht rijdt en vervolgens een voetganger verwondt, kan niet met een beroep op de opzetclausule worden geconfronteerd. In het voorbeeld is het opzet van de fietser gericht op het door rood licht rijden en niet op het verwonden van de voetganger.
Pas als de fietser dus van plan zou zijn geweest die stomme voetganger eens lekker aan te rijden, dan zouden we het opzet noemen en zou de schade van die voetganger buiten de verzekering vallen. Bewijstechnisch natuurlijk ingewikkeld om aan te tonen, maar dat is een praktisch probleem.

De Hoge Raad ziet het iets genuanceerder:

[Van opzet gericht op de schade spreken we ook] indien, gelet op de aard van de gedraging en de omstandigheden waaronder deze werd verricht, het in feite toegebrachte letsel of de zaakschade naar objectieve maatstaven als een te verwachten of normaal gevolg van de desbetreffende gedraging kan worden aangemerkt. In zodanig geval moet aangenomen worden dat de gedraging van de verzekerde gericht was op het doen ontstaan van het in feite toegebrachte letsel of de zaakschade, ook al was deze soort of ernst van letsel of zaakschade niet door hem beoogd.
Ik vond nog een vonnis uit Den Bosch waarin een ernstige inschattingsfout niet als opzet werd aangemerkt:
In deze casus heeft de benadeelde zelf verklaard dat sprake was van een inschattingsfout voor wat betreft de afstand tot het mechanisme van de versnipperaar, waarbij wellicht de nieuwe bril die hij kort voordat het ongeval plaatsvond kreeg en waar hij (kennelijk) nog aan moest wennen, een rol heeft gespeeld.  … Er is simpelweg sprake van een ernstige inschattingsfout. Dat benadeelde zich ervan bewust moet zijn geweest dat het inherent gevaarlijk is om zijn hand dicht bij de draaiende messen van de machine te brengen, doet daar niet aan af.
Mijn inschatting is dat je bij werken of gamen in virtual reality ook eerder zult spreken van inschattingsfouten dan van opzet. Als je gaat rondlopen met een vr-bril op, dan kun je inderdaad botsen tegen mensen of dingen. En als je met je handen beweegt (zeker in een spel) dan kan dat tot schade leiden. Maar om nou te zeggen dat het “te verwachten of normaal gevolg” is, gaat mij te ver.

Ik zit er nog een beetje mee wat de positie is van een spelontwikkelaar die zo’n schrikeffect in 3d inbouwt. Je moet ergens weten dat mensen dan forse reacties kunnen geven in kleine woonkamers en andere plekken; zeker als professional zou je dan toch soort van moeten bedenken dat dit een probleem kan zijn. Kun je dat dan zo makkelijk afschuiven met een generieke disclaimer op het opstartscherm?

Arnoud

Wie is er aansprakelijk voor een gebroken onderzeekabel als dat door een vulkaanuitbarsting kwam?

Geplaatst op in Informatiemaatschappij, 5 reacties

De zeekabel die eilandengroep Tonga met de buitenwereld verbindt, is door de onderzeese vulkaanuitbarsting van afgelopen zaterdag beschadigd geraakt. Dat meldde Tweakers afgelopen maandag. Die breuk zit op een afstand van 37 kilometer uit de kust van Nuku’alofa, de hoofdstad van Tonga. Even een nieuwe trekken zit er niet in, mede vanwege de kans op naschokken. Ook satelliet-internet werkt niet (wist ik niet) omdat vulkaanas de signalen hindert. Het riep de vraag op: wie gaat dat betalen, en is men daarvoor verzekerd?

Wie iets doet met contracten, weet dat natuurrampen vrijwel altijd onder overmacht geschoven worden. Amerikaanse contracten gebruiken daarvoor de prachtige term Acts of God, en de wat minder religieus gedreven juristen hebben het gewoon over force majeure. De kern is dat je als verzekeraar alleen wilt uitbetalen bij voorzienbare risico’s, omdat je daarvoor reserveringen kunt maken gebaseerd op te verwachten voorkomen en impact als het gebeurt. Een vulkaanuitbarsting is lastig te voorspellen, en kan qua impact zeer beperkt tot gigantisch zijn.

De Nieuw-Zeelandse RNZ citeert een overheidswoordvoerder, die meldt dat er een harde SLA ligt:

“When we hooked up to this optic fibre cable we were given the guarantee that the chances of a disconnection, or an accidental disconnection, was 00.0011, so it was virtually non-existent,” Lopeti Senituli said.
Als je dat zo leest, dan zou je zeggen dat een en ander gedekt zou moeten zijn. Maar het zal niet de eerste keer zijn dat iemand een hoge SLA leest en vergeet dat overmacht niet meegenomen wordt in zo’n percentage.

Toch hoeft het niet meteen te betekenen dat Tonga (met 100.000 inwoners en beperkt budget) dit zelf moet betalen. Het is normaal heel logisch dat je overmacht (force majeure) uitsluit in je SLA percentage, maar juist omdat het hier gaat om een onderzeekabel zijn dingen als kabelbreuk en vulkaanerupties reële risico’s en dan is het raar om dat uit te sluiten. De verzekering zal niet goedkoop zijn.

Bij een verzekeringsnieuwssite lees ik dat breuken in onderzeekabels 50% van de verzekeringsclaims zijn in het gebied van de offshore verzekeringen (nog nooit van gehoord):

Subsea cables, including both inter-array and export cables, have been particularly affected, with 44 per cent of all cable claims spend attributed to contractor error in transit and cable laying. This has contributed to subsea cables being responsible for the most frequent and expensive losses between 2010-2020, totalling 30 per cent of claims incurred and over 50 per cent of total claims spend.
Het plan is in ieder geval om binnen twee weken de reparatie uit te voeren. Eenvoudig zal dat niet zijn, want glasvezel is zeer precies en gevoelig en dat moet je op een stampend schip dan aan nieuwe glasvezel weten te verbinden.

Arnoud

Overheid onderzoekt verbod op betalen losgeld ransomware door verzekeraars

Geplaatst op in Security, 18 reacties
OpenClipart-Vectors / Pixabay

De overheid onderzoekt of het verzekeraars kan verbieden om het losgeld te vergoeden dat door ransomware getroffen bedrijven en organisaties betalen, las ik bij Security.nl. De minister zegt dat hij begrip heeft voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden, en wil daarom slachtoffers niet verbieden om te betalen. Maar verzekeraars staan als grootzakelijke partij meer op afstand, en vanuit hen is de keuze om te betalen dan iets eerder afkeurenswaardig. Maar gaat het echt werken?

In antwoord op Kamervragen laat de minister weten dat de “meest wenselijke wijze van het beperken van losgeldbetalingen ligt in het voorkomen dat personen en organisaties slachtoffer worden van ransomware”. Wat natuurlijk nogal een dooddoener is, hoe waar ook. Maar dat zal nog wel even duren, dus hoe moet het dan wel?

Het is inderdaad zo dat ransomware losgeld betalen niet strafbaar is. De reden is dat je dan een slachtoffer dwingt tussen de heftige keuze om zijn data/bedrijf kwijt te raken en de strafbare keuze losgeld te betalen. Dat is moreel onaanvaardbaar, ook al gaat het ‘slechts’ om datagijzeling en niet om mensen of spullen.

Iedereen kijkt dan meteen naar de verzekeraars. Steeds meer cyberverzekeringen dekken schade door ransomware, en wat je kwijt bent aan losgeld dat is schade in juridische zin. Dus het is logisch dat een verzekeraar ook die schade vergoedt.

Het lastige is dat de grens erg vaag is tussen “wat pijnlijk dat u zich gedwongen voelde losgeld te betalen, wij stellen u schadeloos” en “u heeft een ransomware-melding gedaan, gezien de verhouding tussen kosten van herstel en losgeld keren wij nu het losgeld-bedrag aan u uit”. Dat laatste is puur zakelijk, een afweging waarbij de immorele keuze (het steunen van misdaad) gelijkgesteld wordt aan de morele keuze (het helpen van een slachtoffer dat een gedwongen keuze maakte). En dat is unfair.

Ik denk alleen niet dat je er komt met enkel een verbod. Ik zie nu al genoeg juridische trucs, zoals de verzekerde zelf laten betalen en dan vergoeden wat er “aan derden” is betaald. Een consultant inhuren die de vergoeding betaalt en dat declareert als deel van de herstelkosten. En ga zo maar door. Daar kun je vast doorheen prikken met genoeg moeite, maar in individuele zaken is dat de moeite niet waard.

Zelf zou ik meer zien in een voorschrift aan verzekeraars dat ransomware alleen gedekt mag worden als de verzekerde een acceptatie moet ondergaan op cybersecuritygebied. Vergelijkbaar met die korting op je inboedelverzekering als je huis het Politiekeurmerk Veilig Wonen heeft, maar dan dus een stapje verder: je krijgt de verzekering niet als je niet dat PKW hebt, in de analogie. Regel je backups en regel je security, en voor het geval een slimme Rus daar dan toch nog doorheen prikt dan is er de verzekeraar.

Dit is eenvoudig te controleren, al is het maar door een mystery guest een verzekering aan te laten vragen. Dus toezicht is een stuk eenvoudiger. En het draagt ook nog eens bij aan het security-niveau van Nederland. Dus waarom niet?

Arnoud

Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

Geplaatst op in Ondernemingsvrijheid, 26 reacties

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt te betalen, en dat is keihard verboden. Ook in Nederland moeten financiële instellingen betalingen melden die met ransomware te maken hebben. Dat kan nog wel eens knap ingewikkeld worden.

Een tijd geleden schreef ik over wat een instantie moet doen die zijn data of systemen gegijzeld ziet. Als betalen werkelijk de beste optie is (er is geen goede backup, er is urgentie, etc) dan zullen mensen daar toch snel toe geneigd zijn. En ik moet zeggen, ik begrijp dat wel als je slachtoffer bent. Ook al is het zakelijk, het doet echt pijn zo’n datagijzeling.

Daar staat natuurlijk tegenover dat je een crimineel businessmodel in stand houdt, wat maatschappelijk niet wenselijk is. Maar er is geen algemene regel dat je geen losgeld mag betalen, of niet het verdienmodel van criminelen in stand mag houden. Ik zie het echt als een stukje nood, als je dat zelf doet. Doe je het als professioneel ingeschakelde hulppersoon, zoals een cybersecuritybedrijf of verzekeraar, dan wordt dat anders. Dan is het echt een zakelijke keuze dat je criminelen wilt belonen in plaats van strafbare feiten op wilt (laten) sporen, en dan wordt het een heel ander verhaal voor mij.

In Trouw lees ik dat verzekeraars niet direct aan gijzelnemers betalen. Hooguit wordt soms een slachtoffer schadeloos gesteld dat zelf koos voor betaling. Ik denk dat dat nog net door de beugel kan, aangenomen dat er natuurlijk niet aangespoord is om “gewoon te betalen en dan krijg je het van ons vergoed”.

Arnoud

Aon neemt cybercrime voortaan standaard in inboedelverzekering op

Geplaatst op in Innovatie, 26 reacties

Verzekeraar Aon neemt vanaf 1 september cybercrime standaard op in de inboedelverzekering. Dat las ik bij Tweakers onlangs. In de polis staat te lezen dat voornamelijk onkosten worden betaald voor situaties zoals phishing, ransomware of identiteitsfraude. De daadwerkelijke schade wordt zelden vergoed, wat niet zo gek is want juridisch gezien heb je als consument geen schade bij dataverlies (data is niets) of benodigde herinstallatie (je tijd kost geen geld).

De polisvoorwaarden zijn nog best leesbaar en to the point, wat natuurlijk mede komt omdat het wettelijk verplicht is om in eenvoudige taal te communiceren. En oh wat zou het fijn zijn als privacyverklaringen eens net zo goed leesbaar zouden zijn.

Even lezen geeft dan toch wat aardige dingen. Het eerste dat mij opviel, is dat je de app van de bank moet gebruiken. Als je wordt beroofd via internetbankieren via de site, dan valt dat buiten de dekking. Dat laat wel zien hoe men de risico’s inschat bij bankieren via browsers.

Oh, jailbreak je je systeem dan ben je niet gedekt. Die term is breder gedefinieerd dan alleen iOS overigens, hoewel het mij raar aandoet om deze toch Apple-specifieke term te gebruiken. Het gaat om iedere vorm van het uitschakelen of omzeilen van de beveiliging van de fabrikant tegen het zomaar installeren van apps. Daar zit natuurlijk achter dat je zo malafide apps binnen kunt krijgen, zodat je het risico op schadebrengende gebeurtenissen vergroot.

Wat me in negatieve zin opvalt, is dat de voorwaarden niet eisen dat je je OS en veelgebruikte software bijwerkt. Zou dat zijn omdat de meeste moderne OS’en dat toch al doen automatisch (Windows 10 zelfs zonder optie dat te weigeren)? Anders voelt het als een merkwaardige omissie.

Ik lees in de comments nog diverse mensen die zelf prima weten hoe ze de beveiliging van hun computer regelen, maar daarbij desondanks de regels van de verzekeraar zouden overtreden. Bijvoorbeeld door hun telefoon te rooten maar wél keurig de malware buiten de deur houden. Moeten die dan wel of niet onder de dekking vallen? Altijd een lastige.

Ik ben uiteindelijk toch geneigd te zeggen van wel, máár met een hoge bewijslast dat je systeem echt veilig was ondanks al je eigen knutselwerk. Want de verzekeraar kan het verschil niet zien tussen een hacker (een echte) die beter dan Linus weet hoe zijn kernel dicht te timmeren, en een gedachteloze amateur die zomaar overtypt wat mensen op vage forums vertellen dat je moet doen om gratis Bejeweld te spelen. En gezien de eerste categorie veel zeldzamer is dan de tweede, vind ik dat je als echte hacker moet bewijzen dat je dat bent om alsnog aanspraak op de verzekering te maken.

Arnoud

Hoe moet de universiteit Maastricht omgaan met de Clop ransomware?

Geplaatst op in Ondernemingsvrijheid, Security, 37 reacties

De universiteit van Maastricht kampt mogelijk nog de hele kerstvakantie met hinder van een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platliggen. Dat meldde de NOS eind vorig jaar. Het gaat om ransomware, software die data versleutelt tenzij losgeld wordt betaald – in dit geval het Clop virus. Er is aangifte gedaan en volgens universiteitsblad Observant is een team van zo’n 25 IT-experts dag en nacht bezig om de aanval te ontmantelen. Ik kreeg in de kerstvakantie vele mails van met name studenten over waar ze nu staan met bijvoorbeeld hun afstuderen, maar de interessantste vraag kwam van een lezer die zich afvroeg of de verzekeraar van de universiteit gaat betalen. Dat schijnt namelijk normaal te zijn?

Net voor de kerst werd de universiteit getroffen door het Clop virus, dat zich blijkt te richten op grote instellingen en overheden. Het virus versleutelt niet alleen individuele bestanden (zoals de meeste ransomware) maar ook netwerken: alle dhcp-servers, Exchange-servers, domeincontrollers en netwerkschijven zouden versleuteld zijn. Dan heb je best wel een probleem als organisatie, zoals nu ook blijkt uit de enorme inspanning die de universiteit samen met Fox-IT levert om alles weer te herstellen.

Het plan was om begin januari weer gewoon open te gaan, zij het met natuurlijk nogal wat beperkingen qua netwerkverkeer, toegang tot studie-informatie en ga zo maar door. Er is nog niets over regelingen bekend, maar dit lijkt me zo’n evident geval van overmacht dat zaken als deadlines of inleverdata zonder problemen opgeschoven kunnen worden.

Die ene lezer had nog best een punt: het is niet ondenkbaar dat een verzekeraar het losgeld betaalt wanneer ransomware heeft toegeslagen bij een polishouder. Zakelijk is het immers puur een rekensom: wat kost het om het hele systeem terug te zetten, en hoe hoog is het losgeld? Verrassend genoeg blijken veel ransomware-verspreiders namelijk gewoon de sleutel te geven als je betaalt. Logisch vanuit hun perspectief, want dan gaan de betalende slachtoffers anderen adviseren om ook te betalen. En dit soort misdaad moet het van vele gewillige slachtoffers hebben.

Voor een individueel slachtoffer is het dus niet gek om gewoon te betalen, hoewel maatschappelijk gezien dat natuurlijk buitengewoon onwenselijk is. Voor een verzekeraar voelt het gekker: die heeft meer klanten die mogelijk slachtoffer kunnen worden, en veroorzaakt zo meer claims bij zichzelf (en concullega’s). Maar voor het individuele geval zou het ook bij de verzekeraar een prima oplossing kunnen zijn.

Ik ken geen wet die expliciet verbiedt dat een verzekeraar losgeld betaalt. Als de verzekeraar dit in de polis zet als recht, dan zou dat waarschijnlijk in strijd met de openbare orde of goede zeden zijn (art. 3:40 BW). Maar dat levert volgens mij alleen op dat de klant de verzekeraar niet kan dwingen te betalen (een dergelijke verbintenis is immers nietig) of dat de verzekeraar het geld als onverschuldigd betaald kan terugvorderen bij de ransomware-verspreider (en dat heeft geen betekenis). Ik ken geen artikel uit het wetboek van strafrecht dat je tegen zo’n betalende verzekeraar in kunt zetten. Waarschijnlijk is het nooit verboden omdat niemand er aan gedacht heeft dat dit grootschalig een ding kon worden – bij traditionele gijzelingen is de politie er meestal bij betrokken, en die kan dan bepalen wat wijsheid is.

Arnoud

Univé verzekert gehackte pc consument

Geplaatst op in Security, 11 reacties

Verzekeraar Univé introduceert een verzekeringspakket waarmee consumenten hun pc of smartphone kunnen beschermen tegen hackers, las ik bij AMweb. Een speciaal kastje en een hulplijn moeten voorkomen dat het misgaat. Weten cybercriminelen je pc toch te vernielen dan vergoedt de coöperatieve verzekeraar de schade. En dat voor twaalf euro per maand. Ik kreeg er veel vragen over: voegt dit wat toe en wat heb je er aan?

Het is bij mijn weten de eerste verzekeraar die expliciet ICT-schade dekt onder een verzekering. Natuurlijk heeft iedereen al schadeverzekeringen, maar die dekken meestal alleen zogeheten letsel- en zaakschade: mensen of dingen die fysiek stuk gaan. Bij ICT-problemen is vaak eerder sprake van vermogensschade, áls er al schade is: zet maar eens een prijs op driehonderd verloren JPEG’s of de kosten van het opnieuw instellen van je tienduizend persoonlijke voorkeuren op je net opnieuw geïnstalleerde laptop. Dus een specifieke ICT-verzekering kan wat toevoegen hier.

Of deze verzekering genoeg doet daarvoor, is me nog niet duidelijk. Het ND zocht het uit en concludeerde dat je nou net geen schadevergoeding krijgt voor het verlies van bestanden met een emotionele waarde, zoals familiefoto’s, of voor betaald losgeld bij ransomware. Maar men dekt je wel wanneer jouw pc bij anderen schade aanricht, zoals wanneer een virus op jouw laptop overspringt naar zeg de postduivenvereniging waar je secretaris bent. (Bij je werkgever boeit dat niet, want die kan jou niet aansprakelijk stellen voor virussen die door jouw nalatigheid het bedrijfsnetwerk infecteren.)

Een interessant punt vond ik dat de verzekeraar je een modem met F-Secure SENSE firewall geeft, om zo de risico’s praktisch te beperken. (Een ding van 199 euro en na het eerste jaar 9,90 per maand securityupdates.) Dat is een mooie geste die voor veel consumenten wel wat toe kan voegen. En het past in de trend die ik in de zakelijke markt zie: niet alleen een risico dekken maar ook actief stimuleren (of zelfs verplichten) dat schadebeperkende maatregelen worden genomen.

Tegelijk kun je je afvragen, zou je voor dat geld niet zo’n firewall en een backupoplossing kunnen kopen als consument?

Arnoud

Mag een verzekeraar mensen googelen en dan persoonlijk gaan observeren?

Geplaatst op in Ondernemingsvrijheid, Privacy, 41 reacties

feitenonderzoek-google.pngVoor verzekeraars is internet een dankbare bron om dubieuze claims te verifiëren. Weinig dingen zo eenvoudig als even op Facebook kijken of iemand daar poseert met de zonnebril die een week eerder als gestolen opgegeven is, of op Twitter nalezen of een ziek persoon toch naar een feestje is geweest. Al in 2011 werd in de media gemeld dat verzekeraars ook daadwerkelijk dergelijke online controles uitoefenen van claims. Vooral als ze vermoeden dat er fraude in het spel is, kijken ze naar de Facebook- of Hyvespagina van degene die declareert, aldus RTL Nieuws op 7 november 2011. En het gebeurt ook vandaag nog.

In een geruchtmakende zaak in 2012 moest een man een arbeidsongeschiktheidsuitkering van verzekeraar Aegon terugbetalen tot een bedrag van €75.336. De uitkering werd verstrekt na een bedrijfsongeval met als gevolg ernstige fysieke en psychische klachten, zoals niet meer dan 20 minuten te kunnen lopen of zitten. Feitenonderzoek op internet een jaar later liet echter zien dat de man op sportief, zakelijk en sociaal gebied ook na het ongeval nog actief was geweest. Zo kwam hij vijf maal voor in de online uitslagenlijst van de Amstel Curaçao Race (80 kilometer) en werd hij vermeld als succesvol deelnemer een wielertocht van 250 kilometer van Luxemburg naar Valkenswaard. En dat terwijl de man had gezegd “als een zombie op een fiets te zitten” en pijnstillers te moeten slikken. Ook werd hij op online foto’s (met bijschriften) gesignaleerd als vaste supporter en in een krantenartikel omschreven als “vaste chauffeur en psychologisch begeleider” van een lokaal zaalvoetbalteam.

Heel recent speelde hetzelfde punt, maar dan nog een stapje erger: niet alleen internetonderzoek maar ook een persoonlijk onderzoek, oftewel structureel volgen. De vrouw in deze zaak was slachtoffer van een aanrijding door een persoon verzekerd bij Reaal. De conclusie van een neuroloog was dat de vrouw een “whiplash-like injury” had opgelopen, met pijn in de nek, rechterschouder en arm als gevolg. Dit leverde een aantal beperkingen op bij haar werk, hetgeen leidde tot een langdurig reïntegratietraject.

De aanleiding is niet geheel duidelijk, maar op enig moment besloot Reaal een persoonlijk onderzoek naar de vrouw te laten uitvoeren. Dit onderzoek bestond uit een dossieranalyse, deskresearch en uit het volgen, observeren en filmen van de vrouw. De ‘deskresearch’ bestaat uit internetonderzoek – naar ik vermoed googelen op naam van mevrouw, mogelijk aangevuld met andere persoonsgegevens zoals e-mailadressen of telefoonnummers.

Het internetonderzoek riep enkele vraagtekens op:

Uit de informatie van internet is naar voren gekomen dat betrokkene actiever lijkt te zijn dat wat ze heeft verklaard. Zo kan ze bijvoorbeeld meer dan alleen maar e-mails beantwoorden (ze is actief op diverse forums en schrijft blogs), lijkt ze actief (op zoek) te zijn met zaken gerelateerd aan recruitment en lijkt ze een actiever sociaal leven te hebben dan wat ze heeft verklaard.

Het advies op basis van bovenstaande was om over te gaan tot een persoonsgerichte observatie bij wijze van vervolgonderzoek. Deze observatie onthulde dat de vrouw actief is geweest met verschillende activiteiten, waaronder:

  • Het meerdere malen brengen en halen van haar kind naar en van school;

    • <li>Het op verschillende dagen winkelen en spullen kopen in verschillende winkels;</li>

<li>Het aanwezig zijn als een begeleider van schoolkinderen bij een ijsbaan en vermoedelijk ook bij een kinderfeest;</li>

<li>Het sporten in een sportschool; </li>

<li>Betrokkene is daarbij meerdere malen waargenomen terwijl ze gevulde tassen bij zich droeg.</li>

<li>Het in december een week lang afwezig zijn (geen brandend licht in huis, auto onder dik pak sneeuw bedolven), vermoedelijk op vakantie.</li>

(Ik noem dit even zo uitgebreid zodat jullie je ook wat onprettig voelen bij het idee van drie maanden lang op deze manier in de gaten gehouden worden.)

“Op geen enkel moment zijn er tijdens de observatie ogenschijnlijk enige fysieke beperkingen bij betrokkene waargenomen”, sluit het rapport af. Hierop werd een medisch advies aangevraagd, dat pleitte tegen het bestaan van de door de vrouw geclaimde klachten. Daarop stapte de vrouw naar de rechter, met onder meer de eis om het persoonlijkonderzoeksrapport als bewijs uit te laten sluiten bij de herbeoordeling van haar arbeidsongeschiktheid.

Hoewel een persoonlijk onderzoek als dit een inbreuk op de privacy oplevert, is het vaste jurisprudentie (Hoge Raad 16 juni 1987, NJ 1988, 850) dat een inbreuk op de privacy op zich geen reden is om bewijs uit te sluiten in civiele procedures. Daarvoor moet de inbreuk “rechtens ontoelaatbaar” zijn, en daarvan is pas sprake als er méér is dan alleen een schending op zich. Een ongeoorloofd inzetten van camera-observatie door een werkgever was in 2001 bij de Hoge Raad geen reden om gebruik van de beelden in een ontslagprocedure bij de kantonrechter te verbieden.

Een bijzondere omstandigheid in deze zaak is dat verzekeraars sinds 1997 werken met de zogeheten Gedragscode Persoonlijk Onderzoek. Deze code geeft de beginselen aan die een verzekeraar in acht moet nemen bij het uitvoeren van een persoonlijk onderzoek. Als centraal beginsel geldt dat een onderzoek als in deze zaak alleen mag worden verricht als voldaan is aan de eisen van proportionaliteit en subsidiariteit.

De rechtbank stelt vast dat niet aan deze eisen is voldaan bij het persoonlijk onderzoek, zodat het rapport wordt uitgesloten van het bewijs. Een verzekeraar die de Gedragscode schendt, behoort niet te worden beloond door het aldus verkregen bewijs te kunnen gebruiken, lijkt hier de gedachte. Afgezien van het rapport is er geen bewijs van fraude of misleiding, zodat een eerder deskundigenrapport leidend wordt verklaard. Partijen moeten nu opnieuw in gesprek om tot een vaststellingsovereenkomst te komen.

Opmerkelijk genoeg rept de rechtbank met geen woord over de toelaatbaarheid van het online onderzoek. De Gedragscode zelf werkt dit ook niet nader uit, tenzij men onder “inwinnen van informatie bij derden” ook het raadplegen van zoekmachines of openbare websites van derden rekent (artikel 7.2). In de hierboven aangehaalde zaak uit 2012 had de rechtbank ook geen moeite met een internetonderzoek naar een verzekerde. Daarmee lijkt het vooralsnog geen praktisch juridisch probleem te zijn om verzekerden te googelen bij claims. Maar hoe ver mag men daarbij gaan?

Arnoud

ANWB’s Wegenwacht onder de Wet Van Dam

Geplaatst op in Informatiemaatschappij, 31 reacties

Bijna dagelijks word ik gemaild door mensen die hun abonnement op de Wegenwacht van de ANWB willen opzeggen met een beroep op de Wet Van Dam. Deze wet bepaalt immers dat je élk stilzwijgend verlengd contract mag opzeggen met opzegtermijn van een maand. Nou ja, bijna elk. De regels voor tijdschriften zijn iets anders, en ook het lidmaatschap van verenigingen is uitgesloten. Nu is de ANWB een vereniging, maar de dienst Wegenwacht wordt formeel apart aangeboden. Dus zou die opzegbaar moeten zijn, zou je denken. Maar de ANWB denkt daar anders over: zij ziet de Wegenwacht als een verzekering en bij invoering van de Wet Van Dam is ooit gezegd dat verzekeringen niet vallen onder deze wet. Maar ís dit wel een verzekering?

Een verzekering is volgens de wet (art. 7:925 BW) een overeenkomst waarbij de verzekeraar een uitkering doet (in geld of in een andere prestatie, art. 7:926 BW) wanneer zich een onvoorzienbare gebeurtenis voordoet. En die definitie past precies op wat de ANWB doet: zij verrichten de prestatie van schadeherstel wanneer zich de onvoorzienbare gebeurtenis van autopech voordoet.

Ik vond echter een recent arrest over een pechhulpdienst die aangeslagen werd voor assurantiebelasting, en dit aanvocht met het argument dat zij geen verzekeraar was. En ik werd vrolijk van de zin “dat niet elke overeenkomst waarin de voornoemde elementen kunnen worden ontwaard, verzekering in de zin van de wet is”. Want het is precies die formalistische lezing van de wet die me irriteert bij de ANWB. Nérgens noemt de ANWB haar pechhulpdienst een verzekering, nergens staat iets over een polis – het is evident dat ze de dienst gewoon als een abonnementsdienst bedoelen en het pas ‘verzekering’ zijn gaan noemen toen men peentjes begon te zweten over de Wet Van Dam.

Het Gerechtshof wijst erop dat je niet alleen moet kijken naar óf er iets wordt gedaan dat “geld of een andere prestatie” genoemd kan worden, maar ook wat het dóel daarvan is. Het doel van een verzekering is namelijk primair vergoeding van schade. Vergoeding kan in natura gebeuren (bv. je afgebrande huis wordt opnieuw opgebouwd of je krijgt een gratis rit naar huis als je auto gestolen blijkt) maar voorop moet staan dat het gaat om “het goedmaken van op geld waardeerbare schade of verlies”.

Een pechhulpdienst voldoet daar niet aan. Die strekt er vooral toe om “ongemak weg te nemen en inspanning te voorkomen”, en ongemak en inspanning tellen niet als “op geld waardeerbare schade of verlies”. Hoewel het hier ging om pechhulp aan fietsers, rolstoelrijders en scooterbestuurders, zie ik niet in waarom dit bij pechhulp voor een auto anders zou zijn. Lekke band is lekke band.

Verder is de Wegenwacht zo’n beetje hét voorbeeld van een stilzwijgend verlengd contract dat het soort ergernis oproept waar deze wet voor gemaakt is. Ik kan er dus werkelijk niet bij dat nu juist de Wegenwacht uitgesloten zou zijn. Ik hoop van ganser harte dat iemand naar de rechter stapt.

Update (13 februari 2015) een lezer wees me op het Hoge Raad-arrest in cassatie op bovenstaande, waar ik heel wat minder vrolijk van werd.

4.3 Een schadeverzekering is in artikel 7:944 BW gedefinieerd als een verzekering strekkende tot vergoeding van vermogensschade die de verzekerde zou kunnen lijden. De onderhavige overeenkomsten, die ertoe strekken om tegen een jaarlijkse betaling hulp bij pech te bieden aan gebruikers van (elektrische) fietsen, rolstoelen en elektrische scooters, zijn aan te merken als schadeverzekering. Daarbij is de vermogensschade gelegen in het niet meer deugdelijk functioneren van het vervoermiddel. Dat het verhelpen van de pech mede het karakter heeft van hulpverlening kan hieraan niet afdoen.<br/> 4.4. Gelet op hetgeen hiervoor is overwogen heeft het Hof het begrip verzekering te beperkt uitgelegd. Het middel van de Staatssecretaris slaagt derhalve.
Het stoort me nog steeds dat de ANWB het pas expliciet ‘verzekering’ is gaan noemen ná de Wet Van Dam, maar goed, de Hoge Raad geeft ze daar nu wat meer ruimte voor.

Arnoud<br/> Foto: Yellow Flowers Free Photos Art & Fun, Flickr, CC-BY 2.0

Mogen verzekeraars claims verifiëren middels Facebook?

Geplaatst op in Privacy, 17 reacties

straatrace-facebook.pngVerzekeraars maken gebruik van sociale media om te kijken of mensen die schade hebben, de boel niet oplichten. Dat meldde RTL Nieuws gisteren. Men verwijst naar de Telegraaf, dat meldt over een verzekerde wiens autoverzekering stopgezet zou worden, omdat hij mee zou hebben gedaan aan straatraces. En, voor mij opmerkelijk, dat meldt dat het Cbp dit goedkeurt want “sociale media zijn namelijk nog niet opgenomen in de privacywetgeving.”

Ik weet niet wie ze bij het Cbp aan de lijn hebben gehad maar daar klopt niks van. Goed, letterlijk staat “sociale media” niet in de wet maar ik mag hopen dat woordvoerders íets informatiever zijn dan dat. (Update zie onder voor reactie Cbp). Een publicatie op sociale media is ‘gewoon’ een publicatie op internet, zoals blijkt uit de Richtsnoeren persoonsgegevens op internet van datzelfde Cbp. Die zeggen bijvoorbeeld:

De aanbieders van profielsites zijn samen met de gebruikers medeverantwoordelijk voor de verwerking van persoonsgegevens op de betreffende website. De aanbieders van deze diensten moeten zich daarom houden aan de regels uit de Wbp. … Ze dienen geschikte beveiligingsmaatregelen te treffen, zoals het standaard afschermen van de profielen voor zoekmachines en alleen toegang te bieden aan vrienden van de gebruiker. Ook dienen ze de mogelijkheid te bieden de profielen en elders op de site geplaatste informatie te verwijderen.

Wel is het zo dat wie iets op een profielsite zet zónder privacysettings, daarmee toestemming geeft voor kennisname aan mensen die de pagina bezoeken. Dus ook je verzekeraar. Ook als het gaat om medische gegevens, zoals letterlijk in de Richtsnoeren:

Iedere volwassene die op zijn of haar eigen homepage of weblog met opzet en onder eigen naam gevoelige informatie over zichzelf publiceert, zoals verslagen van medische perikelen, maakt die ge­gevens duidelijk zelf openbaar. Daardoor vervalt het verbod om die bijzondere gegevens te verzamelen en te verwerken.

Worden die gegevens echter afgeschermd voor alleen een select groepje vrienden, dan wordt dat anders. Dan kan de verzekeraar ze niet zomaar meer zien. En dan zijn ze dus ook niet meer zomaar te gebruiken. Natuurlijk kan de verzekeraar een particulier rechercheur inschakelen die zich dan onder valse naam aan probeert te melden, maar dát is dan wel problematisch. Hun gedragscode vermeldt namelijk dat zij strikt in overeenstemming met de wet moeten werken.

Voor deze gedragscode geldt als eerste basisregel dat de rechten en plichten die gelden voor iedere burger, ook gelden voor particuliere onderzoeksbureaus. Hierbij geldt evenwel dat van particuliere onderzoeksbureaus een grotere mate van zorgvuldigheid mag worden verwacht in het kader van hun beroepsuitoefening. Bij bevoegdheden van iedere burger kan gedacht worden aan het raadplegen van openbare registers (zoals de registers van de Kamer van Koophandel en Fabrieken en de registers van het Kadaster) en openbare bronnen (zoals het internet).

Een particulier rechercheur kan zijn vergunning kwijtraken als hij in strijd met de wet gegevens verzamelt van anderen.

Omdat er bij gebruik van zulke gegevens altijd kans op misverstanden, onduidelijkheden of persoonsverwisselingen bestaan, is het zeer verstandig om altijd eerst navraag te doen. In de context van sollicitaties staat dat zelfs in de NVP-code als expliciete eis. Het lijkt me dat een afwijzing van een verzekeringsclaim zonder zulke navraag vrij eenvoudig te vernietigen moet zijn.

Wat alle problemen op zou lossen, is als verzekeraars bij de polisaanvraag toestemming gaan vragen voor het mogen uitvoeren van dergelijk onderzoek op Facebook en andere sociale media. Dat mag (mits de toestemming specifiek en duidelijk gevraagd wordt) en zeker als je het koppelt aan een korting. Stel je krijgt 5% korting op je verzekeringspremie als je ze laat snuffelen op Facebook, ik gok dat 80% van de verzekerden daarmee akkoord gaat.

Update: (9 november) per mail laat het Cbp weten:

In dat Telegraaf-artikel staat inderdaad een citaat van de woordvoerder van het CBP, zijnde ondergetekende. Helaas was het citaat onvolledig en onjuist. Ik heb niet gezegd of bedoeld te zeggen dat social media niet zijn opgenomen in de privacywetgeving. Inderdaad heeft het CBP al eerder richtsnoeren uitgebracht over persoonsgegevens op internet, waarnaar je ook verwijst in je column. Wat ik wel heb gezegd of bedoeld te zeggen is dat
  • het CBP geen onderzoek heeft gedaan naar deze casus en dus geen inhoudelijk oordeel kan geven
  • het aan de rechter is om te bepalen wie in deze zaak gelijk is
  • en hoe hij het feit dat het bewijs is verkregen via Facebook weegt
  • op dit punt moet nog meer jurisprudentie worden ontwikkeld
  • de Wet bescherming persoonsgegevens is van toepassing op alle persoonsgegevens, dus ook die op internet staan

Arnoud