Journalnummer: 2012-222-0014
1. Datatilsynet vender hermed tilbage til sagen, hvor Human Time A/S har rettet henvendelse til Datatilsynet angående et eventuelt advarselsregister, hvor der skal ske udveksling af visse oplysninger om anmeldte skader og præmierestancer.
Human Time A/S har beskrevet forskellige løsningsmodeller. I det følgende behandles den seneste forelagte model.
2. Formålet med den løsning, som Human Time A/S ønsker at udvikle, er efter det oplyste 1) at forhindre, at forsikringskunder afgiver forkerte oplysninger i en tegningssituation og dermed risikerer, at en eventuel efterfølgende erstatningsudbetaling bliver nedsat eller bortfalder og 2) at beskytte forsikringsselskaberne mod såkaldte ”forsikringsryttere”.
Den påtænkte løsning vil efter det oplyste alene omfatte private tings- og ansvarsskader og ikke oplysninger om personskader, ligesom der ikke blive registreret oplysninger om erhvervsforsikringer.
Præmierestancer vil efter det oplyste alene blive registreret, hvis forsikringsselskabet har et grundlag for tvangsfuldbyrdelse (f.eks. dom eller betalingspåkrav med påtegning fra fogedretten) for den pågældende præmierestance. Det er desuden oplyst, at restancen vil blive slettet (af det selskab den pågældende forsikringstager har haft en restance til), hvis forsikringstageren betaler denne.
Human Time A/S har endvidere oplyst, at der er tale om en såkaldt ”frame-work” løsning. Dette indebærer, at der ikke vil blive oprettet et nyt selvstændigt register indeholdende oplysninger om samtlige skadesanmeldelser og såkaldte forsikringsryttere. I stedet vil løsningsmodellen være baseret på de registre, som allerede findes hos de enkelte forsikringsselskaber.
Når et forsikringsselskab i en tegningssituation ønsker at benytte løsningsmodellen til at undersøge, om en forsikringstager har anmeldt fem eller flere skader inden for de seneste tre år eller har været i præmierestance inden for de seneste fem år, sker forespørgslen i realtid til hvert af de enkelte selskabers lokalt placerede servere. Disse servere kan ikke videregive de oplysninger, der anmodes om, før serveren har modtaget en samtykkeerklæring fra forsikringstageren.
Forespørgslen om skadesanmeldelser og præmierestancer vil gå ud på, om minimum ét af følgende kriterier er opfyldt:
Hver af de forespurgte lokale forsikringsservere spørger, om der foreligger en underskrevet samtykkeerklæring fra forsikringstageren. Hvis der foreligger en underskrevet samtykkeerklæring fra forsikringstageren, sender den forespurgte forsikringsserver oplysninger om skadesanmeldelser og præmierestancer direkte til den forespørgende forsikringsserver, som herefter kan bearbejde resultaterne af forespørgslen.
Efter bearbejdningen på den lokale forespørgende server vil svaret til det forespørgende forsikringsselskab kunne fremstå som ”positivt” eller ”negativt” i forhold til, om minimum ét af de ovennævnte kriterier er opfyldt. Den lokale server vil således f.eks. sammenholde de enkelte forsikringsselskabers tilbagemeldinger om skadesanmeldelser de seneste tre år og opgøre, om disse samlet set overstiger fem eller flere anmeldelser. Er det samlede resultat på mindre end fem anmeldelser, vil det forespørgende forsikringsselskab blot få oplyst, at resultatet er negativt. Selskabet vil således f.eks. ikke få at vide, hvis der er fire anmeldelser.
Hvis der ikke foreligger en underskrevet samtykkeerklæring fra forsikringstageren, sender den forespurgte forsikringsserver en besked direkte til den forespørgende forsikringsserver om, at der ikke kan afgives oplysninger grundet manglende underskrevet samtykkeerklæring.
3. Datatilsynet skal – efter at sagen har været behandlet i Datarådet – udtale følgende:
3.1. Det er Datatilsynets umiddelbare vurdering, at den af Human Time A/S skitserede løsning under en række forudsætninger vil kunne iværksættes inden for persondatalovens rammer.
Datatilsynet lægger vægt på, at løsningen er samtykkebaseret, og at der ikke vil blive oprettet et centralt register med deraf følgende dataophobning om en stor del af befolkningen. De oplysninger, der behandles om de enkelte forsikringstagere, vil således som udgangspunkt forblive hos det selskab, hvor den pågældende er kunde.
3.2. Efter Datatilsynets opfattelse vil der være tale om behandling omfattet af persondatalovens § 50, stk. 1, nr. 2, om ”advarselsregistre”. Datatilsynet lægger herved til grund, at forsikringsselskaberne vil benytte løsningen til at advare hinanden mod forretningsforbindelser med visse forsikringskunder.
Det er derfor en forudsætning, at de deltagende forsikringsselskaber foretager anmeldelse til og indhenter tilladelse fra Datatilsynet forud for behandlingens iværksættelse.
Datatilsynet lægger i den forbindelse til grund, at det vil være de enkelte forsikringsselskaber, der hver især vil være dataansvarlige1 for den behandling af kundeoplysninger, der finder sted via de lokalt (hos selskaberne) placerede servere. Human Time A/S vil i givet fald fungere som databehandler2 for forsikringsselskaberne.
Det bemærkes, at Datatilsynet vil stille en række vilkår i forbindelse med eventuelle tilladelser til de deltagende forsikringsselskaber, jf. persondatalovens § 50, stk. 5. Disse vilkår vil tage udgangspunkt i de vilkår, der sædvanligvis stilles i forhold til advarselsregistre og kreditoplysningsbureauer, herunder vedrørende restancestørrelse og grundlag for tvangsfuldbyrdelse, oplysningspligt og indsigtsret samt datasikkerhed. Det vil endvidere være en forudsætning, at anden relevant lovgivning overholdes, eksempelvis lov om finansiel virksomhed.
Datatilsynet vil endvidere overveje bl.a. at stille vilkår om, at der i tilfælde af, at svaret fremstår positivt, sker en manuel behandling af forsikringsbegæringen, hvorunder den forsikringssøgende får mulighed for at forklare skadesforløbet.
4. Datatilsynet modtager gerne orientering om, hvornår vi må forvente at modtage sådanne ansøgninger fra forsikringsselskaberne.
5. Det tilføjes, at Datatilsynet forventer at offentliggøre dette brev på sin hjemmeside.
1 I lovens § 3, nr. 4, defineres "den dataansvarlige" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
2 I lovens § 3, nr. 5, defineres "databehandleren" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.