Finanstilsynet anser det for en berettiget videregivelse i henhold til § 117, stk.1, i lov om finansiel virksomhed, hvis et afgivende forsikringsselskab - i forbindelse med skift af forsikringsselskab - videregiver fortrolige kundeoplysninger til et modtagende forsikringsselskab, der aktivt har tilkendegivet, at det har indhentet et samtykke fra kunden, som opfylder betingelserne i § 123 i lov om finansiel virksomhed.
Sagsfremstilling og baggrund
Forsikring & Pension har ved brev af 13. juli 2012 forespurgt Finanstilsynet om, hvorvidt det vil være muligt at videregive kundeoplysninger ved tegning og flytning af forbrugerforsikringer på skadesforsikringsområdet på baggrund af et samtykke indhentet af det modtagende selskab.
Efter lov om finansiel virksomhed § 117 kan der videregives oplysninger fra det afgivende selskab til det modtagende selskab i forbindelse med nytegninger og flytning af forsikringer, hvis der er indhentet et forudgående samtykke fra kunden. Det er det afgivende selskab, som indestår for, at det fornødne samtykke er indhentet.
Forsikring & Pension angiver, at det i praksis er det modtagende selskab, der har hele kontakten til kunden i forbindelse med nytegning og flytning af forsikringer. Det skyldes, at langt de fleste kunder ønsker, at al kommunikation foregår via det nye selskab, når deres forsikringer skal flyttes.
Forsikring & Pension oplyser, at det vil være i kundernes interesse, at det modtagende selskab indhenter samtykket til brug for videregivelse af oplysninger fra det afgivende selskab. Samtidig oplyser Forsikring & Pension, at det centrale må være, at kunden giver et samtykke til videregivelse af oplysningerne, og ikke hvilket selskab, der indhenter samtykket.
Forsikring & Pension foreslår derfor at en videregivelse, der sker efter følgende fremgangsmåde, anses for at være berettiget:
- Det modtagende selskab indhenter samtykke fra kunden, inden selskabet opfordrer det afgivende selskab til at videregive kundeoplysninger.
- Det modtagende selskab indestår for, at samtykket er indhentet.
- Det modtagende selskab dokumenterer via en aktiv handling over for det afgivende selskab, at samtykket er indhentet.
Forslaget kan også anvendes, hvis det afgivende selskab ikke skulle være medlem hos Forsikring & Pension.
I praksis videregives kundeoplysninger mellem selskaberne enten via telefon, e-mail e.l. eller via branchens EDI-system1.
Forslaget indebærer, at det modtagende selskab skal gøre følgende:
- Indhente et skriftligt samtykke fra kunden
- Enten foretage en aktiv afkrydsning i EDI-systemet, således at det afgivende selskab kan se, at samtykket allerede er indhentet fra kunden
- Eller på anden måde – fx via e-mail - tilkendegive aktivt over for det afgivende selskab, at samtykket er indhentet (i de tilfælde, hvor EDI-systemet ikke anvendes)
Forsikring & Pension har oplyst, at modellen vurderes at få betydning for ca. 1. mio. policer, der flyttes hvert år.
Ifølge forsikring & Pension vil den foreslåede procedure sikre kunderne en nemmere og hurtigere overflytning af forsikringerne fra ét selskab til et andet. Det vil alt andet lige styrke konkurrence på området. Samtidig bliver processerne mere logiske, idet samtykket følger det selskab (det modtagende), der er nærmest til at indhente samtykket i praksis og endelig vil den foreslåede procedure vil kunne indføres, uden at det vil medføre tunge administrative byrder.
Retligt grundlag
Det følger af § 117, stk. 1, i lov om finansiel virksomhed, at en finansiel virksomhed ikke uberettiget må udnytte eller videregive fortrolige kundeoplysninger.
Ifølge bemærkningerne til § 117, stk. 1, kan udnyttelse eller videregivelse kun ske, hvis dette anses for berettiget. Som typetilfælde, hvor videregivelse efter praksis anses for berettiget, nævnes videregivelse af oplysninger med kundens samtykke.
Et samtykke til videregivelse af fortrolige oplysninger skal ifølge § 123 i lov om finansiel virksomhed være skriftligt og angive hvilke oplysninger, der kan videregives samt til hvilket formål og til hvem videregivelse kan ske.
Vurdering
Finanstilsynet og Det Finansielle Virksomhedsråd har anlagt en meget restriktiv fortolkning af begrebet "berettiget" og udgangspunktet er, at en videregivelse kræver et specifikt samtykke fra kunden.
For at en virksomhed berettiget kan videregive fortrolige oplysninger skal virksomheden sikre sig, at kunden har afgivet et samtykke, der opfylder betingelserne i § 123. Selvom det ikke er et udtrykkeligt krav, at virksomheden selv indhenter samtykket, vil det være naturligt, idet virksomhed på den måde kan sikre sig, at videregivelsen er berettiget. En virksomhed, der videregiver oplysninger uden selv at have indhentet et samtykke, risikerer med andre ord at foretage en uberettiget videregivelse.
Forsikring & Pension har anført, at det i praksis er det modtagende forsikringsselskab, som har hele kontakten til kunden i forbindelse med nytegning og flytning af forbrugerforsikringer. Derfor vil det passe til virkeligheden, at Finanstilsynet tillader, at det er det modtagende selskab, som indhenter et samtykke til videregivelse af kundeoplysningerne, og at det afgivende selskab kan videregive oplysningerne i tiltro til, at kunden har givet et samtykke til videregivelsen, uden selv at være forpligtet til at indhente et samtykke.
Forslaget fra Forsikring & Pension indebærer, at det modtagende selskab, som har kundekontakten, vil få ansvaret for at indhente samtykket fra kunden og overfor det afgivende selskab indestå for, at der er indhentet et samtykke, der opfylder betingelserne i lov om finansiel virksomhed § 123. Samtykket skal være indhentet, inden det modtagende selskab anmoder det afgivende selskab om at videregive kundeoplysningerne.
Forslaget åbner derfor en risiko for, at det modtagende selskab anmoder det afgivende selskab om at videregive kundeoplysninger i en situation, hvor kunden ikke har givet et specifikt samtykke hertil.
Denne risiko søges imidlertid imødegået ved, at det er et krav, at det modtagne selskab ved en aktiv handling skal dokumentere overfor det afgivne selskab, at samtykket er indhentet. Dette skal enten ske ved, at man foretager en aktiv afkrydsning i EDI-systemet eller på anden måde - fx via en e-mail - aktivt tilkendegiver, at samtykket er indhentet.
Det er Finanstilsynets vurdering, at der bør stilles strenge krav til sikkerheden for at en videregivelse kun finder sted, når kunden har givet et specifik samtykke hertil. Derfor bør det som udgangspunkt ske ved, at det selskab, der videregiver oplysningerne, også indhenter samtykket. Imidlertid vil det netop i den situation, hvor en kunde ønsker at skifte selskab, være uhensigtsmæssigt at opretholde dette krav, idet det afgivne selskab ikke naturligt er i kontakt med kunden og en henvendelse fra det afgivne selskab om afgivelse af et samtykke let ville kunne opfattes som et forsøg på holde på kunden.
Ligeledes vil et krav om at det afgivne selskab skal have oversendt selve samtykket for på den måde at sikre sig, at det er afgivet og opfylder betingelserne i § 123, medføre en administrativt tung procedure, som vil kunne være til hinder for, at kunde let og uden besvær kan skifte forsikringsselskab og dermed hæmme mobiliteten på området.
Finanstilsynet anser samtidig modellen, hvorefter det er et krav, at det modtagne selskab i hvert enkelt tilfælde aktivt tilkendegiver, at der er indhentet et samtykke, for at yde et tilstrækkeligt værn mod, at der ved fejl og misforståelser videregives oplysninger, som kunden ikke har givet samtykke til kan videregives.
Konklusion
Finanstilsynet finder efter en samlet vurdering, at det med den af Forsikring & Pension foreslåede model opnås en tilstrækkelig sikkerhed for, at videregivelse sker på et berettiget grundlag samtidig med, at man åbner mulighed for at skift af forsikringsselskab kan ske på en nem og hurtig måde.
Finanstilsynet anser det på baggrund af ovenstående for en berettiget videregivelse i henhold til § 117, stk.1, i lov om finansiel virksomhed, hvis et afgivende forsikringsselskab - i forbindelse med skift af forsikringsselskab - videregiver fortrolige kundeoplysninger til et modtagende forsikringsselskab, der aktivt har tilkendegivet, at det har indhentet et samtykke fra kunden, som opfylder betingelserne i § 123 i lov om finansiel virksomhed.
Note
EDI-systemet for opsigelser af forsikringsaftaler blev etableret i 1992, fordi skadesforsikringsselskaberne have et ønske om at lette administrationen i forbindelse med overflytninger af forsikringer fra ét selskab til et andet. EDI-systemet har til formål at sikre kunderne en hurtigere og mere smidig overflytning af deres forsikringer end den, der skete via den manuelle procedure. Forsikring & Pension er databehandler i forbindelse med EDI-systemet. Når et selskab har indhentet et specifikt samtykke fra kunden, kan der ske EDI-overførsel af kundeoplysninger. Brugerne har tilsluttet sig aftalebetingelserne for EDI-systemet med tilhørende EDI-guider på de pågældende forsikringsområder.