Datasekretesslagstiftningen och försäkringsbolagens möjlighet att bekämpa försäkringskriminalitet

Artikel forfatter: Lea Mäntyniemi
Utgave:
2, 1999
Sprog: International
Kategori:

157 AIDA - DATASEKRETESS 1. Inledning 1. Försäkringskriminalitetens ekonomiska betydelse Försäkringskriminaliteten beräknas årligen förorsaka förluster för minst 8 miljarder ECU, förluster som drabbar försäkringsbolagen och de ärliga försäkringskunderna. Uppskatt- ningen har gjorts av försäkringsbranschens europeiska centralorganisation CEA (Comité Européen des Assurances) utgående från upp- gifter som organisationen samlade in från sina medlemscentralförbund år 1996. Sum- man utgör två procent av de europeiska försäkringsbolagens sammanlagda årliga pre- mieinkomst. Finska Försäkringsbolagens Centralför- bund undersökte år 1995 finländarnas upp- fattningar om försäkringskriminaliteten. Med stöd av den undersökningen kan det uppskat- tas, att i Finland får försäkringsbolagen årli- gen ta emot ersättningsansökningar på 500 miljoner – 1 miljard som gjorts i bedrägligt syfte. Försäkringskriminalitetens effekter på försäkringspremierna beräknas uppgå till mellan 5 och 10 procent. Detta är den extra kostnad som de ärliga försäkringstagarna blir tvungna att betala i form av högre premier. Enligt de europeiska försäkringsbolagens uppfattning har den kriminalitet som riktar sig mot försäkringsbolagen ökat oroväckande under de senaste 20 åren. I större utsträckning än man tidigare trott har försäkringskrimina- liteten visat sig utgöra en del av en yrkesmäs- sigt bedriven och en allt snabbare växande kriminell verksamhet, som också omfattar annan ekonomisk brottslighet och som i och med uppkomsten av en enhetlig försäkrings- marknad i allt högre grad får en global omfatt- ning. 2. Hur ser försäkrings- kriminaliteten ut? De mest typiska formerna av försäkringskri- minalitet är följande: Vid ingående av försäkringsavtal lämnar försäkringstagaren ofullständiga el- ler felaktiga uppgifter i syfte att kunna få teckna en försäkring försäkras inom skadeförsäkring samma objekt med flera försäkringar i syfte att kunna få ut flerfaldiga ersättningar försäkras objekt som överhuvudtaget inte existerar eller som inte är i försäkringstaga- rens ägo eller besittning. I en skadesituation förorsakas skadefallet avsiktligen görs en skadeanmälan av en skada som inte inträffat då ett verkligt skadefall inträffar görs för- sök att också anmäla sådan egendom som inte har förstörts eller också överdrivs ska- dans storlek. Detta sistnämnda är allmänt bland s.k. vanliga försäkringstagare som inte uppfattar en mindre ”påplussning” som ett faktiskt brott. Datasekretesslagstiftningen och försäkringsbolagens möjlighet att bekämpa försäkringskriminalitet Innlegg fra hovedreferenten, direktör Lea Mäntyniemi, Finska Försäkringsbolagens Centralförbund NFT 2/1999 158 AIDA - DATASEKRETESS 3. Bekämpning av försäkringskriminalitet Försäkringsbolagen försöker på olika sätt förhindra och bekämpa försäkringskrimina- litet. Bekämpningen av denna typ av ekono- misk brottslighet skiljer sig också ur polisens synvinkel klart från bekämpningen av s.k. traditionell kriminalitet. Den ekonomiska brottsligheten försiggår inom affärsvärlden, där polisen har en roll vanligen först efter att ett brott har begåtts. Bara försäkringsbolagen själva kan vidta åtgärder på förhand för att avvärja de ekonomiska följderna av denna brottsliga verksamhet. Bland åtgärderna kan nämnas ett nära samarbete med polismyndig- heterna, kontinuerlig utbildning av den egna försäkrings- och ersättningspersonalen, rekry- tering av särskilda brottsutredare för klarläg- gande av tvivelaktiga skadefall samt infor- mation till den stora allmänheten om vad försäkringskriminaliteten innebär och att den bör fördömas. Det är nämligen tyvärr så, att en stor del av medborgarna inte anser att försäkringskriminalitet bör fördömas på sam- ma sätt som t.ex. stölder, utan jämställer försäkringskriminalitet med det att man för- söker lura skattemyndigheterna. Ett av de mest effektiva sätten att bekämpa, förhindra och upptäcka försäkringskrimina- litet i det nuvarande informationssamhället är att med hjälp av ADB samla in och registrera vid kriminalitetsbekämpningen nödvändig information samt utbyta denna information mellan olika försäkringsbolag. Tyvärr är detta inte alltid möjligt, eller också är det tillåtet endast i vissa situationer. Datasekretesslag- stiftningen ställer nämligen upp gränser och hinder för behandlig och utbyte av dylik in- formation mellan försäkringsbolagen. Då man dryftar förhållandet mellan data- sekretesslagtiftning och bekämpning av för- säkringskriminalitet måste man självfallet ställa sig frågan huruvida det utöver syftet med datasekretesslagstiftningen, dvs. skydd av personers integritet, också bör fästas upp- märksamhet vid andra, från samhällssynpunkt viktiga frågor. På denna punkt är det ound- vikligen så, att två samhälleligt viktiga intres- sen delvis står emot varandra. I sista hand är det nämligen fråga om hur man skall kunna balansera individens rätt till integritet och försäkringsbolagens rätt att skydda sig mot kriminalitet. När är försäkringstagarkollek- tivets intresse vid bekämpning av försäkrings- kriminalitet starkare än individens integritets- intresse? Svaret på frågan är naturligtvis mång- facetterat och beror på vilka uppgifter försäk- ringsbolagen önskar samla in och registrera samt hur ett eventuellt informationsutbyte mellan bolagen genomförs. Skall man regist- rera uppgifter t.ex.bara då bolaget misstänker ett försäkringsbedrägeri eller skall man helt allmänt registrera skadeuppgifter om alla kunder? II EU:s datasekretessdirektiv 1. Direktivets centrala principer Europaparlamentets och rådets direktiv (95/ 46/EG) om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter utfärdades 24.10.1995 (i det följande används termen EU:s datasekretessdirektiv). Direk- tivets syfte är att trygga individernas grund- läggande fri- och rättigheter, särskilt rätten till integritet vid behandling av personupp- gifter, samt det fria flödet av personuppgifter mellan EU:s medlemsstater. Datasekretess- direktivet utgör sålunda ett regleringssystem som definierar vilka krav på skydd för indivi- der som bör uppställas i den nationella lag- stiftningen. Medlemsstaterna är skyldiga att harmonisera sin lagstiftning så att den senast 24.10.1998 överensstämmer med direktivet. Centrala direktivstadganden med hänsyn till bekämpning av försäkringskriminalitet är de stadganden som gäller uppgifternas kvalitet (artikel 6) uppgiftsbehandlingens laglighet (artikel 7) 159 AIDA - DATASEKRETESS behandling av brottsuppgifter (artikel 8, punkt 5) informationsplikt till den registrerade (ar- tiklarna 10 och 11) den registrerades rätt att få tillgång till uppgifter (artikel 12). Principer om uppgifternas kvalitet Enligt artikel 6 i EU:s datasekretessdirektiv skall personuppgifter behandlas på ett kor- rekt och lagligt sätt skall personuppgifter samlas in för sär- skilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ända- mål skall personuppgifterna vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till deras syfte skall personuppgifterna vara exakta och, om så krävs, uppdaterade skall personuppifter förvaras i identifierbar form endast under en tid som är nödvändig. Denna artikel verkar inte i och för sig upp- ställa hinder för behandling av personuppgifter som är nödvändiga vid bekämpning av försäk- ringskriminalitet, om behandlingen av dylika uppgifter överensstämmer med principerna om behandlingens laglighet. Uppgiftsbehandlingens laglighet Direktivets artikel 7 omfattar sex punkter som definierar när behandling av person- uppgifter tillåts. Med hänsyn till bekämpning av försäkringskriminalitet är följande tre punk- ter centrala: 1. Personuppgifter får enligt artikelns punkt b) behandlas om behandlingen är nödvändig för att fullgöra ett avtal i vilket den registre- rade är part eller för vidtagande av åtgärder på begäran av den registrerade innan ett sådant avtal ingås (t.ex. behandling av försäkrings- ansökan). 2. Enligt artikelns punkt e) får person- uppgifter behandlas om behandlingen är nöd- vändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutöv- ning som utförs av den registeransvarige eller tredje man till vilken uppgifterna har lämnats ut. Enligt direktivets inledande avsnitt skall det i respektive lands nationella lagstiftning definieras huruvida en registeransvarig som är ålagd att utföra en uppgift av allmänt in- tresse kan vara en offentlig myndighet eller en annan offentlig- eller privaträttslig sam- manslutning, t.ex. en branschbaserad sam- manslutning. Det kunde sålunda vara möjligt att tolka direktivet på så sätt, att för bekämp- ning av försäkringskriminalitet (allmänt in- tresse) kunde den nationella lagstiftningen ge försäkringsbolagens centralorganisation rätt att behandla uppgifter som är nödvändiga för att bekämpa kriminalitet och lämna ut dessa uppgifter till sina medlemmar. 3. Enligt artikelns punkt f) får uppgifter behandlas om behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos utomstående till vilka uppgifterna har lämnats ut, förutsatt att dylik behandling av uppgifter inte kränker personens integritetsskydd och rättigheter. Bekämpning av försäkringskriminalitet bör helt klart kunna anses utgöra ett i punkt f) avsett berättigat intresse hos den register- ansvarige och ett annat försäkringsbolag en i samma punkt avsedd utomstående eller tredje man. Principer om behandling av brottsuppgifter Enligt punkt 5 i artikel 8 får behandling av uppgifter om lagöverträdelser, brottmåls- domar eller säkerhetsåtgärder utföras endast under kontroll av en offentlig myndighet el- ler, om den nationella lagstiftningen stadgar om särskilda, lämpliga skyddsåtgärder, i un- dantag som medlemsstaterna kan tillåta och som omfattas av dessa skyddsåtgärder. Ett fullständigt straffregister får dock endast fö- 160 AIDA - DATASEKRETESS ras under kontroll av en offentlig myndighet. Direktivets artikel 8 verkar också tillåta full nationell beslutsrätt vad gäller frågan huru- vida andra än myndigheter skall ha möjlighet att behandla brottsuppgifter. Informationsplikt till den registrerade Direktivets artiklar 10 och 11 innehåller stad- ganden om hur den registrerade skall infor- meras om behandlingen av personuppgifter. Med tanke på bekämpning av försäkrings- kriminalitet är artikel 11 den centrala; i den stadgas att om uppgifter samlas in av någon annan än den registrerade själv skall den registeransvarige informera den registrerade om vem som är registeransvarig och om ända- målet med behandlingen av uppgifterna. Info- rmationsskyldighet skall dock inte föreligga, om det visar sig omöjligt eller innebär en orimligt stor ansträngning att ge information eller om det i författning uttryckligen stadgas om registrering och utlämnande av uppgifter. Artiklarna om lämnande av information till den registrerade är självfallet av relevans i situationer då ett försäkringsbolag av ett an- nat försäkringsbolag erhåller för kriminalitets- bekämpning nödvändiga uppgifter. Brotts- undersökningen kunde äventyras, om det i ett dylikt fall skulle föreligga skyldighet att in- formera den för försäkringsbedrägeri miss- tänkte om att uppgifter erhållits från ett annat försäkringsbolag. Direktivets artikel 13 ger emellertid medlemsstaterna möjlighet att be- gränsa denna skyldighet att informera den registrerade, om det är en nödvändig åtgärd med hänsyn till förebyggande, undersökning och klarläggning av brott (artikel 13, punkt 1d). Den registrerades rätt att få tillgång till uppgifter Betydelsefull i detta sammanhang är också artikel 12, enligt vilken medlemsstaterna skall säkerställa att den registrerade har rätt att från den registeransvarige med rimliga intervall samt utan större dröjsmål eller kostnader få bekräftelse på om uppgifter som rör honom behandlas eller inte, samt vilka uppgifter som den registeransvarige i så fall behandlar. Den som misstänks för försäkringsbedrä- geri skulle sålunda kunna kontrollera vilka uppgifter om honom som försäkringsbolaget har. Positivt är, att direktivets artikel 13 också i detta avseende ger medlemsstaterna möjlig- het att begränsa den registrerades rätt att få tillgång till uppgifter, om en dylik åtgärd är nödvändig med hänsyn till förebyggande, undersökning och klarläggning av brott. 2. En bedömning av direktivets centrala stadganden Ett studium av de i det föregående anförda centrala stadgandena i EU:s datasekretess- direktiv ger vid handen, att direktivet i och för sig inte hindrar medlemsstaterna från att i sin nationella lagstiftning ge försäkringsbolagen möjlighet att samla in, registrera och överlåta uppgifter som är nödvändiga vid bekämp- ning av försäkringskriminalitet. Av direktivets stadganden är artikel 7, punkt f) det mest centrala; behandling av personuppgifter ut- gör enligt denna punkt en laglig grund för ändamål som rör berättigade intressen hos den registeransvarige och utomstående till vilka uppgifterna lämnas ut. Behovet av att skydda sig mot försäkringskriminalitet är tvek- löst ett dylikt berättigat intresse. Direktivets artikel 8, punkt 5, ger därtill medlemsstaterna möjlighet att i den nationella lagstiftningen bevilja undantag från det generella förbudet att registrera uppgifter om brott, domar och säkerhetsåtgärder. Direktivet lämnar sålunda på många centrala punkter utrymme för med- lemsstaterna att fatta egna nationella beslut, och det är därför möjligt och till och med sannolikt, att de enskilda medlemsstaternas lagstiftning – trots direktivets harmonierings- målsättning – i framtiden kommer att ge ut- tryck för mycket olika uppfattningar om t.ex. försäkringsbolagens möjligheter att skydda sig mot kriminalitet. 161 AIDA - DATASEKRETESS III. Europarådets data- sekretessavtal och pågående arbete med en rekommendation om behandling av personuppgifter inom försäkringsbranschen Europarådet godkände år 1981 ett general- avtal om skydd för individer vid automatisk databehandling av personuppgifter. Avtalet syftar till att trygga varje individs grundläg- gande fri- och rättigheter och speciellt hans rätt till personlig integritet. I datasekretess- avtalet definieras de grundprinciper som av- talets parter utfäster sig att förverkliga i sin lagstiftning med hänsyn till integritetsskydd vid vid automatisk databehandling av uppgif- ter. Avtalet innehåller emellertid inga stadgan- den om utlämnande av uppgifter. Ratifieringen av datasekretessavtalet har inte framskridit i alldeles den takt man hade hoppats på då avtalet utarbetades. För tillfäl- let omfattas 17 länder av avtalssystemet (Ne- derländerna, Belgien, Spanien, Irland, Stor- britannien, Island, Österrike, Grekland, Lux- emburg, Norge, Portugal, Tyskland, Slo- venien, Finland, Frankrike, Sverige och Dan- mark). Avtalet innehåller mycket liknande grundprinciper om användning av personre- gister som den rekommendation OECD år 1980 godkände om integritetsskydd och in- ternationell överföring av personuppgifter. På grund av att vartdera avtalet innehåller allmänna principer tar de inte direkt ställning till försäkringsbranschens behandling av per- sonuppgifter. Europarådet har emellertid främ- jat en utveckling i riktning mot harmonise- ring av lagstiftningen om behandling av personuppgifter genom att utfärda rekom- mendationer för olika branscher. Hittills har rekommendationer för nio olika branscher utfärdats. För närvarande pågår ett arbete med en rekommendation som rör försäkrings- branschens behandling av uppgifter. Arbetet har pågått i 4–5 år och det har framskridit tämligen långsamt. Eftersom datasekretess- rekommendationen kommer att ha stor bety- delse för försäkringsbolagen också med hän- syn till bekämpning av försäkringskriminalitet skall jag i det följande kort ta upp några centrala frågor i det senast utarbetade re- kommendationsutkastet (daterat 18.12.1997). Det som från försäkringsbolagens synpunkt är viktigt i rekommendationsutkastet är det faktum, att betydelsen av försäkringsbolag- ens kriminalitetsbekämpning har uppmärk- sammats och erkänts. Till grund för rekom- mendationen ligger naturligtvis Europarådets datasekretessavtal, vars principer i utkastet har anpassats till försäkringsbranschens be- hov. I enlighet med Europarådets datasek- retessavtal skall rekommendationen gälla endast automatisk databehandling, även om det rekommenderas att medlemsstaterna ut- sträcker principerna till att gälla också annan behandling av personuppgifter. Syftet med rekommendationen är att i likhet med EU:s datasekretessdirektiv och Europarådets data- sekretessavtal skydda personers integritet vid behandling av personuppgifter med beaktande av försäkringsbranschens specialkaraktär och behov. Följande punkter i utkastet är centrala ur kriminalitetsbekämpningssynvinkel: Som en laglig grund för inhämtande och behandling av personuppgifter nämns i utkastets artikel 4, punkt 4, förebyggande och bekämpning av försäkringskriminalitet. I utkastets artikel 4, punkt 9, konstateras att uppgifter om brottsundersökning och rätte- gångar eller domar i brottmål kan insamlas och behandlas, om de är nödvändiga och har nära samband med försäkringskrimina- litet, beviljande av försäkringar eller ersätt- ningshandläggning och under förutsättning att den nationella lagstiftningen garanterar nödvändiga och tillräckliga skyddsåtgär- der. Stadgandet om utbyte av upplysningar mellan försäkringsbolagen är ännu inte fär- digt i utkastet. Det skulle i själva verket 162 AIDA - DATASEKRETESS vara nödvändigt att slå fast, att också be- kämpning av kriminalitet skulle bli ett lag- ligt motiv för utlämnande av uppgifter. IV. Den finska datasekretess- och försäkringslagstiftningen I Finland ingår de med hänsyn till bekämp- ning av försäkringskriminalitet viktigaste stadgandena i personregisterlagen från år 1988 samt i försäkringsbolagslagen, som innehål- ler ett antal stadganden om sekretess. Var- dera författningen är för närvarande föremål för revidering när det gäller de stadganden som rör försäkringsbolagens behandling av uppgifter, och därför presenterar jag i det följande bara huvudprinciperna i de nu gäl- lande lagarna. 1. Personregisterlagen I Finland ingår de allmänna stadgandena om inhämtande, registrering, användning och utlämnande av personuppgifter i person- registerlagen (471/1987) och personregister- förordningen (476/1987). De trädde i kraft år 1988. Personregisterlagen definierar de rättighe- ter och skyldigheter som är förknippade med inhämtande, registrering, användning och utlämnande av personuppgifter. Avsikten med det skydd som lagen garanterar är att tillgo- dose integriteten hos den person som är före- mål för uppgifterna samt att tillvarata hans intressen och rättigheter. Personregisterlagen är en övergripande datasekretesslag som gäller såväl ADB-base- rade som manuellt förda personregister. La- gen tillämpas bara på enskilda fysiska perso- ner. Sålunda gäller lagen inte t.ex. behandling av personuppgifter om yrkesutövare eller näringsidkare. Lagen bereddes i tiden med beaktande av Europarådets datasekretessavtal. Lagen inne- håller sålunda allmänna principer för data- sekretess, bl.a. krav på att inhämtandet av uppgifter måste vara adekvat och lagenligt samt krav på uppgifternas kvalitet, principen om förbud mot registrering av känsliga upp- gifter och att registreringen måste ha ett syfte, liksom även principerna om registerföringens öppenhet och den registrerades rättigheter. De viktigaste stadgandena med hänsyn till bekämpning av försäkringskriminalitet är de som reglerar de allmänna förutsättningarna för registrering och utlämnande av person- uppgifter samt stadgandet om behandling av känsliga uppgifter. I lagen har man också givit datasekretessnämnden möjlighet att be- vilja undantag från lagens stadganden. Enligt den gällande personregisterlagen får försäkringsbolagen inte utan datasekretess- nämndens tillstånd utbyta uppgifter om ska- dor och inte heller registrera uppgifter om brottsliga handlingar eller domar. Denna typ av register och behandling förutsätter alltid datasekretessnämndens tillstånd. 2. Försäkringsbolagens bedrägeriregister Eftersom de finländska försäkringsbolagen på många olika sätt försöker bekämpa försäk- ringskriminaliteten beslöt Finska Försäk- ringsbolagens Centralförbund år 1995 att för sina medlemsbolag ansöka om undantagslov för att få registrera sådana personer som av försäkringsbolagen blivit polisanmälda eller som dömts för brott riktat mot försäkringsbo- lag. Datasekretessnämnden beviljade 18.9. 1995 ett dylikt undantagslov för Central- förbundets medlemsbolag. Enligt nämndens praxis beviljades undantagslovet temporärt till 30.9.1998, men undantagslovet har nu förlängts till utgången av september år 2001. I Finland har datasekretessnämnden generellt sett förhållit sig ytterst restriktiv till beviljande av undantagslov för registrering av brotts- uppgifter och utöver försäkringsbolagens bedrägeriregister har ett lov av denna typ endast beviljats bankerna. Vid beviljandet av undantagslov år 1995 163 AIDA - DATASEKRETESS uppställde datasekretessnämnden stränga vill- kor för det ifrågavarande registret. I undan- tagslovet stipuleras nämligen, att 1) en uppgift får registreras först efter det att ärendet polisanmälts 2) en uppgift omedelbart skall avföras ur registret, då vederbörande person genom un- derrätts dom konstaterats vara oskyldig till missbruk eller om ärendet inte föranlett brotts- process 3) en uppgift skall avföras ur registret senast efter fem år från registreringstidpunkten 4) den registrerade skall underrättas om an- vändningen av missbruksuppgifter i besluts- fattandet samt om varifrån missbruksupp- gifterna härrör, om vägran att bevilja försäk- ring eller kredit eller något annat för den registrerade negativt beslut i huvudsak beror på uppgifter i bedrägeriregistret. Bedrägeriregistret omfattar för närvarande uppgifter om ca 200 personer. Antalet är mindre än vad som förväntades då ansökan om undantagslov lämnades in. Detta beror på att försäkringsbolagen till registret anmält endast personer vilkas brott nästan säkert kan ledas i bevis eller vilka redan blivit dömda. Till registret har inte heller anmälts personer som gjort sig skyldiga till brott vilkas ekono- miska värde varit ringa. Men också med hän- syn till registrets nuvarande omfattning har erfarenheterna varit så pass positiva, att ansö- kan om fortsättning på undantagslovet har gjorts. Samtidigt har Centralförbundet påbör- jat ett utredningsarbete huruvida Centralför- bundet på medlemsbolagens vägnar utöver bedrägeriregistret borde ansöka om undan- tagslov för ett gemensamt skaderegister och utlämnande av skadeuppgifter. Dylika skade- register förekommer som bekant i flera län- der. Enligt preliminära utredningar kommer en skaderegisteransökan att göras, dock först efter att den finska datasekretesslagsiftning- en reviderats i enlighet med EU:s datasekre- tessdirektiv. 3. En ny lag om personuppgifter För att den finska lagstiftningen skall över- ensstämma med EU:s datasekretessdirektiv kommer en ny lag om behandling av person- uppgifter att stadgas. (När detta läses har lagen redan stadgats.) Denna nya lag träder i kraft 1.5.1999 och ersätter den nu gällande personregisterlagen. Den nya lagen om personuppgifter följer till sina centrala principer självfallet stad- gandena i EU:s datasekretessdirektiv. Lagen kommer i enlighet med direktivet att reglera hur personuppgifter får behandlas och så- lunda inte längre stadga om vad som är tillåtet då personuppgifter inhämtas, utlämnas osv. Med tanke på bekämpningen av försäkrings- kriminalitet kommer de centrala stadgandena att mycket långt ligga i linje med den nu- varande personregisterlagens stadganden. Försäkringsbolagen kommer sålunda att be- höva datasekretessnämndens undantagslov för att få upprätta det planerade gemensamma skaderegistret, på grund av att datasekretess- direktivets princip i artikel 7, punkt f, gäl- lande berättigade intressen hos den register- ansvarige eller utomstående, inte som sådan kommer att intas i den nya personuppgifts- lagen, utan datasekretessnämndens lov kom- mer alltjämt att behövas vid behandling av uppgifter som rör ifrågavarande berättigade intressen. Enligt Centralförbundets uppfatt- ning borde man i Finland ha gått in för en reglering enligt direktivet, varvid något sär- skilt lov från datasekretessnämnden inte hade behövts i de situationer som avses i direktivets artikel 7, punkt f). Enligt EU:s datasekretessdirektiv utgör brottsuppgifter inte i direktivets artikel 8, punkt 1, avsedda känsliga uppgifter (ras, po- litiska åsikter, religion, medlemskap i fack- förening, hälsotillstånd och sexuellt beteende), vilka får behandlas endast med vederböran- des uttryckliga samtycke eller i särskilt stad- gade undantagssituationer. Direktivet lämnar utrymme för den nationella lagstiftningen att 164 AIDA - DATASEKRETESS ge t.ex. registerförare av typ försäkringsbolag rätt att registrera brottsuppgifter. Enligt den nya personuppgiftslagen skulle uppgifter om brottsliga handlingar, straff eller andra brott- spåföljder dock alltjämt i Finland utgöra upp- gifter av känslig natur. Behandlingen av dy- lika uppgifter skulle därför kunna tillåtas en- dast i sådana undantagssituationer som nämns i lagen eller efter lov från datasekretess- nämnden. Enligt undantagsparagrafen om behandling av känsliga uppgifter skulle lag- stadgandet dock inte hindra försäkringsbola- gen från att behandla i försäkringsverksam- heten erhållna uppgifter om den försäkrades och den ersättningssökandes hälsotillstånd, sjukdom eller handikapp eller från att be- handla sådana brottsuppgifter som i samband med ersättningshandläggningen är nödvän- diga för att bolagets ansvar skall kunna klar- läggas. Enligt förslaget till stadgande om data- sekretessnämndens tillståndsbefogenheter kan undantagslov för behandling av känsliga uppgifter beviljas av orsaker som rör ett vik- tigt allmänt intresse. På detta stadgande base- rar sig sålunda i fortsättningen försäkrings- bolagens och även bankernas möjligheter att behandla och utlämna brottsuppgifter om personer som begått brott mot försäkringsbo- lag eller banker. 4. Försäkringsbolagslagens stadgande om sekretess Med undantag av socialförsäkringslagstift- ningen innehåller den finska försäkrings- lagstiftningen inte några särskilda stadgan- den om behandling av personuppgifter. La- gen om försäkringsbolag ålägger emellertid försäkringsbolagen en allmän sekretessplikt. Enligt försäkringsbolagslagens 18 kapitel 6 § är de som arbetar vid försäkringsbolag skyl- diga att hemlighålla uppgifter om kundernas hälsotillstånd, likaså affärs- eller yrkeshem- ligheter. Brott mot sekretessplikten är straff- bar handling. Den finska försäkringsbolagslagens sekre- tesstadgande tar inte ställning till utlämnande av uppgifter mellan försäkringbolag och t.ex. inte utlämnande av uppgifter inom en för- säkringskoncern. Det nuvarande sekretes- stadgandet är i många avseendet oklart och försäkringsbolagslagen reglerar inte heller i övrigt utlämnande av uppgifter t.ex. i fall då utlämnandet av uppgifter är nödvändigt på grund av försäkringsverksamhetens natur. T.ex. för för ingående av återförsäkringsavtal är det nödvändigt att lämna ut uppgifter trots sekretesstadgandet. Försäkringsbolagslagens sekretesstadgande har också till andra delar konstaterats vara föråldrat och fördenskull är stadgandet som bäst föremål för revidering. Avsikten är att i försäkringsbolagslagen be- akta kraven i EU:s datasekretessdirektiv samt försäkringsbolagens särskilda behov ifråga om behandling av uppgifter. Tillsvidare be- finner sig beredningen i ett utkastskede, men det är sannolikt att försäkringsbolagslagen inte direkt kommer att ge försäkringsbolagen rätt att t.ex. registrera brottsuppgifter eller sinsemellan utbyta skadeuppgifter; det anses inte realistiskt att ett sådant stadgande skulle kunna godkännas i riksdagen. Den register- föring som behövs vid bekämpning av försäk- ringskriminalitet kommer enligt planerna också i fortsättningen att kräva undantagstill- stånd från datasekretessnämnden. V. Register som används vid bekämpningen av försäkringskriminalitet i några europeiska länder I många europeiska länder har man konstate- rat, att ett av de mest effektiva sätten att bekämpa försäkringskriminalitet är att ut- nyttja de möjligheter som den automatiska databehandlingen erbjuder vid behandling av kriminalitetsrelaterade personuppgifter samt vid utbyte av dylika uppgifter mellan försäk- ringsbolag. I det följande presenteras några 165 AIDA - DATASEKRETESS exempel på register som är i bruk i vissa länder, med undantag av de nordiska län- derna, eftersom situationen här i Norden kom- mer att behandlas av av co-referenterna. 1. Belgien I Belgien reviderades datasekretesslagstift- ningen år 1992. Detta föranledde vissa tek- niska förändringar i de register som används vid försäkringsbolagens bekämpning av kri- minalitet, men gjorde ingalunda slut på re- gistren. I Belgien har försäkringsbolagen för närvarande två register i användning. I skade- försäkringsregistret införs bl.a. de som inte beviljats försäkring samt de fall där försäk- ringsbedrägeri har kunnat bevisas. För liv- och sjukförsäkringar finns ett motsvarande register. Vidare är man i Belgien som bäst i färd med att upprätta ett register där enligt planerna skadorna i samtliga försäkrings- grenar skall registreras. 2. Storbritannien I Storbritannien upprättade medlemsförsäk- ringsbolagen i ABI (Association of British Insurers) i november 1994 ett skaderegister, i vilket alla gamla och nya skador inom hem- och trafik/bilförsäkring införs. Ett försäkrings- bolag, som såsom ny medlem önskar ansluta sig till detta register, måste lämna in uppgifter om alla sina skador under de tre föregående åren. Detta innebär att registret är mycket omfattande och det har ansetts ha en bety- dande effekt vid bekämpningen och före- byggandet av brottslighet. Registret kan an- vändas såväl vid ingående av försäkringsav- tal som vid skadehandläggningen för att det skall kunna utredas, huruvida försäkrings- tagarna och de försäkrade samt de ersättnings- sökande lämnat riktiga upplysningar. Utöver detta generella skaderegister finns det i Storbritannien ett missbrukarregister som upprättats i augusti 1997 (Anti-fraud intelligence database and alert system). I detta register införs personer som polisanmälts el- ler som gjort sig skyldiga till försäkrings- brott. I registret får också införas tips som polisen eller allmänheten lämnar om perso- ner som möjligen gjort sig skyldiga till försäk- ringsbrott. Också i Storbritannien fördes vid upprät- tandet av de nämnda registren diskussioner med datasekretessmyndigheterna, som ansett de ifrågavarande registren möjliga under för- utsättning att kunderna informeras om dem i alla försäkrings- och ersättningsansökningar och att även i övrigt allmän information om registren sprids. I Storbritannien har ABI därtill utarbetat en Code of Conduct för behandling av personuppgifter. I samband med det nya missbrukarregistret aktualisera- des också datasekretessfrågor, men data- sekretessmyndigheten visade grönt ljus för registret, förutsatt att de tips som inflyter avförs ur registret inom tre månader. 3. Tyskland Också i Tyskland har försäkringsbolagen byggt upp ett ADB-system för att kunna be- kämpa försäkringskriminaliteten. Datasek- retesslagstiftningen och datasekretessmyn- digheternas syn på frågorna har beaktats på så sätt, att försäkringsbolagen inte sinsemellan utbyter personuppgifter, utan i stället har de konstruerat ett rätt invecklat system, där upp- gifterna om enskilda försäkringstagare omar- betas till olika slags koder innan de genom förmedling av de tyska försäkringsbolagens centralförbund tillställs andra försäkringsbo- lag. Uppgifterna i registret kan användas så- väl när en försäkring tecknas som vid ersätt- ningshandläggningen. Årligen införs i regist- ret 500 000 – 800 000 anteckningar enbart inom trafikförsäkring. Uppgifterna kvarstår i registret i fem år. 4. Frankrike I Frankrike har försäkringsbolagen inrättat en gemensam organisation, ALFA, för att be- kämpa försäkringskriminaliteten. Denna or- 166 AIDA - DATASEKRETESS ganisation administrerar två ADB-baserade system, med vilkas hjälp försäkringsbolagen sinsemellan kan utbyta uppgifter om perso- ner som misstänks för eller som gjort sig skyldiga till brott mot försäkringsbolag. I det ena systemet kan försäkringsbolagen på en elektrisk anslagstavla lämna besked om att de önskar ytterligare upplysningar om t.ex. en viss persons skador (ca 2 500 förfrågningar årligen). I det andra systemet lämnas via ett elnät upplysningar om personer som allvar- ligt misstänks för försäkringsbedrägeri. Upp- gifter om personer kan i detta senare register bevaras i fem års tid. Datasekretesslagstift- ningens krav har beaktats ytterligare på sätt, att endast vissa namngivna personer har rätt att använda registren. 5. Vissa andra länder Utöver i de länder som jag här nämnt finns det också i Holland, Österrike, Schweiz, Norge och Italien register som gör det möjligt för försäkringsbolagen att sinsemellan automa- tiskt utbyta kriminalitetsrelaterade uppgifter. IV. Slutsatser Implementeringen av EU:s datasekretess- direktiv pågår i alla EES-stater. Ifråga om bekämpning av försäkringskriminalitet ger direktivet de legala ramar som är nödvändiga vid behandling av personuppgifter, ramar som det står de enskilda medlemsstaterna fritt att utnyttja i sin nationella lagstiftning. Redan nuvarande praxis i olika europeiska länder visar att inställningen till bekämpning av försäkringskriminalitet varierar. Vissa länder såsom Storbritannien har långa traditioner inom kriminalitetsbekämpningen och i Stor- britannien har man ansett att bekämpning av försäkringskriminalitet också är förenlig med datasekretessintressen. I de nordiska länderna håller försäkringsbolagen på att intensifiera sin kamp mot försäkringskriminalitet. Men i de nordiska länderna har å andra sidan myn- digheternas och lagstiftarens inställning till frågan varit mera kritisk och reserverad än i många andra länder. Då man i Finland diskuterade frågan om att få upprätta det bedrägeriregister som nu an- vänds var konsumentombudsmannen, kon- sumentorganisationerna och dataombudsman- nen emot ett dylikt register, med motive- ringen att det skulle utgöra en alltför stor integritetsrisk för dem som blir införda i re- gistret. Utöver datasekretessfrågor anlade man också konsumentskyddssynpunkter. Många konsumentskyddsorganisationer och myndig- heter förhåller sig ytterst kritiska till upprät- tandet av dylika register, ty de anser att regist- ren skulle komma till användning också i det skedet då försäkringar tecknas och att personer som råkat ut för många skador eller som straffats för försäkringsbedrägeri då inte skulle komma att beviljas försäkring. Dessa åsikter ger uttryck för ett synsätt, enligt vilket försäk- ringar är basnyttigheter som alla skall ha rätt till. Från ett försäkringsbolags perspektiv är det dock svårt att förstå, varför försäkringar borde beviljas personer som gjort sig skyldiga till brott som uttryckligen riktat sig mot just ett försäkringsbolag. En försäkring är ju i stor utsträckning ett avtal som grundar sig på parternas förtroende för varandra. Utgångs- punkten vid ingåendet av ett försäkringsavtal och vid ersättningshandläggningen är den att kunden lämnar korrekta och tillräckliga upp- lysningar till sitt försäkringsbolag. Jag anser det inte vara acceptabelt, att personer som missbrukat detta förtroende om och om igen bereds tillfälle till upprepat svikligt förfarande. Från försäkringsbolagens synpunkt är det mest effektiva sättet att bekämpa försäkringskrimi- nalitet att förhindra att i synnerhet yrkes- brottslingar beviljas försäkring. Det är ytterst nödvändigt, men klart svårare att vid ersättnings- handläggningen bekämpa och avvärja skador, ty i det skedet är det ofta försäkringsbolaget som har bevisbördan för att den försäkrade t.ex. avsiktligen har förorsakat skadan. 167 AIDA - DATASEKRETESS Några kommentarer från svensk horisont Innlegg fra co-referenten, bolagsjurist Christer Hagensgård, Länsförsäkringar Wasa Det förefaller således sannolikt, att även efter det att EU:s datasekretessdirektiv im- plementerats kommer försäkringsbolagens möjligheter att bekämpa försäkringskrimina- litet alltjämt i hög grad att variera från land till land, uttryckligen för att ländernas, eller kan- ske snarast de nationella lagstiftarnas, inställ- ning till bekämpning av försäkringskrimina- litet varierar. I och med att försäkringsnäringen internationaliseras och i synnerhet eftersom försäkringskriminaliteten överskrider de na- tionella gränserna kan emellertid lösningarna knappast alltför länge till vara nationellt för- ankrade; försäkringsbolagen i länder som för- håller sig negativa till bekämpning av för- säkringskriminalitet skulle i så fall hamna i en icke konkurrensneutral situation. Det finns en fara för att yrkeskriminaliteten får en stark dominans i länder där försäkringsbolagen inte har möjligheter att med ADB behandla och sinsemellan utbyta uppgifter, som är nödvän- diga i kriminalitetsbekämpningen. Och i och med att försäkringsmarknaderna blir allt mera enhetliga, är det rimligt att kräva att för- säkringsbolagen i framtiden skall ha möjlig- het att sinsemellan utbyta gränsöverskridande information om personer som idkar yrkes- kriminell verksamhet. Försäkringsbedrägeriernas omfattning och betydelse Den ekonomiska omfattningen är betydande vare sig den mäts i procent av premier eller av skadekostnader. Det är onödigt att fastna i en debatt om hur betydande. För svensk del är det tillräckligt betydande att försäkrings- bedrägerier inom skadeförsäkring kostar minst en miljard kr i onödiga skadekostnader, san- nolikt det dubbla. Det betyder mellan 5 och 10 procent av skadekostnaderna. Försäkringsbedrägerierna har dessutom den betydelsen att de är ägnade att försena skade- regleringen i onödan för majoriteten heder- liga försäkringstagare, genom de undersök- ningar bolagen måste vidta generellt för att hitta enstaka bedrägerifall. Myndigheternas roll Få fall av misstänkta försäkringsbedrägerier anmäls numera till myndigheterna. Bakgrun- den är bolagens entydiga erfarenhet att polis och åklagare inte anser sig hinna med den här typen av brottslighet. Slutsatsen är att försäk- ringsbolagen själva måste vidta effektivare åtgärder för att öka möjligheterna att upp- täcka misstänkta försäkringsbedrägerier. Det säger också Sveriges justitieminister. För- säkringsbolagens skall inte ”leka polis” men måste agera på civilrättslig grund. Skaderegister De svenska försäkringsbolagen beslutade 1996 att ansöka om tillstånd att upprätta och föra ett gemensamt skaderegister av norsk modell, dvs helt motsvarande det norska ge- mensamma skaderegistret FOSS. I registret skall finnas fyra uppgifter: person- eller organisationsnummer skadereglerande försäkringsbolag skadedatum och skadenummer försäkrings- och skadetyp. 168 AIDA - DATASEKRETESS Så snart en försäkringstagare anmäler ett nytt skadefall registreras angivna uppgifter i det gemensamma skaderegistret. Samtidigt visar registret upp en historisk bild avseende upp- gifter i angivna hänseenden om denne försäk- ringstagare. Endast det försäkringsbolag som registrerar ett nytt skadefall får tillgång till det gemensamma skaderegistret. Målet är att skapa en ordning som ger försäkringsbolaget en signal om att genom- föra en fördjupad utredning och som i första hand avskräcker från att försöka lura försäk- ringsbolaget. Bolagen bedömde det helt utsiktslöst att få tillstånd att registrera brottsuppgifter. Enligt gällande Datalag är ett FOSS-regis- ter tillståndspliktigt av flera skäl. Ytterst är det dock fråga om registreringen leder till otillbörligt intrång i de registrerades integri- tet. Vid den bedömningen skall göras en intresseavvägning, som förutsätter en analys av de faktiska omständigheterna samt av skä- len för och emot en registrering. Datainspek- tionen och Länsrätten i Stockholm har avsla- git ansökan, som nu ligger hos den tredje instansen Kammarrätten för avgörande inom, förhoppningsvis, den närmaste tiden. Datainspektionen, som är tillsynsmyndig- heten på dataområdet, avslog ansökan utan någon som helst analys av den intressanta situationen att en väl fungerande försäkrings- verksamhet ligger i samhällets intresse, att samhället självt inte har några disponibla resurser på det här området och att den stora majoriteten registrerade skulle gagnas av re- gistreringen genom minskade skadekostna- der och premier samtidigt som skaderegle- ringen skulle bli snabbare. Man tyckte helt enkelt bara att ett så omfattande register över samtliga försäkringstagare som anmält minst ett skadefall innebar ett otillbörligt integritet- sintrång. De enda som skulle ”förlora” på registreringen är de som försöker lura sitt försäkringsbolag. Brott och gärningsmän I tillståndsärendet har professor Leif G W Persson vid Polishögskolan i ett yttrande bl a konstaterat att de s k primärbrotten, där gär- ningsmannen arrangerat eller hittat på den skada som utgör grunden för ersättnings- kravet, uppgår till mellan 10 000 och 20 000 av samtliga knappt 100 000 försäkrings- bedrägeribrott per år inom skadeförsäkring. Brottsbeloppen understiger sällan 30 000 kr och uppgår ofta till mycket högre belopp. I övrigt är det fråga om s k sekundärbrott, där man faktiskt utsatts för någon typ av angrepp eller skada men samtidigt passat på att komma med bedrägliga krav på ersättning, t ex ”på- plussning”. Dessa uppskattar han till mellan 80 000 och 90 000 per år. Här ligger brotts- beloppen i storleksordningen ca 3 000 kr. Han uppskattar att sekundärbrotten kostar mellan 200 och 300 miljoner kronor per år. Primärbrotten ligger betydligt högre, mellan 1 000 och 1 500 miljoner kronor per år. Persson kommer fram till att närmare hälf- ten av misstänkta försäkringsbedragare har en eller flera tidigare domar för bedrägeri och hela sex procent av samtliga misstänkta har sju eller flera domar för bedrägeri. Den juri- diska konstruktionen av försäkringsbedräge- rierna kräver, enligt Persson, inte något större mått av kriminell ingenjörskonst eller kreati- vitet. De kända brotten är enkla, följer ofta bestämda mallar eller mönster och vissa mo- dus operandi tycks närmast ha en både repiti- tiv och epidemisk karaktär. En påfallande stor andel av de kända brotten gör, säger han, ett närmast naivt eller självdestruktivt in- tryck. Kombinationen av en mycket god till- gång på brottstillfällen samt en låg grad av kontroll gör ändå försäkringssystemet till ett lockande angreppsobjekt. Bilden av den kända bedrägeribrottsligheten riktad mot försäkringsbolagen uppvisar en- ligt Persson stora likheter med andra traditio- nella brottsområden. Här finns ett markant 169 AIDA - DATASEKRETESS inslag av tidigare straffade gärningsmän och t o m av persistenta brottslingar. De vanli- gaste brottsmönstren är enkla och återkom- mande. Tillgången på brottstillfällen och från- varon av kontroll gör ändå att upptäcksriskerna blir så låga att beteendet kan betecknas som rationellt i en ekonomisk mening. Effekten av ett gemensamt skaderegister kommer enligt Persson att variera väsentligt beroende på vilken typ av gärningsmän res- pektive brottsliga beteenden vi talar om. För gruppen ”vanliga hederliga bedragare”, som ägnar sig åt beloppsmässigt mindre påpluss- ning av ett enstaka och faktiskt inträffat ska- defall kommer risken att upptäckas fortfa- rande att vara låg. Trots den låga upptäcks- risken kan ett register ha viss effekt också i dessa fall eftersom ”vanliga hederliga män- niskor” har de mest överdrivna föreställningar om riskerna att upptäckas för brott. Det natur- liga målet för ett gemensamt skaderegister är i stället den antalsmässigt mindre men kvali- ficerade gruppen av gärningsmän och de grövre systematiska brotten. Här kan man enligt Persson räkna med väsentliga brotts- förhindrande effekter. Ny datalag av EG-modell I Sverige ersätts den gamla Datalagen i höst av en ny Personuppgiftslag, PUL. Med denna lag implementerar Sverige EG-direktivet om personuppgifter. Skulle PUL medge ett gemensamt skade- register av norsk modell? Det är möjligt men i vart fall för närvarande ovisst. Det saknas lag förarbeten av gammalt, traditionellt slag med mera tydliga uttalanden om lagens til- lämpning. Någon praktisk tillämpning finns av naturliga skäl inte. I 10 § PUL, som bygger på artikel 7 i EG- direktivet, finns flera bestämmelser, som skulle kunna åberopas till stöd för ett sådant skaderegister. 10 § redovisar fall där behand- ling av personuppgifter är tillåten utan den registrerades samtycke. Samtycke är knap- past en framkomlig väg, bl a eftersom det finns anledning räkna med att de som kan vara benägna att lura sitt försäkringsbolag skulle motsätta sig en registrering. Bolagen skulle också få en indirekt registrering av dem som inte samtycker. Registrering utan samtycke är tillåten för att bolaget skall kunna fullgöra en rättslig skyldighet. I viss mera allmän mening är det en rättslig skyldighet för försäkringsbolagen att reglera skador på ett ur kollektivets in- tresse korrekt och kostnadseffektivt sätt. Registrering får också ske för att skydda vitala intressen för de registrerade? För den hederliga majoriteten registrerade försäkrings- tagare är det viktigt att bolagen reglerar ska- dor snabbt och korrekt utan onödiga skade- kostnader, som driver upp premierna. Registrering får också ske för att en arbets- uppgift av allmänt intresse skall kunna utfö- ras. En väl fungerande försäkringsverksamhet ligger i samhällets intresse, vilket understryks av en fortfarande omfattande reglering och tillsyn av försäkringsbolagens verksamhet. Från statens sida har i flera sammanhang framhållits vikten av att försäkringsbolagen tar sitt ansvar och bekämpar försäkrings- bedrägerier. Bolagen vore mera förtjänta av kritik om man inte vidtar effektiva åtgärder för att undvika att bli lurade. Samtliga nu angivna skäl för registrering utan samtycke inom ramen för 10 § PUL är varianter på samma tema, att upprätthålla ett väl fungerande försäkringssystem. Också den sista punkten i 10 § PUL, som medger registrering utan samtycke, skulle kunna åberopas för ett gemensamt skade- register av den norska modellen. Den här punkten avser det fallet att registrering sker för ett ändamål, som rör ett berättigat intresse hos försäkringsbolagen, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning a den personliga inte- griteten. Här handlar det om en intresse- 170 AIDA - DATASEKRETESS avvägning, som för tankarna till den som skall ske enligt den nuvarande Datalagen. En sådan intresseavvägning borde rimligen ut- falla till förmån för registrering av de föga integritetskänsliga uppgifter, som nu är aktu- ella i Sverige. Informationsskyldigheten I det finska huvudreferatet framhålls helt rik- tigt att informationsskyldigheten enligt EG- direktivet och som återfinns i PUL kan bli ett problem vid registrering av uppgifter om oär- liga försäkringstagare. Sett ur ett svenskt per- spektiv skulle informationsskyldigheten inte bli ett problem vad gäller det planerade svens- ka registret, eftersom det är en grundtanke att i första hand avskräcka från försök att lura försäkringsbolaget. Uppgifter om lagöverträdelser Det är i vart fall för närvarande inte aktuellt i Sverige att registrera brottsuppgifter i ett branschgemensamt separat register. En an- nan sak är att det i bolagens enskilda skade- register kan vara aktuellt att registrera brotts- uppgifter, som är relevanta ur villkorssynpunkt i enskilda skadefall, t ex rattfylleri i motor- fordonsförsäkring. Det finns anledning räkna med att den svenska Datainspektionen kom- mer att generellt tillåta sådan registrering av uppgifter om lagöverträdelser. Sekretess När det gäller sekretessfrågor finns ingen allmän sekretessbestämmelse för svenska för- säkringsbolag av det slag som finns för svenska banker. Dock tillämpar svenska försäkrings- bolag frivilligt en allmän försäkringssekretess. Det kan givetvis diskuteras om och i vad mån denna frivilliga sekretess egentligen hindrar ett informationsutbyte om misstänkta försäk- ringsbedrägerier. Det är en viktig synpunkt som framförs i det finska huvudreferatet att det är angeläget att undvika nationell särtillämpning av EG-di- rektivet, som hindrar försäkringsbolagen att i vart fall ”europeiseras” i takt med att brotts- ligheten går över gränserna. De norske registre for svindelbekjempelse Innlegg fra direktör Øyvind Flatner, Norges Forsikringsforbund Innledning I Norge er det tre registre til felles bruk i forsikringsnæringen. Erkjennelsen av at forsikringssvindel er et samfunnsproblem og et problem som til en viss grad kan undergrave ordinær forsikrings- virksomhet på en måte som kundene generelt sett ikke er tjent med, ligger til grunn både for forsikringsnæringens arbeid med registrene og for myndighetenes aksept av disse. Kon- sesjonene er gitt av Datatilsynet til Norges Forsikringsforbund som er regsiteransvarlig for alle tre. Registrene er tilgjengelig til bruk for Forsikringsforbundets medlemmer. De langt fleste norske forsikringsselskapene er medlemmer. For ett av registrene har også myndighetene tilgang. Det har vært foretatt flere undersøkelser for å forsøke å kvantifisere omfanget av misbruk, uten at vi vel kan si å ha fått frem “riktige” tall. Det er operert med tallstørrelser som ca 1 mrd. på skade og 0,5 mrd. på liv. Uavhengig av om dette er korrekte tall må omfanget klart kunne 171 AIDA - DATASEKRETESS sies å være så stort at tiltak som kan begrense dette må være i både samfunnets, kundenes og forsikringsnæringens interesse. De tre registrene er: skaderegistret FOSS (Forsikringsselskape- nes sentrale skaderegister opprettet i 1984) skaderegistret ROKK (Register over kon- tantinnløste kjøretøy opprettet i 1991) livregistret Forsikringssøkerregistret (Re- gister over forsikringssøkere og forsikrede opprettet i 1918). Sentralt skaderegister Formålet med registret er å legge grunnlaget for et effektivt arbeid med å forhindre og begrense forsikringssvindel. Nytten av regis- tret ligger særlig i at det blir svært vanskelig å melde en og samme skade til flere forsik- ringsselskap, samt at en kundes skadehistorie – dersom den er spesiell eller atypisk – kan være et signal om at man bør undersøke nærmere. Eksistensen av et slikt register vil også ha preventiv effekt i forhold til utbredelsen av forsikringssvindel. En undersøkelse har av- dekket at 24% av befolkningen kjenner til registret. Det er person- og skadeidentifiserende data som registreres. Det er: fødsels- eller bedrifts- nummer, daglig leders og styremedlemmers fødselsnummer, skadehistorikk, forsikrings- selskap, skadetidspunkt, skadenummer, ska- dens art og saksbehandler. Etter en relativt ny beslutning registreres ikke “småskader” som bilglass, veihjelp og rettshjelp. Det registre- res ca 8–900.000 skader pr år. Siden oppret- telsen er det registrert totalt 5,7 mill. skader. Det er helt sentralt at registret kun er til- gjengelig i skadebehandlingssammenheng. Det er ved registrering av en skademelding i de enkelte selskap at saksbehandlerne også legger inn informasjon i registret. Dersom det er registrert skader på kunden tidligere kom- mer da dette opp. Registret og dets informa- sjoner kan ikke benyttes verken til: kunde- kartlegging i salgssammenheng, statistikk, oppslagsverktøy generelt, politietterforskning eller spørreundersøkelser. Det er de deltakende forsikringsselskapene som finansierer registret i form av tilslut- ningsavgift på kr. 50.000 og en transaksjons- kostnad på kr. 1,90. Dersom selskapene på bakgrunn av den informasjonen man får opp (online på sin skjerm) når en skade registreres, ønsker å hente ut informasjon hos andre skadeselska- per, må slik innhenting basere seg på fullmakt fra skadelidte. Slik fullmakt gis normalt på skademeldingsskjemaet. Når forsikringselskapene har et slikt regis- ter blir åpenheten og informasjonen overfor kundene et viktig forhold. Kunden informeres både i polisedokumentasjonen, på skademel- dingsskjema og når skade er registrert. Kun- dene har innsyns- og klagerett. I de senere år har det vært 10–20 henvendleser om innsyn. All informasjon slettes etter 10 år. Konsesjonen til opprettelse av registret er relativt omfattende, og inneholder nærmere bestemmelser om bl.a. sikkerhetsstrategi, taus- hetsplikt, autorisasjoner av de personer som skal arbeide opp mot registret, kryptering ved overførsel av informasjon, tilgangskontroll, m.m. Registret ble evaluert i 1991. Bl.a. anslo man at registret synliggjør 20% (1.500 stk) flere saker enn tidligere, og at dette gir en “besparelse” på 5–10 mill. kr. pr. år. Register over kontantinnløste kjøretøyer Formålet med registret er særlig å bekjempe identitetsendring av kjøretøy i forbindelse med totaltap/skader og å forenkle myndighe- tenes kontroll med kjøretøyparken. I siste tilfelle benytter politiet registret til å sjekke om en bil er kontantinnløst. I så fall er den gjenoppbygget, med en mulig fare for at den 172 AIDA - DATASEKRETESS ikke er like trafikksikker og derfor igjen bør kontrolleres grundig. Forsikringsnæringens interesse, er således direkte i svindelbekjem- pelse i forbindelse med identitetsendring (ty- veri og “slakt”) og indirekte igjennom at man er tjent med en sikker og teknisk god bilpark ved økt kvalitet i myndighetenes kjøretøy- kontroller. De data som registreres er: eieridentifise- ring, kjøretøyidentifisering, forsikringssel- skap og forsikringsform, skadehendelsesin- formasjon og innløsningsgrunnlag (storska- de, tyveri, brann), samt identifisering av vrak- kjøperen. Informasjonen registreres når en skade de- fineres som kontantinnløst. Det registreres løpende ca. 10.000 meldin- ger pr. år, og det er totalt registrert ca 90.000. Konsesjonen åpner for informasjonsutle- vering til Forsikringsforbundets skadesel- skapsmedlemmer samt til Vegdirektoratet, Biltilsynet og Toll- og avgiftsdirektoratet. Kundene får informasjon ved kjøp av forsik- ring og ved skade, og har innsynsrett. Av konsesjonspålagte sikringskrav skal nevnes; taushetsplikt, autorisasjon, tilgangs- kontroll, og rapportering ved sikringsbrudd . Forsikringssøkerregistret Dette registrets formål er i tillegg til å medvir- ke til bedre og mer ensartet risikobedømmel- se, særlig å motvirke spekulasjon mot livsfor- sikringsselskapene. Slik spekulasjon kan for eksempel skje slik: etter å ha gitt riktig og fullstendig helseinformasjon ved søknad om forsikring i selskap A, får kunden avslag, forhøyet premie eller forbehold. På denne bakgrunn forsøker kunden seg i nytt selskap med “justerte” (delvis tilbakeholdte) opplys- ninger i håp om å få tilbud på forsikring uten avslag, premietillegg eller forbehold. Det nye selskap vil kunne se av registret at selskap A har gitt anmerkning som f.eks. kan være for- høyet premie. Følgende informasjon registrers: person- identifikasjon, registreringstidspunkt, for- sikringsselskap, om det er anmerkning (av- slag, tilleggspremie, forbehold/unntak), for- sikringssum, om/når det er søkt uførepen- sjon. Det registreres ikke helseinformasjon. Det er ca 300.000 registreringer i registret. Årlig er det ca 100.000 oppslag/forespørsler for å søke på personinformasjon. Opplysnin- ger slettes automatisk etter 10 år. Dersom et annet selskap skal få tilgjenge- lighet til helseinformasjon om kunden, må selskapet få fullmakt fra kunden og så gå rett til andere kilder (f.eks. et annet forsikrings- selskap). Kunden informeres om registret ved avta- leinngåelsen og i forsikringsbeviset. Kunden har også innsyn i egen informasjon i registret. I konsesjonen er det også for dette registret nedfelt en del sikringskrav som: taushets- plikt, autorisasjon, datakvalitetssikring og rapportplikt til Datatilsynet ved sikringsbrudd. Avsluttende merknader Som det fremkommer er det klare legitime hensyn som begrunner eksistensen av disse felles registre i norsk forsikringsnæring. Det er samtidig klart at så vidt omfattende sentral registrering av forsikringstakerinformasjon kan reise spørsmål av personvernmessig ka- rakter. I en slik kontekst er det svært viktig at regelverk og praksis sikrer kundene mot at informasjonen brukes til annet enn det som følger av regelverket og de etablerte konse- sjonene, samt at datakvaliteten er god. Forsik- ringsnæringen legger stor vekt på slike sikker- hetsaspekter. Konklusjonen må være at både samfunnet, kundene som sådan og selskapene er tjent med den etablerte ordning gitt at de person- vernmessige hensyn ivaretas på en hensikts- messig måte, noe vi i forsikringsnæringen klart vil hevde er tilfelle. 173 AIDA - DATASEKRETESS Diskusjonsinnlegg fra fuldmægtig Lis Frisentette, Forbrugerrådet i Danmark Forsikringsbranchen skal ikke forvente, at Forbrugerrådet vil bakke op om indførelse af et skadesregister i Danmark. Vi er også af den opfattelse, at revision af registerlovgivningen på foranledning af det tidligere omtalte EU- direktiv ikke vil bane vejen for lovliggørelse af et register i Danmark. Forbrugerrådet har hele tiden været imod tanken om et skadesregister, efter de linier som branchen ønsker. Det kan kun være gætteri, hvor meget der svindles. Og hvem siger, det er de private forsikringstager, der er skyld i det hele? Der må også være forskel på bevidst svindel og de tilfælde, hvor en forsikringstager skriver et for højt beløb for en stjålen genstand, fordi han ikke kan huske prisen. Måske er der i samme skadesanmeldelse genstande, der er prissat for lavt. Den megen snak om forsik- ringssvindel har medført, at man som forbru- ger har fornemmelse af at blive betragtet som uhæderlig, indtil det modsatte er bevist. Der stilles uopfyldelige krav om dokumentation. Forbrugerrådet er naturligvis modstander af forsikringssvindel, og kan kun opfordre til, at det anmeldes til politiet. Men vi tror ikke på, at registrering af samt- lige skadesanmeldelser er vejen til at modvir- ke svindel. Det kan højst få folk til at undlade at anmelde skader, selv om de er fuldt legale. Registret virker helt uretfærdigt og giver ikke et billede af forsikringstagerens hæder- lighed. Registret indeholder skader, men ikke beløb. En liste over 10 anmeldte skader behø- ver ikke betyde, at der er udbetalt store beløb, eller at forsikringstageren omgås sine ejendele lemfældigt endsige har bedrageriske hensig- ter. Mange anmelder på grund af ukendskab til forsikringens dækningsomfang skader, der slet ikke er omfattet af forsikringen, og hvor der naturligvis heller ikke sker udbetaling. Parkeringsskader er man ikke selv skyld i, heller ikke at en kuffert forsvinder på rejsen, og autoskader skal anmeldes, hvad enten man er skyld i skaden eller ej. Det ser måske mistænkeligt ud med den lange liste af anmeldelser, men ”svindleren” kan måske gemme sig under en enkelt anmel- delse på et stort beløb. Det er ubehageligt at skulle opgive CPR- nummer til forsikringsselskaberne, det er ube- hageligt, at enhver uskyldig skade skal regi- streres, og det giver ikke noget billede af, hvem der snyder.