Samenvatting Module 3 – Het Onderzoek
Hoofstuk 1: Werkbeschrijving coördinator fraudebeheersing
Als een mogelijk incident zich voordoet of er zijn indicaties die op een mogelijk incident wijzen, dan
geldt voor de meeste financiële instellingen dat deze gemeld worden bij de afdeling veiligheidszaken
en/of speciale zaken. De melding vind plaats bij de coördinator fraudebeheersing. De CFB voert het
onderzoek uit. De CFB legt de melding vast en beoordeelt de melding. Bij deze beoordeling en het
daadwerkelijk onderzoek heeft de CFB zich te houden binnen een juridisch kader. De CFB is hiervoor
verantwoordelijk.
Een van de belangrijkste juridische kaders wordt ingegeven dat ieder zijn persoonlijke levenssfeer
(privacy) wordt beschermd. Dit vloeit voort uit het EVRM, Grondwet en de AVG. De wetgever dient
regels te stellen om ervoor te zorgen dat de persoonlijke levenssfeer wordt beschermd en voldoende
gewaarborgd wordt op het moment dat er in de persoonlijke levenssfeer bemoeit wordt. Een wet die
nadrukkelijk dit regelt en voor de CFB erg belangrijk is, is de AVG. Voornamelijk voor
persoonsgegevens. Dit is een Verordening waarvan de Nederlandse wet in overeenstemming dient te
zijn. In de AVG staan een aantal algemene beginsel die geborgd dienen te zijn:
1. Beginsel van rechtmatigheid, behoorlijkheid en transparantie
2. Beginsel van doelbepaling en doelbinding
3. Beginsel van deugdelijke verwerkingsgrondslag
4. Beginsel van niet-verenigbare verdere verwerking
5. Beginsel van opslagbeperking
6. Beginsel van minimale gegevensverwerking
7. Beginsel van integriteit en vertrouwelijkheid
8. Beginsel van juistheid
Naast wetgeving dient de financiële instelling zich ook te houden een vastgestelde protocollen op dit
gebied. Denk dan bijvoorbeeld aan het PVC en het PIFI. Voor verzekeraars is voor het verwerken van
persoonsgegevens (hangt nauw samen met het AVG) de eigen Gedragscode Verwerking
persoonsgegevens verzekeraars (GVPV) erg belangrijk. Hierin zijn de algemene wet- en regelgeving
die bijvoorbeeld voortvloeien uit de AVG in concrete spelregels voor de verzekeringsbranche gegoten.
Dit neemt niet wet dat verzekeraas sowieso dienen te voldoen aan de AVG.
Voor verzekeraas is ook Stichting CIS erg belangrijk. CIS heeft hiervoor een privacy regelement en
gebruikersprotocol. Deze zijn van toepassing op alle verwerkingen die samenhangen met de CIS
databank. Zowel op de verwerking van gegevens als op de gebruikers. Cis is een centrale databank
waar verzekeraas schadeverleden (schades registreren) kunnen inzien en meldingen over fraude
incidenten. Verzekeraars bewaren gezamenlijk deze gegevens een aantal jaren in een centrale
databank. Deze gegevens worden bewaard en mogen uitgewisseld worden. Op grond van de AVG is
de doelbinding de volgende; beheersen van risico’s, schadelastbeperking, tegengaan en bestrijden
van verzekeringsfraude en criminaliteit. De gegevens mogen ook geanalyseerd worden.
Op grond van het hier voorafgaande bestaan er bij en voor het instelling van een fraudeonderzoek een
aantal basisvoorwaarden. Deze basisvoorwaarden dienen op elk moment onderbouwd te kunnen
worden en aanwezig te zijn. Het onderzoeken van een fraudegeval gaat altijd gepaard met de
verwerking van persoonsgegevens. De basisvoorwaarden van het onderzoek zijn als volgt:
Moet altijd een aanleiding zijn
Er moet altijd een doel en noodzaak zijn
Alle handelingen en afwegingen moeten de toets van het proportionaliteitsbeginsel en
subsidiariteitsbeginsel overleven. (verhouding middel en onderzoek en of er minder
ingrijpende middelen ingezet kunnen worden)
Betrokkene dient altijd te worden geïnformeerd. Altijd voorafgaand aan de verwerking tenzij de
een zwaarwegend belang zich hier tegen verzet.
Deze basisvoorwaarden dienen veelvuldig in het journaal te worden vermeld. Het journaal is een soort
register van wat er precies gebeurd in het onderzoek en welke stappen en besluiten op welk moment
worden ondernemen. Het is belangrijk dat alles wordt vastgelegd in het journaal. Het journaal is een
zeer belangrijk document in het dossier en hiermee wordt voldaan aan de vereisten van de wet- en
regelgeving. Mits goed bijgehouden kan hier in elk stadium de basisvoorwaarden voor het onderzoek
mee worden aangetoond.
Een onderzoek begint veelal met een melding. De meeste instellingen hebben vaak een interne
werkinstructie hoe om te gaan met meldingen. Het is altijd belangrijk om adequaat met een melding
om te gaan, omdat fraude-incidenten financiële en reputatieschade kunnen toebrengen aan de
, ondernemingen. Een melding kan op via diverse ingangen bekend worden, en via een interne of
externe bron. Een melding kan binnenkomen via een signaal, tip, richtlijn onderzoeksindicator en/of
data-analyse. De melding is vormvrij en kan ook via verschillende media worden gemeld.
Als een melding wordt gemaakt van een mogelijk fraude incident legt de CFB de melding vast. Dit
gebeurd met een gestandaardiseerde meldingsformulier. De melding wordt tevens vastgelegd in de
gebeurtenissenadministratie (GA) conform het GVPV. Dit is namelijk iets wat van belang kan zijn
voor de kwaliteit, veiligheid en integriteit van de verzekeraar of de groep waartoe verzekeraar behoort.
Het is een voorval dat belangstelling krijgt met betrekking tot veiligheid en integriteit. De betrokkene
dient wel over deze registratie geïnformeerd te worden. Dit is niet noodzakelijk als de betrokkene al
via een andere weg geïnformeerd is dat persoonlijke gegevens in het computersysteem worden
opgenomen. Ook kan er een redelijk belang bij zijn (onderzoeksbelang) dat betrokkene pas
naderhand wordt geïnformeerd.
Let op: het vastleggen van de melding in de GA is een verwerking van persoonsgegevens dit betekent
dat ook aan de uitgangspunten van de AVG en basisvoorwaarden van het onderzoek voldaan dient te
worden. Dit moet eventueel aangetoond kunnen worden. De grondslag op persoonsgegevens in dit
kader te verwerken is het gerechtvaardigd belang. Het gaat namelijk om de waarborging van integriteit
en veiligheid van de financieel instellingen.
Na het vastleggen van de melding spelen er vier vragen/beslismoment die de CFB dient te beoordelen
voordat de melding verder wordt onderzocht en het daadwerkelijk fraudeonderzoek wordt
aangevangen.
1. Is de incidentmelding compleet?
2. is er sprake van mogelijke fraude?
3. Is de mogelijke fraude onderzoekwaardig?
4. is er voldoende informatie om het incident af te handelen?
Bij deze beslismomenten is het meldingsformulier en de checklist onderzoek algemeen belangrijk.
Belangrijk is om eerst te bepalen of de melding compleet is en/of de melding voldoet aan de
overdrachtscriteria van de onderneming. Voor de overdracht is over het algemeen vereist dat er in
ieder geval 2 onderzoeksindicatoren aan te wijzen zijn. De CFB kan vragen of de melder de melding
wil aanvullen op nader aan te geven punten. De CFB neemt het incident uitsluitend in behandeling als
er voldoende indicatie(s) zijn voor een mogelijke fraude. Als dit niet het geval is, dan stuurt de CFB de
zaak terug met een goede argumentatie (communicatie is hierin belangrijk). Welke stap genomen
wordt. Dit dient te worden bijgewerkt in het journaal en GA. Op het moment dat CFB bepaalt dat de
melding verder wordt opgepakt als een fraudezaak, omdat de mogelijk sprake is van fraude en deze
fraude onderzoekswaardig is, dan dient deze melding tevens te worden vastgelegd in het
incidentenregister (IR) conform het PIFI. Zodra de gebeurtenis door veiligheidszaken wordt
onderzocht en/of er door anderen onderzoek naar de gebeurtenis wordt uitgevoerd, is de gebeurtenis
een incident geworden. Als CFB heeft beoordeeld dit een onderzoekwaardig incident betreft dan wordt
tevens bepaald of er voldoende informatie voorhanden is om het incident gelijk af te ronden. Op basis
hiervan zal worden bepaald en worden vastgelegd of aanvullend onderzoek (methodisch onderzoek)
nodig is of juist niet, omdat bijvoorbeeld voldoende informatie aanwezig is om al een oordeel te geven.
Let op: Elke stap en/of afweging en beslissing in deze fase dient goed te worden vastgelegd in het
journaal, de GA en IR. In deze fase worden al wat beslissingen genomen aan de hand van de
informatie die voorhanden is.
De vastlegging in de gebeurtenissenadministratie en de registratie in het Intern verwijzingsregister
liggen in elkaars verlengde. Dit gaat om informatie die uitsluitend intern beschikbaar blijft. De regels
hieromtrent staan in de GVPV. Denk aan de boot die op de slide tijdens de opleiding is behandeld. Bij
het GA gaat het om een voorval/gebeurtenis dat van belang kan zijn voor de veiligheid en integriteit
van de financiële instelling. Wanneer een gebeurtenis ook voor andere delen van de groep waartoe de
financiële instelling behoort van belang kan zijn dan kan de registratie worden opgenomen in het IVR.
Als een gebeurtenis nader wordt onderzocht dan wordt het incident geregistreerd in het
incidentenregister. Alleen geautoriseerde medewerkers hebben hiertoe toegang. Om een incident in
het IR op te nemen, dient het wel te voldaan aan de verzameldoelen van het PIFI. In het IR worden de
karakteristieken van het incident vastgelegd, de betrokken personen en de handelingen die hebben
plaatsgevonden naar aanleiding van het incident. Gegevens uit het IR kunnen worden gedeeld met
functionarissen van veiligheidszaken van andere financiële instellingen. Het EVR ligt in het verlengde
van het IR. Dit is het voor derde benaderbare deel van het IR.
Dit is namelijk het Extern verwijzingsregister. Dit kan alleen als na onderzoek is vast komen te staan
dat er gefraudeerd is er eventueel ook aangifte gedaan kan worden. Let op vaststaan, tenzij
Hoofstuk 1: Werkbeschrijving coördinator fraudebeheersing
Als een mogelijk incident zich voordoet of er zijn indicaties die op een mogelijk incident wijzen, dan
geldt voor de meeste financiële instellingen dat deze gemeld worden bij de afdeling veiligheidszaken
en/of speciale zaken. De melding vind plaats bij de coördinator fraudebeheersing. De CFB voert het
onderzoek uit. De CFB legt de melding vast en beoordeelt de melding. Bij deze beoordeling en het
daadwerkelijk onderzoek heeft de CFB zich te houden binnen een juridisch kader. De CFB is hiervoor
verantwoordelijk.
Een van de belangrijkste juridische kaders wordt ingegeven dat ieder zijn persoonlijke levenssfeer
(privacy) wordt beschermd. Dit vloeit voort uit het EVRM, Grondwet en de AVG. De wetgever dient
regels te stellen om ervoor te zorgen dat de persoonlijke levenssfeer wordt beschermd en voldoende
gewaarborgd wordt op het moment dat er in de persoonlijke levenssfeer bemoeit wordt. Een wet die
nadrukkelijk dit regelt en voor de CFB erg belangrijk is, is de AVG. Voornamelijk voor
persoonsgegevens. Dit is een Verordening waarvan de Nederlandse wet in overeenstemming dient te
zijn. In de AVG staan een aantal algemene beginsel die geborgd dienen te zijn:
1. Beginsel van rechtmatigheid, behoorlijkheid en transparantie
2. Beginsel van doelbepaling en doelbinding
3. Beginsel van deugdelijke verwerkingsgrondslag
4. Beginsel van niet-verenigbare verdere verwerking
5. Beginsel van opslagbeperking
6. Beginsel van minimale gegevensverwerking
7. Beginsel van integriteit en vertrouwelijkheid
8. Beginsel van juistheid
Naast wetgeving dient de financiële instelling zich ook te houden een vastgestelde protocollen op dit
gebied. Denk dan bijvoorbeeld aan het PVC en het PIFI. Voor verzekeraars is voor het verwerken van
persoonsgegevens (hangt nauw samen met het AVG) de eigen Gedragscode Verwerking
persoonsgegevens verzekeraars (GVPV) erg belangrijk. Hierin zijn de algemene wet- en regelgeving
die bijvoorbeeld voortvloeien uit de AVG in concrete spelregels voor de verzekeringsbranche gegoten.
Dit neemt niet wet dat verzekeraas sowieso dienen te voldoen aan de AVG.
Voor verzekeraas is ook Stichting CIS erg belangrijk. CIS heeft hiervoor een privacy regelement en
gebruikersprotocol. Deze zijn van toepassing op alle verwerkingen die samenhangen met de CIS
databank. Zowel op de verwerking van gegevens als op de gebruikers. Cis is een centrale databank
waar verzekeraas schadeverleden (schades registreren) kunnen inzien en meldingen over fraude
incidenten. Verzekeraars bewaren gezamenlijk deze gegevens een aantal jaren in een centrale
databank. Deze gegevens worden bewaard en mogen uitgewisseld worden. Op grond van de AVG is
de doelbinding de volgende; beheersen van risico’s, schadelastbeperking, tegengaan en bestrijden
van verzekeringsfraude en criminaliteit. De gegevens mogen ook geanalyseerd worden.
Op grond van het hier voorafgaande bestaan er bij en voor het instelling van een fraudeonderzoek een
aantal basisvoorwaarden. Deze basisvoorwaarden dienen op elk moment onderbouwd te kunnen
worden en aanwezig te zijn. Het onderzoeken van een fraudegeval gaat altijd gepaard met de
verwerking van persoonsgegevens. De basisvoorwaarden van het onderzoek zijn als volgt:
Moet altijd een aanleiding zijn
Er moet altijd een doel en noodzaak zijn
Alle handelingen en afwegingen moeten de toets van het proportionaliteitsbeginsel en
subsidiariteitsbeginsel overleven. (verhouding middel en onderzoek en of er minder
ingrijpende middelen ingezet kunnen worden)
Betrokkene dient altijd te worden geïnformeerd. Altijd voorafgaand aan de verwerking tenzij de
een zwaarwegend belang zich hier tegen verzet.
Deze basisvoorwaarden dienen veelvuldig in het journaal te worden vermeld. Het journaal is een soort
register van wat er precies gebeurd in het onderzoek en welke stappen en besluiten op welk moment
worden ondernemen. Het is belangrijk dat alles wordt vastgelegd in het journaal. Het journaal is een
zeer belangrijk document in het dossier en hiermee wordt voldaan aan de vereisten van de wet- en
regelgeving. Mits goed bijgehouden kan hier in elk stadium de basisvoorwaarden voor het onderzoek
mee worden aangetoond.
Een onderzoek begint veelal met een melding. De meeste instellingen hebben vaak een interne
werkinstructie hoe om te gaan met meldingen. Het is altijd belangrijk om adequaat met een melding
om te gaan, omdat fraude-incidenten financiële en reputatieschade kunnen toebrengen aan de
, ondernemingen. Een melding kan op via diverse ingangen bekend worden, en via een interne of
externe bron. Een melding kan binnenkomen via een signaal, tip, richtlijn onderzoeksindicator en/of
data-analyse. De melding is vormvrij en kan ook via verschillende media worden gemeld.
Als een melding wordt gemaakt van een mogelijk fraude incident legt de CFB de melding vast. Dit
gebeurd met een gestandaardiseerde meldingsformulier. De melding wordt tevens vastgelegd in de
gebeurtenissenadministratie (GA) conform het GVPV. Dit is namelijk iets wat van belang kan zijn
voor de kwaliteit, veiligheid en integriteit van de verzekeraar of de groep waartoe verzekeraar behoort.
Het is een voorval dat belangstelling krijgt met betrekking tot veiligheid en integriteit. De betrokkene
dient wel over deze registratie geïnformeerd te worden. Dit is niet noodzakelijk als de betrokkene al
via een andere weg geïnformeerd is dat persoonlijke gegevens in het computersysteem worden
opgenomen. Ook kan er een redelijk belang bij zijn (onderzoeksbelang) dat betrokkene pas
naderhand wordt geïnformeerd.
Let op: het vastleggen van de melding in de GA is een verwerking van persoonsgegevens dit betekent
dat ook aan de uitgangspunten van de AVG en basisvoorwaarden van het onderzoek voldaan dient te
worden. Dit moet eventueel aangetoond kunnen worden. De grondslag op persoonsgegevens in dit
kader te verwerken is het gerechtvaardigd belang. Het gaat namelijk om de waarborging van integriteit
en veiligheid van de financieel instellingen.
Na het vastleggen van de melding spelen er vier vragen/beslismoment die de CFB dient te beoordelen
voordat de melding verder wordt onderzocht en het daadwerkelijk fraudeonderzoek wordt
aangevangen.
1. Is de incidentmelding compleet?
2. is er sprake van mogelijke fraude?
3. Is de mogelijke fraude onderzoekwaardig?
4. is er voldoende informatie om het incident af te handelen?
Bij deze beslismomenten is het meldingsformulier en de checklist onderzoek algemeen belangrijk.
Belangrijk is om eerst te bepalen of de melding compleet is en/of de melding voldoet aan de
overdrachtscriteria van de onderneming. Voor de overdracht is over het algemeen vereist dat er in
ieder geval 2 onderzoeksindicatoren aan te wijzen zijn. De CFB kan vragen of de melder de melding
wil aanvullen op nader aan te geven punten. De CFB neemt het incident uitsluitend in behandeling als
er voldoende indicatie(s) zijn voor een mogelijke fraude. Als dit niet het geval is, dan stuurt de CFB de
zaak terug met een goede argumentatie (communicatie is hierin belangrijk). Welke stap genomen
wordt. Dit dient te worden bijgewerkt in het journaal en GA. Op het moment dat CFB bepaalt dat de
melding verder wordt opgepakt als een fraudezaak, omdat de mogelijk sprake is van fraude en deze
fraude onderzoekswaardig is, dan dient deze melding tevens te worden vastgelegd in het
incidentenregister (IR) conform het PIFI. Zodra de gebeurtenis door veiligheidszaken wordt
onderzocht en/of er door anderen onderzoek naar de gebeurtenis wordt uitgevoerd, is de gebeurtenis
een incident geworden. Als CFB heeft beoordeeld dit een onderzoekwaardig incident betreft dan wordt
tevens bepaald of er voldoende informatie voorhanden is om het incident gelijk af te ronden. Op basis
hiervan zal worden bepaald en worden vastgelegd of aanvullend onderzoek (methodisch onderzoek)
nodig is of juist niet, omdat bijvoorbeeld voldoende informatie aanwezig is om al een oordeel te geven.
Let op: Elke stap en/of afweging en beslissing in deze fase dient goed te worden vastgelegd in het
journaal, de GA en IR. In deze fase worden al wat beslissingen genomen aan de hand van de
informatie die voorhanden is.
De vastlegging in de gebeurtenissenadministratie en de registratie in het Intern verwijzingsregister
liggen in elkaars verlengde. Dit gaat om informatie die uitsluitend intern beschikbaar blijft. De regels
hieromtrent staan in de GVPV. Denk aan de boot die op de slide tijdens de opleiding is behandeld. Bij
het GA gaat het om een voorval/gebeurtenis dat van belang kan zijn voor de veiligheid en integriteit
van de financiële instelling. Wanneer een gebeurtenis ook voor andere delen van de groep waartoe de
financiële instelling behoort van belang kan zijn dan kan de registratie worden opgenomen in het IVR.
Als een gebeurtenis nader wordt onderzocht dan wordt het incident geregistreerd in het
incidentenregister. Alleen geautoriseerde medewerkers hebben hiertoe toegang. Om een incident in
het IR op te nemen, dient het wel te voldaan aan de verzameldoelen van het PIFI. In het IR worden de
karakteristieken van het incident vastgelegd, de betrokken personen en de handelingen die hebben
plaatsgevonden naar aanleiding van het incident. Gegevens uit het IR kunnen worden gedeeld met
functionarissen van veiligheidszaken van andere financiële instellingen. Het EVR ligt in het verlengde
van het IR. Dit is het voor derde benaderbare deel van het IR.
Dit is namelijk het Extern verwijzingsregister. Dit kan alleen als na onderzoek is vast komen te staan
dat er gefraudeerd is er eventueel ook aangifte gedaan kan worden. Let op vaststaan, tenzij
