• Sharin Agu

De AP slaat haar volgende slag: 830.000 euro boete voor Stichting BKR

Vorige maand sloeg de Autoriteit Persoonsgegevens (AP) haar volgende slag: De Autoriteit legde een boete van 830.000 euro op aan Stichting Bureau Krediet Registratie (BKR) wegens schending van de Algemene verordening gegevensbescherming (AVG). BKR verzamelt data van alle kredietverstrekkers in hun Centraal Krediet Informatiesysteem met het doel Nederland financieel gezonder te maken. Door de leningen van alle Nederlanders in kaart te brengen, krijgen kredietverstrekkers beter inzicht in de lopende rekeningen en betaalgeschiedenis van consumenten. Aan de hand van van deze gegevens bepalen kredietverstrekkers of het verantwoord is om een lening te verstrekken. In een persbericht laat de stichting weten dat zij vraagtekens zet bij het boetebesluit. “We krijgen een boete zonder de privacy te hebben geschonden”, aldus Peter van den Bosch, bestuursvoorzitter van BKR. Wat ging er precies mis?

Geld vragen om persoonsgegevens in te zien mag niet

Wanneer persoonsgegevens worden verzameld, gebruikt, geraadpleegd of op een andere manier worden verwerkt, dient de verwerkingsverantwoordelijke, in dit geval BKR, transparant te zijn jegens de natuurlijke personen over of en in hoeverre de gegevens worden verwerkt. Het recht op inzage in je eigen persoonsgegevens is hiervoor cruciaal. Artikel 15 van de AVG bepaalt dat de betrokkene het recht heeft om inzage te verkrijgen in zijn persoonsgegevens die door BKR worden verwerkt. De betreffende informatie dient daarnaast eenvoudig toegankelijk en begrijpelijk te zijn. Verder dient de raadpleging van de persoonsgegevens ingevolge artikel 12, vijfde lid van de AVG kosteloos te gebeuren. Slechts wanneer verzoeken van een betrokkene kennelijke ongegrond of buitensporig zijn, mag de verwerkingsverantwoordelijke het verzoek weigeren of om een redelijke vergoeding vragen.

Uit onderzoek van de AP blijkt echter dat BKR kosten in rekening heeft gebracht wanneer consumenten hun gegevens digitaal wilden inzien. Op haar website bood BKR aan consumenten twee inzage mogelijkheden: Eén optie betrof het afsluiten van een betaald abonnement waarbij de consument toegang kreeg tot een digitale omgeving. Hierbij had de consument keus tussen drie abonnementsvormen: Basis (4,95 euro per jaar), Plus (7,50 euro per jaar) en Premium (12,50 euro per jaar). De tweede optie was daarentegen wel gratis. Wanneer consumenten voor de gratis variant kozen, konden zij eens per jaar kosteloos een formulier via de website downloaden, deze printen, handmatig invullen en deze vervolgens per post, in combinatie met een kopie van een identiteitsbewijs, sturen naar een postnummer. De drie betaalde abonnementsvormen heeft BKR van mei 2018 tot en met april 2019 gehanteerd. De AP komt tot de conclusie dat stichting BKR met dit beleid, waarbij geld werd gevraagd voor het inzien van persoonsgegevens, artikel 12, vijfde lid, van de AVG heeft overtreden.

Stichting BKR’s beleid werpt een drempel op om persoonsgegevens in te zien

De verwerkingsverantwoordelijke is daarnaast op grond van artikel 12, tweede lid, van de AVG verplicht de uitoefening van het inzagerecht te faciliteren. Volgens de AP heeft BKR met haar beleid, waarbij betrokkenen slechts één keer per jaar het recht hadden om per post kosteloos alle persoonsgegevens in te zien, echter het recht op inzage belemmerd. In plaats van het inzagerecht te faciliteren heeft BKR een drempel opgeworpen die betrokkenen ontmoedigde hun inzagerecht uit te voeren.

Naar BKR’s idee geen sprake van een overtreding van de AVG

Stichting BKR zet niettemin vraagtekens bij het boetebesluit. Volgens van den Bosch waren zij in de veronderstelling dat de AVG door BKR werd nageleefd. Volgens hem werd alleen schriftelijk inzage gegeven om te voorkomen dat gegevens in verkeerde handen zouden vallen. Digitale inzage via e-mail is volgens Van den Bosch niet mogelijk omdat BKR alleen postadressen registreert. BKR kan daarom niet verifiëren of een opgegeven e-mailadres ook werkelijk van de geregistreerde persoon is. Ik vraag mij af waarom het dan wel mogelijk was om een digitale omgeving te creëren voor consumenten die hiervoor een betaald abonnement hadden. Wellicht spelen financiële overwegingen hier een rol.

Volgens BKR volgt daarnaast niet expliciet uit de AVG dat het faciliteren van digitale inzage verplicht is. De AP faciliteert immers zelf ook geen digitale inzage en geeft op haar website aan consumenten het advies om vooral schriftelijk inzage bij instellingen te doen. Toen het standpunt van de AP duidelijk werd, heeft BKR in april 2019 consumenten toch digitaal gratis toegang verleend. Stichting BKR is naar aanleiding van het besluit in hoger beroep gegaan om aan de rechter meer duidelijkheid te vragen over de kwestie. Het is dus nog even afwachten of het besluit in hoger beroep stand houdt.