De Autoriteit Persoonsgegevens (AP) heeft op 30 juli 2019 besloten het Bureau Krediet Registratie (BKR) een boete van 830.000 euro op te leggen, zo blijkt uit de vandaag gepubliceerde beslissing. Volgens de AP zou het BKR ten onrechte kosten voor inzage in rekening hebben gebracht en ten onrechte de uitoefening van het inzagerecht niet hebben gefaciliteerd. In deze blog geef ik een korte eerste analyse.
Wettelijk verplicht stelsel kredietregistratie
Iedere kredietinstelling in Nederland is op grond van artikel 4:32 van de Wet op het financieel toezicht (Wft) verplicht zich aan te sluiten bij een stelsel van kredietregistratie. Dit vloeit voort uit Europese regels. In Nederland is het BKR de enige organisatie die erkend is als dergelijk stelsel, zodat de facto voor iedere kredietinstelling verplicht is. En aangezien de drempelwaarde voor registratie verplichte laag is, is een groot deel van alle Nederlanders geregistreerd bij BKR. Dat is overigens helemaal niet per se negatief, ook als schulden keurig worden afgelost is er een (pro forma) registratie van die schuld.
Inzagerecht gratis per post, betaald online mag volgens de AP niet
Op grond van de AVG hebben betrokkenen onder meer recht op inzage in hun persoonsgegevens. Over waartoe dat inzagerecht precies strekt is overigens veel discussie in de rechtspraak, daarvoor verwijs ik graag naar mijn laatste artikel in P&I.
Het BKR hanteerde in de periode 25 mei 2018 tot 28 april 2019 twee routes voor het inzagerecht: online tegen een kleine vergoeding of door het invullen en per post versturen van een formulier zonder kosten.
Het BKR voert hierbij aan dat een inzageproces via e-mail haaks staat op het niet mogen verwerken van het BSN. Ook stelt de BKR dat zij voor repetitieve verzoeken wel een vergoeding in rekening mag brengen en dat er juist bij een abonnement herhaaldelijk (repetitief) verzoeken kunnen worden ingediend.
De AP verwerpt de redenering. Volgens de AP is voor elektronische verstrekking niet relevant of dit al dan niet per e-mail kan geschieden. Het argument rond het vermeend repetitieve karakter is volgens de AP een doelredenering: het is immers helemaal niet gegeven dat een betrokkene met een abonnement herhaaldelijk gebruik zal maken van dat abonnement.
Het argument rondom het BSN komt in het besluit niet helemaal uit de verf. Mogelijk dat het BKR gedoeld heeft op artikel 11 lid 2 AVG (niet hoeven bieden van inzage indien de betrokkene niet kan worden geidentificeerd) en artikel 12 lid 6 AVG: de rechtvaardiging om aanvullende informatie te vragen indien er redenen zijn om te twijfelen aan de identiteit van de verzoeker. Kennelijk is de redenering dan geweest dat het BKR louter kan identificeren op basis van het BSN, dat BSN echter niet mag gebruiken voor deze doeleinden (gelet op het verwerkingsverbod) en dat er dus aanvullende kosten in rekening worden gebracht voor die online identificatie. Mocht dat de redenering zijn geweest, dan kan ik die lastig rijmen met het gegeven dat bij een offline inzageverzoek er ook identificatie plaats zal moeten vinden. Hoe het ook zij, we gaan ongetwijfeld wanneer de kwestie later in beroep bij de rechter komt wel zien wat hier precies het argument van de BKR was.
Uitstralen dat slechts een keer per jaar inzage mag worden verkregen mag volgens AP niet
Het BKR had in diezelfde periode (25 mei 2018 tot 28 april 2019) op de website staan dat er slechts eenmaal per jaar kosteloos inzage kon worden verkregen. Dat beleid droeg zij ook actief uit, o.m. in communicatie door de helpdesk.
In de praktijk echter gaf de BKR wel degelijk gehoor meerdere inzageverzoeken en werden daarvoor geen (additionele) kosten gerekend.
De AP is van oordeel dat het BKR door het opnemen en actief uitdragen van deze informatie de rechten van betrokkenen niet heeft gefaciliteerd. Dit zou een schending zijn van artikel 12 lid 2 AVG.
Het BKR verweert zich met de stelling dat de ervaring leert dat een consument gemiddeld 1x per jaar een inzageverzoek doen en dat het (dus) niet raar is om de grens op dat gemiddelde te stellen. Ook stelt de BKR dat zij in de praktijk ook aan herhaalde verzoeken heeft voldaan.
De AP verwerpt de bezwaren van het BKR.
Opmerkelijk genoeg komt in het boetebesluit niet aan de orde wat er eigenlijk onder "faciliteren van de uitoefening van de rechten van de betrokkene" moet worden verstaan. Kennelijk vindt de AP het onjuist communiceren over die rechten een vorm van het niet faciliteren.
De inzage die BKR biedt is onvolledig, maar geen overtreding AVG
De AP stelt verder vast dat uit de reactie die het BKR heeft gegeven volgt dat het BKR niet altijd volledig inzage geeft na ontvangst van een inzageverzoek. Voor sommige persoonsgegevens geldt dat deze nog niet via het elektronische systeem ontsloten kunnen worden. Verder wordt voor gegevens die uit publieke databases komen, bij een inzageverzoek naar die publieke databases verwezen.
De AP stelt vast dat het BKR zodoende niet volledig inzage geeft in reactie op een inzageverzoek. Onduidelijk is of dit is vanwege het niet elektronisch ontsluiten van gegevens, het verwijzen naar publieke bronnen of een combinatie hiervan.
De AP stelt echter ook vast dat zij niet daadwerkelijk heeft geconstateerd dat het BKR geen volledige inzage verleent. Van een (bewijsbare) overtreding is dan ook geen sprake.
Toepassing boetebeleidsregels bij hoogte boete
De AP past vervolgens de eigen boetebeleidsregels toe, met een verhoging vanwege de ernst van de overtreding (volgens de AP). Dit leidt dan tot het volgende:
- niet kosteloos verschaffen inzage: basisboete € 310.000,-- + verhoging € 75.000 = € 385.000,--
- niet faciliteren inzage: basisboete € 525.000,-- + verhoging € 125.000,-- = € 650.000,--
De AP rechtvaardigt de hogere verhoging van 125k o.m. met het argument dat ruim 10.000 betrokken zijn ontmoedigd om een herhaald inzageverzoek te doen. De AP - die de bewijslast heeft - stelt echter niet vast dat die 10.000 betrokkenen ook daadwerkelijk geen herhaald verzoek hebben ingediend en/of dat voornemen wel hadden, maar door het gedrag van de BKR hierin ontmoedigd zijn.
650.000+385.000=1.035.000
1.035.000 * 80% = 828.000
1.035.000 / 828.000 = 80,19%
Vervolgens matigt de AP de totale boete met 20% omdat het achterliggende beginsel van de beide overtredingen enigszins gelijkmatig is. Wonderlijk genoeg is de totale boete vervolgens € 830.000,--, hetgeen geen matiging van 20% is maar van 19,8%.
Opmerkelijk is verder dat de AP slechts de eigen boetebeleidsregels hanteert om de hoogte van de boete te rechtvaardigen. Dit terwijl artikel 83 lid 2 AVG maar liefst 11 omstandigheden opsomt waar bij het opleggen van boetes "voor elk concreet geval naar behoren rekening [mee] gehouden [moet worden]". Het is de vraag hoe een rechter hier in voorkomend geval over denkt.
Overigens laten de recente beslissingen van de AP ook zien dat de systematiek van basisboetes die de AP hanteert tot hele onvergelijkbare (bijna willekeurige) uitkomsten leidt. Wat we nu immers zien is het volgende:
| Casus | Boete | Aantal betrokkenen | Boete per betrokkene |
|---|---|---|---|
| KNLTB | 525.000 | 314.846 | € 1,67 |
| BKR | 830.000 | 10.000.000 | € 0,08 |
| Biometrie werkgever | 725.000 | 337 | € 2151,34 |
BKR zelfstandig verwerkingsverantwoordelijke?
Een juridisch-technische opmerking ten slotte.
In het boetebesluit merkt de AP het BKR aan als zelfstandig verwerkingsverantwoordelijke voor diverse producten en diensten die het BKR biedt.
De vraag is of dat niet iets te grofmazig is. Het stelsel van kredietregistraties bestaat immers bij de gratie van alle aan dat stelsel deelnemende partijen. Het stelsel bestaat bovendien bij de gratie van keuzes van de wetgever. En het Hof van Justitie heeft in het FashionID-arrest juist benadrukt dat bij de situatie dat verschillende betrokken partijen “in verschillende stadia en in verschillende mate bij deze verwerking betrokken zijn”, daarbij “bij de beoordeling van het niveau van verantwoordelijkheid van ieder van hen rekening moet worden gehouden met alle relevante omstandigheden van het concrete geval”. Het is de vraag of het niet wat gemakkelijk is om, zeker zonder nadere motivatie, het BKR onverkort als 100% verantwoordelijk aan te wijzen.
Slotopmerking
Het BKR heeft al aangekondigd in bezwaar en beroep te gaan. Deze kwestie gaat dus ongetwijfeld een staartje krijgen. We proberen het te volgen en u op de hoogte te houden. We gaan zien hoe de rechter uiteindelijk over de kwestie denkt.
In de tussentijd doet u er goed aan geen kosten te rekenen voor voor het voldoen aan de rechten van betrokkenen en hen ook niet te ontmoedigen daar gebruik van te maken. Mocht u daar vragen over hebben, neem dan gerust contact op.
