Waarmee kunnen wij u helpen?

    Artikel

    Welke lessen zijn te leren van de boete die de AP aan BKR heeft opgelegd?

  • NL
  • Pas onlangs is bekend geworden dat de Autoriteit Persoonsgegevens (AP) vorig jaar aan Bureau Kredietregistratie (BKR) een recordboete heeft opgelegd wegens schending van de AVG. Inzet van het boetebesluit van de AP was de wijze waarop BKR omgaat met het inzagerecht van betrokkenen. Hoewel BKR haar procedure tussentijds nog aangepast had, vond de AP de werkwijze van BKR onder de maat. Daarop heeft BKR nog geprobeerd de publicatie van het boetebesluit in rechte tegen te houden, maar dat is haar ook niet gelukt. In een persbericht op haar website zegt BKR vraagtekens te hebben bij het boetebesluit van de AP. Hoewel de zaak toegesneden is op BKR, is het boetebesluit zeker ook relevant voor andere organisaties, die eveneens worstelen met veelvuldige inzageverzoeken, of om andere redenen (potentieel) voorwerp van onderzoek van de AP zijn.

    Rol van BKR en het inzagerecht

    Als beheerder van het Centraal Krediet Informatiesysteem (CKI) verwerkt BKR zeker van omstreeks elf miljoen betrokkenen persoonsgegevens, die zij verzamelt via de bij haar aangesloten kredietaanbieders. Dit kan variëren van gegevens over hypotheekverstrekkingen tot geldleningen voor bijvoorbeeld de aanschaf van een nieuwe auto. Niet alleen vanwege het grote aantal betrokkenen is een juiste toepassing van het inzagerecht cruciaal, maar ook het soort persoonsgegevens dat BKR verwerkt, speelt hierbij een rol, aldus de AP. Hoewel financiële gegevens geen bijzondere persoonsgegevens zijn in de zin van de AVG, kwalificeert de AP dat soort gegevens wel als 'gevoelige gegevens'. Financiële gegevens kunnen immers veel over iemand zeggen. Daarom is het des te relevanter dat betrokkenen ook eenvoudig inzage kunnen verkrijgen in de persoonsgegevens die BKR over hen verwerkt.

    In haar boetebesluit van 30 juli 2019, dat, nadat de rechter in juni 2020 het door BKR gevorderde publicatieverbod had afgewezen, dus bijna een jaar later is gepubliceerd, heeft de AP vastgesteld dat BKR in overtreding is geweest wegens het niet kosteloos faciliteren van het inzagerecht, en dat gedurende een periode van ongeveer een jaar. Hiervoor heeft de AP aan BKR een recordboete opgelegd van €830.000. De twee manieren die BKR aanbood om inzage te geven in de door haar verwerkte persoonsgegevens voldeden volgens de AP niet aan de AVG-eisen. In de eerste plaats konden betrokkenen gratis per post een inzageverzoek doen, maar van deze mogelijkheid konden betrokkenen slechts eenmaal per jaar gebruik maken. In de tweede plaats konden betrokkenen een abonnement afsluiten om digitaal inzage in hun persoonsgegevens bij BKR te verkrijgen, maar daar moest dan wel voor betaald worden.

    De AP meent dat BKR hierdoor niet heeft voldaan aan het vereiste om het inzagerecht te faciliteren doordat de door BKR gehanteerde procedure een drempel opwierp voor betrokkenen. De beperking van het slechts eenmaal per jaar gratis per post kunnen opvragen van persoonsgegevens kwalificeert volgens de AP niet als het faciliteren van het inzagerecht. Volgens BKR was haar inzageprocedure gebaseerd op de frequentie waarmee gewoonlijk inzageverzoeken worden gedaan. Ook vindt BKR dat één keer per jaar als een redelijke termijn voor gratis inzage kan worden beschouwd. De AP benadrukt dat een onderzoek naar de eventuele buitensporigheid van een inzageverzoek pas kan plaatsvinden nadat het verzoek is ingediend en daarom geen reden mag zijn voor het opleggen van een belemmering voorafgaand aan het inzageverzoek. Bovendien is de AP van mening dat de elektronische inzage van de persoonsgegevens kosteloos had moeten zijn. BKR heeft hiertegen onder meer ingebracht dat uit de AVG niet voortvloeit dat er naast een gratis inzagemogelijkheid per post geen betaalde optie om elektronisch persoonsgegevens in te zien, mag bestaan. De AP pareert dit door te stellen dat met name wanneer persoonsgegevens langs elektronische weg worden verwerkt, in dat geval een verzoek ook elektronisch moet kunnen worden ingediend en ook kosteloos. In haar persbericht naar aanleiding van de uitspraak van de bestuursrechter stelt BKR dat de AP overigens zelf evenmin mogelijkheid tot digitale inzage biedt en betrokkenen aanspoort om schriftelijk inzage te verzoeken bij andere organisaties. Op dit argument lijkt de AP niet te zijn ingegaan.

    Hoogte boete

    De boete aan BKR is de hoogste boete die de AP tot nu toe heeft uitgedeeld, sinds het van toepassing worden van de AVG. De boete is in lijn met het strengere beleid dat de AP in 2019 heeft ingezet, zoals blijkt uit haar jaarverslag van 2019. In het afgelopen jaar werden nog drie andere hoge boetes opgelegd, waarvan €460.000 in juli 2019 aan het Haga Ziekenhuis voor onvoldoende interne beveiliging van patiëntdossiers en in december 2019 €525.000 aan respectievelijk de Koninklijke Nederlandse Lawn Tennisbond (KNLTB) voor het verkopen van persoonsgegevens zonder grondslag en €725.000 aan een niet met name genoemde organisatie voor het verwerken van vingerafdrukken van haar werknemers.

    De hoogte van de boete aan BKR houdt verband met het feit dat de AP twee verschillende overtredingen heeft vastgesteld. In de eerste plaats ging het om het niet faciliteren van het inzagerecht (€650.000) en in de tweede plaats om het ten onrechte vragen van een vergoeding voor de elektronische inzage (€385.000). Omdat het om twee aan elkaar gerelateerde overtredingen gaat, heeft de AP op het totaal bedrag van €1.035.000 vervolgens een korting toegepast van 20%. Een snelle rekensom laat zien dat de boete dan eigenlijk op €828.000 zou moeten uitkomen, waarom de AP in dit geval heeft besloten om daar nog €2.000 bij op te tellen, is niet duidelijk. Overigens is volgens de boetebeleidsregels van de AP het type organisatie geen relevante factor voor het bepalen van de hoogte van een boete. Wel spelen onder meer de categorieën van persoonsgegevens een rol.

    Is overleg met de AP mogelijk?

    Voor andere organisaties die (mogelijk) ook voorwerp zijn of worden van onderzoek van de AP, is ook interessant om te zien dat de AP verschillende verzoeken van BKR om in overleg te treden over mogelijke oplossingen heeft afgewezen. Om deze reden is BKR van mening dat zij niet de kans heeft gehad om binnen een redelijke termijn tot een werkbare oplossing te komen, waarbij de AP ook verweten wordt dat zij wel met andere organisaties in gesprek is gegaan. De AP verwerpt dit verwijt met als argument dat het voldoen aan de AVG de eigen verantwoordelijkheid van BKR is. Omdat de verwerkingsverantwoordelijke altijd wijzigingen in haar werkwijze kan voorleggen aan de AP, vindt de AP dat zij in de onderzoeksfase niet in overleg hoeft te treden. Aangezien BKR voldoende gelegenheid heeft gehad om haar zienswijze tijdens de zienswijzezitting naar voren te brengen, is BKR daardoor niet in haar verdediging geschaad. Dat de AP wel met andere organisaties in gesprek is gegaan, doet volgens de AP niet af aan haar bevoegdheid om op te treden. Ook deze houding van de AP lijkt aan te sluiten bij haar strengere beleid ten opzichte van 2018. Een poging doen om in overleg te treden met de AP maakt een organisatie niet minder vatbaar voor een (hoge) boete.

    Publicatie boetebesluit tegenhouden

    Een ander vermeldenswaard aspect van het boetebesluit is dat BKR geprobeerd heeft om de publicatie van het boetebesluit te voorkomen door bezwaar in te dienen bij de AP. Na ongegrondverklaring hiervan heeft BKR een voorlopige voorziening aangevraagd bij de bestuursrechter. De bestuursrechter heeft echter geoordeeld dat de AP het boetebesluit mag publiceren, weliswaar bijna een jaar later. Het voorlopig oordeel van de rechter is dat de AP juist heeft beoordeeld dat BKR de AVG op twee punten heeft geschonden. Ondanks dat er in Hongarije eerder een boete van €1.900 is opgelegd voor een volgens BKR vergelijkbare overtreding, lijkt de hoogte van de boete (€830.000 voor de twee overtredingen) volgens de rechter niet onevenredig.  

    Ten slotte is de rechter van mening dat zowel het risico op reputatieschade als de extra kosten die gemaakt moeten worden wanneer betrokkenen hun eerder betaalde geld voor inzage in hun persoonsgegevens terugvorderen, niet zwaar genoeg wegen om publicatie van het boetebesluit tegen te houden. In de uitspraak wordt benadrukt dat het doel van de openbaarmaking in dit geval niet is gelegen in het toevoegen van leed aan BKR, maar dat de openbaarmaking een algemene preventieve werking heeft.

    Waar organisaties in 2018 op wat meer coulance konden rekenen en de tijd kregen om AVG-proof te worden, heeft de AP vanaf 2019 duidelijk gekozen voor een strenger beleid. Zoals uit het BKR boetebesluit blijkt, houdt dit onder meer in dat organisaties strikter in de gaten worden gehouden en dat overtredingen forse boetes kunnen opleveren.

    Heeft u vragen over verplichtingen die u heeft op grond van het inzagerecht? Neem dan contact op met Elisabeth Thole of Özer Zivali

    Blijf up to date met onze nieuwsbrief