Digital Legal Lab

Juli 2020

Boete voor Stichting BKR: de financiële drempel

De Autoriteit Persoonsgegevens heeft Stichting BKR een recordboete opgelegd van 830.000 euro wegens het schenden van Algemene verordening gegevensbescherming. Zo zou het kredietregistratiebureau geld vragen voor inzage in de verwerkte persoonsgegevens. Mr. Pieter Wolters legt uit welke regels Stichting BKR overschreed en hoe de Nederlandse privacywaakhond zijn besluit heeft onderbouwd.
Pieter Wolters
Radboud University Nijmegen

De feiten zien op de periode 25 mei 2018 tot en met 28 april 2019. In deze periode kon een betrokkene op twee manieren inzage verkrijgen in de door Stichting Bureau Krediet Registratie (BKR) verwerkte, hem betreffende persoonsgegevens: onbeperkt met een betaalde online dienst of één keer per jaar (gratis) door een inzageformulier te printen en per post op te sturen.

Artikel 12 lid 5 Algemene verordening gegevensbescherming (AVG) bepaalt dat een verwerkingsverantwoordelijke geen vergoeding mag rekenen voor het verlenen van deze inzage. Naar de letter van de AVG voldeed BKR hieraan: het bureau vroeg immers geen vergoeding voor de schriftelijke kopie. Dat de betrokkene kosten moest maken voor onder andere een postzegel, wordt door de verordening niet verboden.

Een verwerkingsverantwoordelijke is op grond van artikel 12 lid 2 AVG echter ook verplicht om de uitoefening van de rechten te faciliteren. Een betrokkene moet zijn recht op inzage op grond van overweging 63 eenvoudig en met redelijke tussenpozen kunnen uitoefenen. De verwerkingsverantwoordelijke moet volgens overweging 59 mechanismen implementeren waarmee de betrokkenen hun rechten gemakkelijker kunnen uitoefenen. Dit houdt volgens de overweging onder andere in dat de verzoeken elektronisch moeten kunnen worden ingediend, zeker als de gegevens (zoals bij het BKR) ook elektronisch worden verwerkt. In dat geval moeten de persoonsgegevens op grond van artikel 15 lid 3 AVG ook elektronisch worden verstrekt. Dat het uitprinten en per post opsturen van een formulier niet onoverkomelijk ‘omslachtig’ is, doet hieraan niet af. BKR had de inzage sterker moeten faciliteren door (ook) kosteloze elektronische inzage aan te bieden.

Hierbij hanteert de Autoriteit Persoonsgegevens (AP) overigens een iets andere interpretatie. De toezichthouder gebruikt overweging 59 bij de uitleg van artikel 12 lid 5 AVG. De AP komt daarom tot de conclusie dat een betrokkene op grond van deze bepaling, los van artikel 12 lid 2, recht heeft op een gratis elektronische kopie. Zij komt hierdoor tot de conclusie dat zowel lid 2 als lid 5 geschonden is.

Het is bovendien niet toegestaan om de gratis mogelijkheid te beperken tot één keer per jaar. Beperkingen zijn slechts mogelijk als de verzoeken “kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter” (artikel 12 lid 5 AVG). Aangezien er meerdere keren per jaar nieuwe gegevens in het BKR-register kunnen worden opgenomen, is hier bij een tweede verzoek niet automatisch sprake van. Het is bovendien aan de verwerkingsverantwoordelijke om de buitensporigheid aan te tonen. Door consequent te communiceren dat een betrokkene slechts één keer per jaar recht heeft op gratis inzage, heeft BKR zijn verplichting om de inzage te faciliteren geschonden.

De inzage moet dus goed gefaciliteerd en gratis zijn. De inzagemogelijkheden van BKR voldeden echter slechts aan een van deze criteria. Zij waren goed gefaciliteerd of gratis. De werkwijze van BKR was hiermee duidelijk in strijd met de AVG. Deze situatie is sinds 29 april 2019 verbeterd. BKR is toen ook gratis elektronische inzage gaan aanbieden.

Hierbij is het overigens ook van belang dat BKR niet in de andere richting doorslaat. Het recht op inzage dient geen afbreuk te doen aan de rechten van andere betrokkenen. BKR moet daarom zorgen dat het geen toegang geeft tot vertrouwelijke persoonsgegevens aan anderen dan de betrokkene zelf. In Duitsland heeft 1&1 Telecom GmbH bijvoorbeeld een boete gekregen omdat het mogelijk was om toegang tot de persoonsgegevens van een klant te krijgen door je telefonisch te identificeren met de naam en geboortedatum van deze klant. BKR stelt in dit licht bijvoorbeeld dat het geen burgerservicenummer (BSN) mag verwerken. Het feit dat betalende betrokkenen hun gegevens wel elektronisch konden inzien, suggereert echter dat BKR wel degelijk in staat was om hiervoor een systeem te ontwerpen. Het gebruikt op dit moment iDIN voor de inzageverzoeken, een elektronisch identificatiemiddel dat wordt uitgegeven door de Nederlandse banken.

De diensten van BKR versterken de kredietmarkt en zijn hierdoor ook voor de betrokkenen van groot belang. Het lijkt op het eerste gezicht dan ook niet onredelijk dat ook betrokkenen voor deze dienst betalen. Toch laat deze casus duidelijk zien dat dergelijke verdien- of financieringsmodellen niet zijn toegestaan. Het fundamentele recht op gegevensbescherming laat zich, ten minste de jure, niet zomaar beperken op grond van bedrijfseconomische modellen. Het is aan de BKR om zijn model aan te passen en de benodigde gelden elders (zoals bij kredietinstellingen) te verkrijgen.

Dit uitgangspunt reikt verder dan de onderhavige casus. Persoonsgegevens spelen een centrale rol in de verdienmodellen van talloze ‘gratis’ diensten zoals Facebook, Google en online nieuwssites. Zij verdienen onder andere geld door gepersonaliseerde advertenties te tonen. Ook deze bedrijven mogen dit echter alleen doen indien hiervoor (by default niet-aangevinkte) toestemming is gegeven. De AP laat met deze boete zien dat zij de handhaving van dit uitgangspunt, ten minste bij Nederlandse instellingen, zeer serieus neemt.