Het is tijd voor toezicht op datahandelaren | Wwft, AVG, kredietregistratie

Vijf belangrijke datahandelaren hebben een belangenorganisatie opgericht, aldus een artikel in het FD. Deze datahandelaren, Altares, CreditDevice, Creditsafe, Company.Info en Graydon houden zich zowel bezig met levering van kredietinformatie, als met levering van informatie aan Wwft-plichtigen ten behoeve van het cliëntenonderzoek in de witwasbestrijding. Zij hebben grote verzamelingen persoonsgegevens en andere gegevens aangelegd, zonder dat iets bekend is over de zorgvuldigheid en de beveiliging. Ik heb nog niet gehoord dat zij de geregistreerde personen conform de AVG informeren over de geregistreerde persoonsgegevens, dat inzage wordt verleend en een correctiemogelijkheid wordt geboden.

Deze branche staat niet onder integriteitstoezicht (zoals DNB toezicht houdt op financiële instellingen) of onder technisch en AVG-toezicht (op cybersecurity, naleving AVG) van een onafhankelijke krachtige toezichthouder.

Volgens het FD-artikel is de organisatie opgericht om zich te verzetten tegen de datahandel door de Kamer van Koophandel. In welke mate de Kamer in data mag handelen, is iets wat voor zover ik heb gezien nog ter discussie is.

De hiervoor genoemde vijf datahandelaren hebben een eigen integriteits- en databeschermingsuitdaging.

AP: regelgeving kredietregistratie gewenst
In december 2019 liet de Autoriteit Persoonsgegevens weten dat het ongewenst is dat regelgeving inzake kredietregistratie ontbreekt:

AP bepleit wettelijke waarborgen voor kredietregistratie
Nieuwsbericht/12 december 2019

De Autoriteit Persoonsgegevens (AP) heeft de minister van Financiën geadviseerd om nieuwe wetgeving in gang te zetten die ervoor zorgt dat bij kredietregistratie vastgelegde persoonsgegevens beter worden beschermd.

Kredietregistratie
Kredietaanbieders mogen niet zomaar een krediet verstrekken. Om overkreditering te voorkomen, moeten zij eerst voldoende informatie inwinnen over de kredietwaardigheid van de klant. Om aan deze zorgplicht invulling te geven, moeten ze onder meer aangesloten zijn bij een stelsel van kredietregistratie.

Geen wettelijke waarborgen
Ondanks dat de wet dus zorgplichten oplegt en deelname aan het stelsel van kredietregistratie verplicht is, zijn er geen wettelijke regels voor de verwerking van persoonsgegevens om die verplichtingen uit te voeren.
De wetgever heeft dus niet afgewogen en vastgelegd wie wat wanneer mag met welke persoonsgegevens, wie het stelsel beheert en hoe lang kredietgegevens nog mogen worden bewaard na afloop van een krediet.
In de praktijk is BKR de organisatie die in Nederland de kredietregistratie uitvoert en ook bepaalt hoe met de gegevens wordt omgegaan. BKR registreert van miljoenen mensen gevoelige persoonsgegevens (krediet, betalingsachterstanden).

Waarborgen vastleggen
De AP stelt dat het aan de wetgever is om waarborgen vast te leggen voor de bescherming van persoonsgegevens bij kredietregistratie. En daarbij het algemene belang van het voorkomen van overkreditering expliciet af te wegen tegen het grondrecht op bescherming van persoonsgegevens.
Ook kan wetgeving waarborgen dat gegevens niet verloren kunnen gaan of in handen kunnen komen van onbevoegden. Bijvoorbeeld bij een faillissement.
Verder kan gedacht worden aan bepalingen over de beheerder van het stelsel (zoals financiering, benoeming en wat te doen bij taakverwaarlozing). Het vormgeven van kredietregistratie als goed afgebakende – en van commerciële activiteiten te onderscheiden – wettelijke taak van een wettelijk aangewezen beheerder biedt daarbij onmiskenbaar een duidelijke grondslag om persoonsgegevens te mogen verwerken, aldus de AP.

Advies AP
De AP adviseert dan ook wetgeving tot stand te brengen:
• waarbij de inbreuk op het grondrecht van degene die krediet heeft of wil expliciet wordt afgewogen tegen het algemene belang om overkreditering te voorkomen;
• die het beheer van een stelsel van kredietregistratie als wettelijke taak aan een bepaalde beheerder opdraagt;
• die zorgt voor duidelijke waarborgen voor de betrokkenen en voor een goede taakuitvoering.

Het advies kan hier (pdf) gedownload worden.

Tot slot
Het zou de nieuwe organisatie sieren als zij zouden aandringen op een vergunningensysteem in de datahandel.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce en getagged met , , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s