Terwijl de privacybeweging zich druk maakt over de geheime diensten en de asociale media (zoals Facebook en Google), opereert een groep datahandelaren in relatieve stilte. Dat zijn de handelaren in financiële gegevens van burgers en bedrijven, ook wel handelsinformatiebureaus genoemd. Hun activiteiten zijn bij de meeste mensen onbekend, terwijl het partijen zijn die met echte financiële gegevens werken. Zij leveren informatie aan financiële instellingen en diverse andere ondernemingen, zoals energiebedrijven, webwinkels en telefoonmaatschappijen.

Deze datahandelaren houden zich bezig met het leveren van kredietwaardigheidsinformatie aan bedrijven. Sommigen leveren witwasbestrijdingsinformatie zoals:

• wie de uiteindelijk belanghebbende (ubo) van een entiteit (bijvoorbeeld besloten vennootschap, vennootschap onder firma) is;
• of de cliënt of ubo een politiek prominente persoon (‘PEP’) is;
• of mensen betrokken bij rechtspersonen en andere entiteiten mogelijk criminele verbindingen hebben.

Ook wordt gehandeld in ‘zwarte lijsten’ van onbetrouwbare burgers. Van enig toezicht op deze partijen is geen sprake.

Handelaren in kredietwaardigheidsinformatie
Over handelaren in kredietwaardigheidsinformatie zijn onlangs vragen van leden van de Tweede Kamer beantwoord. Uit de antwoorden blijkt dat er handelsinformatiebureaus en kredietwaardigheidsbeoordelaars zijn die zich niet aan de privacywet, de AVG, houden en dat de Autoriteit Persoonsgegevens onderzoek instelt.

Zwarte lijsten
Handelsinformatiebureaus leggen zwarte lijsten van onbetrouwbare burgers aan en leveren gegevens aan onder meer energiebedrijven. Een lid van de Tweede Kamer stelde vragen over deze praktijken, die voor zover het kamerlid bekend, nog steeds plaats vinden. De verantwoordelijk minister meldt dat ook hier onderzoek door de Autoriteit Persoonsgegevens plaats vindt, aangezien er aanwijzingen zijn dat de AVG niet wordt nageleefd. Ook de verplichtingen van incassoburaus en deurwaarders worden besproken.

Witwasbestrijdingsinformatie
Over de handel in witwasbestrijdingsinformatie zijn nog geen vragen gesteld.

Tot slot
De reden waarom datahandelaren de AVG niet naleven, is niet zo moeilijk te bedenken. Lees in dat verband het artikel bij privacy-organisatie noyb:  Address broker: GDPR-compliance “too burdensome”- refusal to provide information on data sources and recipients .

Dat is de reden waarom mensen die geregistreerd zijn bij handelaren in financiële persoonsgegevens nooit iets horen.

Meer informatie:

Antwoord op vragen inzake handelaars in kredietwaardigheidsinformatie (handelsinformatiebureaus):

Antwoorden van de minister voor Rechtsbescherming en de staatssecretaris van Sociale Zaken en Werkgelegenheid op schriftelijke vragen van de leden Van Nispen en Jasper van Dijk (beiden SP) over bedrijven die handelen in kredietgegevens van personen zonder hen daarover te informeren.
(ingezonden 15 september 2020, 2020Z16342)

Vraag 1
Heeft u kennisgenomen van de uitzending van Kassa waarin bleek dat bedrijven handel drijven met (krediet)data van personen, zonder hen daarvan op de hoogte te stellen? (1)

Antwoord op vraag 1
Ja, ik heb kennisgenomen van deze uitzending.

Vraag 2
Vindt u het wenselijk dat er bedrijven zijn, naast het Bureau Krediet Registratie, die data verzamelen van personen om zo een kredietscore aan iemand te geven?

Antwoord op vraag 2
Met enige regelmaat is er maatschappelijke discussie of bedrijven die data verwerken voor kredietscores voldoen aan de privacyregels. Burgers hebben er echt last van als er fouten worden gemaakt. Met een kredietscore beogen bedrijven inzicht te krijgen in hoeverre potentiële klanten, consumenten of bedrijven, aan hun betalingsverplichtingen kunnen voldoen. Met dergelijke onderzoeken kunnen bedrijven in kaart brengen welke risico’s er zijn verbonden aan het aangaan van een overeenkomst. Omdat sprake zal zijn van de verwerking van persoonsgegevens van consumenten is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze kredietscores moeten worden onderscheiden van de toets die bij het Bureau Krediet Registratie wordt uitgevoerd door kredietaanbieders in het kader van het voorkomen van overkreditering in de zin van de Wet op het financieel toezicht.

Vraag 3
Acht u het in lijn met de Algemene Verordening Gegevensbescherming (AVG) dat bedrijven persoonsgegevens verhandelen die de kredietwaardigheid van personen raakt, zonder de betrokkene over het verhandelen én de gebruikte data te informeren? Zo nee, hoe kan het dan dat de Autoriteit Persoonsgegevens de praktijken die in de uitzending van Kassa beschreven werden niet al eerder aan banden heeft gelegd?

Antwoord op vraag 3
Het uitgangspunt van de AVG is dat burgers controle over hun persoonsgegevens dienen te hebben. Persoonsgegevens dienen daarom te worden verwerkt op een manier die rechtmatig, behoorlijk en transparant is. [1] Concreet betekent dit dat betrokkenen op de hoogte dienen te worden gesteld op het moment dat hun persoonsgegevens worden verzameld onder meer welke gegevens worden verzameld, voor welk doel en met wie deze worden gedeeld. [2] Tevens dienen ze te worden gewezen op hun rechten, zoals het recht op inzage.

De Autoriteit Persoonsgegevens heeft laten weten dat ze momenteel onderzoek doet naar meerdere handelsinformatiebureaus, maar doet in beginsel geen uitspraak over lopende zaken.

Ik hecht eraan te benadrukken dat deze bedrijven in de eerste plaats zelf verantwoordelijk zijn voor het waarborgen van persoonsgegevens en in dit kader een verantwoordingsplicht hebben.

Als een consument twijfelt of een bedrijf volgens de regels werkt, kan hij of zij zich wenden tot het bedrijf. Verder kan een consument, indien het desbetreffende bedrijf hierbij is aangesloten, bij de Nederlandse Vereniging van Handelsinformatiebureaus (NVH) terecht. De NVH heeft een gedragscode en een klachtenprocedure. Als dit onvoldoende oplevert kunnen consumenten een klacht indienen bij de Autoriteit Persoonsgegevens.

Vraag 4
Bent u bereid de Autoriteit Persoonsgegevens met de grootst mogelijke spoed te wijzen op de praktijken zoals die naar voren kwamen in de uitzending van Kassa, zodat zij kan onderzoeken of deze praktijken inderdaad in strijd zijn met de AVG? Zo nee, waarom niet?

Antwoord op vraag 4
Zoals ik al aangaf bij het antwoord op de vorige vraag, is de Autoriteit Persoonsgegevens een onafhankelijke toezichthouder en bepaalt zelf haar prioriteiten Het is belangrijk deze onafhankelijkheid te waarborgen. Het is daarom niet gepast om te willen beïnvloeden welke zaken de Autoriteit Persoonsgegevens onderzoekt.

De Autoriteit Persoonsgegevens heeft bekend gemaakt dat de komende jaren de doorverkoop van gegevens een van haar aandachtsgebieden zal zijn. [3] Zoals aangegeven bij vraag 3, heeft de Autoriteit Persoonsgegevens mij laten weten dat ze momenteel onderzoek doet naar meerdere handelsinformatiebureaus.

— Noten —

(1)
https://www.bnnvara.nl/kassa/artikelen/commercile-databoeren-registreren-gegevens-over-betaalgedrag-voor-kredietwaardigheid

[1] Artikel 5, eerste lid, AVG.
[2] Artikel 13 en 14 AVG.
[3] Autoriteit Persoonsgegevens, ‘Focus AP 2020-2023’, 11 november 2019, p. 20-21.

 

Antwoord op vragen over zwarte lijsten:

Antwoorden van de minister voor Rechtsbescherming op de schriftelijke vragen van het lid Verhoeven (D66) over het bericht ‘U staat op een zwarte lijst’. (ingezonden 11 september 2020, 2020Z16169)

Vraag 1
Bent u bekend met het bericht ‘U staat op een zwarte lijst’? (1)

Antwoord op vraag 1
Ja, ik ben bekend met dit artikel.

Vraag 2
Klopt het dat de in het artikel genoemde praktijken tot op de dag van vandaag doorgang vinden?

Antwoord op vraag 2
De Autoriteit Persoonsgegevens heeft me laten weten dat ze veel klachten ontvangt over dit soort praktijken. Ze doet daarom op dit moment onderzoek naar meerdere handelsinformatiebureaus.

Vraag 3
Klopt het dat de genoemde bedrijven in het artikel (EDR, Lindorff en Focum) databases met persoonlijke gegevens bijhouden van miljoenen Nederlanders zonder dat zij hierover zijn geïnformeerd en dat deze gebruikt worden om vergaande beslissingen te nemen die invloed hebben op het leven van mensen?

Antwoord op vraag 3
De Autoriteit Persoonsgegevens houdt toezicht op dergelijke verwerkingen van persoonsgegevens. Ze doet in beginsel geen uitspraak over individuele zaken, tenzij een onderzoek is afgerond.

Vraag 4
Klopt het dat bij sommige mensen de levering van diensten geweigerd wordt op basis van een ‘score’ van dergelijke bedrijven, die soms alleen gebaseerd is op het adres?

Antwoord op vraag 4
Gelet op dat het onderzoek van de Autoriteit Persoonsgegevens nog niet is afgerond, is het niet mogelijk om inhoudelijk op zaken in te gaan. Wel heeft de Autoriteit Persoonsgegevens laten weten dat de ontvangen klachten in veel gevallen betrekking hebben op scoring. In andere gevallen gaat het om klachten die betrekking hebben op direct marketing. Daarnaast krijgt de Autoriteit Persoonsgegevens klachten binnen die zien op het niet verlenen van inzage of het niet inwilligen van verwijderverzoeken.

Vraag 5
Klopt het dat deze praktijken in strijd zijn met de Algemene verordening gegevensbescherming (AVG) en kunt u hier een eigen juridische analyse op geven? Zo ja, welke stappen gaat u nemen om deze praktijk te stoppen?

Antwoord op vraag 5
Het geciteerde artikel uit De Groene Amsterdammer stamt uit 2017. Op dat moment was de AVG nog niet in werking getreden.

Het basisbeginsel van de AVG is dat persoonsgegevens alleen mogen worden verwerkt als hiervoor een geldige grondslag bestaat. Deze zes grondslagen zijn te vinden in artikel 6, eerste lid, AVG. Of de genoemde bedrijven een geldige grondslag hebben, is ter beoordeling van de Autoriteit Persoonsgegevens en uiteindelijk de rechter.

Daarnaast hebben burgers het recht om niet te onderworpen worden aan geautomatiseerde individuele besluitvorming. [1] Er dient in ieder geval voor dergelijke verwerkingen passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten. [2]

Tot slot hebben de verwerkingsverantwoordelijken, zoals de genoemde bedrijven, een transparantieplicht. [3] Zo dient er bij de verwerking van de persoonsgegevens al aan de betrokken personen te worden gemeld welke gegevens worden verzameld, door wie, met welk doel en de ontvangers van de persoonsgegevens. [4] Daarnaast dienen ze de betrokkenen ook op de hoogte te stellen van hun rechten, zoals het recht op inzage. [5]

Vraag 6
Klopt het dat het in strijd is met de wet om diensten in te kopen van dergelijke bedrijven en welke stappen gaat u nemen om ervoor te zorgen dat energiebedrijven, woningcorporaties, kredietaanbieders en zorgverzekeraars geen gebruik meer maken van dergelijke onrechtmatige diensten? Bent u bereid in gesprek te gaan met deze bedrijven en organisaties?

Antwoord op vraag 6
De koop en verkoop van persoonsgegevens zijn ook verwerkingen van persoonsgegevens. Ook de kopers van deze diensten zullen dus een geldige grondslag in de zin van artikel 6, eerste lid, AVG moeten hebben. Zowel de verkoper van de gegevens als de koper ervan zullen ervoor moeten zorgen dat ze handelen in overeenstemming met de AVG. Zo dienen ze onder andere de betrokken personen te informeren dat hun gegevens worden verwerkt. [6]

Zoals eerder aangegeven is de Autoriteit Persoonsgegevens bezig met een onderzoek naar meerdere handelsinformatiebureaus. Indien uit het onderzoek van de Autoriteit Persoonsgegevens blijkt dat deze praktijken niet zijn toegestaan onder de AVG, dan ben ik bereid om samen met de Autoriteit Persoonsgegevens in gesprek te gaan met de bedrijven en organisaties die deze diensten afnemen.

Vraag 7
Welke stappen kunnen mensen nemen om hun recht te halen als zij onterecht door deze bedrijven, en de algoritmes die de bedrijven gebruiken, als wanbetaler worden bestempeld?

Antwoord op vraag 7
Een van de basisbeginselen van de AVG is dat persoonsgegevens juist dienen te zijn en indien nodig worden geactualiseerd. [7] Dit houdt in dat de genoemde bedrijven alle redelijke maatregelen moeten nemen dat onjuiste gegevens onverwijld worden gerectificeerd of gewist. Wanneer een burger constateert dat er onjuiste persoonsgegevens worden verwerkt, kan hij eisen dat het bedrijf deze gegevens rectificeert. [8]

Indien de grondslag voor de verwerking van de persoonsgegevens rust op gerechtvaardigd belang of op toestemming, dan kan een burger tevens bezwaar maken tegen de geautomatiseerde individuele besluitvorming en de profilering die daarmee gepaard gaat. [9] In deze gevallen is het ook mogelijk voor de burger om te eisen dat zijn persoonsgegevens worden gewist. [10]

Verder kan een consument, indien het desbetreffende bedrijf hierbij is aangesloten, bij de Nederlandse Vereniging van Handelsinformatiebureaus (NVH) terecht. De NVH heeft een gedragscode en een klachtenprocedure.

Wanneer burgers de verwerking van hun persoonsgegevens onrechtmatig achten, dan kunnen ze ook een klacht indienen bij de Autoriteit Persoonsgegevens.

Vraag 8
Kunnen mensen die in sommige gevallen, bijvoorbeeld door energieleveranciers, worden gevraagd een ‘borg’ te betalen om klant te mogen worden, deze borg terugvorderen?

Antwoord op vraag 8
Het ministerie van Economische Zaken en Klimaat heeft mij laten weten dat het vragen van een waarborgsom een bestaande praktijk is in de energiesector. In 2013 zijn Energie Nederland en de Consumentenbond tot overeenstemming gekomen over een set algemene voorwaarden voor energielevering. In deze voorwaarden is opgenomen dat de leverancier van de contractant (consument) zekerheden, zoals een bankgarantie of waarborgsom, mag verlangen voor de bedragen die de consument voor de energielevering verschuldigd is. [11]
Bij de vraag of een consument de waarborgsom kan terugvorderen, is het belangrijk te benadrukken uitgangspunt van het contractenrecht is dat partijen in beginsel contractsvrijheid hebben. Hieronder vallen ook bepalingen waarin een aanbieder van diensten vooraf een borg aan zijn klanten vraagt en de wijze waarop deze wordt teruggegeven. Of een persoon deze borg kan terugvorderen, hangt daarom af van hoe dit in het desbetreffende contract is geregeld.

Vraag 9
Kunt u uiteenzetten, als het gaat om deurwaarders en incassobureaus, welke gegevens deze bedrijven over mensen mogen verzamelen en wat voor stappen mensen kunnen zetten om deze gegevens, conform de AVG, in te zien, te wijzigen of te verwijderen?

Antwoord op vraag 9
Er dient een onderscheid te worden gemaakt tussen gerechtsdeurwaarders en incassobureaus. De taken en bevoegdheden van gerechtsdeurwaarders zijn wettelijk vastgelegd en dit kan ook dienen als grondslag voor de verwerking van persoonsgegevens. Incassobureaus daarentegen zijn commerciële bedrijven en zullen dus op basis van een andere grondslag handelen.

De Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders heeft een Gedragscode waarin de verwerking van persoonsgegevens door gerechtsdeurwaarders nader wordt gespecificeerd. [12] De gedragscode stelt onder meer dat de verstrekking van persoonsgegevens door de gerechtsdeurwaarder aan derden aan strikte regels is gebonden en dat persoonsgegevens slechts uit een beperkt aantal bronnen mogen worden verkregen, afhankelijk van de soort werkzaamheid die de gerechtsdeurwaarder uitoefent. De Gedragscode bevat ook een lijst met het soort persoonsgegevens dat in dit kader mag worden gebruikt. [13]

Wat betreft incassobureaus is het beginsel van minimale gegevensverwerking belangrijk. [14] Incassobureaus zullen de gegevens die ze verwerken moeten beperken tot datgene dat strikt noodzakelijk is voor het doel waarvoor ze worden verwerkt.

Wat betreft de stappen die mensen kunnen zetten, biedt de AVG de mogelijkheid om de persoonsgegevens in te zien, te rectificeren en te laten wissen. [15]

— Noten —

(1) https://www.groene.nl/artikel/u-staat-op-een-zwarte-lijst

1 Artikel 22, eerste lid, AVG.
2 Considerans, onder 71, AVG.
3 Artikel 5, eerste lid, onder a, AVG.
4 Artikel 13, eerste lid, AVG.
5 Artikel 13, tweede lid, AVG.
6 Artikel 14 AVG.
7 Artikel 5, eerste lid, onder c, AVG.
8 Artikel 16 AVG.
9 Artikel 21, eerste lid, AVG.
10 Artikel 17, eerste lid, onder c, AVG.
11 Zie ook Kamervragen (Aanhangsel) 2016-2017, nr. 1539.
12 Gedragscode gerechtsdeurwaarders ter bescherming persoonsgegevens.
13 Artikel 4, eerste lid, Gedragscode gerechtsdeurwaarders.
14 Artikel 5, eerste lid, onder c, AVG.
15 Artikelen 15 tot en met 17 AVG.

Berichten op dit blog over zwarte lijsten van financiële instellingen, overige zwarte lijsten, datahandelaren en AVG.

Aanvulling 26 oktober 2020
Lees over zwarte lijsten door winkeliers het artikel “Winkeldief steeds vaker in databank en aan de muur in de kantine, is dat wenselijk?” in Trouw.

Aanvulling 27 oktober 2020
In het VK heeft de privacytoezichthouder handhavingsmaatregelen tegen Experian genomen, lees dit Engelstalige artikel van Privacy International.