Kredietregistratie in Nederland: BKR in huidige vorm moet verdwijnen | Privacy First

Geplaatst op 31 augustus 2023 door Ellen Timmer

Privacy First heeft mee gedaan aan de wetgevingsconsultatie over de toekomst van het Bureau Kredietregistratie (BKR) en de kredietregistratie in Nederland. In dit artikel (ook hier onder weergegeven) kondigen zij de consultatiedeelname aan. De consultatiereactie kan als pdf worden gedownload en heb ik hierna ook als html-tekst opgenomen.

 

Artikel Privacy First

Kredietregistratie in Nederland: BKR in huidige vorm moet verdwijnen

Financieel
31 augustus 2023

Financiële persoonsgegevens, zoals inkomsten, uitgaven en schulden, zijn vertrouwelijke gegevens waarmee heel zorgvuldig moet worden omgegaan. Privacy First heeft financiële privacy als één van haar focusgebieden uitgekozen en daarom deelgenomen aan de wetgevingsconsultatie over de toekomst van het Bureau Kredietregistratie (BKR).

Kritiek op BKR

In de consultatie ‘Wet stelsel kredietregistratie’ stelt het Ministerie van Financiën voor om de positie van het BKR ongewijzigd te laten, terwijl van algemene bekendheid is dat het huidige systeem van kredietregistratie niet naar behoren functioneert. Er zijn vele procedures van burgers geweest over onterechte BKR-registraties en er zijn een groot aantal vragen door leden van de Tweede Kamer gesteld over de gang van zaken bij BKR. In april dit jaar was hierover een uitzending van het consumentenprogramma Radar [1].

De afgelopen tijd heeft BKR diverse procedures verloren over de toepassing door BKR van de Algemene Verordening Gegevensbescherming (AVG). Zo heeft de Hoge Raad in 2021 vastgesteld dat BKR zelf verwerkingsverantwoordelijke is. In 2023 was het nodig dat het Gerechtshof Arnhem-Leeuwarden in een uitspraak vaststelde dat het BKR als verwerkingsverantwoordelijke zelf verwijderings- en correctieverzoeken moet beoordelen. Het maakt duidelijk dat BKR haar verantwoordelijkheid niet heeft genomen, terwijl zij allang had kunnen weten dat zij zich aan de AVG moet houden.

Daar komt nog bij dat BKR een commerciële organisatie is die optreedt in het belang van de kredietverschaffers en andere klanten (met name gemeenten in het kader van schuldhulpverlening) en te weinig oog heeft voor de belangen van de burger.

Ons standpunt

Privacy First heeft in haar consultatiedeelname bepleit dat het hele systeem van kredietregistratie in Nederland moet worden aangepakt. Om te beginnen moet de huidige verplichte kredietregistratie voor financiële instellingen worden ondergebracht bij een onafhankelijke organisatie. Die organisatie dient zodanig te zijn ingericht dat de belangen van de burgers (de schuldenaars) worden gewaarborgd.

Wij zijn van mening dat in de nieuwe regelgeving een duidelijk onderscheid dient te worden gemaakt tussen de partijen die informatie mogen leveren over de schulden die mensen hebben (‘kredietverleners’) en overige belanghebbenden die informatie mogen raadplegen, zoals gemeenten in het kader van schuldhulpverlening. Als kredietverleners geen vergunning hebben op grond van de Wet op het financieel toezicht, zullen zij voor deelname aan bepaalde eisen moeten voldoen, onder meer op het gebied van integriteit en een goede interne organisatie.

Het BKR heeft zich steeds opgesteld als een passief registratieorgaan. Dat vindt Privacy First ongewenst, nu de praktijk heeft geleerd dat de kredietgevers, ook al zijn het grote financiële instellingen, zich regelmatig niet zorgvuldig opstellen tegenover hun klanten. Ons voorstel is dat de nieuwe organisatie bij klachten van burgers actief zal moeten nagaan of kredietverleners zich correct hebben opgesteld. Het optreden van de organisatie kan dan ook leiden tot verbetering van de houding van de kredietgever.

Privacy First doet diverse andere voorstellen, onder meer dat de nieuwe organisatie de geregistreerde burgers op de hoogte houdt van de registratie, de wijzigingen daarin en wie er inzage heeft gehad. Verder stellen wij voor de rechtsbescherming van geregistreerde burgers te verbeteren. Tot slot menen wij dat alle vormen van kredietregistratie vergunningplichtig moeten worden, dus ook kredietregistratie door handelsinformatiebureaus en stichtingen die voor bepaalde branches zwarte lijsten van wanbetalers bijhouden.

De volledige consultatiereactie van Privacy First kan HIER worden geraadpleegd (pdf).

 

[1] Mr. Frank Visser wil onterechte BKR-registraties aanpakken, https://radar.avrotros.nl/uitzendingen/gemist/item/mr-frank-visser-wil-bkr-registraties-veranderen/

 

 

Consultatiereactie Privacy First
Voor de liefhebbers volgt hierna de consultatiereactie in html:

 

Consultatiereactie

 

Privacy First
Aan: Ministerie van Financiën
Via: www.internetconsultatie.nl
Ons kenmerk: SPF20230831
Datum: 31 augustus 2023
Onderwerp: Consultatie Wet stelsel kredietregistratie

Geachte heer/mevrouw,

Stichting Privacy First maakt hierbij gebruik van de mogelijkheid om haar visie te geven op het consultatievoorstel voor de Wet stelsel kredietregistratie, bekend gemaakt via https://www.internetconsultatie.nl/kredietregistratie/b1.

Kredietregistratie is een onderwerp dat onze interesse heeft omdat het betrekking heeft op financiële privacy, oftewel financiële grondrechten, wat één van de speerpunten van Privacy First is. De vertrouwelijkheid van financiële gegevens wordt steeds meer bedreigd en het is één van de weinige terreinen waarop grote Amerikaanse techbedrijven nog niet oppermachtig zijn.

De afgelopen tien jaar is gebleken dat die financiële grondrechten niet goed gewaarborgd waren bij de private stichting uit de financiële sector, Bureau Kredietregistratie (BKR). Het optreden van BKR leidde tot een stroom van rechtspraak en een stroom van Kamervragen, waaruit is gebleken dat het systeem van private kredietregistratie niet goed functioneert. Wij veronderstellen de vele rechtspraak en het zeer groot aantal vragen uit het parlement, bij uw ministerie bekend. Recent kwam de problematiek aan de orde in een uitzending van het consumentenprogramma Radar [1] en in antwoorden op vragen uit de Tweede Kamer van 23 juni 2023 [2].

Privacy First ziet aanleiding om commentaar te leveren op het consultatievoorstel, nu dit voorstel uitsluitend een codificatie van de door BKR gewenste situatie omvat, nu zij diverse AVG-procedures heeft verloren.

Inhoudsopgave

  • Achtergrond
  • BKR is een commerciële organisatie die niet bezig is met de financiële grondrechten van burgers
  • BKR negeert de AVG
  • Het advies van de Autoriteit Persoonsgegevens uit 2019
  • Het consultatievoorstel
  • Kernvragen
  • Inleidende opmerkingen
  • Gewenste regulering
  • Aanvullend artikelsgewijs commentaar
  • Tot slot

Achtergrond

In het verleden is in de Wet op het financieel toezicht (Wft) opgenomen dat professionele kredietaanbieders met een vergunning op grond van de Wft verplicht zijn om deel te nemen aan een stelsel van kredietregistratie [3]. De uitvoering van die kredietregistratie is door de Nederlandse overheid, zonder nadere regels te stellen, uitbesteed aan de financiële sector, die daartoe een eigen stichting heeft opgericht. Deze stichting is hoofdzakelijk bezig met de behartiging van de belangen van de financiële sector en biedt geen tegenwicht aan onzorgvuldige omgang met financiële persoonsgegevens.
Zonder dat daar ruchtbaarheid aan is gegeven, is BKR na de inwerkingtreding van belangrijke wijzigingen in de Wet gemeentelijke schuldhulpverlening (Wgs) per 1 januari 2021 schulden gaan registreren voor gemeenten [4] en biedt met het oog daarop de dienst ‘Vindplaats van Schulden aan’. Dit register zal hierna ‘het gemeenteregister’ worden genoemd. In het consultatiedocument wordt aan deze dienstverlening door BKR ten onrechte geen aandacht besteed.

BKR is een commerciële organisatie die niet bezig is met de financiële grondrechten van burgers

Zonder dat de overheid daarbij betrokken was, heeft het BKR haar activiteiten uitgebreid buiten de sector van gereguleerde kredietaanbieders en verschaft BKR informatie uit het Centraal Krediet Informatiesysteem, het ‘CKI’, aan bepaalde incassobureaus en advocatenkantoren, die op de BKR-site als ‘aangesloten organisatie’ van BKR worden aangemerkt [5]. Dit is onbegrijpelijk.
Op de pagina over aangesloten organisaties is BKR niet transparant over de hoedanigheden van de aangeslotenen. Het is niet duidelijk:

• welke van hen zijn aangesloten op grond van de verplichting in de Wft,
• wie de overige schuldeisers zijn die informatie leveren aan het CKI, en
• wie alleen afnemer zijn van het CKI (bijvoorbeeld gemeenten).

In de lijst van aangeslotenen staan een zeer groot aantal gemeentelijke instanties, zo te zien vormen zij bijna de helft van de aangeslotenen. Hoewel schuldhulpverlening een overheidstaak is, betekent dat nog niet dat de positie van gemeentelijke instanties hetzelfde is als die van kredietverleners. Hier komen we nog op terug.
BKR heeft zich in de loop van de tijd ontwikkeld tot een brede commerciële kredietinformatiedienstverlener, die ook Wwft-compliance [6] en dienstverlening aan gemeenten op het gebied van schulden [7] aanbiedt. Commerciële diensten horen niet thuis bij een organisatie die het algemene belang behoort te behartigen en de rol bij schuldhulpverlening vergt een zorgvuldige juridische vormgeving.
Ondanks de suggestie die BKR probeert op haar website te wekken, is er geen sprake van dat BKR opkomt voor de belangen van consumenten. Dat is ook zichtbaar in de door BKR uitgebrachte BKR monitor 2022, waarin wordt gepleit voor uitbreiding van de registratie [8] en verlenging van de registratietermijn [9].

BKR negeert de AVG

BKR heeft regelmatig laten zien dat zij zich onvoldoende wenst te verdiepen in de Algemene Verordening Persoonsgegevens (AVG) en de rechtsvoorganger van die wet. Zo was de rechter nodig om aan BKR duidelijk te maken dat zij verwerkingsverantwoordelijke is in de zin van de AVG (Hoge Raad 3 december 2021, ECLI:NL:HR:2021:1814 [10]).
Daaruit trok BKR niet de voor de hand liggende conclusie dat zij verwijderings- en correctieverzoeken zelf dient te beoordelen. Op 6 juni 2023 oordeelde het Gerechtshof Arnhem-Leeuwarden (ECLI:NL:GHARL:2023:4738 [11]) dat BKR verwijderings- en correctieverzoeken zelf moet beoordelen en dat zij de benodigde gegevens bij de kredietaanbieder dient op te vragen. Dat betekent voorts dat BKR het verzoek om verwijdering van een bijzonderheidscodering dient te beoordelen en – in het gegeven geval – te verwijderen.

Nog steeds heeft BKR haar Algemeen Reglement CKI [12] niet aangepast aan de AVG-regels.

In 2019 is de Autoriteit Persoonsgegevens (AP) corrigerend tegen BKR opgetreden. Destijds is een boete aan BKR opgelegd omdat de stichting kosten in rekening bracht voor het inzien van persoonsgegevens [13]. Volgens privacyprofessionals was de handelswijze van BKR voorzienbaar in strijd met de AVG [14]. Opvallend is dat BKR desondanks beroep heeft ingesteld en heeft betoogd dat zij de AVG niet overtreden zou hebben, iets waarmee de Rechtbank Gelderland in de uitspraak van 17 juli 2023 (ECLI:NL:RBGEL:2023:4071) [15] korte metten heeft gemaakt.

Deze gang van zaken maakt duidelijk dat de grondrechten van burgers bij BKR niet in goede handen zijn en dat deze organisatie onvoldoende lerend vermogen heeft. Privacy First vraagt zich daarom af waarom deze organisatie is uitgekozen voor de nieuwe wettelijke taak en bepleit de oprichting van een nieuwe organisatie met een wettelijk geregelde governance.

Het advies van de Autoriteit Persoonsgegevens uit 2019

Op 14 november 2019 bracht de Autoriteit Persoonsgegevens advies uit over BKR en het fenomeen kredietregistratie [16]. In dat advies staan een aantal behartenswaardige aanbevelingen, die door Privacy First worden onderschreven, onder meer:

Regels betreffende de vormgeving, bewaartermijnen en waarborgen van het register waarin de kredieten in het kader van de uitvoering van die zorgplicht worden geregistreerd ontbreken. Ook is niet duidelijk wie – naast de kredietverstrekker die dit laat registreren en uiteraard de cliënt – dat register mag raadplegen, wanneer dat mag en onder welke voorwaarden. Ook de vraag of – en, zo ja, hoe lang – kredietgegevens nog mogen worden bewaard zodra een krediet is beëindigd of afgelost en die gegevens in ieder geval niet meer relevant zijn voor het antwoord op de vraag of er sprake is van overkreditering – het doel van registratie – wordt niet beantwoord in wetgeving. Zelfs wie zo’n stelsel van kredietregistratie mag of moet beheren is (bewust) niet bepaald.

en:

Bij BKR worden gevoelige persoonsgegevens (krediet, betalingsachterstand) van – eind 2018 –bijna 11 miljoen mensen geregistreerd. 8 In de huidige ‘datagedreven’ samenleving is het belang van deze verantwoordelijkheid van een andere orde dan het geval was bij de inrichting van BKR in 1965. Gelet op die zeer grote hoeveelheid gevoelige data waarover het BKR inmiddels beschikt acht de AP het van des te meer belang dat de wetgever waarborgen vastlegt en komt tot wetgeving waarin dat algemene belang van het voorkomen van overkreditering door de wetgever zelf expliciet wordt afgewogen tegen het grondrecht op bescherming van persoonsgegevens van betrokkenen. In die wetgeving dienen dan keuzes te worden gemaakt met betrekking tot die waarborgen, inzagerechten van derden, bewaartermijnen, etc.
Die wetgeving zou tevens moeten bewerkstelligen dat het voortbestaan van BKR wordt gegarandeerd, althans dat wordt gegarandeerd dat deze gegevens niet verloren gaan of in handen komen van onbevoegden bij bv. een faillissement. Bepalingen over de wijze van financiering van de werkzaamheden van BKR en over de samenstelling, de benoeming en vereiste deskundigheden van het bestuur, het wijzigingen van de statuten, vaststelling van het reglement en wat te doen bij taakverwaarlozing lijken eveneens aangewezen. Vormgeving van kredietregistratie als goed afgebakende en van commerciële activiteiten te onderscheiden wettelijke taak of verplichting van een bij (of krachtens) wet aangewezen beheerder biedt daarbij een eenduidige en niet voor betwisting vatbare AVG-grondslag.

8 https://www.bkr.nl/over-bkr/feiten-en-cijfers.

Privacy First constateert dat het ministerie van Financiën in het consultatievoorstel de aanbevelingen van de AP niet heeft opgevolgd.

Overigens wil Privacy First met betrekking tot kredietregistratie verder gaan dan de AP. Zij is van mening dat alle ondernemingen die zich op de Nederlandse markt bezig houden met enige vorm van kredietregistratie gereguleerd moeten worden. Dat zal hierna worden toegelicht.

Het consultatievoorstel

Privacy First onderschrijft dat kredietregistratie in algemene zin nuttig kan zijn, zeker als het gaat om ondernemingen uit de financiële sector die zich beroepshalve met het verstrekken van krediet in klassieke zin bezig houden. Echter, het voorstel van uw ministerie is niet adequaat, zoals hierna zal worden toegelicht.
Allereerst bespreken wij in ons commentaar de kernonderwerpen en maken we enige inleidende opmerkingen. Daarna geven wij aan hoe wij aankijken tegen de regulering van de kernonderwerpen. Vervolgens geven wij artikelsgewijs nog een aantal aanvullende opmerkingen.

Kernvragen

In het consultatievoorstel worden de kernonderwerpen rondom kredietregistratie onvoldoende geregeld. Die kernonderwerpen zijn:

[1] Wat wordt geregistreerd en hoe. Welke schulden kwalificeren als ‘krediet’ en mogen centraal geregistreerd worden? Hoe zit het registratiesysteem in elkaar? Wanneer worden de gegevens verwijderd?

[2] Wie neemt deel en wie mag raadplegen. Welke partijen buiten de ondernemingen die gereguleerd zijn in de Wft mogen deelnamen aan het stelsel van kredietregistratie en hun kredietgegevens leveren aan het centrale kredietregistratiebureau (‘deelnemers’)? Welke partijen mogen het register raadplegen (‘raadplegers’)?

[3] Integriteit en zorgvuldigheid. De wijze waarop wordt gewaarborgd dat deelnemers en raadplegers integer zijn en zorgvuldig handelen.

[4] Informeren betrokkenen. Het op de hoogte houden van de personen die in het register zijn opgenomen (‘betrokkenen’) van [a] de registratie en de toekenning van bijzondere kenmerken; [b] de raadpleging (door wie en waarom); [c] beëindiging van de registratie.

[5] Rechtsbescherming. De mogelijkheden voor betrokkenen om op te komen tegen de wijze waarop deelnemers respectievelijk het centrale kredietregistratiebureau (de opvolger van BKR), hun gegevens hebben geregistreerd, respectievelijk de weigering gegevens verwijderen (rechtsbescherming). Voorts mogelijkheden om te ageren tegen onjuiste raadplegingen.

[6] Actieve rol van het centrale kredietregistratiebureau. De centraal aangewezen organisatie die de kredietregistratie voor de financiële sector zal verzorgen (‘het centrale kredietregistratiebureau’) dient een andere rol te krijgen dan het BKR nu heeft. Het bureau kan er voor zorgen dat deelnemers en raadplegers zich aan de spelregels houden.

[7] Regulering van kredietregistranten. Er dienen eisen te worden gesteld aan alle organisaties en ondernemingen die zich met kredietregistratie bezig houden (‘kredietregistranten’). Dit betreft de vele andere ondernemingen die zich met kredietregistratie bezighouden, zoals incassobureaus, grote deurwaarderskantoren en handelsinformatiebureaus.
Voorts stellen wij voor dat in de wet wordt opgenomen dat debiteuren bezwaar mogen maken tegen de kredietregistrant waarvan een bedrijf gebruik maakt.

[8] Toezicht. Er dient te worden gezorgd voor adequaat toezicht op het centrale kredietregistratiebureau en op de kredietregistranten.

Inleidende opmerkingen

Het consultatievoorstel is niet meer dan een raamwet:

• In artikel 2 van het voorstel staat dat de minister van Financiën het centrale kredietregistratiebureau mag aanwijzen en in artikel 3 dat diezelfde minister aan de aanwijzing beperkingen mag stellen en voorschriften verbinden.
• Welke ondernemingen buiten de financiële sector mogen deelnemen en wat als ‘krediet’ kwalificeert, wordt volgens artikel 5 van het voorstel vastgelegd in een algemene maatregel van bestuur, hetzelfde geldt voor de extra gegevens inzake de verleende kredieten (artikelen 5 en 6).
• In het voorstel wordt de onwenselijke praktijk van BKR (die discussies over opname en verwijderen van gegevens doorschuift naar de deelnemers) door middel van artikel 8 van het voorstel gelegaliseerd.

Het consultatievoorstel regelt de hiervoor genoemde kernonderwerpen niet of niet adequaat.

Het enige positieve aan het voorstel is dat in artikel 7 is opgenomen dat de registratietermijn is beperkt tot drie jaar.

Privacy First is van mening dat het consultatievoorstel geen recht doet aan de aanbevelingen van de AP en dat er een onjuiste keuze is gemaakt voor een passief centraal kredietregistratiebureau, terwijl de praktijk van BKR juist heeft geleerd dat het gewenst is dat de deelnemers een actieve instelling tegenover zich krijgen.

Daarbij speelt een rol dat gereguleerde financiële instellingen, zoals banken, de verwachtingen niet waar maken en regelmatig onzorgvuldig met consumenten en kleine ondernemingen omgaan, waarbij een rol zal spelen dat ‘het geen geld mag kosten’. Hier mogen consumenten, zzp’ers en vennoten van personenvennootschappen niet de dupe worden.

Gewenste regulering

Wat wordt geregistreerd en hoe

Vertrekpunt van de nieuwe regelgeving dient te zijn dat de wettelijke regeling in zo groot mogelijk detail dient te regelen welke overeenkomsten en schulden geregistreerd mogen worden bij het centrale kredietregistratiebureau. Privacy First stelt voor dat het moet gaan om:

1. het vertrekpunt dat alleen feitelijke schulden boven een bepaalde drempel en met een minimale looptijd mogen worden geregistreerd bij het centrale kredietregistratiebureau, waarbij gedacht kan worden aan schulden hoger dan 500 euro met een looptijd van langer dan twee maanden. Voorbeeld: uitsluitend het recht om ‘rood’ te mogen staan bij een betaaldienstverlener hoort niet tot registratie te leiden.
2. Financiële instellingen mogen hun rekeninghouders alleen registreren bij het centrale kredietregistratiebureau als de schuld per saldo boven de drempel uitkomt. Voorbeeld: iemand die een spaarrekening met 10.000 euro heeft en daarnaast een gewone rekening waarop hij 500 euro negatief staat, wordt niet geregistreerd omdat de financiële instelling per saldo geen vordering heeft op de rekeninghouder.
3. Van de hiervoor genoemde uitgangspunten wordt alleen afgeweken als de recente schuldengeschiedenis daar aanleiding voor geeft.
4. De basis van het systeem van achterstandsmeldingen, herstelmeldingen en ‘bijzonderheidscoderingen’, waarbij aan de schuldengeschiedenis bepaalde kwalificaties worden toegekend, wordt in de wet vastgelegd. In dat systeem zullen de problemen van het huidige systeem moeten worden verholpen. Voorts wordt geregeld dat betrokkenen recht hebben op laagdrempelige toegang tot de kantonrechter, als er discussie ontstaat over de wijze van registratie of de weigering een registratie of code te verwijderen.
5. Op dit moment vragen deelnemers soms buitenproportioneel veel persoonlijke gegevens van geregistreerde personen met het oog op aanpassing van codes en/of verwijdering van bepaalde registratie, soms ook over zeer lange periodes. Privacy First is van mening dat in het nieuwe systeem door het centrale kredietregistratiebureau toezicht moet worden gehouden op de proportionaliteit van de verzoeken van deelnemers om persoonsgegevens.
6. Als het centrale kredietregistratiebureau een rol zou gaan spelen in het kader van de Wgs, dienen die activiteiten in de wet te worden geregeld, waarbij ook aandacht is voor het feit dat gegevens inzake gemeentelijke schuldhulpverlening niet mogen worden verschaft aan private schuldeisers, tenzij dat uit de Wgs voortvloeit. Wij zijn er van uit gegaan dat dit te zijner tijd het geval zal zijn.
7. Het centrale kredietregistratiebureau verschaft op haar website volledige en toegankelijke informatie over haar taken (ook inzake de Wgs als zij daar actief voor is), inclusief het systeem van schuldenregistratie en bijzonderheidscoderingen (anders dan BKR, die compleet non-transparant is over dit soort onderwerpen [17]).

Ad 4.
Op dit moment leidt in artikel 13 lid 1 van het Algemeen Reglement CKI iedere aflossingsregeling tot een bijzonderheidscode, ook als het een geringe schuld betreft en de aflossing snel plaats vindt (code 1). Datzelfde geldt voor opeising van het restant (code 2). Bij afboeking van een bedrag van € 250 of meer (code 3) wordt niet de eis gesteld dat er geen sprake is geweest van laakbaar optreden van de schuldeiser. Ook code 4 (onbereikbaarheid consument) is te weinig specifiek. Dat het wel mogelijk is om bijzonderheidscodes beter te omschrijven blijkt uit code 5, dat gaat over een “schriftelijke preventieve betaalregeling voor een hypothecaire kredietovereenkomst van tenminste vier (4) maanden”, al ontbreken daarin bedragen. De huidige bijzonderheidscodes zijn veel te grof en dienen verbeterd te worden.

Wie zijn de deelnemers en de raadplegers

In de regelgeving zal een duidelijk onderscheid moeten worden gemaakt tussen:

[a] Kredietverleners die op grond van de Wft verplicht zijn deel te nemen.
[b] Overige schuldeisers die op grond van de wet worden toegelaten.
[c] Gemeenten, zij zijn raadplegers op grond van de Wgs.
[d] Overige partijen die gegevens uit het register mogen ontvangen maar geen schuldeiser zijn (de overige raadplegers).

In het huidige Algemeen Reglement CKI wordt dat onderscheid niet op een zorgvuldige manier gemaakt, terwijl daar alle aanleiding voor is. Ook op de website van BKR is op de pagina van aangeslotenen [18] is nu niet te vinden op grond waarvan een organisatie is aangesloten en welke rechten die organisatie heeft.

Kredietverleners
Het centrale kredietregistratiebureau dient te monitoren of de kredietverleners zorgvuldig met hun klanten omgaan en dient de mogelijkheid te hebben een signaal bij DNB en/of AFM te kunnen afgeven als betrokken vergunninghouder regelmatig in de fout gaat.

Overige schuldeisers
De kredietverleners die op grond van de Wft verplicht zijn deel te nemen zijn al onderworpen aan vormen van toezicht, onder andere op de integriteit. Bij de overige schuldeisers is dat vaak niet het geval. Privacy First is van mening dat in de wet moet worden geregeld dat overige schuldeisers alleen mogen worden toegelaten, als zij aan bepaalde eisen voldoen, die betrekking hebben op integriteit en zorgvuldige omgang met persoonsgegevens. Het centrale kredietregistratiebureau moet kunnen toetsen of dat het geval is en dient ook mogelijkheden te hebben om de ondernemingen uit te sluiten van het kredietregistratiesysteem.

Het is ons bekend dat er deelnemers of vertegenwoordigers van deelnemers zijn, die hun interne organisatie niet op orde hebben en hun klanten schaden. Voorbeelden daarvan zijn: het niet verwerken van verhuisberichten; incassobrieven blijven sturen, terwijl er al lang is betaald; converteren klantnummers zonder aanleiding, met als gevolg dat klanten die betaald hebben onvindbaar zijn in systemen. Dergelijk geklungel leidt dan ten onrechte tot BKR-registraties. BKR ontvangt vele meldingen van onterechte registraties (wij hebben vernomen dat er dagen zijn dat het soms tegen 1000 meldingen per dag zijn), waarvan een behoorlijk deel terecht is. Dit schaadt de betrokken consumenten en is niet goed voor het vertrouwen in dit systeem.

Voorts is belangrijk dat nauwkeurig wordt gekeken welke soorten schulden kwalificeren om te worden geregistreerd. Privacy First is van mening dat zeer precies moet worden geanalyseerd welke schuldeisers nu aan het systeem deelnemen en of hun deelname functioneel is. In het consultatievoorstel en -toelichting is daarover niets te vinden.

Voorbeeld:
op dit moment valt iedere vorm van autoverhuur onder het Algemeen Reglement CKI, want autoverhuur wordt als volgt omschreven:

1. Een operational autoleaseovereenkomst is een overeenkomst, niet zijnde een kredietovereenkomst, waarbij aan de consument de mogelijkheid wordt geboden om een (personen)auto te gebruiken en waarbij de consument gehouden is één of meer betalingen aan de zakelijke klant te doen.

In deze omschrijving speelt geen rol of de consument door middel van zijn creditkaart garantie geeft aan de verhuurder. Deze definitie is veel te ruim en hoort te worden aangepast.

Gemeenten (raadpleger op grond van de Wgs)
Ook bij gemeenten kunnen zich problemen voordoen rondom de naleving van gegevensbeschermingsverplichtingen en de vereiste zorg. Vanwege de rol die het centrale kredietregistratiebureau heeft, kan zij daarop toezien voor zover het de gegevensverschaffing aan gemeenten betreft.

Overige raadplegers
In de wet dient een duidelijk onderscheid te worden gemaakt tussen deelnemers (de hiervoor besproken kredietverleners en overige schuldeisers) en degenen die wij ‘raadplegers’ noemen. Zoals besproken zijn gemeenten raadplegers op grond van de wet. Privacy First is van mening dat zorgvuldig dient te worden geregeld wie voor het overige dat raadplegingsrecht hebben en dat ook wordt gemonitord en gelogd of dat raadplegingsrecht correct wordt gebruikt door degenen die dat recht hebben. Dat zullen in beginsel de deelnemers zijn en een extra groep van professionele raadplegers.

Verbod op uitbesteding
In het huidige systeem mag iedere raadpleger onbelemmerd de inzage en gegevensverstrekking uitbesteden [19]. Dat acht Privacy First onjuist. Uitbesteding dient in het belang van de zorgplicht en gegevensbescherming verboden te zijn. Het betekent onder meer dat incassobureaus en advocatenkantoren geen toegang tot het register behoren te hebben.

Privacy First is van mening dat uitbesteding van verwerking van persoonsgegevens door deelnemers en raadplegers verboden behoort te zijn, behoudens gereguleerde uitzonderingen, waarbij er waarborgen inzake integriteit en zorgvuldigheid zijn.

Integriteit en zorgvuldigheid deelnemers en raadplegers

Registratie van schulden behoort uitermate zorgvuldig plaats te vinden. Voorkomen moet worden dat financiële persoonsgegevens van burgers in verkeerde handen terecht komen, zoals in het verleden is gebeurd [20].

Informeren betrokkenen

Voor de bescherming van persoonsgegevens is essentieel dat betrokkenen worden geïnformeerd over de verwerking en hun inzage-, correctie- en verwijderingsrechten als bedoeld in de AVG kunnen uitoefenen. Op dit moment is de praktijk bij kredietregistratie dat mensen onvoldoende geïnformeerd worden en als gevolg daarvan ook niet in staat zijn om misbruik te constateren en te melden.

Privacy First is van mening dat in het consultatievoorstel nauwkeurig zal moeten worden geregeld op welke wijze betrokkenen door het centrale kredietregistratiebureau op de hoogte zullen worden gesteld van relevante feiten, waarbij het ten minste behoort te gaan om:

• Opname in het kredietregister en/of het gemeenteregister met vermelding van de naam van de schuldeiser en de grondslag voor registratie.
• Iedere inzage door een deelnemer of raadpleger van het systeem. Hiermee kan uitvoering worden gegeven aan de uitspraak van het Europese hof van 12 januari 2023, Österreichische Post, zaak C-154/21.
• Toekenning van schuldkwalificaties (wat nu de achterstandsmeldingen, bijzonderheidscodes en dergelijke zijn).
• De verwijdering uit een register.

Wij adviseren de basis van dit systeem in de wet op te nemen en de praktische uitvoeringsaspecten in een uitvoeringsregeling op te nemen.

Rechtsbescherming

Op dit moment is de rechtsbescherming voor consumenten in het financiële recht pover. Er is geen landelijke financiële ombudsman bij wie geklaagd kan worden over financiële instellingen. Ook ontbreekt een laagdrempelige procedure bij de kantonrechter. Privacy First acht het van groot belang dat die rechtsbescherming sterk verbeterd wordt. Dat zal de deelnemers aan de kredietregistratie aanmoedigen zich zorgvuldiger te gedragen dan tot dusver het geval is.

Wij adviseren een onafhankelijke financiële ombudsman in het leven te roepen en te zorgen dat burgers zich voor geschillen tot de kantonrechter kunnen wenden. Het beroep daarop kan beperkt blijven als het centrale kredietregistratiebureau een actieve rol krijgt, zoals wij bepleiten (zie hierna).

Actieve rol van het centrale kredietregistratiebureau

Op dit moment verschuilt het BKR zich achter haar deelnemers en heeft zij geen actieve rol in de bescherming van de klanten tegen de deelnemers aan het kredietregister respectievelijk de leveranciers van gegevens aan het gemeenteregister. In het consultatievoorstel wordt die aanpak gecodificeerd. Privacy First acht dat ongewenst. Wij menen dat het centrale kredietregistratiebureau een actieve rol dient te spelen ter bescherming van consumenten tegen hun schuldeisers.

Dat betekent ook dat het bureau geen commerciële nevenactiviteiten mag hebben en dat in de governance wordt gewaarborgd dat het bureau oog heeft voor de belangen van de geregistreerde personen. Zie ook hierna onze opmerkingen bij artikelen 2 en 3 van het consultatievoorstel.

Privacy First bepleit een actieve rol van het centrale kredietregistratiebureau als de betrokkene – na door het bureau geïnformeerd te zijn over registratie of een andere feit – het niet eens is met de deelnemer die gegevens over hem heeft geregistreerd. Hetzelfde geldt voor klachten over onrechtmatige inzage en verwerking van financiële persoonsgegevens door raadplegers.

Regulering van kredietregistranten

Naast het centrale kredietregistratiebureau zijn diverse andere partijen in de Nederlandse markt bezig met het registreren van kredietwaardigheidsgegevens van Nederlandse burgers en organisaties, zoals deurwaarderskantoren, incassobureaus en handelsinformatiebureaus. Voor zover Privacy First bekend leven deze ondernemingen de AVG niet of beperkt na. Wij zijn van mening dat het nodig is dat er aanvullende regulering plaats vindt van kredietregistratie door anderen dan het centrale kredietregistratiebureau.

Aanvullende regels voor gereguleerde ondernemingen
Bij ondernemingen die al gereguleerd zijn (zoals deurwaarders, incassobureaus en advocatenkantoren) kan de regulering plaats vinden door aanvullende regels in de specifiek voor deze ondernemingen geldende regelgeving.

Vergunningplicht voor verwerking kredietwaardigheidsinformatie
Alle overige ondernemingen die kredietwaardigheidsinformatie verwerken, dienen vergunningplichtig te worden en dienen te worden onderworpen worden aan integriteits- en gegevensbeschermingstoezicht.

Voorbeeld: handelsinformatiebureau Graydon schrijft in haar privacyverklaring [21] dat zij persoonsgegevens van derden ontvangt, “klanten van Graydon en anderen die een zakelijke of financiële relatie met Graydon hebben die relevant is voor het doel van het verzamelen en verwerken van de gegevens; Betaalgedrag van uw onderneming aan de hand van betaalervaringen van andere organisaties met uw onderneming.” (punt 3) en dat zij die persoonsgegevens verstrekt aan klanten en meent dit te mogen doen met gerechtvaardigd belang als verwerkingsgrondslag (punt 4 en punt 6). Graydon vraagt geen toestemming voor het ontvangen van financiële persoonsgegevens van derden en evenmin voor het verstrekken van die gegevens aan haar klanten. Graydon meent haar gerechtvaardigd belang te kunnen onderbouwen met het volgende argument:

Uw privacyverwachtingen: Omdat u een onderneming heeft, neemt u deel aan het economisch verkeer. Daarom worden gegevens over uw onderneming opgenomen in registers die, omwille van de zekerheid en de betrouwbaarheid, voor iedereen toegankelijk zijn. Ondernemers kunnen daarom ook over het algemeen verwachten dat deze openbare gegevens worden verwerkt door bijvoorbeeld bedrijfsinformatiespecialisten zoals Graydon, die op deze manier een bijdrage leveren aan de zekerheid in het economische verkeer en aan een gezonde economie.

Privacy First stelt zich op het standpunt dat de opvatting van Graydon (en andere handelsinformatiebureaus) in strijd is met de AVG, nu de betrokkene (natuurlijke persoon) weliswaar ondernemer is, maar ook hij het recht heeft te weten welke gegevens over hem worden rondgestrooid. Hier is ‘gerechtvaardigd belang’ geen grondslag voor de gegevensverwerking. Voorts leeft voor zover ons bekend Graydon niet de verplichting na om de betrokkene te informeren over de ontvangst van gegevens van derden en het verschaffen van gegevens aan derden. Daarmee worden de gegevensbeschermingsrechten van burgers ondergraven.

De vergunningplicht en nadere regels kunnen er voor zorgen dat ondernemingen die kredietwaardigheidsinformatie verwerken de AVG naleven en dat er beter toezicht plaats vindt. Dat houdt onder meer in dat toestemming wordt gevraagd aan betrokkenen voor het verkrijgen van informatie van derden en het verschaffen van informatie aan derden.

Recht van bezwaar tegen kredietregistrant
Voorts stellen wij voor dat in de wet wordt opgenomen dat debiteuren bezwaar mogen maken tegen de kredietregistrant waarvan een bedrijf gebruik maakt.

Voorbeeld:
KPN verschaft bij iedere aanvraag voor een nieuw mobiel abonnement alle persoonsgegevens van de klant aan het handelsinformatiebureau Experian [22], een Amerikaans bedrijf dat bekend is door de vele datalekken en van de niet-naleving van de gegevensbeschermingsregels [23]. Wij vinden dat klanten van KPN bezwaar moeten kunnen maken tegen hun keuze voor een kredietwaardigheidsbeoordelingsbedrijf, zeker nu het bij het aangaan van een mobiel abonnement niet om kredietverstrekking gaat (dat is alleen bij het kopen op afbetaling van een mobiele telefoon aan de orde). Overigens informeert Experian de klanten van KPN niet over de gegevens die zij heeft verkregen, zodat in strijd met de AVG wordt gehandeld.

Privacy First adviseert dat burgers het recht moeten hebben om kredietregistranten met een slechte track record te weigeren.

Toezicht

Bij een verbeterd systeem van kredietregistratie hoort ook krachtig toezicht. Het is gewenst dat dit toezicht niet wordt belegd bij het ministerie van Financiën, aangezien dat ministerie minder geëquipeerd is om consumentenbelangen en de belangen van gegevensbescherming te behartigen.

Privacy First stelt voor dat toezicht onder te brengen bij een toezichthouder die opkomt voor consumenten en denkt daarbij aan de Autoriteit Consument & Markt (die zich ook met incassobureaus bezig houdt). Voorts kan de Autoriteit Persoonsgegevens een belangrijke rol spelen.

Nieuw voorstel inzake het centrale kredietregistratiebureau gewenst

Onder verwijzing naar het voorgaande, bepleit Privacy First dat zo spoedig mogelijk een volledig herzien voorstel inzake de centrale kredietregistratie wordt ingediend, aangezien het laten voortduren van de ongewenste situatie met BKR ongewenst is.
Verder stellen wij voor dat er zo spoedig mogelijk een wetsvoorstel wordt ingediend dat een vergunningplicht regelt voor alle niet-gereguleerde ondernemingen die zich bezig houden kredietwaardigheidsinformatie en -beoordeling.

Aanvullend artikelsgewijs commentaar

Uit het voorafgaande gedeelte van ons commentaar kan worden opgemaakt dat wij de nodige opmerkingen hebben inzake het consultatievoorstel.

Algemeen
In het consultatievoorstel wordt teveel verwezen naar beslissingen van de ministerie van Financiën en uitvoeringsregelgeving. Dat is ongewenst. Vanwege het belang van bescherming van financiële persoonsgegevens en een zorgvuldige omgang daarmee, dienen belangrijke principes in de wet te worden opgenomen.

Artikel 1
In de begripsbepalingen dient het begrip ‘aangesloten partij’ uitsluitend te worden gebruikt voor wat wij in dit document ‘deelnemers’ hebben genoemd, dus partijen die zowel gegevens leveren aan het register, als het register mogen raadplegen. De positie van gemeenten dient afzonderlijk geregeld te worden.
Daarnaast dient aan dit artikel een definitie voor degenen die uitsluitend raadplegen te worden toegevoegd.

Artikelen 2 en 3
Deze artikelen dienen te worden vervangen door één of meer bepalingen, waarin de positie van het centrale kredietregistratiebureau in detail wordt geregeld, met onder meer:

• geen commerciële nevenactiviteiten;
• een bestuur dat gekwalificeerd is om op te komen voor de belangen van de burger (consument en natuurlijke personen die ondernemer zijn);
• transparante informatie over de beide registers;
• onafhankelijkheid van de financiële sector en andere deelnemers aan het systeem;
• toezicht door een onafhankelijke overheidstoezichthouder.

Voorts dienen in het voorstel specifieke regels te worden opgenomen over de voorwaarden die gelden voor deelnemers die niet over een vergunning op grond van de Wft beschikken, alsmede de voorwaarden voor degenen die het register mogen raadplegen (zoals gemeenten).

Voorts wordt geregeld dat het bureau maatregelen kan nemen tegen deelnemers en raadplegers die zich niet aan de voorschriften houden, onder andere uitsluiting van het registratiesysteem en melding aan de verantwoordelijke toezichthouders (zoals AFM en DNB).

Artikel 4
Aan dit artikel wordt toegevoegd dat het tot de taak van het centrale kredietregistratiebureau behoort om alle raadplegingen door deelnemers en raadplegers te loggen en de betrokkenen over iedere inzage te informeren.

Artikel 5, artikel 6 lid 2
In de verbeterde versie van artikel 5 wordt in detail geregeld welke andere schuldeisers (dan ondernemingen met een Wft-vergunning) aan het systeem mogen deelnemen en welke voorwaarden (onder andere integriteit en kwaliteit van de backoffice) voor hen gelden.

Voorts worden in de verbeterde tekst de algemene hoofdregels opgenomen inzake registratie van schulden, naast de gegevens van de debiteur (nu lid 3, bijvoorbeeld:

• Er worden alleen gegevens geregistreerd van leningen en kredieten die daadwerkelijk verschaft zijn (boven een minimumdrempel en met een minimumduur).
• Het recht om op een bankrekening ‘rood’ te mogen staan wordt alleen geregistreerd als de rekeninghouder daadwerkelijk een schuld heeft en betrokkene geen andere middelen bij de betreffende betaaldienstverlener heeft (zoals spaargeld). (Dus geen registratie wegens ‘latente’ schulden.)
• Creditkaarten worden alleen geregistreerd als de houder schulden niet meteen aflost. (Dus geen registratie wegens ‘latente’ schulden.)
• Overeenkomsten inzake periodieke betalingen in ruil voor een dienst (zoals energie, huur, telefonie) worden nooit geregistreerd, tenzij er een achterstand boven een bepaalde drempel is en een bepaalde duur is overschreden.
• Hypotheekschulden worden alleen geregistreerd als de hypotheeknemer achterstallig is met betalen (drempel bedrag en tijdsduur).
• Van de voornoemde hoofdregels kan worden afgeweken vanwege de schuldengeschiedenis van betrokkene.

Verder worden de hoofdregels van het systeem van achterstands- en herstelmeldingen en bijzonderheidscoderingen (nu te vinden in artikelen 13 en 14 van het Algemeen Reglement CKI) in de wet opgenomen, waarbij een verbeterde systematiek wordt gehanteerd die in redelijke verhouding staat tot de aard en omvang van de nalatigheid van de debiteur.

Artikelen 6 tot en met 8
In deze artikelen wordt opgenomen dat de deelnemer of in de Wgs aangewezen schuldeiser de te registreren gegevens aanlevert, die door het centrale kredietregistratiebureau worden verwerkt en aan de debiteur worden gemeld. De actieve rol van het bureau wordt daarin vastgelegd. Als de debiteur vragen of opmerkingen heeft over de registratie, doet het bureau nader onderzoek en spreekt het bureau de deelnemer of in de Wgs aangewezen schuldeiser aan op zijn verantwoordelijkheden.

Artikel 9
In dit artikel kan tot uitdrukking worden gebracht dat de debiteuren worden geïnformeerd over iedere verstrekking van hun persoonsgegevens die plaats vindt op grond van dit artikel. Het voordeel daarvan is ook dat daarmee snel duidelijk wordt of de ondernemingen met inzagerechten zich houden aan de voor hen geldende regels.
Privacy First is van mening dat lid 4 van dit artikel ongewenst is, aangezien het de deur open zet naar verstrekking van financiële persoonsgegevens aan personen en instanties die geen daadwerkelijk belang hebben bij die gegevens. Deze bepaling dient te vervallen. Alleen in de wet vermelde organisaties behoren toegang te hebben tot de geregistreerde persoonsgegevens.

Artikel 10
Uit dit artikel blijkt niet aan wie die vergoeding in rekening wordt gebracht. Toegevoegd dient te worden dat die vergoedingen in rekening worden gebracht aan deelnemers en raadplegers.

Vergunningplicht kredietregistranten
Privacy First stelt voor een vergunningstelsel tot stand te brengen voor alle ondernemingen die die kredietwaardigheidsinformatie verwerken. Waarschijnlijk is het verstandig dit door middel van een apart wetsvoorstel te doen.

Aanvullende regels inzake gemeentelijke schuldhulpverlening
Het is aan te bevelen de rol van het centrale kredietregistratiebureau in de schuldhulpverlening zorgvuldig te regelen, aangezien de aan het gemeenteregister geleverde gegevens niet mogen worden gemengd met het kredietregister en alleen gemeenten deze gegevens mogen inzien. Daar waar mogelijk kunnen dezelfde regels gelden als voor het kredietregister (bijvoorbeeld ten aanzien van het informeren van de geregistreerden door het bureau).

Tot slot

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: info@privacyfirst.nl.

Hoogachtend,
namens Stichting Privacy First,

Vincent Böhre
juridisch adviseur

 

Noten

[1] Mr. Frank Visser wil onterechte BKR-registraties aanpakken, 3 april 2023, https://radar.avrotros.nl/uitzendingen/gemist/item/mr-frank-visser-wil-bkr-registraties-veranderen/
[2] Antwoord van de minister van Financiën, ontvangen 23 juni 2023, https://www.tweedekamer.nl/kamerstukken/kamervragen/detail?id=2023Z07011&did=2023D28161
[3] Artikel 4:34 tweede lid Wft verbiedt het aangaan van een kredietovereenkomst met een consument als dit uit oogpunt van overkreditering onverantwoord is. In artikel 4:32, eerste lid en artikel 4:34, eerste lid, Wft is de verplichting tot kredietregistratie vastgelegd. Artikel 114 Besluit Gedragstoezicht financiële ondernemingen Wft verplicht tot het raadplegen van het register.
[4] Artikelen 2 en 3 van het Besluit gemeentelijke schuldhulpverlening verplichten verhuurders en andere aangewezen schuldeisers om schulden te melden aan de gemeenten.
[5] Zie https://www.bkr.nl/zakelijk/aangesloten-organisaties-cki/.
[6] Zie hun Know Your Customer productinformatie op https://www.bkr.nl/zakelijk/producten/know-your-customer/, met onder meer PEP- en sanctieregelgevingsdiensten.
[7] Zie de informatie over ‘Vindplaats van Schulden’, https://www.bkr.nl/zakelijk/producten/vindplaats-van-schulden/.
[8] Met studieleningen bij DUO, buy-now-pay-later, leaseproducten en hypotheken.
[9] Met beroep op de Wereldbank: “Het is immers niet voor niets dat de Wereldbank, in het belang van consumenten, een registratietermijn van vijf tot acht jaar aanbeveelt.
[10] https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:HR:2021:1814
[11] https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:GHARL:2023:4738
[12] https://www.bkr.nl/zakelijk/algemeen-reglement/
[13] https://autoriteitpersoonsgegevens.nl/actueel/boete-voor-bkr-vanwege-kosten-bij-inzage-persoonsgegevens
[14] Zie bijvoorbeeld Jeroen Terstegge, die schreef “Het beleid van het BKR was niet een beetje fout. Het was heel erg fout. Het BKR had dit zelf ook kunnen weten. Het schriftelijke AVG-beleid van het BKR was er immers op gericht om het verdienmodel van het BKR in stand te laten. Daarmee zocht het BKR moedwillig de randjes van de AVG op. Om daar vervolgens vér overheen te gaan. Deskundigen hadden op basis van onderzoek door de NOS die conclusie al in december getrokken. Toen had het BKR al kunnen stoppen. Waarom wachten op een officiële reactie van de AP bij zo’n evidente overtreding?” (https://www.linkedin.com/posts/jeroenterstegge_rechtspraaknl-zoeken-in-uitspraken-activity-7094589593408155648-l8Ip).
[15] Het geschil ging verder over de hoogte van de door de AP opgelegde boete, wat voor het onderwerp van deze consultatie niet van belang is.
[16] https://autoriteitpersoonsgegevens.nl/documenten/advies-kredietregistratie
[17] De informatie over bijzonderheidscoderingen staat bij BKR niet op de website (html-pagina’s), maar alleen zeer summier in het Algemeen Reglement CKI.
[18] Zie https://www.bkr.nl/zakelijk/aangesloten-organisaties-cki/.
[19] Zie artikel 38 Algemeen Reglement CKI.
[20] In de VS zijn diverse voorbeelden bekend van het lekken van persoonsgegevens inzake kredietwaardigheid, onder meer bij Experian (voorbeelden https://www.security.nl/posting/642901/Onderzoekers%3A+datalekken+groter+risico+dan+mensen+beseffen en https://www.security.nl/posting/38651/Hackers+azen+op+Experian-gegevens) en Equifax (https://www.security.nl/posting/530310/Priv%C3%A9data+143+miljoen+Amerikanen+gestolen+bij+kredietbeoordelaar).
[21] https://graydon.nl/nl/avg
[22] Zie paragraaf 3.2.2. van de privacy statement, https://www.kpn.com/algemeen/missie-en-privacy-statement.htm:
Op het moment dat een aanvraag voor een (nieuw) telefoonabonnement wordt ingediend of verlengd, worden jouw gegevens aan handelsinformatiebureau Experian gegeven. Dit gebeurt ook als je een kredietaanvraag indient. Al je gegevens rond je betaalgedrag worden ook gedeeld met Experian. Experian verwerkt die gegevens verder onder haar eigen verantwoordelijkheid voor kredietwaardigheidsanalyse, fraudepreventie, schuldinningen en datakwaliteitsvalidatie. Experian kan op basis van deze gegevens een goede risicoanalyse maken. Als jij door een betalingsachterstand ooit bent afgesloten, kan deze informatie dus ingezien worden en gevolgen hebben voor andere overeenkomsten met (financiële) verplichtingen. Dit geldt voor mobiele abonnementen gesloten na 1 januari 2010 en voor vaste abonnementen gesloten na 1 mei 2016.
Overigens laat KPN na te vermelden welke persoonsgegevens van telefonie abonnees aan Experian verstrekt (anders dan bij kredietverlening, dat wordt uitvoerig toegelicht).
[23] Recent voorbeeld is de uitspraak van de Engelse rechter van 20 februari 2023 in een zaak tegen de Engelse gegevensbeschermingstoezichthouder ICO, First-tier Tribunal (General Regulatory Chamber), Appeal Number: EA/2020/0317, https://informationrights.decisions.tribunals.gov.uk/DBFiles/Decision/i3176/Experian%20Limited%20EA-2020-0317%20FP%20(17.02.23).pdf.

Onbekend's avatar

About Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce en getagd met , , , , , , , , , , , , , , , , , , . Maak de permalink favoriet.

Plaats een reactie