Dit wetsvoorstel moet op een aantal punten duidelijk worden verbeterd, concludeert de AP. Zo moet Stichting Bureau Krediet Registratie (BKR) privacygevoelige gegevens van mensen niet te lang bewaren. BKR is de private organisatie die in Nederland het stelsel van kredietregistratie beheert.
Financiële gegevens
BKR heeft financiële gegevens van meer dan 10 miljoen mensen. Het gaat onder meer om:
- iemands naam, adres en geboortedatum;
- of diegene ooit rood stond en zo ja, hoe lang;
- of diegene ooit een betalingsachterstand had;
- de hoogte en looptijd van eventuele leningen.
Wil iemand geld lenen bij de bank, een telefoonabonnement afsluiten of ergens iets kopen op afbetaling? Dan moet de bank of telecomprovider inschatten of iemand in staat is om de rekening te voldoen. Daartoe wisselen zij informatie over mensen uit met BKR.
Eerdere constatering AP over BKR
De AP merkte in 2019 op dat nieuwe wetgeving nodig is om er voor te zorgen dat bij kredietregistratie vastgelegde persoonsgegevens beter worden beschermd. Want zulke wettelijke regels zijn er nog niet voor het al decennia oude stelsel, waarin wel steeds meer persoonsgegevens van mensen omgaan. Dat er nu een wetsvoorstel ligt, is een stap in de goede richting. Maar het voorstel moet nog wel worden verbeterd.
Gegevens worden onnodig bewaard
Een groot bezwaar van de AP is dat BKR kredietgegevens van mensen onnodig mag bewaren. Volgens het wetsvoorstel mag BKR gegevens standaard bewaren tot 3 jaar nadat iemands kredietovereenkomst (zoals een lening bij de bank) is afgelopen. Dit is weliswaar korter dan de 5 jaar die nu in de praktijk geldt, maar nog steeds te lang.
Het uitgangspunt moet zijn dat BKR gegevens helemaal niet bewaart na afloop van een kredietovereenkomst, tenzij er een aantoonbare, in de wet omschreven noodzaak is om dat wel te doen. Bijvoorbeeld als iemand een serieuze betalingsachterstand opbouwde tijdens een grote lening, bijvoorbeeld voor een huis of een nieuwe auto.
Schone lei
Katja Mur, bestuurslid AP: ‘Het doel van kredietregistratie is om te voorkomen dat mensen te veel krediet opnemen en in de schulden raken. Lost iemand een krediet af zonder dat er ernstige afbetalingsproblemen ontstaan, dan is er dus geen noodzaak om gegevens nog te blijven bewaren. Je moet verder kunnen met een schone lei.’
De privacywet AVG verbiedt het om meer gegevens te verzamelen en te bewaren dan nodig. ‘Hoe minder gegevens er bewaard worden, en hoe korter, hoe minder er bovendien fout kan gaan’, vult Mur aan. ‘Bijvoorbeeld dat iemand een lening misloopt omdat er verouderde kredietinformatie over diegene was opgeslagen.’
Recht op verwijdering
Mensen hebben het recht om aan organisaties te vragen om hun gegevens te verwijderen uit bestanden. Omdat het belangrijk is dat mensen zelf regie houden over hun gegevens. Bij BKR dreigt het door het wetsvoorstel juist moeilijker te worden voor mensen om een verzoek tot verwijdering van informatie in te dienen.
Mur: ‘Als jij bezwaar hebt tegen een BKR-registratie over jou, dan moet je met je bezwaar rechtstreeks terecht kunnen bij BKR. Dat recht heb je. Dat moet duidelijker worden geregeld in het wetsvoorstel.’
Wat geldt er als ‘krediet’?
Bovendien moet het wetsvoorstel beter duidelijk maken wat voor soort financiële overeenkomsten straks geregistreerd kunnen worden bij BKR, en vanaf welk bedrag. De nieuwe wet sluit niet uit dat straks bijvoorbeeld ook een abonnement op een streamingdienst voor tv al gaat gelden als een krediet dat wordt geregistreerd bij BKR.
Mur: ‘Het wetsvoorstel moet duidelijk maken wat er wel en niet onder de kredietregistratie valt. We praten hier over financiële gegevens van miljoenen mensen.’
Ellen Timmer - juridische artikelen en berichten 