De eerste prejudiciële uitspraak van de Hoge Raad over de AVG is een feit. De uitspraak gaat over de grondslag voor de verwerking van persoonsgegevens in het register van het Bureau Krediet Registratie in opdracht van kredietaanbieders (BKR). Volgens de HR is die grondslag niet ‘een wettelijke plicht’ (art. 6 lid 1-c AVG), maar is die grondslag ‘de gerechtvaardigde belangen van het BKR of een derde’ (art. 6 lid 1-f AVG). Ik bespreek wat deze uitspraak betekent voor registratie in het BKR en enkele andere vormen van registratie.
Een man is voor een schuld aan kredietaanbieder Hoist BKR-geregistreerd. In het bijzonder wordt vermeld dat er een betalingsachterstand is, dat de vordering is opgeëist en dat de schuld groter is dan € 250. De schuld wordt medio 2017 voldaan, maar de registratie bij het BKR blijft. In 2020 verzoekt de man Hoist de BKR-registratie te laten verwijderen. Dit verzoek wordt afgewezen. De man start enkele maanden later een kort geding tegen Hoist. Hij vordert de bijzondere vermeldingen te laten verwijderen. Volgens Hoist is de man niet-ontvankelijk, omdat hij niet binnen zes weken na de afwijzing van zijn verzoek naar de rechter is gestapt. De rechter in kort geding stelt prejudiciële vragen aan de Hoge Raad.
Registratie door het BKR vindt niet plaats op grond van een wettelijke plicht
Persoonsgegevens mogen alleen worden verwerkt als daar een rechtmatige grondslag voor is (art. 6 AVG). Die is er bijvoorbeeld als de verwerking noodzakelijk is om te voldoen aan een wettelijke plicht. Die plicht moet voortvloeien uit het EU-recht of uit het recht van een Lidstaat. Die wetsbepaling moet ook het doel van de verwerking vaststellen (art. 6 lid 3 AVG). Het hoeft geen wet te zijn die door een parlement is gemaakt. Wél moet de wetsbepaling duidelijk en nauwkeurig zijn. De toepassing moet voorspelbaar zijn voor iedereen op wie de regel van toepassing is. Dit volgt uit overweging (41) bij de AVG.
Kredietaanbieders hebben een zorgplicht om te voorkomen dat consumenten door overkreditering in financiële problemen komen (art. 4:34 lid 1 Wft). Iedere aanbieder van een krediet van meer dan € 250 moet vooraf het BKR-register raadplegen om na te gaan welke kredieten al aan een consument zijn verleend. Een aanbieder moet het krediet weigeren als het onverantwoord is, vanwege overkreditering (art. 4:34 lid 2 Wft). Deze zorgplicht is terug te voeren op de EU-Richtlijn Consumenten¬krediet uit 2008.
De wet voorziet niet in een meer concrete wettelijke basis voor de registratie door het BKR. Registratie berust op zelfregulering door de financiële sector. Het BKR heeft het CKI-reglement vastgesteld. Dat is een overeenkomst tussen het BKR en kredietaanbieders. Hierin staat dat het BKR consumenten wil beschermen tegen overkreditering en tegelijkertijd de financiële risico’s voor kredietaanbieders wil beperken. Volgens het CKI-reglement is de grondslag voor de verwerking van persoonsgegevens de behartiging van de gerechtvaardigde belangen van het BKR en zijn zakelijk klanten.
Volgens de Hoge Raad verplicht de wet kredietaanbieders dus wél tot deelname aan het BKR-register. Maar de Wft en het daarop gebaseerde Besluit zijn niet voldoende duidelijk en nauwkeurig, en de toepassing is niet voldoende voorspelbaar. Zij regelen niet welke persoonsgegevens geregistreerd worden, wat de voorwaarden zijn en wanneer die gegevens weer verwijderd worden. Het CKI-reglement waar dat wel in staat, is niet op de wet gebaseerd.
Registratie door het BKR gebeurt dus niet op basis van een wettelijke plicht.
Verwerkingsgrondslag BKR-registratie is ‘het gerechtvaardigd belang’
Registratie vindt dus plaats ter behartiging van een gerechtvaardigd belang (art. 6 lid 1-f AVG), ook al vindt die plaats om uitvoering te geven aan een wettelijke zorgplicht. Het BKR ging daar zelf ook van uit, blijkens zijn CKI-reglement. En ook de Autoriteit Persoonsgegevens ging daar van uit in een (wetgevings)advies van 14 november 2019. In reactie op dit advies kondigde de Minister op 12 december 2019 aan een wettelijke regeling voor kredietregistratie in internetconsultatie te gaan brengen. Dit is nog niet gebeurd. Wél is voorzien in wetgeving op grond waarvan kredietregistraties van ouders die gedupeerd zijn door de Toeslagenaffaire per direct verwijderd worden uit het BKR-register.
Het recht op bezwaar en het recht op gegevenswissing
Dat registratie plaatsvindt op grond van een gerechtvaardigd belang betekent dat een betrokkene altijd het recht heeft om bezwaar te maken tegen de verwerking van zijn persoonsgegevens door het BKR met een beroep op zijn specifieke situatie. Maar zo’n bezwaar betekent niet dat de registratie in de BKR vervalt.
Na een bezwaar is het aan de kredietaanbieder ‘dwingende gerechtvaardigde gronden’ aan te voeren voor handhaving van de registratie die zwaarder wegen dan de belangen van de betrokkene (art. 21 lid 1 AVG). Effectief betekent een bezwaar dat een kredietaanbieder de registratie op basis van die nieuwe gegevens moet heroverwegen. Deze belangenafweging kan vervolgens zo nodig bij de rechter worden getoetst. De belangenafweging is sterk casuïstisch. Bij deze afweging speelt ‘de wettelijke zorgplicht’ opnieuw de kop op. De kredietaanbieder heeft de wettelijke plicht door registratie de consument zelf te beschermen tegen overcreditering. Daarom heeft een bezwaar meestal alleen succes als een registratie onjuist is, of handhaving daarvan (inmiddels) buitenproportioneel is. Als dat laatste het geval is, moet de registratie zonder onredelijke vertraging worden beëindigd.
Degene wiens gegevens worden verwerkt op basis van een wettelijke plicht heeft niet het recht van bezwaar en het recht op gegevenswissing op grond van de AVG. Wél kan hij zich tot de burgerlijke rechter wenden en een beroep doen op onrechtmatig daad (art. 6:162 BW) en het recht op eerbiediging van zijn privé- en gezinsleven (art. 8 EVRM). Ongeacht op welke grondslag persoonsgegevens worden verwerkt, moet voldaan zijn aan de beginselen van proportionaliteit en subsidiariteit. Dit volgt uit het Santander-arrest van de Hoge Raad.
Andere ‘wettelijke plichten’?
Een wettelijke zorgplicht, levert dus nog geen wettelijke plicht op in de zin van art. 6 lid 1-c AVG om persoonsgegevens te verwerken – ook niet als die verwerking nodig is om de zorgplicht handen en voeten te geven. Een korte ‘tour’ laat zien dat in de meeste gevallen wél is voorzien in een voldoende concrete wettelijke plicht om persoonsgegevens te verwerken.
• Tegengaan van ‘scheefwonen’
De Belastingdienst deelt inkomensinformatie met woningcorporaties ter uitvoering van hun wettelijke plicht om scheefwonen van huurders in sociale huurwoningen tegen te gaan (Stb. 2013, 89 en 90). Een verhuurder moet bij een voorstel tot huurverhoging een IB-verklaring voegen. De Belastingdienst verstrekte deze gegevens. In 2016 oordeelde de Raad van State dat de Belastingdienst hiervoor geen grondslag had en haar plicht tot geheimhouding van deze gegevens schond. Art. 7:252a BW bevatte immers slechts een verplichting voor de verhuurder om de inkomensverklaring op te vragen. De Belastingdienst mocht de inkomensgegevens niet verstrekken zonder spiegelbeeldige wettelijke plicht die gegevens te verstrekken. De tekst van art. 7:252a BW is daarop aangepast. De Rechtbank Den Haag oordeelde daarna op 10 januari 2018 dat de Belastingdienst nu wél een wettelijke plicht had om om inkomensgegevens met verhuurders te delen.
• Wwft
De Wwft heeft als doel te voorkomen dat geld wordt witgewassen en terrorisme wordt gefinancierd. Art. 3 Wwft verplicht instellingen zoals banken, financiële ondernemingen, advocaten en notarissen, onderzoek te doen naar cliënten. Art. 33 Wwft bepaalt welke bewijsstukken (vijf jaar) bewaard moeten worden. Art. 16 verplicht instellingen verdachte transacties te melden bij de Financial Intelligence Unit (FIU). Het artikel schrijft voor welke (persoons)gegevens moeten worden gemeld. Art. 34 Wwft bepaalt welke gegevens moeten worden vastgelegd en dat die vijf jaar moeten worden bewaard. Art. 34a Wwft gaat over gegevensbescherming. Zij verbiedt het om (persoons)gegevens die zijn verzameld op grond van de Wwft voor andere commerciële doelen te verwerken. Wanneer de Wwft verplicht bepaalde persoonsgegevens te verwerken, dan is er een wettelijke plicht voor deze verwerking. Maar de Wwft biedt dus geen ‘carte blanche’ om alle persoonsgegevens te verwerken die bruikbaar kúnnen zijn bij nakoming van de Wwft.
• Fraude melden
Tenslotte heeft de AP op 21 augustus van dit jaar ruim 160 financiële instellingen een vergunning verleend om – onder strenge voorwaarden – gegevens van fraudeurs te registeren en met elkaar te delen in een incidentenwaarschuwingssysteem. Fraudeurs zijn namelijk vaak actief bij meerdere instellingen. Banken en verzekeraars kunnen elkaar hiervoor waarschuwen door fraude-informatie uit te wisselen. De voorwaarden voor de gegevensuitwisseling staan in het nieuwe Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Dit protocol bevat regels waaraan banken en verzekeraars moeten voldoen om informatie over incidenten, zoals identiteitsfraude of bankhelpdeskfraude (spoofing), bij te houden en uit te wisselen. Het wettelijke kader voor deze vergunning is te vinden in art. 33 lid 4-c en 5 UAVG. De AP kan zo’n vergunning verlenen, indien de verwerking noodzakelijk is voor een zwaarwegend belang van derden. Bij de uitvoering moet zijn voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.