Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Boete voor BKR: betrokkene kon onvoldoende regie voeren

De Autoriteit Persoonsgegevens (AP) heeft een bestuurlijke boete opgelegd aan BKR van € 830.000 wegens overtreding van artikel 12 lid 2 Avg (faciliteren van recht op inzage) en artikel 12 lid 5 Avg (kosteloze inzage). Vandaag publiceerde de AP het boetebesluit van 30 juli 2019, hierbij een beknopte samenvatting. 

Wat is er gebeurd?

De AP is op 6 juli 2018 een onderzoek gestart bij BKR na diverse klachten te hebben ontvangen van betrokkenen die stelden dat BKR drempels opwerpt bij het uitoefenen van het inzagerecht door betrokkenen. Gebleken is dat BKR tot 29 april 2019 elektronische inzage alleen tegen betaling faciliteerde en dat de mogelijkheid om kosteloos per post inzage te verkrijgen zicht beperkte tot 1 X per jaar, wat ook als beleid actief werd uitgedragen door BKR. 

De AP overweegt in haar boetebesluit dat inzage in persoonsgegevens omtrent kredietregistraties van groot belang is, en dat een negatieve kredietregistratie gevolgen kan hebben voor het verkrijgen van een lening of hypotheek. Kosteloze inzage stelt betrokkenen in staat om op eenvoudige manier kennis te nemen welke persoonsgegevens een verwerkingsverantwoordelijke verwerkt en of deze rechtmatig verwerkt worden. Een goede invulling van het inzagerecht is verder noodzakelijk om andere rechten te kunnen uitoefenen, zoals het recht op rectificatie en het recht op gegevenswissing.

Overtreding van kosteloze inzage

Wat betreft de overtreding van kosteloze inzage van persoonsgegevens overweegt de AP het volgende. 

BKR heeft van 25 mei 2018 tot en met 28 april 2019 niet kosteloos op elektronische wijze inzage gegeven in persoonsgegevens aan betrokkenen in het kader van het recht op inzage. Deze overtreding heeft daarmee ruim elf maanden op structurele wijze plaatsgevonden en voor een lange periode voortgeduurd. Het ging hierbij om vele persoonsgegevens omtrent kredietregistraties, welke naar hun aard gevoeliger zijn dan bijvoorbeeld een naam of leeftijd. Bovendien heeft BKR verdiend aan deze overtreding.  Met het vragen van een vergoeding voor het via elektronische wijze verkrijgen van inzage in persoonsgegevens heeft BKR één van de belangrijkste beginselen, namelijk het transparantiebeginsel, van de AVG geschonden. 

Voor zover BKR heeft aangevoerd dat de overtreding van korte duur was, omdat zij vanaf 29 april 2019 de elektronische inzage kosteloos aanbiedt volgt de AP deze beredenering niet. De AP acht een structurele overtreding van elf maanden als een inbreuk van lange duur. Gelet op de ernst van de overtreding ziet de AP aanleiding om het basisbedrag van de boete op grond van de Boetebeleidsregels 2019 te verhogen met € 75.000,– tot € 385.000,–.

Overtreding van het faciliteren van het inzagerecht

Wat betreft de overtreding van het faciliteren van het inzagerecht overweegt de AP als volgt.

Het maximeren van één kosteloos inzageverzoek per post per jaar kwalificeert niet als het voldoende faciliteren van het recht op inzage als bedoeld in artikel 12, tweede lid, van de AVG. Deze overtreding van ruim negen maanden heeft daarmee op structurele wijze voor een lange periode voortgeduurd. Het ging hierbij om vele persoonsgegevens omtrent kredietregistraties, welke naar hun aard gevoeliger zijn dan bijvoorbeeld een naam of leeftijd. Tijdens de inzageverzoeken heeft BKR deze betrokkenen expliciet er op gewezen dat één keer per jaar een verzoek tot inzage gedaan kan worden. Deze betrokkenen, maar ook andere betrokkenen die dit beleid via verschillende communicatiemiddelen van BKR te horen hebben gekregen, werden ontmoedigd om een inzageverzoek in te dienen. Gelet hierop, alsmede de duur en aard van de overtreding was er naar het oordeel van de AP sprake van een ernstige situatie waarin BKR het recht op inzage per post niet heeft gefaciliteerd. 

Voor zover BKR heeft aangevoerd dat de overtreding van korte duur was, omdat zij vanaf 13 maart 2019 haar communicatie over het inzagerecht heeft aangepast volgt de AP deze beredenering niet. De AP acht een structurele overtreding van negen maanden als een inbreuk van lange duur. Gelet op de ernst van de overtreding ziet de AP aanleiding om het basisbedrag van de boete op grond van de Boetebeleidsregels 2019 te verhogen met € 125.000,– tot € 650.000,–.

Toepassing van het evenredigheidsbeginsel

Tot slot beoordeelt de AP op grond van artikelen 3:4 en 5:46 van de Awb (evenredigheidsbeginsel) of de toepassing van haar beleid voor het bepalen van de hoogte van de boete gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt. In dit geval gaat de AP over tot boeteoplegging voor overtreding van zowel artikel 12, tweede lid, als artikel 12, vijfde lid, van de AVG. De verschillende gedragingen van BKR, namelijk via elektronische wijze niet kosteloos inzage bieden en actief het beleid uitdragen dat betrokkenen per post één keer per jaar persoonsgegevens in kunnen zien, hebben geleid tot twee afzonderlijke overtredingen. Tegelijkertijd onderkent de AP dat het achterliggende beginsel van de desbetreffende bepalingen in de kern gelijkwaardig is, namelijk transparantie met het oogmerk om betrokkenen controle te laten houden over de hen betreffende persoonsgegevens. Dit geeft aanleiding om het hierboven genoemde totale boetebedrag op grond van de evenredigheid met 20% te matigen.

Het BKR boetebesluit benadrukt dat organisaties de rechten van betrokkenen moeten respecteren en faciliteren. De betrokkene voert de regie over zijn of haar persoonsgegevens. Verwerkt een organisatie persoonsgegevens dan moet de organisatie voldoen aan het transparantiebeginsel en invulling geven aan het inzagerecht. Vraag je daar als organisatie geld voor of beperk je het inzagerecht tot een maximum, dan belemmer je de rechten van betrokkenen en bega je een ernstige overtreding van de Avg.

Contact

Heeft u vragen? Neem gerust contact met ons op via +31 0 (70) 392 22 09 of info@duthler.nl.