image

BKR krijgt boete van 830.000 euro wegens het overtreden van de AVG

maandag 6 juli 2020, 15:21 door Redactie, 12 reacties

De Autoriteit Persoonsgegevens heeft het Bureau Krediet Registratie (BKR) een boete van 830.000 euro opgelegd voor het overtreden van de AVG, zo is vandaag bekendgemaakt. Het is daarmee de hoogste AVG-boete die tot nu toe door de privacytoezichthouder is uitgedeeld.

Aanleiding voor de boete is dat het BKR vanaf mei 2018 een bedrag in rekening bracht voor mensen die digitaal hun persoonsgegevens willen inzien. Ook konden mensen maar één keer per jaar per post zonder kosten hun gegevens inzien. De Autoriteit Persoonsgegevens stelde een onderzoek in nadat het meerdere klachten van personen ontving dat het BKR drempels opwierp als mensen hun recht op inzage uitoefenden.

De toezichthouder stelde vast dat het BKR van 25 mei 2018 tot en met 28 april 2019 persoonsgegevens niet kosteloos verstrekte. Wie digitaal toegang tot zijn gegevens wilde kon dit doen via een elektronische klantomgeving, waar afhankelijk van het gekozen abonnement tussen de 4,95 en 12,50 euro per jaar moest worden betaald.

Wel was het mogelijk om via de post één keer per jaar gratis de persoonsgegevens op te vragen. Daarmee dacht het BKR aan de privacywetgeving te voldoen. De Autoriteit Persoonsgegevens is het daarmee niet eens. Door het niet kosteloos verstrekken van persoonsgegevens heeft het BKR de AVG overtreden, zo stelt de toezichthouder. Daarnaast heeft het BKR ook met het beperken van het recht op inzage via de post zich niet aan de AVG gehouden.

Voor deze twee overtredingen heeft de toezichthouder het BKR vorig jaar een boete van in totaal 830.000 euro opgelegd. Het Bureau Krediet Registratie is hier tegen in beroep gegaan. Hierdoor is het besluit van de AP over de op te leggen boete nog niet definitief. Het BKR heeft de werkwijze vorig jaar april aangepast.

"We krijgen de boete omdat je je gegevens alleen gratis met de post bij ons kon opvragen. We vinden het belangrijk om te benadrukken dat de privacy van je gegevens altijd gewaarborgd is geweest. Zodra duidelijk werd dat de AP de gratis inzage anders wilde, hebben we meteen onze procedures aangepast. Dat was op 29 april 2019. Vanaf dat moment heb je ook digitaal gratis toegang tot je gegevens", aldus de organisatie.

Vorig jaar heeft de Autoriteit Persoonsgegevens in totaal vier AVG-boetes uitgedeeld voor een bedrag van 2,5 miljoen euro. Drie van deze boetes zijn nu bekend. Naast de boete voor het BKR ging het om een boete van 725.000 euro voor een bedrijf dat de vingerafdrukken van het personeel onrechtmatig verwerkte. Daarnaast kreeg tennisbond KNLTB een boete van 525.000 euro opgelegd voor de verkoop van ledengegevens.

Reacties (12)
06-07-2020, 15:27 door Anoniem
Kunnen degenen die dit bedrag betaald hebben dat terugvorderen?

Zou netjes zijn als dat vanuit BKR zelf meteen werd gedaan.
06-07-2020, 16:12 door Anoniem
Zodra duidelijk werd dat de AP de gratis inzage anders wilde, hebben we meteen onze procedures aangepast. Dat was op 29 april 2019.

Ah wat fijn... alleen hadden ze dit al moeten doen voor 18 mei 2018. Einde discussie.
Juist om dit soort argumenten en stilzwijgend misbruik te voorkomen moet de AP dergelijke boetes blijven opleggen.
06-07-2020, 16:13 door Anoniem
Maar hoe zit het met bedrijven die per se een kopie van jouw ID willen voordat ze jouw gegevens willen verwijderen, mag dat wel? Dat terwijl ze hiermee meer persoonsgegevens van je bemachtigen dan dat ze al hebben.
06-07-2020, 16:21 door karma4 - Bijgewerkt: 06-07-2020, 17:02
Door Anoniem: Maar hoe zit het met bedrijven die per se een kopie van jouw ID willen voordat ze jouw gegevens willen verwijderen, mag dat wel? Dat terwijl ze hiermee meer persoonsgegevens van je bemachtigen dan dat ze al hebben.
Ze zijn verplicht de juiste identiteit vast te stellen en van die actie ook een bewijs te kunnen tonen.
Dat kopietje ID is geen bewijs van de juiste persoon.
Het AP zou zich druk moeten maken over dat hiaat met alle rechtsongelijkheid in plaats het beeld te blijven uitdragen dat het kopietje zelf de privacyinbreuk is.
Oplichting is een privacyinbreuk en wel heel makkelijk als het nummertje overschrijven het bewijs zou zijn.

Een probleempje als je het BKR als private partij neerzet. Ze voeren de wetgeving van de overheid uit met de verplichte kredietregistratie. Het komt er in feite op neer dat de ene overheidsinstantie de andere overheidsinstantie beboet. Ze wort het nooit wat met aanpakken van de commerciele partijen.
https://www.bkr.nl/media/1419/maatschappelijkjaarverslag2019stichtingbkr.pdf (let op CKI en wetgeving)
https://wetten.overheid.nl/BWBR0020368/2020-01-31#Titeldeel4_Hoofdstuk4.3_Afdeling4.3.1_Paragraaf4.3.1.3_Artikel4:32
06-07-2020, 16:22 door Anoniem
Door Anoniem: Maar hoe zit het met bedrijven die per se een kopie van jouw ID willen voordat ze jouw gegevens willen verwijderen, mag dat wel? Dat terwijl ze hiermee meer persoonsgegevens van je bemachtigen dan dat ze al hebben.

Je hebt als bedrijf wel de plicht om vast te stellen met wie je te maken hebt. Het kan dus zijn dat er voor bepaalde zaken om een kopie ID wordt gevraagd.
06-07-2020, 17:09 door Anoniem
Door Anoniem:
Zodra duidelijk werd dat de AP de gratis inzage anders wilde, hebben we meteen onze procedures aangepast. Dat was op 29 april 2019.

Ah wat fijn... alleen hadden ze dit al moeten doen voor 18 mei 2018. Einde discussie.
Juist om dit soort argumenten en stilzwijgend misbruik te voorkomen moet de AP dergelijke boetes blijven opleggen.

Ze hadden dit moeten doen, wanneer de eerste klant hen hierop wees. AP komt waarschijnlijk alleen in aktie als er meerdere mensen klagen, dat BKR geen gehoor geeft.
Dus wat mij betreft, mee eens
06-07-2020, 18:23 door Anoniem
"We krijgen de boete omdat je je gegevens alleen gratis met de post bij ons kon opvragen."
De motivering van A.P. luidt echter anders:
Stichting Bureau Krediet Registratie (BKR) mag geen geld vragen aan mensen die digitaal hun persoonsgegevens willen inzien. En wanneer mensen per post inzage in hun persoonsgegevens bij BKR willen, moet dat eenvoudig en met redelijke tussenpozen mogelijk zijn. BKR wierp te hoge drempels op voor inzage. Dat mag niet volgens de privacywetgeving. Daarom heeft de Autoriteit Persoonsgegevens (AP) BKR een boete opgelegd van 830.000 euro.

Mijn mening op grond van wat ik van AVG meen te weten:
Weliswaar mag BKR bij buitensporig repetitief opvragen van de aanwezige gegevens een vergoeding rekenen, maar BKR moet dan kunnen aantonen dat het buitensporig is. En dan mag je niet iedereen over één kam scheren door te stellen dat iedereen maar 1x per jaar gratis mag opvragen. Want het hangt helemaal van de situatie van de persoon af of vaker dan 1x per jaar opvragen buitensporig is of niet. Ik kan me voorstellen dat er wel eens een geldige reden kan zijn
om vaker dan 1x per jaar gegevens op te willen vragen.
07-07-2020, 11:54 door Anoniem
BKR had natuurlijk al een zekere reputatie met betrekking tot persoonsgegevens. Onder anderen dat ze de neiging hebben tot pogingen zo krap mogelijk de letter van de regels in hun voorbeeld te volgen. In Europees recht kom je dan vroeger of later iemand tegen die daar aanstoot aan neemt en de middelen heeft om hun boodschap dat je de geest moet volgen duidelijk te maken...

Het mag herhaald worden, de AVG bestaat uit artikelen en overwegingen. De artikelen vertellen wat je moet doen, maar de overwegingen geven nadere uitleg waarom de regels zijn zoals ze zijn. AP (zie ook de originele tekst waarin ze overweging 59 ook citeren, rechters, en andere machtige instanties kijken ook naar de overwegingen of je in de geest handelt.

Overweging 59 geeft luid en duidelijk de bedoeling aan van middelen om het inzagerecht te kunnen uitoefenen: "Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen,..." In een situatie: Stuur maar een brief (in 2020!), maximaal 1x per jaar (ongeacht hoeveel veranderingen er in de tussentijd in de situatie kunnen ontstaan), en als je elektronisch wil, betaal ja maar tot €12,50.jaar, kan ik met de beste wil ter wereld geen organisatie zien die het hoog op de prioriteitenlijst heeft om de uitoefening van het inzagerecht gemakkelijker te maken...

Het BKR mag er uiteraard tegen in beroep gaan. Ik verwacht echter niet dat het veel oplevert...
07-07-2020, 14:47 door johanw
Uiteraard gaan ze in beroep, want ze zien de volgende rekening al aankomen: een advocaat die een massaclaim gaat organiseren om mensen hun geld terug te laten eisen.
07-07-2020, 14:52 door karma4
Door Anoniem: ...Want het hangt helemaal van de situatie van de persoon af of vaker dan 1x per jaar opvragen buitensporig is of niet. Ik kan me voorstellen dat er wel eens een geldige reden kan zijn
om vaker dan 1x per jaar gegevens op te willen vragen.
Ik niet, het BKR registreert enkel wat kredietverleners hebben aangeleverd (wettelijk verplicht) en wat jij met een kredietverlener bent aan gegaan. Als je constant leningen afsluit en aflost dan ben het ene gat met andere gat aan het vullen.
De wet Wft is juist bedacht om dat soort gevallen tijdig te signaleren en geen makkelijk krediet meer te geven.
07-07-2020, 18:41 door Anoniem
Door Anoniem: Kunnen degenen die dit bedrag betaald hebben dat terugvorderen?

Zou netjes zijn als dat vanuit BKR zelf meteen werd gedaan.
Ik ben geen jurist, maar ik denk het wel (er vanuit gaande dat dit vonnis in hoger beroep stand houdt). Deze kosten zijn namelijk onrechtmatig in rekening gebracht. Arnoud zal vast weten hoe het juridisch zit.
08-07-2020, 11:37 door Anoniem
Door karma4:
Door Anoniem: ...Want het hangt helemaal van de situatie van de persoon af of vaker dan 1x per jaar opvragen buitensporig is of niet. Ik kan me voorstellen dat er wel eens een geldige reden kan zijn
om vaker dan 1x per jaar gegevens op te willen vragen.
Ik niet, het BKR registreert enkel wat kredietverleners hebben aangeleverd (wettelijk verplicht) en wat jij met een kredietverlener bent aan gegaan. Als je constant leningen afsluit en aflost dan ben het ene gat met andere gat aan het vullen.
De wet Wft is juist bedacht om dat soort gevallen tijdig te signaleren en geen makkelijk krediet meer te geven.

Tja, die mindset is dan ook de dieper liggende oorzaak van de toeslagenaffaire ... Sorry, mea culpa, ik vergis me, de toeslagen en inkomstenbelastingaffaire.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.