BKR krijgt torenhoge boete van Autoriteit Persoonsgegevens

BKR krijgt torenhoge boete van Autoriteit Persoonsgegevens

Laatst bijgewerkt: 7 juli 2020
Leestijd: 4 minuten, 30 seconden

De Autoriteit Persoonsgegevens (AP) heeft een boete van 830.000 euro opgelegd aan Stichting Bureau Kredietregistratie (BKR). De Stichting vroeg in het verleden geld aan mensen die hun persoonsgegevens wilden bekijken. Ook mochten burgers slechts één keer per jaar kosteloos hun gegevens inzien. In de ogen van de toezichthouder zijn dat te hoge drempels, en dat is nadrukkelijk verboden in de privacywetgeving.

De AP heeft de boete via een persbericht bekend gemaakt.

Privacyboetes

Bijna twintig jaar geleden introduceerde de politiek de Wet bescherming persoonsgegevens (Wbp). Deze is inmiddels niet meer van kracht en vervangen door de Algemene Verordening Gegevensbescherming (AVG). Deze Europese privacywet geldt sinds mei 2018 voor alle EU-lidstaten. De verordening beschrijft onder meer wat persoonsgegevens zijn en op welke grondslag bedrijven deze data mogen verzamelen. De privacywet stelt nadrukkelijk dat gebruikers toestemming moeten geven om persoonsgegevens te verzamelen en dat ze recht hebben op inzage, wijziging of verwijdering. Verder moeten organisaties aan een strenge (digitale) beveiliging voldoen alvorens ze persoonsgegevens mogen verwerken en moeten ze aannemelijk maken dat deze inbreuk op onze privacy gerechtvaardigd is.

Iedere lidstaat in de EU heeft een orgaan dat erop toeziet dat bedrijven zich aan de regels van de AVG houdt. In ons land is dat de Autoriteit Persoonsgegevens, of kortweg AP. Sinds de inwerkingtreding van de AVG heeft toezichthouder een handjevol boetes opgelegd. Het HagaZiekenhuis in Den Haag kreeg in juli 2019 een boete van 460.000 euro, omdat medewerkers onterecht inzage hadden in medische dossiers. De Koninklijke Nederlandse Lawn Tennisbond (KNLTB) moet een boete van 525.000 euro betalen, omdat het zonder toestemming de persoonsgegevens van meer dan 300.000 leden had verkocht aan sponsoren. Begin mei werd een bedrijf door de AP op de vingers getikt, omdat het vingerafdrukken van medewerkers opsloeg. Daarvoor kreeg het bedrijf een boete van 725.000 euro. De AP heeft nog een vierde boete opgelegd, maar deze is tot op heden niet openbaar gemaakt. Alle boetes tezamen zijn goed voor 2,5 miljoen euro.

Schending Europese privacyregels

Aan dit rijtje kunnen we een vijfde boete toevoegen. De privacywaakhond maakte maandag bekend dat de Stichting Bureau Kredietregistratie (BKR) maar liefst 830.000 euro op tafel moet leggen wegens het schenden van de Europese privacyregels. Dat is de hoogste boete die de AP tot op heden heeft uitgeschreven.

Wat is er aan de hand? De AVG verplicht organisaties die persoonsgegevens verwerken dat burgers deze gegevens mogen inzien. Zoals de privacywet voorschrijft bood Stichting BKR deze mogelijkheid sinds de invoering van de AVG in mei 2018. Burgers die digitaal hun gegevens wilden inzien moesten hiervoor een vergoeding betalen. Het was mogelijk om dit gratis te doen via de post. Daarvoor moesten mensen een kopie van een identiteitsbewijs overhandigen en flink wat geduld hebben: gemiddeld duurde het een maand voordat aanvragers hun gegevens ontvingen. Ook konden mensen maar slechts één maal per jaar kosteloos hun gegevens opvragen.

In april 2019 paste Stichting BKR haar werkwijze aan. Sindsdien kunnen burgers kosteloos hun gegevens inzien, zowel digitaal als via de post. Ook geldt dat het kosteloos opvragen van gegevens sindsdien niet slechts maar één keer per jaar mag. Maar dat is too little, too late. Volgens de AP heeft de Stichting de privacyregels te lang geschonden. Daarom krijgt ze nu een boete van meer dan acht ton.

Reactie Stichting BKR

Stichting BKR is het niet eens met deze boete. Bestuursvoorzitter Peter van den Bosch stelt dat zijn organisatie een boete krijgt “zonder de privacy te hebben geschonden”. “‘Privacy en betrouwbaarheid van gegevens staan voor Stichting BKR bovenaan. De privacy van gegevens van consumenten is altijd gewaarborgd geweest. De boete gaat daar niet over. Wij zijn in de veronderstelling dat de wetgeving altijd door ons werd nageleefd”, aldus Van den Bosch.

Dat burgers aanvankelijk alleen via de post hun gegevens konden inzien, was een bewuste keuze zo legt de bestuursvoorzitter uit. “Juist om te voorkomen dat gegevens in verkeerde handen zouden vallen. Schriftelijk was er een extra controle op de identiteit van de afzender mogelijk (kopie paspoort). Digitale inzage via email is voor BKR geen optie, omdat BKR niet kan verifiëren of een opgegeven mailadres het mailadres van de geregistreerde persoon is. BKR registreert namelijk geen mailadressen en telefoonnummers, maar alleen postadressen. Dankzij de gekozen procedure per post heeft BKR de privacy van consumenten te allen tijde kunnen waarborgen. Wij worden door de privacyautoriteit aangesproken op beleid dat juist was bedoeld om de privacy te beschermen.”

De vermelding dat mensen slechts één keer per jaar gratis hun gegevens konden opvragen, was volgens Van den Bosch een praktische overweging dan een keiharde bovengrens. In praktijk ging Stichting BKR daar veel soepeler mee om. “Op onze website stond dat een consument een keer per jaar gratis inzage kon aanvragen, omdat wij zijn uitgegaan van de frequentie waarmee consumenten normaliter inzage doen. In de praktijk zijn we daar natuurlijk ruimhartig mee omgegaan. Dus is er naar ons idee geen sprake geweest van een overtreding van de AVG”, aldus de bestuursvoorzitter.

Toen duidelijk werd dat de AP de wet anders interpreteerde dan Stichting BKR, heeft de Stichting zich naar eigen zeggen ‘constructief’ opgesteld. In april 2019 paste de Stichting haar website aan zodat men gratis en onbeperkt hun dossier kunnen inzien. Tot slot benadrukt Stichting BKR dat ze het liefst mensen zou laten inloggen met DigiD en burgerservicenummer (BSN), maar dat mag wettelijk niet: de Stichting is immers geen overheidsinstantie.

Stichting BKR legt het boetebesluit van de AP voor aan de rechter met de eis om hier een streep door te zetten.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen