Bestuursvoorzitter Stichting BKR, Peter van den Bosch: ‘We krijgen een boete zonder de privacy te hebben geschonden.’
De Autoriteit Persoonsgegevens (AP) heeft een boete opgelegd aan Stichting BKR, omdat consumenten hun gegevens in het verleden alleen gratis per post konden opvragen. Toen het standpunt van de AP duidelijk werd, heeft BKR in april 2019 de procedures direct aangepast en iedereen ook digitaal gratis toegang gegeven tot zijn gegevens. De boete verbaast BKR omdat zij altijd binnen de toen bekende kaders van de Algemene Verordening Gegevensbescherming (AVG) heeft gehandeld. Er was altijd een mogelijkheid om gratis inzage te krijgen.
Peter van den Bosch, bestuursvoorzitter van Stichting BKR: ‘Privacy en betrouwbaarheid van gegevens staan voor Stichting BKR bovenaan. De privacy van gegevens van consumenten is altijd gewaarborgd geweest. De boete gaat daar niet over. Wij zijn in de veronderstelling dat de wetgeving altijd door ons werd nageleefd. Consumenten hebben vanaf de invoering van de AVG altijd binnen de wettelijke termijn kosteloos inzage gekregen in hun eigen gegevens. Initieel werd alleen schriftelijk inzage gegeven, om zeker te zijn dat persoonsgegevens bij de juiste persoon terecht kwamen. Zodra het standpunt van de AP duidelijk werd, heeft Stichting BKR consumenten ook digitaal gratis toegang verleend. Stichting BKR legt het boetebesluit nu voor aan de rechter om hier duidelijkheid over te vragen.
Alleen gratis inzage verplicht
De boete vloeit voort uit de invoering van de AVG op 25 mei 2018. De AP meent dat Stichting BKR de AVG heeft overtreden, omdat het kredietregistratiebureau alleen de schriftelijke afhandeling van verzoeken tot inzage van consumenten gratis aanbood tot 29 april 2019. De AP is van mening dat Stichting BKR gegevens ook digitaal kosteloos had moeten aanbieden. Dit verrast ons temeer, omdat uit de AVG niet duidelijk blijkt of het überhaupt verplicht is om digitaal inzage te faciliteren, de AP zelf ook geen digitale inzage faciliteert en de AP op haar website consumenten adviseert om bij voorkeur vooral schriftelijk inzage bij instellingen te doen. De wet stelt duidelijk dat inzage verschaffen binnen een maand verplicht is. En daar heeft Stichting BKR altijd aan voldaan.
Privacy van consumenten als vertrekpunt
Peter van den Bosch: ‘Vanuit privacyoverwegingen gaven wij er de voorkeur aan om de inzage initieel schriftelijk per post af te handelen. Juist om te voorkomen dat gegevens in verkeerde handen zouden vallen. Schriftelijk was er een extra controle op de identiteit van de afzender mogelijk (kopie paspoort). Digitale inzage via email is voor BKR geen optie, omdat BKR niet kan verifiëren of een opgegeven mailadres het mailadres van de geregistreerde persoon is. BKR registreert namelijk geen mailadressen en telefoonnummers, maar alleen postadressen. Dankzij de gekozen procedure per post heeft BKR de privacy van consumenten te allen tijde kunnen waarborgen. Wij worden door de privacyautoriteit aangesproken op beleid dat juist was bedoeld om de privacy te beschermen.’
Inzage met regelmatige tussenpozen
Het boetebesluit van de AP heeft daarnaast betrekking op de communicatie door Stichting BKR over het aantal gratis inzageverzoeken dat een consument kon indienen. Volgens de toezichthouder had Stichting BKR meerdere keren per jaar gratis inzage moeten geven. Van den Bosch: ‘Op onze website stond dat een consument een keer per jaar gratis inzage kon aanvragen, omdat wij zijn uitgegaan van de frequentie waarmee consumenten normaliter inzage doen. In de praktijk zijn we daar natuurlijk ruimhartig mee omgegaan. Dus is er naar ons idee geen sprake geweest van een overtreding van de AVG.’
Constructieve oplossing
Toen in het voorjaar van 2019 duidelijk werd hoe de AP de wet interpreteert, heeft BKR zich constructief opgesteld. Op 29 april 2019 heeft Stichting BKR haar website aangepast en gratis inzage digitaal mogelijk gemaakt met identificatie via de banken (iDIN). ‘Het liefst zou Stichting BKR consumenten laten inloggen met DigiD en hun unieke BSN om gegevens te registreren en op te vragen, maar dat mag wettelijk niet omdat BKR geen overheidsinstantie is’, sluit Peter van den Bosch af.
Bron: BKR