BKR krijgt boete van 830.000 euro wegens geld vragen voor inzage dossier

| AE 12055 | Ondernemingsvrijheid | 15 reacties

Het Nederlandse Bureau Krediet Registratie krijgt een boete van 830.000 euro omdat het geld vroeg aan mensen om versneld hun eigen dossiers in te zien. Dat meldde Tweakers maandag. Voor gratis inzage moest je vier weken wachten en een kopie identiteitsbewijs opsturen. Wie betaalde, kreeg direct toegang en wel elektronisch. Dat laatste maakt natuurlijk het verhaal rond gratis vanaf het begin een gotspe: hoezo kun je niet gewoon gratis je elektronische dossiers ontsluiten? Helemaal omdat het mensen betreft die naar hun aard financiële problemen hebben?

De boete was dus voor het niet gratis elektronisch antwoorden op elektronisch gedane verzoeken. Het moest per post, of je moest een betaald abonnement nemen. BKR maakt daarvan in haar kletspersbericht dat “uit de AVG niet duidelijk blijkt of het überhaupt verplicht is om digitaal inzage te faciliteren”. Ik citeer de AVG, artikel 12: “Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.” Oh en overweging 59: “De verwerkingsverantwoordelijke dient ook middelen te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. ” Ik kan daar weinig onduidelijkheid in vinden.

Oh ja, het BKR zegt dan ook “De wet stelt duidelijk dat inzage verschaffen binnen een maand verplicht is”. Dat staat er niet, de AVG zegt “onverwijld en in ieder geval binnen een maand”. Dat is dus min(onverwijld, een maand) en niet onverwijld OR maand.

Daarnaast bleek dat het BKR dus actief communiceert dat je eens per jaar, en daarna werd dat twee keer, je gegevens mocht inzien. ‘Op onze website stond dat een consument een keer per jaar gratis inzage kon aanvragen, omdat wij zijn uitgegaan van de frequentie waarmee consumenten normaliter inzage doen. In de praktijk zijn we daar natuurlijk ruimhartig mee omgegaan. Dus is er naar ons idee geen sprake geweest van een overtreding van de AVG.’ Fijn dat je ruimhartig tegen je eigen regels in gaat, maar het is natuurlijk wél een overtreding van de AVG als je begint met dat het maar twee keer mag. Dat is niet wat in de wet staat, daar staat “met regelmatige tussenpozen”. Niet hetzelfde.

Dit is het digitale equivalent van dat bordje “de directie stelt zich niet aansprakelijk” of de website-disclaimer. Het slaat juridisch helemaal nergens op, maar toch schrik je een hoop mensen af. En dan zeggen “ja maar je kunt toch een jurist vragen” of “als mensen piepen dan zijn we ruimhartig”. Waar het om gaat is dat mensen niet hóeven te piepen. Zeker niet de BKR-geregistreerden: die zitten meestal niet in de financiële problemen omdat ze zeer assertief zijn en een jurist kunnen raadplegen bij juridische twijfels. Daarom vind ik het zo ergerlijk.

En och arme: ‘Het liefst zou Stichting BKR consumenten laten inloggen met DigiD en hun unieke BSN om gegevens te registreren en op te vragen, maar dat mag wettelijk niet omdat BKR geen overheidsinstantie is’.

Als laatste: ja, sinds 2019 is men gestopt met deze praktijk. En dat is leuk en aardig maar dus een jaar te laat. Dáár gaat het uiteindelijk om.

Arnoud

Deel dit artikel

  1. ahum, mag ik even? HA HA HA, IK ZEI HET TOCH! Dank u wel.

    Afin Arnoud, dit kon ik niet laten na jouw eigen post hierover en mijn mailuitwisseling met ze waarin ik dit zelfs nog navroeg. Bij intrede van de AVG waren zij nota bene het eerste bedrijf waar ik aan dacht vanwege hun in mijn ogen haast criminele verdienmodel, wat ik in het licht van de AVG destijds ook nog een oneerlijke handelspraktijk achtte. Kunnen we nu eindelijk de AP eens gaan omtoveren tot een superheld? Iemand inspiratie daarvoor?

  2. Toch wel bijzonder: Blijkbaar is deze boete al in 2019 opgelegd, althans, volgens dit document. Het persbericht van BKR is gedateerd op 6 Juli 2020, dat is bijna een jaar later.

    Saillant detail, dit is niet de eerste keer dat het BKR is aangesproken op hun ‘verdienmodel’. Op 2 juni 2008 is de Stichting Bureau Kredietregistratie all door het toenmalige CPB op hun vingers getikt voor een vergelijkbaar feit. Destijds was de verklaring van de BKR dat de grote hoeveelheid aanvragen die zij jaarlijks kregen een grote kostenpost was, waarvoor een speciale afdeling Inlichtingen en Inzage in het leven is geroepen.

    “Het BKR moet tal van handelingen verrichten voordat de gegevens kunnen worden afgedrukt. Deze handelingen zijn voor een buitenstaander niet zichtbaar. Het BKR heeft niet de wettelijke mogelijkheid gebruik te maken van een uniek identificerend (persoons)gegeven. Het BKR beschikt hierdoor niet over een unieke zoeksleutel. In verband hiermee heeft het BKR een speciale zoek applicatie ontwikkeld voor de afhandeling van inzageverzoeken. Deze applicatie werkt als volgt. Nadat de gegevens van de aanvrager zijn ingevoerd, stelt de applicatie een lijst op van alle records in het systeem die betrekking kunnen hebben op de aanvrager. Hierna beoordeelt het BKR welke records in de database daadwerkelijk betrekking hebben op de aanvrager.”

    Zeer bijzonder als je bedenkt dat hun hoofdtaak bestaat uit het registreren en opvraagbaar maken van krediet informatie voor specifieke personen.

    Over stichting BKR:

    Stichting BKR brengt de leningen van alle Nederlanders in kaart. Wanneer jij als consument op het punt staat een belangrijke financiële keuze te maken, zijn wij er om kredietverstrekkers inzicht te geven in jouw lopende leningen en betaalgeschiedenis. Dit doen wij voor alle Nederlanders. Jij wordt snel geholpen en iedere kredietverstrekker ontvangt precies dezelfde informatie. Zodra jij ergens een lening aanvraagt, bepaalt de kredietverstrekker mede op basis van onze gegevens of het verantwoord is een (extra) lening af te sluiten. Zo draagt Stichting BKR zorg voor de financiële gezondheid van miljoenen Nederlanders.

    Toegegeven, de informatie in de laatste blockquote hierboven is actueel (Juli 2020) en de berisping van het CBP dateert uit 2008.

    • Ik heb in het verleden bij een bank gewerkt (jaren 80). Toen werd voor een BKR toetsing een telex naar het BKR gestuurd met gegevens van degene waar het over ging. Deze werd redelijk snel beantwoord. Dus ze moeten altijd al mechanismes gehad hebben, waarmee dit gedaan werd. Een toetsing of de aanvrager recht heeft op de informatie is natuurlijk wel terecht, anders overtreed je het AVG zonder meer. Dus dat ze een eenduidige manier van aanvragen willen, is goed. Dat doen ze op dit moment met Idin, wat gekoppeld is aan je e-banking. Ik vraag me alleen af, hoe ze dat doen bij mensen die onder bewind staan en dus geen e-banking hebben. Die zouden de informatie bij het BKR ook moeten kunnen krijgen volgens de AVG.

    • Het besluit werd pas een jaar na dato gepubliceerd, omdat het BKR tegen openbaarmaking in het geweer kwam. De voorzieningenrechter is het echter met de AP eens dat de AVG is overtreden en dat de boete terecht is opgelegd. Door de openbaarmaking van de boete wordt het bedrijf niet onevenredig benadeeld. BKR heeft zijn werkwijze sindsdien aangepast.

      Zoals met zo’n beetje alle bedrijven, ze willen alleen positief in het nieuws komen. Het resultaat is uiteindelijk bijna altijd negatief.

      bron: recht.nl

  3. Peter van den Bosch, bestuursdirecteur, reageerde in een filmpje nog al verbeten. In dat filmpje gaf hij aan dat hij ook naar de AP had gekeken en dat je bij hen niet digitaal een verzoek zou kunnen indienen. En de hoogte van de boete is onterecht omdat ze geen datalek hebben gehad. BKR is geen welwillend organisatie dat een foutje heeft gemaakt, maar een organisatie dat hier een handelsmodel in heeft.

  4. De Zweedse pendant van BKR heet Upplysningscentralen (UC). Wanneer een kredietverstrekker bij UC gegevens over een krediet aanmeldt of verandert stuurt UC de lener automatisch en gratis een kopie van de nieuwe gegevens. Vraagt een onderneming kredietinformatie over jou bij UC, dan ontvang je altijd gratis een kopie van de gegevens die UC over jou verstrekt. Op de kopie staat aangegevn aan wie. Dit gaat per post en wordt dezelfde dag (dat mag “onverwijld” heten) nog verzonden. Zo kan het dus ook.

  5. Heerlijk! Dit maakte helemaal mijn week. En riep ik al sinds het begin van de AVG. Lekker dat die boete ook serieus is.

    Volgende: de verfoeide airlines die nog torenhoge kosten in rekening brengen om tikfouten in je naam te verbeteren. Daar geldt m.i. het recht op correctie/rectificatie uit de AVG.

  6. Helemaal omdat het mensen betreft die naar hun aard financiële problemen hebben?

    Dat ‘naar hun aard’ heeft nog wat uitleg nodig. Sinds 1971 heb ik al een hypotheek en ben daarmee een registratie bij het BKR rijker. Toch heb ik nog nooit het idee voelen opkomen om bij het BKR inzage te vragen over mijn dossier, hoogstwaarschijnlijk omdat ik nauwelijks leningen wilde alsluiten en dus ook niet navraag wilde doen waarom een aanvraag zou kunnen zijn afgewezen. Dan krijg ik het idee dat er meer nodig is dan een BKR registratie om een probleem te hebben, zoals bijvoorbeeld financiële problemen. Daaruit meen ik te kunnen opmaken dat er meerdere groepen mensen zijn die hun BKR dossier willen opvragen.

  7. BKR is vanwege dit boete besluit al naar de voorzieningenrechter gestapt. Het BKR heeft alles geroepen wat denkbaar is. Wat de wenkbrauwen deed rijzen was het besluit niet gepubliceerd zou mogen worden omdat er dan een kans is dat mensen het betaalde geld zouden terugvragen en dit in extra administratieve lasten zou resulteren. De rechter heeft een inhoudelijk voorlopig oordeel gegeven over o.a. de vraag of het BKR de AVG heeft overtreden op het punt van de kosten bij een digitaal verzoek en het actieve beleid dat een betrokkene slechts één maal per jaar gebruik kan maken van de kosteloze variant.

    Rb Gelderland, 29 juni 2020, ECLI:NL:RBGEL:2020:3159

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS