BKR verbeurt boete van EUR 830.000,- voor schending inzagerechten

expertise:

IT & Privacy

nieuwsbrief:

Wilt u meer weten over dit onderwerp, schrijf u in voor onze nieuwsbrief

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

27 juli 2020

Bureau Krediet Registratie (BKR) heeft de AVG ernstig overtreden doordat het inzagerecht van betrokkenen onvoldoende is gefaciliteerd. Dit concludeert de Autoriteit Persoonsgegevens (AP) na een twee jaar durend onderzoek. De overtreding bestaat enerzijds uit het opwerpen van een drempel voor betrokkenen door slechts éénmaal per jaar kosteloos per post een inzageverzoek konden indienen. Anderzijds werd de AVG overtreden doordat kosteloze inzage langs elektronische weg in zijn geheel niet mogelijk was. Dit levert BKR een boete van EUR 830.000,- op. In deze blog lees je meer over het boetebesluit van de AP.

Inzageprocedure bij BKR

Betrokkenen hadden bij BKR twee mogelijkheden om inzage te krijgen, namelijk via een elektronische klantomgeving of via de post. Bij de elektronische inzage moest een vergoeding worden betaald in de vorm van een abonnement. Zodra een abonnement was aangeschaft, kon een jaar lang inzage worden verkregen in de persoonsgegevens. Elektronische inzage was dus nooit gratis.

Per post konden betrokkenen éénmaal per jaar kosteloos een inzageverzoek doen. Bij meerdere verzoeken per jaar zou volgens BKR sprake zijn van buitensporige inzageverzoeken met een repetitief karakter. Daarvoor kan op grond van de AVG een redelijke vergoeding in rekening worden gebracht. Volgens BKR sluit eenmaal per jaar inzage goed aan bij de informatiebehoefte van de consument.

Regels uit de AVG

Sinds de invoering van de AVG mogen in beginsel geen kosten meer in rekening worden gebracht voor inzageverzoeken van betrokkenen, tenzij de verzoeken kennelijk ongegrond of buitensporig zijn, zoals bij inzageverzoeken met een repetitief karakter. De AP oordeelt in het boetebesluit dat het repetitief karakter per geval moet worden beoordeeld. BKR kan volgens de AP dus niet op voorhand oordelen dat bij meer dan één inzageverzoek per jaar dit buitensporig is en kosten in rekening brengen.

BKR voerde aan dat in de praktijk vaak geen kosten in rekening werden gebracht bij meerdere verzoeken per jaar. De AP acht dit echter niet relevant doordat BKR naar buiten kenbaar maakt dat slechts eenmaal per jaar kosteloos het inzageverzoek kan worden gedaan, waardoor er een drempel werd opgeworpen om een inzageverzoek te doen. Dit levert daarom alsnog een overtreding van de AVG op.

Boetehoogte

Voor het niet kosteloos verstrekken van inzage via elektronische weg is de basisboete EUR 310.000,- (volgens de boetebeleidsregels van de AP). Voor het opwerpen van een drempel door kenbaar te maken dat maximaal één kosteloos inzageverzoek per post per jaar kan worden gedaan staat een basisboete van EUR 525.000,-. Beide boetbedragen zijn door de AP verhoogd met respectievelijk EUR 75.000,- en EUR 125.000,- vanwege de ernst van de overtredingen. BKR verwerkt namelijk persoonsgegevens omtrent kredietregistraties. Ondanks dat deze gegevens niet kwalificeren als ‘bijzondere persoonsgegevens’, zijn het wel persoonsgegevens die naar hun aard gevoeliger zijn dan bijvoorbeeld een naam of leeftijd. Daarnaast maakt de duur van de overtreding (circa negen tot elf maanden), het groot aantal getroffen betrokkenen en de verworven inkomsten voor deze inzageverzoeken dat er sprake was van een ernstige privacyschending.

Ten slotte is de totaalboete gematigd vanwege de samenhang tussen beide overtredingen. Beide overtredingen gingen namelijk over transparantie zodat betrokkenen controle kunnen houden over hun persoonsgegevens.

Conclusie

Er kunnen niet zomaar kosten in rekening worden gebracht voor inzageverzoeken. Het uitgangspunt is immers dat betrokkenen dit kosteloos kunnen doen. Mocht je toch kosten in rekening willen brengen voor een inzageverzoek, documenteer dan waarom het in dat specifieke geval gerechtvaardigd is.

Er dient daarnaast voorkomen te worden dat betrokkenen worden ontmoedigd om een inzageverzoek te doen. Een juiste informatieverschaffing is daarbij belangrijk. Dit kan bijvoorbeeld via een privacystatement op de website. Vermeld daarbij duidelijk hoe een inzageverzoek kan worden gedaan.

Overigens zal dit boetebesluit van de AP nog een staartje krijgen. BKR heeft namelijk aangegeven tegen dit besluit in beroep te gaan bij de rechter.

Meer weten over rechten van betrokkenen? Neem gerust vrijblijvend contact op met Floortje Eijdems of één van de andere leden van het Privacy-team.