20 november 2024

Financiën

Privacy

Toezicht

Digitale economie

Gebrek aan gerechtvaardigd belang

De AP stelt dat kredietinformatiebureaus geen gerechtvaardigd belang kunnen aantonen voor het grootschalig verzamelen en verwerken van consumentengegevens. Dit is een vereiste onder de Algemene Verordening Gegevensbescherming (AVG). De bedrijven beweren dat hun diensten van maatschappelijk belang zijn, zoals het voorkomen van wanbetalingen en overmatige schulden, maar de AP benadrukt dat dit niet voldoende is om de inbreuken te rechtvaardigen.

Boetes en sancties

Experian ontving eerder een miljoenenboete, die volgens bronnen van het FD kan oplopen tot tientallen miljoenen euro’s. Ook Focum kreeg een boete, die in het jaarverslag als ‘materieel’ wordt omschreven. De AP constateerde bij Focum vijf overtredingen van de privacyregels na een onderzoek van drie jaar. EDR meldde eveneens problemen met de toezichthouder. Ondanks de handhaving blijven de details van de opgelegde sancties grotendeels anoniem door rechterlijke uitspraken die reputatieschade moeten voorkomen.

Polarisatie en maatschappelijke impact

De toezichthouder vreest dat het huidige model, waarin consumenten worden ingedeeld op kredietwaardigheid, leidt tot sociale polarisatie. Mensen met een lage score kunnen moeilijkheden ondervinden bij het verkrijgen van basisbehoeften zoals een huurwoning, verzekering of energiecontract. Deze gevolgen onderstrepen volgens de AP het belang van strenge handhaving.

De Consumentenbond laat in het FD weten de aanpak van de AP te prijzen en benadrukt dat de AVG draait om controle over eigen gegevens. Het handelen van de kredietbureaus druist volgens hen in tegen deze kernwaarde. ‘De essentie van de AVG is dat mensen controle houden over hun eigen gegevens, en deze hele sector handelt in strijd met dat principe’, zegt een woordvoerder van de Consumentenbond in reactie op het FD. ‘Het is heel goed dat de AP ingrijpt. Dat is hard nodig.’

De betrokken bedrijven benadrukken het belang van hun diensten, zowel voor consumenten als voor bedrijven. Zij stellen de verzamelde gegevens te gebruiken om te voldoen aan anti-witwaswetgeving en om betalingsrisico’s te beheersen. Tegelijkertijd vechten Experian en Focum de opgelegde sancties juridisch aan.

Schendingen onder de radar

Volgens het FD zijn veel overtredingen lange tijd onopgemerkt gebleven door een rechterlijke maatregel die de publicatie van boetes en dwangsommen anoniem hield. Hoewel deze anonimiteit bedoeld was om reputatieschade te beperken, draagt het ook bij aan een gebrek aan publieke transparantie.

Volgens het FD plaatst het optreden van de AP het verdienmodel van kredietinformatiebureaus onder druk. Databanken met betaalgedrag, zoals die van EDR, Experian en Focum, zijn essentieel voor hun bedrijfsvoering, maar de juridische strijd en publieke kritiek maken de toekomst van deze praktijken onzeker.

Het volledige artikel lees je in het Financieel Dagblad: ‘Privacywaakhond jaagt op kredietinformatiebureaus’.

Over de auteurs

  • Christian Cordoba Lenis

    Christian Cordoba Lenis is nieuwsredacteur voor PONT | Data & Privacy. Cordoba Lenis is geïntrigeerd door het raakvlak tussen technologie en recht. Cordoba Lenis heeft zowel een juridische als een technische achtergrond en waagt zich nu aan het journalistieke vak.

    PONT | Data & Privacy

Gerelateerd nieuws

Persoonsgegevens of anonieme gegevens?

In een recente uitspraak van het Hof van Justitie van de Europese Unie (EDPS v GAR) is een belangrijke stap gezet in de discussie over pseudonieme, anonieme en persoonsgegevens. Het Hof bevestigt wat velen in het veld al langer betoogden: gepseudonimiseerde gegevens kunnen onder bepaalde omstandigheden wél persoonsgegevens zijn voor de verstrekker, maar géén persoonsgegevens zijn voor de ontvanger. De kwalificatie van gegevens hangt af van de concrete omstandigheden en de positie van de ontvanger. Deze benadering wordt ook wel aangeduid als de contextuele benadering en speelt een belangrijke rol bij de vraag: is de AVG van toepassing?

Data & Privacy

Ontslaat het pseudonimiseren van gegevens mijn onderneming van de verplichtingen op grond van de AVG?

Het blijft een uitdaging: welke gegevens worden aangemerkt als persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG)? Onlangs boog de Rechtbank Midden-Nederland zich over dit vraagstuk, specifiek met betrekking tot de zogenoemde HoNOS+-gegevens. Deze gegevens zeggen iets over de geestelijke en sociale toestand van cliënten. Het oordeel van de rechtbank? Deze gegevens zijn géén persoonsgegevens, waarom niet? Lees hieronder de blog van advocaat bij Elferink & Kortier Advocaten, Tom Boitelle.

Data & Privacy

NIS2: risicoanalyse van eigen organisatie helpt om grip te krijgen op leveranciersmanagement

De Europese NIS2-richtlijn heeft als doel de digitale weerbaarheid van organisaties én hun toeleveranciers te versterken. Dat betekent dat bedrijven niet alleen hun eigen cyberrisico’s moeten begrijpen, maar ook die van hun toeleveranciers. Dit roept bij veel organisaties een belangrijke vraag op: wat betekent dit nu voor ons leveranciersmanagement?

Data & Privacy

Wetsvoorstel: meer bevoegdheden voor burgemeester bij online ordeverstoring

Op 4 juli is een wetsvoorstel in consultatie gebracht dat twee nieuwe bevoegdheden aan de burgemeesters toekent. Hiermee kan de politie onder zijn gezag persoonsgegevens uit publiek toegankelijke bronnen vergaren over de dreiging van een ernstige verstoring van de openbare orde. Het doel van het wetsvoorstel is dat de burgemeester en de politie meer zicht krijgen op ernstige verstoringen van de openbare orde en zij op basis daarvan adequater maatregelen kunnen treffen om deze te voorkomen, beletten of te beëindigen.

Data & Privacy

Meer nieuws