Het BKR en Privacyregelgeving
X/ABN AMRO Bank en Achmea Bank
In een procedure over het verwijderen van een BKR-registratie tegen de ABN AMRO Bank en Achmea Bank heeft het gerechtshof ’s-Hertogenbosch een oordeel geveld over de rechtmatigheid van de verwerking van persoonsgegevens door het BKR. Iemand die bij het BKR geregistreerd was, verzette zich tegen verwerking van zijn persoonsgegevens door het BKR.
Het hof heeft geoordeeld dat het BKR persoonsgegevens mag verwerken op de verwerkingsgrond (artikel 6 lid 1 sub c AVG) c: de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. En dat is gek, omdat de Autoriteit Persoonsgegevens heeft aangegeven dat het BKR geen eigen wettelijke grondslag heeft om persoonsgegevens te verwerken.
Waarom is het belangrijk op welke grondslag het BKR persoonsgegevens verwerkt?
De BKR zelf stelt persoonsgegevens te verwerken op basis van het hebben van een gerechtvaardigd belang (art. 6 lid 1 sub f AVG). Waarom doet dat ertoe? Als het BKR de persoonsgegevens verwerkt op de ‘f’-grond heeft een betrokkene andere rechten op grond van de AVG, zoals, onder omstandigheden het recht op vergetelheid (art. 17 AVG). Onder de (artikel 6 lid 1 AVG) c-grond is dat anders.
Het oordeel is opvallend. De BKR heeft namelijk geen wettelijke verplichting de persoonsgegevens te verwerken. De banken overigens wel (art. 4:32-34 Wft). De Autoriteit Persoonsgegevens heeft in het verleden de BKR al eens beboet wegens het in rekening brengen van kosten voor het inzien van persoonsgegevens. En de Autoriteit Persoonsgegevens heeft recentelijk, op 14 november 2019, zich uitgelaten over de grondslag van verwerkingen door het BKR. Het BKR zelf was niet betrokken in deze procedure, maar zal deze op de voet hebben gevolgd.
Standpunt Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens maakt onderscheid tussen vrijwillige en onvrijwillige inmenging. Vrijwillige inmenging kan gelden als er deel wordt genomen op basis van toestemming (de a-grond) of ‘noodzakelijk voor de uitvoering van een overeenkomst’ (de b-grond). Onvrijwillige inmenging geldt indien er een wettelijke verplichting geldt (de c-grond). Banken zullen persoonsgegevens met het BKR hoogstwaarschijnlijk niet delen met het BKR op grond van toestemming van de betrokkene. Want deze zal de toestemming, zodra het begint te spelen, onmiddellijk intrekken. Bij een beroep op de c-grond (een geldende wettelijke verplichting) moet er wel sprake zijn van een basis of uitwerking in nationale wetgeving. En voor de BKR schiet de wetgeving tekort. Regels over de vormgeving, bewaartermijnen en waarborgen van het register waarin de kredieten in het kader van de uitvoering van de bancaire zorgplicht (die wettelijke verplichting uit de Wft) worden geregistreerd ontbreken. Hoe lang mag de BKR gegevens bewaren? Is er een afweging gemaakt in dit kader door de wetgever tussen de belangen van de betrokken partijen? Wat is het doel van registratie? De verwerking is niet gebaseerd op een wettelijke verplichting dus de BKR kan geen (afgeleid) beroep doen op de verwerkingsgronden van de banken. Dus verwerkt de BKR de gegevens slechts op grond van de f-grond, aldus de Autoriteit Persoonsgegevens. En daarbij horen rechten van de betrokkene. Voor het beeld, bij het BKR zijn ongeveer 11 miljoen Nederlanders geregistreerd. Wel adviseert de Autoriteit Persoonsgegevens nog hierover regelgeving op te laten stellen.
Standpunt Gerechtshof ‘s-Hertogenbosch
Het hof komt tot de conclusie dat de banken ter uitvoering van hun wettelijke plicht tot deelname aan een kredietregistratiesysteem (en alles wat daar noodzakelijk bij hoort) persoonsgegevens mogen laten verwerken door/registreren bij BKR op grond van artikel 6 lid 1 sub c AVG. Het hof geeft geen opmerkingen over de aard van de verwerking of het doel daarvan om te bepalen of het BKR als verantwoordelijke of verwerker kwalificeert. Verwerking op basis van de f-grond zou onwerkbaar zijn in het kader van een adequate en wettelijk verplichte kredietregistratie. Daarbij zouden de wettelijke rechten uit de AVG niet nodig zijn om de belangen van de betrokkene te beschermen. Het oordeel is dat kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke – in dit geval de banken – rust.
Kortom, volgens het hof heeft het BKR een soort afgeleid recht om op te treden als verwerkingsverantwoordelijke, zonder de rechten uit de AVG, maar met haar eigen regels en handhavingsmogelijkheden.
Toekomst
Het is een opvallende uitspraak in het privacyrecht. Het is gek dat de BKR de schulden van ongeveer 11 miljoen Nederlanders registreert zonder wettelijke grondslag, maar met mogelijkheden van verzet. Het was vroeger al vreemd en het is nu nog vreemder. Het is duidelijk dat de regering hier aan zet is. De Wet voor het financieel toezicht schrijft immers voor dat banken verplicht zijn deel te nemen aan een stelsel van kredietregistratie.
De civiele rechter geeft een oordeel dat haaks staat op het standpunt van de Autoriteit Persoonsgegevens. Banken delen persoonsgegevens op basis van een wettelijke verplichting met een door henzelf gekozen private partij, die niet geldt als verwerker, waar geen verwerkersovereenkomst mee is gesloten, die op haar eigen manier de rechten van betrokkene behandelt en die vervolgens de persoonsgegevens deelt met partijen die zelf daartoe wél een wettelijke grondslag hebben.
Het lijkt mij dat ofwel een wettelijke grondslag moet worden toegevoegd, ofwel de delende partijen verplichtingen moeten opleggen aan de BKR. Een ander alternatief zou zijn het aansluiten bij de mogelijkheid van het gebruik van een ‘zwarte lijst’, al ligt dat niet het meest voor de hand. Zou het BKR dan na 55 jaar na haar oprichting toch eindelijk een wettelijke grondslag krijgen? Ik denk het wel.
En de eiser?
Voor het overige zag het Gerechtshof geen aanleiding de BKR-registratie te verwijderen (Santander-toets). Het is inmiddels nog even uitzitten voor de meneer in kwestie. Zijn registratie duurt tot maart 2021.
