Gebrek aan duidelijke privacywetgeving voor BKR
De Autoriteit Persoonsgegevens (AP) heeft de minister van Financiën geadviseerd over de verwerking van persoonsgegevens bij Stichting Bureau Kredietregistratie (BKR). Daarin komt bovenal naar voren dat het huidige systeem te weinig onderbouwing uit de wet kent. We bespreken het advies van de AP en de mogelijke gevolgen hier.
Zorgplicht kredietaanbieder
Kredietaanbieders hebben een zorgplicht richting consumenten om te voorkomen dat zij in financiële problemen komen (artikel 4:34 Wft.). Ter voorkoming van deze zogeheten overkreditering moet een kredietaanbieder op grond van de Wet op het financieel toezicht (Wft) informatie over de financiële situatie van een consument inwinnen.
Dezelfde wet verplicht de kredietaanbieder daarom om deel te nemen aan een stelsel van kredietregistratie (artikel 4:32 Wft.). In Nederland is BKR het enige stelsel van kredietregistratie. BKR helpt de kredietaanbieder om te voldoen aan de verplichtingen uit de wet door (persoons)gegevens van bijna 11 miljoen mensen op te slaan. De gegevens die BKR verwerkt zijn vaak gevoelige persoonsgegevens over het inkomen en het uitgavepatroon van een consument, maar signaleert bijvoorbeeld ook het betalingsgedrag of betalingsproblemen.
BKR als stelsel van kredietregistratie
Voor de kredietaanbieder is er een duidelijke grondslag in de wet voor de verwerking van deze gevoelige persoonsgegevens. De AP constateert dat deze ontbreekt voor BKR, BKR kan zelf immers geen beroep doen op deze zorgplicht.
BKR lost dit probleem op door te stellen dat zij een gerechtvaardigd belang hebben bij het verwerken van deze gegevens: namelijk het voorkomen van overkreditering van de consument en het voldoen aan de zorgplicht van de kredietaanbieder stijgt boven het belang van de consument uit (artikel 3 lid 4 van het Algemeen Reglement CKI van 5 februari 2019). Gezien de hoeveelheid betrokkenen in de systemen van BKR en het gebruik van deze ‘restcategorie’ als grondslag ziet de AP een probleem: het gebrek aan wetgeving over de status van BKR.
Duidelijke wetgeving voor BKR
De AP stelt voor om de belangenafweging die BKR (als private partij) nu zelf maakt te verankeren in de wet. Het beheer van het stelsel van kredietregistratie kan als wettelijke taak of verplichting aan een bepaalde beheerder worden opgedragen, waarbij in duidelijke waarborgen voor de betrokkenen wordt voorzien.
De AP stelt dat meer dan één beheerder mogelijk is, mits dat genoeg meerwaarde biedt ten opzichte van de extra verwerkingen tussen deze beheerders om tot een volledig beeld van bepaalde consumenten te komen. Dat beeld moet volledig zijn om de werking van het stelsel te garanderen. Als het aan de AP ligt moet de politiek kiezen tussen een systeem met meerdere concurrerende beheerders of één beheerder met een wettelijke verplichting.
BKR als een bestuursorgaan?
De AP spreekt in die laatste mogelijkheid over bepalingen over financiering, het bestuur en de statuten. Mocht BKR de wettelijke taak van beheerder van het stelsel van kredietregistratie krijgen, dan zou dit kunnen beteken dat BKR een bestuursorgaan wordt en mogelijk zelfs niet meer als private partij kan functioneren. De vraag is natuurlijk of de kredietaanbieders, zoals grote banken, en de politiek deze stap zien zitten. En is dat gewenst? De overheid krijgt dan ineens de financiële gegevens van 11 miljoen betrokkenen.
Dit verhaal wordt ongetwijfeld binnenkort vervolgd. Wij houden de ontwikkelingen voor u in de gaten.
Staat u geregistreerd bij BKR en heeft u daar vragen over? Neemt u dan contact op met een van onze advocaten privacyrecht.
Heeft u vragen over de werking van de Wet op het financieel toezicht? Neemt u dan contact op met een van onze gespecialiseerde Wft-advocaten.