| Ingediend | 20 januari 2022 |
|---|---|
| Beantwoord | 31 mei 2022 (na 131 dagen) |
| Indieners | Michiel van Nispen , Renske Leijten (SP) |
| Beantwoord door | Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
| Onderwerpen | financiën organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2022Z00848.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-2932.html |
Laat ik beginnen door te zeggen dat ik de situatie waarin de betreffende persoon uit het krantenartikel terecht is gekomen, zeer betreur. Dit laat zien dat automatische kredietchecks impact kunnen hebben op burgers. Uit het krantenartikel maak ik op dat er een klacht is ingediend bij de Autoriteit Persoonsgegevens (AP), het is aan de AP om te bepalen of zij een onderzoek naar deze praktijk instelt.
Met een kredietcheck kunnen bedrijven inzicht verkrijgen in hoeverre potentiële nieuwe klanten (bedrijven of consumenten) aan hun betalingsverplichtingen kunnen voldoen. Dat is niet alleen van belang voor de bedrijven die de kredietcheck afnemen: burgers kunnen er ook mee worden beschermd tegen financiële problemen. In sommige gevallen schrijft de wet kredietchecks ook voor. Bij kredietverstrekking zijn kredietaanbieders wettelijk verplicht om een stelsel van kredietregistratie te raadplegen over reeds aan de consument verleende kredieten om zo overkreditering tegen te gaan.1
Kredietchecks vinden steeds vaker op geautomatiseerde wijze plaats omdat dit efficiënter is dan handmatige controles. Denk bijvoorbeeld aan kredietbeoordelingen bij het afsluiten van een energiecontract, telefoonabonnement of in het voorbeeld dat in het bewuste krantenartikel2 wordt genoemd, een Dal Vrij-abonnement. De impact van geautomatiseerde kredietchecks op mensen kan zoals gezegd groot zijn. Hierbij is het natuurlijk van belang dat de met de kredietcheck gemoeide verwerking van persoonsgegevens rechtmatig plaatsvindt. Ingevolge de Algemene Verordening Gegevensbescherming (AVG) betekent dit onder meer dat gegevens op een rechtmatige, behoorlijke en transparante wijze worden verwerkt3, dat er niet meer gegevens worden verwerkt dan noodzakelijk om het doel van de verwerking te bereiken4 en dat de verwerkte gegevens «juist» zijn.5 Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk, moet de verwerkingsverantwoordelijke ook termijnen vaststellen voor het wissen van gegevens of voor een periodieke toetsing ervan.6 Verder dient de verwerking op één van de zes rechtsgronden uit artikel 6 AVG te worden gebaseerd. Dit laatste impliceert dat de verwerking ook gebaseerd kan zijn op de toestemming van betrokkenen, of op het gerechtvaardigd belang7, en niet per definitie op een in de wet vastgelegde grondslag zoals bedoeld in artikel 6 eerste lid onder de AVG. Partijen die kredietchecks uitvoeren baseren de daarmee gemoeide verwerking van persoonsgegevens doorgaans op het in artikel 6 eerste lid onder f AVG vastgelegde «gerechtvaardigd belang».
Het is echter niet in algemene zin vast te stellen op welke grondslag(en) de verwerkingen in het kader van het aanbieden van kredietchecks zijn gebaseerd, maar ik wil wel benadrukken dat het ongelimiteerd opslaan van gegevens van burgers teneinde hen te kunnen controleren zich slecht verhoudt tot voornoemde principes, als mede specifiek tot het principe van «opslagbeperking» welke voorschrijft dat persoonsgegevens niet langer mogen worden bewaard dan nodig om de doeleinden van een verwerking te bereiken.8
Ja. Het door de leden van uw Kamer aangehaalde bericht onderstreept dit nog maar eens.
Alvorens over te gaan tot de verzochte juridische informatie hecht ik er waarde aan te benadrukken dat, ook wanneer wetgeving (zoals de AVG) menselijke interventie of tussenkomst niet expliciet verplicht stelt, het alsnog verstandig kan zijn voor een organisatie om een vorm van menselijke tussenkomst of controle in te richten om te voorkomen dat er fouten worden gemaakt (en de AVG alsnog wordt overtreden). Dat is niet alleen in het belang van de betrokken klant of burger, maar ook in het belang van de organisatie zelf: als je geen goed zicht hebt op hoe je (geautomatiseerde) systemen werken en daarbij procedures inricht om fouten te corrigeren is het wachten tot er iets misgaat en je schade veroorzaakt met alle gevolgen van dien.
Wat betreft de verplichte menselijke interventie in de AVG is het goed te benadrukken dat er niet in alle gevallen expliciet een recht op menselijke interventie of tussenkomst uit de AVG voortvloeit. Hierover kan het volgende verder worden opgemerkt: alleen uitsluitend op geautomatiseerde verwerkingen, waaronder profilering, gebaseerde besluiten waaraan voor een burger rechtsgevolgen zijn verbonden of die de burger anderszins in aanmerkelijke mate treffen, zijn verboden onder artikel 22 van de AVG. Een niet volledig geautomatiseerd besluit – bijvoorbeeld omdat er betekenisvolle menselijke tussenkomst in het proces is ingebouwd – valt dus niet onder dit verbod. De WP-29 werkgroep – de voorloper van de European Data Protection Board – geeft in haar normuitleg bijzonder helder aan dat deze tussenkomst geen formaliteit is:
Dit laat onverlet dat het tweede lid van artikel 22 ook een aantal uitzonderingsgronden formuleert die geautomatiseerde besluiten – dus zonder menselijke interventie – wél mogelijk maken. Het derde lid van artikel 22 AVG bepaalt vervolgens dat er in geval gebruik gemaakt wordt van uitzonderingsgronden berustend op «toestemming» respectievelijk een «overeenkomst» van of met betrokkene er een recht op menselijke tussenkomst bestaat. Uit de geschetste casus is niet op te maken dat de NS zich beroept op één van deze uitzonderingsgronden.
Als laatste verdient opmerking dat een besluit op basis van incorrecte persoonsgegevens per definitie niet rechtmatig kan zijn omdat dit zich niet verhoudt tot het principe van «juistheid van gegevens» uit artikel 5 eerste lid onder de AVG. De WP-29 werkgroep heeft in dit kader benadrukt dat de verwerkingsverantwoordelijke erop toe moet zien dat gegevens in alle stadia van een verwerkingsproces juist zijn. Dit omvat expliciet zowel het opstellen van een profiel als het toepassen daarvan, juist omdat foute gegevens zullen leiden tot onjuiste en vaak onrechtmatige besluiten.11
Het toezicht op de verwerking van persoonsgegevens, en daarmee ook de eventuele menselijke interventie die al dan niet verplicht plaatsvindt, is belegd bij de Autoriteit Persoonsgegevens (AP). De AP heeft in haar «Focus AP 2020–2023» aangeven dat datahandel één van haar drie focusgebieden is; profilering is één van de subonderdelen van dit focusgebied.12
Zie antwoord vraag 2.
Voor het herstellen dan wel verwijderen van foutieve gegevens is dit de «verwerkingsverantwoordelijke», oftewel de partij die het doel en de middelen van een verwerking vaststelt.13 Doorgaans – zonder de specifieke aspecten van de casus uit het bericht te kennen en derhalve volledig te kunnen beoordelen – is het in casuïstiek als deze het geval dat er meerdere zelfstandige verwerkingsverantwoordelijken zijn: twee partijen verwerken gegevens voor hun eigen respectievelijke doelen. Er is dan een verwerkingsverantwoordelijke partij die gegevens verzamelt en op basis daarvan profileert en een «score» toekent (de aanbieder van de check), en een partij die dergelijke scores (een persoonsgegeven) afneemt en op basis daarvan besluiten neemt en die aan betrokkenen terugkoppelt (de aanbieder van het product). Anderzijds kan er ook sprake zijn van een situatie waarin twee partijen gezamenlijk het doel en de middelen van een verwerking vaststellen, zij zijn dan «gezamenlijk verwerkingsverantwoordelijk».14 In dit laatste geval moeten de partijen afspraken maken over de uitvoering van de verschillende rechten en plichten, als mede een contactpunt voor betrokkenen vastleggen.
Iedere (gezamenlijke of individuele) verwerkingsverantwoordelijke moet aan de op hem rustende verplichtingen voldoen, dit omvat zoals uitgebreider toegelicht ook dat de verwerkte gegevens «juist» en dus niet foutief mogen zijn.15 Daarbij komt dat – teneinde een behoorlijk en rechtmatige verwerking te borgen – partijen die profilering toepassen ook worden geacht de juiste wiskundige en statistische procedures te hanteren om tot resultaten te komen, als ook technische en organisatorische maatregelen nemen om het risico op fouten te minimaliseren, en daarmee de risico’s voor de belangen en rechten van betrokkenen (zoals bijv. discriminerende verwerkingen) te mitigeren.16
Dat de aanbieder van de kredietcheck in bepaalde gevallen wellicht een «verwerker» is – een partij die in opdracht van de verwerkingsverantwoordelijke een verwerking uitvoert – ten opzichte van de aanbieder van de dienst, doet niet af aan de eigenstandige verantwoordelijkheid van de aanbieder van kredietchecks om ervoor te zorgen dat de eigen persoonsgegevens rechtmatig, behoorlijk en transparant worden verwerkt.
Als laatste verdient opmerking dat bedrijven die kredietwaardigheidschecks uitvoeren gegevens in sommige gevallen halen uit algemeen toegankelijke registers van de overheid, zoals de Kamer van Koophandel en het Kadaster. Als daarin fouten staan, kan de betrokkene bij de desbetreffende partij de gegevens laten rectificeren. Voor situaties waar het laten corrigeren van een gegeven bij overheidsregistraties problemen oplevert, is in 2021 een Meldpunt Fouten in Overheidsregistraties (MFO) van start gegaan dat de burger daarin kan ondersteunen.17
Zie antwoord vraag 4.
In algemene zin geldt, ook gelet op de antwoorden op vragen 2 en 3, dat menselijke interventie niet altijd geboden is, maar dat als dit wel het geval is dit wel «zinvol» moet zijn. De snelheid waarmee een geautomatiseerde kredietcheck wordt uitgevoerd hoeft geen invloed te hebben op de zorgvuldigheid ervan. Een goed ontworpen en rechtmatig functionerend systeem kan soms snelle doch zorgvuldige beslissingen nemen.
Als alle partijen zich aan de wet houden – specifiek ook de gegevensbeschermingswetgeving die in deze beantwoording aan de orde komt – is dit wat mij betreft voldoende duidelijk. In dat geval kan de burger namelijk de verwerkingsverantwoordelijke aanspreken. Als partijen zich niet aan de wet houden, en bijvoorbeeld geen inzage willen bieden in verwerkte persoonsgegevens of foutieve gegevens willen corrigeren (zie ook antwoord op vraag 9) kan een klacht worden ingediend bij de AP.
De opsteller van een (signalerings-) lijst beheert deze lijst. Voor zover een lijst persoonsgegevens bevat, is de AP bevoegd om toezicht te houden op naleving van de wetgeving betreffende de bescherming van persoonsgegevens.
Deze verantwoordelijkheid ligt ingevolge het systeem van de AVG bij de verwerkingsverantwoordelijke. Dat vind ik in beginsel ook goed: organisaties moeten de verantwoordelijkheid hebben om goed met onze gegevens om te gaan en er daarbij zorg voor te dragen dat deze correct zijn.
Wél ben ik er groot voorstander van, en dit vloeit gelukkig ook voort uit de AVG, dat organisaties transparant zijn over de gegevens die zij van burgers verwerken en voor welke doeleinden. Alleen in die gevallen weten burgers immers waar ze aan toe zijn. Daarbij zijn ook de rechten die de AVG burgers geeft van bijzonder belang: niet alleen kunnen burgers inzage vorderen in de gegevens die een organisatie over hen verwerkt20, ze kunnen ook eisen dat er rectificatie plaatsvindt en dat foutieve gegevens dus worden gecorrigeerd.21 Deze verplichting wordt niet alleen bij de betrokkene neergelegd: artikel 12 tweede lid bepaalt dat de verwerkingsverantwoordelijke de uitoefening van de AVG-rechten moet faciliteren. Dat impliceert dat een vorm van proactief handelen van verwerkingsverantwoordelijken vereist is om aan de wet te voldoen. De Autoriteit Persoonsgegevens houdt hier toezicht op. Betrokkenen kunnen een klacht indienen bij de AP als de AVG wordt overtreden. Blijkens het door u aangehaalde krantenartikel heeft de betrokkene uit voorliggende casus zo’n klacht ingediend.
Dat laat onverlet dat ik goed begrijp dat het niet altijd even makkelijk is voor elke burger om goed te begrijpen waar je aan kan kloppen om gegevens te laten verwijderen, en hoe je dat aanpakt. De Autoriteit Persoonsgegevens geeft daarom op haar website goede uitleg over onder meer het recht op rectificatie en heeft ook een voorbeeldbrief geplaatst welke burgers kunnen gebruiken om foutieve data aan te laten passen.22
Al met al ben ik van mening dat de rechten die burgers hebben onder de AVG ons echt helpen om de controle over onze gegevens te behouden. We moeten er alleen middels goede voorlichting en praktische hulpmiddelen voor zorgen dat deze rechten in de praktijk effectief werken. Daarbij kan het ook bijzonder helpen als organisaties hun transparantiebeleid modern vormgeven en systemen ontwikkelen waarbij betrokkenen makkelijk inzicht kan worden gegeven in de over hen verzamelde gegevens. Dit vloeit ook voort uit eerdergenoemde verplichting voor de verwerkingsverantwoordelijke om de uitoefening van AVG-rechten te faciliteren.
Het is in ieder geval zaak dat de overheid zelf het goede voorbeeld geeft in het faciliteren van deze controle. In het programma Regie op Gegevens is daarom aandacht voor het makkelijker rectificeren van gegevens. Ook (digitale) inzage in eigen persoonsgegevens bij de overheid en uitleg over het hergebruik van persoonsgegevens uit overheidsregistraties zijn binnen dit programma belangrijke aandachtspunten. Daarbij laat het kabinet momenteel door het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) onderzoek verrichten naar de naleving van de AVG door de overheid.
De AP houdt toezicht op de verwerking van persoonsgegevens en daarmee ook op dergelijke kredietchecks. Ik acht de AP hiertoe goed in staat, mede omdat het budget van de AP recent wederom is verhoogd, met een oplopende reeks naar structureel 8 miljoen extra vanaf 2025.