Vragen van de leden Leijten en Van Nispen (beiden SP) aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Justitie en Veiligheid over de weigering van bedrijven op basis van geautomatiseerde kredietchecks (ingezonden 20 januari 2022).

Antwoord van Minister Weerwind (Rechtsbescherming), mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (ontvangen 31 mei 2022).

Vraag 1

Vindt u het wenselijk dat bedrijven geautomatiseerde kredietchecks uitvoeren, waarbij veel privacygevoelige data wordt verzameld en bewaard? Welke wettelijke grondslag voor verzameling en bezwaren van die persoonsgegevens bestaat er?

Antwoord 1

Laat ik beginnen door te zeggen dat ik de situatie waarin de betreffende persoon uit het krantenartikel terecht is gekomen, zeer betreur. Dit laat zien dat automatische kredietchecks impact kunnen hebben op burgers. Uit het krantenartikel maak ik op dat er een klacht is ingediend bij de Autoriteit Persoonsgegevens (AP), het is aan de AP om te bepalen of zij een onderzoek naar deze praktijk instelt.

Met een kredietcheck kunnen bedrijven inzicht verkrijgen in hoeverre potentiële nieuwe klanten (bedrijven of consumenten) aan hun betalingsverplichtingen kunnen voldoen. Dat is niet alleen van belang voor de bedrijven die de kredietcheck afnemen: burgers kunnen er ook mee worden beschermd tegen financiële problemen. In sommige gevallen schrijft de wet kredietchecks ook voor. Bij kredietverstrekking zijn kredietaanbieders wettelijk verplicht om een stelsel van kredietregistratie te raadplegen over reeds aan de consument verleende kredieten om zo overkreditering tegen te gaan.1

Kredietchecks vinden steeds vaker op geautomatiseerde wijze plaats omdat dit efficiënter is dan handmatige controles. Denk bijvoorbeeld aan kredietbeoordelingen bij het afsluiten van een energiecontract, telefoonabonnement of in het voorbeeld dat in het bewuste krantenartikel2 wordt genoemd, een Dal Vrij-abonnement. De impact van geautomatiseerde kredietchecks op mensen kan zoals gezegd groot zijn. Hierbij is het natuurlijk van belang dat de met de kredietcheck gemoeide verwerking van persoonsgegevens rechtmatig plaatsvindt. Ingevolge de Algemene Verordening Gegevensbescherming (AVG) betekent dit onder meer dat gegevens op een rechtmatige, behoorlijke en transparante wijze worden verwerkt3, dat er niet meer gegevens worden verwerkt dan noodzakelijk om het doel van de verwerking te bereiken4 en dat de verwerkte gegevens «juist» zijn.5 Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk, moet de verwerkingsverantwoordelijke ook termijnen vaststellen voor het wissen van gegevens of voor een periodieke toetsing ervan.6 Verder dient de verwerking op één van de zes rechtsgronden uit artikel 6 AVG te worden gebaseerd. Dit laatste impliceert dat de verwerking ook gebaseerd kan zijn op de toestemming van betrokkenen, of op het gerechtvaardigd belang7, en niet per definitie op een in de wet vastgelegde grondslag zoals bedoeld in artikel 6 eerste lid onder de AVG. Partijen die kredietchecks uitvoeren baseren de daarmee gemoeide verwerking van persoonsgegevens doorgaans op het in artikel 6 eerste lid onder f AVG vastgelegde «gerechtvaardigd belang».

Het is echter niet in algemene zin vast te stellen op welke grondslag(en) de verwerkingen in het kader van het aanbieden van kredietchecks zijn gebaseerd, maar ik wil wel benadrukken dat het ongelimiteerd opslaan van gegevens van burgers teneinde hen te kunnen controleren zich slecht verhoudt tot voornoemde principes, als mede specifiek tot het principe van «opslagbeperking» welke voorschrijft dat persoonsgegevens niet langer mogen worden bewaard dan nodig om de doeleinden van een verwerking te bereiken.8

Vraag 2 en 3

Erkent u dat de gevolgen van geautomatiseerde kredietchecks voor mensen ingrijpend kunnen zijn? Zo ja, kunt u aangeven hoe de verplichte menselijke interventie die volgt uit de Algemene Verordening Gegevensbescherming (AVG) in de praktijk wordt vormgegeven?9

Kunt u aangeven welke minimale uitvoeringspraktijk bestaat voor de verplichte menselijke interventie volgend uit de AVG en hoe het toezicht daarop is vormgegeven?

Antwoord 2 en 3

Ja. Het door de leden van uw Kamer aangehaalde bericht onderstreept dit nog maar eens.

Alvorens over te gaan tot de verzochte juridische informatie hecht ik er waarde aan te benadrukken dat, ook wanneer wetgeving (zoals de AVG) menselijke interventie of tussenkomst niet expliciet verplicht stelt, het alsnog verstandig kan zijn voor een organisatie om een vorm van menselijke tussenkomst of controle in te richten om te voorkomen dat er fouten worden gemaakt (en de AVG alsnog wordt overtreden). Dat is niet alleen in het belang van de betrokken klant of burger, maar ook in het belang van de organisatie zelf: als je geen goed zicht hebt op hoe je (geautomatiseerde) systemen werken en daarbij procedures inricht om fouten te corrigeren is het wachten tot er iets misgaat en je schade veroorzaakt met alle gevolgen van dien.

Wat betreft de verplichte menselijke interventie in de AVG is het goed te benadrukken dat er niet in alle gevallen expliciet een recht op menselijke interventie of tussenkomst uit de AVG voortvloeit. Hierover kan het volgende verder worden opgemerkt: alleen uitsluitend op geautomatiseerde verwerkingen, waaronder profilering, gebaseerde besluiten waaraan voor een burger rechtsgevolgen zijn verbonden of die de burger anderszins in aanmerkelijke mate treffen, zijn verboden onder artikel 22 van de AVG. Een niet volledig geautomatiseerd besluit – bijvoorbeeld omdat er betekenisvolle menselijke tussenkomst in het proces is ingebouwd – valt dus niet onder dit verbod. De WP-29 werkgroep – de voorloper van de European Data Protection Board – geeft in haar normuitleg bijzonder helder aan dat deze tussenkomst geen formaliteit is:

Om daadwerkelijke menselijke tussenkomst te realiseren moet de verwerkingsverantwoordelijke ervoor zorgen dat al het toezicht op de besluitvorming zinvol is, en niet slechts een symbolische handeling vormt. Deze tussenkomst moet worden uitgevoerd door iemand die bevoegd en bekwaam is om het besluit te veranderen. Hij moet alle relevante gegevens in zijn analyse betrekken.10

Dit laat onverlet dat het tweede lid van artikel 22 ook een aantal uitzonderingsgronden formuleert die geautomatiseerde besluiten – dus zonder menselijke interventie – wél mogelijk maken. Het derde lid van artikel 22 AVG bepaalt vervolgens dat er in geval gebruik gemaakt wordt van uitzonderingsgronden berustend op «toestemming» respectievelijk een «overeenkomst» van of met betrokkene er een recht op menselijke tussenkomst bestaat. Uit de geschetste casus is niet op te maken dat de NS zich beroept op één van deze uitzonderingsgronden.

Als laatste verdient opmerking dat een besluit op basis van incorrecte persoonsgegevens per definitie niet rechtmatig kan zijn omdat dit zich niet verhoudt tot het principe van «juistheid van gegevens» uit artikel 5 eerste lid onder de AVG. De WP-29 werkgroep heeft in dit kader benadrukt dat de verwerkingsverantwoordelijke erop toe moet zien dat gegevens in alle stadia van een verwerkingsproces juist zijn. Dit omvat expliciet zowel het opstellen van een profiel als het toepassen daarvan, juist omdat foute gegevens zullen leiden tot onjuiste en vaak onrechtmatige besluiten.11

Het toezicht op de verwerking van persoonsgegevens, en daarmee ook de eventuele menselijke interventie die al dan niet verplicht plaatsvindt, is belegd bij de Autoriteit Persoonsgegevens (AP). De AP heeft in haar «Focus AP 2020–2023» aangeven dat datahandel één van haar drie focusgebieden is; profilering is één van de subonderdelen van dit focusgebied.12

Vraag 4 en 5

Kunt u aangeven wie verantwoordelijk is voor het herstellen danwel verwijderen van foutieve data als er geautomatiseerde besluiten op basis van algoritmes worden genomen? Kunt uw antwoord toelichten?

Kunt u aangeven welke verantwoordelijkheid rust op de aanbieder van de dienst of het product waarbij een dergelijke kredietcheck wordt uitgevoerd als het gaat om foutieve data en welke verantwoordelijkheid rust op de aanbieder van zulke kredietchecks?

Antwoord 4 en 5

Voor het herstellen dan wel verwijderen van foutieve gegevens is dit de «verwerkingsverantwoordelijke», oftewel de partij die het doel en de middelen van een verwerking vaststelt.13 Doorgaans – zonder de specifieke aspecten van de casus uit het bericht te kennen en derhalve volledig te kunnen beoordelen – is het in casuïstiek als deze het geval dat er meerdere zelfstandige verwerkingsverantwoordelijken zijn: twee partijen verwerken gegevens voor hun eigen respectievelijke doelen. Er is dan een verwerkingsverantwoordelijke partij die gegevens verzamelt en op basis daarvan profileert en een «score» toekent (de aanbieder van de check), en een partij die dergelijke scores (een persoonsgegeven) afneemt en op basis daarvan besluiten neemt en die aan betrokkenen terugkoppelt (de aanbieder van het product). Anderzijds kan er ook sprake zijn van een situatie waarin twee partijen gezamenlijk het doel en de middelen van een verwerking vaststellen, zij zijn dan «gezamenlijk verwerkingsverantwoordelijk».14 In dit laatste geval moeten de partijen afspraken maken over de uitvoering van de verschillende rechten en plichten, als mede een contactpunt voor betrokkenen vastleggen.

Iedere (gezamenlijke of individuele) verwerkingsverantwoordelijke moet aan de op hem rustende verplichtingen voldoen, dit omvat zoals uitgebreider toegelicht ook dat de verwerkte gegevens «juist» en dus niet foutief mogen zijn.15 Daarbij komt dat – teneinde een behoorlijk en rechtmatige verwerking te borgen – partijen die profilering toepassen ook worden geacht de juiste wiskundige en statistische procedures te hanteren om tot resultaten te komen, als ook technische en organisatorische maatregelen nemen om het risico op fouten te minimaliseren, en daarmee de risico’s voor de belangen en rechten van betrokkenen (zoals bijv. discriminerende verwerkingen) te mitigeren.16

Dat de aanbieder van de kredietcheck in bepaalde gevallen wellicht een «verwerker» is – een partij die in opdracht van de verwerkingsverantwoordelijke een verwerking uitvoert – ten opzichte van de aanbieder van de dienst, doet niet af aan de eigenstandige verantwoordelijkheid van de aanbieder van kredietchecks om ervoor te zorgen dat de eigen persoonsgegevens rechtmatig, behoorlijk en transparant worden verwerkt.

Als laatste verdient opmerking dat bedrijven die kredietwaardigheidschecks uitvoeren gegevens in sommige gevallen halen uit algemeen toegankelijke registers van de overheid, zoals de Kamer van Koophandel en het Kadaster. Als daarin fouten staan, kan de betrokkene bij de desbetreffende partij de gegevens laten rectificeren. Voor situaties waar het laten corrigeren van een gegeven bij overheidsregistraties problemen oplevert, is in 2021 een Meldpunt Fouten in Overheidsregistraties (MFO) van start gegaan dat de burger daarin kan ondersteunen.17

Vraag 6

Hoe verhoudt het aanbod van een geautomatiseerd rapport over kredietwaardigheid van mensen zich tot het principe dat volgt uit de AVG dat er menselijke interventie moet zijn? Vindt u dit zorgvuldig als dit binnen «enkele seconden» gebeurt?18 Kunt u uw antwoord toelichten?

Antwoord 6

In algemene zin geldt, ook gelet op de antwoorden op vragen 2 en 3, dat menselijke interventie niet altijd geboden is, maar dat als dit wel het geval is dit wel «zinvol» moet zijn. De snelheid waarmee een geautomatiseerde kredietcheck wordt uitgevoerd hoeft geen invloed te hebben op de zorgvuldigheid ervan. Een goed ontworpen en rechtmatig functionerend systeem kan soms snelle doch zorgvuldige beslissingen nemen.

Vraag 7

Vindt u het begrijpelijk waar mensen terecht kunnen als zij ten onrechte worden uitgesloten van het verkrijgen van een dienst of product door een kredietcheck die gebaseerd is op foutieve data? Bent u bereid dit te verbeteren? Zo ja, hoe?

Antwoord 7

Als alle partijen zich aan de wet houden – specifiek ook de gegevensbeschermingswetgeving die in deze beantwoording aan de orde komt – is dit wat mij betreft voldoende duidelijk. In dat geval kan de burger namelijk de verwerkingsverantwoordelijke aanspreken. Als partijen zich niet aan de wet houden, en bijvoorbeeld geen inzage willen bieden in verwerkte persoonsgegevens of foutieve gegevens willen corrigeren (zie ook antwoord op vraag 9) kan een klacht worden ingediend bij de AP.

Vraag 8

Wie beheert en houdt toezicht op signaleringslijsten?19

Antwoord 8

De opsteller van een (signalerings-) lijst beheert deze lijst. Voor zover een lijst persoonsgegevens bevat, is de AP bevoegd om toezicht te houden op naleving van de wetgeving betreffende de bescherming van persoonsgegevens.

Vraag 9

Bent u het ermee eens dat het voor mensen makkelijker zou moeten zijn om foutieve data zelf aan te kunnen passen? Zo ja, wat gaat u hierop concreet ondernemen? Zo nee, waarom niet?

Antwoord 9

Deze verantwoordelijkheid ligt ingevolge het systeem van de AVG bij de verwerkingsverantwoordelijke. Dat vind ik in beginsel ook goed: organisaties moeten de verantwoordelijkheid hebben om goed met onze gegevens om te gaan en er daarbij zorg voor te dragen dat deze correct zijn.

Wél ben ik er groot voorstander van, en dit vloeit gelukkig ook voort uit de AVG, dat organisaties transparant zijn over de gegevens die zij van burgers verwerken en voor welke doeleinden. Alleen in die gevallen weten burgers immers waar ze aan toe zijn. Daarbij zijn ook de rechten die de AVG burgers geeft van bijzonder belang: niet alleen kunnen burgers inzage vorderen in de gegevens die een organisatie over hen verwerkt20, ze kunnen ook eisen dat er rectificatie plaatsvindt en dat foutieve gegevens dus worden gecorrigeerd.21 Deze verplichting wordt niet alleen bij de betrokkene neergelegd: artikel 12 tweede lid bepaalt dat de verwerkingsverantwoordelijke de uitoefening van de AVG-rechten moet faciliteren. Dat impliceert dat een vorm van proactief handelen van verwerkingsverantwoordelijken vereist is om aan de wet te voldoen. De Autoriteit Persoonsgegevens houdt hier toezicht op. Betrokkenen kunnen een klacht indienen bij de AP als de AVG wordt overtreden. Blijkens het door u aangehaalde krantenartikel heeft de betrokkene uit voorliggende casus zo’n klacht ingediend.

Dat laat onverlet dat ik goed begrijp dat het niet altijd even makkelijk is voor elke burger om goed te begrijpen waar je aan kan kloppen om gegevens te laten verwijderen, en hoe je dat aanpakt. De Autoriteit Persoonsgegevens geeft daarom op haar website goede uitleg over onder meer het recht op rectificatie en heeft ook een voorbeeldbrief geplaatst welke burgers kunnen gebruiken om foutieve data aan te laten passen.22

Al met al ben ik van mening dat de rechten die burgers hebben onder de AVG ons echt helpen om de controle over onze gegevens te behouden. We moeten er alleen middels goede voorlichting en praktische hulpmiddelen voor zorgen dat deze rechten in de praktijk effectief werken. Daarbij kan het ook bijzonder helpen als organisaties hun transparantiebeleid modern vormgeven en systemen ontwikkelen waarbij betrokkenen makkelijk inzicht kan worden gegeven in de over hen verzamelde gegevens. Dit vloeit ook voort uit eerdergenoemde verplichting voor de verwerkingsverantwoordelijke om de uitoefening van AVG-rechten te faciliteren.

Het is in ieder geval zaak dat de overheid zelf het goede voorbeeld geeft in het faciliteren van deze controle. In het programma Regie op Gegevens is daarom aandacht voor het makkelijker rectificeren van gegevens. Ook (digitale) inzage in eigen persoonsgegevens bij de overheid en uitleg over het hergebruik van persoonsgegevens uit overheidsregistraties zijn binnen dit programma belangrijke aandachtspunten. Daarbij laat het kabinet momenteel door het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) onderzoek verrichten naar de naleving van de AVG door de overheid.

Vraag 10

In hoeverre houdt de Autoriteit Persoonsgegevens op dit moment toezicht op het gebruik van geautomatiseerde kredietchecks? Zijn zij volgens u hiertoe op dit moment voldoende in staat?

Antwoord 10

De AP houdt toezicht op de verwerking van persoonsgegevens en daarmee ook op dergelijke kredietchecks. Ik acht de AP hiertoe goed in staat, mede omdat het budget van de AP recent wederom is verhoogd, met een oplopende reeks naar structureel 8 miljoen extra vanaf 2025.


X Noot
1

Artikel 114 Besluit Gedragstoezicht financiële ondernemingen Wft. Het Bureau Kredietregistratie is in de praktijk het enige stelsel van kredietregistratie.

X Noot
2

Trouw. 18 januari 2022. Zo werd Myrthe Reuver de dupe van haar data: «Ze geloven in eerste instantie het systeem»

X Noot
3

Artikel 5 eerste lid onder a AVG

X Noot
4

Artikel 5 eerste lid onder c AVG

X Noot
5

Artikel 5 eerste lid onder d AVG

X Noot
6

Overweging 39 AVG

X Noot
7

Artikel 6 eerste lid onder a en f AVG

X Noot
8

Artikel 5 eerste lid onder e AVG

X Noot
10

WP-29 werkgroep, richtsnoeren profilering en besluitvorming, pp. 24–25

X Noot
11

Idem, pp. 14–15

X Noot
12

Autoriteit Persoonsgegevens, «Focus AP 2020–2023», 11 november 2019, p. 22

X Noot
13

Artikel 4 zevende lid AVG.

X Noot
14

Artikel 26 AVG

X Noot
15

Artikel 5 tweede lid AVG

X Noot
16

Overweging 71 bij de AVG: «... Teneinde een voor de betrokkene behoorlijke en transparante verwerking te garanderen, met inachtneming van de concrete omstandigheden en context waarin de persoonsgegevens worden verwerkt, dient de verwerkingsverantwoordelijke voor de profilering passende wiskundige en statistische procedures te hanteren en technische en organisatorische maatregelen te treffen waarmee factoren die aanleiding geven tot onjuistheden van persoonsgegevens worden gecorrigeerd en het risico op fouten wordt geminimaliseerd, en de persoonsgegevens zodanig te bewaren dat rekening wordt gehouden met de potentiële risico’s voor de belangen en rechten van de betrokkene en dat onder meer wordt voorkomen dat zulks voor natuurlijke personen discriminerende gevolgen zou hebben op grond van ras of etnische afkomst, politieke overtuiging, godsdienst of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische of gezondheidsstatus, of seksuele gerichtheid, of gevolgen zou hebben die leiden tot maatregelen met een vergelijkbaar effect. Geautomatiseerde besluitvorming en profilering gebaseerd op bijzondere categorieën van persoonsgegevens mogen uitsluitend op specifieke voorwaarden worden toegestaan.»

X Noot
18

EDR, (https://www.edrcreditservices.nl/overedr/ ) «We verzamelen, verwerken, analyseren en interpreteren alle data zelf, om de inhoud vervolgens beschikbaar te stellen aan onze opdrachtgevers. Dit kan automatisch, waardoor onze klanten via een credit check binnen enkele seconden, onder andere op basis van de kredietwaardigheid, een gefundeerde beslissing kunnen nemen.»

X Noot
19

Stichting Krediet Beheer, skbinfo.nl/stichting-krediet-beheer/signaleringslijsten

X Noot
20

Artikel 15 AVG

X Noot
21

Artikel 16 AVG

Naar boven